IDS?IPS?你怎么选择?(二)

日期: 2009-06-07 作者:Joel Snyder翻译:Tina Guo 来源:TechTarget中国 英文

IDS可以做什么   如果IPS是控制工具,那么IDS就是可视性工具。入侵检测系统位于网络的一边,在很多不同的节点监控网络流量,并提供对网络安全状态的可视性效果。IDS和协议分析器有很多的相似点。协议分析器是网络工程师使用的一种工具,可以深入查看网络以及上面发生的活动,特别是那些让人头疼的细节。

IDS就是安全工程师的“协议分析器”。IDS深入查看网络,并从安全的角度查看网络上发生了什么。   在安全分析师的掌控下,IDS就成为了网络上的窗口。IDS提供的信息可以帮助安全和网络管理团队发现: 安全策略违反,例如系统或用户违反策略运行应用;感染,例如病毒或木马可以部分或者全面控制内部系统,并用它们……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IDS可以做什么

  如果IPS是控制工具,那么IDS就是可视性工具。入侵检测系统位于网络的一边,在很多不同的节点监控网络流量,并提供对网络安全状态的可视性效果。IDS和协议分析器有很多的相似点。协议分析器是网络工程师使用的一种工具,可以深入查看网络以及上面发生的活动,特别是那些让人头疼的细节。IDS就是安全工程师的“协议分析器”。IDS深入查看网络,并从安全的角度查看网络上发生了什么。

  在安全分析师的掌控下,IDS就成为了网络上的窗口。IDS提供的信息可以帮助安全和网络管理团队发现:

  • 安全策略违反,例如系统或用户违反策略运行应用;
  • 感染,例如病毒或木马可以部分或者全面控制内部系统,并用它们传播感染或者攻击其它系统
  • 信息泄露,例如运行间谍软件和按键记录器,还有合法用户偶尔发生的信息泄露
  • 配置错误,例如带有错误安全设置或者妨碍性能的网络错误配置的应用或者系统,以及规则和策略不搭配的错误配置的防火墙。
  • 非授权客户端和服务器端包括手搔受到威胁的网络服务器应用,例如DHCP或者DNS服务器,以及非授权应用,例如网络扫描工具或者不安全的远程桌面。

  这种增加了的网络安全状态的可见性是IDS的特征,以及IPS的控制功能和IDS的可视性功能的区别之处。

  当然,IDS和IPS都有“入侵”这个词作为他们名字的开头,你可能会想为什么我没有在IDS或者IPS的功能中提到“入侵”呢。一部分是因为“入侵”这次词非常模糊,了解什么是入侵非常困难。当然谈,积极地想要攻入网络的人是入侵者。但感染病毒的电脑是“入侵”吗?执行网络探测的人是入侵者吗?那么只在研究的人呢?如果恶意表演者是网络的合法用户——例如,不安分的员工——他们的合法或者非法的行为是入侵还是别的什么呢?

  不在IDS和IPS的描述中提到“入侵”的一个重要原因是他们在捕获真正的入侵者上面作的并不好。IPS可以很好地阻止已知攻击,但是这些攻击大部分都是网络探测或者自动扫描,寻找其它可以感染其他系统——几乎都不是这个词的经典意义。这种情况下最好的入侵防御系统是防火墙,首先就不让不合适的流量进入网络。

  在这些可视性和控制技术中,误用了“入侵”的意思,造成了配置了IDS或者IPS的企业的员工的混淆和不正确的期待。

  是的,IDS可以检测真正的入侵。对,IPS可以阻止真正的入侵。但是,这些产品可以做得不止是这些——他们可以提供更多的控制和可见性,这是他们真正的价值所在。

翻译

Tina Guo
Tina Guo

相关推荐