IPS与IDS在IDC的应用

1、入侵防御系统(IPS)与入侵检测系(IDS)在IDC的应用部署妄EE安氏领信科技发展有限公司二O三年四月目录1 IDC的安全需要求31.1IDC业务特点31.2IDC的安全风险42 入侵防御(IPS)与检测(IDS)技术特点52.1 IPS的技术特点52.1.1IDS的技术特点3 IPS与IDS在IDC中的应用73.1 网络边界(出口部分)73.2 内部服务器的防护73.3 部署建议8#UnlSTISEE安氏领信科技发展有眼公司1IDC的安全需要求IDC（InternetDataCenter互联网数据中心）是基于高稳定、高带宽的基础网络平台，主要向企业用户提供服务器托管为主的综合服务业务，除了能提供的Internet接入服务之外，还向用户提供丰富的网络资源以及全面的网络管理和应用服务。1.1 IDC业务特点IDC为客户提供的是一站式专业外包服务，主要提供包括主机托管、虚拟主机、整机租用、集团信箱等基本服务，同时提供网站加速、虚拟专网、数据备份安全管理等系列增值服务。同时其网络业务的表现出复杂性和多样性，主要体现出以下特点：应用系统众多，网络上承载着多种数据流对外提供的应用服务，例如VO

2、D系统、WEB网站、FTP下载等；还有各类用户的托管主机，例如门户网站、应用数据库、邮件系统等； 操作系统种类较多包含了目前主流的操作系统windows、linux、Solaris、AIX,多种的操作系统类型意味着多种的网络资源服务类型； 访问用户数量大，网络峰值流量变化大，出口带宽要求较高访问用户数会在不同的时段有不同的变化，网络的流量峰值会有较大的差异，这要求出口带宽能够处理承受最大用户数在线时的数据流负载；不同的客户系统对IDC所提供的网络资源的要求都不尽相同客户的系统都存在提供个性化服务的需求，单一的网络资源服务方式难以适应各类需求之间变化。#安氏领信科技发展有眼公司UnlRSTISEt1.2 IDC的安全风险由于IDC处在一个开放式的网络环境中，内外部的众多因素导致了各种安全问题的出现，网络安全问题的类型也是层出不穷，具体问题如下：众多的应用系统和操作系统存在的各种漏洞成为受攻击和入侵的目标，系统运行的正常与否直接影响到IDC的增值业务服务的质量和企业的形象； 外来的访问请求数量巨大，其中不乏恶意的网络攻击、病毒的侵入、木马的威胁； 对客户的系统的安全需求缺乏提供专门的安全保

3、障体系包括安全产品和安全服务、安全管理在内的相应服务。网络层安全威胁主要包括基于ISO模型24层的攻击和入侵行为了，例SYN、UDP等DOSDDOS攻击，ARP欺骗攻击等。同时网络设备的安全的也是安全威胁之一 主机系统层，主要针对操作系统、应用程序的安全漏洞的入侵和攻击，病毒、蠕虫及各类的木马对服务和应用的威胁。就目前看来对主机层的防护措施仅限于主机操作系统自我防护，还处在被动、人工的阶段，缺乏安全事故的预警性，缺乏专业的安全系统保护，人工防御为主，自动防御能力很低； 网络安全管理层，对网络安全管理的行为规范还未形成科学的、完善的制度体系。同时缺少有效果的审计和监控。#2入侵防御（IPS）与检测（IDS）技术特点2.1IPS的技术特点入侵防御系统/ips提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，

4、而不把攻击流量放进内部网络。从IPS的工作原理来看，IPS有几个主要的特点：为企业网络提供虚拟补丁IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。 提供流量净化目前企业网络遭受到越来越多的流量消耗类型的攻击方式，比如蠕虫。病毒造成网络瘫痪、BT、电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。 提供反间谍能力企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动，保护企业机密。总的来说,入侵防御系统IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的网络安全保护解决方案。UnlSTISEE安氏领信科技发展有眼公司2.1.1IDS的技术特点IDS可对网络或操作系统上的可疑行为做出策略反应，帮助系统对付网络攻击，扩展系统

