-物理层
物理层定义了设备接口上的一些电子电气化的标准,比如RJ45接口,光纤接口。传输介质双绞线,无线,光,电。等
--数据链路层
二层定义了一个重要的表示,MAC地址,准确的说他必须在一个LAN内是唯一的。他又48位的十六进制组成,前24位是厂商表示,后24位 是厂商自定义的序列号。有时候 MAC地址就是表示了一个设备的位置。
--网络层
网络层是用来逻辑上选路寻址的,这一层最重要的一个协议就是IP协议。基于ip 又分为 ARP,RARP,ICMP,IGMP等
--传输层
这一层定义类了 两个重要的协议 TCP和UDP 。还有就是端口号的概念。这一层关联的是一个主机上的某个程序或者是服务。比如 tcp 80 的web服务 udp 4000的QQ 程序等。
--会话层
主要作用是建立会话和管理会话。我一般这样理解 会话的 比如 telnet 一台主机,是一次会话的链接。打开百度的网页,就和百度的服务器建立了一次会话。
--表示层
因为底层传输的是二进制,应用层无法直接识别。所以根据这一层的名字可以直接理解为他是一个翻译。比如把一长串的数据“翻译”成rmvb格式,交给上层的 快播 这个程序,把另一串数据“翻译成”MP3格式交给 音乐播放器。其实这一层的工作很多。
压缩,解压缩,加密,解密等
--应用层
为用户提供了一个可以 *** 所的界面,如windows的桌面化或UNIX的字符界面。
OSI七层的每一层是独立工作的,但是层与层之间是相互“合作”“兼容”的关系。
12 [三层交换和路由器的不同]
虽说三层交换机和路由器都可以工作在三层,但本质上还是有所区别。
一 在设计的功能上不同
现在有很多的多功能路由器,又能实现三层的路由功能,包括NAT地址转换。有提供了二层的端口,有的还配置了无线功能。再有就是还具备防火墙的功能。但是你不能它单独的划分为交换机或者是防火墙吧。只能说是个多功能的路由器。防火墙二层交换只是他的附加功能。三层交换也一样,主要功能还是解决局域网内数据频繁的通信,三层功能也有,但不见得和路由器差很多。
二 应用的环境不同
三层交换的路由功能比较简单,因为更多的把他应用到局域网内部的通信上,主要功能还是数据的交换
路由器的主要功能就是选路寻址,更适合于不同网络之间,比如局域网和广域网之间,或者是不同的协议之间。
三 实现方式不同
路由器能够实现三层的路由(或转发) 是基于软件的实现方式,当收到一个数据包要转发的时候,要经过查看路由表,最长匹配原则等一系列复杂的过程最终实现数据包的转发,相比三层交换效率略低。而三层交换是基于硬件的方式实现三层的功能,他成功转发一个数据包后,就会记录相应的IP和MAC的对应关系,当数据再次转发是根据之前的记录的表项直接转发。这个过程成为“一次路由,多次交换”。
总之,三层交换和路由器的最大区别是路由器可以基于端口做NAT,而三层交换机不能。路由器直接接入光纤可以直接上网,而三层交换机不能。主要是三层交换机的每一个接口都有专有的MAC地址和特定的ASIC集成电路。
13 [静态路由和动态路由的区别]
静态路由特点
静态路由是管理员手工配置,精确。但是不够灵活,是单向性的。考虑到静态路由稳定,节省资源(内存,cpu,链路带宽)。在网络TOP不是很大的环境中常用。
动态路由的特点
动态路由的好处就是路由器本身通过运行动态路由协议来互相学习路由条目,在大型的网络环境中,一定程度上减少了工程师的工作量。动态路由协议分为很多种,IGP和EGP,IGP中根据工作的原理分为链路状态型和距离矢量型的。但是不管哪一种动态协议,他都要经过以下几个过程。
1“说话” 向其他的路由器发送路由信息
2“收听” 接收其他路由器发来的路由信息
3“计算”不同的动态路由协议有不同的算法,每种路由协议通过自己特有的算法把收到的路由信息计算,得出最好的路由条目,加载到路由表中。
