Чем отличаются IDS и межсетевой экран (firewall)

17 Сентября 2014
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Под IDS (intrusion detection system – система обнаружения вторжения) подразумевается устройство или программное средство, которое мониторит сеть и систему на предмет подозрительной активности, и нарушении установленных политик.

Хотя и файрволл и IDS относятся к комплексу сетевой безопасности, они работают по-разному. Файрволл направлен «наружу», и предназначен для предотвращения внешних угроз. IDS определяет «изнутри» возможное вторжение и сигнализирует об этом. Существуют также и активные системы, которые при определении внешнего вторжения отправляют команду межсетевому экрану блокировать данное соединение. Также IDS способны определять угрозы, возникшие изнутри сети, вне сферы действия межсетевого экрана.

IDS бывают сетевые (NIDS – network-based IDS) и узловые (HIDS – host-based IDS). Сетевая IDS располагается в стратегической точке сети, где она может «слушать» весь проходящий трафик. В этом также бывает и угроза создания «узкого места» в сети, если производительность выбранной IDS низка. Узловая IDS располагается на самих хостах или устройствах в сети, и отслеживает трафик от и к устройству.

Существуют два основных метода работы IDS – вычисление статистических аномалий и отслеживание сигнатур. Первым методом отслеживается “нормальное” состояние сети и в случае каких-то неожиданных скачков сетевой активности IDS пытается вычислить, насколько это подозрительное действие. Вторым методом, как следует из названия, является поиск подозрительных действий по базе сигнатур различных атак.
Получить консультацию специалиста