ความปลอดภัยของเครือข่าย - ไฟร์วอลล์
องค์กรขนาดกลางและขนาดใหญ่เกือบทุกแห่งจะมีตัวตนบนอินเทอร์เน็ตและมีเครือข่ายองค์กรเชื่อมต่ออยู่ การแบ่งเครือข่ายที่ขอบเขตระหว่างอินเทอร์เน็ตภายนอกและเครือข่ายภายในเป็นสิ่งจำเป็นสำหรับความปลอดภัยของเครือข่าย บางครั้งเครือข่ายภายใน (อินทราเน็ต) เรียกว่าด้าน“ เชื่อถือได้” และอินเทอร์เน็ตภายนอกว่าเป็นด้าน“ ไม่เชื่อถือ”
ประเภทของไฟร์วอลล์
ไฟร์วอลล์เป็นอุปกรณ์เครือข่ายที่แยกเครือข่ายภายในขององค์กรออกจากเครือข่าย / อินเทอร์เน็ตภายนอกที่ใหญ่กว่า อาจเป็นฮาร์ดแวร์ซอฟต์แวร์หรือระบบรวมที่ป้องกันการเข้าถึงหรือจากเครือข่ายภายในโดยไม่ได้รับอนุญาต
แพ็กเก็ตข้อมูลทั้งหมดที่เข้าหรือออกจากเครือข่ายภายในจะผ่านไฟร์วอลล์ซึ่งจะตรวจสอบแต่ละแพ็กเก็ตและบล็อกแพ็กเก็ตที่ไม่ตรงตามเกณฑ์ความปลอดภัยที่ระบุ
การปรับใช้ไฟร์วอลล์ที่ขอบเขตเครือข่ายก็เหมือนกับการรวมความปลอดภัยไว้ที่จุดเดียว คล้ายกับการล็อคอพาร์ทเมนต์ที่ทางเข้าและไม่จำเป็นต้องอยู่ที่ประตูแต่ละบาน
ไฟร์วอลล์ถือเป็นองค์ประกอบสำคัญในการรักษาความปลอดภัยเครือข่ายด้วยเหตุผลดังต่อไปนี้ -
เครือข่ายภายในและโฮสต์ไม่น่าจะปลอดภัยอย่างเหมาะสม
อินเทอร์เน็ตเป็นสถานที่อันตรายสำหรับอาชญากรผู้ใช้จาก บริษัท คู่แข่งอดีตพนักงานที่ไม่พอใจสายลับจากประเทศที่ไม่เป็นมิตรป่าเถื่อน ฯลฯ
เพื่อป้องกันไม่ให้ผู้โจมตีเปิดการโจมตีแบบปฏิเสธบริการบนทรัพยากรเครือข่าย
เพื่อป้องกันการแก้ไข / การเข้าถึงข้อมูลภายในที่ผิดกฎหมายโดยผู้โจมตีจากภายนอก
ไฟร์วอลล์แบ่งออกเป็นสามประเภทพื้นฐาน -
- ตัวกรองแพ็คเก็ต (ไม่ระบุสถานะและสถานะ)
- เกตเวย์ระดับแอปพลิเคชัน
- เกตเวย์ระดับวงจร
อย่างไรก็ตามทั้งสามประเภทนี้ไม่สามารถใช้ร่วมกันได้ ไฟร์วอลล์สมัยใหม่มีความสามารถที่หลากหลายซึ่งอาจทำให้พวกเขามีมากกว่าหนึ่งในสามประเภท
ไฟร์วอลล์กรองแพ็คเก็ตไร้สถานะและสถานะ
ในการปรับใช้ไฟร์วอลล์ประเภทนี้เครือข่ายภายในจะเชื่อมต่อกับเครือข่ายภายนอก / อินเทอร์เน็ตผ่านไฟร์วอลล์ของเราเตอร์ ไฟร์วอลล์จะตรวจสอบและกรองข้อมูลทีละแพ็กเก็ต
Packet-filtering firewalls อนุญาตหรือบล็อกแพ็กเก็ตโดยส่วนใหญ่ตามเกณฑ์เช่นที่อยู่ IP ต้นทางและ / หรือปลายทางโปรโตคอลหมายเลขพอร์ตต้นทางและ / หรือปลายทางและพารามิเตอร์อื่น ๆ ภายในส่วนหัว IP
