网络入侵检测系统（IDS）漫谈（2）

　　 
　　网络入侵检测系统（IDS）漫谈
     四、IDS如何部署

防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机。在实际的部署中，IDS是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道闸门，是防火墙的必要补充，可构成完整的网络安全解决方案。

严格地说，IDS并不是一个防范工具，它并不能阻断攻击。只有防火墙才能限制非授权的访问，在一定程度上防止入侵行为。而IDS提供快速响应机制，报告入侵行为，意味着一种牵制政策。IDS可以与防火墙在功能上实现联动，进行很好地配合，将大大提高网络系统的安全性。当IDS检测到入侵行为发生，立即发出一个指令给防火墙，防火墙马上关闭通讯连接，从而阻断入侵。

目前，大部分的IDS产品基本上由入侵检测引擎和管理控制台组成，在具体应用时可以根据网络结构和需求做不同的部署。一般都部署在需要重点保护的部位，如企业内部重要服务器所在的子网，对该子网中的所有连接进行监控。根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口（SpanPort）上、或专为监听所增设的分接器（Tap）上。

五、IDS发展新趋势

IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现出新的发展态势。IPS（入侵防御系统）的出现，应该说是IDS技术的一种新发展趋势，IPS技术在IDS监测的功能上又增加了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中。

除了IPS，也有厂商提出了IMS（入侵管理系统）。IDS将来的方向是向一个管理系统发展，而不是一个单纯的监测系统。IDS必须和脆弱性分析有机结合，才能让IDS的功能更加强大。因此，IMS是IDS未来的一个发展方向。

IMS技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。

可以看出，IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。

入侵检测是一门综合性技术，既包括实时检测技术，也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全，但不同的用户需求也不同，也由于攻击的天然不确定性，单一的IDS产品可能无法做到面面俱到。因此，IDS的未来发展必然是多元化的。只有通过不断改进和完善技术才能更好地协助网络进行安全防御。

就目前来看，IDS仍旧是主流的入侵检测技术，其重要性毋庸置疑。无论是IDS，还是IPS或IMS，其主要作用都是实时监控网络中的异常流量，帮助用户解决防火墙、防病毒等产品所不能解决的问题，IDS仍然是用户除防火墙、防病毒外的首选产品。面对攻击行为的不确定性，要保证网络的安全，用户需要实时监控，全网监测的时代已经来临。（完）

原文转自：http://www.ltesting.net