2．Tap分流器
　　
　　Tap是一种容错性的方案，它提供在全双工或半双工10M/100M/1000M网段上察看数据流量的手段。如图３所示：
　　　
　　图３：采用Tap分流监听
　　使用TAP有如下好处：
　　
　　●Tap是容错的，如果电源故障，原先监控的网段上的通讯不受影响；
　　
　　●Tap不会影响数据流；
　　
　　●Tap阻止建立与IDS的直接连接，从而保护它不受攻击；
　　
　　●可以将Tap的引出的线接到机或集线器上，通过一个IDS系统进行检测；如图４所示；
　　
　　●如果IDS支持多端口的监控，那么就可以将Tap的引线直接接入IDS的监听网口，如图５所示。
　　　
　　图4：Tap的引出的线接到机或集线器集中监听
　　
　　图５：Tap的引出的线直接接到多端口监控功能的NIDS上集中监听
　　四、入侵检测系统对Tap的支持
　　网络入侵检测系统对Tap的支持，也不是天生的。也就是说，需要修改网络入侵检测系统的数据包处理引擎，以支持数据包倒序的情况。
　　
　　此外，如果是千兆光纤环境下的Tap分流，网络入侵检测系统还必须支持多端口监控。目前国内做到多端口监控的入侵检测产品还不多，方正方通Sniper算一家吧。
　　
　　如果同时支持数据包倒序处理问题和多端口监控，恐怕少之又少。在千兆网环境下，使用端口镜像，肯定不可行，必须使用Tap分流。
--------------------next---------------------