常見問題
入侵檢測系統(tǒng)的組成及部署
日期:2013-09-16
一般來說入侵檢測系統(tǒng)由3部分組成,分別是事件產(chǎn)生器,事件分析器和響應(yīng)單元,通常,這3部分分別運(yùn)行在3臺獨(dú)立的主機(jī)上,對于IDS而方,事件產(chǎn)生器所在的位置是十分重要的,因?yàn)樗鼪Q定了事件的可見度.
對于主機(jī)型IDS,其事件產(chǎn)生器位于其所監(jiān)測的主機(jī)上.
對于網(wǎng)絡(luò)型IDS,其事件產(chǎn)生器的位置有多種可能,如果網(wǎng)段用總線式的集線哭喊 相連,則可將其簡單地接在集線器的一個(gè)端口上,對于交換式以太網(wǎng)交換機(jī),問題則會變得復(fù)雜.由于交換機(jī)不采用共享媒質(zhì)的辦法,傳統(tǒng)的采用一個(gè)sniffer來監(jiān)聽整個(gè)子網(wǎng)的辦法則不再可行,解決的辦法有:
1.交換機(jī)的核心芯片上一般有一個(gè)用于高度的端口,任何其他商品的進(jìn)出信息都可從此得到,如果交換廠商把此端口開放出來,用戶可將IDS系統(tǒng)接到此端口上,這種方法的優(yōu)點(diǎn)是無須改變IDS體系結(jié)構(gòu),缺點(diǎn)是采用此端口會降低交換機(jī)性能.
2.把入侵檢測系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵出入口,這種方法的優(yōu)點(diǎn)是可以得到幾乎所有的關(guān)鍵數(shù)據(jù),缺點(diǎn)是必須與其他廠商緊密合作,并且會降低網(wǎng)絡(luò)性能.
3.采用分接器,將其接在所有要監(jiān)測的線路上,這種方法的優(yōu)點(diǎn)是在不降低網(wǎng)絡(luò)性能的前提下收集了所需要的信息,缺點(diǎn)是必須購買額外的設(shè)備.
對于主機(jī)型IDS,其事件產(chǎn)生器位于其所監(jiān)測的主機(jī)上.
對于網(wǎng)絡(luò)型IDS,其事件產(chǎn)生器的位置有多種可能,如果網(wǎng)段用總線式的集線哭喊 相連,則可將其簡單地接在集線器的一個(gè)端口上,對于交換式以太網(wǎng)交換機(jī),問題則會變得復(fù)雜.由于交換機(jī)不采用共享媒質(zhì)的辦法,傳統(tǒng)的采用一個(gè)sniffer來監(jiān)聽整個(gè)子網(wǎng)的辦法則不再可行,解決的辦法有:
1.交換機(jī)的核心芯片上一般有一個(gè)用于高度的端口,任何其他商品的進(jìn)出信息都可從此得到,如果交換廠商把此端口開放出來,用戶可將IDS系統(tǒng)接到此端口上,這種方法的優(yōu)點(diǎn)是無須改變IDS體系結(jié)構(gòu),缺點(diǎn)是采用此端口會降低交換機(jī)性能.
2.把入侵檢測系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵出入口,這種方法的優(yōu)點(diǎn)是可以得到幾乎所有的關(guān)鍵數(shù)據(jù),缺點(diǎn)是必須與其他廠商緊密合作,并且會降低網(wǎng)絡(luò)性能.
3.采用分接器,將其接在所有要監(jiān)測的線路上,這種方法的優(yōu)點(diǎn)是在不降低網(wǎng)絡(luò)性能的前提下收集了所需要的信息,缺點(diǎn)是必須購買額外的設(shè)備.
瀏覽:次
