IDP入侵侦测防御秘笈解析大公开

随着互联网络的飞速发展，网络上的攻击行为越来越多、越来越泛滥，一台刚刚联网的计算机，在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。在传统的入侵防 御战中，一个网络安全管理员要和来自世界各地，成千上万的黑客或恶意代码进行斗争，这样往往使得网络管理员疲于奔命、狼狈不堪。而使用众至UTM后，网络管理员只需少数的几次配置，也许就可以放心地隔岸观火，由IDP系统来对付来自各处的攻击了。

传统UTM设备入侵防御系统

传统的UTM设备采用的是IDS(Intrusion Detection System，入侵侦测系统）或IPS(Intrusion Prevention System，入侵防御系统）防御系统。而这两种防御系统都存在一些缺陷。

IDS：入侵侦测系统 (Intrusion Detection System)：

IDS 只有 【侦测】的功能，它是侦测网络的封包，是否有不正常或攻击性质的行为发生，一但发现有这样的行为，例如，对你的系统进行通信端口扫描 (Port Scan)，它会发出讯息，警告管理者但是却无力阻止攻击者的一切扫描和攻击的行为。

IPS：入侵防御系统 (Intrusion Prevention System)

IPS 它会检查对应到OSI 模型第4 到7 层的内容，是否有恶意的攻击程序、病毒，隐藏在TCP/IP 的通信协议中。IPS 必须是网关器模式，透过详细的内容检查后，一但发现后能够实时地将封包阻止，让这些穿过防火墙的封包无所遁形。警告防御的一方：有人已经对你的系统进行扫描和攻击。

Sharetech（众至资讯）UTM设备入侵防御系统

Sharetech UTM设备采用IDP(Intrusion Detection and Prevention)来作为入侵防御系统。

IDP：入侵侦测与实时防御 (Intrusion Detection and Prevention)

IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能，它和IDS不同的是，它对于所侦测到的攻击和扫描的行为，具有主动和自动的阻挡功能，并且在阻挡完成后，会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击，但是已经被我 (IDP) 成功阻挡了，所以攻击者没有得逞，并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息，常见的包括 IP 地址、DNS 名称，用哪个 port 连进来的，连到你 (防御者) 的哪个port，发动攻击的日期和时间，攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算机的名称或是在网络邻居上的名称)，攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉)。 

ShareTech（众至资讯） UTM 设备IDP 架构与运作简介

图1：Sharetech UTM架构及运作

前面已经说明IDP 会做内容或行为检查，所以IDP 的优劣就在于特征值数据库的多少及更新速度，也就是说IDP 的数据库有越多的特征值，意味它能辨识越多不正常的内容或网络行为，但是事情总不是如此完美，越多的检查就需要越强的运算能力，否则好处没尝到，反而付出网络速度缓慢的后果。

一般而言，IDP的特征值数据库会依照危险程度分成高、中、低三种，再让管理者决定放行或阻挡，考虑客户端的实际网络环境及机器的运算能力，在中小型的网络架构的IDP备只需要有完整的危险程度高 (例如，病毒、木马程序)的特征值数据库就足够，其它属于警告或通知性质的检查没必要处理。

ShareTech （众至）UTM系列IDP 的设定及更新

打开IDP 数据库更新页面如下图2所示：

图2 IDP 数据库更新

目前 IDP 可设定自动到IDP 服务器更新特征值数据库，他使用 TCP 80 及 UDP 53Port 跟服务器沟通。

危险程度分成高、中、低三种，再让管理者决定放行或阻挡的设定就在同一个画面的下方，如下图3所示：

图3 IDP设定

只要将高危险程度的封包设为 Drop (丢弃)，就可以满足大部分的信息安全机制。

IDP 的特征值数据库

众至UTM设备IDP 目前约有 2243 个特征值（这个值随着数据库的更新会增加），分布在几十种的类别中，以木马程序分类为例，大部分都会被归类在高危险类，目前数据库中有280种木马程序，如下图4所示：

图4 IDP预设特征中的木马特征设定

这个木马程序属于高危险程度的特征值，一旦通过众至UTM系列的网关设备，马上就会被众至UTM拦截，并将封包丢弃。对于中、低危险程度的封包处理，就由管理者决定，以P2P 的行为例，如下图5 所示：

图5：对于中、低危险程度的封包处理

BitTorrent 这个P2P 为例，它是不是个危险行为，每个人的观点都不一样，在众至UTM的IDP中就可以定义是否要让他通行或阻挡。

查看IDP记录

   除了实际的阻挡之外，Sharetech UTM IDP也有完整的日志记录功能，如下图6： 

图6：IDP日志记录

通过以上日志，管理员可以清楚的知道IDP入侵防御检测情况，能够清楚的看见触发的事件，来源IP、端口，目的IP、端口等信息。