8.3 NIDPS部署

8.3.1 總則

與HIDPS一樣， 經過培訓的操作人員需在可控環境中使用經過測試的N IDPS。在全面部署NIDPS前， 需在不同位置試驗N IDPS傳感器， 詳見圖2。同時在部署傳感器時， 還需要平衡部署及持續運行的成本與需要的實際保護級別之間的關系。

當在高速網絡環境中時，需注意IP數據包的丟包率，避免因丟包率過高導致嚴重增加模式不匹配的數量進而導致的誤報和漏報的增加。為防止上述情況發生，可采用具有較高捕獲率的網絡接口卡或減少數據丟包率的相關技術。

當NIDPS用于網絡監視時(特別是使用交換機或TAP時) ， 需考慮數據捕獲方法， 建議使用物理隔離的交換機， 而不是VLAN或者核心交換上類似的技術。此時， 交換機僅允許單個SPAN端口在給定的時間運行， 從而防止CPU使用率過高(SPAN端口本身會增加交換機CPU使用率， 但可通過阻止數據復制降低CPU使用率) 。

當SPAN端口用于網絡調試時， IDPS變成非功能性的， 因此需向N IDPS開放此端口。此時， 可考慮使用網絡TAP(特別是結合上行和下行流量的匯聚TAP) ， 在不給網絡包增加任何負載(因其是被動設備) 情況下， 提高安全級別(交換機保持端口的二層信息， 數據接口對網絡不可見) ， 保持IDPS能力(因為TAP提供多端口) 并完成網絡調試。

8.3.2 位于Internet防火墻內的NIDPS

優點：

– 識別源于外部網絡、已經滲入防護邊界的攻擊；

– 幫助檢測防火墻配置策略上的錯誤；

– 監視針對DMZ中系統的攻擊；

– 通過配置檢測源于內部、針對外部目標的攻擊。

缺點：

– 由于其接近外部網絡，不能作為強保護；

– 不能監視防火墻阻止(過濾掉)的攻擊。

8.3.3 位于Internet防火墻外的NIDPS

優點：

– 允許對源于外部網絡的攻擊的數量和類型進行管理；

– 可發現未被防火墻阻止(過濾掉)的攻擊；

– 可減輕拒絕服務攻擊的影響；

一與位于外部防火墻內部的IDPS一起使用時， IDPS配置能評估防火墻的有效性。

缺點：

– 當傳感器位于網絡安全邊界之外時，會受到攻擊，因此需要一個加固的隱形設備；

– 在此位置上產生了大量數據， 使得分析已收集的IDPS數據的難度增加；

– IDPS傳感器和管理控制臺之間的交互可能需要在防火墻打開額外的端口， 導致可從外部訪問管理控制臺。

8.3.4 位于重要骨干網絡上的NIDPS

優點：

– 監視大量的網絡流量，因此更易發現攻擊；

– 在拒絕服務攻擊對關鍵子網造成破壞之前，可阻止這些攻擊：

– 在安全邊界內部，檢測授權用戶的未授權活動。

缺點：

– 捕獲和存儲敏感或機密數據的風險；

– IDPS需要處理大量數據；

– 檢測不到不通過骨干網絡的攻擊；

– 識別不到子網上主機對主機的攻擊。

8.3.5 位于關鍵子網上的NIDPS

優點：

– 監視針對關鍵系統、服務和資源的攻擊；

– 允許將有限的資源集中到最有價值的網絡資產上。

缺點：

– 子網間相互關聯的安全事態問題；

– 如果未通過專用網絡傳輸報警， IDPS流量會增加關鍵子網的網絡負載；

– 如果配置不當， IDPS可能捕獲和存儲敏感信息， 并以非指定的方式訪問這些信息。