入侵检测系统部署指南

入侵检测系统部署指南

入侵检测系统部署指南

正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。同时，互联网也变成了网络犯罪分子的天堂。入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。本技术手册将从基础入门、购买建议、部署建议等方面来详细介绍。 基础入门

入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的，也可以是基于主机的。基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。

 入侵检测系统是如何工作的？

 快速了解IDS和IPS的区别

购买建议

在你开始评估各种入侵检测和防御系统产品之前，你应当回答一些关于自己的网络环境的问题，并要了解你的单位必须满足的一些外部要求，本文对这些问题和要求进行了总结。

 购买IDS和IPS前需要考虑的几个问题

 IDS选购最佳建议

部署建议

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

 如何确定你的企业是否需要IDS或IPS技术呢？

 对于部署入侵检测系统的建议(上)

TechTarget网络技术专题之“入侵检测系统部署指南” Page 2 of 20

 对于部署入侵检测系统的建议(下)  经费不足 企业如何实施IDS？

无线IDS

无线入侵检测，这个词使我们想到安全，但许多无线入侵检测系统（WIDS）产品也可用于进行WLAN的性能监测，为故障排除、微调和使用规划提供有价值的见解。那么你要如何来利用WIDS从而获得更多的信息呢？

 如何利用WIDS进行WLAN性能监测?

TechTarget网络技术专题之“入侵检测系统部署指南” Page 3 of 20

入侵检测系统是如何工作的？

问：入侵检测系统是如何工作的？

答：入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的，也可以是基于主机的。基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。

IDS工作方式可以是检测已知攻击信号，也可以检测反常行为。这些反常或异常行为增大堆栈，并在协议和应用层被检测到。他们可以有效地检测到诸如Xmas tree扫描，DNS中毒和其他的恶意数据包。

一个基于网络的良好的IDS是SNORT。它是免费的，而且可以在Linux和Windows上运行。建立起来的一个简单的方法是扫描一个端口，允许这个端口截获所有横跨网络节点的所有流量。在你的操作系统上安装SNORT，使用“只接受”的网络线缆把它连接到网络的这一部分。一旦你配置了你的规则，就准备好了。

原文标题：入侵检测系统是如何工作的？

原文链接：http://www.searchnetworking.com.cn/showcontent_44859.htm

(来源：TechTarget中国 作者：Michael Gregg 译者：Tina Guo) TechTarget网络技术专题之“入侵检测系统部署指南” Page 4 of 20

快速了解IDS和IPS的区别

正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而，与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候，企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的TCP和UDP端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的，但是，有些端口对于HTTP、SMTP和POP3通信是有用的。为了保证这些服务工作正常，对这些常用的服务的对应的端口必须要保持开放的状态。问题是，黑客已经学会了如何让恶意通信通过这些通常开放的端口。

为了应付这种威胁，一些公司开始应用入侵检测系统（IDS）。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的，但是，在实际上，IDS系统由于某些原因的影响工作得并不好。

早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说，查找异常通信方式会产生很多错误的报告。经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。

IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗?

在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。 比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。

这就是入侵防御系统（IPS）的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。

对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

TechTarget网络技术专题之“入侵检测系统部署指南” Page 5 of 20

IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。

原文标题：快速了解IDS和IPS的区别

原文链接：http://www.searchnetworking.com.cn/showcontent_12057.htm

(来源：TechTarget中国 作者：Brien M. Posey) TechTarget网络技术专题之“入侵检测系统部署指南” Page 6 of 20

购买IDS和IPS前需要考虑的几个问题

在你开始评估各种入侵检测和防御系统产品之前，你应当回答一些关于自己的网络环境的问题，并要了解你的单位必须满足的一些外部要求。本文对这些问题和要求进行了总结，内容如下：

