4.7 部署入侵檢測和防護系統(tǒng)

項目四—網(wǎng)絡(luò)安全設(shè)計—實施網(wǎng)絡(luò)設(shè)備的安全訪問02.目錄CONTENTS認識網(wǎng)絡(luò)系統(tǒng)安全01.保護介入層網(wǎng)絡(luò)訪問安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運行狀態(tài)04.實施網(wǎng)絡(luò)資源的訪問控制05.保護網(wǎng)絡(luò)邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.部署入侵檢測和防護系統(tǒng)07.復(fù)習舊課本任務(wù)采用圖4-38所示的IPS配置網(wǎng)絡(luò)拓撲結(jié)構(gòu)。具體要求如下。（1）在路由器R1中Fa0/0端口的輸出方向上設(shè)置入侵檢測機制，一旦檢測到終端C發(fā)送給終端A的ICMPECHO請求報文，就丟棄該請求報文，并向日志服務(wù)器發(fā)送警告信息。（2）在啟動該入侵規(guī)則后，如果終端C發(fā)起ping終端A的操作，則ping操作不僅無法完成，還會在日志服務(wù)器中記錄警告信息，而其他終端之間的ping操作依然能夠完成。入侵檢測和防御設(shè)備網(wǎng)絡(luò)要抵御快速演變的各類攻擊，就需要具有有效檢測和防御功能的系統(tǒng)設(shè)備，如IDS或IPS，通常將這類系統(tǒng)設(shè)備部署到網(wǎng)絡(luò)的入口點和出口點上。IDS和IPS技術(shù)使用簽名來檢測網(wǎng)絡(luò)流量中的濫用模式。簽名是IDS或IPS用來檢測惡意活動的一組規(guī)則，可用于檢測嚴重的安全漏洞、常見的網(wǎng)絡(luò)攻擊和收集信息。IDS和IPS技術(shù)均部署為傳感器，可以檢測原子簽名模式（單數(shù)據(jù)包）或組合簽名模式（多數(shù)據(jù)包）。（1）IDS的優(yōu)點和缺點。IDS的主要優(yōu)點是在離線模式下部署。IDS傳感器主要側(cè)重于識別可能發(fā)生的事件、記錄事件的相關(guān)信息以及報告事件，無法停止觸發(fā)數(shù)據(jù)包，并且不能保證停止連接。IDS傳感器不是以在線方式部署的，因此實施IDS更容易受到采用各種網(wǎng)絡(luò)攻擊方法的網(wǎng)絡(luò)安全規(guī)避技術(shù)的影響。（2）IPS的優(yōu)點和缺點。IPS的優(yōu)點在于可以配置為執(zhí)行數(shù)據(jù)包丟棄，以停止觸發(fā)數(shù)據(jù)包、與連接關(guān)聯(lián)的數(shù)據(jù)包或來自源IP地址的數(shù)據(jù)包。IDS和IPS的優(yōu)缺點IDS的部署策略IDS一般旁路連接在網(wǎng)絡(luò)中各個關(guān)鍵位置。IDS安裝在網(wǎng)絡(luò)邊界區(qū)域IDS系統(tǒng)安裝在服務(wù)器群區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡(luò)核心層IDS的部署策略IPS的部署策略。IPS不但能夠檢測入侵的發(fā)生，而且還能實時終止入侵行為。IPS在網(wǎng)絡(luò)中采用串接式連接。IPS是網(wǎng)關(guān)型設(shè)備，最好串接在網(wǎng)絡(luò)的出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護內(nèi)部網(wǎng)絡(luò)，如圖所示。

1．IDS是一類重要的安全技術(shù)，其基本思想是（①），與其他網(wǎng)絡(luò)安全技術(shù)相比，IDS的最大特點是（②）。①A．過濾特定來源的數(shù)據(jù)包B．過濾發(fā)往特定對象的數(shù)據(jù)包C．利用網(wǎng)閘等隔離措施D．通過網(wǎng)絡(luò)行為判斷是否安全②