1.3.4 IDS部署規(guī)劃

IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。IDS通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

1. 網(wǎng)絡(luò)中可以部署IDS的位置

IDS的主要功能就是對(duì)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行監(jiān)測(cè)，與防火墻略有不同。假如防火墻是一幢大樓的門(mén)鎖，那么IDS就是遍布這幢大樓的監(jiān)視系統(tǒng)。因此在部署IDS時(shí)應(yīng)盡量掛接在所有數(shù)據(jù)流量都經(jīng)過(guò)的主干路上，或者直接靠近被監(jiān)視的主要設(shè)備。如圖1-8所示的是IDS通常的位置。

在實(shí)際的使用中，大多數(shù)入侵檢測(cè)的接入方式，都是采用by-pass（旁路）方式來(lái)偵聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)流，所以，這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來(lái)阻斷當(dāng)前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎(chǔ)之上的一些行為，如Telnet、FTP、HTTP等，而對(duì)于一些建立在UDP基礎(chǔ)之上就無(wú)能為力了。因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的，無(wú)法動(dòng)態(tài)設(shè)置策略，缺少針對(duì)攻擊的必要的靈活性，不能更好的保護(hù)網(wǎng)絡(luò)的安全，所以IDS與防火墻聯(lián)動(dòng)的目的就是更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。

2. IDS與防火墻聯(lián)動(dòng)規(guī)劃

防火墻是實(shí)施訪問(wèn)控制策略的系統(tǒng)，對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測(cè)系統(tǒng)（IDS）通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。防火墻和IDS之間是互補(bǔ)的關(guān)系，兩者協(xié)同工作，如圖1-9所示。

客戶一般會(huì)在出口部署防火墻來(lái)進(jìn)行訪問(wèn)控制，部署入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)攻擊。但是，防火墻不能有效檢測(cè)并阻斷夾雜在正常流量中的攻擊代碼，比如針對(duì)Web服務(wù)的Unicode攻擊，而蠕蟲(chóng)爆發(fā)往往首先讓防火墻癱瘓，對(duì)于P2P下載防火墻同樣無(wú)能為力。入侵檢測(cè)系統(tǒng)雖然能夠監(jiān)測(cè)到攻擊，但是，它提供的與防火墻聯(lián)動(dòng)、TCP復(fù)位都存在很大的問(wèn)題，在現(xiàn)實(shí)應(yīng)用中很難起到相應(yīng)的作用。結(jié)果是雖然看到了攻擊，但是，仍然讓攻擊得手了。由此可見(jiàn)，借助防火墻和IDS的安全措施并不能完全解決現(xiàn)實(shí)問(wèn)題。

IDS與防火墻聯(lián)動(dòng)的部署方案存在如下不足：

● 使用、設(shè)置上復(fù)雜，影響防火墻的穩(wěn)定性與性能。

● 阻斷來(lái)自源地址的流量，不能阻斷連接或單個(gè)數(shù)據(jù)包。

● 黑客盜用合法地址發(fā)起攻擊，造成防火墻拒絕來(lái)自該地址的合法訪問(wèn)。

● 可靠性差，實(shí)際環(huán)境中沒(méi)有實(shí)用價(jià)值。

因?yàn)橹T多不足，在目前而言，IDS主要起的還是監(jiān)聽(tīng)記錄的作用。用個(gè)比喻來(lái)形容：網(wǎng)絡(luò)就好比一片黑暗，到處充滿著危險(xiǎn)，冥冥中只有一個(gè)出口。IDS就像一支手電筒，雖然手電筒不一定能照到正確的出口，但至少有總比沒(méi)有要好一些。稱(chēng)職的網(wǎng)管，可以從IDS中得到一些關(guān)于網(wǎng)絡(luò)使用者的來(lái)源和訪問(wèn)方式，進(jìn)而依據(jù)自己的經(jīng)驗(yàn)進(jìn)行主觀判斷對(duì)IDS的選擇，跟上面談到的防火墻的選擇類(lèi)似，根據(jù)自己的實(shí)際要求和使用習(xí)慣，選擇一個(gè)自己夠用的，會(huì)使用的就足夠了。