1、你的网络架构是什么？对这个问题的回答可有助于构建一个网络图示，其中显示的是到达其它网络的所有连接，还有所有主机的位置。

2、每个需要IDS和IPS保护的设备上分别运行着哪些操作系统、网络服务以及应用程序？这个问题的回答有助于针对自己的环境选择优化产品。

3、是否有非安全系统（如网络管理系统）需要与入侵检测和防御系统进行集成？这一点有助于决定是否需要IDS或IPS与其它产品的协同性。

4、你需要IDS和IPS防御哪些类型的威胁（内部威胁或来自外部入侵者的威胁）？对这个问题的回答越具体越好。

5、贵单位有没有明确清晰的安全策略？这些安全策略概述了哪些安全目标（如机密性和可用性）？管理目标是什么，这方面包括隐私保护和法律责任。

6、公司处理违反具体安全策略的过程是什么？哪些类型的侵犯或攻击应当引起自动的直接响应？对这个问题的回答有助于决定所选择的产品的性能。

7、对于违反使用策略或其它的不安全因素，你需要监视用户行为和网络的使用吗？ 8、贵单位的审计需求规定了IDS或IPS必须提供某些功能吗？这对于选择适合本单位需要的产品是很有用的。

9、贵单位的系统需要鉴定合格吗？评审机构是否对IDS或IPS有特定的要求？这方面体现出企业外部对企业的安全要求。

10、贵单位必须满足关于IDS或IPS的功能要求（涉及到执法的调查和安全事件的解决）吗？在借助IDS或IPS的日志作为证据时，这一点尤为重要。

11、贵单位必须满足加密要求吗？例如，有的机构必须购买使用了经认证的加密算法的安全产品。

TechTarget网络技术专题之“入侵检测系统部署指南” Page 7 of 20

12、贵单位需要IT人员全天候监视IDS或IPS吗？有些产品需要持续地监视和维护，所以如果你并没有专门的人员来做这项工作，就应当考虑购买一种无需人监管的产品。

上述这些问题针对购买IDS或IPS的各个方面，为用户制定IDS或IPS购买决策提供了一个检查清单。任何单位在购买这类安全产品时，都应当针对这些问题的回答做出适当的选择。

原文标题：购买IDS和IPS前需要考虑的几个问题

原文链接：http://www.searchsecurity.com.cn/showcontent_40037.htm

(来源：TechTarget中国 作者：茫然) TechTarget网络技术专题之“入侵检测系统部署指南” Page 8 of 20

IDS选购最佳建议

公司正在准备购买IDS设备，并且已经挑定了几个品牌。哪些资料可以用来帮助我们来最终确定选购选择哪家的产品呢?我们知道这些IDS产品有许多相似的特性，我们应该如何依据标准检查程序并争取到合理的价钱呢?

TechTarget特约专家Mike Rothman，META Group的首位网络安全分析师，他表示，拥有多种选择在采购安全产品过程中是十分重要的。由于IDS已经是一项成熟的技术，不同厂商的产品在技术上差异不是很大。事实上如果你只关心IDS产品的性能，你也许更应该关注开源工具Snort。它通常被认为是评价IDS的三项重要标准之一，而且价格是免费的。

一般而言，在选购产品时不应该被产品评语、产品认证之类的检测结果所左右。这些资源无疑可以帮助安全专家去了解产品，在一定层面上对产品做出比较，但是这些并无法代替安装并测试产品是否可以满足特殊组织的工作要求。

在这种情况下，如果时间充裕，还是应该实施这些产品在模拟实验环境中。除非经过测试，否则人们很难知道一个产品是否可以满足特定环境的工作需要。检测中你可能会发现用户操作使用你并不适应，升级更新过于烦琐以及其他一些麻烦。这一切都要经过测试，否则一切都很难说。

