Det finns ingen enda "typ" av IDS -lösning som magiskt förvandlas till en IPS bara genom att stoppa oönskad aktivitet. Skillnaden mellan ett intrångsdetekteringssystem (IDS) och ett intrångsförebyggande system (IPS) ligger i grunden i deras *kapacitet *:
* ID (intrångsdetekteringssystem): En ids * upptäcker * skadlig aktivitet. Den övervakar nätverkstrafik och systemloggar för misstänkta mönster och varnar administratörer. Det stoppar inte aktivt attacken.
* ips (intrångsförebyggande system): En IPS * upptäcker och förhindrar * skadlig aktivitet. Den utför samma övervakning som en IDS men vidtar också åtgärder för att blockera eller mildra hotet. Detta kan innebära att släppa paket, återställa anslutningar eller blockera åtkomst.
För att förvandla en IDS * till * en IPS -funktionalitet behöver du ett system som:
1. har förmågan att aktivt ingripa: Kärnkravet. Många IDS -lösningar är rent passiva övervakningsverktyg. Du behöver ett IPS eller ett system med inbyggda IPS-funktioner. Ett enkelt skript eller regel som varnar på en IDS kanske inte räcker för förebyggande.
2. Erbjudanden förebyggande mekanismer: Detta kan involvera saker som:
* paketfiltrering: Blockerar skadliga paket på nätverksnivå.
* Anslutningsavslutning: Med kraft att stänga skadliga förbindelser.
* Access Control Lists (ACLS): Begränsa åtkomst till specifika resurser eller nätverk.
* Kontroller på applikationsnivå: Blockering av specifika åtgärder inom applikationer.
Därför kan du inte bara "uppgradera" en grundläggande ID till en IPS. Istället måste du:
* Byt ut ID:erna med en IPS: Detta är den mest enkla metoden. Välj och installera en IPS -lösning som uppfyller dina behov.
* Använd en IDS/IPS -kombinerad lösning: Vissa säkerhetsapparater eller programvarupaket erbjuder både ID:er och IPS -kapacitet i en enda enhet. Detta är ofta en mer effektiv och integrerad strategi.
* Integrera en IPS med dina befintliga ID: Vissa avancerade inställningar kan involvera en IDS -matningsdata till en IPS som kommer att vidta förebyggande åtgärder. Detta kräver vanligtvis sofistikerade nätverkshanteringsverktyg.
Sammanfattningsvis är "typen" av lösning du behöver en ips eller en kombinerad IDS/IPS lösning. Att helt enkelt stoppa oönskad aktivitet baserat på en IDS:s varningar utgör inte automatiskt en IPS. Aktiv intervention är avgörande för förebyggande aspekten.