การตัดสินใจอาจขึ้นอยู่กับปัจจัยอื่น ๆ นอกเหนือจากฟิลด์ส่วนหัวของ IP เช่นประเภทข้อความ ICMP, TCP SYN และบิต ACK เป็นต้น
กฎตัวกรองแพ็กเก็ตมีสองส่วน -
Selection criteria - ใช้เป็นเงื่อนไขและรูปแบบที่ตรงกันในการตัดสินใจ
Action field- ส่วนนี้ระบุการดำเนินการที่จะดำเนินการหากแพ็กเก็ต IP ตรงตามเกณฑ์การคัดเลือก การดำเนินการอาจเป็นได้ทั้งบล็อก (ปฏิเสธ) หรืออนุญาต (อนุญาต) แพ็กเก็ตผ่านไฟร์วอลล์
โดยทั่วไปการกรองแพ็คเก็ตทำได้โดยการกำหนดค่า Access Control Lists (ACL) บนเราเตอร์หรือสวิตช์ ACL คือตารางของกฎตัวกรองแพ็กเก็ต
เมื่อทราฟฟิกเข้าหรือออกจากอินเทอร์เฟซไฟร์วอลล์จะใช้ ACL จากบนลงล่างไปยังแต่ละแพ็กเก็ตขาเข้าค้นหาเกณฑ์ที่ตรงกันและอนุญาตหรือปฏิเสธแต่ละแพ็กเก็ต
Stateless firewallเป็นเครื่องมือที่แข็งแกร่งชนิดหนึ่ง ดูที่แพ็กเก็ตและอนุญาตหากเป็นไปตามเกณฑ์แม้ว่าจะไม่ได้เป็นส่วนหนึ่งของการสื่อสารที่กำลังดำเนินการอยู่ก็ตาม
ดังนั้นไฟร์วอลล์ดังกล่าวจึงถูกแทนที่ด้วย stateful firewallsในเครือข่ายที่ทันสมัย ไฟร์วอลล์ประเภทนี้นำเสนอวิธีการตรวจสอบในเชิงลึกมากกว่าวิธีการตรวจสอบแพ็คเก็ตที่ใช้ ACL เพียงวิธีเดียวของไฟร์วอลล์ไร้สถานะ
ไฟร์วอลล์สถานะตรวจสอบการตั้งค่าการเชื่อมต่อและกระบวนการฉีกขาดเพื่อตรวจสอบการเชื่อมต่อที่ระดับ TCP / IP สิ่งนี้ช่วยให้สามารถติดตามสถานะการเชื่อมต่อและกำหนดว่าโฮสต์ใดเปิดการเชื่อมต่อที่ได้รับอนุญาตในช่วงเวลาใดเวลาหนึ่ง
พวกเขาอ้างอิงฐานของกฎเมื่อมีการร้องขอการเชื่อมต่อใหม่เท่านั้น แพ็กเก็ตที่เป็นของการเชื่อมต่อที่มีอยู่จะถูกเปรียบเทียบกับตารางสถานะของการเชื่อมต่อแบบเปิดของไฟร์วอลล์และการตัดสินใจที่จะอนุญาตหรือบล็อกจะถูกดำเนินการ กระบวนการนี้ช่วยประหยัดเวลาและเพิ่มความปลอดภัยด้วย ไม่อนุญาตให้แพ็คเก็ตบุกรุกไฟร์วอลล์เว้นแต่จะเป็นของการเชื่อมต่อที่สร้างไว้แล้ว สามารถหมดเวลาการเชื่อมต่อที่ไม่ใช้งานที่ไฟร์วอลล์หลังจากนั้นจะไม่ยอมรับแพ็กเก็ตสำหรับการเชื่อมต่อนั้นอีกต่อไป
เกตเวย์แอปพลิเคชัน
เกตเวย์ระดับแอปพลิเคชันทำหน้าที่เป็นโหนดรีเลย์สำหรับการรับส่งข้อมูลระดับแอปพลิเคชัน พวกเขาสกัดกั้นแพ็คเก็ตขาเข้าและขาออกเรียกใช้พร็อกซีที่คัดลอกและส่งต่อข้อมูลข้ามเกตเวย์และทำหน้าที่เป็นproxy serverป้องกันการเชื่อมต่อโดยตรงระหว่างเซิร์ฟเวอร์หรือไคลเอนต์ที่เชื่อถือได้และโฮสต์ที่ไม่น่าเชื่อถือ