一旦你选定了在你的公司使用何种IDS设备，便要开始商讨价钱。切记在讨价还价前一定要确定你所选购的机器是可以使用于你的环境要求的。

原文标题：IDS选购最佳建议

原文链接：http://www.searchnetworking.com.cn/showcontent_46085.htm

(来源：TechTarget中国 作者：Mike Rothman) TechTarget网络技术专题之“入侵检测系统部署指南” Page 9 of 20

IDS vs.IPS: 如何确定你的企业是否需要此类技术？

对于那些考虑使用入侵检测系统（IDS）和入侵防御系统（IPS）的企业来说，最困难的一个任务就是要确定什么时候需要这些技术，以及它们能够做什么。市面上的产品种类繁多：如防火墙、应用程序防火墙、统一威胁管理（UTM）设备、异常监测和入侵防护等，企业很难从中做出选择，也很难确定哪些产品是最适合自己的。

有的企业可能还在研究是否可以用IPS代替IDS，或者是否有必要同时使用这两种产品进行全方位的保护。分层的安全和不正确的操作之间通常存在着明显的界限。在本文中我们会对IDS和IPS进行一次对比，其中包括：两种技术能够提供的基本功能以及保护类型、两种技术在实际应用中的区别以及这两种技术的几个常用实例。

IDS vs.IPS：保护范围

对于不太熟悉IDS的人来说，IDS是一种监视未授权或者恶意网络活动的软件或者设备。IDS使用预先设定的规则，检查网络端点配置，确定它们是否容易受到攻击（这叫做基于主机的IDS）；它还可以记录网络中的活动，并与已知的攻击或者攻击类型进行对比（这叫做基于网络的IDS）。该技术已经存在很多年了，而且里面添加了各种附加功能，其中包括高级签名。而且，免费的开源IDS产品（比如Snort 和OSSEC）也很受欢迎。 反之，IPS不仅能够监测由恶意代码、僵尸网络、病毒以及有针对性的攻击引起的不良数据包，还能够在破坏发生之前采取行动，从而保护网络。你可能认为你的网络不值得黑客去攻击，但是你要知道许多犯罪分子会使用自动扫描来探测互联网，对每个网络都进行探测，以便记录漏洞，供日后使用。这些攻击者可能在寻找特定的敏感数据或知识产权，或者对任何到手的东西都感兴趣，比如说员工信息、财务记录或者客户数据等。 在基础设施中的恶意软件引起破坏之前，性能良好的IDS或者IPS就能够有效地识别它们。比如，我们假设攻击者试图在你的网络中偷偷放入一个木马。该恶意代码可能已经将木马放入，并可能在静静地等待时机。这是开始的状态，激活后它会变成严重威胁。如果装有合适的入侵检测系统，当攻击者试图激活该恶意代码时，IDS或者IPS就会识别这种活动并立即采取措施，要么报警，要么进行防御。

不过，那些用来监测普通网络的传统防火墙很有可能对这种攻击一无所知。如果此类攻击附着在看起来正常的网络流量中，也有可能避开异常监测引擎。这些技术和入侵检测与防御系统的区别在于IDS/IPS可以进行更深层次的包监测，不仅分析数据包的来源和去向，而且还能分析它的内容，以此确定它们是否在对系统发起攻击。这些数据是决定包的特性是否与未授权或者恶意行动相对应的关键，这种情况可能是攻击的前兆。当攻击者采用畸形的或者老式数据包来伪装一次攻击时，IDS/IPS技术能够更加智能地处理危险的攻击内容。

TechTarget网络技术专题之“入侵检测系统部署指南” Page 10 of 20

IDS vs.IPS: 两种技术的区别

行业中人们对此有几种观点：有人认为IDS和IPS是的、可持续的技术；有人认为IDS是一种逐渐过时的技术，应该被IPS替代。在对IDS和IPS进行比较时，我更倾向于前者；IDS系统有许多具体的使用案例，比如，当信息安全人员需要识别攻击或者漏洞，而不需要采取任何措施的时候。这种检测最明显的使用案例包括：不需要停止攻击（收集数据或者监视蜜罐）的情况；安全团队没有权限去停止攻击（如果所观察的网络不是我们的）的情况；还有当我们想要监测日志，需要跨越安全来进行的情况。举个很好的例子：没有足够资金支付与主要生产合作伙伴的服务器连接的制造企业。在这种情况下，企业可以决定牺牲即时安全（immediate security）来获取持续的商业运作。类似的，IPS最适用于需要监测并阻止或防御攻击的企业，因为安全是这些企业最重要的东西，企业需要积极主动地保护重要资产；而IDS只能显示出攻击的存在，阻止入侵则是管理员的事情。

