网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　在实际使用中，大多数入侵检测都是采用by-pass(旁路)方式来侦听网络上的数据流，但这却限制了IDS本身的阻断功能。lDS只有通过发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如飞Telnet、FTP、HTTP等，对于建立在UDP之上的则无能为力。由于防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好地保护网络的安全，所以IDS与防火墙联动的目的就是为了更有效地阻断研发生的攻击事件，从而使网络隐患降至较低限度。

　　3.入侵防御系统的连接策略

　　为了保障所保护网络的安全，入侵防御系统通常被串接在被保护网络的前端。不过，为了充分发挥各种安全设备的优点，以取得最好的网络安全效果，可以将不同的安全产品应用至不同的网络位置，并使其安全功能相互搭配，从而发挥每个设备的最佳安全效能，实现无缝的网络安全。

　　如图3所示，采用多种模式分层防护，监控与防护相结合，在线NlPS模式与旁路NIDS模式相配合，防护更为完善。

　　图3多种模式分层防护

　　在通常情况下，将IPS置于网络总出口(或者广域网、远程访问网络出口)，实现内部网络的入侵过滤;IDS旁路于服务器群组的Uplink认端口，侦测可能对网络服务器发动的安全攻击;核心交换机集成防火墙模块，实现虚拟防火墙与lDS的互动;汇聚层交换机、接入层交换机、无线接入点和边缘路由器启用IOS防火墙，实现简单的网络安全过滤，减少专用安全设备的压力;同时借助MARS实现对整个网络安全设备的统一管理与监控。