入侵检测系统产品与入侵防御系统产品，都可以分为硬件产品和软件产品两大类。

硬件产品和防火墙一起放置在机架上，而不是安装在操作系统中，可以很容易地把入侵检测系统嵌入到网络中。市面上入侵检测与入侵防御的产品很多，国内的主要厂商有华为、天融信、绿盟科技、启明星辰等，每个厂商都有多款产品可供选择。

1. 入侵检测系统的产品介绍

入侵检测系统的硬件产品主要有华为NIP2000D/5000D入侵检测系统、绿盟NIDS 4000A入侵检测系统、启明星辰NS2800入侵检测系统、天融信TS-71230入侵检测系统等。

图5-1　华为入侵检测设备NIP 2000D

对于硬件产品的选用，通常考虑的要点有：

（1）反躲避技术，即能否有效检测分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

（2）产品的伸缩性，即系统支持的传感器数目、最大数据库规模、传感器与控制台之间通信带宽和对审计日志溢出的处理等。

（3）产品支持的入侵特征数。

（4）产品的响应方法，可从本地、远程等多角度考察，是否支持防火墙联动等。

（5）特征库升级及维护费用，特征库需要不断更新才能检测出新出现的攻击方法。

（6）是否通过了国家权威机构的评测，权威机构有国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心等。

入侵检测系统的软件系统主要有Snort、Suricata、OSSEC HIDS、BASE、Sguil等。

Snort是一个开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测方法结合起来。其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为入侵检测与入侵防御技术的标准。

Suricata，是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。在所有目前可用的IDS/IPS系统中，Suricata最能够与Snort相抗衡。该系统有一个类似Snort的架构，依赖于像Snort等的签名，甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。

OSSEC HIDS是一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、Rootkit检测、实时警告及动态的适时响应。OSSEC客户端在大多数操作系统上本地运行，包括Linux各版本、Mac OSX和Windows。它还通过趋势科技的全球支持团队提供商业支持，这是一个非常成熟的产品。

BASE，又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

Sguil是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。其主要部件是一个直观的GUI界面，可以从 Snort/barnyard提供实时的事件活动。还可借助于其他的部件，实现网络安全监视活动和IDS警告的事件驱动分析。

2. 入侵检测系统的网络部署

IDS设备的主要应用场景是实时监控网络安全状况，当发现攻击时，产生报警并记录攻击事件。入侵检测系统一般旁路部署于网络中，如图5-2所示。旁路部署的关键在于，IDS设备需要获取镜像的业务流量进行检测，IDS设备不参与流量的转发。入侵检测系统可以部署于互联网接入点和服务器前端，以维护网络安全。

部署在互联网接入点时，可以实现以下目标：

（1）检测外部用户对内网客户端及浏览器的攻击行为，避免因网络威胁造成的数据丢失、破坏或成为僵尸。

（2）检测外部用户对内网服务器与应用系统的攻击行为，提供告警功能，保护业务系统的正常运行。

（3）识别互联网的流量类型，包括限制P2P、网络视频、IM、网游、炒股软件等流量并提供日志信息。

部署于服务器前端时，可以实现以下目标：

（1）检测蠕虫活动、针对服务和平台的漏洞攻击，防止因为恶意软件造成服务器数据的损坏、篡改、失窃或成为僵尸。

（2）检测DoS/DDoS对应用服务器的攻击。

（3）检测针对Web应用的新型攻击，如SQL注入、跨站脚本、各种扫描、猜测和窥探 攻击。

(www.daowen.com)

图5-2　入侵检测系统的部署

3. 入侵防御系统的产品介绍

入侵防御系统的硬件产品主要有华为NIP5000网络智能防护系统（见图5-3）、绿盟NIPS网络入侵防御系统、启明星辰NGIPS8000-A入侵防御系统、网神SecIPS入侵防御系统、东软NetEye入侵防御系统等。