พร็อกซีเป็นแอปพลิเคชันเฉพาะ พวกเขาสามารถกรองแพ็กเก็ตที่เลเยอร์แอปพลิเคชันของโมเดล OSI
พร็อกซีเฉพาะแอปพลิเคชัน
พร็อกซีเฉพาะแอปพลิเคชันยอมรับแพ็กเก็ตที่สร้างโดยแอปพลิเคชันที่ระบุเท่านั้นซึ่งออกแบบมาเพื่อคัดลอกส่งต่อและกรอง ตัวอย่างเช่นมีเพียงพร็อกซี Telnet เท่านั้นที่สามารถคัดลอกส่งต่อและกรองการรับส่งข้อมูล Telnet ได้
หากเครือข่ายใช้เฉพาะเกตเวย์ระดับแอปพลิเคชันแพ็กเก็ตขาเข้าและขาออกจะไม่สามารถเข้าถึงบริการที่ไม่ได้กำหนดค่าพร็อกซีไว้ ตัวอย่างเช่นหากเกตเวย์เรียกใช้ FTP และพร็อกซี Telnet เฉพาะแพ็กเก็ตที่สร้างโดยบริการเหล่านี้เท่านั้นที่สามารถส่งผ่านไฟร์วอลล์ได้ บริการอื่น ๆ ทั้งหมดถูกปิดกั้น
การกรองระดับแอปพลิเคชัน
พร็อกซีเกตเวย์ระดับแอปพลิเคชันตรวจสอบและกรองแพ็กเก็ตแต่ละแพ็กเก็ตแทนที่จะคัดลอกและส่งต่อแบบสุ่มสี่สุ่มห้าข้ามเกตเวย์ พร็อกซีเฉพาะแอปพลิเคชันตรวจสอบแต่ละแพ็กเก็ตที่ผ่านเกตเวย์ตรวจสอบเนื้อหาของแพ็กเก็ตผ่านชั้นแอปพลิเคชัน พร็อกซีเหล่านี้สามารถกรองคำสั่งหรือข้อมูลบางประเภทในโปรโตคอลของแอปพลิเคชัน
แอ็พพลิเคชันเกตเวย์สามารถ จำกัด การดำเนินการเฉพาะไม่ให้ดำเนินการได้ ตัวอย่างเช่นสามารถกำหนดค่าเกตเวย์เพื่อป้องกันไม่ให้ผู้ใช้ดำเนินการคำสั่ง 'FTP put' วิธีนี้สามารถป้องกันการแก้ไขข้อมูลที่จัดเก็บไว้บนเซิร์ฟเวอร์โดยผู้โจมตี
โปร่งใส
แม้ว่าเกตเวย์ระดับแอปพลิเคชันจะโปร่งใส แต่การใช้งานจำนวนมากจำเป็นต้องมีการรับรองความถูกต้องของผู้ใช้ก่อนที่ผู้ใช้จะสามารถเข้าถึงเครือข่ายที่ไม่น่าเชื่อถือได้ซึ่งเป็นกระบวนการที่ลดความโปร่งใสอย่างแท้จริง การพิสูจน์ตัวตนอาจแตกต่างออกไปหากผู้ใช้มาจากเครือข่ายภายในหรือจากอินเทอร์เน็ต สำหรับเครือข่ายภายในรายการที่อยู่ IP อย่างง่ายสามารถได้รับอนุญาตให้เชื่อมต่อกับแอปพลิเคชันภายนอก แต่จากฝั่งอินเทอร์เน็ตควรใช้การตรวจสอบสิทธิ์ที่แข็งแกร่ง
เกตเวย์ของแอปพลิเคชันถ่ายทอดเซ็กเมนต์ TCP ระหว่างการเชื่อมต่อ TCP ทั้งสองในสองทิศทาง (ไคลเอนต์↔พร็อกซี↔เซิร์ฟเวอร์)
สำหรับแพ็กเก็ตขาออกเกตเวย์อาจแทนที่ที่อยู่ IP ต้นทางด้วยที่อยู่ IP ของตนเอง กระบวนการนี้เรียกว่า Network Address Translation (NAT) เพื่อให้แน่ใจว่าที่อยู่ IP ภายในจะไม่ถูกเปิดเผยกับอินเทอร์เน็ต
เกตเวย์ระดับวงจร
เกตเวย์ระดับวงจรเป็นโซลูชันระดับกลางระหว่างตัวกรองแพ็กเก็ตและเกตเวย์แอปพลิเคชัน มันทำงานที่เลเยอร์การขนส่งและด้วยเหตุนี้จึงสามารถทำหน้าที่เป็นพร็อกซีสำหรับแอปพลิเคชันใด ๆ
เช่นเดียวกับเกตเวย์ของแอปพลิเคชันเกตเวย์ระดับวงจรยังไม่อนุญาตให้มีการเชื่อมต่อ TCP จากต้นทางถึงปลายทางข้ามเกตเวย์ มันตั้งค่าการเชื่อมต่อ TCP สองรายการและถ่ายทอดเซ็กเมนต์ TCP จากเครือข่ายหนึ่งไปยังอีกเครือข่าย แต่จะไม่ตรวจสอบข้อมูลแอปพลิเคชันเช่นเกตเวย์ของแอปพลิเคชัน ดังนั้นบางครั้งจึงเรียกว่า 'Pipe Proxy'
ถุงเท้า
SOCKS (RFC 1928) หมายถึงเกตเวย์ระดับวงจร เป็นกลไกพร็อกซีเครือข่ายที่ช่วยให้โฮสต์ที่อยู่ด้านหนึ่งของเซิร์ฟเวอร์ SOCKS สามารถเข้าถึงโฮสต์ในอีกด้านหนึ่งได้อย่างเต็มที่โดยไม่ต้องใช้การเข้าถึง IP โดยตรง ไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์ SOCKS ที่ไฟร์วอลล์ จากนั้นไคลเอนต์จะเข้าสู่การเจรจาสำหรับวิธีการพิสูจน์ตัวตนที่จะใช้และพิสูจน์ตัวตนด้วยวิธีการที่เลือก
ไคลเอนต์ส่งคำขอรีเลย์การเชื่อมต่อไปยังเซิร์ฟเวอร์ SOCKS ซึ่งมีที่อยู่ IP ปลายทางและพอร์ตการขนส่งที่ต้องการ เซิร์ฟเวอร์ยอมรับคำขอหลังจากตรวจสอบว่าไคลเอนต์ตรงตามเกณฑ์การกรองพื้นฐาน จากนั้นในนามของไคลเอ็นต์เกตเวย์จะเปิดการเชื่อมต่อไปยังโฮสต์ที่ไม่น่าเชื่อถือที่ร้องขอจากนั้นตรวจสอบการจับมือ TCP ที่ตามมาอย่างใกล้ชิด
เซิร์ฟเวอร์ SOCKS แจ้งไคลเอ็นต์และในกรณีที่ประสบความสำเร็จจะเริ่มถ่ายทอดข้อมูลระหว่างการเชื่อมต่อทั้งสอง เกตเวย์ระดับวงจรใช้เมื่อองค์กรไว้วางใจผู้ใช้ภายในและไม่ต้องการตรวจสอบเนื้อหาหรือข้อมูลแอปพลิเคชันที่ส่งทางอินเทอร์เน็ต
การปรับใช้ไฟร์วอลล์ด้วย DMZ
ไฟร์วอลล์เป็นกลไกที่ใช้ในการควบคุมการรับส่งข้อมูลเครือข่าย 'เข้า' และ 'ออก' ของเครือข่ายภายในองค์กร ในกรณีส่วนใหญ่ระบบเหล่านี้มีอินเทอร์เฟซเครือข่ายสองแบบโดยระบบหนึ่งสำหรับเครือข่ายภายนอกเช่นอินเทอร์เน็ตและอีกระบบหนึ่งสำหรับด้านใน
กระบวนการไฟร์วอลล์สามารถควบคุมสิ่งที่ได้รับอนุญาตให้ข้ามจากด้านหนึ่งไปยังอีกด้านหนึ่งอย่างแน่นหนา องค์กรที่ต้องการให้การเข้าถึงภายนอกไปยังเว็บเซิร์ฟเวอร์ของตนสามารถ จำกัด การรับส่งข้อมูลทั้งหมดที่มาถึงไฟร์วอลล์ที่คาดหวังไว้สำหรับพอร์ต 80 (พอร์ต http มาตรฐาน) ไม่อนุญาตให้มีการรับส่งข้อมูลอื่น ๆ เช่นการรับส่งอีเมล FTP SNMP ฯลฯ ข้ามไฟร์วอลล์เข้าสู่เครือข่ายภายใน ตัวอย่างไฟร์วอลล์ธรรมดาแสดงในแผนภาพต่อไปนี้
