网络边界入侵防御策略中的关键技术.doc

　　网络边界入侵防御策略中的关键技术～教育资源库 　　当人们谈及安全和入侵防御时，会冒出许多术语，并且含义不明确时，很容易会混淆。在深入讨论入侵防御之前，我们先来定义几个术语。我不会试图对所有文章中涉及的每个术语提供确定的答案，但是我给出它们在边界入侵防御策略中的定义。 　　防病毒 　　反间谍软件 　　反垃圾邮件 　　反网络钓鱼 　　入侵检测与防御系统 　　拒绝服务/分布式拒绝服务防御 　　内容过滤 　　应用程序控制与带宽管理 　　法规限制 　　防病毒 　　防病毒可能是边界安全中最常见的术语了，但是即使是这样一个简单的术语也有很多种定义。病毒、特洛伊木马程序、蠕虫病毒、以及恶意软件都是共同用于描述恶意（或许起初并非有害的）软件中的具体一种或另外一种形式的术语。例如，恶意软件的本质是和若虫不同的一种病毒。但是当我们说防病毒时，我们谈论的是检测是否存在这些有害软件中的任一种，并非仅仅是病毒本身。 　　病毒是一种可以感染其它应用程序的恶意软件。当这个应用程序由终端用户启动时，该病毒就被激活了，它既可以感染其它应用程序，也可以执行其罪恶的行为，比如随意删除你磁盘上的文件或者在你的dash;他们只是乐于使用特洛伊木马来携带一个蠕虫病毒的有效载荷，这个有效载荷也能像病毒一样传染应用程序。术语混合威胁通常就是用来描述这些混合病毒。 　　了解这些不同之处是非常重要的，理由是防病毒，尤其是在边界防病毒，可能拥有多种功能，可以在其生命周期内的不同时刻捕捉到不同类型的恶意软件。此外，你可能会在不同的环境中看到术语防病毒。 　　简单说来，防病毒技术在传输过程中查找恶意软件。最流行的恶意软件的自动扩展技术是通过电子邮件，这样的话扫描电子邮件中的恶意附件就是防病毒策略的重要组成部分。然而，恶意软件也可以留在dash;他们受到网络钓鱼电子邮件欺骗，访问设有圈套的通过采用NBAD系统捕获这些连接。结果是这种技术也是为标准的垃圾邮件服务的（因为用户被引导进入网站订购毒品、观看色情视频，以及购买股票），但是由于对用户的损害并不重大，一般不使用该技术。 　　现在，大量的边界入侵防御产品都在电子邮件中使用URL，此外，终端用户点击URL来检测来袭的垃圾邮件/网络钓鱼邮件并输出反应情况。本质上来讲，虽然这与用于检测正在传播或正在攻击的恶意软件 12下一页 友情提醒：，特别！的技术是相同的，但是，它致力于一种具体任务：阻止用户回应任何网络钓鱼电子邮件。 　　入侵检测与防御系统 　　尽管这些产品家族听起来似乎应该有一定的联系，但是它们几乎没有类似之处。入侵检测系统（IDS）在网络中的一个或多个端点检测数据流，并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统，以及鉴定和输入意图的数据存储。 　　入侵防御系统是一个内嵌的设备，可以阻止恶意信息流。一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流，然后减轻该信息流的影响；比如，可以采用TCP重置的方法进而淹没发送器和接收器，或者改变防火墙或路由器中的访问列表规则。然而，同时代的IPS看起来都一样：内嵌的信息流评估器寻找一些理由，丢掉信息包或者重置连接。由于IPS有哪些信誉好的足球投注网站恶意信息流，因此与IDS相比，它区别性更少，并且更为仔细。 　　比如，在网络中，IDS可以检测到蠕虫病毒的在网络内部扩散，并且警戒这些企图。然而，IDS可以按照对系统受到攻击的企图，攻击对企业的重要程度，或者按照特定攻击企图的漏洞进行分类。IPS的复杂度并不相同。当IPS注意到一个明确的攻击企图时，就会简单地阻止这个攻击。受到攻击的系统是否存在漏洞、是否重要、甚至该系统是否存在，这些并不重要。IPS可以安全地阻止明确的攻击企图。然而，IPS一定不会阻止合法的信息流。因为IDS发出警报，而IPS阻止攻击，大多数IPS仅有几百个激活的特征（防止产生误报：将非法信息标记为合法信息），而IDS通常有成千个攻击特征。 　　并非每一个IPS都使用特征来确定攻击，并且甚至那些使用特征的IPS也可能会与其它技术相结合，帮助确定（并阻止）恶意信息流。NBAD系统的范围与IPS功能有一部分是重叠的，这些产品尽管使用不同的技术，但通常被认为可以解决类似的问题。 　　拒绝服务/分布式拒绝服务防御 　　IPS也是以速率为基础的，意味着它们寻找不正常的信息流。这些系统也是一DoS 和DDoS（拒绝服务攻击和分布式拒绝服务攻击）防御工具为标志的。基于速率的IPS可以与特徵式IPS相结合。然而，由于它们抵御不同类型的攻击，它们通常配置在网络的不同端口，并保护不同类型的系统。比如，以速率为基础的IPS最常用在大型网络服务器池或者大型电子邮件服务器的前端，而特征式IPS是直接配置在公司防火墙内部（或