mcafee hips7.0只使用IPS安全吗（重新编辑问题）。

hooluupig

重新编辑下：
IPS policy具体是什么？？
比如有没有fd，溢出等等这些防护。
如果只使用IPS可不可以？？

[ 本帖最后由 hooluupig 于 2008-10-23 11:13 编辑 ]

hooluupig

我主要搞不清楚ips都能防护哪些方面。

[ 本帖最后由 hooluupig 于 2008-10-23 11:12 编辑 ]

love_rain99

我也想知道~

hooluupig

看了下论坛的帖子，说下我的理解：
ips的名称这个大家都知道了，它防御的面好像很广，比起VES的访问保护来，它就是整座冰山，ves的访问保护只是一角。但是ips要想发挥出强大的功能，就得配合epo，epo里面有一套强大的签名管理机制，而且hips可以被其管理，定制。
那个adaptive mode其实就是使用了默认的签名库模式，如果没装epo，又开了adaptive mode，其实就使用的是预置的规则模式。因此epo很关键。
在不装epo的情况下，adaptive mode打开安全性不会高的，最好别开，遇到程序时，自己排除下就可以了。
至于防火墙，好像和mdf一样。
ad，最好打开，这个打开后安全性大大提高，就是可能会麻烦些。

我就了解这么多，可是ips和ad到底重叠不重叠，ips防内时，具体表现在哪些方面就不清楚了。
继续请教高人。

zhubo393

1.入侵检测系统(IDS)   
IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
    我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

    与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
    IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。
    这些位置通常是：
    ● 服务器区域的交换机上；
    ● Internet接入路由器之后的第一台交换机上；
    ● 重点保护网段的局域网交换机上。
    2.入侵防御系统(IPS)
    IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。
    随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。
    对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。
    进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。

[ 本帖最后由 zhubo393 于 2008-10-23 22:22 编辑 ]

yss870

不懂的话建议别装，前段时间我装了个，不会用，上网都上不了，卸又卸不干净，只好重装系统。

jiangbobobo

VES都还没研究明白呢，HIPS碰都不要去碰了！

zhubo393

原帖由 yss870 于 2008-10-27 10:53 发表
不懂的话建议别装，前段时间我装了个，不会用，上网都上不了，卸又卸不干净，只好重装系统。

防火墙功能可以关闭，只开启ips

chinanet

晕了～我的英文版的～不知道安装，中文版的正在急中～～～每次安装都不能安装。。。

zhubo393

原帖由 chinanet 于 2008-10-28 20:16 发表
晕了～我的英文版的～不知道安装，中文版的正在急中～～～每次安装都不能安装。。。

可以下载汉化包