IDS 基本配置

1. 什么是IDS?

IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。

入侵检测主要面对的三类用户:

  • 合法用户
  • 伪装用户
  • 秘密用户

2. IDS和防火墙有什么不同?

  1. 防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为
  2. 防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统
  3. 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补
  4. 防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动

入侵检测的模型:

  • 主体
  • 对象
  • 审计记录
  • 活动档案
  • 异常记录
  • 活动规则

3. IDS工作原理?

入侵检测作用与原理:

IDS 基本配置_第1张图片

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的入侵
  • 为对抗入侵提供信息与依据,防止时态扩大 

入侵检测的意义:

IDS 基本配置_第2张图片

 入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失

4. IDS的主要检测方法有哪些详细说明?

IDS 基本配置_第3张图片

 异常检测模型(Anomaly Detection)

  • 首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型(Misuse Detection)

收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测

5. IDS的部署方式有哪些?

  • 共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
  • 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作
  • Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易
  • In-Iine模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击
  • 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

签名过滤器的动作:

  • 阻断:丢弃命中签名的报文,并记录日志
  • 告警:对命中签名的报文放行,但记录日志。
  • 采用签名的缺省动作,实际动作以签名的缺省动作为准

例外签名:

作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

动作:

  • 阻断:丢弃命中签名的报文并记录日志
  • 告警:对命中签名的报文放行,但记录日志
  • 放行:对命中签名的报文放行,且不记录日志。

相关实验:

实验拓扑:

IDS 基本配置_第4张图片

 具体过程:

1.配置路由

IDS 基本配置_第5张图片

 2.添加安全策略

IDS 基本配置_第6张图片

3.在安全策略中修改入侵防御配置文件

 IDS 基本配置_第7张图片

 基本配置完成确定提交即可

你可能感兴趣的:(网络,安全)