网站漏洞防火墙IDS如何选择

IDS防火墙无法发现的威胁，入侵检测系统善于捕获已知的显式恶意攻击。而一些专家会说，一个正确定义的ids可以捕获任何安全威胁，包括事实上最难发现和预防的滥用事件。例如，如果外部黑客使用社会工程技术获得CEO密码，许多入侵检测系统将不会注意到。如果站点管理员无意中向世界公共目录提供机密文件，ids将不会注意到。如果攻击者使用默认密码管理帐户，则应在系统安装后更改帐户，而入侵检测系统很少注意到。如果黑客进入网络并复制秘密文件，id也很难被注意到。这并不是说ids不能用来检测前面提到的每一个错误事件，但是它们比直接攻击更难检测。攻击者绕过ids的最有效方法是在许多层（第二、第三和第七层）中加密数据。例如，使用openssh或ssl可以加密大多数数据，而使用ipsec可以在传输过程中加密通信量。

IDS发展历程，第一代ids专注于精确的攻击检测。第二代ids通过后台可用的选项数组检测攻击，并致力于简化管理员操作。它们提供直观的最终用户界面、入侵防范、集中式设备管理、事件关联和数据分析。第二代ids不仅检测攻击，而且对攻击进行排序、块，并试图从其中寻找尽可能多的值，除了检测。有经验的ids系统管理员知道ids的一半成功或失败是由耗时、复杂和技术性的工作组成的。抓住正在进行攻击的黑客总是令人兴奋的，因为它是窥视者，所以第一次实现者经常花费大量时间学习和实现检测模式。尽管他们这样做，但他们往往做得更少或忽略设置管理功能、配置数据库和打印报告。因为他们没有事先的计划，所以很快就要打开他们的ids了。

为了增加您成功部署ids的机会，请记住，需要一个小时来规划和配置日志、报告和分析工具找到检测特性。类型和测试模型id的选择取决于要保护的资产，而ids可以保护主机或网络。所有入侵检测系统都遵循两个入侵检测模型异常（也称为配置文件、行为、启发式或统计）检测或签名（基于知识的）检测，最后一点提醒大家，毕竟软件和人工服务有差距，最好还是找网站安全公司来处理网站被攻击的问题,国内像SINESAFE，鹰盾安全，启明星辰，绿盟等都是比较不错的。