入侵检测与入侵防御详解

对于很多人来说,入侵检测不同于入侵检测。很多厂家做入侵检测也入侵防御,甚至他们的缩写ids和ips都一样。所以有两个产品之间有什么差异吗区别在哪里入侵防御和UTM之间的选择是什么在未来,它们将如何发展,本文将对这些问题进行一一对应的分析。


用户选择的混乱


从外观上看,入侵检测无疑是其前身:甚至最早的入侵防护产品也在入侵检测产品的基础上进行了改造。


顾名思义,入侵检测产品是检查入侵行为的产品,为什么要检测入侵呢众所周知,入侵检测技术起源于审计,因为它需要知道网络中发生了什么。毕竟,网络世界并不像现实世界那样形象化。


而入侵检测作为一种通用的入侵防护产品,其应用也不尽相同。重点保护和看起来更像我们熟悉的防火墙产品。当然,也有传统的防火墙和入侵防御是不一样的地方:防火墙规则允许有数据包的某些特性,通过80端口,如TCP包的Web服务是规则允许的;和入侵防御则正好相反,不允许有数据包的一些特点。一个数据包携带被鉴定为溢出攻击,将被拒收。当然,还有另一种说法是,防火墙是有关网络数据会话层以下,而入侵的防治重点在于会话层-应用层的数据,有一定技术基础的朋友能够看到上述问题的存在,并很快然而,这不是一个问题,我只能让那些符合一定的规则(规则),并没有一定的特征(入侵)的数据通过Ldquo;作为防火墙,它不太注意上面的会话级的数据,这是更简单。不管过去它是什么原因,它都不在乎它是什么原因。现在还分析了。只要性能能跟上,技术就没有困难了。


是的,这是区别在硬件技术和检测技术的发展是不是一个问题,前面提到的,它会使UTM概念的广泛认可:我们曾经和所有爱的防火墙,我们需要使用威胁保护层入侵防御,所以我们把这两个功能在一个硬件。一些安全厂商和用户无法区分入侵防御产品和入侵防御的UTM产品,所以他们陷入一个误区:我应该选择入侵防御或UTM如果入侵防御可以实现UTM,是今后还有没有单独的入侵防御产品


入侵防御或UTM


这是不是一个真正的问题,当UTM刚刚出现时,一些人选择了它。原因很简单:性能。一些性能UTM的设备更开放的入侵防御能力后,使UTM没有开放的想象。但穆尔定律的力量是强大的。随着硬件技术的发展,一个盒子里的许多工作在效率不降低的情况下已经成为现实。


这是否意味着UTM可以完全取代入侵防御产品我们应该记住,防火墙配置允许的规则,外部规则是禁止的,和入侵防御是配置的禁令,并规定外不允许规则。我相信很多人都听过这样的功能:旁路是被迫进入时直接访问串行设备满足软件/硬件问题状态的技术,以避免网络断开,这种技术只用于入侵防御产品,但不是在防火墙产品。为什么诚然,在防火墙的非透明模式,旁路也不能保证通信畅通:例如,NAT模式下,网络防火墙内外不在一个网段内,即使是身体被迫走直线,这将无法沟通,因为它无法找到路径。(在这里我会得到一句话,看过一些入侵防御技术需要路由的接入方式,一方面需求和需要旁路,支持它是不明白),但最根本的原因在于防火墙和入侵防御的两个不同的数据处理:防火墙是只允许那些可以输入自己的数据,即使在出现问题的情况下,也不能由于不允许数据输入,防火墙不具备旁路功能,而入侵防御恰恰相反。它的目标是保护后端设备免受威胁的影响,并提供正常服务。如果有问题,他们宁愿切换到访问,不影响后端业务的操作,因此旁路设备是必要的。


这里需要补充的是,一些朋友看到上面的描述,可能是入侵防御,大度,不懂:绕过之后,就变成一种没有保护的状态。这是可怕的。事实上,一般来说,入侵防御产品旁路和看门狗技术相结合,监督安全故障过程可自动恢复,无保护状态在旁路如此真实的时间并不长,旁路开关(保护mdash;mdash;mdash mdash;没有保护;保护可以做一次)秒数,而不会使网络很长一段时间没有保护。


可以看出,入侵防御产品未来的路线是保护后端服务从威胁的威胁和开展业务normally.utm产品可以有入侵防御模块,但由于其他功能如防火墙、AV等,目标必须是大规模的拦截和没有时间去关注后端服务。与入侵防御和UTM相比,可以用一个生活中的小例子来呼应:入侵防御是私人保镖,和UTM是小区保安,既保护目标的安全,但是由于不同的保护目标(保镖目标重点和安全目标集中)使得两种相似的职业有必要单独存在。







你需要一个入侵或UTM这要取决于其保护对象。如果我们想保护整个网络,我们应该选择UTM。除了入侵防御,我们也可以提供网关级安全应用,如基于用户需求的杀毒软件和VPN。如果它是用来保护一个或多个服务器(组),然后入侵预防应选择。当然,这是一个前提,那就是,入侵防御产品需要相应的特性的服务器保护,如明、清公司的天清入侵防御产品,他们专注于Web服务的保护功能的发现。


看入侵检测和入侵防御产品,产品作为一种控制工具相对,提供入侵检测产品给用户一个可视化的平台,通过这个平台,用户可以清楚地了解发生了什么,当然网络,结论还需要添加大量的人工分析。例如,网络监听和入侵防御或类似的控制工具,只注重禁止这种行为,但可闻;从内部人员的正常网络检查行为,这需要一个接口来告诉用户,嗅探谁这样做是违法的,等等,这就是入侵检测产品的作用。当你需要了解网络的安全性,这将是一个不错的CH选择购买入侵检测产品。


入侵预防或入侵检测


即使有了预认知,仍然存在这样的语句:入侵检测可以做到,入侵防御可以完成,而入侵防御是入侵检测的升级/升级产品。


正如前一篇文章提到的,入侵检测涉及可视化。入侵检测,最重要的是Ldquo;呈现这主要取决于两点,一是内容,这两个是演示效果。呈现的内容是事件是否是没有时间更新,以及数据是否被完全不同的入侵。防范,入侵检测产品部署或部署的旁路,整个网络监控的效果体现在它是否能方便地从产品界面获得有效的信息,从而指导下一步的工作:禁止或允许一些安全规则对安全施工的影响在一定范围内。


入侵防御更关心的是;保护;准确和及时的保护,其重点不是全球的信息,而只是一个关键的服务器组,也不注重信息的分析,这导致了不同的态度,在入侵检测和入侵防御事件面前:对可疑事件的入侵检测,如果没有对具体的攻击行为的判断,记录并分析记录;和入侵防御有关的具体事件,威胁是坚决阻止,不能认定为被释放的威胁。在用户界面层,有不同的态度:入侵检测信息的关怀,与图综合信息协助分析入侵防御是不相关的信息;关注信息,入侵防御事件是阻塞的报表数据源。


所以,在选择入侵检测产品时,需要注意以下几个因素:是否能够保证演示;没有障碍,是否提供一些新的功能,可以方便地看到信息,用户是否可以用它快速渲染内容;做出相应的决策。


当然,作为一个安全厂商,我们需要做的是,在开发入侵检测产品时,任何功能特性都应该围绕着。呈现。用户需要一个可视化的平台,因为只有呈现才是入侵检测的本质,它是入侵检测的根源,它仍然存在,并没有被其他产品所替代。