手机网站
手机网站
入侵防御系统( Intrusion Prevention System )有效地补充了防病毒软件和防火墙。 IPS可以监视网络中的异常信息,并且立即中断、阻止或警告内外网络中的异常网络行为。
WFilter NGF整合了基于snort的入侵防御系统,主要提供以下三项功能
保护内部网的web服务器、文件服务器和邮件服务器。
检测内部网终端的木马和恶意软件。
检测内部网终端异常网络行为。
本文简要介绍如何实现这三项功能。
1 .保护内部网的服务器
在企业事业的内部LAN中,存在ERP、CRM、OA等Web服务器、文件服务器、邮件服务器等各种服务。 一些服务向互联网公开,容易受到攻击。 在WSG的“入侵检测”中,通过打开“系统脆弱性攻击”和“服务器脆弱性攻击”选项,可以有效地检测对服务器的攻击。 请参见下图
外部网的攻击通过“记录日志并阻止ip 10分钟”来检测到外部网的攻击时,立即禁止该IP的连接,阻止其后的攻击行为。 对内部网的攻击可以帮助记录日志和记录警告事件以及事后验证。
2 .检测内联网终端木马和恶意软件
病毒和特洛伊木马软件威胁着局域网内存在大量毒机和矿床。 对于网络管理者来说,杀死这些毒机和矿床决不是件容易的事。 从技术上说,木马程序中存在一定的网络特性,而入侵检测可以由这些网络特性来定位。 互联网技术人员可以在入侵检测中找到终端后在终端处理。 图:
3 .检测内联网终端异常网络行为
此功能通常用于自定义检查脚本,用于检查某些自定义内容。 例如,需要检测内部网访问某个IP的事件。 您可以添加自定义规则,如下图所示
自定义规则格式: alert TCP $ home _ netany-> 120.55.165.132 ( msg:" ssh attempt " ) sid:1000003; rev:1; 中所述情节,对概念设计中的量体体积进行分析
表示从本地( HOME_NET )上的任何端口( any )到120.55.165.132上的tcp 22端口,都将触发名为“SSH attempt”的入侵检测事件。
如上所述,“入侵防御”功能非常强大,使用该模块可以有效地保护内部网的安全,检测内部网的毒机和矿床。 如果能自己制定战略,还能实现更强大的检测功能。
