您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

IDS vs IPS vs UTM - 网络安全三剑客

时间:2019-08-15 10:49:12  来源:  作者:

在我们上一次网络广播中,我们了解了这些疯狂的首字母缩略词IDS和IPS的遗留问题以及它们与UTM软件模块的相似之处。每个人都喜欢引物和简单的描述性定义,所以让我们一起思考一下。

IDS

入侵检测传感器(IDS)是一种最明显可以检测到的东西;但是有什么事情?最终它可能是任何东西,但幸运的是大多数供应商都包含大量的“签名”和/或检测东西的方法。我想要检测什么?对于每个网络,这个答案会有所不同,尽管通常它会寻找不寻常的流量。什么不寻常?简单来说,它是您不希望在网络上流量的流量,无论是策略/滥用(IM,游戏等)还是最新的恶意软件。

正如他们在房地产中所说:它的位置,位置,位置。不是机架中的位置,而是IDS将监控的网络部分。监控入口/出口点的流量将显示进出的情况(当然,在防火墙策略批准之后),但可能不允许您看到远程办公室连接到核心组件。

 

您不想做的一件事是检查防火墙公共端的流量。监控内部交换机上的所有流量(如LAN或DMZ)将允许IDS监控用户活动或密钥服务器,但不会发现网络其他部分发生的事情。除非您拥有无限的资源,否则您可能无法监控网络上的所有内容,因此关键决策将是哪个流量最重要,哪个网段提供最佳优势。

IDS可以被动地监控多个网段,并可以监控IPS或UTM永远不会看到的流量,例如完全停留在LAN或DMZ内的流量。因此,IDS可以在桌面计算机上发出警报,攻击LAN上的其他桌面计算机,这是IPS或UTM因内联而错过的内容。

「网络安全」IDS vs IPS vs UTM - 网络安全三剑客

 

IPS与IDS

IPS(入侵防御传感器)在大多数情况下都是IDS,除了它可以对当前流量进行内联操作。这听起来很棒吗?好几乎。 IPS和UTM本质上必须是内联的,因此只能看到进出区域的流量。一个巨大的问题是IPS可以防止业务合法或创收流量(IPS,记住,可以改变流量)。 IPS操作包括drop,reset,shun或custom脚本操作,所有这些操作都会在签名匹配时立即发生。如果IPS丢弃合法流量,这种可能的负面行为会使负责安全的人现在对收入损失负责。根据我们的经验,只要您还利用区分IPS的关键组件,IPS设备就能成为出色的工具。

确保您的IPS设备能够“失效打开”;这意味着如果应用程序的任何部分发生故障,甚至机箱发生故障(任何人都会断电),该设备将继续通过流量。没有人想要一块阻碍数据流动的砖块。

 

还要意识到实际上只有一小部分签名可以被允许对流量采取行动。为了帮助减少误报率,应该有一个非常明确的家庭网或受保护的范围,允许面向方向的签名更有效。您还需要花费大量时间查看警报和事件输出,以确保允许采取措施的签名按预期工作。您可以在每次签名更新时花更多时间预先花费更多时间,查看供应商选择采取行动的签名,并考虑这会如何影响您的流量。我们已经看到这种方法在防火墙在“开放”网段之间不是很受欢迎的环境中效果最好。

「网络安全」IDS vs IPS vs UTM - 网络安全三剑客

 

UTM设备中基于软件的模块

这将我们带入统一威胁管理(UTM)设备中基于软件的模块。关于这些设备的关键项目恰好是缺点,尽管这并没有降低它们的功效。显然,它们只能位于UTM本身所在的位置。通常,这是您的Internet网关或LAN和DMZ之间的访问控制点的交接点。在这种情况下,UTM将无法查看DMZ或LAN上的所有系统到系统流量,而只能看到来自该段的流量。