我们来看以下几种情况，来了解IDS和IPS是如何处理它们的。 处理已知的漏洞

应用程序和主机类型众多的企业可能会发现，将预定义和自定义规则结合起来，也是一个处理应用程序或者业务过程缺陷的权宜之计。如果企业不中断其他的主机功能，就不能为某个系统打补丁，那么IPS可能是下一步最好的选择，因为适当的IPS规则可以在入侵到达服务器之前就对已知漏洞进行防护。

IDS和IPS能够模拟主机响应，这让它们可以发现、阻止或者警告对受保护的服务器有负面作用或者去破解数据的攻击。这些措施可以用在网络之间的网关上（很像防火墙），或者用在处于受保护资源之前的内部基础设施中。在保护Web服务器或者其他能够访问互联网的应用程序或者设备不受外部攻击时，我们推荐使用网关或者面向外界的方法；而在保护特定的高价值资产时，我们推荐使用内部保护，比如有些恶意软件会从可信端点攻击任务优先的应用程序服务器，有时甚至还可能会存在内部攻击等。

相关数据

受欢迎的IDS和IPS设备提供非常全面的日志记录和数据收集功能。即便没有任何行动的警报，系统在受到攻击之后，从这些设备和传感器中收集到的数据也可用于事件关联（event correlation）和网络取证。比如，如果发现一些关键的生产服务器被入侵或者受到攻击，拥有IDS和IPS的企业在试图分离出导致这次入侵的事件时会有相当大的优势。这种数据在攻击期间和攻击之后都是分析的关键，而且对企业的事件响应和规则遵从审计会有所帮助。

结论

TechTarget网络技术专题之“入侵检测系统部署指南” Page 11 of 20

入侵检测系统像其他事物一样，都是服务于业务宗旨或者满足一个目标。这些仅仅是最常见的IDS和IPS使用案例，本文只是提供了最基本的东西，便于大家理解这种技术是否满足企业要求。如果你的环境中有重要系统、秘密数据或者必须遵守严格的规则遵从，那么我推荐使用IDS、IPS或者两者一起。回顾上述使用案例，你可以判定你的企业是否会从入侵防护系统中受益。

原文标题：IDS vs.IPS: 如何确定你的企业是否需要此类技术？ 原文链接：http://www.searchsecurity.com.cn/showcontent_43703.htm

(来源：TechTarget中国 作者：Jennifer Jabbusch 译者：Sean) TechTarget网络技术专题之“入侵检测系统部署指南” Page 12 of 20

对于部署入侵检测系统的建议

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上，例如Web服务器，数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证，文件修改/删除和其他基于主机的信息，因此，将其划定为网络中设备的第二级保护。

起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统，然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施，然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。

在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的，在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web，邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后，第三级会包括位于非军事区中受保护私有网络的所有其他设备，它们是关键的或者包含诸如客户，金融和数据库的机密数据。如上所述，的设备组成了网络，并应受到保护，但是只有在第一次网络安全。

基于网络入侵检测系统的建议

基于网络的入侵检测系统应部署在外部DMZ部分，然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控，包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网，内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图，不仅是众所周知的网络连接，还包括所有已知的外部链接。

策略和工具推荐

对于入侵检测系统部署的额外建议应该包括事故应急手册，程序和工具的开发。由于入侵检测系统的工作像防盗报警，因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值，以便进一步的检查。针对事件调查的软件工具也应该推行，以确保这些工具可以用来研究，评估和报告结果。如果在任何时候因为恶意活动，公司被迫采取合法行动，这些工具将会伴随着和标准的建立而

