IDS-IPS入侵防御原理与实践

首先要注意，IDS 和 IPS 是两款产品。

概述

IDS，intrusion detection system，入侵检测系统；
IPS，intrusion prevention system，入侵防御系统；
网络安全系统中用于防御或者检测黑客攻击的产品。防火墙更多是在做隔离，且在应用层面隔离效果一般，例如部署防火墙可以做到控制某台设备是否可以访问百度，而至于能否控制其访问百度某个页面的某个模块，就需要入侵检测和防御产品。

IDS-IPS 厂商：
绿盟科技
天融信
启明星辰

原理

防火墙部署时，默认高级别区域可以访问低级别区域，但是当高级别区域发送的数据包中包含木马病毒时，防火墙是无法检测出来的。入侵检测产品虽然和防火墙都会将数据包分解成七层，但是入侵检测产品会将数据包的特征与病毒特征库进行比较，当有木马病毒经过时会进行拦截，可以做到更深层次的防护。但是不能理解为入侵防御产品一定是防火墙的升级版，只是定位不同，防火墙定位访问控制，入侵检测定位解决黑客攻击，一般在网络拓扑中会同时部署。
原本内网路由器连接到防火墙的基础上，出口再连接一个入侵防御检测产品后接入互联网。这样做可以在数据流传播时先进行防御，将带病毒的数据包先行处理掉。

IDS/IPS 的部署方式：
在线式部署：inline，在流量的中间进行防御，响应速度快，但可能会引发链路故障。
旁路式部署：bypass，不会影响接收发送端流量，检测到病毒会预警。

IDS/IPS 术语：
特征库，病毒、攻击、木马、行为等集合。

管理口/监控口：管理口有IP地址，一般用来网管；监控口也称为引擎口，一般用来抓取并分析流量，没有IP地址。连接到实际拓扑中的为监控口，网管主机接入产品的口为管理口。

环境搭建

这里注意，默认 e0 口为管理口，若接其他口将无法登陆管理。

通过SecureCRT登录并做初始化：

service host //进入主机配置模式
network- settings //进入网络配置模式
host-ip 192. 168. 1. 1/24，192. 168. 1. 254 //配置 IPS 管理地址/掩码， 默认网关
host -name IPS4215 //设备命名
telnet-option enabled //开启telnet
access-list 192. 168. 1. 0/24 //定义管理网段
exit
exit
service web-server //启动 Web 服务并利用 IDM 管理 IPS
enable-tls true //允许Web管理
port 443 //开启网管端口
exit
exit

IPS 初始化后用 web 登录 https://192.168.10.100

下载 idm.jnlp 文件，并打开（前提是安装 java）

等待加载之后，输入用户名和密码

网管界面，分为主页、配置页、信息查看页


进入配置项，开启监听端口


将两个端口放入inline pair 组，实现直通在线部署。

将直通在线组放入引擎口，让 sensor 监听流量。虚拟引擎，特征库需要使用 sensor 抓取流量进行对比。


综上顺序为：接口 --> 组 --> 引擎 --> 特征库

在两个路由器（同网段），实现 IP 地址联通测试

查看特征库策略，并进行相应的配置。


策略设置完成后可以在 events 中查看报警信息。