入侵檢測(cè)的硬件基石——RPC-1100E 　　 隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)安全已成為日益嚴(yán)重的社會(huì)問(wèn)題。具權(quán)威統(tǒng)計(jì)，2001年計(jì)算機(jī)病毒與黑客攻擊在全球造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。 　　 入侵檢測(cè)是繼防火墻、信息加密等方法之后的新一代安全保障技術(shù)。它監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，尋找危及網(wǎng)絡(luò)安全的各種入侵行為并及時(shí)報(bào)警。 　　 根據(jù)被保護(hù)對(duì)象網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的不同，一般有兩種系統(tǒng)結(jié)構(gòu)：二級(jí)結(jié)構(gòu)和三級(jí)結(jié)構(gòu)。 　　 　　系統(tǒng)結(jié)構(gòu) 　　1、 二級(jí)結(jié)構(gòu) 　　二級(jí)結(jié)構(gòu)適用于保護(hù)拓?fù)浣Y(jié)構(gòu)較為簡(jiǎn)單的網(wǎng)絡(luò)，系統(tǒng)由入侵檢測(cè)引擎和管理控制臺(tái)兩部分組成。 　　 　　入侵檢測(cè)引擎 　　入侵檢測(cè)引擎為專(zhuān)用硬件設(shè)備，一般采用1U工業(yè)級(jí)主機(jī)，可安裝在標(biāo)準(zhǔn)機(jī)架上。其作用是：捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，檢測(cè)攻擊并發(fā)出實(shí)時(shí)報(bào)警，保存檢測(cè)到的信息供事后查詢分析。 　　 　　硬件配置： 　　1U機(jī)箱 RPC-1100E 　　多網(wǎng)口CPU卡 NORCO MB-3L-B 　　CPU PIII 1.0G 　　內(nèi)存 256M SDRAM 　　硬盤(pán) 40G 　　 　　管理控制臺(tái) 　　管理控制臺(tái)是一套軟件，可以安裝在網(wǎng)絡(luò)管理員的主機(jī)上（Windows 2000/NT操作系統(tǒng)）。它的作用是：對(duì)引擎進(jìn)行配置管理，接收實(shí)時(shí)報(bào)警，查詢引擎中的數(shù)據(jù)。 　　 　　2、 三級(jí)結(jié)構(gòu) 　　三級(jí)結(jié)構(gòu)適用于保護(hù)大中型網(wǎng)絡(luò)，它由入侵檢測(cè)引擎、中心機(jī)和管理控制臺(tái)三部分組成。大中型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)復(fù)雜，地域分布廣，數(shù)據(jù)流量大，需要使用多個(gè)引擎才能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。對(duì)這種情況，專(zhuān)門(mén)增設(shè)了一臺(tái)中心機(jī)，負(fù)責(zé)收集和保存各引擎檢測(cè)到的數(shù)據(jù)，并進(jìn)行二次分析，為管理員提供綜合分析報(bào)告。管理員的指令也可以通過(guò)中心機(jī)自動(dòng)下發(fā)到各引擎中去執(zhí)行，提高管理的效率。｝ 　　 　　主要功能 　　 　　網(wǎng)絡(luò)監(jiān)控和統(tǒng)計(jì) 　　入侵檢測(cè)系統(tǒng)時(shí)刻監(jiān)視著網(wǎng)絡(luò)中發(fā)生的每次連接，并將其忠實(shí)地記錄到數(shù)據(jù)庫(kù)中，供管理員查詢和分析。 　　 　　入侵檢測(cè)和報(bào)警 　　入侵檢測(cè)系統(tǒng)實(shí)時(shí)捕獲網(wǎng)絡(luò)內(nèi)外網(wǎng)之間所傳輸?shù)乃袛?shù)據(jù)，運(yùn)用協(xié)議分析和模式匹配方法，可以有效地識(shí)別各種網(wǎng)絡(luò)攻擊和異?，F(xiàn)象，如拒絕服務(wù)攻擊，非授權(quán)訪問(wèn)嘗試，預(yù)攻擊探測(cè)等。當(dāng)發(fā)生攻擊時(shí)，可根據(jù)管理員的的配置以多種方式發(fā)出實(shí)時(shí)報(bào)警，如通知管理員主機(jī)、發(fā)送E-mail、通知防火墻等。對(duì)于嚴(yán)重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測(cè)引擎直接發(fā)出阻斷信號(hào)，切斷發(fā)生攻擊的連接。 　　 　　典型應(yīng)用方案 　　 　　小型網(wǎng)絡(luò)應(yīng)用方案 　　這種網(wǎng)絡(luò)結(jié)構(gòu)較為簡(jiǎn)單，只需要安裝單個(gè)引擎即可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。 　　 　　大中型網(wǎng)絡(luò)應(yīng)用方案 　　這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，需要安裝多臺(tái)引擎進(jìn)行分布式檢測(cè) 　　 結(jié)束語(yǔ) 經(jīng)實(shí)踐證明，上述系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、實(shí)時(shí)報(bào)警和主動(dòng)防御功能于一身，為計(jì)算機(jī)網(wǎng)絡(luò)提供全方位的保護(hù)，可廣泛用于政府機(jī)關(guān)、企業(yè)、學(xué)校、銀行、電力等單位的計(jì)算機(jī)網(wǎng)絡(luò)，是網(wǎng)絡(luò)安全的忠實(shí)衛(wèi)士。