【WALL1600下一代防火墙】病毒、漏洞、木马等事件过滤的应用场景和功能原理以及配置病毒、漏洞、木马等事件过滤有什么样的效果?

发布时间: 2013-11-15 点击量:544 打印 字体:

应用场景:
 随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果,此时可在出口防火墙上开启病毒、漏洞、木马等事件过滤功能,NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
 
功能原理: 
 数据包首先通过协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别为:HTTP、FTP、SMTP、POP3、IMAP等,识别完成后上报告警信息。
 如果配置了其他应用功能,则数据包会根据配置进入各个应用防护如下:
 1、入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
 2、病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
 3、应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
 4、Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
 5、邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
 

00 分享 纠错
相关条目