1.3.4 IDS部署规划

IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。IDS通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

1. 网络中可以部署IDS的位置

IDS的主要功能就是对网络运行状况进行监测，与防火墙略有不同。假如防火墙是一幢大楼的门锁，那么IDS就是遍布这幢大楼的监视系统。因此在部署IDS时应尽量挂接在所有数据流量都经过的主干路上，或者直接靠近被监视的主要设备。如图1-8所示的是IDS通常的位置。

在实际的使用中，大多数入侵检测的接入方式，都是采用by-pass（旁路）方式来侦听网络上的数据流，所以，这就限制了IDS本身的阻断功能，IDS只有靠发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如Telnet、FTP、HTTP等，而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好的保护网络的安全，所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。

2. IDS与防火墙联动规划

防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测系统（IDS）通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。防火墙和IDS之间是互补的关系，两者协同工作，如图1-9所示。

客户一般会在出口部署防火墙来进行访问控制，部署入侵检测系统来检测攻击。但是，防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码，比如针对Web服务的Unicode攻击，而蠕虫爆发往往首先让防火墙瘫痪，对于P2P下载防火墙同样无能为力。入侵检测系统虽然能够监测到攻击，但是，它提供的与防火墙联动、TCP复位都存在很大的问题，在现实应用中很难起到相应的作用。结果是虽然看到了攻击，但是，仍然让攻击得手了。由此可见，借助防火墙和IDS的安全措施并不能完全解决现实问题。

IDS与防火墙联动的部署方案存在如下不足：

● 使用、设置上复杂，影响防火墙的稳定性与性能。

● 阻断来自源地址的流量，不能阻断连接或单个数据包。

● 黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问。

● 可靠性差，实际环境中没有实用价值。

因为诸多不足，在目前而言，IDS主要起的还是监听记录的作用。用个比喻来形容：网络就好比一片黑暗，到处充满着危险，冥冥中只有一个出口。IDS就像一支手电筒，虽然手电筒不一定能照到正确的出口，但至少有总比没有要好一些。称职的网管，可以从IDS中得到一些关于网络使用者的来源和访问方式，进而依据自己的经验进行主观判断对IDS的选择，跟上面谈到的防火墙的选择类似，根据自己的实际要求和使用习惯，选择一个自己够用的，会使用的就足够了。