IPS與IDS的價值與應用比較

來源:本站原創 CISCO 超過892 views圍觀 0條評論

可以說,目前無論是從業于信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防御系統是兩類產品,并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現,給用戶帶來新的困惑:到底什么情況下該選擇入侵檢測產品,什么時候該選擇入侵防御產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫著“入侵檢測系統或者入侵防御系統”。這說明用戶還不能確定到底使用哪種產品,顯然是因為對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。

從產品價值角度講:入侵檢測系統注重的是網絡安全狀況的監管。用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;信息系統對這些威脅的抵御能力如何等方面的信息。在信息系統安全建設中以及實施后也要不斷的觀察信息系統中的安全狀況,了解網絡威脅發展趨勢。只有這樣才能有的放矢的進行信息系統的安全建設,才能根據安全狀況及時調整安全策略,減少信息系統被破壞的可能。

入侵防御系統關注的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之后,可以在入侵防御系統中實施邊界防護安全策略。與防火墻類產品可以實施的安全策略不同,入侵防御系統可以實施深層防御安全策略,即可以在應用層檢測出攻擊并予以阻斷,這是防火墻所做不到的,當然也是入侵檢測產品所做不到的。

從產品應用角度來講:為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,并統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。

而為了實現對外部攻擊的防御,入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統,入侵防御系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。

如上分析,入侵檢測系統的核心價值在于通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整,而入侵防御系統的核心價值在于安全策略的實施—對黑客行為的阻擊;入侵檢測系統需要部署在網絡內部,監控范圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據,入侵防御系統則必須部署在網絡邊界,抵御來自外部的入侵,對內部攻擊行為無能為力。明確了這些區別,用戶就可以比較理性的進行產品類型選擇:

若用戶計劃在一次項目中實施較為完整的安全解決方案,則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統,在網絡的邊界點部署入侵防御系統。

若用戶計劃分布實施安全解決方案,可以考慮先部署入侵檢測系統進行網絡安全狀況監控,后期再部署入侵防御系統。

若用戶僅僅關注網絡安全狀況的監控(如金融監管部門,電信監管部門等),則可在目標信息系統中部署入侵檢測系統即可。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=370轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
上篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