刚看了看5.23号的计算机世界，里面有国内几家做IDS产品的一个评测报告
有绿盟的冰之眼1200，启明的天阗N2800（应该是最近才出来的吧），还有联想的网御N3000，太极的TJ-NIDS1000

从评测结果上看冰之眼1200和天阗N2800不分上下
联想的N3000看来火候要稍微差一点点，太极的垫底。

包含的产品太少了吧，起码应该把安氏的、金诺网安等等的加上。
总的来说我认为IDS产品从出现到发展到现在一直处在一个比较尴尬的境地，IDS我个人认为是网络管理员的一个非常有效的工具，不能依靠它去阻断攻击，那样效果不好。IDS产品关键在于用户怎么去用好它！！！！！

没有安氏确实是个遗憾。。

国内的IDS基本上都是Intel架构+Linux内核改的。。。

//很多客户用这个基本上是感觉网络有异常的时候才去看。。

有那家的IDS不是Intel架构的？
ISS的硬件IDS也是Intel＋linux。

偶所在的公司用的是 cisco  的ids. 用他来查看那些机器中毒真是好使。

引用:

Originally posted by mzwa at 2005-5-26 05:22 PM:
IDS我个人认为是网络管理员的一个非常有效的工具，不能依靠它去阻断攻击，那样效果不好

今天刚好去上了Symantec在广州的一个售前培训，介绍的产品就是IDS和IPS。Symantec在收购了Veritas后已经在渐渐转型,要做一个综合的安全公司，降低防毒产品的比例，增加高端安全产品的分额。IP（Protection）S系统就是专门针对mzwa说的话而研发的（难道mzwa的话让Symantec的高层听到了？？？）稍后我将文档传上来，放在资源共享。E文版。

已上传。
http://www.netexpert.cn/viewthread.php?tid=1664&fpage=1

[ Last edited by dahliawoo on 2005-5-26 at 20:38 ]

关键业务上很少有上IPS的.....误报是IPS的硬伤啊

引用:

Originally posted by DragonGo at 2005-5-26 08:09 PM:
误报是IPS的硬伤啊

今天讲师好像说IDS误报较多，IPS较少。明天还要去参加他们的防火墙培训，再问问他。

ISS的国内有代理吗?

ISS国内代理：
中软国际
晓通

引用:

Originally posted by dahliawoo at 2005-5-26 20:00:

今天刚好去上了Symantec在广州的一个售前培训，介绍的产品就是IDS和IPS。Symantec在收购了Veritas后已经在渐渐转型,要做一个综合的安全公司，降低防毒产品的比例，增加高端安全产品的分额。IP（Protection）S系 ...

赛门铁克,目前产品线很长,我经手的一般是SAV,SCS,SGS,SNS,NetRecon,PCanywhere

引用:

Originally posted by dahliawoo at 2005-5-26 08:41 PM:
今天讲师好像说IDS误报较多，IPS较少。明天还要去参加他们的防火墙培训，再问问他。

今天讲师换人了，郁闷。问了问昨天一起上课的人，说是IDS误报较多。查了一下昨天讲课的资料，发现了这样一句话“False negatives can also occur when an IDS has been tuned to reduce false
positives.”
当IDS开始减少误报的时候，会引起发生漏报。误报和漏报成反比？
汗！

[ Last edited by dahliawoo on 2005-5-27 at 15:34 ]

大家可以看看

里面得一些IDS得基本实现方式概念还可以

传完收工！

IPS的硬伤还是在于误操作，的确在关键业务上很少应用。IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截有可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作。

对IPS比较感兴趣的人可以看看这篇文章：
http://www.ciw.com.cn/media/ciw/1222/c0801.htm

引用:

Originally posted by dahliawoo at 2005-5-27 04:50 PM:
IPS的硬伤还是在于误操作，的确在关键业务上很少应用。IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截有可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作。

对IPS比较感兴 ...

不赞同楼上兄弟的看法，实际上IPS取代IDS是必然的，只不过大家现在对IPS存在以下的疑虑：

1、部署在网关处，是否会造成网络的延迟；
    这点我参加一个测试时，部署在学校教育网的出口处，网络延迟跟没有连接设备时比较以微秒来计算；

2、其本身的功能定位，是否就是集合了防火墙的IDS；
    不能取代防火墙。IPS设备可以阻挡已知、未知的蠕虫，病毒，DOS/DDOS攻击，IM访问，呈现在管理人员面前的是每一个应用的连接，我们在设置时面对的是具体的应用而不是服务端口、IP地址；

3、误报漏报和错误阻断情况；
    实际上误报、漏报行为不可怕，关键是错误阻断行为。在IPS上的阻断行为是自己预设置的，我们可以根据自己的应用来选择需要阻断什么，开启什么，也是根据本身携带的策略库来完成的，当然还有学习功能，设定预值进行。


对不起了，同事催着下班，先写这些，以后讨论

IPS取代IDS这一点我不敢苟同

IPS不能保证100%的正确，这一点就够致命了，使其不能部署在关键业务部署的地方

而且IPS过多在于堵，网络安全的未来在于设备与设备之间的联动，智能部署

引用:

Originally posted by DragonGo at 2005-5-27 09:14 PM:
IPS取代IDS这一点我不敢苟同

IPS不能保证100%的正确，这一点就够致命了，使其不能部署在关键业务部署的地方

而且IPS过多在于堵，网络安全的未来在于设备与设备之间的联动，智能部署

我不知道你用的是什么IPS，但我用的几个品牌的IPS本身具有IDS功能呀，只不过其监控的位置跟IDS一样有限制。

上次测试MCAFEE的2600时看到可以在执行IPS功能时，看到可以虚拟成多个IDS，但是没有用过。

看周一上班时传些操作手册上来大家一起侃侃。

我认为IDS走向末路有以下原因：

1、观念的转变
    IDS是出于安全审计产生的产品，更多体现在出现问题的追查，IPS则是访问控制，禁止什么线程的；

    使用IDS产品最大的问题是无法减少用户的网络损失。现在很多用户已经意识到这一点。

2、厂商的转变
     很多交换机厂商已经涉足IDS产品，典型的是CISCO公司，这一点已经让国内很多厂商生存有问题。其他交换机厂商推出类似的本公司产品已经不是很困难的事情了；    而且CISCO公司现在又推出针对BT这种应用的解决方式（IOS组件），已经开始在交换机内部实现高层应用的控制，不用什么其他的东西进行联动勒，这也是一个方向；

3、联动和检测的可靠性
    很多IDS厂商在公开培训时都说支持什么什么防火墙进行进行联动，但是在内部培训时都建议工程人员不要轻易启用联动，为什么勒：联动的动作与检测的结果和动作发生的策略有关。现在IDS设备采用两种机制：一种是策略库（我们平时升级的那个咚咚），一种是异常（学习网络正常工作，IP的正常工作，给一个基线，一旦网络或某IP的数据流异常于正常模式，将出现报警）。

采用策略库时，我们都可以看到策略往往是落后于漏洞的产生，如同病毒同病毒检测策略一样；而异常模式则需要管理人员很大程度的参与，这就是采用IDS产品为什么出现漏报/误报频繁的原因；

如果根据这种检测结果来进行联动，我想不光是厂商，只怕产品真的能支持很好的联动，俺们的领导也不敢启用咯；

测试过mcafee的ips，还不错，不过有些地方还不够好，比如说阻挡bt，只能阻挡未建立连接的bt连接，当你正在使用bt下载时，无能为力 hoho