入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

　　大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上，例如Web服务器，数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证，文件修改/删除和其他基于主机的信息，因此，将其划定为网络中设备的第二级保护。

　　起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统，然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施，然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。

　　在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的，在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web，邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后，第三级会包括位于非军事区中受保护私有网络的所有其他设备，它们是关键的或者包含诸如客户，金融和数据库的机密数据。如上所述，独立的设备组成了网络，并应受到保护，但是只有在第一次网络安全。

　　基于网络入侵检测系统的建议

　　基于网络的入侵检测系统应部署在外部DMZ部分，然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控，包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网，内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图，不仅是众所周知的网络连接，还包括所有已知的外部链接。

　　策略和工具推荐

　　对于入侵检测系统部署的额外建议应该包括事故应急手册，程序和工具的开发。由于入侵检测系统的工作像防盗报警，因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值，以便进一步的检查。针对事件调查的软件工具也应该推行，以确保这些工具可以用来研究，评估和报告结果。如果在任何时候因为恶意活动，公司被迫采取合法行动，这些工具将会伴随着政策和标准的建立而被用来提供证据。如果没有工具或者政策，该公司可能无法采取合法行动或者制止肇事者。

　　产品部署

　　基于网络的入侵检测系统应该立即部署在外部Internet网络部分，然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后，任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用，以确保这些系统同样也受到保护。

相关阅读：

对于部署入侵检测系统的建议(下)