ในการปรับใช้อย่างง่ายข้างต้นแม้ว่าการเข้าถึงอื่น ๆ ทั้งหมดจากภายนอกจะถูกบล็อก แต่ผู้โจมตีสามารถติดต่อได้ไม่เพียง แต่เว็บเซิร์ฟเวอร์เท่านั้น แต่ยังมีโฮสต์อื่น ๆ บนเครือข่ายภายในที่เปิดพอร์ต 80 ทิ้งไว้โดยไม่ได้ตั้งใจ
ดังนั้นปัญหาที่องค์กรส่วนใหญ่เผชิญคือการเปิดใช้งานการเข้าถึงบริการสาธารณะเช่นเว็บ FTP และอีเมลอย่างถูกกฎหมายในขณะที่รักษาความปลอดภัยของเครือข่ายภายในอย่างเข้มงวด แนวทางทั่วไปคือการปรับใช้ไฟร์วอลล์เพื่อจัดเตรียมเขตปลอดทหาร (DMZ) ในเครือข่าย
ในการตั้งค่านี้ (แสดงในแผนภาพต่อไปนี้) มีการติดตั้งไฟร์วอลล์สองชุด หนึ่งระหว่างเครือข่ายภายนอกและ DMZ และอีกอันระหว่าง DMZ และเครือข่ายภายใน เซิร์ฟเวอร์สาธารณะทั้งหมดอยู่ใน DMZ
ด้วยการตั้งค่านี้เป็นไปได้ที่จะมีกฎของไฟร์วอลล์ซึ่งอนุญาตให้เข้าถึงเซิร์ฟเวอร์สาธารณะได้ แต่ไฟร์วอลล์ภายในสามารถ จำกัด การเชื่อมต่อขาเข้าทั้งหมดได้ ด้วยการมี DMZ เซิร์ฟเวอร์สาธารณะจะได้รับการป้องกันที่เพียงพอแทนที่จะวางไว้บนเครือข่ายภายนอกโดยตรง
ระบบตรวจจับ / ป้องกันการบุกรุก
ไฟร์วอลล์กรองแพ็กเก็ตทำงานตามกฎที่เกี่ยวข้องกับส่วนหัว TCP / UDP / IP เท่านั้น พวกเขาไม่พยายามสร้างการตรวจสอบความสัมพันธ์ระหว่างเซสชันต่างๆ
ระบบตรวจจับ / ป้องกันการบุกรุก (IDS / IPS) ดำเนินการตรวจสอบแพ็คเก็ตแบบลึก (DPI) โดยดูที่เนื้อหาของแพ็คเก็ต ตัวอย่างเช่นการตรวจสอบสตริงอักขระในแพ็กเก็ตกับฐานข้อมูลของไวรัสที่รู้จักสตริงการโจมตี
เกตเวย์ของแอปพลิเคชันจะดูที่เนื้อหาของแพ็กเก็ต แต่สำหรับแอปพลิเคชันเฉพาะเท่านั้น พวกเขาไม่มองหาข้อมูลที่น่าสงสัยในแพ็คเก็ต IDS / IPS ค้นหาข้อมูลที่น่าสงสัยที่อยู่ในแพ็กเก็ตและพยายามตรวจสอบความสัมพันธ์ระหว่างแพ็กเก็ตต่างๆเพื่อระบุการโจมตีใด ๆ เช่นการสแกนพอร์ตการทำแผนที่เครือข่ายและการปฏิเสธการให้บริการเป็นต้น
ความแตกต่างระหว่าง IDS และ IPS
IDS และ IPS มีความคล้ายคลึงกันในการตรวจจับความผิดปกติในเครือข่าย IDS เป็นเครื่องมือ 'การมองเห็น' ในขณะที่ IPS ถือเป็นเครื่องมือ 'ควบคุม'
ระบบตรวจจับการบุกรุกจะอยู่ด้านข้างของเครือข่ายตรวจสอบการรับส่งข้อมูลในจุดต่างๆและให้การมองเห็นสถานะความปลอดภัยของเครือข่าย ในกรณีของการรายงานความผิดปกติโดย IDS การดำเนินการแก้ไขจะเริ่มต้นโดยผู้ดูแลระบบเครือข่ายหรืออุปกรณ์อื่น ๆ บนเครือข่าย
