详解入侵检测 入侵防御
网络入侵检测与防御
网络入侵检测与防御网络入侵是指未经授权侵入或者攻击计算机系统或者网络的行为。
网络的广泛应用和普及,使得网络安全面临越来越大的威胁。
为了确保网络的稳定和安全,网络入侵检测与防御成为至关重要的任务。
本文将重点探讨网络入侵检测的方法和防御的措施。
一、网络入侵检测网络入侵检测是指通过监控和分析网络流量,以及检测异常行为和攻击行为,及时发现和告警可能的安全威胁。
网络入侵检测可以分为两种类型:基于签名和基于行为。
1.1 基于签名的入侵检测基于签名的入侵检测是指通过匹配已知的攻击模式和特征,来判断是否存在已知的攻击。
这种方法的优点是准确性高,但是对于未知的攻击无法检测。
常见的基于签名的入侵检测系统有Snort和Suricata等。
1.2 基于行为的入侵检测基于行为的入侵检测是指通过分析网络流量和主机日志,以及监控系统的行为,来判断是否存在异常行为和攻击行为。
这种方法的优点是可以检测未知的攻击,但是在准确性上相对较低。
常见的基于行为的入侵检测系统有Bro和Snort等。
二、网络入侵防御网络入侵防御是指采取一系列的措施来保护计算机系统和网络免受入侵的威胁。
网络入侵防御包括以下几个方面:2.1 防火墙防火墙是网络入侵防御的第一道防线。
防火墙可以设置规则来限制进出网络的数据流量,防止未授权的访问和攻击。
同时,防火墙也可以对流量进行检测和过滤,从而减少入侵的风险。
2.2 入侵检测系统入侵检测系统在网络入侵检测的基础上,可以及时发现和告警可能的安全威胁。
入侵检测系统可以根据已知的攻击模式和特征,或者通过分析异常行为和攻击行为来进行检测。
及时发现威胁后,可以采取相应的措施进行防御。
2.3 安全认证与访问控制安全认证和访问控制是网络入侵防御的重要手段。
通过合理设置用户权限和访问控制策略,可以限制未授权用户的访问和操作,从而保护系统和网络的安全。
2.4 加密技术加密技术可以有效防止数据在传输过程中被窃取和篡改。
通过使用加密算法和证书机制,可以确保数据的机密性和完整性,提高网络的安全性。
网络入侵检测系统(IDS)与入侵防御系统(IPS)的原理与配置
网络入侵检测系统(IDS)与入侵防御系统(IPS)的原理与配置网络入侵检测系统(Intrusion Detection System,简称IDS)和入侵防御系统(Intrusion Prevention System,简称IPS)是当今信息安全领域中非常重要的工具。
它们能够帮助组织监测和防御网络中的恶意活动,保护机密信息和系统资源的安全。
本文将介绍IDS和IPS的原理和配置。
一、网络入侵检测系统(IDS)的原理与配置网络入侵检测系统(IDS)是用于监测网络中的入侵行为,并及时发出警报的一种安全设备。
它根据事先定义好的规则、签名和行为模式,对网络中的恶意活动进行监控和分析。
以下是IDS的工作原理及配置要点:1. IDS的工作原理IDS通常分为两种类型:主机型IDS和网络型IDS。
主机型IDS安装在每台主机上,通过监控主机上的日志文件和系统活动,来识别入侵行为。
而网络型IDS则安装在整个网络中,监控网络流量并检测异常行为。
IDS的工作过程一般包括以下几个步骤:a. 数据收集:IDS通过网络捕获数据包或者获取主机日志,用于后续的分析。
b. 数据分析:IDS通过事先定义好的规则和行为模式,对收集到的数据进行分析和比对,以识别潜在的入侵行为。
c. 报警通知:当IDS检测到入侵行为时,会向管理员发送警报通知,以便及时采取应对措施。
2. IDS的配置要点在配置IDS时,需要注意以下几个要点:a. 硬件和软件选择:根据网络规模和安全需求选择适当的IDS设备和软件。
常见的商业IDS产品包括Snort、Suricata等,也可以选择开源的IDS方案。
b. 规则和签名管理:定义合适的规则和签名,以适应组织的网络环境和威胁情况。
规则和签名的更新也是一个重要的工作,需要及时跟踪最新的威胁情报。
