IDS/IPS联合部署:
IDS和IPS是两类不同的系统。IDS的核心价值在于通过对应用网络信息的分析,了解信息系统的安全状况,以建立安全的计算机网络应用系统为目标,提供安全的防护策略。IDS需要部署在网络内部,监控范围必须覆盖整个应用网络,包括来自外部的数据以及内部终端之间传输的数据。IPS的核心价值在于安全策略的实施,即对非法业务行为的阻击。IPS必须部署在网络边界,抵御来自外部的入侵,而对内部的非法业务行为无能为力。IPS位于防火墙和网络设备之间,如果检测到攻击,IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。相比之下,IDS只是存在于网络之外起到报警的作用,而不是在网络前面起到防御的作用。
为了做到计算机应用系统安全稳定地运行,我们可以把IDS与IPS有效结合起来,合理配置,为用户提供更加全面的安全解决方案。利用IPS实现对外部攻击的防御,利用IDS可以提供针对企业信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。结合IPS、IDS与防火墙的综合部署,入侵防御可用性解决方案,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。
通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。
网络主干线的IPS和防火墙均采用双机动态热备份部署,确保任何单机故障均不会影响主干网的畅通;将高端IPS串接于路由器与防火墙之间,利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长,实现网络架构防护机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。
通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。
IDS/IPS与防火墙综合部署结构: