IDS 基本配置

1. 什么是IDS？

IDS(入侵检测系统)：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。

入侵检测主要面对的三类用户：

• 合法用户
• 伪装用户
• 秘密用户

2. IDS和防火墙有什么不同？

1. 防火墙是针对黑客攻击的一种被动的防御，旨在保护；IDS则是主动出击寻找潜在的攻击者，发现入侵行为
2. 防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统
3. 防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补
4. 防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动

入侵检测的模型：

• 主体
• 对象
• 审计记录
• 活动档案
• 异常记录
• 活动规则

3. IDS工作原理？

入侵检测作用与原理：

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功的入侵
• 为对抗入侵提供信息与依据，防止时态扩大 

入侵检测的意义：

 入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失

4. IDS的主要检测方法有哪些详细说明？

 异常检测模型(Anomaly Detection)

• 首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型(Misuse Detection)

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测

5. IDS的部署方式有哪些？

• 共享模式和交换模式：从HUB上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。
• 隐蔽模式：在其他模式的基础上将探测器的探测口IP地址去除，使得IDS在对外界不可见的情况下正常工作
• Tap模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易
• In-Iine模式：直接将IDS串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击
• 混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用：由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作：

• 阻断：丢弃命中签名的报文，并记录日志
• 告警：对命中签名的报文放行，但记录日志。
• 采用签名的缺省动作，实际动作以签名的缺省动作为准

例外签名：

作用：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

动作：

• 阻断：丢弃命中签名的报文并记录日志
• 告警：对命中签名的报文放行，但记录日志
• 放行：对命中签名的报文放行，且不记录日志。

相关实验：

实验拓扑：

 具体过程：

1.配置路由

 2.添加安全策略

3.在安全策略中修改入侵防御配置文件

 

 基本配置完成确定提交即可