入侵检测部署.docVIP

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上，例如Web服务器，数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证，文件修改/删除和其他基于主机的信息，因此，将其划定为网络中设备的第二级保护。起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统，然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施，然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的，在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web，邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后，第三级会包括位于非军事区中受保护私有网络的所有其他设备，它们是关