入侵和异常检测与防护(IDP/ADP)

　　入侵和异常监测功能可以识别具有威胁的通信，而入侵和异常防护功能则将会丢掉或阻挡监测到的通信数据流。这两种网络安全功能都是在网络的第四层到第七层上执行数据包检测，从而探测网络攻击行为。它们的不同之处在于识别确认威胁的方式。

　　入侵探测可以将通信模式(特征)与一个包含已知危险特征的数据库进行对比分析。如果可以找到匹配的记录，USG100会根据用户的设置来对该通信采取措施。用户可以在USG100上创建定制化的威胁特征码，这对理解通信特征的整体概念非常有帮助。

　　图8是一个USG100定制化威胁特征码配置页面。如图所示，我们可以创建一个定制IDP特征，用其来匹配通信细节信息到一个特定平台(操作系统)、服务(协议)和网络第三层(网络协议层)及第四层(传输协议)数据包头信息中的用户定义值。

图8、创建IDP定制化威胁特征码

　　我创建了一个简单的定制威胁特征Cs-reid，来匹配来自任何系统的使用ICMP服务(协议)的通信，并对其进行日志记录。为了保持示例的简单性，我没有在数据包的第三层或第四层头信息中设置任何参数。大家都知道，Ping使用ICMP协议，于是我从连接在WAN口上的计算机对连接在LAN口的计算机进行ping操作，令人高兴的是，我创建的简单威胁特征码被匹配了，从而产生了图9中第七行和第八行所示的日志记录。

图9、IDP定制化威胁特征码被匹配并被记入日志

　　IDP配置选项是基于profile和接口的。Profiles是通信特征根据协议(诸如IMAP、POP3、SMTP)的集合。Profiles还定义了在某个通信被检测为入侵性或异常时所被采取的处理。其处理措施包括记录日志、记录日志并发送电子邮件提醒，丢弃或拒绝该通信。Profiles然后被应用到从一个接口到另一个接口的通信数据中。

　　异常检测也监控数据通信，不过它还会根据协议来查找异常的通信活动。举个例子来说，如果检测到大量并发TCP SYN信息被发送到大量的TCP端口上，这可能是典型的端口扫描行为，很多网络攻击者普遍用这种方法来寻找防火墙中开放的漏洞。

　　入侵检测和异常检测比较复杂，不过，好在USG100为两者都提供了预先定义好的Profiles。USG100的IDP配置包含了一个从LAN口到DMZ接口的profile。在这些profile中，还有使用28种不同的协议定义的数十种不同的特征码。举个例子来说，在TELNET协议下，有一个叫做“TELNET EZsetup account attempt”的特征码，它可以匹配“连续使用不存在的用户名尝试登录telnet服务器的通信数据”。

　　IDP功能也是收费服务，只有付费用户才能访问合勤科技的数据包检测特征码数据库。和反病毒解决方案一样，USG100的IDP解决方案是直接由合勤科技提供的。

　　ADP模式是通过固件更新增加的功能，这是一项免费服务，ADP功能具有一个基础profile，可以探测到60多种类型的端口扫描、洪水(flood)攻击和HTTP/TCP/UDP/ICMP攻击。