Chinaunix

标题: 现在IDS有必要做么,是不是淘汰了?该做IPS? [打印本页]
作者: chinaunix_li    时间: 2007-04-05 17:13
标题: 现在IDS有必要做么,是不是淘汰了?该做IPS?
现在IDS有必要做么,是不是淘汰了?该做IPS?

IDS系统、网络漏洞扫描系统还有IPS系统哪家做的比较好?请了解的帮推荐,谢谢!

[ 本帖最后由 chinaunix_li 于 2007-4-6 10:28 编辑 ]
作者: ayazero    时间: 2007-04-05 17:15
宁愿用IDS也不用IPS
作者: lovgate    时间: 2007-04-05 17:37
提示: 作者被禁止或删除 内容自动屏蔽
作者: 黑胡子    时间: 2007-04-06 03:55
-_-;;;看了介绍好像ips更优秀啊 顶上去

[ 本帖最后由 黑胡子 于 2007-4-6 03:57 编辑 ]
作者: chinaunix_li    时间: 2007-04-06 10:14
原帖由 ayazero 于 2007-4-5 17:15 发表
宁愿用IDS也不用IPS


WHY?
听说IPS具备IDS和网络漏洞扫描两个功能。
不知道是否正确?

[ 本帖最后由 chinaunix_li 于 2007-4-6 10:18 编辑 ]
作者: linkboy    时间: 2007-04-06 10:15
在特殊环境下坚决不串联设备
作者: Tiger_cn    时间: 2007-04-06 11:29
对版主都是非常敬仰啊
作者: caicai    时间: 2007-04-06 15:10
原帖由 chinaunix_li 于 2007-4-6 10:14 发表


WHY?
听说IPS具备IDS和网络漏洞扫描两个功能。
不知道是否正确?


IPS系统有扫描功能?不会吧
作者: green21cn    时间: 2007-04-10 09:51
IPS有多种工作模式,如果出现断电等异常状况,可以直接切换到bypass,楼上的担忧就不存在了。
作者: 小N哥哥    时间: 2007-04-10 20:09
感覺這些都是還是不是很適用
作者: pcbean    时间: 2007-04-11 15:05
bb 说的有一定道理....ids 跟 ips 的误报都看见了吧?...
想想..............
作者: ayazero    时间: 2007-04-12 14:20
IPS如何实现IPS的功能?

作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的

我觉得以现在的并行处理能力无论是X86还是ASIC抑或是NP架构都难以达到,其实IPS就是个噱头

还有那个UTM,可能处理速度会比IPS好一点,但是我也极力不推荐

如果一定要买IPS,只推一个产品,ISS的($非常贵),其他的一律无视!如果这个东西上架后测试不行,那就把IPS这个名词直接划掉吧,就当没有这个东西好了

取而代之,解决问题的根源,客户端的问题应该在客户端解决,而不是一味着想着在GW处解决,

在GW仍采用传统的FW+并联IDS,内部可采用AD(域管理)+AV(防病毒、或HIPS企业版)+NAC(网络接入控制、身份认证)+WSUS(SMS)+终端管理(比AD强,钱多可以买)+(交换机)安全域划分+参考BS7799拟定管理制度……
有钱还可买个漏洞扫描(好听一点叫漏洞管理)

其实HIPS倒是可行的,把计算负载分散到终端,企业版就可以,当然上面的并非全要,终端管理是可选的

还有在当前的安全趋势下,想通过网关设备一劳永逸是根本不切实际的

最后,不要听那些厂商的人吓忽悠,80%以上的人根本不懂安全,说起来这个行业真可怜,对人的要求高了点
作者: 独孤九贱    时间: 2007-04-13 10:51
原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?

作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的

我觉得以 ...


