本页内容
入侵检测和防御概述
瞻博网络 IDP 系统通过检测和预防威胁来增强网络安全。它监控流量中的恶意活动,使用签名数据库识别攻击,并应用安全策略进行实时缓解。该系统提供主动威胁检测和响应。
入侵检测是监视网络中发生的事件并分析事件以寻找安全策略可能发生事件、违规或迫在眉睫的威胁的迹象的过程。入侵防御过程可以执行入侵检测,然后阻止检测到的事故。安全措施是 IDS 和 IPS,它们将成为您网络的一部分,用于检测和阻止潜在的事故。
好处
通过利用入侵检测和防御 (IDP),您可以显著改善网络安全态势,防御各种已知和即将出现的威胁。以下是一些好处:
-
主动威胁防御 — 防止攻击造成损害。
-
网络可见性 — 提供对潜在安全问题的洞察。
-
可自定义的防护 — 允许根据特定网络需求定制安全策略。
-
合规性支持 — 有助于满足网络安全的法规要求。
-
自动响应和补救 — IDP 系统可以通过以下方式自动响应检测到的威胁:
-
阻止恶意流量
-
隔离受影响的防火墙
-
提醒管理员
此作有助于将安全事件的影响降至最低。
-
IDP 工作流程
IDP 系统通过检查流量来检测并缓解威胁。流量检测引擎使用基于签名的检测、协议异常检测和行为分析来分析数据包。如果发现威胁,则在策略实施和作阶段决定是阻止、警告还是记录活动。这些事件将被记录并报告给管理员以供进一步分析。威胁情报和更新通过添加新的威胁数据来不断改进检测,并确保实时防御不断变化的网络威胁。
图 1:工作流组件
表 1:IDP 工作流 列出了 IDP 工作流的详细信息。
| 组件 | 说明 |
|---|---|
| 流量检测引擎(或 IDP 检测流程) | 检查数据包是否存在潜在安全风险(与已知的攻击模式匹配)。 |
| 检测机制 | 基于签名的检测、协议异常检测(识别与预期网络行为的偏差)和行为分析(根据历史数据检测异常模式)。 |
| 策略实施和措施 | 识别威胁后,系统将实施策略并决定是阻止、警告还是记录活动。 |
| 记录和报告 | 检测到的事件将被记录或报告。管理员进行分析和响应 |
| 威胁情报和更新 | 不断将新的威胁数据输入系统。请参阅 自适应威胁分析。 |
IDP 的工作原理是什么?
IDP 策略允许您有选择地对通过 SRX 系列防火墙的网络流量实施各种攻击检测和防御技术。SRX 系列防火墙提供与瞻博网络 IDP 系列 IDP 设备相同的 IDP 签名集,以保护网络免受攻击。
要在 SRX 系列防火墙上下载并配置初始 IDP 功能,请参阅 IDP 基本配置。