问:我想要采用IPS。我应该遵守哪些顶级的最佳实践呢?
答:采用入侵防御系统是个很棘手的问题。这些设备正在迅速成为很多公司安全架构的主要部分。第一次采用会是很恐怖的经历。你不仅是在网络路径中创建潜在的瓶颈和失败点,也是在增加设备,而这个设备可以有意地中断网络流量。这就足够任何网络工程师头疼的了。
以下是在企业中配置IPS的最佳实践:
•在“监控”模式下运行IPS,直到系统已经适当地调整过了。这样的配置行为更像是入侵检测系统,识别潜在问题,但是不阻止网络流量。
•把“阻止”模式规则的数量限制在最小量,做些细微的调整,减少假阳性阻止的可能性。
•考虑使用不能打开(fail-open)的设备,限制网络上设备故障的影响。在IPS的失误事件中,这就会允许所有的流量继续而不受中断,虽然配置的安全性降低了,但是可以保持网络的状态和运行,而这无疑是网络架构团队会赞赏的。
【编辑推荐】
