对于部署入侵检测系统的建议(上)

日期: 2010-05-24 作者:Edward Yakabovicz翻译:王波 来源:TechTarget中国 英文

入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。   大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。

基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上,例如Web服务器,数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证,文件修改/删除和……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。

  大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上,例如Web服务器,数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证,文件修改/删除和其他基于主机的信息,因此,将其划定为网络中设备的第二级保护。

  起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统,然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施,然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。

  在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的,在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web,邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后,第三级会包括位于非军事区中受保护私有网络的所有其他设备,它们是关键的或者包含诸如客户,金融和数据库的机密数据。如上所述,独立的设备组成了网络,并应受到保护,但是只有在第一次网络安全。

  基于网络入侵检测系统的建议

  基于网络的入侵检测系统应部署在外部DMZ部分,然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控,包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网,内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图,不仅是众所周知的网络连接,还包括所有已知的外部链接。

  策略和工具推荐

  对于入侵检测系统部署的额外建议应该包括事故应急手册,程序和工具的开发。由于入侵检测系统的工作像防盗报警,因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值,以便进一步的检查。针对事件调查的软件工具也应该推行,以确保这些工具可以用来研究,评估和报告结果。如果在任何时候因为恶意活动,公司被迫采取合法行动,这些工具将会伴随着政策和标准的建立而被用来提供证据。如果没有工具或者政策,该公司可能无法采取合法行动或者制止肇事者。

  产品部署

  基于网络的入侵检测系统应该立即部署在外部Internet网络部分,然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后,任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用,以确保这些系统同样也受到保护。

相关阅读:

对于部署入侵检测系统的建议(下)

相关推荐

  • 物联网时代的网络安全

    物联网(IoT)是相对较新的发明。十年前,我们的主要工作是保护电脑,而五年前我们开始要保护智能手机。现在我们还 […]

  • 企业无线网络的安全强化措施(下)

    在文章中,我们列出了数据链路层的针对企业无线局域网可能遭到滥用的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 企业无线网络的安全强化措施(上)

    在文章中,我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 入侵检测系统的安全策略

    入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。此二者正好相反,利弊兼具。