c. IDS的部署位置:根据网络拓扑和安全要求,选择合适的位置部署IDS。
常见的部署方式包括加入网络的边界、服务器集群等。
二、入侵防御系统(IPS)的原理与配置入侵防御系统(IPS)是在IDS的基础上增加了防御措施的网络安全设备。
网络安全中的入侵检测与防御
网络安全中的入侵检测与防御随着互联网的广泛应用,网络安全问题越来越受到人们的关注。
其中,入侵检测和防御是保障网络安全的关键。
本文将从入侵检测和防御两个方面探讨如何保护网络安全。
一、入侵检测入侵检测是指通过监视网络流量、日志文件和系统事件等手段,发现并警告系统管理员有意或无意地攻击网络的行为。
入侵检测可以分为主动入侵检测和被动入侵检测两种方式。
主动入侵检测是指通过工具和软件,主动扫描网络系统,寻找系统漏洞和配置错误,从而发现潜在威胁。
这种方式需要管理员的主动参与,具有较高的准确性和可控性,但需要耗费较大的时间和人力。
被动入侵检测是指通过安装入侵监控软件和系统日志记录,监控和分析网络流量和事件日志,识别和确认潜在威胁。
这种方式不需要管理员的直接参与,但在数据量较大时,会产生大量误报和漏报,需要依靠人工识别和处理。
无论是主动入侵检测还是被动入侵检测,都需要根据具体的实际情况选择合适的工具和方法,并应加强日常网络安全管理和维护,及时更新系统补丁和安全软件,加强密码管理和强制访问控制,提高数据备份和应急响应能力。
二、防御策略防御策略是指针对网络攻击和入侵威胁,采取一系列防御措施,保护网络系统的安全。
防御策略主要包括以下几个方面。
1.网络边界防御网络边界防御是指在网络和外网之间加装防火墙、入侵防御系统和反病毒软件等,以防止未经授权的访问和攻击。
网络边界防御需要根据具体的网络架构和需求,确定合适的安全策略和防御措施。
2.用户访问控制用户访问控制是指通过对用户的身份认证、访问权限控制、操作日志记录等手段,控制用户的访问和操作行为。
用户访问控制应细化权限控制,避免僵尸网络和引起黑客攻击等风险。
3.应用安全控制应用安全控制是指加强对应用系统的安全管理和维护,尽量避免因应用程序漏洞等问题引发网络攻击。
应用安全控制需要注意对数据加密、安全存储、访问控制等方面的防御。
4.物理安全措施除了网络系统本身的安全防御,还需要注意物理安全措施,以保障服务器、交换机、路由器等设备的安全。
网络信息安全中的入侵检测与防御技术
网络信息安全中的入侵检测与防御技术在当今日益发展的互联网时代,网络信息安全问题备受关注。
网络入侵已成为威胁企业和个人网络安全的重要问题。
为了保护网络系统的安全,入侵检测与防御技术逐渐成为网络安全领域的焦点。
本文将深入探讨网络信息安全中的入侵检测与防御技术。
一、入侵检测技术入侵检测技术是指通过监控和分析网络流量和系统日志,检测并识别潜在的网络入侵行为。
入侵检测技术主要分为两类:基于特征的入侵检测和基于行为的入侵检测。
1. 基于特征的入侵检测基于特征的入侵检测是通过事先学习和建立入侵行为的特征数据库,来判断网络流量中是否存在已知的入侵行为。
这种方法需要专家不断更新和维护特征数据库,以及频繁的数据库查询,因此对计算资源和时间都有较高的要求。
2. 基于行为的入侵检测基于行为的入侵检测是通过分析网络流量和系统日志,识别并建立正常行为模型,进而检测出异常行为。
这种方法相对于基于特征的入侵检测更加灵活和自适应,能够应对未知的入侵行为。
二、入侵防御技术入侵防御技术是指通过各种手段和方法,保护网络系统免受入侵行为的侵害。
入侵防御技术主要分为主动防御和被动防御两种类型。
1. 主动防御主动防御是指在网络系统中主动采取措施,预防和减少入侵行为的发生。
常见的主动防御手段包括:加密通信、访问控制、强化身份认证、安全审计和漏洞修补等。
主动防御需要对网络系统进行全面的安全规划和布局,以保证整个网络体系的安全性。
2. 被动防御被动防御是指在入侵行为发生后,通过监控和响应措施,减少入侵对网络系统造成的损害。
