IDS/IPS之安全解决方案

IDS/IPS联合部署:

IDS和IPS是两类不同的系统。IDS的核心价值在于通过对应用网络信息的分析,了解信息系统的安全状况,以建立安全的计算机网络应用系统为目标,提供安全的防护策略。IDS需要部署在网络内部,监控范围必须覆盖整个应用网络,包括来自外部的数据以及内部终端之间传输的数据。IPS的核心价值在于安全策略的实施,即对非法业务行为的阻击。IPS必须部署在网络边界,抵御来自外部的入侵,而对内部的非法业务行为无能为力。IPS位于防火墙和网络设备之间,如果检测到攻击,IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。相比之下,IDS只是存在于网络之外起到报警的作用,而不是在网络前面起到防御的作用。

为了做到计算机应用系统安全稳定地运行,我们可以把IDS与IPS有效结合起来,合理配置,为用户提供更加全面的安全解决方案。利用IPS实现对外部攻击的防御,利用IDS可以提供针对企业信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。结合IPS、IDS与防火墙的综合部署,入侵防御可用性解决方案,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。

通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。

网络主干线的IPS和防火墙均采用双机动态热备份部署,确保任何单机故障均不会影响主干网的畅通;将高端IPS串接于路由器与防火墙之间,利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长,实现网络架构防护机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。

通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。

IDS/IPS与防火墙综合部署结构:

时间: 2024-10-08 16:21:47

IDS/IPS之安全解决方案的相关文章

什么是IDS/IPS?

目录   摘要 0x00 基于网络的IDS和IPS0x01 设计考虑因素0X02 IDS/IPS 总结           摘要 摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制.在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件.基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容. 因此

(FortiGate)飞塔防火墙IPS(入侵防御)解决方案

1. 概述 传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址.端口等信息对数据包进行过滤,能够对黑客攻击起到部分防御作用.但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击,目前很多攻击和应用可以通过任意IP.端口进行,各种高级.复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御.IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络攻击行为. 特征匹配方法类似于病毒检测方法,通过

FW/IDS/IPS/WAF等安全设备部署方式及优缺点

现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略.FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力. FW部署位置一般为外联出口或者区域性出口位置,对内外流量进行安全隔离.部署方式常见如下 2.IDS类 此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监

(转)千万级并发实现的秘密:内核不是解决方案,而是问题所在!

http://www.csdn.net/article/2013-05-16/2815317-The-Secret-to-10M-Concurrent-Connections 摘要:C10K问题让我们意识到:当并发连接达到10K时,选择不同的解决方案,笔记本性能可能会超过16核服务器.对于C10K问题,我们或绕过,或克服:然而随着并发逐渐增多,在这个后10K的时代里,你是否有想过如何去克服C10M. 既然我们已经解决了 C10K并发连接问题,应该如何提高水平支持千万级并发连接?你可能会说不可能.

【转】千万级并发实现的秘密:内核不是解决方案,而是问题所在!

摘要:C10K问题让我们意识到:当并发连接达到10K时,选择不同的解决方案,笔记本性能可能会超过16核服务器.对于C10K问题,我们或绕过,或克服:然而随着并发逐渐增多,在这个后10K的时代里,你是否有想过如何去克服C10M. 既然我们已经解决了 C10K并发连接问题,应该如何提高水平支持千万级并发连接?你可能会说不可能.不,现在系统已经在用你可能不熟悉甚至激进的方式支持千万级别的并发连接. 要知道它是如何做到的,我们首先要了解Errata Security的CEO Robert Graham,

生产企业如何部署VMware虚拟化的解决方案

相信生产企业能够清楚的看到,随着生产规模和业务的快速发展,在IT基础设施的投入和使用也不断的增加,但同时也发现没有进行有效整理的硬件效率也就越来 越低,很大程度上浪费了IT资源.所以如何降低成本.提高效率成为了很多生产企业深思的问题.重庆正睿科技有限公司作为VMware的合作伙伴,并且是多 年的虚拟化成熟方案的厂家,今天就来分享一下VMware虚拟化方案在生产企业的完美部署,从而降低成本.提高效率. 一.对涉及到各环节的业务进行分析 业务分析的目的是根据各环节的业务分析,找到切实有效的解决方法.

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

五大免费企业网络入侵检测工具(IDS)

Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位. 虽然Snort"称霸"这个市场,但也有其他供应商提供类似的免费工具.很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大

pfSense设置Snort

概述 Snort是入侵检测和预防系统.它可以将检测到的网络事件记录到日志并阻止它们.Snort使用称为规则的检测签名进行操作. Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个. 最常用的是Snort VRT(漏洞研究团队)的规则. Snort VRT规则提供两种形式.一个是免费的注册用户版本,但需要在http://www.snort.org注册.免费版本仅提供最近的30天以内的规则.付费用户则提供每周两次的更新规则. 下面,我将在pfsense2.34系统中介