TechTarget网络技术专题之“入侵检测系统部署指南” Page 13 of 20

被用来提供证据。如果没有工具或者，该公司可能无法采取合法行动或者制止肇事者。

产品部署

基于网络的入侵检测系统应该立即部署在外部Internet网络部分，然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后，任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用，以确保这些系统同样也受到保护。

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定。由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

入侵检测系统的项目任务

虽然下面列出的项目任务具备一般性，但是通常对于入侵检测系统的部署有一定的行业标准。

开发管理系统：这应该意味着选择和基于网络的、基于主机的设备部署的数量，管理控制台的场所，以及整体基础设施。

开发记录系统：由于一个入侵检测系统可以产生大量的数据，应该配备记录系统以允许大量的数据收集，备份和恢复程序，以及存储设备。在这一阶段，硬件和软件可能都需要被关注。

制定审计策略：这个紧接着之前的两个阶段，因为在这一点上，传感器和记录程序的数量应该被选择。一个IDS如果没有IDS记录的审计策略就相当于完全没有IDS。日志中的关键事件要每日检查，其他内容每周检查一次。严重的级别应该制定跟踪并处理所有事件。这些级别上的行动将包括完成工作的详细描述，人们在调用和收集数据的记录，以防真正的恶意活动或者对于关键系统的入侵。

基于网络的IDS部署：这项工作应该尽快开始以收集数据。同样，基于网络的IDS应该作为行业和建议标准的首个任务被部署。这种方法应该分三个层次，首先是安全参数的最远延伸，然后是DMZ和其他设备。

基于主机的IDS部署：作为一个行业标准，基于主机的IDS部署应该在基于网络的IDS部署之后。这实际上可与基于网络的同时完成，但重点还是应该首先放在基于网络的IDS部署。

完善IDS：这一步应该在整个IDS部署过程之后完成。根据业务需要或者威胁而变更，因此这是一个项目中不断变化的部分。

TechTarget网络技术专题之“入侵检测系统部署指南” Page 14 of 20

完善书面标准：正因为与其他系统相关联，所以这里必须有适当的公司标准以确保符合整体标准。IDS标准应该在项目开始之前开始，并一直持续到完成。这些标准应该包括配置、使用、记录、审计和报告。

IDS以外的项目任务

众所周知，一个有效的入侵检测系统必须包括除了硬件和软件以外的支持。对于事件响应必须制定书面程序，防止在一段时间内如果有针对公司系统的有效恶意尝试。以下是除了IDS以外的推荐步骤。

事件响应：必须制定一个事件响应的过程以确保一旦针对公司系统的恶意企图发生时，有一个可参照的标准。这包括书面程序，实际下一步所做的，调用什么，何时调用，如何调用以及通知链。IDS要像系统背后的事件响应一样良好。当警报响起，假如有重要信息的损失，该公司需要设立一个全面的测试应变程序，以确保没有任何损失，或者记录。一个很好的事件响应程序将会确保数据的完整性，并确保其在检查中有完好的历史证据链。

法医工具包（Forensic toolkits）：一旦事故发生时，许多产品都能够完成对数据的审核。这些工具应该加以研究来满足公司的要求并对现场工作人员进行使用的培训。

Gramm-Leach-Bliley 法案

第501和505（b） 规定了针对所有银行的指导方针，建立保护客户信息安全的标准。如果你的公司不是一个金融机构，你仍应该考虑下列标准信息安全实践中的通用性建议。

扫描和漏洞检测：扫描和漏洞检测应该由第三方来完成，以确保IDS和其他安全措施的执行情况。

审查：信息安全必须经常维护和审查，以确保准确性和与联邦标准的一致性。

防火墙和路由器审查：防火墙和路由器审查应该至少在每季度完成，以确保配置实用的准确和完整。

原文标题：对于部署入侵检测系统的建议(上)

原文链接：http://www.searchnetworking.com.cn/showcontent_35455.htm

TechTarget网络技术专题之“入侵检测系统部署指南” Page 15 of 20

原文标题：对于部署入侵检测系统的建议(下)

