那什么是IDS呢?早期的IDS仅仅是一个监听系统,在这里,你可以把监听理解成窃听的意思。基于目前局网的工作方式,IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。再后来,由于IDS的记录太多了,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录,这一点上跟目前windows所用的策略审核上很象;目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加;而更新一代的IDS,就颇有“路见不平,拔刀相助”的味道了,配合上防火墙进行联动,将IDS分析出有敌意的地址阻止其访问。 IPS(Intrusion Prevention System , 入侵防御系统)对于初始者来说,IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 它们两的大区别还有就是IDS是旁路系统,与普通机子一样,放在一边进行监听数据包,不会影响网络,当危险发生时,只会发出警告,而不会对网络采取手段。而IPS是穿透设备,是让所有流量经过IPS再到网络中,可能检查每个数据包,当发生危险时,可以采用各种手段中断危险操作。 如果你的网络流量不是很大,那么IPS绝对是首选,但如果你是是大型网络的核心,有各种类型的流量,建议使用IDS进行安全,如果IPS没选好的话,及有可能整个网络的速度被IPS的最大吞吐量限制。 |
|