楼上的实乃兄弟肺腑之言……
作者: 黑胡子    时间: 2007-04-14 05:16
斑竹终于给出回答了
真是牛啊
作者: chinaunix_li    时间: 2007-04-14 21:52
谢谢以上热心朋友答复,使我有个大体了解。
作者: wansion    时间: 2007-04-24 14:55
好久不谈技术了,我是觉得各取所需,考虑投入产出原则,IDS也好,IPS也好,甚或是IPs、UTM看企来的需求了,我所见过的企业,电信的,把FW的所有功能关掉,只用来作NAT的也有,因为NS的NAT功能太强了,ASIC厉害,也有的就是统一上一个UTM,在UTM里甚至要作垃圾邮件过滤,当然是对带宽和CPU资源的极大浪费,但他不看重稳定性,速度什么的,所以也是一种实现方法,另外现在基本上IDS和IPs是一体的,布署方式不同,名称也就不一样了,甚至于IPS、IDP、UTM我觉得也差不多是一会事,只是取了一个不一样我名字,功能销有差别而已,至于品牌,我素来不信评测,花钱搞出来的,自己也作过很多,只信口碑,推荐Netscreen,ISS(IBM),Checkpoint。
作者: bati    时间: 2007-04-25 00:35
IPS?UTM?
统一真的好么?
从社会分工的角度来说,我们有刑警,片儿警,缉毒警,还有航空警察,交通警察等等,各自也有不同的管辖范围和职责没说警察包打天下吧。
安全我想也是这个道理,毕竟社会建制发展了这么多年,那么多社会学家,政治家等等,我想他们智力也不比现在搞安全的人低多少吧,为啥也没找到统一的方案呢?
IPS--->误报了怎么办?别说你的系统0误报,测试优化都会做。
UTM--->试试看功能全开是个啥结果,有人说这个给中小企业用的,我就不懂那么多厂商忽悠千兆、万兆产品个什么劲儿?
作者: 源方    时间: 2007-04-27 16:08
关键是ips国内做的都不太好。主要靠吹,呵呵
ids相对要成熟
作者: benz-popor    时间: 2007-04-28 10:33
说的有道理,但有时还是要支持国产的
作者: good白芷    时间: 2007-04-29 16:41
IPS这个东西,不管怎么吹得天花乱坠,总觉得就是个串连的ids而已。
退一万步讲,就算不考虑误报,不考虑7层解包带来的延迟,
ips比ids+fw能好到哪里?
但是价格么,就贵的不是一点两点啊
作者: chinaunix_li    时间: 2007-04-29 17:03
谢谢以上热心朋友答复
作者: FireR2    时间: 2007-05-07 20:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: pcbean    时间: 2007-05-10 08:45
实际上线到你的网络测试 才能最终让你感觉这款产品是否合适你.是否合适这个网络.

所谓的争论在任何实际应用面前就是比较无力的
作者: lovgate    时间: 2007-05-17 17:58
提示: 作者被禁止或删除 内容自动屏蔽
作者: wuqing21nian    时间: 2007-05-25 23:50
有了IPS干吗还选IDS,除非运营商等超大流量的骨干网不能串联设备影响速度.
我们小区用的绿盟的IPS 型号600P,用上之后玩游戏变稳定了,征途等不会掉线了.哈哈
小区同时有3000台左右电脑上网.感觉IPS性能还是很好的.
作者: bingosek    时间: 2007-05-26 15:26
我在项目设计上从来不考虑IPS,原因很简单,误动作怎么办?
就算IPS能够省一些人力工夫,但是误动作是把业务系统切断了怎么办?
我在标书上写上误动作的赔偿条款,那个厂商敢过来响应?
作者: lovgate    时间: 2007-05-28 22:11
提示: 作者被禁止或删除 内容自动屏蔽
作者: ayazero    时间: 2007-05-29 09:17
除了核心R&D之外,销售和工程师说的话可以无视,那些数据仅仅是表面文章而已,就像现在液晶电视都标什么<8ms延迟之类的,其实哪有
作者: shdnzwy    时间: 2007-05-30 12:07
学习了……顶顶……看不太明白……
作者: heiheijian    时间: 2007-05-31 15:11
原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?

作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的

我觉得以 ...


我目前正在搞一个内网安全的方案,些信息太有价值了``

有机会指导下小弟```
作者: duanjigang    时间: 2007-06-26 16:47
IDS又有几个能做好昵,现在又追求IPS了,好高骛远
作者: skipjack    时间: 2007-07-04 16:35
原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?

作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的

我觉得以 ...


