6.3入侵检测系统的部署.ppt

6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3 入侵检测系统的部署 6.3.1定义IDS的目标 6.3 入侵检测系统的部署 6.3.2选择监视内容 6.3.3部署IDS 不同的组网应用可能使用不同的规则配置，所以用户在配置人侵检测系统前应先明确自己的目标，建议从如下几个方面进行考虑 。 6.3.1 定义IDS的目标 1.明确网络拓扑需求 2.安全策略需求 3.1DS的管理需求 6.3.1 定义IDS的目标 1.明确网络拓扑需求。 分析网络拓扑结构，需要监控什么样的网络，是交换式的网络还是共享式网络;是否需要同时监控多个网络，多个子网是交换机连接还是通过路由器/网关连接;选择网络入口点，需要监控网络中的哪些数据流，IP流还是TCP/UDP流，还是应用层的各种数据包;分析关键网络组件、网络大小和复杂度。 2.安全策略需求。?? 是否限制Telnet，SSH，HTTP，HTTPS等服务管理访问；Telnet登录是否需要登录密码；安全的Shell(SSH)的认证机制是否需要加强；是否允许从非管理口(如以太网口，而不是Console端口)进行设备管理。 6.3.1 定义IDS的目标 3.IDS的管理需求。 有哪些接口需要配置管理服务；是否启用Telnet进行设备管理；是否启用SSH进行设备管理；是否启用HTTP进行设备管理；是否启用HTTPS进行设备管理；是否需要和其他设备(例如防火墙)进行联动 6.3.1 定义IDS的目标 1.选择监视的网络区域 ? 在小型网络结构中，如果内部网络是可以信任的，那么只需要监控内部网络和外部网络的边界流量。 2.选择监视的数据包的类型 入侵检测系统可事先对攻击报文进行协议分析，从中提取IP、TCP、UDP、ICMP协议头信息和应用载荷数据的特征，并且构建特征匹配规则，然后根据需求使用特征匹配规则对侦听到的网络流量 6.3.2 选择监视内容 3.根据网络数据包的内容进行检测 利用字符串模式匹配技术对网络数据包的内容进行匹配来检测多种方式的攻击和探测，如缓冲区溢出、cGI攻击、SMB检测、操作系统类型探测等。 6.3.2 选择监视内容 一般来说，不同的入侵检测系统采用不同的方法来监视网络数据包的内容，然后再根据此协议数据包中的字符特征进行检测。 6.3.3 部署IDS 1.只检测内部网络和外部网络边界流量的IDS系统的部署，如图所示的部署方式不仅方便了用户的使用和配置，也节约了投资成本，适合中小规模企业的网络安全应用。 只监控网络边界流理 的IDS系统的拓扑结构图 6.3.3 部署IDS 2.集中监控多个子网流量 内部局域网中划分了多个不同职能的子网，有些子网访问某些子网资源量希望受到监控和保护，假设具体进行监控。含IDS的网络拓扑如图 集中监控多个子网 流量的IDS拓扑结构图