為何要IDP ?
狀態檢測(Stateful Inspection)防火牆
可以檢視對應OSI 模型第2 到第4 層通訊協定的內容,
他最常檢視及控管的項目為:Source IP Address(來源IP 位址)、
Destination IP Address(目的IP 位址)、Source Port Number(來源埠號)、
Destination Port Number(目的埠號)、以及Flag Fields(旗標欄位)。
應用程式管制是藉由每個連線的前2000個Bytes特徵值的組合檢測,
辨識用戶端使用的軟體是哪一種,如 MSN、QQ等,
辨識出後再利用管制條例的運作管控使用者的使用,但是對於惡意的攻擊者呢?
例如,SQL Slammer 採用「緩衝溢位」(buffer overflow)的攻擊手法,
因為防火牆開了 SQL 通訊埠,所以外界的人可以進到內部的SQL Server,
攻擊者再利用緩衝溢位攻擊的程式碼,就可以攻擊內部的 SQL 伺服器竊取他想要的資料。
IDP 的運作
IDP 它會檢查對應到OSI模型第4到7層的內容,是否有惡意的攻擊程式、病毒,
隱藏在 TCP/IP 的通信協定中,透過詳細的內容檢查,符合條件的特徵碼就被標示出來,
一但發現後能夠即時地將封包阻止,讓這些穿過防火牆的惡意封包無所遁形。
IDP跟FireWall 的差別就是IDP 會做內容或行為檢查,
IDP的優劣就在於特徵值資料庫的多寡及更新速度,就是說IDP 的資料庫有越多的特徵值,
意味它能辨識越多不正常的內容或網路行為,但是事情總不是如此完美,
越多的檢查就需要越強的運算能力,否則好處沒嘗到,反而付出網路速度緩慢的後果。
一般而言,IDP的特徵值資料庫會依照危險程度分成高、中、低三種,
再讓管理者決定放行或阻擋,考量客戶端的實際網路環境及機器的運算能力,
在中小型的網路架構的IDP設備只需要有完整的危險程度高、中
(例如,病毒、木馬程式)特徵值資料庫就足夠,其他屬於警告或通知性質檢查沒必要處理。
想瞭解更細項技術、功能:
可撥0800-666-188 或
北區:02-25011185 中區:04-2705-0888 南區:07-22987-788
