刚刚在游侠安全网的安全群里面讨论:
如果IDS检测到了入侵企图,怎么办?大家都知道IDS是只检测不阻断的,大家也知道即使是防火墙和IDS联动,误报和漏报也是个很严重的问题,何况,在很多内网,2台计算机通信不一定要过防火墙。那么,我们就毫无办法了吗?
可以试试IDS+802.1x,如果IDS的某些报警触发了,则发送一个down端口的命令给802.1x,实现交换机端口的阻断。
当然,这一点已经在某数据库审计实现,所以,和IDS做到一起也不是难事,关键看用户选择的IDS报警记录了,要是你选择ICMP包检测都阻断,那么这网的可用性就……嘿嘿
标签: IDS, SOC