4“维护” 维护路由表,当TOP发生变化的时候,及时的更新自己的路由表,并发送变更的消息
在生产环境下,应当更具不同的网络规模,选择不同的路由协议。
14 [描述一下ACL和NAT]
ACL:acl访问控制列表是用来制定规则的一种机制。他用来告诉路由器那些数据包访问那些资源是允许的,那些是拒绝的。他可以分为两种方式,一是标准的访问控制列表,只能基于源地址进行限制。而是扩展的访问控制列表,他不仅可以基于源地址和目标地址进行过滤,还可以根据端口来进行限制。ACL的工作原理就是读取数据包的三层和四层,和访问控制列表中的条目进行匹配,如有相符的,直接按照策略(允许或拒绝),不在往下匹配。如没有匹配的条目则按照默认规则。
NAT:nat网络地址转换,是为了解决ipv4地址空间不足产生的。
Nat的原理就是替换掉数据包中的源ip+端口或目标ip+端口,以达到私有地址不能再公网上传播的这种情况,或者是局域网中服务器的发布。Nat一定程度上提高了局域网用户的安全性。
实现方式大概可以分成 静态NAT,动态NAT PAT(端口复用)
15 [描述一下VLAN]
VLAN 是为了避免二层出现广播风暴给大面积用户带来影响,所采取的一种手段。
Vlan 带来的好处
减少广播风暴
提高一定的安全
简化网络的管理,有易于故障排查
Vlan 是把局域网进行逻辑上的分割,实现方式有两种
1静态vlan 基于端口的vlan (常用)
2基于MAC地址的vlan (适合于移动用户)
Vlan之间的通信需要配置TRUNK链路(中继) 封装模式有两种
Isl 思科私有的技术,在数据帧的头部和尾部添加30字节的标示符
Dot1q 通过 在mac地址后面打标记的方式 标识vlan 共4个字节 公有协议
16 [RIP和OSPF的区别]
两者都属于IGP协议,rip是典型的距离矢量动态路由协议。Ospf是链路状态型的协议
Rip是整张路由表进行广播更新(v2是组播),学习未知的路由条目,有存在环路的情况
并且没有邻居表,网络收敛速度比较慢。因为有环路的缺陷,不适合较大的网络使用。
Ospf组播更新,并且只有TOP发生变化的时候才出发更新,把收到更新的路由会放置在LSDB中,并生成路由。Ospf本身没有环路的产生,并且是有分层的结构,而rip是平面的没有层次化。所以ospf比rip收敛速度快。在NBMA网络中还会有DR和BDR的概念,促进了ospf的收敛。
Rip 管理距离 120 ospf 管理距离 110
17 [解释以下术语的意思]
LAN 本地局域网
WAN 广域网
VLAN 虚拟局域网
WLAN 无线局域网
*** 虚拟专用网
AD 管理距离,用来衡量不同路由协议生成去往同一目标的可信值
Metric 度量值,用来判断同一种路由协议生成去往同一目标的优先级
18 [简述一下stp是什么]
Stp 生成树协议。
一个良好的网络应该要考虑到链路的冗余,比如二层的交换机做冗余,来防范单点故障带来的问题。但是二层做冗余的话会带来一些问题:
1广播风暴,因为二层对未知数据帧的处理是进行广播,而且二层的封装结构又不像三层那样有TTL 的机制来防护。所以一旦广播风暴产生,其他的交换机就会跟着广播,造成链路的堵塞瘫痪。
2MAC地址的重复。因为二层的工作原理,会造成交换机对一个MAC的多次重复的去学习,造成不必要的资源浪费,直到设备瘫痪
3MAC地址表的不稳定,因为要重复去学习一些地址。造成转发效率缓慢。
二层环路带来的后果是严重的 ,stp协议就是在冗余的环境下,逻辑上去DOWN掉一个借口,打破环路的产生,同时做到冗余。当环境变化时,会自动跳转down的接口。
19 [STP计算的过程]
1选择根网桥
2选择根端口
3选择指定端口
4指定阻塞端口
20 [描述一下HSRP]
