大家有沒有聽過IDS或I ?

有沒有人用過IDS或 IPS ,怎麼樣?

我看到一個電腦公司寄來的廣告:

Firewall防火牆能規範能進出網路的應用
舉例，如果在公司網路由網頁伺服器的話
一般防火牆會容許外面的TCP port 80（HTTP request）進入

雖然HTTP request容許進入
但是不代表所有的HTTP request都是沒有危害的

2001年的Code Red蠕蟲大爆發
就利用HTTP request來攻擊微軟的IIS web server
後來微軟也修正了她們的軟體

有關Code Red的資訊：
http://www.ascc.net/nl/90/1718/03.txt
http://www.cert.org/advisories/CA-2001-19.html



如果防火牆不能阻擋“容許而惡意”的應用怎辦？
利用IPS (Intrusion Prevention System)

IPS是IDS（Intrusion Detection System，入侵偵測系統）的進化版
不單只偵測和報告入侵
還會在阻止入侵進入網路

一般IDS會檢驗每個網路封包的內容
再把封包內容與一些已知的攻擊作比較
去判斷封包是否安全

IDS產商會把不同“已知攻擊”（如Code Red）的封包的特性內容
集合成signature檔案(就好像防毒的virus pattern/signature一樣)

以檢查封包和核對攻擊signature來運作的IPS
我們稱呼為Signature-based IPS

---

IDS安全性好的网站都有，防御系统的一部分。
其实BLACK ICE就是一款IDS

---

硬件我穷，没有见过
不过看过书，了解一些