安全防御（三）--- IDS、防火墙入侵防御

目录

一、什么是IDS？

二、IDS和防火墙有什么不同？

三、IDS工作原理？

四、IDS的主要检测方法有哪些详细说明？

五、IDS的部署方式有哪些？

六、IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

七、入侵防御实验

1、防火墙接口配置

2、安全策略

3、入侵防御配置文件

---

一、什么是IDS？

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术

二、IDS和防火墙有什么不同？

入侵检测IDS是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵

弥补防火墙对应用层检查的缺失

 

 

三、IDS工作原理？

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功的入侵
• 为对抗入侵提供信息与依据，防止时态扩大

四、IDS的主要检测方法有哪些详细说明？

• 异常检测：当某个事件与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警
• 异常检测模型 （ Anomaly Detection ）
  首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。
• 特征检测： IDS 核心是特征库（签名）
  签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为
• 误用检测模型 （ Misuse Detection ）

  收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection ）

 

五、IDS的部署方式有哪些？

• 旁挂---需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口
• 也可以使用集线器、分光器实现流量复制

 

六、IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名

签名过滤器作用：由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作：

• 阻断：丢弃命中签名的报文，并记录日志
• 告警：对命中签名的报文放行，但记录日志。
• 采用签名的缺省动作，实际动作以签名的缺省动作为准

例外签名：

作用：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

动作：

• 阻断：丢弃命中签名的报文并记录日志
• 告警：对命中签名的报文放行，但记录日志
• 放行：对命中签名的报文放行，且不记录日志

七、入侵防御实验

1、防火墙接口配置

2、安全策略

3、入侵防御配置文件