|
|
对于入侵检测系统来说,其类型不同、应用环境不同,部署方案也就会有所差别。对于基于主机的入侵检测系统来说,一般用于保护关键主机或服务器,因此只要将它部署到这些关键主机或服务器中即可。但是对于基于网络的入侵检测系统来说,因各种网络环境千差万别,根据网络环境的不同其部署方案也会有所不同。
|
|
|
|
在共享介质的环境下,传感器能够监听到整个冲突域内的流量,所以只需要把传感器的监听端口接到Hub上即可,如下图所示。
|
|
|
|
|
|
在交换环境下,每个交换机的端口都是一个独立的冲突域,因此传感器不能直接监听到交换机其他端口的流量。通常可以采用以下几种方法解决此问题。
|
|
|
(1)在交换机和路由器之间接入一个集线器,从而把一个交换环境转换为共享环境。这样做的优点是简单易行、成本低廉。如果客户对网络的传输速度和可靠性要求不高,建议采用这种方法,如下图所示。
|
|
|
|
|
(2)如果交换机支持端口镜像功能,建议采用以下方法:在不改变原有网络拓扑结构的基础上完成传感器的部署。其优点是配置简单、灵活,使用方便,不需中断网络。这是比较常用的一种方式,如下图所示。
|
|
|
|
|
(3)如果交换机不支持端口镜像功能,或者出于性能的考虑不便启用该功能,可以采用TAP(分支器)。它的优点是能够支持全双工100Mb/s或者全双工1000Mb/s的网络流量。
|
|
|
|
|
|
此种区域网连接方法较为简单,内部网络中各机构的主机使用共享式集线器连接到交换机上,或主机直接连接到交换机上,交换机不设VLAN,交换机再通过路由器接入Internet。在这种情况下,将IDS监测主机接到交换机的广播口(监听口)即可监听到内部网络间的所有通信及内部网络到Internet的所有通信,如下图所示。
|
|
|
|
|
|
网络结构相对较复杂,内部网络中各机构间使用交换机连接到主交换机上,通过主交换机连接路由器接入Internet。此时在主交换机的广播口(监听口)上无法监听到从交换机上的机器间的通信,为了全面监控网络,捕捉内部网间的恶意攻击与入侵行为,就需要为每个重要的网段部署一个入侵检测探测器,并分别将检测到的事件发送到集中管理控制台,如下图所示。
|
|
|
|
|