随着互联网络的飞速发展,网络上的攻击行为越来越多、越来越泛滥,一台刚刚联网的计算机,在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。在传统的入侵防 御战中,一个网络安全管理员要和来自世界各地,成千上万的黑客或恶意代码进行斗争,这样往往使得网络管理员疲于奔命、狼狈不堪。而使用众至UTM后,网络管理员只需少数的几次配置,也许就可以放心地隔岸观火,由IDP系统来对付来自各处的攻击了。
传统UTM设备入侵防御系统
传统的UTM设备采用的是IDS(Intrusion Detection System,入侵侦测系统)或IPS(Intrusion Prevention System,入侵防御系统)防御系统。而这两种防御系统都存在一些缺陷。
IDS:入侵侦测系统 (Intrusion Detection System):
IDS 只有 【侦测】的功能,它是侦测网络的封包,是否有不正常或攻击性质的行为发生,一但发现有这样的行为,例如,对你的系统进行通信端口扫描 (Port Scan),它会发出讯息,警告管理者但是却无力阻止攻击者的一切扫描和攻击的行为。
IPS:入侵防御系统 (Intrusion Prevention System)
IPS 它会检查对应到OSI 模型第4 到7 层的内容,是否有恶意的攻击程序、病毒,隐藏在TCP/IP 的通信协议中。IPS 必须是网关器模式,透过详细的内容检查后,一但发现后能够实时地将封包阻止,让这些穿过防火墙的封包无所遁形。警告防御的一方:有人已经对你的系统进行扫描和攻击。
Sharetech(众至资讯)UTM设备入侵防御系统
Sharetech UTM设备采用IDP(Intrusion Detection and Prevention)来作为入侵防御系统。
IDP:入侵侦测与实时防御 (Intrusion Detection and Prevention)
IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能,它和IDS不同的是,它对于所侦测到的攻击和扫描的行为,具有主动和自动的阻挡功能,并且在阻挡完成后,会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击,但是已经被我 (IDP) 成功阻挡了,所以攻击者没有得逞,并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息,常见的包括 IP 地址、DNS 名称,用哪个 port 连进来的,连到你 (防御者) 的哪个port,发动攻击的日期和时间,攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算机的名称或是在网络邻居上的名称),攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉)。
ShareTech(众至资讯) UTM 设备IDP 架构与运作简介
图1:Sharetech UTM架构及运作
前面已经说明IDP 会做内容或行为检查,所以IDP 的优劣就在于特征值数据库的多少及更新速度,也就是说IDP 的数据库有越多的特征值,意味它能辨识越多不正常的内容或网络行为,但是事情总不是如此完美,越多的检查就需要越强的运算能力,否则好处没尝到,反而付出网络速度缓慢的后果。
一般而言,IDP的特征值数据库会依照危险程度分成高、中、低三种,再让管理者决定放行或阻挡,考虑客户端的实际网络环境及机器的运算能力,在中小型的网络架构的IDP备只需要有完整的危险程度高 (例如,病毒、木马程序)的特征值数据库就足够,其它属于警告或通知性质的检查没必要处理。
ShareTech (众至)UTM系列IDP 的设定及更新
打开IDP 数据库更新页面如下图2所示:
图2 IDP 数据库更新
目前 IDP 可设定自动到IDP 服务器更新特征值数据库,他使用 TCP 80 及 UDP 53Port 跟服务器沟通。
危险程度分成高、中、低三种,再让管理者决定放行或阻挡的设定就在同一个画面的下方,如下图3所示:
图3 IDP设定
只要将高危险程度的封包设为 Drop (丢弃),就可以满足大部分的信息安全机制。
IDP 的特征值数据库
众至UTM设备IDP 目前约有 2243 个特征值(这个值随着数据库的更新会增加),分布在几十种的类别中,以木马程序分类为例,大部分都会被归类在高危险类,目前数据库中有280种木马程序,如下图4所示:
图4 IDP预设特征中的木马特征设定
这个木马程序属于高危险程度的特征值,一旦通过众至UTM系列的网关设备,马上就会被众至UTM拦截,并将封包丢弃。对于中、低危险程度的封包处理,就由管理者决定,以P2P 的行为例,如下图5 所示:
图5:对于中、低危险程度的封包处理
BitTorrent 这个P2P 为例,它是不是个危险行为,每个人的观点都不一样,在众至UTM的IDP中就可以定义是否要让他通行或阻挡。
查看IDP记录
图6:IDP日志记录
通过以上日志,管理员可以清楚的知道IDP入侵防御检测情况,能够清楚的看见触发的事件,来源IP、端口,目的IP、端口等信息。
版权所有©2024 产品网