热备路由协议 是Cisco私有的网关冗余协议。它是由一组路由器(最低2台)构成的一个热备组 作用是为用户提供一个不间断的网关ip,用户通过这个ip访问互联网,即使真实的网关设备DOWN掉一台,也不会影响客户的正常工作。
原理: 热备组中包含4中路由器的角色,
活跃路由器:负责承载发往虚拟ip地址的流量,是真正转发用户数据流量的路由器,
同时向UDP1985发送hello包 表明自己的状态,一个组中只有一台
备份路由器:监听整个HSRP组的状态,是成为下一个活跃路由器之前的状态,一个组中只有一个 同时向组中发送
其他路由器:静听整个HSRP组的状态,是备份路由器的候选者
虚拟路由器:为客户端提供一个虚拟的ip和MAC 能够然活跃路由器转发。
当活跃路由器Down后 备份路由器收不到hello包 就会成为活跃路由器。而这个转换的过程用户是感觉不到的。
请添加详细解释
以下是某求职者面经:威海广电网络公司的我倒是考过,职位我忘了,你做个参考吧:1、基本的计算机、电子类常识,我那次就考过10进制转化成2进制,二极管的基本知识(单向导通性);2、网络方面的的一些(我们专业不学网络,所以具体是什么我说不清,我只能告诉你是路由器、网络交换、网络配置这一类,网络交换应该是局域网的搭建、配置类的,就是有一个大的计算机图标,下面一群线连着一群小的计算机,让你搞一搞怎么配置能用,怎么分配IP地址,IP地址这个考过,我不学计算机,我真的只能描述到这一步了,不过网络方面的内容应该跟思科考试的内容是一样的,思科我多少看过点,应该差不多)。
随着互联网技术发展,现在越来越多的公司把网络视频面试作为招聘面试的可选择项目。视频面试能在一定程度上提高跨区域面试的效率,减少面试的成本费用。虽然目前因为一些公司认为视频面试不利于面试者和面试官之间发生更好的互动,视频面试的应用还没有完全推广开来,但是我们还是有可能会遇到这个问题。与其遇到了再上网找攻略,不如现在就做好准备。现在我就给大家分享一些视频面试的干货。
视频面试大体上跟面对面面试差别不会很大,至少面试内容、步骤是差不多的,但是在细节方面要注意的就很多了,我们现在一个一个来说。
01 准备阶段
1、确认网络状况是否良好。一定要找一个信号比较好。比较稳定的地方进行视频面试。如果在面试过程中出现信号中断或者信号时好时坏,会让人觉得你对这场面试不够重视,准备很不充分,连最基本的都做不好。即使表现得再好,面试能通过的概率也不大。
2、确认电脑、摄像头、音箱、麦克风这些设备是否正常运转。最好提前一些时间把这些设备都仔细检查一遍,如果还担心会出问题,可以找朋友模拟一遍,看看有什么不妥的地方。千万不要到面试开始了才发现问题,总不能让面试官等你折腾完才开始面试吧。
3、确认周围环境足够安静以及会不会有人中途打断或者影响你的面试。找一个不会有杂音的地方,才能保证面试不会被打扰或者让你分心。最好到房间里,把门关好,在门口贴上一张纸,告诉来人你在进行很重要的面试,不要轻易打扰。
4、确认背景是否干净整洁。最好找一面白墙做背景墙,干干净净的,看着多舒服,也显示出你是经过了精心准备的,对本次面试很重视。如果没有,也可以用书架/书柜当背景,但是要提前检查一遍书柜上面有什么不合适的东西,要清理好。千万千万不要随便找块地就开始面试了。在摄像头拍到的范围内必须干净整洁,不能有什么胡里花哨的东西干扰视线。
5、确认灯光是否足够亮。面试之前预览一下画面,检查灯光是否足够亮,能不能看清人。当然,太亮也不行,要是把脑门照得锃亮锃亮的,对形象也不好。
6、确认着装是否得体。视频面试跟面对面面试的着装要求是一样的,不要穿个睡衣什么的就面试了,穿着一定要得体。还有一点,千万不要想着,我上半身穿得正式一点就好了,反正下面也看不到,就穿一条大裤衩还凉快。万一面试过程中需要你起身拿什么东西,你是起还是不起?
