【WALL1600下一代防火墙】入侵防御、病毒防护原理是什么?

发布时间: 2013-11-15 点击量:641 打印 字体:

随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。
 NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。
 数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别:HTTP、FTP、SMTP、POP3、IMAP以及其他,部分协议分析事件此时就可以识别完成,上报告警信息。
 如果配置了其他应用功能,则数据包会根据配置进入各个应用防护流程:
 入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
 病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
 应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
 Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
 邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
 NGFW可以针对内外网入口处,进行实时的病毒扫描,将外来病毒隔离在内网之外,实现工作站被动防御病毒之外的主动病毒防御。同时还提供文件屏蔽功能,可以对特定的文件类型进行屏蔽。NGFW支持在诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议时进行文件扫描和文件屏蔽。
 防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击,同时还能使内网正常地与外界通信。不仅保护设备,更要保护内网。当遭受到攻击时,向用户进行报警提示。 常见的DOS攻击主要包括PING of death、teardrop attack、jolt2 attack、syn flood、icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。 扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。 常见的扫描主要有:
?  垂直(Vertical)扫描:针对相同主机的多个端口
?  水平(Horizontal)扫描:针对多个主机的相同端口
?  ICMP (PING) sweeps:针对某地址范围,通过PING方式发现存活主机

 

00 分享 纠错
相关条目