Сравнение брандмауэра, предотвращения вторжения, обнаружения и антивирусных технологий в организационной сетевой архитектуре
Системы обнаружения проникновения (IDS) и Системы обнаружения вторжений (IPS) являются довольно широкой темой. По сути, мой ответ здесь является совсем не всесторонним.
Типы IDS включают сеть и размещают базирующийся.
Основанный на сети IDS, такой как ФЫРКАНЬЕ, анализирует и регистрирует сетевой трафик на основе ряда правил. Эти правила соответствовали бы потенциальным уязвимостям, таким образом потенциально обеспечивая заблаговременное предупреждение предпринятого проникновения и судебных данных после факта.
Основанный на хосте IDS включает программное обеспечение, такое как ПОМОЩНИК, которые сравнивают хеши файлов в файловой системе на повторяющейся основе. Это позволило бы кому-то наблюдать изменения в системе и определять несанкционированные изменения.
Центральный вход мог возможно быть частью Ваших основанных на хосте решений IDS. Центральный вход включает управление и аудит Ваших журналов в центральном месте. Кроме того, хранение входит в систему, центральное место минимизирует воздействие и позволяет дополнительный журнал аудита, в случае, если система поставлена под угрозу, и журналам больше не доверяют.
Пакетная фильтрация (брандмауэринг) является механизмом защиты для управления трафиком к и из Вашей сети. Брандмауэрами не является IDS.
Хорошо выполненная инфраструктура ИТ включает многие из этих технологий, и многие профессионалы не считали бы их дополнительными.
-
1Примерно закрепляет его, хотя there' s много размытости и перекрытия в технологии безопасности, таким образом, я могу понять беспорядок: много функций функции IDS брандмауэров, антивирусное программное обеспечение часто включает брандмауэр и так далее. – gravyface 28 March 2010 в 00:31
-
2спасибо за ответ, что относительно антивирусного программного обеспечения? где это развертывается? мы можем сказать, что антивирусное программное обеспечение является основанным на подписи обнаружением проникновения? – Berkay 28 March 2010 в 08:05
-
3Это входит в семантику - антивирус обычно обращается к программному обеспечению, установленному на хостах для предотвращения заражения вредоносным программным обеспечением, а не проникновения по сути, как " intrusion" мог также произойти от любого количества векторов это wouldn' t быть предотвращенным или обнаруженным антивирусным программным обеспечением. Однако, поскольку gravyface указывает, there' s много перекрытия и многих антивирусных программ являются частью безопасности " suites" это включает программное обеспечение брандмауэра и/или HIDS. – nedm 28 March 2010 в 10:02
-
4Я wouldn' t рассматривают антивирусное программное обеспечение в той же категории как IDS, но кто-то мог потенциально спорить семантически там. – Warner 28 March 2010 в 20:50
При выполнении веб-приложения удостоверьтесь, что у Вас есть веб-приложение Брандмауэр. Например, mod_security является превосходным брандмауэром веб-приложения, который свободен и с открытым исходным кодом.
Наборы правила по умолчанию для Mod_secuirty могут предотвратить против внедрения SQL, xss и многих других нападений. Mod_Security не так хорош как Cisco ACE, который является очень дорогим коммерческим продуктом. Лучшей функцией Cisco ACE является anti-DDoS.
Несколько вещей, которые я хочу добавить (IMO, превосходный ответ Сигнализатора уже отвечает на большинство вопросов):
Брандмауэры разделяют Вашу сеть на области с разными уровнями доверия:
- Внешняя/внутренняя компания
- Внешний/внутренний хост
- Определенные IP-адреса в белом списке/черном списке/нейтральном
- ...
IDS, с другой стороны, часто используются для различения допустимого трафика от нападений, хотя они все происходят из той же зоны. Наивное предположение, которое часто делается компаниями, то, что всему трафику, который происходит из LAN компании, можно доверять. Но это приводит к проблеме, это даже маленькое нарушение защиты, которое, кажется, безопасно его поверхность (например, это позволяет взломщику отправлять определенные "безопасные" запросы от веб-сервера компании до LAN) может легко стать намного большей проблемой. Так IDS скорее принимают, что взломщик уже где-нибудь в сети, и ищите отклонения.
Еще одна вещь о IDS: Слушание на одной точке Вашей сети достаточно часто! Из-за природы переключателей, не каждое нападение распространяется через всю сеть. Таким образом, оптимальный IDS контролировал бы (теоретически)
- все хосты
- весь сетевой трафик между любыми двумя точками.
Также полезно контролировать состояние переключателей (для защиты от нападений как кража порта).