NetScreen-IDP100/500产品特点(2) 防火墙在控制什么流量被允许进出网络方面做得很好。但不可避免的是,一些被允许进入的流量在本质上是恶意的。你需要第二层防护去协助防火墙,同时检测和防止各种形式的攻击。到现在为止,被动式的网络入侵检测系统(NIDS)一直被用于检测网络攻击。遗憾的是,目前的入侵检测解决方案通常只执行一个单一的入侵检测机制,因而造成很多错误报警,漏过不少攻击。另外,被动式方式不能阻止攻击,并且在管理上亦非常困难。NetScreen开发的入侵检测和防护系统(NetScreen-IDP100/500) 可以克服这些不足,助你保护公司的资产。 点评:应用性能放在第一位 所有与互联网连接的企业通常要做的第一件事就是安装防火墙,通过提供接入控制,防火墙提供了出色的第一层防护。第二层防护就是设置IDS。一般企业普遍认为,被动式的、网络入侵检测系统(NIDS)能够保护机构免受攻击。遗憾的是,这种防护方式有许多问题。 首先,大量的错误报警常常使系统管理员感到困惑,需要大量的人工过滤来鉴别混杂在错误报警中的真正的攻击,造成许多公司都变成对这些警报数据置之不理,系统无法发挥其作用;其次,一般的NIDS解决方案很难管理和维护,它需要大量的时间和精力以保持传感器的更新和安全策略的有效;再者,很多公司误以为,如果将NIDS加入其系统,就需要将NIDS的维护工作外包给专业的安全服务提供商;同时,现有的NIDS解决方案不能防止攻击,尽管声称具有防护能力,其实这些产品只是检测工具而已,防护能力是空洞的许诺。近两年,入侵检测系统(IDS)产品和技术得到了快速发展,从目前产品采用的检测技术来看主要有两种:一种是异常发现技术,也称为协议分析技术;另一种是模式匹配检测技术。从主流的入侵检测产品来看,通常是采用两种模式的结合。NetScreen-IDP采用了IDS协议分析的检测机制,检测功能包括了重要的IP碎片整理能力、TCP重组——在去除复制和重叠数据的时候,用正确的次序适当地重组TCP片段的能力,流量跟踪功能可以跟踪流量(客户端到服务器的流量以及服务器到客户端的流量),并且把它们与一个单一的通信会话联系起来,保证了检测机制的先进性和检测结果的正确。 总体来说,NetScreen-IDP100/500在智能管理和检测能力上具有一定的先进性,代表了目前较为前沿的IDS检测技术,能够减少错误报警或没有意义的报警,为用户减少了许多无谓的工作量。
