【IT168 导购】说到网络安全，很多人第一个想到的大多是防火墙，然而网络安全是否真的就局限于此或则说单单一个防火墙就能胜任了呢？其实随着技术的发展，网络日趋复杂，将黑客包容在内部网已是不辩的事实，这样，一致对外的防火墙所暴露出来的不足和弱点便越发明显，不但外网入侵者可以找到防火墙的后门，而且防火墙对来自内部的袭击形同虚设，更不要说其对病毒的无可奈何了。因此说以为在Internet入口处部署了防火墙的系统就足够安全的想法是不切实际的。
#$[*111918.jpg*#IDS应用示意图（点击看大图）*#0*#0*#center*]$#
    被动防御不如主动出击。IDS—入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。IDS作为防火墙的合理补充，可以弥补防火墙的不足，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，可以防止或减轻网络威胁。

    主要功能

    入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。除了防火墙和杀毒系统，入侵检测技术已经成为抵御黑客攻击的有效方式。成为网络安全的第三股热潮。IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS以报表的形式进行统计分析。

    IDS主要完成任务有：

    1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。
    2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。
    3．对用户的非正常活动进行统计分析，发现入侵行为的规律。
    4．检查系统程序和数据的一致性与正确性。

    一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供依据。它应该管理配置简单，使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。
 
    购买常识

    目前市场上的IDS产品按其输入数据的来源基本可分为两大类：基于网络的产品NIDS和基于主机的产品HIDS。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看做是一类入侵检测产品。基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。

    基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。

    混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况，一般为分布式结构，由多个部件组成。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。

    用户决定购买IDS首先应充分了解自己的网络拓扑结构，交换机是否支持监听？用IDS产品，主要想保护的资源是什么？主要防范外网黑客攻击还是内网恶意用户？其次，选择合适的IDS产品除考虑误报率与检测速度这两个重要的参考指标之外，还应考虑以下要素：
    1. 攻击检测的规则库的大小和检测的准确程度；
    2. 是否有内容恢复功能；
    3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能；
    4. 产品的性能如何；
    5. 是否集成网络分析和管理的辅助工具，如扫描器、嗅探器等；
    6. 是否自带数据库，不需第三方数据源，数据是否可自动维护；
    7. 管理维护是否足够简洁；
    8. 互操作性如何，是否可和防火墙联动；
    9. 自身安全性和隐蔽性如何；
    10. 可升级性如何。