入侵檢測的硬件基石——RPC-1100E 　　 隨著計算機網(wǎng)絡的高速發(fā)展，網(wǎng)絡安全已成為日益嚴重的社會問題。具權威統(tǒng)計，2001年計算機病毒與黑客攻擊在全球造成的經(jīng)濟損失高達數(shù)百億美元。 　　 入侵檢測是繼防火墻、信息加密等方法之后的新一代安全保障技術。它監(jiān)視計算機系統(tǒng)或網(wǎng)絡中發(fā)生的事件，并對它們進行分析，尋找危及網(wǎng)絡安全的各種入侵行為并及時報警。 　　 根據(jù)被保護對象網(wǎng)絡結(jié)構和規(guī)模的不同，一般有兩種系統(tǒng)結(jié)構：二級結(jié)構和三級結(jié)構。 　　 　　系統(tǒng)結(jié)構 　　1、 二級結(jié)構 　　二級結(jié)構適用于保護拓撲結(jié)構較為簡單的網(wǎng)絡，系統(tǒng)由入侵檢測引擎和管理控制臺兩部分組成。 　　 　　入侵檢測引擎 　　入侵檢測引擎為專用硬件設備，一般采用1U工業(yè)級主機，可安裝在標準機架上。其作用是：捕獲網(wǎng)絡中傳輸?shù)臄?shù)據(jù)，檢測攻擊并發(fā)出實時報警，保存檢測到的信息供事后查詢分析。 　　 　　硬件配置： 　　1U機箱 RPC-1100E 　　多網(wǎng)口CPU卡 NORCO MB-3L-B 　　CPU PIII 1.0G 　　內(nèi)存 256M SDRAM 　　硬盤 40G 　　 　　管理控制臺 　　管理控制臺是一套軟件，可以安裝在網(wǎng)絡管理員的主機上（Windows 2000/NT操作系統(tǒng)）。它的作用是：對引擎進行配置管理，接收實時報警，查詢引擎中的數(shù)據(jù)。 　　 　　2、 三級結(jié)構 　　三級結(jié)構適用于保護大中型網(wǎng)絡，它由入侵檢測引擎、中心機和管理控制臺三部分組成。大中型網(wǎng)絡的拓撲結(jié)構復雜，地域分布廣，數(shù)據(jù)流量大，需要使用多個引擎才能對整個網(wǎng)絡進行監(jiān)控。對這種情況，專門增設了一臺中心機，負責收集和保存各引擎檢測到的數(shù)據(jù)，并進行二次分析，為管理員提供綜合分析報告。管理員的指令也可以通過中心機自動下發(fā)到各引擎中去執(zhí)行，提高管理的效率。｝ 　　 　　主要功能 　　 　　網(wǎng)絡監(jiān)控和統(tǒng)計 　　入侵檢測系統(tǒng)時刻監(jiān)視著網(wǎng)絡中發(fā)生的每次連接，并將其忠實地記錄到數(shù)據(jù)庫中，供管理員查詢和分析。 　　 　　入侵檢測和報警 　　入侵檢測系統(tǒng)實時捕獲網(wǎng)絡內(nèi)外網(wǎng)之間所傳輸?shù)乃袛?shù)據(jù)，運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡攻擊和異?，F(xiàn)象，如拒絕服務攻擊，非授權訪問嘗試，預攻擊探測等。當發(fā)生攻擊時，可根據(jù)管理員的的配置以多種方式發(fā)出實時報警，如通知管理員主機、發(fā)送E-mail、通知防火墻等。對于嚴重的網(wǎng)絡入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號，切斷發(fā)生攻擊的連接。 　　 　　典型應用方案 　　 　　小型網(wǎng)絡應用方案 　　這種網(wǎng)絡結(jié)構較為簡單，只需要安裝單個引擎即可對整個網(wǎng)絡進行監(jiān)控。 　　 　　大中型網(wǎng)絡應用方案 　　這種網(wǎng)絡拓撲結(jié)構復雜，需要安裝多臺引擎進行分布式檢測 　　 結(jié)束語 經(jīng)實踐證明，上述系統(tǒng)集入侵檢測、網(wǎng)絡監(jiān)控、實時報警和主動防御功能于一身，為計算機網(wǎng)絡提供全方位的保護，可廣泛用于政府機關、企業(yè)、學校、銀行、電力等單位的計算機網(wǎng)絡，是網(wǎng)絡安全的忠實衛(wèi)士。