| | 方通Sniper入侵检测系统解决方案
| | 2003-04-17·
·厂商稿··天极网商务应用频道
| 1 2 下一页 | 一、 问题为什么重要?
国内入侵检测系统的市场和产品都在不断成熟,到现在入侵检测系统和防火墙、防病毒一起已经成为保护网络安全的三剑客。
但是这两年,厂商、媒体和网站一直是从正面宣传IDS的功能,却回避IDS的缺陷。在众多的缺陷中,交换机的数据镜像、VLAN给网络入侵检测系统(NIDS)的运用带来很大的麻烦。而众多的IDS厂商却避而不谈,这必然会误导用户,使用户无法实现自身安全价值的最大化。
方正科技软件一直致力于使客户的安全价值最大化,方通Sniper在产品的功能和理念上充分的体现了这一点。
为了实现客户价值,方通Sniper正对NIDS面临的交换机局限,提出了自己的解决方案。
二、 交换机给NIDS部署带来的问题分析
要了解解决方案的价值,首先需要知道交换机对网络入侵检测系统的应用带来的限制。
1. 限制之一:交换机端口镜像
网络入侵检测系统的基本工作原理是嗅探(Sniffer)。那么在交换机上要能够嗅探,就必须确信传感器能够“看”到所需的网络流量。这时就需要在交换机上设置专门监听端口。交换机会将指定端口的通信数据镜像到该监听端口,这样网络传感器就可以捕获到指定端口的数据。
但是交换机端口镜像给NIDS的部署带来很多现实的问题:
●某些交换机不支持镜像端口功能;
●为了节省交换机端口,很可能配置为一个交换机端口监听多个其它端口,在正常的流量下,监听端口能够全部监听,但在受到攻击的时候,网络流量可能加大,从而使被监听的端口流量总和超过监听端口的上限,引起交换机丢包;
●增加监听端口即意味做需要更多的交换机端口,这可能需要购买额外的交换机,甚至修改网络结构;
2. 限制之二:虚拟局域网(VLAN)
如果交换机的被监听端口与SPAN端口在不同VLAN上,是不能做端口镜像的。因此,如果需要监听各个VLAN的数据,就必须在各个VLAN上开一个镜像端口。造成端口资源的浪费。 | 1 2 下一页 | | | 感谢
访问天极网,如果您觉得该文章涉及版权问题,请看这里!
|
|
