網路型ids適合部署於哪裡

1. 什麼是IDS，它有哪些基本功能

IDS是入侵檢測系統。

（1）基於主機的IDS保護的是其所在的系統，運行在其所監視的系統之上；

（2）基於網路的IDS保護的是整個網段，部署於全部流量都要經過的某台設備上。

入侵檢測可分為實時入侵檢測和事後入侵檢測兩種。

實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

而事後入侵檢測則是由具有網路安全專業知識的網路管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防禦入侵的能力不如實時入侵檢測系統。

(1)網路型ids適合部署於哪裡擴展閱讀：

按輸入入侵檢測系統的數據的來源來分，可以分為三類：

1、基於主機的入侵檢測系統：其輸入數據來源於系統的審計日誌，一般只能檢測該主機上發生的入侵；

2、基於網路的入侵檢測系統：其輸入數據來源於網路的信息流，能夠檢測該網段上發生的網路入侵；

3、採用上述兩種數據來源的分布式入侵檢測系統：它能夠同時分析來源於系統的審計日誌和來源於網路的信息流，這種系統一般由多個部件組成。

2. UTM，IDS和防火牆，三者的區別，各有什麼優缺點，都用於什麼場合

UTM:根據IDC的定義，UTM是指能夠提供廣泛的網路保護的設備，它在一個單一的硬體平台下提供了以下的一些技術特徵：防火牆、防病毒、入侵檢測和防護功能。IDC的行業分析師們注意到，針對快速增長的混合型攻擊（基於互聯網的病毒已經開始在應用層發起攻擊），需要一種靈活的、整合各種功能的UTM設備來防止這種攻擊的快速蔓延。

IDS:IDS是Intrusion Detection System的縮寫，即入侵檢測系統，主要用於檢測Hacker或Cracker通過網路進行的入侵行為。無須網路流量流經它便可以工作。IDS的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息，另一種是在一台單獨的機器上運行以監測所有網路設備的通信信息，比如Hub、路由器。

防火牆:一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。具有這樣功能的硬體或軟體,就是防火牆

第一個是技術系統,第二三兩個是可以是系統的組成,也可以單毒存在.

應用場合:
UTM只有大企業才會使用,IDS信息產業相關的中小型企業使用,防火牆幾乎每個都會人用.

組成屬性來分,UTM包括IDS和防火牆等.在網路中,IDS位於防火牆之前.
防火牆一般設置在網關,必要時過濾雙向數據.

3. 防火牆、IDS和IPS之間有什麼區別

二者區別主要有以下幾點：

一、概念不同

1、IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，通過軟、硬體，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

2、入侵防禦系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

二、系統類型劃分不同

1、IDS按入侵檢測的技術基礎可分為兩類：

一種基於標志的入侵檢測（signature-based），另一種是基於異常情況的入侵檢測（anomaly-based）。

2、IPS按其用途劃分為單機入侵預防系統(HIPS)和網路入侵預防系統(NIPS: Network Intrusion Prevension System）兩種類型。

三、防禦技術不完全相同

1、IDS實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。

2、IPS入侵預防系統知道正常數據以及數據之間關系的通常的樣子，可以對照識別異常。有些入侵預防系統結合協議異常、傳輸異常和特徵偵查，對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。

4. IDS是什麼軟體

IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

我們做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。
不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：
（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上

5. 什麼是IDS，在網路中起什麼作有怎樣安裝和配置

什麼是IDS呢？早期的IDS僅僅是一個監聽系統，在這里，你可以把監聽理解成竊聽的意思。基於目前局網的工作方式，IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統的事件查看器類似。再後來，由於IDS的記錄太多了，所以新一代的IDS提供了將記錄的數據進行分析，僅僅列出有危險的一部分記錄，這一點上跟目前windows所用的策略審核上很象；目前新一代的IDS，更是增加了分析應用層數據的功能，使得其能力大大增加；而更新一代的IDS，就頗有「路見不平，拔刀相助」的味道了，配合上防火牆進行聯動，將IDS分析出有敵意的地址阻止其訪問。

就如理論與實際的區別一樣，IDS雖然具有上面所說的眾多特性，但在實際的使用中，目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發阻斷數據包來阻斷當前行為，並且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的，無法動態設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網路的安全，所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件，從而使網路隱患降至較低限度。

6. IPS和IDS的區別

1、含義不同

IDS ：入侵檢測系統

做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，實時監視系統會發現情況並發出警告。

IPS ：入侵防禦系統

2、作用不同

IDS專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

IPS入侵防禦系統是電腦網路安全設施，是對防病毒軟體和防火牆的補充。 入侵防禦系統是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

(6)網路型ids適合部署於哪裡擴展閱讀：

IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

IPS，最近幾年越來越受歡迎，特別是當供應商應對NAC市場的早期挑戰時，如感知部署和可用性難點。目前，大多數大型的組織都全面部署了IPS，但是在使用NAC之前，這些解決方案都被一定程度的限制以防止公司網路中發生新的攻擊。你可以配置所有的IPS探測器來中斷網路中惡意或其它不需要的流量。

7. IDS入侵檢測的詳細介紹

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上入侵檢測系統的原理模型如圖所示。
入侵檢測系統的工作流程大致分為以下幾個步驟：
1.信息收集 入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。
2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
具體的技術形式如下所述：
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示：

8. IPS入侵保護系統和網路防火牆有何區別。IPS一般情況下部署在網路什麼位置

防火牆：防火牆實現基礎安全防護，在線部署，側重L3-L4層，主要功能為實現邊界訪問控制、NAT、VPN、路由等功能，通過封閉埠來實現防護隔離。防火牆主要對4層報文頭進行解析，根據五元組來實現基於四層協議狀態的訪問控制功能。

IPS：IPS側重於L4-L7層的安全防護，主要實現入侵防禦，病毒防護，告誡威脅防護及訪問控制等功能；能夠防範的威脅類型包括：針對系統的漏洞攻擊、蠕蟲、木馬、SQL注入等。IPS是深入七層的設備，會對流經的報文進行全面的拆包，從報文頭部到尾部進行全面的分析。
防火牆通常部署在網路的出口處，IPS部署在防火牆之後面，起到更深層次的防病毒防攻擊的作用。

9. IPS入侵保護系統和網路防火牆有何區別IPS一般情況下部署在網路什麼位置

1、防火牆，主要是可實現基本包過濾策略的防火牆，這類是有硬體處理、軟體處理等，其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問，只開放允許訪問的策略。
2、IDS，此類產品基本上以旁路為主，特點是不阻斷任何網路訪問，主要以提供報告和事後監督為主，少量的類似產品還提供TCP阻斷等功能，但少有使用。
3、IPS，解決了IDS無法阻斷的問題，基本上以在線模式為主，系統提供多個埠，以透明模式工作。在一些傳統防火牆的新產品中也提供了類似功能，其特點是可以分析到數據包的內容，解決傳統防火牆只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒系統定義N種已知的攻擊模式，並主要通過模式匹配去阻斷非法訪問。

防火牆部署在網路的出口處，對IP包進行檢測和攔截；IPS部署在防火牆後面，對防火牆放行的數據包，進行內容的檢測！