小师妹聊如何部署IDPS

今天想和大家聊一聊如何有效的部署和操作IDPS。顾名思义，对于安全事态来说，IDPS是一种事前检测并主动防御的安全设备。

小师妹系列前传：

• 小师妹聊安全标准
• 小师妹聊安全标准(二)

首先还是对IDPS做一个书面解释吧!

IDPS

为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备，IDS仅能对发现的这些活动予以报警，而IPS则有能力阻止某些检测到的入侵。

部署目的

部署入侵检测和防御系统(IDPS)的目的是被动监视、检测和记录不适当的、不正确的、可能产生风险的，或者异常的活动，当有可能入侵的活动被检测到时，IDPS会发出报警或自动响应。我们可以通过获取IDPS软件和硬件产品来部署IDPS，当然也可以直接通过IDPS服务厂商提供外包IDPS能力的方式部署IDPS。

关键词

监测、分析、响应

类型

一般来说，IDPS分为两种类型，一种是基于网络的IDPS(NIDPS)，另一种是基于主机的IDPS(HIDPS)，各有不同的特征。

• NIDPS：监视特定网络段或设备的网络流量，通过分析网络和应用协议活动来识别可疑活动;
• HIDPS：监视单个主机及发生在主机中的事件特征，通过三种基础方法(即基于特征检测、基于异常统计检测、状态协议分析检测)对可疑活动进行检测分析。
• 聊到这里，我们可以再来了解一下，基于主机和基于网络的入侵一般发生在哪些方面。

因此，在部署IDPS时，从安全角度考虑，我们一般都会把NIDPS和HIDPS结合在一起使用，达到更好的安全事态覆盖和报警分析的能力。

部署时值得注意的是：

部署一阶段

想要选到符合公司自身需求的IDPS产品是非常不容易的，为什么这么说?因为现在市面上的IDPS产品太多，并且产品之间可能存在不兼容的情况，这就需要通过集成，所以也就提高了部署的难度。

从前，我们可以在低成本主机上部署免费的IDPS产品，随着信息化的发展，当前用的都是依靠最新硬件支撑的昂贵商用系统。

在选择IDPS之前，至少要做三件事情：

• 第一件，公司需要做一个全面的信息安全风险评估，针对可能存在的脆弱性和威胁进行识别，再基于风险评估和资产保护优先级(确定优先保护什么资产)来考虑部署IDPS，为IDPS提供的功能提供需求基础。

至少需要收集的系统环境信息包括：

• 第二件，识别当前已经有的安全保护机制。

例如：

• 第三件，考虑IDPS的性能。

一般考虑因素有以下5个：

在某些时候，当带宽或网络流量增加时，许多IDPS将不再能够有效和持续地检测入侵，会导致错过或者漏掉可能是攻击的流量包。有此属性的IDPS不建议考虑。

部署二阶段

确定IDPS的安全策略，该阶段需要确定几件事情，如下：

• 对什么信息资产进行监视;
• 需要什么类型的IDPS;
• 部署在什么位置能满足公司安全需求;
• 要检测什么类型的攻击;
• 要记录什么类型的信息;
• 未成功打开或未成功关闭情形采取什么策略;
• 检测到攻击时能提供什么类型的响应或报警。

注：当前一般可采用的报警策略包括电子邮件、网页、短信系统(SMS)、SNMP事态以及攻击源的自动阻止。

上面我们聊过，现在基于硬件支撑的IDPS非常昂贵，想必没有哪个公司会在每台主机上都部署HIDPS，只能在关键主机上部署，并且部署时建议根据风险分析结果和成本效益两个因素进行优先级排序，当HIDPS部署在所有或者相当大数量的主机上时，应该部署具备集中管理和报告功能的IDPS，这样可以降低对HIDPS报警实施管理的复杂度。

在部署NIDPS时，主要考虑将系统传感器放置在哪个位置比较合适，一般来说，可部署在：

典型的NIDPS部署如图：

1. 位于外部防火墙之内的NIDPS

（编辑：ASP站长网）