防火墙的高级检测技术ids.pdf

防火墙的高级检测技术 IDS 更多防火墙相关文章：防火墙应用专区 多年来， 企业一直依靠状态检测防火墙、 入侵检测系统、 基于主机的防病毒系统和反垃 圾邮件解决方案来保证企业用户和资源的安全。 但是情况在迅速改变， 那些传统的单点防御 安全设备面临新型攻击已难以胜任。为了检测出最新的攻击，安全设备必须提高检测技术。 本文着重介绍针对未知的威胁和有害流量的检测与防护， 在防火墙中多个前沿的检测技术组 合在一起，提供启发式扫描和异常检测，增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合 -— 如病毒、 蠕虫、 木马和后门攻击， 往往通过 Email 和被感染的网站发出， 并很快的传递到下一代攻击或攻击的变种， 使得对于已知或未知的攻 击难以被阻挡。这种混合型攻击的例子有 Nimda 、 CodeRed 和 Bugbear 等。 2 、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为 “零小 时”(zero-hour) 或 “零日 ”(zero-day) 的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意 Web 站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行 它们。 图 1 Gartner 发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、 入侵检测系统和基于主机的防病毒软件。 但 是它们面对新一代的安全威胁却作用越来越小。 状态检测防火墙是通过跟踪会话的发起和状 态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层 (L3) 和协议层 (L4) ，基 于一套用户自定义的防火墙策略来允许、 拒绝或转发网络流量。 传统防火墙的问题在于黑客 已经研究出大量的方法来绕过防火墙策略。这些方法包括 : (1) 利用端口扫描器的探测可以发现防火墙开放的端口。 (2) 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自 于内部， 所有来自于不可信任网络的相关流量都会被防火墙放过。 当前流行的从可信任网络 发起攻击应用程序包括后门、 木马、 键盘记录工具等， 它们产生非授权访问或将私密信息发 送给攻击者。 较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、 木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里， 并将它们打乱顺序发出时， 较新的深 度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络， 安全防御必须部署在网络的各个层面， 并采用更新的检 测和防护机制。用于增强现有安全防御的一些新型安全策略包括 : 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台，以提供在线 ( “in-line ”)检测和防御。 采用统一威胁管理 (Unified Threat Management ，简称 UTM) ，提供更好的管理、攻击关 联，降低维护成本。 研究有效的安全策略，并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率，