目录
一、结合以下问题对当天内容进行总结
1. 什么是IDS?
2. IDS和防火墙有什么不同?
3. IDS工作原理?
4. IDS的主要检测方法有哪些详细说明?
5. IDS的部署方式有哪些?
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
二、复现上课演示实验
一、结合以下问题对当天内容进行总结
1. 什么是IDS?
IDS(入侵检测系统):长时间的监测
-
识别入侵者
-
识别入侵行为
-
检测和监视已成功的入侵
-
为对抗入侵提供信息与依据,防止事态扩大
作用:对系统的运行状态进行监视,发现各种企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。
异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征:IDS核心是特征库(签名)
2. IDS和防火墙有什么不同?
1、防火墙是针对黑客攻击的一种被动的防御,旨在保护;
IDS则是主动出击寻找潜在的攻击者,发现入侵行为。
3、防火墙是设置在**保护网络(本地网络)和外部网络(主要是Internet)**之间的一道防御系统。
3、防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
4、防火墙可以允许内部的一些主机被外部访问,
IDS则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理?
I DS:入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
4. IDS的主要检测方法有哪些详细说明?
异常检测模型(Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型(Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测。
5. IDS的部署方式有哪些?
-
共享模式和交换模式:从 HUB 上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
-
隐蔽模式:在其他模式的基础上将探测器的探测口 IP 地址去除,使得 IDS 在对外界不可见的情况下正常工作。
-
Tap 模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
-
In-line 模式:直接将 IDS 串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。
-
混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:
由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名配置作用: 就是为了就是用于更细致化的进行IPS流量的放行。
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中的报文方向=行,且不记录日志。
二、复现上课演示实验
IDS系统搭建
1.建立基础拓扑图
2.配置路由
3.添加安全策略
4.在安全策略里修改入侵防御配置文件
5.配置例外签名,先查询到签名id
基本配置成功,最后确定提交就可以了。
