Solaris网络环境部署HIDS配置实战(上)

核心提示： 入侵者可能经由其他的系统漏洞入侵并得到系统管理员权限，那么將会导致HIDS失去其效用，Solaris网络环境部署HIDS配置实战(上)(2)，Host-based IDSs可能会因为denial-of-service而失去作用，二、IDS和其他安全工具的关系1. IDS和防火墙的关系防火墙

入侵者可能经由其他的系统漏洞入侵并得到系统管理员权限，那么將会导致HIDS失去其效用。

Host-based IDSs可能会因为denial-of-service而失去作用。

二、IDS和其他安全工具的关系

1. IDS和防火墙的关系

防火墙是网络安全的重要工具，不过它也存在权限：

防火墙只能抵挡外部來的入侵行为。

防火墙本身可能也存在弱点，以及其他安全性的设定错误。

即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限。

防火墙仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知。

IDS对于防火墙的作用如下：

防止防火墙和操作系统与应用程序的设定不当

监测某些被防火墙认为是正常连接的外部入侵

了解和观察入侵的行为意图，并收集其入侵方式的资料

监测內部使用者的不当行为

及时阻止恶意的网络行为

IDS和防火墙的关系应当如下：

功能互补，通过合理搭配部署和联动提升网络安全级别：

检测来自外部和内部的入侵行为和资源滥用

在关键边界点进行访问控制

攻击检测更新迅速，实时的发现和阻断

二者应当相辅相成，在网络安全解决方案中承担不同的角色。如图1。

图1 IDS和防火墙的关系

三、OSSEC

1.简介

OSSEC属于基于主机和应用的入侵检测系统，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。在前文的介绍中，我们把基于主机和基于应用的入侵检测系统分成了两大类，不过在实际环境中，往往会将二者结合在一起使用。这是因为二者采集信息的来源相同，都是那些被监视保护的主机，而且黑客对主机进行侵入时，往往会同时攻击操作系统和应用服务上的漏洞。OSSEC目前的最新版本是1.5。OSSEC是一个非常典型的主机型入侵检测系统，我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术。