ISS:Internet Security Systems

　　入侵检测（IDS）：Intrusion Detection System

　　探测器：Sensor

　　控制台：Console

　　端口映射：Port Span

　　前言：

　　如今的网络安全市场上各类IDS产品众多，国外的产品有CA、ISS、Symantec等，国内的则更多，ISone、启明星辰、联想等，但实际使用下来的感受是，唯有ISS的网络型入侵检测的稳定性和权威性是令人满意的。

　　入侵检测产品的架构和信息了解的很多，但都是看别人在用，自己并没有实际部署过。这次去宁波的项目实施中有入侵检测设备的内容，因此第一次完完整整的独立部署入侵检测设备，期间遇到的问题和走过的弯路不少，也就有了写这次部署经验谈的冲动，给对此有兴趣的朋友一个参考吧。

　　入侵检测系统简介

　　“入侵”（Intrusion）是个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（DoS）攻击等对计算机系统造成危害的行为。入侵行为不仅来自外部，同时也指内部用户的未授权活动。 从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。

　　防火墙就象是你房子周围的一道篱笆，把守大门口的门卫。它可以挡住大多数进攻。但不能对进攻加以分析。入侵检测系统就象是有多个传感头的录像监视器和防盗报警系统。它们将信息进行汇总，分析可疑行为。这一点有点象在监督值班的警卫观察着的保安摄像画面，有 时还处理检测到的问题。许多损失既是由于计算机安全造成的，也由于内部因素造成的。 入侵检测系统可以查出这一类型的违法行为，而防火墙却不能。入侵检测系统基于网络而且不像防火墙容易给网络带来负担。IDS还能根据用户制订的安全机制，设定需要监管的行为和IP，灵活加以管理。

　　由于入侵检测系统监视着防火墙的行为、加密路由器、关键管理服务器及其它安全机制的重要文件，为受保护的系统提供额外的保护层。系统攻击者的策略通常包括进攻或使安全设施对目标的保护功能失效的办法。 入侵检测系统可以识别出进攻的第一个特征，并可能做出反应以减轻损失。此外，如果这些设施由于配置，受到攻击或用户错误等原因工作失效，入侵检测系统可以发现问题并通知相关人员。

　　IDS是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。

　　入侵监测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵监测体系可以弥补防火墙相对静态防御的不足。

　　入侵检测系统一般部署结构

　　一个网络型的入侵检测系统由入侵检测控制台（console）以及探测器（sensor）组成。

　　控制台、探测器可以是现成的硬件产品（如联想的千兆防火墙），也可以是软件产品，安装在服务器上（linux，NT系统都可以）。

　　sensor负责侦听网络中的所有数据包，console负责搜集sensor汇报上来的侦听数据并与数据库中的特征库进行匹配，然后产品报警日志等提示信息。

　　在企业中，入侵检测系统只需监视特定的重要区域的网络行为即可。最简单的sensor部署位置是监听防火墙DMZ口连接的重要服务器区域，以及监听防火墙的内口，这样既可以对入侵服务器区域的网络行为进行监视，也可以监视穿透防火墙的一些网络行为。这样就 构成了1个控制台（console）2个探测器（sensor）的经典入侵检测网络结构。

　　由于入侵检测系统在网络中扮演的是一个“聆听者”的角色，并不需要和网络中的其他设备发生通信，因此出于安全性的考虑，我们把入侵检测的console和sensor组建成专用网络。入侵检测系统专用网络即以带外（Out of Band）管理入侵检测系统引擎。这样能够更好的突出入侵检测系统的自身安全，也防止在被监测的网络发生问题，例如像Nimda，CodeRed病毒造成的网络阻塞情况发生时，入侵检测系统管理控制中心及时地发现问题，让系统管理员及时了解网络情况，重新 配置网络引擎，解决网络发生的问题。