注：木桶原理最適合來描述網絡安全問題，假如僅以簡單的依靠修修補補提高安全性很難，該提速的時候刻不容緩。

         思科信息安全部門于2001年部署了Cisco IDS 4230傳感器。此次部署不但證實了這種部署方案對思科的價值，還增進了思科對入侵檢測的了解。但是，IDS 4230傳感器的性能和治理還有一些局限，為突破這些局限，思科移植到了Cisco IDS 4250和IDS 4250-XL傳感器。  
   　
背景

    在網絡安全領域中，防火墻就似乎是堅固的門鎖和窗閂一樣，能夠阻擋他人的非法入侵。事實上，好的安全戰略也應該使用入侵檢測。與安全大廈內的警報器和攝像機相似，IDS警報不但能為警衛提供很多具體信息，包括入侵者進入大廈的方法和目前所在的位置等，還能提供必要的數據，幫助警衛確定快速緝拿入侵者的最佳方式，以及將來怎樣預防類似入侵的發生。思科內部信息安全（Infosec）部門在思科內部部署了防火墻和IDS。這些安全設備證實是有效的，例如，2001年（思科部署入侵檢測傳感器的當年），全球服務器共遭受了兩次災難性攻擊：Code Red 1和2（2001年7月）和NMDA（2001年9月）。在這兩次攻擊過程中，Cisco IDS 4230傳感器都在幾分鐘之內就注重到了可疑流量的迅速增加，在一小時之內，Infosec和IT工程師立即采取了相應的措施。

挑戰

    思科網絡和數據中心骨干網由超高速連接組成，多數為千兆位以太網。互聯網接入的速度也很高。但是思科原先采用的Cisco IDS 4230傳感器性能是一個瓶頸。另一個問題是，IDS 4230提供了很少的治理工具。為自動執行所需的許多治理功能，Infosec花費了幾個月來開發工具，包括更新配置和簽名文件、重新啟動傳感器等（參見附錄1：吸取的教訓）。

解決方案和成效

    思科Infosec已經開始用IDS 4250取代IDS 4230，以便在更大的互聯網DMZ內支持500Mbps的流量。此項工作從圣何塞開始。第一個IDS 4250傳感器（那時正處于β測試階段）于2002年11月安裝在圣何塞的DMZ，替換了兩個IDS 4230。替換之后，Infosec取消了小型IRSD傳感器不得不實行的流量分割和交換機跨區，簡化了體系結構，使IDS傳感器能夠首次“讀”所有的網絡流量，從而能夠更加全面地抵御各種威脅。我們不但能為IDS添加雙工警報簽名，還能為IDS 4250傳感器部署Cisco IDS Sensor Software 4.1，這樣，思科IT不但能享受到這些好處，還能將一臺設備配置為多個“虛擬傳感器”，更換掉數據中心里的大量IDS 4230傳感器。這種方法不僅釋放了數據中心的空間，還降低了治理成本。

下一步計劃

    思科Infosec計劃通過三個步驟升級到最新的IDS。第一步是將互聯網接入點中的35個Cisco IDS 4230傳感器升級為IDS 4250傳感器，此項工作在圣何塞升級成功之后進行。第二步是將數據中心里的IDS 4230升級到IDS 4250-XL，以便利用其千兆位性能處理通往數據中心的千兆位以太網網關接口。當這些升級都完成時，Infosec將能夠完全取消IDS內的流量分割和交換機跨區。第三步是將這些IDS 4250傳感器移植到最新的IDS Sensor Software 4.1，以便改善治理，降低虛警率，這些因素是Infosec當前IDS部署的最大問題（參見附錄1：吸取教訓）。目前，Infosec正在為計劃的內升級進行評估IDS Sensor Software 4.1，具體時間表將由人力資源部和預算審核部確定。