很想听听你认为的IPS是如何实现IPS功能的。下面这条snort规则看起来很简单,但在IDS和IPS上实现难度会差很大。这个难度我想就是IPS与IDS的区别吧。

alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25
(msg:"SMTP sendmail 8.6.9 exploit";
flow:to_server,established;
content:"|0a|Croot|0a|Mprog";
reference:arachnids,142; reference:cve,CVE-1999-0204;
classtype:attempted-user;
sid:669;
rev:4;)


你的感觉?

[ 本帖最后由 skipjack 于 2007-7-4 16:37 编辑 ]
作者: ttvast    时间: 2007-07-05 23:34
IDS有用吗?IDS是第一个被我CANCEL的设备,IPS就更加不用考虑了.
IDS能报的攻击,都是无法成功的攻击.
作者: digitals    时间: 2007-07-06 06:52
提示: 作者被禁止或删除 内容自动屏蔽
作者: rock_messenger    时间: 2007-07-07 12:02
:em11: 看不懂..学习中
作者: ayazero    时间: 2007-07-08 12:27
原帖由 ttvast 于 2007-7-5 23:34 发表
IDS有用吗?IDS是第一个被我CANCEL的设备,IPS就更加不用考虑了.
IDS能报的攻击,都是无法成功的攻击.


1.只有几个牌子的IDS我觉得是有用的,其余的模仿产品可以无视

2.IDS对于像我这样的人来说是有用的,必须有规则自定义功能
作者: yangjie2924    时间: 2007-07-09 14:56
IPS在IDS检测的基础上具备拦截功能
作者: cjy    时间: 2007-07-10 10:24
原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?

作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的

我觉得以 ...

说的很中肯啊。确实如此。
作者: happystarry    时间: 2007-07-12 09:29
个人认为IDS 和IPS 完全两码事,没什么好比的,你需要的就是最好的。
作者: Bad_Uz    时间: 2007-07-17 12:49
IPS才发展起来,还不成熟!
    IDS毕竟在国内起步较早,几家公司都有成熟的产品,前者最近炒作很火,见意慎重为佳:wink:
作者: chinaciscoccie    时间: 2007-07-18 11:24
IDS就是添加智能分析功能,变成IPS了.手动变成自动了.
作者: thl'tha    时间: 2007-07-23 10:34
原帖由 ayazero 于 2007-4-12 14:20 发表
还有在当前的安全趋势下,想通过网关设备一劳永逸是根本不切实际的 ...


不少地方在讨论 如何 封这个 封那个

从客户端入手很简单,禁止安装程序就ok 了

如果做不到 就是猫捉老鼠的游戏

倒是带动了技术的升级

现在电驴的 模糊协议 挺强的

估计快集成洋葱来 连服务器了。


X CNC     X YAHO     X   DM.BBN.COM.CN
作者: guotie    时间: 2007-07-24 11:41
re
作者: ~wind~    时间: 2007-07-29 19:16
说实话,用处实在是不大.引擎好的话做IPS还行
作者: unsword    时间: 2007-08-01 16:12
没有看到一个真正懂IPS 与 IDS的人发言 。 楼上所有的讨论均为外行话语。

一些根本不懂IPS、IDS的人在讨论这2个东西的有点缺点,还有一些自以为很懂的人在忽悠人。

要弄明白什么是IPS,至少要在 FPGA、EDA等硬件芯片领域,系统领域,漏洞、安全领域,以及

数学领域有着非常高深的造诣, 此外还需要系统构架,硬件结构体系等各方面的知识。

以前也觉得自己跟楼上的某些所谓大侠、斑竹一样牛B,后来跟一些厂家的硬件研发人员有机会交流后,才感觉到自己真的不懂什么叫产品。

所以,谦虚的学习把 ,任何事物, 存在即是合理, 只要这个东西出现了,他就有他存在的理由和价值。

希望大家认真的去学习什么叫 IDS ,什么是 IDP或者IPS,而不是在这里叽叽歪歪的叫嚣这个是垃圾,那个是垃圾, 因为我们都是垃圾中的一员。
作者: secworld    时间: 2007-08-01 16:37
原帖由 unsword 于 2007-8-1 16:12 发表
没有看到一个真正懂IPS 与 IDS的人发言 。 楼上所有的讨论均为外行话语。

一些根本不懂IPS、IDS的人在讨论这2个东西的有点缺点,还有一些自以为很懂的人在忽悠人。

要弄明白什么是IPS,至少要在 FPGA、E ...


