前言:超越防火墙的安全之眼

如果说上一篇第3部分介绍的防火墙扮演的是网络"守门员"的角色,那么IDS(入侵检测系统)和IPS(入侵防御系统)就是网络的"监控摄像头"和"安保人员"。IDS/IPS的核心功能是在防火墙允许通过的流量中检测和应对恶意活动。

当今的网络攻击越来越精细化。仅靠端口封锁已无法阻止Web应用攻击、零日漏洞利用、APT(高级持续性威胁)等。本篇第4部分将以实践为中心,介绍IDS/IPS的概念、检测方式,以及代表性开源解决方案Snort和Suricata的安装与配置。

1. IDS vs IPS:理解区别

1.1 IDS(入侵检测系统)

IDS是监控网络流量或系统活动,检测可疑活动或策略违规并生成告警(Alert)的系统。IDS以被动(Passive)方式运行,不阻断流量,而是分析流量副本。

IDS工作方式:
┌─────────┐     ┌─────────┐     ┌─────────┐
│  互联网  │────▶│  交换机  │────▶│  服务器  │
└─────────┘     └────┬────┘     └─────────┘
                     │ (镜像/SPAN)
                     ▼
               ┌─────────┐
               │   IDS   │ → 检测 → 生成告警
               └─────────┘

IDS的特点:

  • 分析流量副本(带外/Out-of-Band)
  • 检测后只发出告警,不直接阻断
  • 不影响网络性能
  • 误报时不影响服务

1.2 IPS(入侵防御系统)

IPS是在IDS的检测功能基础上增加实时阻断(Block)功能的系统。它以内联(Inline)方式部署在流量路径上,可以即时阻断恶意流量。

IPS工作方式:
┌─────────┐     ┌─────────┐     ┌─────────┐
│  互联网  │────▶│   IPS   │────▶│  服务器  │
└─────────┘     └─────────┘     └─────────┘
                     │
                检测 → 阻断 或 放行

IPS的特点:

  • 直接部署在流量路径上(内联/Inline)
  • 检测到恶意流量后可立即阻断
  • 可能产生延迟(Latency)
  • 误报时可能阻断正常服务

1.3 IDS与IPS比较

区分 IDS IPS
部署方式 带外(镜像) 内联(串联连接)
响应方式 检测和告警 检测和阻断
网络影响 可能产生延迟
误报影响 仅生成告警 可能阻断正常流量
故障时 监控中断 网络中断(无旁路时)
应用场景 监控、分析 实时威胁阻断

实用技巧:许多组织采用先以IDS模式运行进行检测规则调优,稳定后再转换为IPS模式的方式。

2. 检测方式

2.1 基于签名的检测(Signature-based Detection)

将流量与已知的攻击模式(签名)进行比较的检测方式。类似于杀毒软件的模式匹配。

工作原理:

数据包 → 与签名库比较 → 匹配时告警/阻断

签名示例:
- SQL注入:"' OR '1'='1"
- XSS攻击:"