入侵防御系統(tǒng)(Intrusion Prevention System)是對防病毒軟件和防火墻的有效補充。IPS可以監(jiān)視網(wǎng)絡中的異常信息,并且能夠即時的中斷、阻止、告警內(nèi)外網(wǎng)的異常網(wǎng)絡行為。
在WFilter NGF中,我們集成了基于snort的入侵防御系統(tǒng),該系統(tǒng)主要可以實現(xiàn)如下三個方面的功能:
保護內(nèi)網(wǎng)的web服務器、文件服務器、郵件服務器。
檢測內(nèi)網(wǎng)終端的木馬和惡意軟件。
檢測內(nèi)網(wǎng)終端的異常網(wǎng)絡行為。
在本文中,我簡單介紹下如何實現(xiàn)這三個方面的功能。
1. 保護內(nèi)網(wǎng)的服務器
在企事業(yè)的內(nèi)部局域網(wǎng),存在ERP、CRM、OA等Web服務器、文件服務器、郵件服務器等各種服務。有些服務是發(fā)布到互聯(lián)網(wǎng)的,容易被攻擊。在WSG的“入侵檢測”中,開啟“系統(tǒng)漏洞攻擊”和“服務器漏洞攻擊”的選項,即可有效的檢測對服務器的攻擊。如下圖:
對外網(wǎng)的攻擊,可以設(shè)置“記錄日志并封鎖IP 10分鐘”,這樣一旦檢測到外網(wǎng)攻擊,就立刻禁止該ip的連接,從而阻止其后續(xù)的攻擊行為。對內(nèi)網(wǎng)的攻擊,可以記錄日志并記錄告警事件,供后續(xù)查證核實。
2. 檢測內(nèi)網(wǎng)終端的木馬和惡意軟件
病毒和木馬軟件的肆虐,導致局域網(wǎng)內(nèi)會存在大量的毒機和礦機。對于網(wǎng)管人員來說,要查殺這些毒機和礦機絕對不是一件輕松的事情。從技術(shù)層面來說,這些木馬程序都會存在一定的網(wǎng)絡特征,那么入侵檢測就可以通過這些網(wǎng)絡特征來進行定位。網(wǎng)管技術(shù)人員可以通過入侵檢測先定位到該終端,然后再到該終端上去處理。如圖:
3. 檢測內(nèi)網(wǎng)終端的異常網(wǎng)絡行為
這個功能一般用于自定義檢測腳本,用于檢測一些個性化的內(nèi)容。比如,需要檢測內(nèi)網(wǎng)訪問某個IP的事件。可以添加自定義規(guī)則的方式,如下圖:
自定義規(guī)則格式:alert tcp $HOME_NET any -> 120.55.165.132 22 (msg:"SSH attempt"; sid:1000003; rev:1;)
意思是:本地(HOME_NET)的任意端口(any)到120.55.165.132的tcp 22端口,都會觸發(fā)命名為“SSH attempt”的入侵檢測事件。
綜上所述,“入侵防御”功能非常強大,使用好該模塊,可以有效的保護內(nèi)網(wǎng)網(wǎng)絡安全、檢測內(nèi)網(wǎng)的毒機和礦機。如果會自己編寫策略,還可以實現(xiàn)更加強大的檢測功能。