1.我不认为Martin Roesch具备你所说的条件。
2.与硬件厂商交流后,你才知道你不懂什么是产品?我很想知道他们对你都说什么了。是什么样的硬件厂商。

先扔两石头子,探探水深水浅
作者: joinbaijun    时间: 2007-08-02 14:14
IPS是不是要求机器性能更高
作者: chunyv    时间: 2007-08-10 10:51
路过
作者: wingjing    时间: 2007-08-10 11:52
48楼的明显是被厂商忽悠到位了。 。。
作者: cisp    时间: 2008-03-03 23:05
呵呵,像模像样忽悠的人还真不少
作者: blues1205    时间: 2008-03-03 23:36
我认为,不论任何企业,网络安全都是在寻找一种利益与风险的最佳平衡点。产品的简单堆砌不是解决安全问题

根本办法,但安全的基础建设也是必须要迈出的一步。突然一下让全国人民都变成安全专家,也是不现实的。

IDS与IPS各有优势,需要根据自己的实际情况来选择。可以说IPS是一个发展的趋势,但其还需要不断的完善。

我认为单独的讨论产品的好坏,意义不是很大,除非针对某个特定的行业或项目。

以上是我的一些想法,欢迎拍砖。

作者: 33to9    时间: 2008-03-09 15:36
其实IDS记录的数据是供人分析的.作为风险数据的一方面来源.对人的要求挺高的.然后通过人的角度进行加固或者进一步的安全管理.
IPS就是把这样的数据给机器分析.事情让机器来做.是很大程度弥补了一些低端IT管理人员水平的不足.但是远远达不到高端IT管理者的水平.
至于性能上的东西.我想是过于细节的东西了,IPS的串联也好.IDS的并联也好.其实只要不影响核心网的性能稳定.都是能接受的.慢点就慢点呗.
不过个人对于IPS的串联的感受是——确实是很初级的解决方案......
作者: 33to9    时间: 2008-03-09 15:46
原帖由 unsword 于 2007-8-1 16:12 发表
没有看到一个真正懂IPS 与 IDS的人发言 。 楼上所有的讨论均为外行话语。

一些根本不懂IPS、IDS的人在讨论这2个东西的有点缺点,还有一些自以为很懂的人在忽悠人。

要弄明白什么是IPS,至少要在 FPGA、E ...




其实多串联一个设备.你的网络就多一分不稳定的风险.并联的设备风险系数永远是小于串联设备的.

发现这个贴的人竟然连版主在内的立脚点都不够高啊
作者: zeroflag    时间: 2008-03-11 12:20
看了半天,真的没有太专业的技术回复呀。估计这里面真正从事IDS/IPS研发的很少。本人水平不高,也就是个售前而已。我想抛开技术层面不看,单纯从IDS/IPS的实际应用角度说说我的看法。

1、从实际的应用效果来看,IPS其实是要远远高于IDS的。
这其实和技术无关,而是和客户有关。现在的客户了解安全的不多,能够正确配置防火墙的都没有几个,更加不要说能够理解IDS的报警,甚至熟练配置了。一般客户买回IDS头一个星期可能还有兴趣看一看,时间一长就连看都不看了。我见过一台IDS死机一年多,客户愣是不知道的情况。
在这个基础上,我们可以很容易看出IPS的优势在哪里,它的在线直接中断攻击的能力,其使用价值是远远高于IDS的。虽然IDS可以有与防火墙联动的方案,但是配置极其复杂,要一条一条IDS规则的配置,就我见到的情况,除了人民银行总行真的一跳一跳配置了联动规则以外,其他没有任何一个客户配置过,最多是在安装的时候,厂家工程师给客户演示一下就完了。更加不要IDS与防火墙联动根本不能防御注注入Sql Slammer这样的单包攻击了。

