帕拉迪综合防御网关.docVIP

帕拉迪综合防御网关 技 术 白 皮 书 杭州帕拉迪网络科技有限公司 2005年12月 第一章．前言 2 1.1 入侵防御系统的必要性 3 1.2 防火墙和入侵检测（IDS）的局限性 3 1.3 入侵防御系统的作用 5 1.4 防火墙、IDS和综合防御网关比较表 5 第二章. PLDSEC NGW 3000综合防御网关的技术及优势 7 2.1产品概述 7 2.2 产品型号 9 第三章. PLDSEC NGW 3000综合防御网关功能介绍 10 3.1 抗DDOS攻击 10 3.2 抗扫描 11 3.3 应用层控管 11 3.4 入侵防御和入侵检测 12 3.5 丰富的防火墙功能 14 3.6 主动式状态检测 14 3.7 日志审计 14 3.8 CLI管理方式 14 3.9 高可用性(HA) 15 3.10 虚拟专用网（VPN）（选配） 15 第四章. 运用及部署方式 15 4.1 小型网络组网应用 15 4.2 多网段分布式网络解决方案 16 4.3 具有分支机构的网络解决方案 17 第五章. 联系我们 18 第一章．前言 伴随着黑客攻击的日益猖獗，蠕虫病毒爆发的日渐频繁，大规模自动攻击日益泛滥，用户网络安全面临新的挑战，传统的IDS产品和防火墙产品显的力不从心。这就需要引入一种全新的技术——入侵防御系统（Intrusion Prevention System, IPS）防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施，但是它也存在局限性。1、防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。2、防火墙不能解决来自内部网络的攻击和安全问题。外紧内松是一般局域网络的特点，一道严密防守的防火墙其内部的网络也有可能是一片混乱。如通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将瞬间破坏象铁壁一样的防火墙。另外，防火墙内部各主机间的攻击行为，防火墙也只能如旁观者一样冷视而爱莫能助3、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击4、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是合理和合法的，因此就被简单地放行了5、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒软件，也没有一种软件可以查杀所有的病毒。 防火墙有以上的诸多局限性，同时它又处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。然而，由于IDS本身的局限性，黑不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术，胜利的天平正在向黑帽子倾斜。1、字符串匹配的弱点通过把字符串处理技术和字符替换技术结合到一起，我们可以实现复杂点的字符串伪装。对于WEB请求，我们不必使用命令解释器， 在我们的请求中使用16进制的URL即可，以下的请求可以被目标WEB服务器解释为/etc/passwd：GET %65%74%63/%70%61%73%73%77%64或者 GET %65%74%63/%70a%73%73%77d为了捕获这一个字符串的所有变体，IDS可能需要1000个以上的特征码进行字符串匹配，这还没有考虑UNICODE会话拼接(session splicing，叫会话分割更合适一些)就是把会话数据放到多个数据包中发出通过这种方式，每次只投递几个字节的数据，就可能避开字符串匹配入侵检测系统的监视。碎片攻击所谓碎片覆盖就是发送碎片覆盖先前碎片中的数据。例如：碎片1 GET x.idd碎片2 a.?(缓冲区溢出数据)第二个碎片的第一个字符覆盖第一个碎片最后一个字符，这两个碎片被重组之后就变成了GET x.ida?(缓冲区溢出数据)。拒绝服务