入侵防御设备需要具备哪些功能
入侵防御设备需要具备以下功能:
新一代检测分析技术:新一代检测引擎能结合异常检测与攻击特征数据库检测的技术,同时也包含了深层数据包检查能力,除了检查到第四层数据包外,能更深入检查到第七层的数据包内容,以阻挡恶意攻击的穿透,同时不影响正常程序的工作。
多层多类型攻击检测:多层多类型攻击检测可以检测多层多种类型攻击,如应用型攻击:包括Web cc、http get flood、DNS query flood等攻击;流量性攻击:包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、Stream Flood等攻击;蠕虫连接型攻击;普通常见攻击:包括ipspoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan、null_scan、xmas_scan、ping-of-death、smurf、arp-reverse-query、arp-spoofing等。
双向攻击检测:通过对进出网络的流量进行采集分析,可对由内向外发起的网络攻击行为和由外向内发起的网络攻击行为均进行检测和告警。
日志告警和阻断:网络入侵防御系统除了需要能检测和辨别出各种网络入侵攻击,保护网络及服务器主机的安全外,还需要提供完整的取证信息,提供客户追查黑客攻击的来源,这些信息包括黑客攻击的目标主机、攻击的时间、攻击的手法种类、攻击的次数、黑客攻击的来源IP地址等,并提供包括Email/SNMP trap/声音等方式的告警。对于在线部署模式,可以对攻击行为进行实时阻断。
高可用性:对于在线部署模式的设备,当出现软件故障、硬件故障、电源故障时,系统bypass电口自动切换到直通状态以保障网络可用性,能够避免单点故障,不会影响业务。