这些年来,我尝试了各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。要么系统太难管理,只能在基于旧签名的众所周知的漏洞上触发,要么就是对输出过于健谈。
无论如何,我不认为他们为我们的网络提供了真正的保护。在某些情况下,由于丢失有效连接或只是简单的失败,它们是有害的。
在过去的几年里,我确信事情已经发生了变化,那么现在推荐的 IDS 系统是什么?他们是否有有效的启发式方法并且不对合法流量发出警报?
或者,依靠良好的防火墙和加固的主机是否更好?
如果你推荐一个系统,你怎么知道它在做它的工作?
正如一些人在下面的答案中提到的,让我们也得到一些关于主机入侵检测系统的反馈,因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈,而不是能够执行 IDS 的设备或服务列表。
在这些日子里,我正在阅读有关入侵防御/检测系统的内容。阅读时,我在某些方面感到非常困惑。
首先,防火墙和防病毒技术多年来一直是众所周知的术语,但现在 IDS 变得流行起来。
我的问题包括:
如果你给我一些例子,它会很有帮助。
谢谢。