常见的被动防御手段包括:网络入侵检测系统的部署、实时告警和事件响应等。
被动防御需要及时发现和应对入侵行为,以减少网络系统的损失。
三、入侵检测与防御技术的未来发展随着网络入侵技术的不断演进,入侵检测与防御技术也在不断发展和创新。
未来的发展趋势主要体现在以下几个方面:1. 智能化与自适应未来的入侵检测与防御技术将更加智能化和自适应,能够根据网络的动态变化和入侵行为的特点,及时调整策略和规则,提高检测和防御的准确性和效率。
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)网络信息安全是当今社会中一个非常重要的议题。
随着互联网的快速发展,人们的网络活动越来越频繁,同时也给网络安全带来了更大的挑战。
入侵检测系统(Intrusion Detection System,简称IDS)与入侵防御系统(Intrusion Prevention System,简称IPS)是网络信息安全防护中两个重要的组成部分。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种用于监控网络流量并识别潜在的入侵行为的工具。
它通过分析和检测网络流量中的异常活动来判断是否存在安全漏洞或者攻击行为。
入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。
主机入侵检测系统(Host-based IDS)主要针对单一主机进行监测和防御,它通过监控主机的操作系统、应用程序和系统日志等信息来检测潜在的入侵行为。
主机入侵检测系统可以及时发现主机上的异常行为并向管理员报警,从而加强对主机的安全保护。
网络入侵检测系统(Network-based IDS)则是在网络层面对整个网络进行监控和防御。
它通过监听网络流量,分析和检测网络中的恶意行为或异常活动。
网络入侵检测系统可以对网络入侵进行实时监测和识别,从而提高网络的安全性。
二、入侵防御系统(IPS)入侵防御系统(IPS)是在入侵检测系统的基础上进一步发展而来的。
与入侵检测系统相比,入侵防御系统不仅可以监测和检测网络中的入侵行为,还可以主动地采取措施来阻止攻击行为。
入侵防御系统可以对检测到的入侵行为进行实时响应,并对攻击行为进行阻断和防御,从而保护网络的安全。
入侵防御系统可以分为网络入侵防御系统(Network-based IPS)和主机入侵防御系统(Host-based IPS)两种类型。
网络入侵防御系统(Network-based IPS)主要通过在网络中插入防火墙等设备,对网络流量进行实时监控和分析,当检测到潜在的攻击行为时,可以及时采取相应的防御措施,比如阻断恶意的网络连接,保护网络的安全。
学校校园网络安全管理中的入侵检测与防御技术
学校校园网络安全管理中的入侵检测与防御技术随着技术的不断发展,网络已经成为学校校园中必不可少的一部分。
然而,网络的广泛应用也带来了一系列的安全隐患,其中入侵是最常见和严重的问题之一。
本文将探讨学校校园网络安全管理中的入侵检测与防御技术,并提供一些建议来降低校园网络面临的风险。
一、入侵检测技术入侵检测是一种通过监测和分析网络活动,及时发现和报告任何意图损坏系统的未经授权行为的技术。
在学校校园网络中,入侵检测技术可以帮助管理员及时发现并应对潜在的安全威胁。
1. 签名检测签名检测是一种基于已知攻击模式的检测方法。
它通过比对网络流量中的数据包和预先定义的签名,来判断是否存在已知的入侵行为。
这种方法可以快速准确地检测已知的攻击,但对于新型攻击或未知的攻击则可能无效。
2. 异常检测异常检测是一种通过比较网络活动的正常模式与当前活动之间的差异,来发现潜在的入侵行为。
该方法基于统计学和机器学习算法,可以检测出不符合正常行为模式的异常活动。
然而,异常检测也有一定的误报率,需要经过精细调节和优化。
