IDS的交换机局限问题的分析与对策
添加时间: 2008-2-23 16:34:06 作者: Cisco指导 阅读次数:10 来源: http://www.d9soft.com
tap是一种容错性的方案,它提供在全双工或半双工10m/100m/1000m网段上察看数据流量的手段。如图3所示:
图3:采用tap分流监听
使用tap有如下好处:
●tap是容错的,如果电源故障,原先监控的网段上的通讯不受影响;
●tap不会影响数据流;
●tap阻止建立与ids的直接连接,从而保护它不受攻击;
●可以将tap的引出的线接到交换机或集线器上,通过一个ids系统进行检测;如图4所示;
●如果ids支持多端口的监控,那么就可以将tap的引线直接接入ids的监听网口,如图5所示。
图4:tap的引出的线接到交换机或集线器集中监听
图5:tap的引出的线直接接到多端口监控功能的nids上集中监听
四、入侵检测系统对tap的支持
网络 入侵检测系统对tap的支持,也不是天生的。也就是说,需要修改网络入侵检测系统的数据包处理引擎,以支持数据包倒序的情况。
此外,如果是千兆光纤环境下的tap分流,网络入侵检测系统还必须支持多端口监控。目前国内做到多端口监控的入侵检测产品还不多,方正方通sniper算一家吧。
如果同时支持数据包倒序处理问题和多端口监控,恐怕少之又少。在千兆网环境下,使用端口镜像,肯定不可行,必须使用tap分流。
上下文章:
上一篇文章: 最优南北互通企业上网解决方案 下一篇文章: 冲突域、广播域的通俗讲解
相关文章: