4. 一个相辅相成的解决方案
美国网络世界实验室联盟成员Joel Snyder认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和矫正控制的通力协作将是安全应用的主流。
全局性的检测可提高准确率,但是使检测过程变长,局部反应速度过慢。因此,面对一些局部事件,可以相当准确地判断出问题所在而阻断风险不大时,IPS当之无愧地成为首选产品;而对于需要全面检测和事后分析的情况,则非IDS莫属。根据客户需求将两者统一部署,使其相辅相成,不失为一个优秀的解决方案。图3 给出了一个高可用性IPS、IDS与防火墙综合入侵防御的解决方案。该方案的要点是::
网络主干线的IPS和防火墙均采用双机动态热备份部署,确保任何单机故障均不会影响主干网的畅通;
将高端IPS串接于路由器与防火墙之间,利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长,实现网络架构防护机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;
信息中心和业务服务器的子交换机前分别部署一台中级IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;
在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。
结束语:
主动防御与实时阻断是IPS的立足之本,但是由于受到技术与成本的局限,IPS尚无法完全替代IDS全面的检测与报告功能。IPS与IDS相比较而存在、相斗争而发展的局面仍然会继续下去。作为信息安全工作者或者用户,没有必要去争论两者谁会战胜谁,而应该研究如何发挥双方的特长,使其相辅相成,共同建立现实的信息安全体系。
--
原文链接: http://cisco.chinaitlab.com/IDS/351053.html
共4页: 上一页 [1] [2] [3] 4 下一页
|
