在我們上一次網(wǎng)絡(luò)廣播中，我們了解了這些瘋狂的首字母縮略詞IDS和IPS的遺留問(wèn)題以及它們與UTM軟件模塊的相似之處。每個(gè)人都喜歡引物和簡(jiǎn)單的描述性定義，所以讓我們一起思考一下。

IDS

入侵檢測(cè)傳感器（IDS）是一種最明顯可以檢測(cè)到的東西;但是有什么事情？最終它可能是任何東西，但幸運(yùn)的是大多數(shù)供應(yīng)商都包含大量的“簽名”和/或檢測(cè)東西的方法。我想要檢測(cè)什么？對(duì)于每個(gè)網(wǎng)絡(luò)，這個(gè)答案會(huì)有所不同，盡管通常它會(huì)尋找不尋常的流量。什么不尋常？簡(jiǎn)單來(lái)說(shuō)，它是您不希望在網(wǎng)絡(luò)上流量的流量，無(wú)論是策略/濫用（IM，游戲等）還是最新的惡意軟件。

正如他們?cè)诜康禺a(chǎn)中所說(shuō)：它的位置，位置，位置。不是機(jī)架中的位置，而是IDS將監(jiān)控的網(wǎng)絡(luò)部分。監(jiān)控入口/出口點(diǎn)的流量將顯示進(jìn)出的情況（當(dāng)然，在防火墻策略批準(zhǔn)之后），但可能不允許您看到遠(yuǎn)程辦公室連接到核心組件。

您不想做的一件事是檢查防火墻公共端的流量。監(jiān)控內(nèi)部交換機(jī)上的所有流量（如LAN或DMZ）將允許IDS監(jiān)控用戶活動(dòng)或密鑰服務(wù)器，但不會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)其他部分發(fā)生的事情。除非您擁有無(wú)限的資源，否則您可能無(wú)法監(jiān)控網(wǎng)絡(luò)上的所有內(nèi)容，因此關(guān)鍵決策將是哪個(gè)流量最重要，哪個(gè)網(wǎng)段提供最佳優(yōu)勢(shì)。

IDS可以被動(dòng)地監(jiān)控多個(gè)網(wǎng)段，并可以監(jiān)控IPS或UTM永遠(yuǎn)不會(huì)看到的流量，例如完全停留在LAN或DMZ內(nèi)的流量。因此，IDS可以在桌面計(jì)算機(jī)上發(fā)出警報(bào)，攻擊LAN上的其他桌面計(jì)算機(jī)，這是IPS或UTM因內(nèi)聯(lián)而錯(cuò)過(guò)的內(nèi)容。

「網(wǎng)絡(luò)安全」IDS vs IPS vs UTM - 網(wǎng)絡(luò)安全三劍客

IPS與IDS

IPS（入侵防御傳感器）在大多數(shù)情況下都是IDS，除了它可以對(duì)當(dāng)前流量進(jìn)行內(nèi)聯(lián)操作。這聽(tīng)起來(lái)很棒嗎？好幾乎。 IPS和UTM本質(zhì)上必須是內(nèi)聯(lián)的，因此只能看到進(jìn)出區(qū)域的流量。一個(gè)巨大的問(wèn)題是IPS可以防止業(yè)務(wù)合法或創(chuàng)收流量（IPS，記住，可以改變流量）。 IPS操作包括drop，reset，shun或custom腳本操作，所有這些操作都會(huì)在簽名匹配時(shí)立即發(fā)生。如果IPS丟棄合法流量，這種可能的負(fù)面行為會(huì)使負(fù)責(zé)安全的人現(xiàn)在對(duì)收入損失負(fù)責(zé)。根據(jù)我們的經(jīng)驗(yàn)，只要您還利用區(qū)分IPS的關(guān)鍵組件，IPS設(shè)備就能成為出色的工具。

