![[ Poco网摘 ]](javascript:d=document;t=d.selection?(d.selection.type!='None'?d.selection.createRange().text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,stat
us=no,resizable=yes'));keyit.focus();){kind=link}
出处:51CTO
网站分类
站点统计
- 文章总数:11185
- 评论总数:151
- 引用总数:8
- 浏览总数:47434
- 留言总数:379
- 当前主题:Default主题
- 当前样式:MsnSpace
网站语录
最新评论及回复
文章归档
- 2011 September (4)
- 2010 May (267)
- 2010 March (168)
- 2010 February (29)
- 2010 January (540)
- 2009 December (276)
- 2009 October (279)
- 2009 September (224)
- 2009 August (356)
- 2009 July (207)
- 2009 June (305)
- 2009 May (658)
- 2009 April (692)
- 2009 March (1050)
- 2009 February (1392)
- 2009 January (759)
- 2008 December (1124)
- 2008 November (1945)
- 2008 August (4)
- 2008 July (5)
- 2008 June (23)
- 2008 May (21)
- 2008 February (29)
- 2008 January (108)
- 2007 December (35)
- 2007 November (5)
- 2007 October (22)
- 2007 September (134)
- 2007 August (349)
- 2007 July (156)
- 2007 June (18)
- 2007 January (1)
攻击防范最佳办法综合使用防火墙、IDS和IPS
作者:naruYrY0Xa 日期:2009年2月28日
在频繁的网络入侵今天,防范的最好的办法就是综合使用防火墙、IDS和IPS。 传统的状态检测防火墙作为第一道防线,能够防止网络层攻击,却无法防范蠕虫等针对应用层的攻击(这些攻击都利用了80和443等开放端口)。入侵检测系统使用传感器,传感器被动地安装在网络上,用来监测网络通信,寻找任何恶意访问迹象。传感器能够发现针对应用层的攻击,却不能阻止这些攻击,当网管员接到IDS的报警信息并采取相应措施时,经常为时已晚。 IDS的困扰 IDS会带来大量的错误报警。一些用户认为,IDS经常不断发报警信息,结果大部分是误报,而且报警信息不合乎逻辑,处理IDS的报警信息是一个让人头痛的问题,通常用户需要花费20个小时去调查分析两个小时的报警信息。一些网管员抱怨说,“我每天都花大量时间查看IDS记录,边吃午饭边查看,就连逢年过节也不例外,那些IDS记录简直就成了我每天必看的红宝书。” 对于存在缺陷的IDS,Gartner建议用户使用IPS(入侵预防系统)代替传统的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及TopLayer等公司都能提供IPS设备。与进行简单监控并发出报警的IDS所不同的是,IPS只需保持在线就可以阻止攻击。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主机的IPS软件,可以直接部署在应用服务器上,拦截系统调用,监控对关键系统文件的修改、文件允许权限的变更以及其他攻击迹象。 IDS真如Gartner所说的那样寿终正寝了吗?IPS能随时取代IDS吗?大多数分析家以及IDS厂商,甚至IPS厂商并不这么认为。起码到目前为止,大家认为IDS在安全审计和事后追踪方面仍然无法替代。实际上,IDS和IPS使用相同的检测技术,两者都会受到检测准确性的困扰。由于担心IPS的错误判断有可能影响正常的网络服务,大多数用户将IPS以IDS(仅用于监控)模式接入到企业网络中。 IDS携手IPS9 IDS和IPS厂商在自动化配置和智能分析方面正在做出更多尝试。例如,TippingPoint公司的UnityOne可以在数分钟内配置好。包括Cisco、Symantec和ISS在内的IDS厂商也能够提供系统审计功能,以去除不相关的报警信息。 与IDS产品相比,IPS设备价格昂贵。IPS在保护外围、DMZ区以及一个或两个关键性的子网方面很有用处,但是在一个拥有400个子网的大型网络里,用户也许就没有经济实力为所有子网都部署IPS了。 事实上,IPS与IDS配合使用可以各取所长。IPS在阻止蠕虫病毒等针对应用层攻击的同时,还可以减少内部IDS生成的报警数量,使用户安心地使用IDS监控子网以及完善企业安全战略。例如,一位用户使用TopLayer的AttackMitigatorIPS来保护网关和数据中心,通过打开每一个过滤程序以确信不会封锁任何合法的商业流程。AttackMitigatorIPS被部署在防火墙之外以阻挡DoS攻击,同时这位用户在网络内部使用IDS进行监控,并不需要花费太多时间去查看IDS记录。无独有偶,另一位用户在网络外围使用TippingPointUnityOneIPS设备,并在网络内部大量使用基于行为检测技术的StealthWatchIDS以取代原来的SnortIDS设备。在IPS的阻断作用下,IDS报警信息的数量减少了99,以前这位用户需要把整天时间用来查看IDS记录,现在却不用这样做了。 小结 除IPS之外,另一种专门用来保护Web服务器和DMZ应用的技术是Web应用防火墙,这类产品主要是阻止Web应用盗用,尤其是防止被防火墙和IPS遗漏的Web应用盗用攻击。此外,基于主机的入侵防御软件还可以为Web应用以及内部关键服务器提供额外保护。CheckPoint和NetScreen在防火墙产品中增加了深层检测功能,与依靠硬件实现深层检测功能的IPS和Web应用防火墙所不同的是,CheckPoint和NetScreen应用防火墙是基于软件来实现的。 面对当前的安全挑战,大多数分析家和厂商一致认为:层层设防,让防火墙、IPS和IDS各自发挥优势,是当前保护企业网络的最佳手段。
出处:51CTO
出处:51CTO
Tags: 防火墙 入侵检测 WEB应用防火墙 ips ids 入侵检测系统 入侵防御系统
- 相关文章:
IPS主动式防护多层深层保护企业网络 (2009-2-28 12:22:47)
解读IDS和IPS差异两者或将共存 (2009-2-28 12:22:24)
入侵检测系统的性能的辨别 (2009-2-26 21:56:26)
剖析基本IDS的逃避技术及相关对策 (2009-2-26 21:55:57)
五大入侵检测系统对黑客说“不” (2009-2-26 21:55:32)
从入侵检测系统到入侵防御系统 (2009-2-26 21:54:57)
用入侵检测系统提高安全系数 (2009-2-26 21:54:56)
使用脚本类入侵检测系统(IDS)抵御WEB攻击 (2009-2-26 21:49:17)
IDS入侵检测在企业应用中的四种难题 (2009-2-26 21:48:29)
企业选购:入侵检测产品选购要点 (2009-2-26 21:48:25)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。