dcsimg

思科安全IDS传感器部署-第4页

 By 思科出版社
第4页,共4页   |   返回第1页

安全组件
安全组件通过限制流量并监视针对网络的攻击来增强网络的安全性。常见的安全设备包括防火墙,IDS传感器,IDS管理设备以及具有访问控制列表的路由器。

防火墙在多个网络之间建立了安全屏障。通常,会安装防火墙来保护内部网络免受未经授权的访问。这使它们成为攻击的主要目标。

同样,IDS组件会持续监视网络以寻找攻击迹象。黑客不断寻找新方法来混淆和破坏常见入侵检测系统的运行。通过禁用入侵检测系统,攻击者可以穿透看不见的网络(而不会发出表示正在进行攻击的警报)。

远程网络
许多网络由中央公司网络和多个通过WAN与公司网络通信的远程办公室组成。在网络分析中需要考虑这些远程设施的安全性。根据远程站点的安全状况,您可能需要放置一个传感器来监视通过WAN链路传输的流量。有时,远程设施具有独立的Internet连接。绝对需要监视所有Internet连接。

网络的规模和复杂性
网络越复杂,就越有可能需要在整个网络的各个位置部署多个传感器。大型网络通常还要求使用多个传感器,因为每个传感器都受到其可以监视的最大流量的限制。如果您的Internet网络连接是一个千兆管道,则单个传感器当前无法处理完全加载的Internet连接可以传递到网络的所有流量。

考虑安全策略限制
有时,传感器会放置在您的网络中,以验证是否符合您定义的安全策略。一个很好的例子就是在防火墙的内部和外部放置一个传感器。

图5-1中标有Sensor 1和Sensor 5的传感器说明了此设置。传感器1监视所有流向受保护网络的流量。即使大多数攻击可以通过防火墙阻止,它也可以检测到发往受保护网络的所有攻击。但是,传感器5监视所有内部流量。这表示设法从外部通过防火墙的流量,以及内部主机生成的流量。两个传感器都可以检测到违反安全策略的行为。传感器5监视使其进入受保护网络的流量,而传感器1监视离开受保护网络的流量。

图5-1 :在通用功能边界上部署传感器
Click image for larger view in a new window
(单击图像可在新窗口中查看大图)

-
思科出版社的下一部分 思科安全入侵检测系统 将处理执行部署。

本文最初于2002年2月26日发布
通过网络更新新闻获取最新消息