网络工程必学 | 有效的去使用IPS/IDS之间的方法你值得收藏

　　在前面的文章中，我们已经为大家详细的去介绍了入侵防御系统（IPS）与入侵检测系统（IDS）之间的工作方式，以及这两者之间的安全级别的一个分析，相信你已经了解他们之间存在的优缺点，熟悉他们的工作原理之后还是需要如何使用有效的方法来去使用它们，或者有很多问题大家还是没有解决的，接下里，我们就一起来看看吧，希望能够帮助到大家！

　　或者有用户会问，在使用的过程中是应该仅仅由一个信息系统安全小组的成员接收IDS警报，还是多个成员以及公司管理层的成员应该接收这种警报?

　　针对上面的问题，我们应该要根据在使用的中的实际情况来具体的分析：

　　1.来自IDS的很多警报都是错误的报告。

　　2.来自IDS的很多警报都与紧急的问题无关。

　　3.来自IDS的很多警报都不需要立即采取行动。

　　4.来自IDS的少数警报需要立即展开进行调查。

　　5.少数的警报需要立即采取行动。

　　我们可以使用联想的方式来思考一些问题，如果有一个人要接受拜访或者有一个接受拜访的计划，那么只有这个人是应该通知的人。如果你已经花很多的时间金钱来去调整你的报警系统，你不会得到很多警报并需要跟踪这些警报。也许一个票务系统是最合适的。那么在这样的情况下面，就比如IDS系统创建一张票，那么安全小组的一个成员负责接收传呼和报警。如果这张票在四个小时之内还是得不到一个更新的话，这个时候就需要去用寻呼机呼叫一位经理。

　　由于IPSes可能阻止正常的通信，那么IPSes是否是充满了危险呢？

　　我们都知道IPSes在之前引起的问题是比较多的。现在采取的技术，错误地封锁正常通信的情况很少发生。但是需要记住的是，你不能只是去购买和安装一个IPS，然后就不管它，让它自己去做所有的事情。IPS或者IDS需要花时间去维护才是可以的，使用的过程中总会有错误的地方，这也需要耐心的去纠正。

　　在众多的运行IPS的案例，一般出现问题的都是比较少的，通常来说这些问题都是http服务器之间不正常的通信造成的，IPS把这些通信检测为坏的通信。一旦规则修复之后，一般来说就没有太大的问题了。

　　有用户使用过Snort的入侵检测系统，在使用的过程中并没有大量的错误警报，但是感觉还是没有OTS技术那么好，是否有一定的遗漏呢

　　其实一般来说默认的Snort规则在网络中都不需要调整。很可能会看到ICMP(互联网控制消息协议)警报，并且可能看到某些错误的DNS和HTTP警报。如果你安装“BleedingEdge”规则，那么你将会看到更多的这些规则！

　　要有效地采用Snort系统，你可能需要花费更多的时间去更改配置这些规则，关闭或者是去修改其中的一些有关的东西。

　　那么用户如果是使用Snort系统的好处是你将得到更新、修改规则、创建你自己的规则和制定输出的内容。如果你寻求插入一个解决方案，那么像这些ISS、NAI、思科和其它产品等商业软件也是你可以去考虑的。如果你是一个希望花几天时间甚至几个星期时间学习的技术人员，那你可以去选择Snort，因为它是一个不错的选择！

　　IDS能够检测到端口扫描吗?它是如何进行检测的呢

　　IDS它是有几种方法识别端口扫描:

　　第一：IDS它是能够查找对同一个地址的几个相连的端口进行连接的企图(比如说在五秒钟试图连接端口X、X1和X2)。

　　第二：IDS能够查找对某些不常用的端口，或者某些特洛伊木马程序经常使用的端口实施的连接活动(比如去试图连接31337、12345端口，或者在10秒钟之内连接2个以上的端口)。

　　第三：IDS还能够查找在某一个特定时段内一个主机和另一个主机之间的连接次数(举个例子，在10秒钟之内同一个IP地址的主机发出10次以上的连接请求)。这种方法是DNS服务器经常被误认为是端口扫描主机的一个原因。

　　总结：文中IPS/IDS这两者之间使用的过程中可能出现的问题，是用户反映最多的问题，这也是使用IDS/IPS实施积极的安全漏洞管理的技巧，网络信息化普及的今天，我们还是需要对安全级别有一个好的防御！