入侵防御系統(tǒng)(Intrusion Prevention System)是對(duì)防病毒軟件和防火墻的有效補(bǔ)充。IPS可以監(jiān)視網(wǎng)絡(luò)中的異常信息,并且能夠即時(shí)的中斷、阻止、告警內(nèi)外網(wǎng)的異常網(wǎng)絡(luò)行為。
在WFilter NGF中,我們集成了基于snort的入侵防御系統(tǒng),該系統(tǒng)主要可以實(shí)現(xiàn)如下三個(gè)方面的功能:
保護(hù)內(nèi)網(wǎng)的web服務(wù)器、文件服務(wù)器、郵件服務(wù)器。
檢測(cè)內(nèi)網(wǎng)終端的木馬和惡意軟件。
檢測(cè)內(nèi)網(wǎng)終端的異常網(wǎng)絡(luò)行為。
在本文中,我簡(jiǎn)單介紹下如何實(shí)現(xiàn)這三個(gè)方面的功能。
1. 保護(hù)內(nèi)網(wǎng)的服務(wù)器
在企事業(yè)的內(nèi)部局域網(wǎng),存在ERP、CRM、OA等Web服務(wù)器、文件服務(wù)器、郵件服務(wù)器等各種服務(wù)。有些服務(wù)是發(fā)布到互聯(lián)網(wǎng)的,容易被攻擊。在WSG的“入侵檢測(cè)”中,開(kāi)啟“系統(tǒng)漏洞攻擊”和“服務(wù)器漏洞攻擊”的選項(xiàng),即可有效的檢測(cè)對(duì)服務(wù)器的攻擊。如下圖:
對(duì)外網(wǎng)的攻擊,可以設(shè)置“記錄日志并封鎖IP 10分鐘”,這樣一旦檢測(cè)到外網(wǎng)攻擊,就立刻禁止該ip的連接,從而阻止其后續(xù)的攻擊行為。對(duì)內(nèi)網(wǎng)的攻擊,可以記錄日志并記錄告警事件,供后續(xù)查證核實(shí)。
2. 檢測(cè)內(nèi)網(wǎng)終端的木馬和惡意軟件
病毒和木馬軟件的肆虐,導(dǎo)致局域網(wǎng)內(nèi)會(huì)存在大量的毒機(jī)和礦機(jī)。對(duì)于網(wǎng)管人員來(lái)說(shuō),要查殺這些毒機(jī)和礦機(jī)絕對(duì)不是一件輕松的事情。從技術(shù)層面來(lái)說(shuō),這些木馬程序都會(huì)存在一定的網(wǎng)絡(luò)特征,那么入侵檢測(cè)就可以通過(guò)這些網(wǎng)絡(luò)特征來(lái)進(jìn)行定位。網(wǎng)管技術(shù)人員可以通過(guò)入侵檢測(cè)先定位到該終端,然后再到該終端上去處理。如圖:
3. 檢測(cè)內(nèi)網(wǎng)終端的異常網(wǎng)絡(luò)行為
這個(gè)功能一般用于自定義檢測(cè)腳本,用于檢測(cè)一些個(gè)性化的內(nèi)容。比如,需要檢測(cè)內(nèi)網(wǎng)訪問(wèn)某個(gè)IP的事件。可以添加自定義規(guī)則的方式,如下圖:
自定義規(guī)則格式:alert tcp $HOME_NET any -> 120.55.165.132 22 (msg:"SSH attempt"; sid:1000003; rev:1;)
意思是:本地(HOME_NET)的任意端口(any)到120.55.165.132的tcp 22端口,都會(huì)觸發(fā)命名為“SSH attempt”的入侵檢測(cè)事件。
綜上所述,“入侵防御”功能非常強(qiáng)大,使用好該模塊,可以有效的保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全、檢測(cè)內(nèi)網(wǎng)的毒機(jī)和礦機(jī)。如果會(huì)自己編寫(xiě)策略,還可以實(shí)現(xiàn)更加強(qiáng)大的檢測(cè)功能。
