Networking
組織網路架構中防火牆、入侵防禦、檢測和防毒技術的比較
這些天來,我正在閱讀有關入侵預防/檢測系統的資訊。閱讀時,我在某些方面確實感到困惑。
首先,防火牆和防病毒技術多年來都是眾所周知的術語,但現在 IDS 變得流行起來。
我的問題包括:
- 在組織網路架構中,我們何時/何地使用這些系統?
- 使用每個有什麼好處?
- 防火牆是否包含所有這些其他內容?
如果你給我一些例子,它會很有幫助。
謝謝。
入侵檢測系統(IDS) 和入侵保護系統 (IPS) 是一個相當廣泛的主題。因此,我在這裡的回答遠非全面。
IDS 的類型包括基於網路的和基於主機的。
基於網路的 IDS,例如SNORT,基於一組規則分析和記錄網路流量。這些規則將匹配潛在的漏洞,因此可能會在事後對企圖入侵和取證數據提供預先警告。
基於主機的 IDS 包括諸如AIDE之類的軟體,它定期比較文件系統上文件的雜湊值。這將允許某人監視系統上的更改並辨識未經授權的更改。
中央日誌記錄可以說是基於主機的 IDS 解決方案的一部分。中央日誌記錄可以在一個中央位置控制和審核您的日誌。此外,將日誌保存在中心位置可以最大限度地減少暴露並允許額外的審計跟踪,以防系統受到破壞並且日誌不再受信任。
數據包過濾(防火牆)是一種用於控制進出網路的流量的安全機制。防火牆不是 IDS。
執行良好的 IT 基礎架構包括許多這些技術,許多專業人士不會認為它們是可選的。