IDS的交换机局限问题的分析与对策（3）

2．Tap分流器

Tap是一种容错性的方案，它提供在全双工或半双工10M/100M/1000M网段上察看数据流量的手段。如图３所示：

图３：采用Tap分流监听

使用TAP有如下好处：

●Tap是容错的，假如电源故障，原先监控的网段上的通讯不受影响；

●Tap不会影响数据流；

●Tap阻止建立与IDS的直接连接，从而保护它不受攻击；

●可以将Tap的引出的线接到交换机或集线器上，通过一个IDS系统进行检测；如图４所示；

●假如IDS支持多端口的监控，那么就可以将Tap的引线直接接入IDS的监听网口，如图５所示。

图4：Tap的引出的线接到交换机或集线器集中监听

图５：Tap的引出的线直接接到多端口监控功能的NIDS上集中监听

四、入侵检测系统对Tap的支持

网络入侵检测系统对Tap的支持，也不是天生的。也就是说，需要修改网络入侵检测系统的数据包处理引擎，以支持数据包倒序的情况。

此外，假如是千兆光纤环境下的Tap分流，网络入侵检测系统还必须支持多端口监控。目前国内做到多端口监控的入侵检测产品还不多，方正方通Sniper算一家吧。

假如同时支持数据包倒序处理问题和多端口监控，恐怕少之又少。在千兆网环境下，使用端口镜像，肯定不可行，必须使用Tap分流。