入侵检测系统是一种应用比较高级、投资相对比较大的网络安全产品，用户如何正确地选用它们，这对企业的网络安全和企业的投资效益都有很大的影响。我们结合以下某一集团公司的实际网络应用状况来说明这一问题，方案中主要采用金诺网安reg；入侵检测系统(KIDS)产品。

网络状况上海某一集团公司的网络构架如图一。公司的总部在上海，并在香港和其它地区设有分支机构，属于制造型企业。总部的计算机网络中心内具有公司最重要的设备和信息数据，其中最主要的应用为整个集团的ERP系统。各分支机构与集团总部采用租用专线来连接，形成企业自己的专网，网络中心同时还通过128K的DDN专线与Internet相连，内部员工可以对外进行浏览访问和使用自己的Mail系统，外界的人员也随时能访问该集团的Web网站，网络中基本采用了windows系统。

公司领导层对信息数据的保密性和安全性一直都比较重视，所以早在1999年的时候已经在网络中部署了两台防火墙，另外也采用了一些系统本身能实现的认证、加密等简单技术方法来提高网络的安全性。虽然公司对安全风险有所防范，但是实际情况还是不尽人意，网络曾在一段时间内依然遭受了几次不小的破坏和干扰，而且系统管理人员也未找到真正的事发原因。

安全需求分析应客户的要求，我们对该集团公司的网络作了一些检测和分析(检测报告略)。仅从网络结构来看，似乎该网络还算比较安全，具有双重防火墙保护内部网，但在做完检测和分析后，我们发现该客户网络的安全的确还有很多不足之处。

检测中我们发现该集团公司的防火墙配置都比较简单、过于宽松，没有用到的135至142端口正处于开放状态，IP地址与MAC地址之间也没有被作绑定；文件共享设置十分混乱，有几台服务器的C盘(含有系统文件)都能被内网上的用户随意进行访问，IISWeb　server　未被作最新的软件补丁等等。以上问题足以使内部或外部的人员发生误操作或进行恶意攻击(如基于IPC的远程控制、IP地址盗用或基于Web的Unicode攻击和。printer攻击等)。

事实上，有了防火墙以后并不代表系统管理员就可以高枕无忧了，防火墙是一种静态的安全防护设备，它只是按照定义好的安全策略对网络的数据流进行过滤和访问控制，而且，防火墙的设置不能影响用户正常的应用服务，所以要被允许开放一定的端口或服务；防火墙对很多不断更新、更加高级的入侵攻击方法无能为力，难以适应瞬息万变的各种安全威胁；它们不能自动调整相应的配置、不能发现绕过防火墙的攻击、也不能排除来自内部的安全隐患。防火墙虽然在一定程度上解决了来自外部的安全问题，可它们的能力是有限的。

能弥补静态防护技术的不足，采用动态检测、实时记录、及时报警和主动防御的动态防护技术——金诺网安reg；入侵检测系统(KIDS)是对该企业网络的最好补充。金诺网安reg；入侵检测系统KIDS是综合的入侵检测系统，它将主机入侵检测和网络入侵检测相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为或被攻击的迹象，并且可以根据用户的需要实时报警和响应；可以防止来自外网的黑客入侵，也可以制止来自内网的恶意行为、误操作或资源滥用。金诺网安reg；入侵检测系统，可以为该企业提供另外一种深层次的高级防护措施，能极大地提高信息安全基础结构的完整性。

另外，我们发现企业在了解自身网络实际安全状况上明显不足：某些应用系统有很多Bug，某些设备(包括防火墙等)配置也比较粗糙，企业也很需要专门的漏洞检测和安全评估工具。

系统设计原则

对于该集团公司网络系统安全方案的设计，我们遵循以下几点原则：

1、静态防护和动态防护的互补本方案主要从入侵检测系统考虑，采用KIDS动态智能的防护体系来弥补防火墙等静态防护技术的不足，实现静态安全技术和动态安全技术的互补和统一，同时保证网络边界、网络内部重要网段和各关键主机的安全性，以尽量形成完整的安全解决方案。

2、适合相应安全等级的需要结合企业网络的应用情况，在满足安全性的基础上，综合考虑系统的性价比，根据各应用服务关键点对安全等级要求的不同，恰当地选择KIDS网络传感器和主机传感器的数量，确定最优方案。

3、实现集中和统一的管理所采取的安全措施要易于网络管理人员的操作与掌握，尽量实现管理的集中性和统一性，在部署和配置KIDS控制端口时，要实现KIDS控制台的集中管理(包括对主机传感器和网络传感器的统一配置和软件的在线升级)。