IDP入侵侦测防御秘笈解析大公开

作者：2013/1/25 6:34:16

随着互联网络的飞速发展，网络上的攻击行为越来越多、越来越泛滥，一台刚刚联网的计算机，在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。在传统的入侵防御战中，一个网络安全管理员要和来自世界各地，成千上万的黑客或恶意代码进行斗争，这样往往使得网络管理员疲于奔命、狼狈不堪。而使用众至UTM后，网络管理员只需少数的几次配置，也许就可以放心地隔岸观火，由IDP系统来对付来自各处的攻击了。

传统UTM设备入侵防御系统

传统的UTM设备采用的是IDS(Intrusion Detection System，入侵侦测系统）或IPS(Intrusion Prevention System，入侵防御系统）防御系统。而这两种防御系统都存在一些缺陷。

IDS：入侵侦测系统 (Intrusion Detection System)：

IDS 只有【侦测】的功能，它是侦测网络的封包，是否有不正常或攻击性质的行为发生，一但发现有这样的行为，例如，对你的系统进行通信端口扫描 (Port Scan)，它会发出讯息，警告管理者但是却无力阻止攻击者的一切扫描和攻击的行为。

IPS：入侵防御系统 (Intrusion Prevention System)

IPS 它会检查对应到OSI 模型第4 到7 层的内容，是否有恶意的攻击程序、病毒，隐藏在TCP/IP 的通信协议中。IPS 必须是网关器模式，透过详细的内容检查后，一但发现后能够实时地将封包阻止，让这些穿过防火墙的封包无所遁形。警告防御的一方：有人已经对你的系统进行扫描和攻击。

Sharetech（众至资讯）UTM设备入侵防御系统

Sharetech UTM设备采用IDP(Intrusion Detection and Prevention)来作为入侵防御系统。

IDP：入侵侦测与实时防御 (Intrusion Detection and Prevention)

IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能，它和IDS不同的是，它对于所侦测到的攻击和扫描的行为，具有主动和自动的阻挡功能，并且在阻挡完成后，会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击，但是已经被我 (IDP) 成功阻挡了，所以攻击者没有得逞，并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息，常见的包括 IP 地址、DNS 名称，用哪个 port 连进来的，连到你 (防御者) 的哪个port，发动攻击的日期和时间，攻击者的计算机名称 (就是你用 netstat -a 看到的你的计算机的名称或是在网络邻居上的名称)，攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉)。