此外,UTM不是专用平台,因此倾向于具有更高的误报率(尽管这越来越好)。在高CPU或内存利用率的情况下,它们将关闭软件模块以保留设备的主要功能,作为防火墙。这是与不是专用平台相关的重要一点,有助于证明对专用设备的请求是合理的。如果您拥有的是这样的设备,我们会说它!从您的网络进出流量比看到根本没有任何IDS要好得多。请您的供应商验证他们是否在防火墙策略后对逻辑流量进行了逻辑检查,如果您的设备进入保存模式或始终看到高资源利用率,请务必立即通知自己。

「网络安全」IDS vs IPS vs UTM - 网络安全三剑客

 


「网络安全」IDS vs IPS vs UTM - 网络安全三剑客

 

因此,总之,比较IDS,IPS和UTM

「网络安全」IDS vs IPS vs UTM - 网络安全三剑客

 

这三者中没有一个是“设置并忘记它”的设备。 每天都会出现新的恶意软件和利用和检测的载体。 无论您的选择如何,您都会经常在签名事件/警报输出中重复进行维护,并且需要更新和管理您的策略,尤其是在IPS的情况下。 更新可以自动应用于所讨论的任何设备,但这并不能免除人工审查的需要。 每天留出一些时间来检查您的设备,并考虑关闭在您的环境中没有任何作用的签名组(想想“基于策略”)并精确调整其他噪音。

我们所写的所有警示性声明都希望不会吓到你。 在您的环境中进行流量检查是了解网络流量的好方法。

原文:https://www.alienvault.com/blogs/security-essentials/ids-ips-and-utm-whats-the-difference

本文:http://pub.intelligentx.net/ids-vs-ips-vs-utm-whats-difference



Tags:IDS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
然后我们再来看看,androidstudio的布局编辑器的使用. 可以先打开layout中的一个xml去看看,右边有所见即所得的编辑器,以前用eclipse,都是跑起来看,太麻烦了. ​可以看...【详细内容】
2021-04-14  Tags: IDS  点击:(304)  评论:(0)  加入收藏
入侵检测-intrusion detection system系统,简称IDS,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵检测系统(IDS)检查所有进...【详细内容】
2021-01-12  Tags: IDS  点击:(544)  评论:(0)  加入收藏
通过 Android Studio 创建“Hello, World!”项目并运行它。①打开AS,在 Welcome to Android Studio 窗口中,点击 Start a new Android Studio project。②在 Configure your p...【详细内容】
2020-10-09  Tags: IDS  点击:(84)  评论:(0)  加入收藏
荷兰艾滋病机构Aidsfonds位于阿姆斯特丹的新办公室,Hollandse Nieuwe设计团队通过讲述属于他们的情感故事,创建了一个丰富多彩的办公空间,去支持这群富于爱心的人们在积极和热...【详细内容】
2020-07-21  Tags: IDS  点击:(109)  评论:(0)  加入收藏
Redis 是一个高性能的分布式内存型数据库,在国内外各大互联网公司中都有着广泛的使用,即使是一些非互联网公司中也有着非常重要的适用场景,所以对 Redis 的掌握也成为后端工程...【详细内容】
2020-04-21  Tags: IDS  点击:(79)  评论:(0)  加入收藏
1. 前言本文主要介绍如何使用Linux命令来查看进程状态和信息。进程标识符process identifier (PID)是Linux / Unix内核(Windows操作系统也不例外)用来标识进程的数字号码。通常...【详细内容】
2019-08-29  Tags: IDS  点击:(293)  评论:(0)  加入收藏
什么是IDSIDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听...【详细内容】
2019-08-16  Tags: IDS  点击:(217)  评论:(0)  加入收藏
在我们上一次网络广播中,我们了解了这些疯狂的首字母缩略词IDS和IPS的遗留问题以及它们与UTM软件模块的相似之处。每个人都喜欢引物和简单的描述性定义,所以让我们一起思考一...【详细内容】
2019-08-15  Tags: IDS  点击:(195)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条