IDS/IPS
本文约需 2 分钟阅读
IDS/IPS (Intrusion Detection System / Intrusion Prevention System) 是检测并阻断对网络或系统的非法入侵的安全系统。 IDS 检测到非法活动后通知管理员,而 IPS 则更进一步,自动阻断非法通信。它与防火墙相结合,是构建纵深防御的重要要素。截至 2024 年,基于云的 IDS/IPS 正在迅速普及,可作为 AWS 或 Azure 的托管服务使用。
现场使用案例
“通过 IPS 的告警,我们检测并阻断了来自外部 IP 对公司内部 Web 服务器的 SQL 注入尝试。我们将攻击源 IP 添加到了阻断列表,并一并强化了 WAF 的规则。”
IDS 与 IPS 的比较
| 项目 | IDS (检测) | IPS (防御) |
|---|---|---|
| 动作 | 检测并通知 | 检测并自动阻断 |
| 部署位置 | 镜像端口 (带外) | 内联 (在通信路径上) |
| 误检的影响 | 告警过多 | 阻断正常通信 |
| 部署难度 | 低 | 需要调优 |
IDS 与 IPS 的区别
IDS 与 IPS 常被混淆,但二者的职责有明确区别。 IDS 专注于「检测与通知」,即使发现非法通信也不会阻断,而是向管理员发送告警。而 IPS 则进行「检测与阻断」,实时自动阻断非法通信。 IDS 设置在网络外侧 (镜像端口),监控通信的副本;而 IPS 设置在网络的通信路径上 (内联),直接控制通信。由于 IPS 存在因误检而阻断正常通信的风险,因此部署时的调优至关重要。许多组织采用分阶段的方式,先用 IDS 开始监控,待运维稳定后再迁移到 IPS。
检测方式
基于特征码的检测通过与已知攻击模式进行比对来检测,精度高,但无法应对未知攻击。基于异常的检测通过识别偏离正常通信模式的行为来检测,也能检测出零日攻击,但往往误检较多。入侵检测系统书籍 (Amazon)可供深入学习。
与密码安全的关联
IDS/IPS 也被用于检测暴力破解攻击和撞库攻击。通过检测并阻断短时间内的大量登录尝试,可以防止密码的穷举攻击。为每个服务设置独特而强大的密码,并与 IDS/IPS 的防护相结合,可以大幅提升账户的安全性。安全运维书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?