【WALL1600下一代防火墙】下一代防火墙入侵防御、病毒防护简介

发布时间: 2013-09-12 点击量:412 打印 字体:

应用场景:

    随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果,此时可在出口防火墙上开启病毒、漏洞、木马等事件过滤功能,NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
 DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等;扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。

     DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
 NGFW的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。

功能原理:
     随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。
     NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。
     数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别:HTTP、FTP、SMTP、POP3、IMAP以及其他,部分协议分析事件此时就可以识别完成,上报告警信息。


 如果配置了其他应用功能,则数据包会根据配置进入各个应用防护流程:
     入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
     病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
     应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
     Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
     邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
     NGFW可以针对内外网入口处,进行实时的病毒扫描,将外来病毒隔离在内网之外,实现工作站被动防御病毒之外的主动病毒防御。同时还提供文件屏蔽功能,可以对特定的文件类型进行屏蔽。NGFW支持在诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议时进行文件扫描和文件屏蔽。
     防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击,同时还能使内网正常地与外界通信。不仅保护设备,更要保护内网。当遭受到攻击时,向用户进行报警提示。 常见的DOS攻击主要包括PING of death、teardrop attack、jolt2 attack、syn flood、icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。 扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。 常见的扫描主要有:
?  垂直(Vertical)扫描:针对相同主机的多个端口
?  水平(Horizontal)扫描:针对多个主机的相同端口
?  ICMP (PING) sweeps:针对某地址范围,通过PING方式发现存活主机

00 分享 纠错
相关条目