图5-3　华为入侵防御系统设备NIP6650

入侵防御系统的软件产品有Snort、Suricata等。

Snort 经常用作入侵检测系统（IDS），可以进一步配置为入侵防御系统（IPS）。Snort通过和Linux下通用的网络防火墙Iptables/netfilter相关联，通过Iptables/netfilter来达到阻断网络的目的。

Suricata是一款支持IDS和IPS的多线程的软件系统。与Snort相比，Suricata的多线程和模块化设计上使其在效率和性能更加突出，Suricata支持的协议更多，支持IPS自动处理，全面支持IPv6。

4. 入侵防御系统的网络部署

入侵防御系统一般主要串联部署于网络中，如图5-4所示。入侵防御系统可以串接部署于广域网边界、互联网接入点、服务器前端，也可以旁路部署，如旁路部署于服务器前端。

图5-4　入侵防御系统的部署

互联网边界防护，此种场景一般部署于出口防火墙或路由器后端、透明接入网络，可以实现以下目标：

（1）入侵防御：防御来自互联网的蠕虫活动、针对浏览器和插件漏洞的攻击，使得企业办公网络健康运行。拦截基于漏洞攻击传播的木马或间谍程序活动，保护办公计算机的隐私、身份等关键数据信息。

（2）反病毒：对内网用户从Internet下载的文件进行病毒扫描，防止内网PC感染病毒。

（3）URL过滤：对内网用户访问的网站进行控制，防止用户随意访问网站而影响工作效率，或者导致网络威胁。

（4）应用控制：对P2P、视频网站、即时通信软件等应用流量进行合理控制，保证企业主要业务的顺畅运行。

IDS/服务器前端防护：此种场景一般采用双机部署避免单点故障。部署位置有以下两种：直接部署于服务器前端，采用透明方式接入；或者旁挂于交换机或路由器，外网和服务器之间的流量、服务器之间流量都引导流到IPS处理后，再回注到主链路。可以实现以下目标：

（1）入侵防御：防御对Web、Mail、DNS等服务器的蠕虫活动、针对服务和平台的漏洞攻击。防御恶意软件造成服务器数据的损坏、篡改或失窃。防御针对Web应用的SQL注入攻击、各种扫描、猜测和窥探攻击。

（2）服务器恶意外联检测：防御服务器的恶意外联，防止价值信息外传。

（3）反病毒：对用户向服务器上传的文件进行病毒扫描，防止服务器感染病毒。

（4）DDoS攻击防范：防御针对服务器的DoS/DDoS攻击造成服务器不可用。

网络边界防护：对于大中型企业，内网往往被划分为安全等级不同的多个区域，区域间有风险隔离、安全管控的需求，如部门边界、总部和分支机构之间等，实现了网络区域的安全隔离。可以实现以下目标：

（1）入侵防御：实现网络安全逻辑隔离，检测、防止外部网络对本网的攻击探测等恶意行为，以及外部网络的蠕虫、木马向本网蔓延。

（2）违规监控：监控内部网络用户向外部网络的违规行为。

旁路监控：旁路部署在网络中监控网络安全状况，也是IPS产品的一种应用场景，此种场景IPS部品主要用来记录各类攻击事件和网络应用流量情况，进而进行网络安全事件审计和用户行为分析。在这种部署方式下一般不进行防御响应。旁挂在交换机上，交换机将需要检测的流量镜像到IPS进行分析和检测。可以实现以下目标：

（1）入侵检测：检测外网针对内网的攻击、内网员工发起的攻击，通过日志和报表呈现攻击事件供企业管理员评估网络安全状况。同时提供攻击事件风险评估功能，降低管理员评估难度。

（2）应用识别：识别并统计P2P、视频网站、即时通信软件等应用流量，通过报表为企业管理员直观呈现企业的应用使用情况。

（3）防火墙联动：IDS设备防御能力弱，检测到攻击后，可以通知防火墙阻断攻击流量。