什么是 IDS 和 IPS?
什么是 IDS 和 IPS?
入侵检测是监视并分析您的网络流量以寻找入侵迹象(例如对您的网络构成迫切威胁的漏洞利用和事件)的过程。就其本身而言,入侵预防是执行入侵检测然后阻止所检测到事件的过程,通常的方法是丢弃数据包或终止会话。这些安全措施可用作入侵检测系统 (IDS) 和入侵防御系统 (IPS),这些系统属于为了检测和阻止潜在事件而采取的网络安全措施的一部分,而且是新一代防火墙 (NGFW) 中包括的功能。
IDS/IPS 的优势是什么?
IDS/IPS 监控网络上的所有流量,以识别已知的恶意行为。攻击者试图破坏网络的方法之一是利用设备或软件中的漏洞。IDS/IPS 会识别这些漏洞利用尝试并阻止以免破坏网络中的端点。IDS/IPS 是网络边缘和数据中心内的必要安全技术,准确来说是因为这些技术可以阻止攻击者收集有关您网络的信息。
IDS 的工作原理是什么?
有三种 IDS 检测方法通常用于检测事件:
- 基于签名的检测会将签名与观察到的事件进行比较,以识别可能的事故。这是最简单的检测方法,因为它只使用字符串比较运算来比较当前的活动单元(例如将一个数据包或一个日志条目与一个签名列表进行比较)。
- 基于异常的检测会将视为异常活动的行为定义与观察到的事件进行比较,以识别重大违规。在测定以前未知的威胁方面,此方法可能非常有效。
- 有状态的协议分析将预先确定的每个协议状态的良性协议活动通常接受的定义资料与观察到的事件进行比较,以识别违规。
IDS/IPS 有何作用?
入侵检测系统 (IDS) 和入侵防御系统 (IPS) 会不断地监看您的网络,识别可能的事故并记录相关信息,阻止事故发生,并向安全管理员报告这些事故。另外,一些网络使用 IDS/IPS 来通过安全策略识别问题并制止个人违反安全策略。IDS/IPS 已成为大多数组织的安全基础架构中不可或缺的一部分,恰恰是因为它们既可以阻止攻击,又可以收集有关网络的信息。
瞻博网络的 IDS 和 IPS
瞻博网络 SRX 系列防火墙,包括 vSRX 和 cSRX,装备齐全,提供入侵检测和防御 (IDP) 服务。您可以选择性地对通过您选择的 SRX 系列设备或安全边缘服务(提供防火墙即服务)的网络流量实施各种攻击检测和预防技术。您可以根据区域、网络和应用划分流量段并定义相应的策略规则,然后针对该流量采取主动或被动防御措施。SRX 系列和安全边缘服务均包含强大且不断更新的 IPS 签名,以保护网络免受攻击。SRX 系列可以将 IDP 日志转发到任意安全事件和事件管理系统 (SIEM),例如瞻博网络安全分析 (JSA)。
IDS 和 IPS 常见问题解答
防火墙是 IDS 还是 IPS?
是的。真正的新一代防火墙包含 IDS 和 IPS 功能。但是,并非所有防火墙都是新一代防火墙。此外,防火墙会阻止和过滤网络流量,而 IDS 和 IPS 会根据配置检测并警告或阻止漏洞利用尝试。防火墙根据配置的策略过滤流量后,IDS 和 IPS 对流量实施操作。
IDS 和 IPS 如何实施?
入侵检测系统 (IDS) 负责识别攻击和技术,通常以只听模式在带外部署,以便可以分析所有流量并从可疑或恶意流量中生成入侵事件。
入侵防御系统 (IPS) 部署在流量路径中,因此所有流量都必须通过该设备才能继续到达目的地。检测到恶意流量后,IPS 会中断连接并丢弃会话或流量。
IPS 能否阻止流量?
能。IPS 持续监控已知漏洞的流量以保护网络。然后 IPS 将流量与现有签名进行比较。如果发生匹配,IPS 将采取以下三种操作之一:1) 检测并记录流量,2) 检测并阻止流量,或 3)(推荐选项)检测、记录并阻止流量。
IDS 能检测到什么?
IDS 根据已知漏洞、恶意行为和攻击技术的模式检测威胁。有效的 IDS 还可以检测攻击者用来隐藏漏洞利用的规避技术,例如远程过程调用 (RPC) 分段、HTML 填充和其他类型的 TCP/IP 操作。
请访问签名页面,详细了解瞻博网络 IDS/IPS 可以检测和阻止的内容。
IPS 能否阻止 DDoS?
IPS 可以防止某些类型的 DDoS(分布式拒绝服务)攻击。例如,应用拒绝服务 (AppDoS) 攻击是 IPS 功能可以识别和防御的威胁类别之一。然而,大量 DDoS 威胁就需要专门的解决方案,例如瞻博网络 Corero DDoS 产品。
瞻博网络提供哪些 IDS 和 IPS 技术、解决方案和产品?
瞻博网络通过部署在瞻博网络新一代防火墙产品和服务上的单一软件订阅,提供 IDS 和 IPS 解决方案:物理、虚拟和容器化 SRX 防火墙,或用作瞻博网络安全边缘中的服务。