3. 行为分析行为分析是一种基于学生和网络用户行为模式的检测方法。
该方法通过分析用户的操作习惯、网络访问模式以及日常行为,来判断是否存在异常行为。
行为分析可以比较准确地识别潜在的入侵行为,但需要建立起合理的行为模型和对异常行为进行监测。
二、入侵防御技术入侵防御技术是指一系列用于保护网络安全的措施和方法。
与入侵检测不同,入侵防御技术旨在预防和抵御入侵行为。
1. 防火墙防火墙是保护网络免受未经授权访问和攻击的第一道防线。
学校校园网络应该配置防火墙,限制外部用户的访问,并对进出的网络流量进行检查和过滤,以防止非法入侵。
2. 加密技术加密技术可以帮助学校校园网络提高数据的安全性。
通过使用加密算法对传输的数据进行加密,即使数据被攻击者获取也无法解密。
加密技术应当广泛应用于敏感数据的传输和存储过程中。
3. 强化访问控制学校校园网络应该设定严格的访问控制政策,限制用户的访问权限。
网络安全的入侵检测和防御技术
网络安全的入侵检测和防御技术近年来,随着互联网的快速发展和普及,网络安全问题越来越受到人们的关注。
网络安全的入侵检测和防御技术在保护网络免受恶意攻击和入侵的过程中起着至关重要的作用。
本文将介绍网络安全的入侵检测和防御技术的概念、分类和常用方法,以期提高读者对网络安全的认识并引起对该领域的关注。
一、入侵检测和防御技术的概念网络安全的入侵检测和防御技术是指通过监测和分析网络流量,识别恶意活动并采取相应的防御措施,以保护网络免受未经授权的访问、恶意软件和其他网络威胁的侵害。
其目标是实现网络的保密性、完整性和可用性。
二、入侵检测和防御技术的分类根据入侵检测和防御技术所针对的网络层级,可以将其分为以下几类:1. 主机入侵检测和防御技术(Host-based Intrusion Detection and Prevention Systems,H-IDS/H-IPS):这类技术主要关注保护单个主机或服务器,通过监测主机行为、文件完整性、日志分析等方式来发现和防止入侵行为。
2. 网络入侵检测和防御技术(Network-based Intrusion Detection and Prevention Systems,N-IDS/N-IPS):这类技术通过监视网络流量、分析网络协议和数据包,检测和防止网络入侵行为。
常见的技术包括入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)。
3. 应用级入侵检测和防御技术(Application-level Intrusion Detection and Prevention Systems):这类技术主要关注特定应用层面上的入侵行为,比如Web应用防火墙(Web Application Firewall,WAF)可以检测和阻止Web应用中的安全漏洞和攻击。
三、入侵检测和防御技术的常用方法1. 签名检测:这是最常见的入侵检测和防御方法之一,通过比对网络流量中的特定模式或签名来识别已知的攻击。
网络防御与入侵检测技术
网络防御与入侵检测技术在网络安全中,网络防御和入侵检测技术起到了至关重要的作用。
随着互联网的迅猛发展,网络攻击日趋复杂,威胁网络安全的方式也日益多样化。
在这种情况下,网络防御和入侵检测技术成为了保护网络安全的重要手段。
一、网络防御技术1.防火墙技术防火墙是网络层面的安全设备,具备过滤、分析和控制网络访问的能力。
它可以通过限制网络流量、禁止不安全的连接和屏蔽潜在的攻击来保护内部网络免受外部威胁。
防火墙技术主要包括包过滤、状态检测、应用代理和网络地址转换等技术,有效实现了网络流量的监控和控制。
2.入侵防御技术入侵防御是指通过检测和抵御来自外部的恶意入侵行为,保护内部网络免受攻击。
入侵防御技术包括入侵检测系统(IDS)和入侵防御系统(IPS)。
IDS能够实时监测网络中的流量,并根据特征库中的规则,识别出可能的入侵行为。
