组织networking体系结构中防火墙,入侵防御,检测和防病毒技术的比较

在这些日子里,我正在阅读有关入侵防御/检测系统。当阅读我真的在一些点混淆。

首先,防火墙和防病毒技术是已知的术语多年,但是现在IDS变得stream行。

我的问题包括:

  • 在组织networking体系结构中何时/何地使用这些系统?
  • 使用每个的好处是什么?
  • 防火墙包含所有这些其他?

如果你给我一些例子,这将有很大的帮助。

谢谢。

入侵检测系统 (IDS)和入侵防护系统(IPS)是一个相当广泛的话题。 因此,我的回答远非全面。

IDS的types包括networking和主机。

基于networking的IDS(如SNORT)根据一组规则分析和loggingnetworkingstream量。 这些规则将匹配潜在的漏洞,因此可能事后提供企图入侵和法庭数据的预警。

基于主机的IDS包括诸如AIDE之类的软件,其在文件系统上循环地比较文件的哈希值。 这将允许某人监视系统上的更改并识别未经授权的更改。

中央日志logging可以说是您的基于主机的IDS解决scheme的一部分。 中央日志loggingfunction可以在中心位置控制和审核日志。 此外,将日志保存在中心位置可以最大限度地减less暴露,并允许额外的审计跟踪,以防系统受到威胁,日志不再受信任。

数据包过滤(防火墙)是控制stream量进出networking的安全机制。 防火墙不是IDS。

一个运行良好的IT基础设施包括许多这些技术,许多专业人士不会认为它们是可选的。

我想添加一些东西(国际海事组织,华纳的优秀答案已经涵盖了大部分要点):

防火墙将您的networking分为不同信任级别的区域:

  • 公司外部/内部
  • 主机外部/内部
  • 白名单/黑名单/中立的某些IP地址

另一方面,IDS通常用于区分有效stream量和攻击,虽然它们都来自同一个区域。 公司常常做的一个天真的假设是所有来自公司局域网的stream量都是可信的。 但是这导致了这样一个问题:即使是一个看似无害的小安全漏洞(例如,它允许攻击者从公司的networking服务器向局域网发送某些“无害”的请求)也很容易成为一个更大的问题。 所以IDS假设,攻击者已经在networking内部的某个地方,寻找exception。

还有一件事关于IDS:听你的networking一点通常是不够的! 由于交换机的性质,并不是每个攻击都通过整个networking传播。 所以一个最佳的IDS会监测(理论上)

  1. 所有主机
  2. 任何两点之间的所有networkingstream量。

监视交换机的状态(防止端口窃取等攻击)也很有用。

如果您正在运行Web应用程序,请确保您有Web应用程序防火墙。 例如mod_security是一个优秀的Web应用程序防火墙,是免费的,开源的。

Mod_secuirty的默认规则可以防止SQL注入,xss和其他许多攻击。 Mod_Security不如思科ACE ,这是一个非常昂贵的商业产品。 思科ACE的最佳特性是反DDoS。