入侵防御系统(Intrusion Prevention System)是对防病毒软件和防火墙的有效补充 。IPS可以监视网络中的异常信息,并且能够即时的中断、阻止、告警内外网的异常网络行为 。
在WFilter NGF中,我们集成了基于snort的入侵防御系统,该系统主要可以实现如下三个方面的功能:
- 保护内网的web服务器、文件服务器、邮件服务器 。
- 检测内网终端的木马和恶意软件 。
- 检测内网终端的异常网络行为 。
1. 保护内网的服务器
在企事业的内部局域网,存在ERP、CRM、OA等Web服务器、文件服务器、邮件服务器等各种服务 。有些服务是发布到互联网的,容易被攻击 。在WSG的“入侵检测”中,开启“系统漏洞攻击”和“服务器漏洞攻击”的选项,即可有效的检测对服务器的攻击 。如下图:
文章插图
文章插图
对外网的攻击,可以设置“记录日志并封锁IP 10分钟”,这样一旦检测到外网攻击,就立刻禁止该ip的连接,从而阻止其后续的攻击行为 。对内网的攻击,可以记录日志并记录告警事件,供后续查证核实 。
文章插图
2. 检测内网终端的木马和恶意软件
病毒和木马软件的肆虐,导致局域网内会存在大量的毒机和矿机 。对于网管人员来说,要查杀这些毒机和矿机绝对不是一件轻松的事情 。从技术层面来说,这些木马程序都会存在一定的网络特征,那么入侵检测就可以通过这些网络特征来进行定位 。网管技术人员可以通过入侵检测先定位到该终端,然后再到该终端上去处理 。如图:
文章插图
文章插图
3. 检测内网终端的异常网络行为
这个功能一般用于自定义检测脚本,用于检测一些个性化的内容 。比如,需要检测内网访问某个IP的事件 。可以添加自定义规则的方式,如下图:
文章插图
自定义规则格式:alert tcp $HOME_NET any -> 120.55.165.132 22 (msg:"SSH attempt"; sid:1000003; rev:1;)
意思是:本地(HOME_NET)的任意端口(any)到120.55.165.132的tcp 22端口,都会触发命名为“SSH attempt”的入侵检测事件 。
文章插图
综上所述,“入侵防御”功能非常强大,使用好该模块,可以有效的保护内网网络安全、检测内网的毒机和矿机 。如果会自己编写策略,还可以实现更加强大的检测功能 。
【入侵检测和防御系统可以实现什么功能】
推荐阅读
- 梦见和明星恋爱什么意思 梦见跟明星恋爱
- 三维生物和四维生物有什么区别 存在四维生物吗
- 利用Docker容器化开发环境
- 最全 Lombok介绍、使用方法和总结
- Linux的Cache和Buffer理解
- 线上内存泄漏引发OOM问题分析和解决
- WordPress 伪静态规则设置:Apache和Nginx,以及二级目录规则
- 云和县茶业快速发展 采茶工短缺问题渐突出
- 西湖龙井茶的采摘和加工技艺介绍
- 绿茶籽粉的用途和使用方法简介