而IPS则在检测到入侵行为后,能够自动采取相应的措施进行阻断或报警。
3.反病毒技术反病毒技术是指通过防御和识别计算机病毒,保护系统免受恶意软件的侵害。
反病毒技术主要包括病毒扫描、病毒实时监测和病毒库更新等功能。
通过及时更新病毒库,反病毒软件能够发现最新的病毒并有效地进行防御。
4.身份认证和访问控制技术身份认证和访问控制技术是通过验证用户身份,控制用户访问权限,确保只有合法用户可以访问系统和数据。
这种技术可以通过密码、生物特征识别、智能卡等多种方式进行身份验证,从而提高系统的安全性。
二、入侵检测技术1.主机入侵检测系统(HIDS)主机入侵检测系统是安装在主机上的一种检测系统,用于分析和监视主机上的行为,及时发现异常行为和入侵行为。
HIDS可以监控主机的系统日志、文件系统、进程等,通过比对正常行为和异常行为的特征,识别出可能的入侵行为。
2.网络入侵检测系统(NIDS)网络入侵检测系统是安装在网络上的一种检测系统,用于对网络流量进行监测和分析,识别出潜在的攻击行为。
NIDS可以根据特定的规则和模式,检测出网络中的异常流量和非法访问,并及时发送警报。
入侵检测与入侵防御
1.入侵检测系统(IDS)IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。
专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。
一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。
在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是:·服务器区域的交换机上;·Internet接入路由器之后的第一台交换机上;·重点保护网段的局域网交换机上。
2.入侵防御系统(IPS)IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS 的技术,已经无法应对一些安全威胁。
在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
了解网络入侵检测系统(IDS)和入侵防御系统(IPS)
了解网络入侵检测系统(IDS)和入侵防御系统(IPS)在当今的数字时代,网络安全变得越来越重要。
随着互联网的普及和数字化威胁的增加,保护企业和个人的网络免受入侵和攻击变得至关重要。
为了应对这一挑战,网络入侵检测系统(IDS)和入侵防御系统(IPS)被广泛应用于网络安全领域。
本文将介绍和探讨这两种系统的定义、功能和特点。
一、网络入侵检测系统(IDS)网络入侵检测系统(IDS)是一种用于监测网络流量、发现和识别恶意活动和攻击的安全工具。
IDS通过收集和分析网络数据,并检查其中的异常或可疑行为来识别潜在的入侵。
它具有以下主要功能和特点:1.实时监测:IDS能够实时监测网络流量,及时发现和响应威胁。
2.事件解析:IDS收集的数据可以被进一步分析,帮助安全团队了解入侵者的行为模式,从而改善网络的安全性。
3.警报和通知:当检测到异常行为时,IDS会生成警报并发送通知给网络管理员,以便及时采取应对措施。
4.被动模式:IDS通常以被动的方式工作,不会主动阻止入侵行为,而是提供警示和报告。
二、入侵防御系统(IPS)入侵防御系统(IPS)是一种网络安全工具,旨在实时检测和阻止恶意活动和攻击。
与IDS相比,IPS在识别入侵后能够主动地对网络进行防御和保护。
以下是IPS的主要功能和特点:1.实时防御:IPS能够在检测到入侵行为后,立即采取措施进行防御,以阻止攻击者进一步侵入网络。
2.主动阻止:与IDS不同,IPS具备主动阻止入侵的能力,可以自动将恶意流量阻断或防御。
3.策略和规则:IPS通过事先配置的策略和规则,对网络流量进行实时分析,以便准确地识别和防御潜在的攻击。
