Berkay Asked: 2010-03-28 13:32:37 +0800 CST2010-03-28 13:32:37 +0800 CST 2010-03-28 13:32:37 +0800 CST 组织网络架构中防火墙、入侵防御、检测和杀毒技术的比较 772 这些天来,我正在阅读有关入侵预防/检测系统的信息。阅读时,我在某些方面确实感到困惑。 首先,防火墙和防病毒技术多年来都是众所周知的术语,但现在 IDS 变得流行起来。 我的问题包括: 在组织网络架构中,我们何时/何地使用这些系统? 使用每个有什么好处? 防火墙是否包含所有这些其他内容? 如果你给我一些例子,它会很有帮助。 谢谢。 firewall anti-virus networking security intrusion-detection 3 个回答 Voted Best Answer Warner 2010-03-28T14:21:47+08:002010-03-28T14:21:47+08:00 入侵检测系统(IDS) 和入侵保护系统 (IPS) 是一个相当广泛的主题。因此,我在这里的回答远非全面。 IDS 的类型包括基于网络的和基于主机的。 基于网络的 IDS,例如SNORT,基于一组规则分析和记录网络流量。这些规则将匹配潜在的漏洞,因此可能会在事后对企图入侵和取证数据提供预先警告。 基于主机的 IDS 包括诸如AIDE之类的软件,它定期比较文件系统上文件的哈希值。这将允许某人监视系统上的更改并识别未经授权的更改。 中央日志记录可以说是基于主机的 IDS 解决方案的一部分。中央日志记录可以在一个中央位置控制和审核您的日志。此外,将日志保存在中心位置可以最大限度地减少暴露并允许额外的审计跟踪,以防系统受到破坏并且日志不再受信任。 数据包过滤(防火墙)是一种用于控制进出网络的流量的安全机制。防火墙不是 IDS。 运行良好的 IT 基础架构包括许多这些技术,许多专业人士不会认为它们是可选的。 Chris Lercher 2010-03-28T16:04:46+08:002010-03-28T16:04:46+08:00 我想补充几点(IMO,华纳的出色回答已经涵盖了大部分要点): 防火墙将您的网络划分为具有不同信任级别的区域: 公司外部/内部 主机外部/内部 白名单/黑名单/中性中的某些 IP 地址 ... 另一方面,IDS 通常用于区分有效流量和攻击,尽管它们都来自同一个区域。公司经常做出的一个天真的假设是,源自公司 LAN 的所有流量都是可信的。但这会导致问题,即使是表面上看似无害的小安全漏洞(例如,它允许攻击者从公司的 Web 服务器向 LAN 发送某些“无害”请求)也很容易成为一个更大的问题. 所以 IDS 宁愿假设攻击者已经在网络中的某个地方,并寻找异常情况。 关于 IDS 的另一件事:在网络的某一点上收听通常是不够的!由于交换机的性质,并非所有攻击都会传播到整个网络。因此,最佳 IDS 将监控(理论上) 所有主机 任何两点之间的所有网络流量。 监视交换机的状态(以防御端口窃取等攻击)也很有用。 Rook 2010-03-29T11:30:01+08:002010-03-29T11:30:01+08:00 如果您正在运行 Web 应用程序,请确保您有 Web 应用程序防火墙。例如mod_security是一款出色的免费和开源的 Web 应用程序防火墙。 Mod_secuirty 的默认规则集可以防止 sql 注入、xss 和许多其他攻击。Mod_Security 不如Cisco ACE好,后者是一种非常昂贵的商业产品。Cisco ACE 的最佳功能是抗 DDoS。
入侵检测系统(IDS) 和入侵保护系统 (IPS) 是一个相当广泛的主题。因此,我在这里的回答远非全面。
IDS 的类型包括基于网络的和基于主机的。
基于网络的 IDS,例如SNORT,基于一组规则分析和记录网络流量。这些规则将匹配潜在的漏洞,因此可能会在事后对企图入侵和取证数据提供预先警告。
基于主机的 IDS 包括诸如AIDE之类的软件,它定期比较文件系统上文件的哈希值。这将允许某人监视系统上的更改并识别未经授权的更改。
中央日志记录可以说是基于主机的 IDS 解决方案的一部分。中央日志记录可以在一个中央位置控制和审核您的日志。此外,将日志保存在中心位置可以最大限度地减少暴露并允许额外的审计跟踪,以防系统受到破坏并且日志不再受信任。
数据包过滤(防火墙)是一种用于控制进出网络的流量的安全机制。防火墙不是 IDS。
运行良好的 IT 基础架构包括许多这些技术,许多专业人士不会认为它们是可选的。
我想补充几点(IMO,华纳的出色回答已经涵盖了大部分要点):
防火墙将您的网络划分为具有不同信任级别的区域:
另一方面,IDS 通常用于区分有效流量和攻击,尽管它们都来自同一个区域。公司经常做出的一个天真的假设是,源自公司 LAN 的所有流量都是可信的。但这会导致问题,即使是表面上看似无害的小安全漏洞(例如,它允许攻击者从公司的 Web 服务器向 LAN 发送某些“无害”请求)也很容易成为一个更大的问题. 所以 IDS 宁愿假设攻击者已经在网络中的某个地方,并寻找异常情况。
关于 IDS 的另一件事:在网络的某一点上收听通常是不够的!由于交换机的性质,并非所有攻击都会传播到整个网络。因此,最佳 IDS 将监控(理论上)
监视交换机的状态(以防御端口窃取等攻击)也很有用。
如果您正在运行 Web 应用程序,请确保您有 Web 应用程序防火墙。例如mod_security是一款出色的免费和开源的 Web 应用程序防火墙。
Mod_secuirty 的默认规则集可以防止 sql 注入、xss 和许多其他攻击。Mod_Security 不如Cisco ACE好,后者是一种非常昂贵的商业产品。Cisco ACE 的最佳功能是抗 DDoS。