IDS

我们都知道，企业的网络目前威胁主要来自两个位置：一个是内部，一个是外部。来自外部的威胁都能被防火墙所阻止，但内部的攻击都不好防范。因为公司内部人 员对系统了解很深且有合法访问权限，所以内部攻击更容易成功。
　　IDS为信息提供保护，已经成为深度防御策略中的重要部分。IDS与现实世界里的防窃报警装置类似，它们都对入侵进行监控，当发现可疑行为时，就向特 定的当事人发出警报。IDS分为两类：主机IDS(HIDS)和网络IDS(NIDS)。HIDS安装在受监控主机上，拥有对敏感文件的访问特权。 HIDS利用这一访问特权对异常行为进行监控。NIDS存在于网络中，通过捕获发往其他主机的流量来保护大量网络设施。
　　HIDS和NIDS都有各自的优点和缺点，完整的安全解决方案应包括这两种IDS，对于这一点比较难做到。不了解这一领域的人常常认为IDS就像一把 万能钥匙，能解决所有安全问题。例如有的单位花了大笔的钱购置了商业IDS由于配置不当反而搞得连连误报，一下子就把数据库塞满了大量丢包进而崩溃。这种 态度使人们以为只要将IDS随便安放在网络中就万事大吉了，不必担心任何问题，实际上远非如此。没有人会认为Email服务器直接连在Internet上 就能正确运作。同样，你也需要正确的计划IDS策略，传感器的放置。下文以开源软件Snort的安装与维护为例，介绍正确地安装和维护IDS的思路和方 法。