一天走在路边,看到几个兄弟在争论,为了方便,就分别叫做防火墙,入侵防御IPS,入侵检测IDS。
这几个哥们,在争吵一个话题,谁最牛逼,具体问题就是,谁最合客户心意?
防火墙:我告诉你们,我才是最牛逼的,你造不,有了我,就别想潜入客户网络,想要偷袭我的领地(客户内网),这是不可能滴。
我告诉你们,我天生就不相信任何人,只相信我领地里面的人,所以想通过我去威害我的人,是不可能的。
IDS:呦呵,看把你能的,我怎么老能检测到有一些恶意活动呢,嘿嘿,打脸了吧。
防火墙:你可拉到把,是,我承认你可以检测到一些恶意行为,不过你不就是仗着你老子的资源,可以使用你老子的特征库,算什么厉害,来啊,互相伤害,让你小子拆我台。
IPS:各位让让,我不是针对谁,我想说,在座的各位都是垃圾,防火墙你小子也就保护内网强点,可是你想过没有,50%的安全都是你自己人内乱造成的。
还有IDS你监控的内网区域大是大,但是紧要关头,你小子有个屁用,先不说你老子的特征库不一定全面,就说你小子检测到入侵行为,
可是有什么用,不过就是勉强喊几声,“大家快看,这里被入侵了”,其它的你还能干什么?
我就不一样了,我不止可以检测到入侵还可以拦截,你行么?让我给你们说说我到底多么牛逼,省的你们装逼,装逼也就算了,居然敢在我面前装逼,哼哼!
防火墙你本身有的功能我都有,还比你强,你不过就是使用五元组(源IP,源端口,目的IP,目的端口,传输层协议TCP/UDP)做到包过滤的效果,你摸着自己的良心说,你真的做到过滤了么,内部数据包携带的东西你可以过滤吗?
而我可以拨开数据包查看深层的内容(深度包检测),看看它们有没有私自携带蠕虫,病毒,木马什么的,而且检测到以后我还可以使用我的特征库,对这些潜在的攻击行为进行防御。
哎,我说你笑啥(IDS),我刚才还说你监控区域大,不过就是给你留了点面子,但是你本质不过就是根据网络和主机进行简单的分析检测,
做出一个大方向的执行计划,还不一定准,要是你老子不给力,特征库没有及时更新上,你还会造成“狼来了”的效果,徒费客户的精力,你说,能给你好脸色?
我明显看到,防火墙和IDS脸色变得赤红,大凶之兆啊,别给整出个问题,到时候还要拉我做见证人那就麻烦了(这个地方人少,只有我们几个),我才不想管这破事呢,算了,做个好事调解一下吧。
我听你们三吵这么长时间,能不能允许我来说句话。(这几个哥们冷笑着说,看你能说出个什么来?)
IPS不可否认你确实稍强,那些你是能做到,可是你个小年轻能不能体谅下你的两个前辈,你是怎么诞生的,还不就是你的两个前辈本身出生就带有一定的局限性。
以前,内乱比较少,大多是危险来自于外部,然而随着某些黑客大佬在网络上传播各种技巧,什么绕过安全狗了,什么字典爆破了,什么sql注入了等等这些技巧的泛滥。
你出生的晚,应该不知道,一直有个脚本小子的说法,意思就是,很多懵懵懂懂的人不再像以前那样精通各种编程语言才能搞事情,现在他们直接拿着大佬写的工具完全就可以轻松搞事情,网站很容易就被侵入,服务器被人拿下,进而渗透入内网。
后面有了这个前辈-防火墙,你不知道很多人看到防火墙就一个字,此处太险,立即撤退。防火墙做了很大的贡献。(防火墙脸色渐好,有戏,在夸夸IDS,这架估计就打不起来了)
再来说说IDS这个前辈(充满期待的小眼神快给我看乐了,恩,坚决不能笑…)
刚才也说了,因为有了防火墙前辈的守护,很多危险被拒之门外,不过所谓道高一尺魔高一丈,有人想,这也不是一回事啊(一般有防火墙存在的地方,内部数据就很值钱),现在搞到的数据没啥意义啊,都是一些小地方的数据,咋办呢?还别说,真给他们想出来个不是办法的办法——思路就是从内入手最好搞。
具体说之前我先给你介绍下IDS这位前辈。
IDS分为两部分,主机型(HIDS)和网络型(NIDS)。
主机型入侵检测系统一般都是以系统日志,应用程序等日志作为源头去分析,主要针对保护的是系统。
网络型入侵检测一般都是以网络上面的数据进行数据源,通常采用的手法都是把机器的网卡设置为混杂模式,这样就可以监听网段内流经的数据,NIDS担子比较大,考虑的是整个网段。
这两种都会对异常行为进行统计,并且还会对系统关键资源进行一定程度的评估,核查系统的配置或者漏洞信息。
IDS通常是等保中必备采用的设备。(等保收集和考虑的就是这些具有安全指导意义的信息)
而你IPS,你的诞生就是一个集成的思路,先总结一下防火墙前辈是基于IP、端口和协议来执行访问控制的,简言之属于访问控制系统。IDS总体属于审计类系统。
有人就说为什么不集合在一起呢?这就是你的由来。
IPS一脸尴尬的表情,原来自己还真是属于晚辈,怪不得以前创始人还告诉自己见了防火墙和IDS两位前辈不要太张狂。
后续:会继续创作更多有趣的文章。
最后
关注公众号:工程师江湖,联系小编微信 Blue469 获取资料。
老铁们,这里有干货!
有帮助?好看!转发!
