交換機與IDS聯動

2019-11-05 01:42:14

字體：大中小

來源：轉載

供稿：網友

    面對IDS的不足，我們該如何應對呢？換個角度去思考這個問題，可以看到，各種有關網絡安全的黑客和病毒都是依靠網絡平臺進行，而假如在網絡平臺上就能切斷黑客和病毒的傳播途徑，那么就能更好地保證安全，網絡設備與IDS設備聯動思想就應此而產生。
IDS與網絡交換設備聯動是指，交換機在運行的過程中，將各種數據流的信息上報給安全設備，IDS系統可根據上報信息和數據流內容進行檢測，并發現網絡安全事件的時候，進行有針對性的動作，并將這些對安全事件反應的動作發送到交換機上，由交換機來實現精確端口的關閉和斷開。

    這種智能交換機主要特點應該是能支持認證、端口鏡像、強制流分類、進程數控制、端口反查等功能，同時具備線速交換、穩定商用等特性。
    港灣網絡的FlexHammer5010、礖ammer3550等設備和IDS聯動，與傳統的IDS技術相比，實現了四點革命性的突破。
降低IDS誤報漏報率: 過高的誤報漏報使IDS成為“網絡中最大的安全隱患”，其本質原因在于它各種檢測機制過于簡單。
FlexHammer5010具有限制每個端口TCP/ip連接數目的功能，在IDS系統的前沿設置一道硬件屏障，降低IDS在異常檢測中由于閾值設置不當而帶來的誤報漏報。FlexHammer5010能主動丟棄超過極限值的非正常IP分片和異常TCP分段，降低IDS的誤報率。Flex Hammer5010具備強制流分類的處理能力，通過與IDS的配合，完善IDS在協議分析方面的能力，因為在交換機上增加協議分析功能相對在IDS上增加類似功能成本要低很多，因此該功能的提供降低了用戶在安全設備方面的投資。

    主動防御: FlexHammer5010可主動上報各種數據特征和流量特征給IDS設備，IDS設備就可以依據這些數據記錄全網的正常流量特征，通過一段時間學習，IDS可以把握每個端口正常數據流特征。以后當數據流進入網絡時，可將正常的網絡數據流特征與每個端口的數據流特征進行比較檢測，非正常數據流都不能給予通過，達到主動防御的效果。而這種正常數據流的特征是相對固定和少量的，不必做頻繁的升級和特征更新，保證了網絡安全的特征。

    準確事件定位和響應功能: 傳統IDS系統發現故障卻無法準確定位和有效處理，這對于網絡維護人員來說簡直是噩夢。FlexHammer5010具備多重網絡標識的綁定和端口反查功能，防止網絡欺騙行為。港灣網絡礖ammer3550接入層交換機上可對任何IDS設備開放網絡治理方面的指令，每一個接入層的礖ammer3550交換機都可服從入侵檢測系統的關閉端口等指令。
優化IDS性能: 當IDS的性能成為網絡安全中最短的那塊木板時，值得考慮的解決方案應該是采用分布式、專業化的IDS。FlexHammer5010通過啟用強制流分類可以有選擇性地屏蔽下層數據，凈化發送到IDS的數據報文，比如某網絡中只關心WWW數據的安全，那么可以選擇采購更便宜更專業的IDS系統，只做WWW數據的檢測，那么Flex Hammer5010此時就發揮數據凈化器的作用，保證一個低成本的IDS系統能準確無誤地完成專業數據的檢測工作。

上一篇：開啟未來——以太網技術大全

下一篇：解決網卡故障一例