压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在頻繁的網絡入侵今天，防范的最好的辦法就是綜合使用防火墻、IDS和IPS。

　　傳統的狀態檢測防火墻作為第一道防線，能夠防止網絡層攻擊，卻無法防范蠕蟲等針對應用層的攻擊(這些攻擊都利用了80和443等開放端口)。入侵檢測系統使用傳感器，傳感器被動地安裝在網絡上，用來監測網絡通信，尋找任何惡意訪問跡象。傳感器能夠發現針對應用層的攻擊，卻不能阻止這些攻擊，當網管員接到IDS的報警信息并采取相應措施時，經常為時已晚。

　　IDS的困擾

　　IDS會帶來大量的錯誤報警。一些用戶認為，IDS經常不斷發報警信息，結果大部分是誤報，而且報警信息不合乎邏輯，處理IDS的報警信息是一個讓人頭痛的問題，通常用戶需要花費20個小時去調查分析兩個小時的報警信息。一些網管員抱怨說，“我每天都花大量時間查看IDS記錄，邊吃午飯邊查看，就連逢年過節也不例外，那些IDS記錄簡直就成了我每天必看的紅寶書。”

　　對于存在缺陷的IDS，Gartner建議用戶使用IPS(入侵預防系統)代替傳統的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設備。與進行簡單監控并發出報警的IDS所不同的是，IPS只需保持在線就可以阻止攻擊。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主機的IPS軟件，可以直接部署在應用服務器上，攔截系統調用，監控對關鍵系統文件的修改、文件允許權限的變更以及其他攻擊跡象。

　　IDS真如Gartner所說的那樣壽終正寢了嗎？IPS能隨時取代IDS嗎？大多數分析家以及IDS廠商，甚至IPS廠商并不這么認為。起碼到目前為止，大家認為IDS在安全審計和事后追蹤方面仍然無法替代。實際上，IDS和IPS 使用相同的檢測技術，兩者都會受到檢測準確性的困擾。由于擔心IPS的錯誤判斷有可能影響正常的網絡服務，大多數用戶將IPS以IDS(僅用于監控)模式接入到企業網絡中。

　　IDS攜手IPS 9

　　IDS和IPS廠商在自動化配置和智能分析方面正在做出更多嘗試。例如，TippingPoint公司的UnityOne可以在數分鐘內配置好。包括Cisco、Symantec和ISS在內的IDS廠商也能夠提供系統審計功能，以去除不相關的報警信息。

　　與IDS產品相比，IPS設備價格昂貴。IPS在保護外圍、DMZ區以及一個或兩個關鍵性的子網方面很有用處，但是在一個擁有400個子網的大型網絡里，用戶也許就沒有經濟實力為所有子網都部署IPS了。

　　事實上，IPS與IDS配合使用可以各取所長。IPS在阻止蠕蟲病毒等針對應用層攻擊的同時，還可以減少內部IDS生成的報警數量，使用戶安心地使用IDS監控子網以及完善企業安全戰略。例如，一位用戶使用Top Layer的Attack Mitigator IPS來保護網關和數據中心，通過打開每一個過濾程序以確信不會封鎖任何合法的商業流程。Attack Mitigator IPS被部署在防火墻之外以阻擋DoS攻擊，同時這位用戶在網絡內部使用IDS進行監控，并不需要花費太多時間去查看IDS記錄。無獨有偶，另一位用戶在網絡外圍使用TippingPoint UnityOne IPS設備，并在網絡內部大量使用基于行為檢測技術的StealthWatch IDS以取代原來的Snort IDS設備。在IPS的阻斷作用下，IDS報警信息的數量減少了99%，以前這位用戶需要把整天時間用來查看IDS記錄，現在卻不用這樣做了。