方通 Sniper 入侵检测系统解决交换机
局限性问题
作者:方正科技 文章来源:赛迪网2003 年 06 月 19 日
一、问题为什么重要?
国内入侵检测系统的市场和产品都在不断成熟,到现在入侵检测系统和防火墙、防病
毒一起已经成为保护网络安全的三剑客。
但是这两年,厂商、媒体和网站一直是从正面宣传 IDS 的功能,却回避 IDS 的缺陷。
在众多的缺陷中,交换机的数据镜像、VLAN 给网络入侵检测系统(NIDS)的运用带
来很大的麻烦。而众多的 IDS 厂商却避而不谈,这必然会误导用户,使用户无法实现
自身安全价值的最大化。
方正科技软件一直致力于使客户的安全价值最大化,方通 Sniper 在产品的功能和理念
上充分的体现了这一点。
为了实现客户价值,方通 Sniper 正对 NIDS 面临的交换机局限,提出了自己的解决方案。
二、交换机给 NIDS 部署带来的问题分析
要了解解决方案的价值,首先需要知道交换机对网络入侵检测系统的应用带来的限制 。
1.限制之一:交换机端口镜像
网络入侵检测系统的基本工作原理是嗅探(Sniffer)。那么在交换机上要能够嗅探,
就必须确信传感器能够“看”到所需的网络流量。这时就需要在交换机上设置专门监听端
口。交换机会将指定端口的通信数据镜像到该监听端口,这样网络传感器就可以捕获
到指定端口的数据。
但是交换机端口镜像给 NIDS 的部署带来很多现实的问题:
某些交换机不支持镜像端口功能;
为了节省交换机端口,很可能配置为一个交换机端口监听多个其它端口,在正常的
流量下,监听端口能够全部监听,但在受到攻击的时候,网络流量可能加大,从而使
被监听的端口流量总和超过监听端口的上限,引起交换机丢包;
增加监听端口即意味做需要更多的交换机端口,这可能需要购买额外的交换机,甚
评论0
最新资源