原文链接：http://www.searchnetworking.com.cn/showcontent_35459.htm

(来源：TechTarget中国 作者：Edward Yakabovicz 译者：王波) TechTarget网络技术专题之“入侵检测系统部署指南” Page 16 of 20

经费不足 企业如何实施IDS？

在现实生活中，因为经费不足，中小企业对于实施IDS（入侵检测系统）往往是有心无力。那么对于众多中小企业来说，是否有一个成本合算的实用建议可以使用呢？ 对于中小型企业来说，一个总体的安全评估是首先需要做的。你的数据和业务流程面临着怎样的威胁？你更关心来自互联网的威胁还是来自内部的威胁？研究表明企业受到的攻击大部分来自内部。

众所周知，对中小型企业来说，首先应该确保在互联网接口上安装有防火墙，最好是经过正式检测的，完成过滤和网络地址转换（NAT）功能。如果还能提供基于代理的服务就更好了。

接下来，使用某些入侵检测的产品。思科的IDS产品的性能还是比较优良的。你可以在网络中的许多位置配置传感器（防火墙之前，防火墙之后，DMZ中等等），并且通过控制台进行管理。基于主机的入侵检测同样有效。

至于文件校验和其他类似技术，TripWire是用于提供这些服务的工具之一。尽管TripWire有商业版本，仍然可以免费下载可用的较老版本（仍然非常有效，用于Unix系统）。

如果你负担不起这里所建议的所有方法，你仍然有许多免费或花费很少的选择。不过，你需要从另一面来考虑这个问题。如果你的网络遭到较严重的入侵，你将遭受多大的损失？你愿意将相当于损失的百分之几的费用用于保护你的网络？把这笔花费当作保险费吧。

原文标题：经费不足 企业如何实施IDS？

原文链接：http://www.searchnetworking.com.cn/showcontent_438.htm

(来源：TechTarget中国 作者：Stephen Mencik 译者：Shirley) TechTarget网络技术专题之“入侵检测系统部署指南” Page 17 of 20

如何利用WIDS进行WLAN性能监测?

无线入侵检测：这个词使我们想到安全，但许多无线入侵检测系统（WIDS）产品也可用于进行WLAN的性能监测，为故障排除、微调和使用规划提供有价值的见解。那么你要如何来利用WIDS从而获得更多的信息呢？

无线局域网WLAN性能分析及其工具

许多情况都需要分析WLAN的性能，从最初的设计和新安装的设备的调试，到优化覆盖面和规划扩展。在这一生命周期中，许多工具都是有用的，包括站点调查工具、射频设计仪、频谱分析仪和无线流量分析仪。

无线流量分析仪是非常必要的，可以捕获802.11信息流并对其进行编码，然后重新将信息包装配到联合和射频设备关系之中。分析仪有助于在有限的时间内，理解WLAN特定地址中正在发生的情况。但是有时也需要退回去，查看WLAN信息流的更多的情况，收集更长的时间内的信息，而WIDS可以提供帮助。

WIDS可以监测整个WLAN，将由分布式传感器捕获的主要信息流转发到服务器。收集这些信息流，将其联系起来，分析安全事故。WIDS会显示由此产生的警报，并将其转发到另一个系统，或者记录在数据库中，供将来参考。当然，这些信息流也可以用于监测WLAN的性能。

性能警报

虽然WIDS的性能分析与警报功能不同，但是这里有一个性能警报样本，这是WIDS能够监测到的：

 站点的接入点超载

 接入点或者信息流的信道超载  管理费用过多

 客户端发送/接收的恒定信息流  接入点配置不合理或者不兼容

 同步PCF/DCF（集中式协调功能/分布式协调功能）操作  接入点的电能解除DTIM冲突

 802.11g接入点无法使用802.11b接入点附近的保护  802.11g接入点提供了不恰当的短期插槽  接入点提供了非标准的数据率  过多的重试或者CRC错误  过度漫游或者再连接  过度低速传输

