IPS 在网络中的首选位置是哪个?

网络工程 思科 安全 设计
2021-07-19 02:59:28

在保护校园网的背景下,IPS 在网络中的首选位置是什么?

  1. 在 ISR 路由器内
  2. IPS 作为单独的设备
  3. ASA内
4个回答

这实际上取决于网络拓扑和大小、预算,当然还有您的安全策略!我在下面的回答并不是对您问题的直接回答。如果您发布拓扑图或提供更多信息,则可以提供更准确的答案。相反,我已经给出了一些关于 IPS 的一般指南,适用于各种情况,包括我从您的问题中得出的场景。

拓扑和尺寸

如果您有一个大型网络,部署 IPS 的常见位置将位于 DMZ 外部边界或内部专用网络边界的边缘/边界/传输路由器内部。然后,您可以将其与直接位于边缘/边界/传输路由器后面的 IDS 盒结合起来,在流量到来时获取流量模式和签名,并将信息反馈到网络深处的 IPS 盒。

边界路由器擅长它们的工作(管理许多 WAN 连接,或 BGP 对等互连、uRPF、VPN 等),而 IPS 并不擅长这些工作。不要将 IPS 放在边缘,因为您将检查所有入口/出口流量,即使这些流量不是发往您的网络或仅发往您网络的外围!

根据设计,有些人会在 DMZ 前面说任何规模的网络。如果您有一个 DMZ,然后在其后面有一个专用内部网络,那么最好在 DMZ 前面设置一个,然后在 DMZ 和专用网络之间的边界设置一个。即使对于最小的网络,这也是一个简单的好主意。

请记住,IPS 应该防止不需要的流量。IDS 正在识别它,记录和报告它,并经常控制更深入的 IPS。一些 IPS 两者兼而有之。ASA 上的 IPS 或 ISR 等集成设备需要更强大一点,与部署它/它们的拓扑中的点成比例。

预算

如果您谈论的是单个 IPS 盒,或者在 ASA 或 Cisco ISR G2 路由器上运行集成的 IPS 服务,我会尽可能将其放置在您面向公众的服务附近成本的一个简单经验法则是,IPS 框离您的 DMZ(例如)越远,通过它的流量就越多,因为其他非 DMZ 目的地的流量可能会通过它,这意味着您需要一个更强大的盒子来处理额外的无关流量。

如果预算没有问题并且您运行的是大型或小型网络,请不要发疯!IPS 盒通常是一个令人头疼的问题(“为什么 XYZ 端口上从 A 到 B 的连接不起作用?......3 小时后......哦,链中的第三个 IPS 盒正在标记并丢弃它! ” ,它们是工时的水槽!)。此外,当 IPS 过载时,它们可能会给流量带来显着的延迟和抖动。哦,根据我的经验,例如在 HA 中使用一对时,失败永远不会像您计划的那样顺利:)

安全政策

(可以说)这里要考虑的最重要的一点是(如果你想保住你的工作),你需要做任何满足你必须遵守的任何安全策略的事情这可能是您自己公司的内部政策,或者如果您使用信用卡详细信息进行在线支付,则您需要遵守 PCI/DSS 法规,这可能需要在多个地方或其他地方安装多个 IPS 盒您公司的政策通常会让您调整步伐。所以要注意!

我将从不同的角度来看待这个问题。

你为什么还要为 IPS 烦恼?谁将监视日志,确保它们不会在几个月内处于旁路模式等。

我认为,如果您谨慎对待防火墙规则和终端系统维护,它们可能毫无用处,因为它们可能检测到的唯一“入侵”已被修补或无关紧要(针对 *nix 主机的 Windows 攻击等) .),如果您不擅长修补等,那么您可能不擅长在事件发生时对其进行管理。

出于监管原因,您很可能被要求安装它们,这很好,如果是这种情况,那么您应该将它们放在您的审计员所说的地方,因为与他们争论的成本可能高于默许的成本,即使(您相信) 他们错了。

如果我被要求放一个,我肯定会把它放在防火墙的内部,因为我无论如何都不会收到关于“攻击”的通知。使用防火墙前流量获取额外数据的额外探针(X 获得通过,同一来源也尝试了 Y 和 Z 哪个防火墙被阻止)可能很有价值。

与问题一样广泛地说(并假设预算不受限制),我“更喜欢”在所有三个(以及我能得到的更多)中使用某种 SIEM 解决方案将所有数据捆绑在一起形成一个更全面的图片。

但是,根据您要保护的内容,这三个中的任何一个都可以使用。如果没有更多信息,我无法给出比已经提供的更好的答案。

使用谷歌检查/翻译以下博客文章(葡萄牙语,来自 Cisco Firewalls 一书的作者):http : //alexandremspmoraes.wordpress.com/2012/07/03/multiplas-camadas-de-defesa-a- complementaridade-做防火墙-E-做-IPS 对我来说这是我见过的在哪里放置IDS和IPS(和它们的互补性)的最好说明。