相关链接:
入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。StoneOS支持许可证控制的IPS功能,即为支持IPS功能的StoneOS安装IPS许可证后,IPS功能才可使用。
StoneOS的IPS功能能够实现完整的基于状态的检查,从而极大降低误报率。当设备开启多项应用层数据检测功能时,启用IPS功能不会导致设备性能的明显下降。另外,系统每天通过特征服务器自动更新特征库,保证特征的完整性和正确性。
StoneOS的IPS功能对协议的检测流程包括两部分,分别是协议解析和引擎匹配。协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员;分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、重置、屏蔽),并产生日志信息报告给管理员。系统生成的IPS日志信息中包含错误信息ID,即为特征库中的特征ID,用户可以根据该ID查看错误的具体信息(IPS在线帮助)。
StoneOS支持两种IPS工作模式,分别是IPS在线模拟模式和IPS模式。IPS在线模拟模式提供协议异常和网络攻击行为的告警、日志功能,不对检出攻击做重置和阻断操作;IPS模式在提供协议异常和网络攻击行为的告警、日志功能的同时,还对检出攻击做重置和阻断操作。系统默认情况下工作在IPS模式下。
IPS特征库包含多种攻击特征,当前版本的特征库包含的特征约有3000多条。特征根据协议进行分类,以特征ID作为特征的唯一标识。特征ID由两部分构成,分别为协议ID(第1位或者第1和第2位)和攻击特征ID(后5位),例如ID“600120”中,“6”表示Telnet协议,“00120”表示攻击特征ID。攻击特征ID大于60000的为协议异常特征,攻击特征小于60000的为攻击特征。协议ID与协议的对应关系下表所示:
| 协议ID | 协议 | 协议ID | 协议 | 协议ID | 协议 | 协议ID | 协议 |
|---|---|---|---|---|---|---|---|
| 1 | DNS | 7 | Other-TCP | 13 | TFTP | 19 | NetBIOS |
| 2 | FTP | 8 | Other-UDP | 14 | SNMP | 20 | DHCP |
| 3 | HTTP | 9 | IMAP | 15 | MySQL | 21 | LDAP |
| 4 | POP3 | 10 | Finger | 16 | MSSQL | 22 | VoIP |
| 5 | SMTP | 11 | SUNRPC | 17 | Oracle | - | - |
| 6 | Telnet | 12 | NNTP | 18 | MSRPC | - | - |
上表中,“Other-TCP”表示除表中已列出的标准TCP协议以外的其他TCP协议;“Other-UDP”表示除表中已列出的标准UDP协议以外的其他UDP协议。
特征根据严重程度分为三个级别(安全级别),分别为严重(Critical)、警告(Warning)和信息(Informational),各级别说明如下:
