Tường lửa Firewall IDS (Intrusion Detection System) là gì ?

IDS (Intrusion Detection System)


IDS (Hệ thống phát hiện xâm nhập) là tiền thân của IPS và có bản chất là thụ động. Như được hiển thị từ mạng ở trên (Tường lửa với IDS), thiết bị này không được đưa vào cùng dòng với lưu lượng mà nó nằm song song (placed out-of-band).

Lưu lượng đi qua chuyển mạch cũng được gửi cùng lúc đến IDS để kiểm tra. Nếu phát hiện thấy sự bất thường về bảo mật trong lưu lượng mạng, IDS sẽ chỉ báo động (cho quản trị viên) nhưng nó sẽ không thể chặn lưu lượng đó.

Tương tự như IPS, thiết bị IDS cũng sử dụng hầu hết các chữ ký của các cuộc tấn công và khai thác bảo mật đã biết để phát hiện một nỗ lực xâm nhập.

Để gửi lưu lượng đến IDS, thiết bị chuyển mạch phải có cổng SPAN được cấu hình để sao chép lưu lượng và gửi đến nút IDS.

Mặc dù IDS là thụ động trong mạng (tức là nó không thể chủ động chặn lưu lượng truy cập), nhưng có một số mô hình có thể hợp tác với tường lửa để ngăn chặn một cuộc tấn công bảo mật.

Ví dụ: một IDS có thể gửi một lệnh tới tường lửa để chặn các gói tin cụ thể nếu IDS phát hiện ra một cuộc tấn công.

Chi tiết xem tại: So sánh và sự khác biệt giữa IPS vs IDS vs Firewall vs WAF trong Networking