2、IPS的有效应用是什么
目前看来IPS最有效的应用其实是防范网络病毒的大规模传播。这是因为大规模传播的病毒所采用的攻击方式大多具有非常明显的特征,用IPS识别并阻断是非常有效的。我们某省公安厅的客户,在使用IPS之前,其病毒上传到公安国干网上的排名是前三,使用了IPS,排名变为了后三,这使得我们受到了客户的高度认可。这也是我见到过的IPS的最成功的应用。当然现在还有防毒墙产品,它在防病毒方面更加全面,但是从性能上看,防毒墙产品现在还远远达不到上骨干线路的要求。
另外,IPS的攻击防护虽然对绝大多数有预谋的高水平黑客来说,起不了太大的作用。但是对于“扫描器+攻击工具”的无目标的盲目攻击行为(比如当年用3389抓肉鸡)来说,还是具有很好的防御能力的。而我们现在见到的最大量的攻击恰恰是这种盲目攻击。

3、误报漏报问题
IDS、IPS从攻击的发现机制上来说,其实都差不多,最直接最有效的就是特征匹配。其他的方法都是辅助性的。因此对于误报问题的解决,关键是特征库本身的质量问题。同样用Snort引擎,高手写出的特征库和我写出的特征库误报水平肯定是天上地下。但是即使高手写出来的东西也是有误报的,IPS在这方面一般采用的是宁漏不误的策略,所以过分担心IPS误报会阻断正常应用大可不必,对于一些模糊的东西,IPS根本不报。这也是IPS相对于IDS日志要少很多的原因。当然这样也放过了攻击,不过如果是IDS就不放过攻击吗?
另外,IPS的漏洞大多针对系统漏洞,这些漏洞所使用的应用绝大多数和我们的业务系统没有关系。即使这样误报率依然没有敢保证是0,不会中断正常业务。具体如何,建议还是上线测试一下最保险。

4、关于性能问题
解决性能问题还是要靠硬件的发展,一个是多核CPU的应用,现在在某些32核的CPU上(非X86),不加IPS规则(也就是裸机性能)的小包已经可以做大8G了,加上1000条规则,性能基本下降10倍左右,也可以做到小包800M。(以上是我们公司RD内部测试的结果)这还只是单颗CPU的情况。
如果加上FPGA做加速(比如正则表达式的加速,底层快转等等),可以达到非常高的吞吐率和低延迟。不过这样成本会高很多。

以上是一个售前对IPS、IDS的看法。欢迎拍砖!

[ 本帖最后由 zeroflag 于 2008-3-11 12:22 编辑 ]
作者: songpure520    时间: 2008-03-11 18:07
顶一下!!楼上说的不错!!
作者: neversmile    时间: 2008-03-14 13:14
标题: 回复 #58 zeroflag 的帖子
对于某些说法我不是很赞同
首先,对于ips栏病毒的问题,我觉得用ips作病毒探测不是一个很好的选择,至少在性能上是,病毒的事是应该交给AV去做的,很多病毒是基于文件的,ips对文件的检测能力是很有限的,因为涉及到文件重组,它应该更多的关注于对数据包的检查。ips能做的是当病毒利用漏洞传播的时候,阻断一下。
其次,对于ips规则的内容。其实系统漏洞总是有限的,大多数的ips规则还是针对web 攻击,这类攻击多而且多变,同时这类流量也是最多的,所以ips中关于web的,特别是关于server端的规则越少,性能也因该是越好的。
还有,关于误报和漏报的问题。虽然偏重于误报和性能,但如果要通过ICSA这样的认证,漏报也是不行的。就算是高手,写出的规则,也会存在误报风险的,比如很普通的ActiveX攻击的检测,你如何做到没有误报,有害的参数都是通过脚本动态生成的,你如何检测,而且ActiveX漏洞攻击现在越来越多,是凡ActiveX基本都有漏洞。
以上,我只是针对规则库方面说下自己的看法。
作者: limpideyes    时间: 2008-06-02 10:01
原帖由 zeroflag 于 2008-3-11 12:20 发表
看了半天,真的没有太专业的技术回复呀。估计这里面真正从事IDS/IPS研发的很少。本人水平不高,也就是个售前而已。我想抛开技术层面不看,单纯从IDS/IPS的实际应用角度说说我的看法。

