NetScreen IDP系统实施指导.docVIP

NetScreen IDP系统实施指导 NetScreen-IDP传感器用来监控它所在的网络。这个传感器是运行着IDP传感器软件的硬件设备（称作IDP设备）。 传感器的主要作用是在IDP规则库里所定义的特定规则的基础上，检测可疑的和不正常的网络流量。如果这个传感器运行在线内模式，它也可以针对恶意流量采取预定的动作。 NetScreen-IDP设备支持不同的工作模式，各种工作模式具有各自不同的特点。在实施过程中，有可能在不同的实施阶段需要不同的工作模式达到特定的目的。这个指导文档将从总体角度介绍工作模式的特点，以及如何有步骤的实施IDP设备，以便充分发挥它的功能。 工作模式 可以将IDP传感器实施为被动嗅探(sniffer)模式或主动网关(gateway)模式。 NetScreen-IDP设备无论在何种模式下，都可以采用独立的管理接口，可以连接到独立的管理网络上。IDP设备的接口数量可以满足典型的网络应用。  1．嗅探（sniffer）模式 被动嗅探模式下的传感器连接在交换机或hub上，在网络流量经过的时候进行嗅探。传感器监控网络流量，记录安全事件，并可以对攻击产生报警。但是，因为嗅探的传感器不能针对攻击采取行动，所以它不能预防攻击。 优点 缺点 无缝的IDS替换　 无任何预防性，被动监控 最小的网络改动　 必须使用Hub，或span的交换机接口 不会产生新的网络故障点　 可