ระบบป้องกันการบุกรุกเป็นเหมือนไฟร์วอลล์และอยู่ในระหว่างสองเครือข่ายและควบคุมการรับส่งข้อมูลที่ผ่านไป บังคับใช้นโยบายที่ระบุในการตรวจจับความผิดปกติในการรับส่งข้อมูลเครือข่าย โดยทั่วไปจะทิ้งแพ็กเก็ตทั้งหมดและบล็อกการรับส่งข้อมูลเครือข่ายทั้งหมดเมื่อสังเกตเห็นความผิดปกติจนถึงเวลาดังกล่าวผู้ดูแลระบบจะจัดการกับความผิดปกติ
ประเภทของ IDS
IDS พื้นฐานมีสองประเภท
Signature-based IDS
มันต้องการฐานข้อมูลของการโจมตีที่รู้จักพร้อมลายเซ็นของพวกเขา
ลายเซ็นถูกกำหนดโดยประเภทและลำดับของแพ็คเก็ตที่แสดงลักษณะของการโจมตีโดยเฉพาะ
ข้อ จำกัด ของ IDS ประเภทนี้คือสามารถตรวจพบการโจมตีที่รู้จักเท่านั้น IDS นี้ยังสามารถส่งสัญญาณเตือนที่ผิดพลาดได้ สัญญาณเตือนที่ผิดพลาดอาจเกิดขึ้นได้เมื่อสตรีมแพ็กเก็ตปกติตรงกับลายเซ็นของการโจมตี
ตัวอย่าง IDS โอเพนซอร์สสาธารณะที่รู้จักกันดีคือ IDS“ Snort”
Anomaly-based IDS
IDS ประเภทนี้สร้างรูปแบบการรับส่งข้อมูลของการทำงานของเครือข่ายตามปกติ
ในระหว่างโหมด IDS จะดูรูปแบบการเข้าชมที่ผิดปกติทางสถิติ ตัวอย่างเช่นการโหลดที่ผิดปกติของ ICMP การเพิ่มขึ้นของการสแกนพอร์ตเป็นต้น
การตรวจจับรูปแบบการจราจรที่ผิดปกติจะสร้างสัญญาณเตือน
ความท้าทายหลักที่ต้องเผชิญในการปรับใช้ IDS ประเภทนี้คือความยากลำบากในการแยกแยะระหว่างการรับส่งข้อมูลปกติและการจราจรที่ผิดปกติ
สรุป
ในบทนี้เราได้กล่าวถึงกลไกต่างๆที่ใช้สำหรับการควบคุมการเข้าถึงเครือข่าย แนวทางในการรักษาความปลอดภัยเครือข่ายผ่านการควบคุมการเข้าถึงมีความแตกต่างทางเทคนิคกับการใช้การควบคุมความปลอดภัยในชั้นเครือข่ายต่างๆที่กล่าวถึงในบทก่อนหน้าของบทช่วยสอนนี้ อย่างไรก็ตามแม้ว่าแนวทางการนำไปใช้จะแตกต่างกัน แต่ก็เสริมซึ่งกันและกัน
การควบคุมการเข้าถึงเครือข่ายประกอบด้วยองค์ประกอบหลัก 2 ส่วน ได้แก่ การตรวจสอบผู้ใช้และการป้องกันขอบเขตเครือข่าย RADIUS เป็นกลไกที่ได้รับความนิยมในการให้การรับรองความถูกต้องจากส่วนกลางในเครือข่าย
ไฟร์วอลล์ให้การป้องกันขอบเขตเครือข่ายโดยแยกเครือข่ายภายในออกจากอินเทอร์เน็ตสาธารณะ ไฟร์วอลล์สามารถทำงานในชั้นต่างๆของโปรโตคอลเครือข่าย IDS / IPS ช่วยให้สามารถตรวจสอบความผิดปกติในการรับส่งข้อมูลเครือข่ายเพื่อตรวจจับการโจมตีและดำเนินการป้องกันสิ่งเดียวกัน