了解和实施 IDS
许多供应商都提供 IDS,每个系统都有自己的优点和缺点。决定哪种系统最适合特定环境取决于许多因素,包括网络环境、所需的安全级别、预算限制以及直接使用 IDS 的人员的技能水平。
SNORT
Snort 可能是最知名的开源 IDS。它是安装在服务器上用于监控传入流量的软件实现。它通常与防火墙软件和 Snort 在同一台计算机上运行的系统中的基于主机的防火墙配合使用。Snort 适用于 Unix、Linux、Free BSD和 Windows。
仅供参考:什么是开源?
开源是一种软件许可方式。这意味着该软件可以自由分发并包含源代码。这意味着用户可以制作副本,将其送给朋友,甚至获得源代码的副本。用户甚至可以修改源代码,然后发布自己的版本(尽管该版本也必须是开源的)。
开源背后的想法是鼓励用户检查产品的源代码,并在可能的情况下对其进行改进。我们相信,通过这么多人的审查和改进,产品将比商业产品更快地达到更高的质量水平。除了 Snort 之外,还有许多通过开源许可证提供的产品,包括 Open Office、Linux (a) 和 Gimp等产品。
Snort 以三种模式之一工作:嗅探器、数据包记录器和网络入侵检测。
嗅探器
在数据包嗅探器模式下,控制台(shell 或命令提示符)显示通过该计算机的所有数据包内容的连续流。对于网络管理员来说,这可能是一个非常有用的工具。找出网络中的流量是确定潜在问题所在的最佳方法。这也是检查传输是否加密的好方法。
数据包记录器
数据包记录器模式类似于嗅探器模式。不同之处在于数据包内容被写入文本文件日志而不是显示在控制台中。这对于扫描大量数据包中特定项目的管理员来说更有用。一旦数据进入文本文件,用户就可以使用文字处理器的搜索功能来扫描特定信息。
网络入侵检测
在网络入侵检测模式中,Snort 使用启发式方法来检测异常流量。这意味着它是基于规则的,并且可以从经验中学习。一组规则最初控制流程。随着时间的推移,Snort 将其发现的内容与设置相结合以优化性能。然后它会记录该流量并向网络管理员发出警报。此模式需要最多的配置,因为用户可以确定她希望实施的数据包扫描规则。
Snort 主要通过命令行(Unix/Linux中的 Shell,Windows 中的命令提示符)运行。配置 Snort 主要是了解输入的正确命令并了解其输出。任何具有 Linux shell 命令或 DOS 命令经验的人都可以快速掌握 Snort 配置命令。也许Snort 最大的优势是它的价格:它是免费下载的。当有免费产品可用时,任何组织不使用某些IDS 都是不可原谅的。当与基于主机的防火墙结合使用或作为每个服务器上的 IDS 来提供额外的安全性时,Snort 是一个很好的工具。
另外,还有很多商用IDS、IPS产品。首先,我们应该明白我们这里介绍这些内容,是为了大家理解等级保护所需的相关技术知识。要选型IDS、IPS时,需要考虑法律法规要求,有些IDS、IPS产品是不允许在我国销售的,所以在购买或使用前,需要核对所购买产品是否在《网络关键设备和网络安全专用产品目录》中。同时,《网络安全法》第二十二条规定的是产品和服务的“网络产品、服务的提供者”是包括“收费”与“免费”两种情况的,所以在执行过程中,一定不要认为使用开源的安全产品,就没有法律责任了。切记!切记!
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:了解和实施 IDS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论