我们之前做过入侵和攻击这方面的。整体上网络的入侵和攻击体现在:
1)除具备针对网络层/传输层的基础攻击防护外,越来越注重应用层深度识别。
2)网络应用越来越复杂,单纯的依靠端口识别应用以达到攻击检测的目的不再有效。
3)网络带宽的快速增长给入侵防护系统的处理能力带来挑战,具备大流量业务并发处理能力尤其重要
4)网络安全趋势可视化展示需求越来越突出。
我们一般说的入侵检测系统(Intrusion Detection System,简称“IDS”)有以下特征:
1. 满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
2. 提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
3. 准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
4. 全面、精细的流量控制功能,确保企业关键业务持续稳定运转;
5. 具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
6. 可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
7. 提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在网络之外,也支持旁路模式部署,用于攻击检测,适合不同客户需求;
8. 支持分级部署、集中管理,满足不同规模网络的使用和管理需求;
9. 支持用户、连接、日志、安全事件的可视化展示。
一般情况下应用的网络架构图如下(主要看IDS)
