89、思科网络安全与设计全解析

思科网络安全与设计全解析

1. 入侵检测系统（IDS）

1.1 IDS传感器工作原理

当使用入侵检测系统（IDS）时，实际上是在使用IDS传感器。IDS传感器通过邮局协议与事件管理程序进行通信。当传感器检测到与已知攻击特征匹配时，会通知控制器。控制器记录该信息并指示传感器采取相应行动。

1.2 IDS传感器类型

IDS传感器有以下几种类型：
- 网络传感器（NIDS） ：利用思科IDS 4200系列设备提供基于网络的入侵检测。
- 主机传感器（HIDS） ：由Entercept驱动，用于提供基于主机的IDS。
- 交换机传感器（IDSM） ：在思科6500交换机中使用IDSM模块，可在交换环境中进行入侵检测。
- 路由器传感器 ：通过加载IOS防火墙功能集并在路由器上启用IDS，路由器可充当IDS传感器。
- 防火墙传感器 ：可启用PIX防火墙，提供有限的IDS传感器功能。

思科推荐使用思科IDS 4200系列设备和思科6500系列交换机中的IDSM模块来满足所有IDS需求。不同IDS产品的比较如下表所示：
| 特性 | 4210 | 4235 | 4250 | IDSM |
| — | — | — | — | — |
| 尺寸（U） | 1 | 4 | 4 | 1插槽 |
| 处理器（MHz） | 566 | 双PIII - 600 | 双PIII - 6