UTM/IDS/IPS

安全防护系统是一个多层次的保护机制，它既包括企业的安全策略，又包括防火墙、防病毒、入侵防护等多种产品的解决方案。传统的，我们会仅用防火墙或防毒墙来反击，但因为他们主要是防御直接的可疑流量，面对黑客攻击水平的不断提高，及内部因计算机操作而存在的安全隐患等混合威胁的不断发展，这种单一的防护措施已经显得力不从心。

性能指标是每个用户采购安全产品必定关注的问题。但是，如果不知道这些指标的真实含义，不知道这些指标如何测出来，就会被表面的参数所蒙蔽，从而做出错误的决策。

所谓Web业务，是指由企业发布的完成其特别商务需求的在线应用服务，其它公司或应用软件能够通过Internet来访问并使用这项应用服务。WEB业务采用基本的Internet协议“松”连接网络上的服务节点，并将业务“过程”定义在WEB应用程序中，利用标准的存取协议（XML）为客户端节点提供服务。

对于“IDS和IPS(IDP)谁更满足用户需求？”这个问题，给人一个二选一的感觉。对于IDS和IPS的业界讨论，也从2003年 Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告开始在安全业界掀起不小的波动。经过了这么长时间的反复文字争论，以及观看近来的产品开发和市场反馈，冷静的业界人士和客户已经看到这根本不是一个二选一的问题。回答这个问题和回答“IDS和防火墙谁更满足用户需求？”

当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。

中国IT实验室随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而，与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。

随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

如果你只有一台电脑，那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样，但却有此可能。不过，在现实世界中，我们需要一些好的工具来帮助我们监视系统，并向我们发出警告，告诉我们哪里可能出现问题，因此我们可以经常地轻松一下。入侵检测可能是一种令我们操心的问题之一。不过，事情总有两方面，幸好Linux的管理员们拥有可供选择的强大工具。最佳的策略是采用分层的方法，即将“老当益壮”的程序，如Snort、iptables等老前辈与psad、AppArmor、SELinuxu等一些新生力量结合起来，借助强大的分析工具，我们就可以始终站在技术的前沿。

入侵检测的内容。关于入侵检测的 \"定义 \"已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。

Sysmaster 数据库是 IDS 系统中的一个伪数据库，它提供关于 IDS 服务器的共享内存结构的信息，对于监视服务器的状态和性能非常有帮助

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IDS Categories（IDS分类）

编者按：本文从分析入侵检测系统IDS与入侵防御系统IPS的优势与缺陷入手，着重阐明两者在当前网络与信息安全体系建设中不可或缺的地位，认为应该突破IPS与IDS势不两立的理念，使两者能够不断创新、相辅相成，共同为网络与信息安全建设服务。文中还提供了协同部署防火墙、IDS和IPS的高可用性（HA）网络与信息安全解决方案，以供信息安全工作者和广大用户参考。

侵入保护（阻止）系统（IPS）是新一代的侵入检测系统（IDS），可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。

由于共享式HUB可以进行网络监听，将给网络安全带来极大的威胁，故而现在网络，尤其是高速网络基本上都采用交换机，从而给NIDS的网络监听带来麻烦。

IDS（Instrusion Detection System），也就是大家平时所说的入侵检测系统，广泛的被运用于各种操作系统的安全检测和安全防御，以及探测网络受攻击的程度和次数。为以后的网络安全管理提供详实的资料和证据。

IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同一款强大的杀毒软件必须拥有强大切完善的病毒库一样。但是，IDS一般所带的特征数据库都比较滞后于新的攻击手段，入侵行为稍微改变往往便会相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板！本文将对入侵特征的概念、种类以及如何创建特征进行介绍，希望能帮助读者尽快掌握对付入侵行为的方法。

入侵检测系统，能够实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，最大程度地保障安全。 然而"道高一尺，魔高一丈"，换个角度，如果你是一个名攻击者，你该如何去做呢？ 当然，按道理来说，IDS发展方向是在保证足够优良的性能的同时，能够对抗相应的IDS攻击方法。

随着网络的发展和应用的深入，黑客入侵事件变得越来越猖獗，给企业带来的损失和威胁也日益加大。人们发现，仅仅依靠传统的操作系统加固和防火墙隔离等静态安全防御技术已经远远无法满足现有网络安全的需要了。入侵检测系统（Intrusion Detection System? IDS）作为近十多年来发展起来的新一代动态安全防范技术，得到了深入的研究和广泛的应用。IDS通过对计算机网络或系统中的若干关键点收集信息，并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应于一体的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。