入侵防御系統(Intrusion Prevention System)是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息,并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中,我們集成了基于snort的入侵防御系統,該系統主要可以實現如下三個方面的功能:
- 保護內網的web服務器、文件服務器、郵件服務器。
- 檢測內網終端的木馬和惡意軟件。
- 檢測內網終端的異常網絡行為。
在本文中,我簡單介紹下如何實現這三個方面的功能。
1. 保護內網的服務器
在企事業的內部局域網,存在ERP、CRM、OA等Web服務器、文件服務器、郵件服務器等各種服務。有些服務是發布到互聯網的,容易被攻擊。在WSG的“入侵檢測”中,開啟“系統漏洞攻擊”和“服務器漏洞攻擊”的選項,即可有效的檢測對服務器的攻擊。如下圖:
對外網的攻擊,可以設置“記錄日志并封鎖IP 10分鐘”,這樣一旦檢測到外網攻擊,就立刻禁止該ip的連接,從而阻止其后續的攻擊行為。對內網的攻擊,可以記錄日志并記錄告警事件,供后續查證核實。
2. 檢測內網終端的木馬和惡意軟件
病毒和木馬軟件的肆虐,導致局域網內會存在大量的毒機和礦機。對于網管人員來說,要查殺這些毒機和礦機絕對不是一件輕松的事情。從技術層面來說,這些木馬程序都會存在一定的網絡特征,那么入侵檢測就可以通過這些網絡特征來進行定位。網管技術人員可以通過入侵檢測先定位到該終端,然后再到該終端上去處理。如圖:
3. 檢測內網終端的異常網絡行為
這個功能一般用于自定義檢測腳本,用于檢測一些個性化的內容。比如,需要檢測內網訪問某個IP的事件。可以添加自定義規則的方式,如下圖:
自定義規則格式:alert tcp $HOME_NET any -> 120.55.165.132 22 (msg:"SSH attempt"; sid:1000003; rev:1;)
意思是:本地(HOME_NET)的任意端口(any)到120.55.165.132的tcp 22端口,都會觸發命名為“SSH attempt”的入侵檢測事件。
綜上所述,“入侵防御”功能非常強大,使用好該模塊,可以有效的保護內網網絡安全、檢測內網的毒機和礦機。如果會自己編寫策略,還可以實現更加強大的檢測功能。
