Системы обнаружения проникновения (IDS) и Системы обнаружения вторжений (IPS) являются довольно широкой темой. По сути, мой ответ здесь является совсем не всесторонним.
Типы IDS включают сеть и размещают базирующийся.
Основанный на сети IDS, такой как ФЫРКАНЬЕ, анализирует и регистрирует сетевой трафик на основе ряда правил. Эти правила соответствовали бы потенциальным уязвимостям, таким образом потенциально обеспечивая заблаговременное предупреждение предпринятого проникновения и судебных данных после факта.
Основанный на хосте IDS включает программное обеспечение, такое как ПОМОЩНИК, которые сравнивают хеши файлов в файловой системе на повторяющейся основе. Это позволило бы кому-то наблюдать изменения в системе и определять несанкционированные изменения.
Центральный вход мог возможно быть частью Ваших основанных на хосте решений IDS. Центральный вход включает управление и аудит Ваших журналов в центральном месте. Кроме того, хранение входит в систему, центральное место минимизирует воздействие и позволяет дополнительный журнал аудита, в случае, если система поставлена под угрозу, и журналам больше не доверяют.
Пакетная фильтрация (брандмауэринг) является механизмом защиты для управления трафиком к и из Вашей сети. Брандмауэрами не является IDS.
Хорошо выполненная инфраструктура ИТ включает многие из этих технологий, и многие профессионалы не считали бы их дополнительными.
При выполнении веб-приложения удостоверьтесь, что у Вас есть веб-приложение Брандмауэр. Например, mod_security является превосходным брандмауэром веб-приложения, который свободен и с открытым исходным кодом.
Наборы правила по умолчанию для Mod_secuirty могут предотвратить против внедрения SQL, xss и многих других нападений. Mod_Security не так хорош как Cisco ACE, который является очень дорогим коммерческим продуктом. Лучшей функцией Cisco ACE является anti-DDoS.
Несколько вещей, которые я хочу добавить (IMO, превосходный ответ Сигнализатора уже отвечает на большинство вопросов):
Брандмауэры разделяют Вашу сеть на области с разными уровнями доверия:
IDS, с другой стороны, часто используются для различения допустимого трафика от нападений, хотя они все происходят из той же зоны. Наивное предположение, которое часто делается компаниями, то, что всему трафику, который происходит из LAN компании, можно доверять. Но это приводит к проблеме, это даже маленькое нарушение защиты, которое, кажется, безопасно его поверхность (например, это позволяет взломщику отправлять определенные "безопасные" запросы от веб-сервера компании до LAN) может легко стать намного большей проблемой. Так IDS скорее принимают, что взломщик уже где-нибудь в сети, и ищите отклонения.
Еще одна вещь о IDS: Слушание на одной точке Вашей сети достаточно часто! Из-за природы переключателей, не каждое нападение распространяется через всю сеть. Таким образом, оптимальный IDS контролировал бы (теоретически)
Также полезно контролировать состояние переключателей (для защиты от нападений как кража порта).