轉載至 https://blog.xuite.net/cpj2028/twblog/138196445-IPS+%E8%88%87IDS+%E7%9A%84%E6%AF%94%E8%BC%83
200806131651
IPS 入侵防禦系統簡單來說就是 IDS 入侵偵測系統的加強版,除了可以擁有 IDS 偵測發出警訊的功能,更重要的就是IPS 能夠主動地將符合資格的攻擊行為給立即適時地斬斷,對那些惡意封包的傳送,可以自動化地檢視並直接做出反應的手段,相對於IDS 只是單純發出警戒的訊號記錄來讓管理人員查看再補救,IPS 的優勢就是能在攻擊尚未真正達成前就立即阻擋。
且在目前網路行為頻繁,網路流量及頻寬越來越大的時代,IDS 所產生攻擊警訊的報表也是大量地增長,可能在極短的時間內警訊通知就有如雪花般地出現,而為了要排除誤判與真正的攻擊,管理人員光是要觀看這些大量的通知就已經捉襟見肘,不但管理上的不方便,也延長了對攻擊反應的時間,所以IPS 的自動回應攻擊行為不但能補足了IDS 一直在時效性上的缺失,還能方便管理者的管理,減少花費在檢視報表的時間。
不過IPS 也並不是完美無懈可擊的,事實上要使用IPS 與IDS 的爭議是一直都未停止,雖然IPS 能夠立即主動地將攻擊封包給阻隔,但也因為這樣,當在誤判產生時,也就將本來合法、正常的流量給阻斷掉,反而影響到企業平常的運作,這些損失就是IPS 所造成的,並且IPS 拖慢網路速度也是其中一個令人垢病的缺失。所以IDS 與IPS 的使用目前並沒有一定的定論,也沒有誰絕對好用的講法,還是得視使用的需求與實際的情況來決定。
========================================================================
轉載至 http://www.network-box.com.tw/itemqna_idp.html
市場上有IDS、IPS、IDP等各種各樣的說法,能不能簡單地解釋一下?
========================================================================
轉載至 http://www.network-box.com.tw/itemqna_idp.html
市場上有IDS、IPS、IDP等各種各樣的說法,能不能簡單地解釋一下?
IDS:入侵偵測系統 (Intrusion Detection System) IDS 只有 【偵測】 的功能,它是傾聽 (Sniffer) 網路的封包,是否有不正常或攻擊性質的行為發生,一但發現有這樣的行為,例如,對你的系統進行通訊連接埠掃描 (Port Scan),它會發出訊息,警告管理者,但是卻無力阻止攻擊者的一切掃描和攻擊的行為,只能被動的警告防禦的一方:有人已經對你的系統進行掃描和攻擊。 IPS:入侵防禦系統 (Intrusion Prevention System) IPS 它會檢查對應到OSI 模型第4 到7 層的內容,是否有惡意的攻擊程式、病毒,隱藏在 TCP/IP 的通信協定中。IPS 必須是閘道器模式,透過詳細的內容檢查後,一但發現後能夠即時地將封包阻止,讓這些穿過防火牆的封包無所遁形。 IDP:入侵偵測與即時防禦 (Intrusion Detection and Prevention) IDP 它兼具入侵偵測系統 (IDS)、入侵防禦系統 (IPS) 兩種功能,它和IDS不同的是,它對於所偵測到的攻擊和掃描的行為,具有主動和自動的阻擋功能,並且在阻擋完成後,會告訴防禦的一方有人曾經試圖對你的系統進行掃描和攻擊,但是已經被我 (IDP) 成功阻擋了,所以攻擊者沒有得逞,並且 IDP 也會告訴你 (防禦者) 它所知道的關於這個攻擊者的訊息,常見的包括 IP 地址、DNS 名稱,用哪個 port 連進來的,連到你 (防禦者) 的哪個port,發動攻擊的日期和時間,攻擊者的電腦名稱 ,甚至於攻擊者的網卡物理位址 (這是全世界獨一無二的你想賴都賴不掉)。不過也有專家認為IDP和IPS只是名稱或叫法的不同,實際的作用是相同的。
沒有留言:
張貼留言