网络边界入侵防御策略中的关键技术(二)

2008-6-3 选择字号：大 | 中 | 小

导读：网络边界入侵防御策略中的关键技术中相关的主要名词有：内容过滤,DoS,应用程序控制与带宽管理,法规限制等,本文将对这些入侵检测技术作简要解释。

关键词：入侵防御垃圾邮件入侵检测网络钓鱼拒绝服务

正在加载数据... 【TechTarget中国原创】本文是《网络边界入侵防御策略中的关键技术》的第二部分
当人们谈及安全和入侵防御时，会冒出许多术语，并且含义不明确时，很容易会混淆。在深入讨论入侵防御之前，我们先来定义几个术语。我不会试图对所有文章中涉及的每个术语提供确定的答案，但是我给出它们在边界入侵防御策略中的定义。本文中将要解释的名词有：防病毒，反间谍软件，反垃圾邮件，反网络钓鱼，入侵检测与防御系统，拒绝服务/分布式拒绝服务防御，内容过滤，应用程序控制与带宽管理，法规限制…… 【TechTarget中国原创】

入侵检测与防御系统

　　尽管这些产品家族听起来似乎应该有一定的联系，但是它们几乎没有类似之处。入侵检测系统（IDS）在网络中的一个或多个端点检测数据流，并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统，以及鉴定和输入意图的数据存储。

　　入侵防御系统是一个内嵌的设备，可以阻止恶意信息流。一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流，然后减轻该信息流的影响；比如，可以采用TCP重置的方法进而淹没发送器和接收器，或者改变防火墙或路由器中的访问列表规则。然而，同时代的IPS看起来都一样：内嵌的信息流评估器寻找一些理由，丢掉信息包或者重置连接。由于IPS搜索恶意信息流，因此与IDS相比，它区别性更少，并且更为仔细。

　　比如，在网络中，IDS可以检测到蠕虫病毒的在网络内部扩散，并且警戒这些企图。然而，IDS可以按照对系统受到攻击的企图，攻击对企业的重要程度，或者按照特定攻击企图的漏洞进行分类。IPS的复杂度并不相同。当IPS注意到一个明确的攻击企图时，就会简单地阻止这个攻击。受到攻击的系统是否存在漏洞、是否重要、甚至该系统是否存在，这些并不重要。IPS可以安全地阻止明确的攻击企图。然而，IPS一定不会阻止合法的信息流。因为IDS发出警报，而IPS阻止攻击，大多数IPS仅有几百个激活的特征（防止产生误报：将非法信息标记为合法信息），而IDS通常有成千个攻击特征。

　　并非每一个IPS都使用特征来确定攻击，并且甚至那些使用特征的IPS也可能会与其它技术相结合，帮助确定（并阻止）恶意信息流。NBAD系统的范围与IPS功能有一部分是重叠的，这些产品尽管使用不同的技术，但通常被认为可以解决类似的问题。

　　拒绝服务/分布式拒绝服务防御

　　IPS也是“以速率为基础的”，意味着它们寻找不正常的信息流。这些系统也是一DoS 和DDoS（拒绝服务攻击和分布式拒绝服务攻击）防御工具为标志的。基于速率的IPS可以与特徵式IPS相结合。然而，由于它们抵御不同类型的攻击，它们通常配置在网络的不同端口，并保护不同类型的系统。比如，以速率为基础的IPS最常用在大型网络服务器池或者大型电子邮件服务器的前端，而特征式IPS是直接配置在公司防火墙内部（或者作为企业防火墙的一部分），进而保护终端用户或者更多普通类型的服务器。

　　IPS和IDS执行异常行为检测，或者寻找特殊的病毒或网络钓鱼行为，它们就会作为防病毒或反网络钓鱼工具而出售。尽管这是这些产品中非常有用的一方面，但重要的是你不能IPS或IDS座位一种反恶意软件或垃圾邮件的“第一道防线”。

　　内容过滤

　　内容过滤工具可以使用大量不同的技术，其目的都是为了实现同一个目标：限制来自公司电脑上的有害内容。通常情况下，内容过滤几乎都用于网络浏览文本，尽管这个想法可以用其它方法来扩展。大多数内容过滤使用分类阻止的方法。内容过滤器可以在网络ULR离开公司网络之前进行监测，并且与大型数据库进行区分比较。URL可能作为未知返回来，或者可能适合于某个类别，比如“运动”或“赌博”。基于这种分类，网络管理者可能选择阻止信息流进入那些类型或者全部的网站，或者以一些其它更多的限制标准为基础，比如每天的时间或者用户认证信息。

　　实际上，一些内容过滤器着眼于捕获那些没有经过合理分类的信息流，并将其返回，进而试图分析这些内容。它的长度已经非常长了。举例来说，试图分析图片内容的产品已经上市，其特殊目的是为了阻止色情图片。

　　内容过滤并不是一个特别可靠的技术，并且一般不能阻止有特定用户下载不合适的信息。然而，它通常用于这样的环境中：需要某种过滤（比如初等学校），或者一些技术实施支持固定的安全或使用策略（比如在一个面向客户的零售设置中）。