5、管理员的安全管理能力（包括安全审计、监视、进攻识别和响应）提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，在网络安全技术中起到了不可替代的作用，是安全防御体系的一个重要组成部分，监视、分析用户及系统活动。系统构造和弱点的审计 识别反映已知进攻的活动模式并报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理，并识别用户违反安全策略的行为#3IPS与IDS在IDC中的应用由于IDC具有访问用户数量大，网络峰值流量变化大，出口带宽要求较高。并且在不同网络域所面临的安全威胁也不尽相同。3.1网络边界（出口部分）IDC的网络边界（进出口）具有用户访问数据大，网络峰值流量变化大，带宽要求高的特点。而面临的威胁较多为DOS/DDOS攻击、恶意流量等具有流量大、连接数高的威胁。大多为网络层的威胁。基于边界的安全特点，建议在网络边界部署IDS入侵检测系统。边界（出口）的流量很大，对网络和安全设备的要求极高，只有采用完全硬处理器的设备才能满足需要，而IPS/IDS由于本身的结构和处理特点，除网络层用硬件处理器处理流量外，需要软处理器来处理和分析基于

6、应用层的代码，因此在大流量的网络边界（出口）而更适合部署IDS。具有以下优点由于IDS是旁路部署，不会地业务流量产生影响 IDC的网络边界具有来源复杂，分布广、数据类型多等特点，其中有相当一部分是非授权的非法访问，而防火墙对这些非法访问的过滤具有很好的效果，同时对于防火墙无法检测的流量，由IDS检测分析，并产生相关的报告，可以发挥各类设备的优点，同时也可以互相作为补充。 IDS部署在这个位置可以分析整个网络流量的特点，为安全防护、系统加固提供有力的依据3.2内部服务器的防护在IDC的内部，部署有大量的系统、服务。这些服务服务器操作系统自身存在脆弱性，导致针对服务器自身漏洞进行的渗透攻击行为变得越来越容易。并且客户的技术水平参差不齐；同时客户对于IDC业务的理解也不同，因此极易导致因为某些客户的管理漏洞而引发的应用的误用和滥用，后果严重甚至会对整个IDC机房造成危害。而IPS可以有效果对这些威胁进行主动防护。IPS的特点主要是作用于ISO模型四层到七层的内容进行检测和过滤防护。可以有效的对蠕虫、病毒、间谍软件、垃圾邮件、以及网络资源滥用（P2P下载、IM即时通讯、网游等）进行安全防护。将

7、IPS部署在服务器群前有以下优势：在IDC的内部，主要的威胁是通过合法访问进行来的数据，但这些数据流并不一定是安全的。而将IPS部署在在服务器群前可以充分发挥IPS的优势，通过边界的防火墙，过滤掉大量的网络层非法访问流量，使IPS可以充分发挥对应用层的检测过滤功能。 IPS基于状态的协议分析检测技术对RFC的深入理解，可准确、高效的识别各种攻击和入侵。对于授权访问但存在协议误用的流量可以做到准确的检测和过滤。 IPS独有的协议识别技术能够识别包括后门、木马、IM、网络游戏在内的应用层协议，可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵。 IPS通过签名进行针对入侵的检测防护，在对未知入侵行为的检测方面，它对流量异常进行统计分析外，更重要的是利用了系统和软件的漏洞进行检测。因为当入侵行为发生的过程中，首先是搜索漏洞，利用搜索结果攻击系统，复制副本来进行泛滥的。从根本上保证了检测的准确性，同时也为用户加固系统提供了有力的帮助。 IPS能够动态的识别蠕虫，能够自动识别并阻截新产生的蠕虫，大部分蠕虫通常是利用某些漏洞来破坏协议，而如果我们能够提早对某些陌生的协议进行告警,那么我们就能够动态的对这样的告警级别进行重新排定。3.3 部署建议综上所述，为使各类产品充分发挥优势特点，在部署时候应以安全需求，网络架构、数据流量等因素来考虑合理的部署位置。在IDC中部署入侵防御系统（IPS）与入侵检测系统（IDS）产品，除考虑产品本身的特点和优势外，IDC本安氏领信科技发展有眼公司身的特点也是合理部署要考虑的重要因素。因此，我们建议，在IDC的网络边界（出口）部署入侵检测系统（IDS）,可以很好的监控整个网络状态。在服务器群前部署IPS，可以充分发挥IPS对应用层的安全检测防护的特性，同时也可弥补防火墙功能上的不足。#

《IPS与IDS在IDC的应用》由会员枫**分享，可在线阅读，更多相关《IPS与IDS在IDC的应用》请在金锄头文库上搜索。