| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
三星NXG智能防护监测
李冰 由于全球互联网络的突飞猛进发展,网络安全日益成为人们的关注焦点。 三星集团审时度势,并研发出新一代网络安全系统NXG(Next Generation Gateway)系列产品及相关安全解决方案。NXG系列产品是基于MLSP(Multi-Layered Single-Point)技术开发的新一代网关级安全产品,该产品内置了强大的基于防火墙的IPS技术,针对不同网络环境提供实时的网络流量监测服务,抵御有害流量的侵入,优化了网络安全全面解决方案,简化了网络安全建设的复杂性,降低了企业成本。 本期介绍该产品系列所采用的先进智能化防护监测器。对于骨干网络上巨大的数据流量,大多数现有的防火墙无法对伪装成合法数据包的攻击作出正确的响应,而IDS产品只是对攻击作出相应的警报而不能够有效阻止这种攻击行为。NXG系列产品采用了“智能防护监测器(Intelligence Blocking Sensor)”,通过修改安全配置,能够自动检测并阻止有害数据流进入网络。 检测及阻断扫描行为 典型的蠕虫攻击数据流就是给成千上万的目标地址发送数据包,而这些数据包都是从一个用户地址发出去的,并且使用了相同的服务。这就是典型的扫描攻击(目的就是为了找到打开了相应端口的主机)。NXG产品提供了“扫描攻击的检测以及阻断”功能,检测前10个数据包格式的扫描行为,为了传送发送者的IP地址,产生扫描模式的数据流,并且在内核的阻止列表里设置相应的阻断时间。当一个数据包到达NXG的时候,这个数据包与内核中的阻止列表进行匹配,如果这个数据包匹配阻止列表中的某个选项,则在设置好的时间段内此数据包将被拒绝进入防火墙。 对Web攻击的防范 现有的典型Web攻击方式包括对Unicode 漏洞的攻击以及对CGI漏洞的攻击、Code-red以及尼姆达蠕虫。例如,在某个游戏网站安装配置IDS之后,发现总共出现了50297次攻击,而其中有47949次攻击是针对Web服务的攻击。运行一个有漏洞的Web服务器相当于是对Code-red、Nimda以及其他30多个蠕虫病毒提供了一个传播基地,而传统的防火墙对于这些蠕虫是无能为力的。NXG产品使用了先进的技术,检测这些针对Web的攻击以及拒绝攻击,并且可以在高速的网络上使用,漏洞库信息是由NXG自动进行升级。 会话维护 由蠕虫病毒产生的破坏主要有:会话阻塞以及来自同一地址的会话阻塞。NXG产品的会话控制功能(Session Shaping)能够有效地防止由蠕虫病毒产生的会话阻塞。NXG上的会话维护功能能够限制新的会话通过企业的网络,也可以定义每个策略相应的最大会话数以及进入每个企业网络的会话数,并且也可以给每个企业网络地址制定各自的会话策略。 内容过滤 NXG的内容过滤功能可以使用特定的蠕虫程序的字符串,将匹配的蠕虫病毒过滤掉.例如,Slammer Worm是以16进制的0X42BOC9DC010101开始的,NXG可以有选择性地阻止反向DNS查询,并且可以关闭掉Telnet以及NNTP服务中某个具体的命令。总的来说,关键字过滤可以配置在安全策略里,保证正常的数据流的通过,防止有害的数据流的穿越,过滤列表可以以ASCII码进行设置,也可以使用特定长度的16进制字符串进行设置。 对Dos以及DDoS的攻击防范 NXG可以防范DoS以及DDOS攻击,NXG分析某一个系统中存在的攻击模式,并且以次阻断攻击数据流——包括 SYN flooding,ping flooding,UDP flooding,DNS 查询攻击,死亡之Ping等等。NXG在内核设置了阻止列表以实现对DDoS攻击的防范,当数据包刚刚到达防火墙,但还没有造成负载之前就匹配进来的数据包可阻止列表。并且被NXG的DDoS防范功能检测到的数据包在内核的阻止列表里进行信息记录(默认的时间是60秒),以此方式实现在特定的时间段内对DDoS攻击的防护。 |
||||||||||||||||||||||||||
