热线电话:

上海英宽网络科技有限公司

主营:防火墙 多功能路由器 VPN设备 UTM...

商铺首页 > 新闻动态 > IDP入侵侦测防御秘笈解析大公开
上海英宽网络科技有限公司
14
企业等级: 普通会员
经营模式:
所在地区: 上海 上海
联系卖家:    QQ在线咨询1421931012
手机号码:
公司官网: www.sharetech.c...
公司地址:

IDP入侵侦测防御秘笈解析大公开

发布时间:2013-01-25 06:34:16        

随着互联网络的飞速发展,网络上的攻击行为越来越多、越来越泛滥,一台刚刚联网的计算机,在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。在传统的入侵防 御战中,一个网络安全管理员要和来自世界各地,成千上万的黑客或恶意代码进行斗争,这样往往使得网络管理员疲于奔命、狼狈不堪。而使用众至UTM后,网络管理员只需少数的几次配置,也许就可以放心地隔岸观火,由IDP系统来对付来自各处的攻击了。

传统UTM设备入侵防御系统

传统的UTM设备采用的是IDS(Intrusion Detection System,入侵侦测系统)或IPS(Intrusion Prevention System,入侵防御系统)防御系统。而这两种防御系统都存在一些缺陷。

IDS入侵侦测系统 (Intrusion Detection System)

IDS 只有 【侦测】的功能,它是侦测网络的封包,是否有不正常或攻击性质的行为发生,一但发现有这样的行为,例如,对你的系统进行通信端口扫描 (Port Scan),它会发出讯息,警告管理者但是却无力阻止攻击者的一切扫描和攻击的行为。

IPS入侵防御系统 (Intrusion Prevention System)

IPS 它会检查对应到OSI 模型第4 7 层的内容,是否有恶意的攻击程序、病毒,隐藏在TCP/IP 的通信协议中。IPS 必须是网关器模式,透过详细的内容检查后,一但发现后能够实时地将封包阻止,让这些穿过防火墙的封包无所遁形。警告防御的一方:有人已经对你的系统进行扫描和攻击。

Sharetech(众至资讯UTM设备入侵防御系统

Sharetech UTM设备采用IDP(Intrusion Detection and Prevention)来作为入侵防御系统。

IDP入侵侦测与实时防御 (Intrusion Detection and Prevention)

IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能,它和IDS不同的是,它对于所侦测到的攻击和扫描的行为,具有主动和自动的阻挡功能,并且在阻挡完成后,会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击,但是已经被我 (IDP) 成功阻挡了,所以攻击者没有得逞,并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息,常见的包括 IP 地址、DNS 名称,用哪个 port 连进来的,连到你 (防御者) 的哪个port,发动攻击的日期和时间,攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算机的名称或是在网络邻居上的名称),攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉) 

 

ShareTech(众至资讯) UTM 设备IDP 架构与运作简介

IDP入侵侦测防御秘笈解析大公开

 

1Sharetech UTM架构及运作

 

前面已经说明IDP 会做内容或行为检查,所以IDP 的优劣就在于特征值数据库的多少及更新速度,也就是说IDP 的数据库有越多的特征值,意味它能辨识越多不正常的内容或网络行为,但是事情总不是如此完美,越多的检查就需要越强的运算能力,否则好处没尝到,反而付出网络速度缓慢的后果。

一般而言,IDP的特征值数据库会依照危险程度分成高、中、低三种,再让管理者决定放行或阻挡,考虑客户端的实际网络环境及机器的运算能力,在中小型的网络架构的IDP备只需要有完整的危险程度高 (例如,病毒、木马程序)的特征值数据库就足够,其它属于警告或通知性质的检查没必要处理。

ShareTech (众至)UTM系列IDP 的设定及更新

打开IDP 数据库更新页面如下图2所示

IDP入侵侦测防御秘笈解析大公开

 

2 IDP 数据库更新

目前 IDP 可设定自动到IDP 服务器更新特征值数据库,他使用 TCP 80  UDP 53Port 跟服务器沟通。

危险程度分成高、中、低三种,再让管理者决定放行或阻挡的设定就在同一个画面的下方,如下图3所示:

IDP入侵侦测防御秘笈解析大公开

 

3 IDP设定

只要将高危险程度的封包设为 Drop (丢弃),就可以满足大部分的信息安全机制。

IDP 的特征值数据库

众至UTM设备IDP 目前约有 2243 个特征值(这个值随着数据库的更新会增加),分布在几十种的类别中,以木马程序分类为例,大部分都会被归类在高危险类,目前数据库中有280种木马程序,如下图4所示:

IDP入侵侦测防御秘笈解析大公开

 

4 IDP预设特征中的木马特征设定

这个木马程序属于高危险程度的特征值,一旦通过众至UTM系列的网关设备,马上就会被众至UTM拦截,并将封包丢弃。对于中、低危险程度的封包处理,就由管理者决定,以P2P 的行为例,如下图5 所示:

IDP入侵侦测防御秘笈解析大公开

 

5对于中、低危险程度的封包处理

BitTorrent 这个P2P 为例,它是不是个危险行为,每个人的观点都不一样,在众至UTMIDP中就可以定义是否要让他通行或阻挡。

查看IDP记录

   除了实际的阻挡之外,Sharetech UTM IDP也有完整的日志记录功能,如下图6 IDP入侵侦测防御秘笈解析大公开

6IDP日志记录

通过以上日志,管理员可以清楚的知道IDP入侵防御检测情况,能够清楚的看见触发的事件,来源IP、端口,目的IP、端口等信息。

免责声明
• 本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们 304108043@qq.com
  • QQ在线咨询1421931012
  • 手机:
  • 联系我时务必告知是在产品网上看到的!

上海英宽网络科技有限公司

商铺|诚信档案

地址:

电话:传真:

免责声明:以上信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责,产品网对此不承担任何责任。产品网不涉及用户间因交易而产生的法律关系及法律纠纷, 纠纷由您自行协商解决。

风险提醒:本网站仅作为用户寻找交易对象,就货物和服务的交易进行协商,以及获取各类与贸易相关的服务信息的平台。为避免产生购买风险,建议您在购买相关产品前务必 确认供应商资质及产品质量。过低的价格、夸张的描述、私人银行账户等都有可能是虚假信息,请采购商谨慎对待,谨防欺诈,对于任何付款行为请您慎重抉择!如您遇到欺诈 等不诚信行为,请您立即与产品网联系,如查证属实,产品网会对该企业商铺做注销处理,但产品网不对您因此造成的损失承担责任!

联系:304108043@qq.com是处理侵权投诉的专用邮箱,在您的合法权益受到侵害时,欢迎您向该邮箱发送邮件,我们会在3个工作日内给您答复,感谢您对我们的关注与支持!

商铺首页 | 公司概况 | 供应信息 | 新闻动态 | 诚信档案 | 联系我们 |

上海英宽网络科技有限公司 电话: 传真: 联系人:

地址: 主营产品:防火墙 多功能路由器 VPN设备 UTM设备 邮件服务器 邮件一体机

Copyright © 2024 版权所有: 产品网

免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责。产品网对此不承担任何保证责任。

商盟客服

您好,欢迎莅临,欢迎咨询...