IDS入侵检测系统在宣钢网络中的部署

　　0前言

　　入侵检测系统(Intrusion Detection Systems,IDS)工作在计算机网络系统中的关键节点上，通过实时地收集．分析计算帆网络和系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。

　　网络人侵柱浏系统(Network Intrusion DetectionSystem，NIDS)作为主动保护自己免受攻击的网络安全技术．处于肪火墙之后，它就如同大楼内无处不在的闭路电视录像监控系统，在不影响网络性能的倍况下对网络和系统进行实时监测。它采用旁路方式全面侦听网上信息流，动态监视网络上流过的有数据包。通过检铡和实时分析，及时甚至提前发现非法或异常行为，并进行响应。

　　网络型入侵检测系统能够全天侯进行日志记录和管理，进行离线分析．对特殊事件进行智能判断和回故。可以有效地防止和减轻网络威胁。帮助系统对付网络攻击．扩展了网络管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。

　　宣钢企业有自己的内网资源．并且已经在防火墙系统上投入了一定的资金．在Internet入口处部署了思科PIX525防火墙来保证网络安全．但这样的网络组织往往是”外紧内松”．它无法阻止内部人员对同络所做的攻击。对信息流的控制也缺乏安全性。

　　入侵检测系统是对防火墙有益的补充，如果说防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。因此，在宣钢内部网络的主要链路上我们应该部署一套IDS入侵检测系统。

　　1 IDS在宣钢网络中的部署

　　根据宣钢的网络拓扑结构(见图1)，我们将IDS挂接在宣钢内部网络所有所关注流量都必须流经的链路上，用来监控东区、西区以及办公楼之间的网络情况．同时对东区和办公楼到Internet的网络情况进行监控，可以实现全网80％流量的监控。(其中办公搂与西区及外网进行数据交换时数据流要经过东区机房的主交换机)。

图1 宣钢网络简易拓扑图

　　入侵检测引擎部署在东区机房核心交换机机柜中，将Monitor(监控)端口连接到东区机房Cisco交换机4006的G4/1端口上，将通信端口连接到东区机房Cisco交换机4006的4/27端口上。其中东区机房Cisco交换机4006的G4/1端口(千兆光口)是该交换机的G1/1(东区到西区)和Gl/2(东区到办公楼)的镜像端口。控制台选用一台Dell poweredgel500sc服务器，IP地址为192.168.39.246，与该交换机的f4/28口相连。

　　在东区机房Cisco交换机4006上给G4/1配置镜像的方法如下：

　　monitor session 2 source interface Gil/1—2
　　monitor session 2 destination interface Gi4/1