確保您的IPS設(shè)備能夠“失效打開(kāi)”;這意味著如果應(yīng)用程序的任何部分發(fā)生故障，甚至機(jī)箱發(fā)生故障（任何人都會(huì)斷電），該設(shè)備將繼續(xù)通過(guò)流量。沒(méi)有人想要一塊阻礙數(shù)據(jù)流動(dòng)的磚塊。

還要意識(shí)到實(shí)際上只有一小部分簽名可以被允許對(duì)流量采取行動(dòng)。為了幫助減少誤報(bào)率，應(yīng)該有一個(gè)非常明確的家庭網(wǎng)或受保護(hù)的范圍，允許面向方向的簽名更有效。您還需要花費(fèi)大量時(shí)間查看警報(bào)和事件輸出，以確保允許采取措施的簽名按預(yù)期工作。您可以在每次簽名更新時(shí)花更多時(shí)間預(yù)先花費(fèi)更多時(shí)間，查看供應(yīng)商選擇采取行動(dòng)的簽名，并考慮這會(huì)如何影響您的流量。我們已經(jīng)看到這種方法在防火墻在“開(kāi)放”網(wǎng)段之間不是很受歡迎的環(huán)境中效果最好。

UTM設(shè)備中基于軟件的模塊

這將我們帶入統(tǒng)一威脅管理（UTM）設(shè)備中基于軟件的模塊。關(guān)于這些設(shè)備的關(guān)鍵項(xiàng)目恰好是缺點(diǎn)，盡管這并沒(méi)有降低它們的功效。顯然，它們只能位于UTM本身所在的位置。通常，這是您的Internet網(wǎng)關(guān)或LAN和DMZ之間的訪問(wèn)控制點(diǎn)的交接點(diǎn)。在這種情況下，UTM將無(wú)法查看DMZ或LAN上的所有系統(tǒng)到系統(tǒng)流量，而只能看到來(lái)自該段的流量。

此外，UTM不是專用平臺(tái)，因此傾向于具有更高的誤報(bào)率（盡管這越來(lái)越好）。在高CPU或內(nèi)存利用率的情況下，它們將關(guān)閉軟件模塊以保留設(shè)備的主要功能，作為防火墻。這是與不是專用平臺(tái)相關(guān)的重要一點(diǎn)，有助于證明對(duì)專用設(shè)備的請(qǐng)求是合理的。如果您擁有的是這樣的設(shè)備，我們會(huì)說(shuō)它！從您的網(wǎng)絡(luò)進(jìn)出流量比看到根本沒(méi)有任何IDS要好得多。請(qǐng)您的供應(yīng)商驗(yàn)證他們是否在防火墻策略后對(duì)邏輯流量進(jìn)行了邏輯檢查，如果您的設(shè)備進(jìn)入保存模式或始終看到高資源利用率，請(qǐng)務(wù)必立即通知自己。

因此，總之，比較IDS，IPS和UTM

這三者中沒(méi)有一個(gè)是“設(shè)置并忘記它”的設(shè)備。每天都會(huì)出現(xiàn)新的惡意軟件和利用和檢測(cè)的載體。無(wú)論您的選擇如何，您都會(huì)經(jīng)常在簽名事件/警報(bào)輸出中重復(fù)進(jìn)行維護(hù)，并且需要更新和管理您的策略，尤其是在IPS的情況下。更新可以自動(dòng)應(yīng)用于所討論的任何設(shè)備，但這并不能免除人工審查的需要。每天留出一些時(shí)間來(lái)檢查您的設(shè)備，并考慮關(guān)閉在您的環(huán)境中沒(méi)有任何作用的簽名組（想想“基于策略”）并精確調(diào)整其他噪音。

我們所寫的所有警示性聲明都希望不會(huì)嚇到你。在您的環(huán)境中進(jìn)行流量檢查是了解網(wǎng)絡(luò)流量的好方法。

原文：https://www.alienvault.com/blogs/security-essentials/ids-ips-and-utm-whats-the-difference

本文：http://pub.intelligentx.net/ids-vs-ips-vs-utm-whats-difference