入侵检测器部署在哪些位置

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

基于网络的入侵检测系统应该立即部署在外部 Internet 网络部分，然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控，包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网，内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图，不仅是众所周知的网络连接，还包括所有已知的外部链接。

对于入侵检测系统部署的额外建议应该包括事故应急手册，程序和工具的开发。由于入侵检测系统的工作像防盗报警，因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值，以便进一步的检查。针对事件调查的软件工具也应该推行，以确保这些工具可以用来研究，评估和报告结果。如果在任何时候因为恶意活动，公司被迫采取合法行动，这些工具将会伴随着政策和标准的建立而被用来提供证据。如果没有工具或者政策，该公司可能无法采取合法行动或者制止肇事者。

基于网络的入侵检测系统应该立即部署在外部Internet网络部分，然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后，任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用，以确保这些系统同样也受到保护。

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定。由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。