1、从实际的应用效果来看,IPS其实是要远远高于IDS的。
========================================================
得出这个结论,那是根据你的客户群的特点,客户本来就是分类的,肯定有适合需要IPS的,就如同你举例的, 请不要用 “从实际的应用效果来看” ,在石油,金融,电信,,和军工,以及军工制造型企业里,不太适用你这句结论

2、IPS的有效应用是什么
目前看来IPS最有效的应用其实是防范网络病毒的大规模传播。这是因为大规模传播的病毒所采用的攻击方式大多具有非常明显的特征,用IPS识别并阻断是非常有效的。我们某省公安厅的客户,在使用IPS之前,其病毒上传到公安国干网上的排名是前三,使用了IPS,排名变为了后三,这使得我们受到了客户的高度认可。这也是我见到过的IPS的最成功的应用。当然现在还有防毒墙产品,它在防病毒方面更加全面,但是从性能上看,防毒墙产品现在还远远达不到上骨干线路的要求。
另外,IPS的攻击防护虽然对绝大多数有预谋的高水平黑客来说,起不了太大的作用。但是对于“扫描器+攻击工具”的无目标的盲目攻击行为(比如当年用3389抓肉鸡)来说,还是具有很好的防御能力的。而我们现在见到的最大量的攻击恰恰是这种盲目攻击。
======================================================
要效果明显,很简单有效的办法就是用户之前的环境非常糟糕,马上就能体现出效果,你这个案例中,不用IPS,采用防病毒体系,和网关防毒墙(别是防火墙上插一张防病毒引擎卡那种)一样效果明显,,


3、误报漏报问题
IDS、IPS从攻击的发现机制上来说,其实都差不多,最直接最有效的就是特征匹配。其他的方法都是辅助性的。因此对于误报问题的解决,关键是特征库本身的质量问题。同样用Snort引擎,高手写出的特征库和我写出的特征库误报水平肯定是天上地下。但是即使高手写出来的东西也是有误报的,IPS在这方面一般采用的是宁漏不误的策略,所以过分担心IPS误报会阻断正常应用大可不必,对于一些模糊的东西,IPS根本不报。这也是IPS相对于IDS日志要少很多的原因。当然这样也放过了攻击,不过如果是IDS就不放过攻击吗?
另外,IPS的漏洞大多针对系统漏洞,这些漏洞所使用的应用绝大多数和我们的业务系统没有关系。即使这样误报率依然没有敢保证是0,不会中断正常业务。具体如何,建议还是上线测试一下最保险。
=======================================================
IDS、IPS最大的问题就是误报率(不要说IPS也可以旁路部署,那算P的IPS啊),,也正因为如此,生产系统,以及成熟安全体系中,采用IDS,, BMB17、20对于安全域边界控制措施(信息流向的安全可控),防火墙+IDS,    // 另外目前国家保密局以及其他部门也没有对IPS的认证(因此暂时还不需要)

4、关于性能问题
解决性能问题还是要靠硬件的发展,一个是多核CPU的应用,现在在某些32核的CPU上(非X86),不加IPS规则(也就是裸机性能)的小包已经可以做大8G了,加上1000条规则,性能基本下降10倍左右,也可以做到小包800M。(以上是我们公司RD内部测试的结果)这还只是单颗CPU的情况。
如果加上FPGA做加速(比如正则表达式的加速,底层快转等等),可以达到非常高的吞吐率和低延迟。不过这样成本会高很多。
================、
道理同上

以上是一个售前对IPS、IDS的看法。欢迎拍砖!


===============================================

用什么产品没有绝对的那个好那个又不好,, 脱离环境和需求 就是胡说八道,

简单的白话性质不准确的比喻的话: 要简单省事,自身技术能力不足,对安全有一定认识和需要,倾向于UTM一类的设备,,同时对网络性能要求不是特别高(非生产系统、或数据网)的企业,或企事业单位,非涉密政府部门单位,,选用IPS可能适合,,   反之,请用IDS

[ 本帖最后由 limpideyes 于 2008-6-2 10:03 编辑 ]
作者: fandatou    时间: 2008-06-04 22:06
关键性业务中,稳定性比安全性更重要,IDS旁路可以监控,IPS误报就麻烦了
作者: wansion    时间: 2023-03-21 16:54
现在也有这问题



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2