Чем отличаются IDS и межсетевой экран (firewall)

Под IDS (intrusion detection system – система обнаружения вторжения) подразумевается устройство или программное средство, которое мониторит сеть и систему на предмет подозрительной активности, и нарушении установленных политик.

Хотя и файрволл и IDS относятся к комплексу сетевой безопасности, они работают по-разному. Файрволл направлен «наружу», и предназначен для предотвращения внешних угроз. IDS определяет «изнутри» возможное вторжение и сигнализирует об этом. Существуют также и активные системы, которые при определении внешнего вторжения отправляют команду межсетевому экрану блокировать данное соединение. Также IDS способны определять угрозы, возникшие изнутри сети, вне сферы действия межсетевого экрана.

IDS бывают сетевые (NIDS – network-based IDS) и узловые (HIDS – host-based IDS). Сетевая IDS располагается в стратегической точке сети, где она может «слушать» весь проходящий трафик. В этом также бывает и угроза создания «узкого места» в сети, если производительность выбранной IDS низка. Узловая IDS располагается на самих хостах или устройствах в сети, и отслеживает трафик от и к устройству.

Существуют два основных метода работы IDS – вычисление статистических аномалий и отслеживание сигнатур. Первым методом отслеживается “нормальное” состояние сети и в случае каких-то неожиданных скачков сетевой активности IDS пытается вычислить, насколько это подозрительное действие. Вторым методом, как следует из названия, является поиск подозрительных действий по базе сигнатур различных атак.