HCIA-SEC笔记12------入侵防御简介

入侵检测系统

入侵检测系统（IDS，Intrusion Detection System）能在发现有违反安全策略的行为或系统存在被攻击的痕迹时，立即启动有关安全机制进行应对。

防火墙与IDS：

• 防火墙属于串路设备，需要做快速转发，无法做深度检测；
• 防火墙无法正确分析掺杂在允许应用数据流中的恶意代码
  ，无法检测来自内部人员地恶意操作或误操作；
• 防火墙属于粗粒度的访问控制，IDS属于细粒度的检测设备，通过IDS可以更精确地监控现网；
• IDS可与防火墙、交换机进行联动，成为防火墙的得力“助手”，更好、更精确的控制外域间地访问；
• IDS可灵活、及时的进行升级，策略地配置操作方便灵活。

入侵防御系统

入侵防御系统（ IPS，Intrusion Prevention System ）是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。

部署方式：

• 旁路：旁挂在交换机上，通过交换机做端口镜像。
• 直路：串接在网络边界，在线部署，在线阻断。

入侵防御系统的基本技术特点

实时阻断：能够让IPS实时阻断到发现的网络攻击行为，避免IDS发现攻击，而无法实时阻止攻击行为发生的缺陷，最大限度的提升系统的安全性；

自学习与自适应：IPS能够通过自学习与自适应将系统的漏报与误报降低到最低，减少对业务的影响；

自定义规则：IPS能够自定义入侵防御规则，最大限度的对最新的威胁作出反应；

业务感知（SA：Service Awareness）：让IPS能够检测到基于应用层的异常与攻击；

零配置上线：系统提供了默认的入侵防御安全配置文件，可以直接被引用。

病毒、蠕虫和木马

反病毒技术

反病毒技术根据防护对象分为：

• 单机反病毒
• 网络反病毒

网关防病毒主要实现方式

代理扫描方式：
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。

流扫描方式：
依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。

反病毒响应动作

检测到病毒后的响应动作。包括：

• 告警
• 阻断
• 宣告
• 删除附件

宣告、删除附件仅对SMTP协议和POP3协议生效

总结

IDS
IPS

持续更新…