入侵检测系统Radware DefensePro(2) 入侵防范 – 应用级别的保护 对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的威胁。这些攻击会使用80端口和其它打开的应用端口(如139、445等)穿越防火墙而进入公司网络中。据2003年8月刊的Network World报道,77% 的应用级别攻击都是通过80端口发动的。
资料来源:Network World,2003年8月图1:不同应用级别攻击的分布图 DefensePro入侵防范功能可以用3千兆位的速度检测和拦截1200多种病毒、蠕虫和特洛伊木马,从而快速而全面地清除所有恶意入侵:对各个网络段的流量进行双向扫描 DefensePro是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1200多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。3千兆位速度的攻击特征比较为了支持数千兆位的特征扫描速度,DefensePro专门采用了基于ASIC的强大加速器 – StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。实时抑制攻击当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。DefensePro具有针对不同网络或网络段实施不同安全策略的灵活性,从而可以适应为保护不同应用和服务而所需的各种用户安全要求(对通讯商而言)和网络段安全要求(对公司而言)。防扫描功能黑客在发起攻击之前,通常都会设法确定打开的TCP和UDP端口。一个打开的端口可能意味着一种服务、应用或者一个后门。如果端口不是用户特意打开的,则可能导致严重的安全问题。DefensePro的应用安全模块提供了旨在阻止黑客获取该信息的全面机制,方法是拦截并修改发送给黑客的服务器应答。DoS Shield – 彻底防范拒绝服务攻击在过去的12个月中,拒绝服务攻击所导致的损失有显著的上升势头。最近的调查1表明,拒绝服务攻击(DoS)在2003年导致每个机构平均损失了1427028美元,这个数字比2002年高了5倍。DefensePro的DoS Shield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。该机制会对照DefensePro攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active(当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。
