IDS的交換機局限問題的分析與對策（3）

2019-11-05 01:32:56

字體：大中小

供稿：網(wǎng)友

　　2．Tap分流器
　　
　　Tap是一種容錯性的方案，它提供在全雙工或半雙工10M/100M/1000M網(wǎng)段上察看數(shù)據(jù)流量的手段。如圖３所示：
　　　

　　圖３：采用Tap分流監(jiān)聽
　　使用TAP有如下好處：
　　
　　●Tap是容錯的，假如電源故障，原先監(jiān)控的網(wǎng)段上的通訊不受影響；
　　
　　●Tap不會影響數(shù)據(jù)流；
　　
　　●Tap阻止建立與IDS的直接連接，從而保護它不受攻擊；
　　
　　●可以將Tap的引出的線接到交換機或集線器上，通過一個IDS系統(tǒng)進行檢測；如圖４所示；
　　
　　●假如IDS支持多端口的監(jiān)控，那么就可以將Tap的引線直接接入IDS的監(jiān)聽網(wǎng)口，如圖５所示。
　　　

　　圖4：Tap的引出的線接到交換機或集線器集中監(jiān)聽
　　

　　圖５：Tap的引出的線直接接到多端口監(jiān)控功能的NIDS上集中監(jiān)聽
　　四、入侵檢測系統(tǒng)對Tap的支持
　　網(wǎng)絡入侵檢測系統(tǒng)對Tap的支持，也不是天生的。也就是說，需要修改網(wǎng)絡入侵檢測系統(tǒng)的數(shù)據(jù)包處理引擎，以支持數(shù)據(jù)包倒序的情況。
　　
　　此外，假如是千兆光纖環(huán)境下的Tap分流，網(wǎng)絡入侵檢測系統(tǒng)還必須支持多端口監(jiān)控。目前國內(nèi)做到多端口監(jiān)控的入侵檢測產(chǎn)品還不多，方正方通Sniper算一家吧。
　　
　　假如同時支持數(shù)據(jù)包倒序處理問題和多端口監(jiān)控，恐怕少之又少。在千兆網(wǎng)環(huán)境下，使用端口鏡像，肯定不可行，必須使用Tap分流。

上一篇：IDS的交換機局限問題的分析與對策（2）

下一篇：詳細綜述NGN和軟交換技術