论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-10-20 17:18 
离线
高级用户

注册: 2008-01-10 11:08
最近: 2015-02-12 12:15
拥有: 2,116.00 安全币

奖励: 443 安全币
在线: 3882 点
帖子: 169
yaotiandong 写道:
whitesea 写道:
既然想部署IDS,当然是希望检测全部的流量,所以本来就应该镜像在核心交换机上。
当然,如果流量太大,也可以一个vlan一个IDS,便于日常监测。

1、一般来说,部署在内网中的IDS主要用于发现内网中的主机发起的主动的连接行为是否包含异常流量或者触发了设备策略。因此,不管一个局域网中有多少台主机,都可以把IDS部署在核心交换机上,通过核心交换机的端口镜像功能,把流量复制到IDS上进行分析。
2、本方案中,不了解为什么楼主不做双核心呢?那样的话可以大大提高网络的可靠性和业务的连续性。而且,由于现有的IDS产品都支持虚拟IDS,即一个IDS产品可以分析传来的多路流量,完全可以通过设计双核心的思想来进一步提高网络的安全水平。
3、目前的IDS产品能够支持的流量已经足够大了。要知道不管是接入交换机还是核心交换机,其镜像端口最多只有一个,也就是说不管核心交换机的背板带宽多大,其复制到IDS上的流量只有1000Mbps,目前市面上常见的千兆IDS已经足够了吧。(这里不讨论万兆的核心,万兆核心一样可以做到)
4、只要通过在核心上做镜像,不管你的内网中有多少个VLAN,你总是要通过核心的,通过核心的流量IDS总是会通过镜像端口把数据包全部都拿过来的。就我接触过的一些网络来说的话,将近8K人的网络规模,一台千兆IDS足矣。


有些不仔细的东西,经楼上一说,豁然开朗啊,多谢!目前都只偶尔用用IDS,如何部署也是学问哈。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-10-20 17:23 
离线
高级用户

注册: 2008-01-10 11:08
最近: 2015-02-12 12:15
拥有: 2,116.00 安全币

奖励: 443 安全币
在线: 3882 点
帖子: 169
jimao123 写道:
用什么IDS啊,啥年代了都。
如果用IDS,无非监控外网和核心。
在核心上,把外网接口和2个vlan作为镜像源,一组镜像,全部搞定。
另外IDS支持多监控口,想监控哪里就哪里。

这个问题10年前提出差不多。



其实IDS用处确实不大,但是用来抓包却是不错的,而且支持正则表达式,可以抓一些特定的包。
将IDS串联到应用服务器上,抓可以接受误报的、可以确定服务器中招的包,还是不错的。
大型内网一般有行为管理,IDS发挥的地方不大。


--------本帖迄今已累计获得52安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-10-21 15:54 
离线
超级用户

注册: 2005-02-01 12:56
最近: 2015-09-16 19:05
拥有: 8,008.80 安全币

奖励: 84 安全币
在线: 6414 点
帖子: 340
地址: Beijing
whitesea 写道:
yaotiandong 写道:
whitesea 写道:
既然想部署IDS,当然是希望检测全部的流量,所以本来就应该镜像在核心交换机上。
当然,如果流量太大,也可以一个vlan一个IDS,便于日常监测。

1、一般来说,部署在内网中的IDS主要用于发现内网中的主机发起的主动的连接行为是否包含异常流量或者触发了设备策略。因此,不管一个局域网中有多少台主机,都可以把IDS部署在核心交换机上,通过核心交换机的端口镜像功能,把流量复制到IDS上进行分析。
2、本方案中,不了解为什么楼主不做双核心呢?那样的话可以大大提高网络的可靠性和业务的连续性。而且,由于现有的IDS产品都支持虚拟IDS,即一个IDS产品可以分析传来的多路流量,完全可以通过设计双核心的思想来进一步提高网络的安全水平。
3、目前的IDS产品能够支持的流量已经足够大了。要知道不管是接入交换机还是核心交换机,其镜像端口最多只有一个,也就是说不管核心交换机的背板带宽多大,其复制到IDS上的流量只有1000Mbps,目前市面上常见的千兆IDS已经足够了吧。(这里不讨论万兆的核心,万兆核心一样可以做到)
4、只要通过在核心上做镜像,不管你的内网中有多少个VLAN,你总是要通过核心的,通过核心的流量IDS总是会通过镜像端口把数据包全部都拿过来的。就我接触过的一些网络来说的话,将近8K人的网络规模,一台千兆IDS足矣。


有些不仔细的东西,经楼上一说,豁然开朗啊,多谢!目前都只偶尔用用IDS,如何部署也是学问哈。

兄弟这架构,是对多大的网络规模的?哪位说数据中心里的东西流量一定要过核心的?要是说服务器和客户端混在一个局域网结构内,还勉强说得过去。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-10-21 17:46 
离线
初级用户

注册: 2010-06-18 11:33
最近: 2018-04-11 13:31
拥有: 5,891.00 安全币

奖励: 30 安全币
在线: 7652 点
帖子: 39
whitesea 写道:
jimao123 写道:
用什么IDS啊,啥年代了都。
如果用IDS,无非监控外网和核心。
在核心上,把外网接口和2个vlan作为镜像源,一组镜像,全部搞定。
另外IDS支持多监控口,想监控哪里就哪里。

这个问题10年前提出差不多。



其实IDS用处确实不大,但是用来抓包却是不错的,而且支持正则表达式,可以抓一些特定的包。
将IDS串联到应用服务器上,抓可以接受误报的、可以确定服务器中招的包,还是不错的。
大型内网一般有行为管理,IDS发挥的地方不大。


有工具是好,但重要的是分析,需要分析,多数为预警。
分析工具好坏,决定系统是否好用啊。


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-10-25 00:06 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2018-05-14 09:27
拥有: 9,427.60 安全币

奖励: 1067 安全币
在线: 5498 点
帖子: 1297
地址: www.youxia.org
想说的上面的兄弟们都说了

看自己的实际需求吧,一般在内网,建议做全部流量的
如果挂到外网,一般只建议挂DMZ的流量


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-11-10 13:16 
离线
中级用户

关注按钮

注册: 2011-09-14 11:34
最近: 2013-04-13 17:39
拥有: 414.00 安全币

奖励: 492 安全币
在线: 2719 点
帖子: 88
貌似一般在内外网之间,起一个保护内网的作用


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教:入侵检测系统部署问题
帖子发表于 : 2011-11-18 09:35 
离线
新手

关注按钮

注册: 2011-11-02 09:54
最近: 2012-07-11 16:26
拥有: 56.00 安全币

奖励: 0 安全币
在线: 354 点
帖子: 5
看你们的业务流向。如果你们有WEB或其他对互联网开放的服务,那么就可以对来自互联网的流量进行分析,看是否有针对对外业务的攻击。
内网部署IDS也是有一定作用的 ,不过作用生效的前提是,1应付上级监管单位检查;2对安全有一定了解的员工,能够读得懂日志,能够通过日志分析的出一些东西;3针对安全的维护需要加入到日常的网络管理维护工作中来,形成制度约束;4你们领导确实有意愿做安全,愿意投资。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 22 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012