4.强化系统安全:IPS能够及时修复系统漏洞,并提供保护策略,增强网络的整体安全性。
三、IDS和IPS的使用场景1.企业网络安全:IDS和IPS在企业网络中的使用非常广泛。
它们能够监控和保护公司网络免受外部攻击和内部恶意行为的威胁。
2.政府机构:政府机构处理大量的敏感信息,因此网络安全至关重要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
详解入侵检测入侵防御
在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像。
那么这两款产品有区别吗?区别在哪?入侵防御和UTM之间该如何选择?未来它们将会如何发展,本文将就这几个问题做一一分析。
用户选择之惑
从出现先后顺序来看,入侵检测无疑是前辈:甚至最早的入侵防御产品就是在入侵检测产品的基础上改造而成。
顾名思义,入侵检测产品就是对入侵行为进行检查的产品,那为什么要检测入侵呢?大家都知道,入侵检测技术起源于审计,是由于需要/想知道网络里到底发生过什么事情,毕竟网络世界不像真实世界这样可视化。
而和入侵检测有着共同基础的入侵防御产品则不然,它的重点是防护,看上去更像我们熟悉的防火墙产品。
当然,入侵防御也有和传统防火墙不一样的地方:防火墙的规则是允许具备某些特征的数据包通过,比如TCP 80端口的数据包,在Web服务跟前,就是被允许通过的;而入侵防御的规则刚好相反,不允许具备某些特征的数据包通过,某一个数据包携带的数据被认定为溢出攻击,就将被拒绝通过。
当然,还有一种说法就是,防火墙关注的是会话层以下的网络数据,而入侵防御则关注会话层-应用层的数据。
有一定技术基础的朋友一定能很快看出上面的问题,“且慢,这根本就不是问题,我完全可以做到只让那些符合某些规则(防火墙规则),又不具备某些特征(入侵特征)的数据通过”。
“至于防火墙不关注会话层以上的数据,这就更简单了,不论以前是由于什么原因不关注,现在开始也分析好了,只要性能能跟上,技术上没有困难”。
没错,正是上面提到的所谓区别在硬件技术和检测技术的发展面前都已经不是问题了,所以才会使得UTM这一概念获得人们的认可:我们喜欢防火墙式的一劳永逸,我们需要入侵防御的应用层威胁防护,于是我们把这两个功能在一个硬件上实现了。
一些安全厂商/用户并不能区别单独的入侵防御产品和UTM产品中的入侵防御之间的区别,于是就陷入了一个误区:我应该选择入侵防御还是UTM?如果入侵防御可以在UTM中实现,是不是以后就没有单独的入侵防御产品了?
入侵防御还是UTM?
这其实不能算是问题,UTM刚出现时很少有人选择,原因很简单:性能。
有些号称UTM的设备在打开入侵防御功能后性能衰减严重,这使得UTM并未像想象中那样获得开门红。
但摩尔定律的力量是强大的,随着硬件技术的发展,在效率不降低的情况下在一个盒子里完成多项工作,已经成为现实。
这是不是就意味着UTM可以全面取代入侵防御产品呢?我们应当还记得前面提到的:防火墙是配置允许规则,规则外禁止,而入侵防御是配置禁止规则,规则
外允许。
相信很多人都会听说过这么一个功能:bypass,就是在串行设备遇到软件/硬件问题时,强制进入直通状态,以避免网络断开的一种技术。
这个技术只在入侵防御产品中有应用,而不出现于防火墙产品中,这是为什么呢?诚然,在防火墙处于非透明模式下,bypass也无法保障通讯的通畅:比如说NAT模式下,防火墙内外网络不在一个网段,即使物理上强制直通,也会由于找不到路由而无法通讯。
(说到这里笔者就要插一句了,曾见到有些入侵防御的技术要求中一方面要求提供路由接入模式,一方面又要求支持bypass,简直就是不知所云)。
但是最根本的原因还在于防火墙与入侵防御两种截然不同的数据处理流程:防火墙是只允许那些被允许的数据进入,即使在自身出现问题的情况下,也不能让未受允许的数据进入,所以防火墙不可能有bypass功能。
