防火墻看起來好像可以滿足系統(tǒng)管理員的一切需求。然而，隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多，IDS由于能夠在防火墻內(nèi)部監(jiān)測非法的活動正變得越來越必要。新的技術(shù)同樣給防火墻帶來了嚴重的威脅。例如，VPN可穿透防火墻，所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全，但有可能通過VPN進行通信的其中一方被root kit或NetBus所控制，而這種破壞行為是防火墻無法抵御的�；�于以上兩點原因，IDS已經(jīng)成為安全策略的重要組成部分。

　　我們還需要注意的是，攻擊者可以實施攻擊使IDS過載，其結(jié)果可能是IDS系統(tǒng)成為拒絕服務(wù)攻擊的參與者。而且，攻擊者會盡量調(diào)整攻擊手法，從而使IDS無法追蹤網(wǎng)絡(luò)上的活動。

　　入侵監(jiān)測系統(tǒng)的構(gòu)架

　　有兩種構(gòu)架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。

　　網(wǎng)絡(luò)級IDS

　　你可以使用網(wǎng)絡(luò)級的產(chǎn)品，象eTrust Intrusion Detection只需一次安裝。程序（或服務(wù)）會掃描整個網(wǎng)段中所有傳輸?shù)男畔�來確定網(wǎng)絡(luò)中實時的活動。網(wǎng)絡(luò)級IDS程序同時充當管理者和代理的身份，安裝IDS的主機完成所有的工作，網(wǎng)絡(luò)只是接受被動的查詢。

　　優(yōu)點和缺點

　　這種入侵監(jiān)測系統(tǒng)很容易安裝和實施；通常只需要將程序在主機上安裝一次。網(wǎng)絡(luò)級的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是，這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且，它對處理升級非法賬號，破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò)時會使主機的性能急劇下降。所以，對于大型、復(fù)雜的網(wǎng)絡(luò)，你需要主機級的IDS。

　　主機級IDS

　　像前面所講的，主機級的IDS結(jié)構(gòu)使用一個管理者和數(shù)個代理。管理者向代理發(fā)送查詢請求，代理向管理者匯報網(wǎng)絡(luò)中主機傳輸信息的情況。代理和管理者之間直接通信，解決了復(fù)雜網(wǎng)絡(luò)中的許多問題。

　　技術(shù)提示：在應(yīng)用任何主機級IDS之前，你需要在一個隔離的網(wǎng)段進行測試。這種測試可以幫助你確定這種Manager-to-agent的通信是否安全，以及對網(wǎng)絡(luò)帶寬的影響。

　　管理者Managers

　　管理者定義管理代理的規(guī)則和策略。管理者安裝在一臺經(jīng)過特殊配置過的主機上，對網(wǎng)絡(luò)中的代理進行查詢。有的管理者具有圖形界面兒其它的IDS產(chǎn)品只是以守護進程的形式來運行管理者，然后使用其它程序來管理它們。

　　物理安全對充當管理者的主機來說至關(guān)重要。如果攻擊者可以獲得硬盤的訪問權(quán)，他便可以獲得重要的信息。此外，除非必需管理者的系統(tǒng)也不應(yīng)被網(wǎng)絡(luò)用戶訪問到，這種限制包括Internet訪問。

　　安裝管理者的操作系統(tǒng)應(yīng)該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統(tǒng)來安裝管理者。例如，ISS RealSecure要求你安裝在Windows NT Workstation而不是Windows NT Server，這是由于在NT Workstation上更容易對操作系統(tǒng)進行精簡。

　　特殊的考慮

　　每種IDS廠商對他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對操作系統(tǒng)的特殊設(shè)置的。例如，許多廠商要求你將代理安裝在使用靜態(tài)IP地址的主機上。因此，你也許需要配置DHCP和WINS服務(wù)器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數(shù)IDS程序用一個管理者來管理數(shù)臺主機。另外，安裝管理者會降低系統(tǒng)的性能。而且，在同一網(wǎng)段中安裝過多的管理者會占用過多的帶寬。

　　另外，許多IDS產(chǎn)品在快于10MB的網(wǎng)絡(luò)中工作起來會有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統(tǒng)上，因為這種文件系統(tǒng)允許遠程訪問，管理者會使它們?nèi)狈Ψ�(wěn)定和不安全。

　　除非特殊情況，你不應(yīng)將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機上，或者安裝在防火墻上。例如，Windows NT PDC或BDC也不是安裝大多數(shù)IDS管理者的理想系統(tǒng)，不僅因為管理者會影響登錄，而且PDC或BDC所必須的服務(wù)會產(chǎn)生trap door和系統(tǒng)錯誤。

　　管理者和代理的比例

　　管理者和代理的比例數(shù)字會因生產(chǎn)廠商和版本的不同而不同。例如，Axent Intruder Alert建議在UNIX或NT的網(wǎng)絡(luò)上不要使用超過100個代理，NetWare網(wǎng)絡(luò)中每個管理者不應(yīng)使用超過50個代理。然而，你需要建立基線來確定IDS結(jié)構(gòu)的理想配置。理想配置是指IDS可以在不影響正常地網(wǎng)絡(luò)操作的前提下實時監(jiān)測網(wǎng)絡(luò)入侵。

　　代理

　　由于代理負責(zé)監(jiān)視網(wǎng)絡(luò)安全，所以大多數(shù)的IDS允許你將代理安裝在任何可以接受配置的主機上。當你在考慮產(chǎn)品時，你應(yīng)當確保它可以和網(wǎng)絡(luò)上的主機配合工作。大多數(shù)的產(chǎn)品在UNIX,NT和Novell網(wǎng)絡(luò)環(huán)境中可以出色的工作。有些廠商也生產(chǎn)在特殊網(wǎng)絡(luò)環(huán)境下工作的代理，例如DECnet，mainframes等等。無論如何，你應(yīng)當通過測試來選擇最適合你的網(wǎng)絡(luò)的產(chǎn)品。所有的代理都工作在混雜模式，并且捕捉網(wǎng)絡(luò)上傳遞的信息包。

　　理想的代理布局

　　請考慮將代理安裝在像數(shù)據(jù)庫，Web服務(wù)器，DNS服務(wù)器和文件服務(wù)器等重要的資源上。像eTrust Intrusion Detection這樣的基于掃描的IDS程序也許更適合在某些特定的時段掃描個別的主機。這個工具能夠確保你在占用最小帶寬的前提下監(jiān)視網(wǎng)絡(luò)活動。

　　下列是部分適合放置代理資源的列表：

　　·賬號、人力資源和研發(fā)數(shù)據(jù)庫
　　·局域網(wǎng)和廣域網(wǎng)的骨干，包括路由器和交換機
　　·臨時工作人員的主機
　　·SMTP，HTTP和FTP服務(wù)器
　　·Modem池服務(wù)器和交換機、路由器、集線器
　　·文件服務(wù)器

　　許多新的網(wǎng)絡(luò)連接設(shè)備限制了IDS掃描。