Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

入侵检测和防御概述

瞻博网络 IDP 系统通过监控流量中的恶意活动来检测和预防网络威胁。它使用特征码数据库来识别攻击,并应用安全策略进行实时缓解。它可以增强网络安全并提供主动威胁检测和响应。

入侵检测是监视网络中发生的事件并分析事件以寻找安全策略可能发生事件、违规或迫在眉睫的威胁的迹象的过程。入侵防御过程可以执行入侵检测,然后阻止检测到的事故。这些安全措施整合为 入侵检测系统 (IDS) 和入侵防御系统 (IPS) 后部署到您的网络中,可以帮助您检测并阻止潜在的事故。

IDP 的优势

通过利用 IDP,您可以显著改善网络安全态势,抵御各种已知和即将出现的威胁。以下是一些好处:

  • 主动威胁防御 — 在攻击造成损害之前将其阻止。

  • 网络可见性 — 提供对潜在安全问题的洞察。

  • 可自定义的防护 — 允许根据特定网络需求定制安全策略。

  • 合规性支持 — 有助于满足网络安全的法规要求。

  • 自动响应和补救 — IDP 系统可以通过阻止恶意流量、隔离受影响的防火墙和提醒管理员来自动响应检测到的威胁。这有助于将安全事件的影响降至最低。

IDP 工作流程

IDP 系统通过检查流量来检测并缓解威胁。流量检测引擎使用基于签名的检测、协议异常检测和行为分析来分析数据包。如果发现威胁,则在策略实施和作阶段决定是阻止、警告还是记录活动。这些事件将被记录并报告给管理员以供进一步分析。威胁情报和更新通过添加新的威胁数据来不断改进检测,并确保实时防御不断变化的网络威胁。

图 1 概述了瞻博网络 IDP 系统的核心组件和流程。

图 1:入侵检测和防御流程

表 1: IDP 流程流 列出了 IDP 工作流的详细信息。

表 1:IDP 流程
步骤 说明
流量检测引擎(或 IDP 检测流程) 检查数据包是否存在潜在安全风险(与已知的攻击模式匹配)。
检测机制 基于签名的检测、协议异常检测(识别与预期网络行为的偏差)和行为分析(根据历史数据检测异常模式)
策略实施和措施 识别威胁后,系统将实施策略并决定是阻止、警告还是记录活动。
记录和报告 检测到的事件将被记录或报告。管理员进行分析和响应
威胁情报和更新 不断将新的威胁数据输入系统。

IDP 入门

要在 SRX 系列防火墙上实施 IDP,请执行以下作:

  1. 默认情况下,所有 SRX 系列防火墙都启用 IDP 功能。如果您计划仅使用自定义攻击签名,则不需要额外的许可证。如果要访问和安装定期更新的签名数据库的更新,则需要单独的许可证。

    请参阅有关 SRX 系列防火墙软件许可证 页面的 IDP 许可证信息。

  2. 下载并安装 IDP 签名数据库。在继续作之前,请确保您持有有效的 IDP 许可证,因为从瞻博网络网站访问和安装签名数据库需要许可证。该数据库包括 IDP 策略中使用的攻击对象组和攻击对象组,用于将流量与已知攻击进行匹配。

    请参阅 更新 IDP 签名数据库

  3. 下载并安装 IDP 策略模板,并为您的环境自定义策略。瞻博网络提供了可用作起点的预定义模板。“推荐”模板是一个很好的起点,但我们建议您查看并修改它以满足特定的安全需求。

    请参阅 IDP 策略概述

  4. 为 IDP 检查启用安全策略。要使传输流量通过 IDP 检查,请配置安全策略并在要检查的所有流量上启用 IDP 应用程序服务。请参阅 在安全策略中启用 IDP

相关主题