入侵检测系统原理、实践与选购

　　在任何环境下，非常重要的一点是知道你可能面对的所有威胁，要警惕你系统里面可能存在的潜在漏洞并加以修补，以免遭受基于这些漏洞的攻击。

　　举个例子来说，以台通过防火墙被连接到INTERNET 的主机可以说会免于大多数种攻击，但是机器里的CGI程序则会使机器暴露出脆弱的以面，要尤其注意并确定CGI程序已经被合适的配置，数据在执行前已经被确认合法有效。而一个ID程序则会被放在WEB服务器和防火墙之间以拦截任何可疑的连接。

　　随时更新

　　随着新的入侵手段的发现，上面我们所阐述的工具也在不断更新，所以及时更新工具也是非常重要的。

　　在安装了相应的软件以后，用户有必要经常访问一些和安全有关的页面和邮件列表，同时，如果你所安装的软件或者防火墙报告说其自身出现缺陷或者其他被入侵的问题，千万不要为了面子而不去向软件提供商需求帮助（老外也这么要面子吗？嘿嘿）

　　Which Tools?

　　使用什么软件呢？　

　　以上我们已经探讨了好几种有着不同功能的工具。为了尽量保证你的环境的安全性，根据功能来选择工具就变得非常重要。工具之间“尺有所短，寸有所长”的情况很突出，所以，你的安全防线的第以关应该就是防火墙，然后，在防火墙后侧安装基于网络的IDS用于监视防火墙，再以后呢（老外就是TMD烦），就应该是连接监测工具，比如PORTSEBTRY或者HOSTSENTRY之类的，最后呢，你还可以用LOGCHECK之类的工具来监测那些最终的进入者。

　　当您选择入侵检测系统时，要考虑的要点有：

　　1.系统的价格
　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

　　2.特征库升级与维护的费用
　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　3.对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少
　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　4.该产品容易被躲避吗
　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

　　5.产品的可伸缩性
　　系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

　　6.运行与维护系统的开销

　　产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

　　7.产品支持的入侵特征数
　　不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

　　8.产品有哪些响应方法
　　要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。

　　9.是否通过了国家权威机构的评测
　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

上一页  [1] [2] [3]