而入侵防御刚好相反,其目标是保护后端的设备不受威胁行为的影响提供正常的服务,如果自身出现问题了,宁愿切换为通路,也不影响后端业务的运营,所以,bypass设备是必须的。
这里需要补充一点,有些朋友看到上面的描述,可能会对入侵防御的“宽宏大量”表示不理解:bypass后就变成无防护状态了,太可怕了。
其实,一般来说,入侵防御产品的bypass都是与其watchdog技术相结合的,watchdog保障了故障进程能自动恢复,所以真正处在bypass无防护状态下的时间并不长,一次bypass切换(防护——无防护——再次开始防护)可以在数秒钟内完成,并不会因此而使得网络长时间失去保护。
可以看出,入侵防御产品的未来之路就是保护后端服务不受威胁影响而能正常开展业务。
UTM类产品可以有入侵防御的模块,但由于结合了防火墙、AV等其它功能,使得其关注的目标必定是批量化的拦截,无暇专注于后端服务。
入侵防御和UTM相比,可以用一个生活中的小例子来呼应:入侵防御就是个人保镖,而UTM 就是小区保安,两者都是保护目标的安全,但由于受保护目标不同(保镖的目标聚焦,而保安的目标不聚焦)使得这两种类似的职业都有单独存在的必要。
到底需要入侵防御还是UTM?取决于保护的目标主体。
如果用以保护整个网络,那么应当选择UTM,除了入侵防御之外,还可依据用户需求提供防病毒、VPN等网关级安全应用。
如果用以保护某一台或多台服务器(群),那么就应当选择入侵防御。
当然这是有前提的,那就是入侵防御产品需要对服务器防护有相应针对性的特性,比如启明星辰公司的天清入侵防御产品,就专注发掘了Web服务防护功能。
再看入侵检测产品,与入侵防御产品作为控制工具相对的,入侵检测产品给使用者提供了一个可视化的平台,通过这个平台,用户可以清楚地了解网络里到底发生了什么事情,当然,结论的产生还是需要加入大量的人工分析。
比如,网络嗅探,入侵防御或者类似的控制工具,所关注的只是“禁止这一行为”,但嗅探可能来自于内部员工的正常网络检查行为,这就需要一个界面来告诉使用者,嗅探行为是谁干的、是否违规等等,而这就是入侵检测产品的作用所在。
当你需要了解网络安全状况的时候,购买入侵检测产品将会是一个合适的选择。
入侵防御还是入侵检测?
即使有了基于前文的认知,但当前还有这样的言论出现:入侵检测能做的事,入侵防御都可以做,入侵防御是入侵检测的升级/换代产品。
前文提到,入侵检测所关注的是可视化,对入侵检测来说,最重要的是“呈现”。
“呈现”主要取决于两点,一是呈现的内容,二是呈现的效果。
呈现的内容表现在,事件是否更新及时,数据是否抓取完全。
和入侵防御不一样,入侵检测产品是旁路部署甚至多点部署的,对整个网络进行监视。
呈现的效果表现在是否能方便地从产品界面上获得有效信息,以便对接下来的工作进行指导:禁止或允许某些安全规则,评价某个区域的安全建设效果等。
而入侵防御则更关注“防护”,准确而及时的防护,其关注重点并不是全局信息(而只是关键服务器群),也不关注信息分析。
这导致了入侵检测和入侵防御在面对事件时的不同态度:入侵检测关注可疑事件,即使不能判断为具体的攻击行为,也要进行记录和分析备案;而入侵防御关注的都是明确的事件,是威胁就坚决予以阻断,不能认定为威胁则予以放行。
而在用户交互界面层面,也有不同的态度:入侵检测关注信息展现,以图表呈现全面的信息以协助分析;入侵防御则不需要关注信息之间的关联,事件对入侵防御而言只是一个阻断报告的数据来源。
所以,在选择入侵检测产品的时候,需要关注如下因素:它是否能保障“呈现”无障碍,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈现”的内容做出相应的决策判断。
当然,作为安全厂商,所需要做的就是,当开发入侵检测产品的时候,任何功能特性,都应当围绕“呈现”这个词来做,用户需要一个可视化平台。
因为只有“呈现”,才是入侵检测的精髓,是入侵检测依然存在,不被其它产品取代的根本。