IDS，IPS

IDS 入侵检测系统

IDS是什么？请从名词解释、功能作用、合规性、部署位置、系统架构（由哪些组件组成，各有什么用途）、有哪些授权

IDS:入侵检测系统,是一款威胁检测,分析与管理的安全设备。能够很好的检测木马,病毒,蠕虫，DDOS，SQL注入，XSS以及网络资源的滥用行为，比如P2P上传下载，网络游戏，音视频等；符合等保安全区域边界入侵防范要求；有硬件软件两种形态，通常旁路部署在核心交换机上,接收全局的镜像流量。一般由引擎和控制中心组成。引擎负责网络流量分析，事件检测和上报。控制中心提供web界面管理,储存记录危险信息,做出告警。通常的授权有硬件维保授权,入侵检测特征库升级授权。

IDS工作原理

IDS是一个典型的窥探类设备，部署在互联网关口，威胁传播关键路径。无需转发任何流量，只需要在网络上被动的收集流量即可。对于收集来的报文，IDS提取相应的流量统计特征值，并利用内置的入侵检测特征库，与这些流量特征进行智能分析比较匹配，根据预设的阈值，匹配耦合度较高的报文流量认为是攻击，IDS根据预设的策略配置等，做出相应动作或其他处理。一句话介绍IDS，是对黑客入侵行为深度检测的安全产品。

 

IDS部署流程

控制中心部署

1. 准备硬件，服务器，数据库
2. 防火墙开放必要端口
3. 安装.net 3.5.1
4. 安装SQL Server 数据库  
5. 安装IDS控制中心
6. 使用IDS导库工具，生成IDS控制中心  
7. 虚拟机防火墙开放对应端口，提供远程访问                                                                                               

引擎部署

1. 更改IP/子网掩码
2. 重置引擎认证密钥
3. 配置路由
4. 允许ping引擎管理端口
5. 管理口接线，登陆IDS web管理界面
6. 导入IDS授权文件，下发授权

---

 

IPS 入侵防御系统

IPS是什么？请从名词解释、功能作用、合规性、部署位置、系统架构（由哪些组件组成，各有什么用途）、有哪些授权

IPS：入侵防御系统；是通过对网络中深层攻击行为进行准确的分析判断。在判断为攻击行为后予以阻断，主动而有效的保护网络的安全设备。能够深度感知并检测流经的数据流量，对恶意的报文进行丢弃阻断，对滥用的报文进行限流保护网络带宽。有4种部署方式，透明模式，路由模式，旁路模式以及混合模式，其中透明和路由模式会影响网络与数据包传输。通常串行部署在互联网出入口，网络边界出入口，重要服务器出入口，以及DMZ区域出入口。通常的授权有硬件维保授权，IPS特征库升级授权，AV特征库升级授权，上网行为管理特征库升级授权。

 

IPS工作原理

对于部署在数据转发路径上的IPS，根据预先设定的安全策略，对于流经的每一个报文进行深度检测，比如协议分析跟踪，特征匹配，流量统计分析，事件关联分析等。如果一旦发现隐藏其中的网络攻击，可以根据攻击的级别立即采取抵御措施，措施包括：向管理中心告警，丢弃该报文，切断此次应用会话，切断TCP连接。

 

IPS部署方式

入侵防御基本配置

1. 配置syslog，并填写syslog服务器地址
2. 配置事件库自动升级
3. 配置邮件告警并启用，配置收件人邮箱
4. 配置监控系统，勾选本地日志，syslog日志，Email报警  

 

网络部署流程

1. 修改管理口默认IP及访问限制
2. 配置管理口路由
3. 配置网关
4. 配置透明桥
5. 手动设置系统时间，同步NTP时钟服务器

入侵防御（安全策略）部署流程

1. 新建策略集，以具体实施的时间给予命名后缀
2. 启用安全防护列表，勾选开启相应日志
3. 新建安全策略并启用

 

IDS与IPS区别

1. IDS旁路部署；IPS串行部署
2. IDS看到全网流量；IPS只能看到所保护线路的流量
3. IDS不能阻断，只能检测；IPS可以阻断安全事件
4. IDS不影响网络；IPS会影响网络与数据包的传输
5. IPS会产生误拦截情况，IDS不会

 

IPS功能模块

1. 攻击检测：网络层攻击，应用层攻击，木马蠕虫攻击
2. 病毒检测：网页病毒，邮件病毒，传输的文件病毒
3. 防火墙：标准防火墙
4. 流量控制/过滤：上网管理，流量控制，内容过滤
5. 其他：防DOS，防扫描