7、确认眼镜是否反光。有的人担心面试的时候忘词什么的,特地做好小抄贴在电脑屏幕上,但是因为眼镜反光,直接就把自己出卖了。尤其是蓝光眼镜,反光特别厉害,就算你没有贴小抄,一大块反光放那,你是要把面试官闪瞎吗?先试试调整灯光的角度、亮度,看看能不能解决。不能的话,要么选择戴隐形眼镜,要么就把眼镜摘了吧。
02 面试阶段
1、切记盯着摄像头说话。面试的时候一定要记得盯着摄像头,而不是光盯着屏幕。只有盯着摄像头说话,面试官才会觉得你是在看他,你们才能有眼神交流。
2、保持微笑。面带笑容不管是在面对面面试还是视频面试都是很重要的,在视频面试里尤甚。紧张得不露一点微笑很容易让人觉得你在板着脸,面试气氛就会很严肃,带着笑容则能让气氛轻松一些。
3、坐姿是否得体。做的时候不要完全靠着椅子,可以稍微前倾。坐的位置能让你露出腹部往上一个拳头的位置为宜。
4、适当地运用肢体语言。毕竟不是面对面交流,所以一定要记住要有适当地肢体语言,让面试官有代入感。但是也要记住,过多的肢体语言容易让面试官分心。
IDS 和IPS
从题库里找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
•服务器区域的交换机上
•Internet接入路由器之后的第一台交换机上
•重点保护网段的局域网交换机上
防火墙和IDS可以分开 *** 作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
IPS:侵入保护(阻止)系统
导读:侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与 *** 作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护和/或
该网络领域中存在极可能发生的内部爆发
配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
IDS和IPS争议有误区
导读:对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
很显然,用户需要的不是单一的产品,也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”,也就是用户的安全是要靠众多技术、产品、服务和管理等要素组合成一个完整的体系,来解决所面临的安全威胁,以保护信息资产和正常业务。
在安全保障框架中,不同的产品、服务、措施会在不同的地方发挥作用。比如,PKI和生物鉴别机制的优势在鉴别认证领域能够很好地发挥作用;入侵检测则在监测、监控和预警领域发挥优势;防火墙和IPS能在访问控制领域发挥长处;数据加密和内容过滤在内容安全领域独领风骚。讨论不同的安全技术领域哪个更加符合用户的需求,其实不如探讨让各种安全技术如何有效地协同工作。
IPS真的能够替代防火墙和IDS吗?提供IPS(IDP)的厂商常常声称,其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测,企图达到把IPS的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样。我们必须从技术本质上寻找解决办法。目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题。
当然,检测和访问控制如何协同和融合,将会一直是业内研究的课题,也将会有更多更好的技术形态出现。不管叫什么名字,适合用户需求的就是最好的。
三个维度区分IDS与IPS
导读:3年前,当入侵防御技术(IPS)出现时,咨询机构Gartner曾经预言,IDS(入侵检测)即将死亡,将由IPS取代,当时曾引起媒体一片讨论。2006年,咨询机构IDC断言,IDS与IPS是两种不同的技术,无法互相取代。而今天,依然有很多用户不清楚两者之间的差别。
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
IDS与IPS各自的应用价值与部署目标
导读:从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)