前瞻性地识别并拦截黑客

　　这一机制可以对那些在发起攻击前(通过他们的行为)或者在第一次发起攻击的黑客作出识别。通过拦截攻击者的IP 地址，可以使我们有能力动态地响应攻击行为。对于防御重复性攻击，拦截IP 地址是非常简单而有效的方法，并可以大大减少系统资源的占用。如果我们可以预先发现一个攻击行为，那么这个机制就可以很好地保护我们免受新的、未知的攻击。

　　♦ 识别攻击

　　WatchGuard ILS 结构的效力体现在其分布式智能分析能力。每一个层都具有分析和报告攻击者IP 地址的能力，同时可以拦截这些攻击性的IP 地址通讯。这个能力应用于大量的不同级别攻击行为，例如DoS 攻击、IP 选项攻击、基于PAD 的协议异常攻击，甚至被防病毒/入侵防御系统识别到的攻击等。

　　♦ 识别攻击者行为

　　在一个攻击开始前，基于行为的分析就可以将其锁定为一个攻击者。“扫描者与攻击者的匹配几率高达96.3% ......换句话说，每一次扫描过后，在未来某一时刻，都可能会发生来自同一个地点的攻击行为。”(网络世界，8 月25 日，2003)ILS 通常可以识别的行为有： 端口扫描、地址扫描、利用IP 选项、欺骗和源路由。

　　♦ 自动拦截

　　这种自动拦截的方法就是，在用户定义的一段时间里，系统自动地拦截来自攻击者或

　　具有攻击行为的IP 地址通讯。在以下几个方面具有显著的效果。

　　自动拦截黑客工具;对于来自同一地点的攻击行为，简单的IP 地址拦截可以很好地降低系统开销;

　　当然，防火墙也可以手工配置来屏蔽到一些不良的端口和IP 地址。