问题
单项选择题
对某省直属单位大中型网络规划时,为了增强应用服务器的网络安全,设计师甲提出了将入侵检测系统(IDS)部署在DMZ区域中的方案,而设计师乙提出了基于网络的入侵防护系统(NIPS)部署方案。对于设计师甲方案的优点不包括(1);而设计师乙所提出的NIPS通常部署在(2)。
2()
A.受保护的应用服务器前端
B.受保护的应用服务器后端
C.受保护的应用服务器的操作系统中
D.边界路由器与防火墙之间
答案
参考答案:D
解析:
如果将入侵检测系统(IDS)部署在防火墙的非军事区(DMZ)中,就可以查看受保护区域(DMZ)内主机被攻击的状态,从而间接了解黑客对DMZ区域攻击的重点内容是什么,以及间接检查防火墙系统的策略配置是否合理。如果将IDS系统部署在防火墙的DMZ外,那么它就不能访问DMZ区域的主机,也无法审计来自Internet上对受保护网络的攻击。
通常,NIPS部署于网络进/出口处,例如串联在边界路由器与防火墙之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。而HIPS安装在受保护的主机系统中,检测并阻挡针对该主机的威胁和攻击。AIPS由HIPS发展而来,通常部署于应用服务器前端。