TechTarget网络技术专题之“入侵检测系统部署指南” Page 18 of 20

 过度分散

 侦测到隐藏的站点  侦测到雷达干扰  信道噪声级过高

一些警报表明可能发生了配置错误（比如，保护），而其它警报指出了会降低性能的潜在的执行错误（比如，DTIM冲突）。关于超载或者射频干扰方面的警报可以通过扩展WLAN或者重新分配信道得以解决。以阀值为基础的警报可能需要使用基线测量法调试，它可以反映出什么对WLAN而言是“正常的”（比如，每个接入点工作站的预计数量、典型的信道使用方法）。你会希望停用任何与WLAN无关的WIDS的警报（比如，如果不使用802.11b，就可以停止802.11g保护）。

性能故障排除

虽然，扫描模式下的WIDS可以监测到性能问题，但是诊断却需要一个更为全面的信息流样本。为了推动这一项工作，许多WIDS可以使用远程传感器，创建信息流捕获文件。通常情况下，可以将结果输入到无线信息流分析仪中仔细审查。

故障排除通常需要活跃的工具。比如，AirMagnet企业版可以从WIDS的控制台研究到远程传感器，这样可以联系到某个目标接入点，并且运行网络诊断工具，比如ping和跟踪路由器。你也可以查看近实时信道的性能图表，这些图表中显示了信号的强度、噪声、CRC错误、重试、使用等情况，就好像在传感器的地址中运行AirMagnet Laptop所得到的信息一样。

虽然从地址进行调查可以节省时间，但是，一些性能问题仍然需要在线调查，使用移动的无线分析仪来调查。从你所学的知识开始，将WIDS和无线分析仪结合起来可以加速调查进程。比如，Network Chemistry公司的移动式RFprotect可以与分布式RFprotect分享信息，这样移动式RFprotect现场获得的资料可以反馈到分布式RFprotect 的数据库中，为特定的地址创建统一的“噪声规划”。

你的最终目标并不是仅仅找到潜在的性能问题，而是修复它们。为此，WIDS会为某个特定的警报或者测试结果提供修复措施。比如，AirTight企业版包括了一个以知识为基础的故障排除向导，帮助解决客户端的性能问题。

性能报告

WIDS收集的信息也可以创建历史数据库，可以用于健康报告和容量规划。WIDS的性能报告包含了带有性能警报的前10个接入点、过去制定的活跃站点的数量、频谱的使用情况和性能总结、以及性能报告在类型、地址、及设备方面的趋势。

举例来说，前10份报告可能会请你注意陷入困境的接入点。该接入点的性能警报会趋向于显示这些问题是否是新出现的、是否是间歇性的、是否还在增加。研究最近和过去

TechTarget网络技术专题之“入侵检测系统部署指南” Page 19 of 20

的警报也会显示出诸如利用率和错误阀值是否保持稳定等问题。检查同一位置其它接入点的警报可能有助于区分这个位置中单个失效的设备和影响到每个接入点的环境条件。另一方面，对跨多个站点的类似接入点进行比较，可以发现由特定产品、固件版本、或者配置选项导致的性能问题。

结论

WIDS设计主要用于监测，并且对监测到的事件做出响应。当谈到性能管理时，虽然，WIDS不能够取代便捷的无线流量分析仪，但是WIDS可以补充移动分析仪的不足，它对性能问题提供了更广泛的状况，突出重点。那些负责大型企业的WLAN工作者更喜欢分布式网络流量分析平台，比如WildPackets Omni或者 Network Instruments Observer

Expert。这类产品可以对各种网络的信息流进行监测（包括WLAN），并且还提供应用层协议分析和报告。

原文标题：如何利用WIDS进行WLAN性能监测?

原文链接：http://www.searchnetworking.com.cn/showcontent_42683.htm

(来源：TechTarget中国 作者：Lisa Phifer 译者：Tina Guo)

TechTarget网络技术专题之“入侵检测系统部署指南” Page 20 of 20