阿姆瑞特安全网关入侵检测与防御

什么是入侵
个人计算机或服务器有时会具有一些脆弱性，这些脆弱性将会导致计算机或服务器遭受来自网络的攻击。蠕虫、特洛伊木马以及后门漏洞都是这些攻击的例子，这些攻击一旦成功，就会给服务器带来危害，甚至被控制。这一面向服务器的威胁的通用名称就是“入侵”。
入侵检测
入侵与病毒不同，病毒通常是包含在一个文件中然后被下载到客户端系统中。而入侵则是一种明确的互联网数据流，它的主要特点就是要绕过服务器的安全机制。入侵并不是非常特别，但是它会自动演变。
阿姆瑞特安全网关为防御这样的威胁提供了一道重要的防线，入侵检测与防御是阿姆瑞特安全网关的一个子系统，它实时监视通过阿姆瑞特安全网关的数据流，在这些数据流中搜索入侵的企图。
阿姆瑞特安全网关的IDP组件
阿姆瑞特安全网关通过IDP功能来解决以上的问题，其主要的组件包括：
● IDP规则由管理员来配置以决定要扫描什么样的数据流。
● 模式匹配由阿姆瑞特的IDP模块应用于流过设备并且与IDP规则相匹配的数据流。
● 如果IDP模块检测到了入侵，那么被触发的IDP规则中所指定的动作就会被采用。
阿姆瑞特IDP服务的更新
阿姆瑞特的IDP功能需要通过许可证来开启，一旦许可证中开启了IDP，IDP特征就会被从遍布全球的更新服务器上下载到阿姆瑞特安全网关中。阿姆瑞特全球更新服务器的运作机制如下图所示：

自动更新
新的攻击每天都会出现，因此具有最新的特征数据库就显得特别重要，否则安全网关就不能针对最新的威胁对服务器进行保护，在阿姆瑞特安全网关中，管理员可以启用或禁用自动更新。
一旦启用了自动更新，阿姆瑞特安全网关就可以自动以指定的时间间隔来下载最新的特征数据库的更新，如果服务器的特征数据库具有新的特征，那么更新就会被自动下载，并替换任何旧的版本，新的特征库无需重启设备即可生效，不影响用户的使用。
不同的动作选项
在模式匹配机制识别到了一个入侵的时候，在相应的规则中所指定的动作就会被采用，阿姆瑞特的IDP提供三种动作选项，以供用户灵活选择：
● Ignore –虽然入侵被检测到，但不做任何处理，并且允许连接继续被保持。
● Audit –允许连接被保持但对事件进行记录（需要有日志服务器）。
● Protect –丢弃连接并记录日志（需要有日志服务器），同时也可以把这个连接的源置入黑名单。
看得见的IDP特征库
阿姆瑞特安全网关的IDP特征清楚、明确，任何时候只要点击策略>入侵防御> IDP特征就可以看到设备中当前的特征数据库，用户因此就可以了解自己的设备到底具有什么样的特征库，能够应对哪些入侵，以及不同的特征代表了什么样的入侵。下图是阿姆瑞特部分IDP的截图：

HTTP 规范化
阿姆瑞特的每条IDP规则都具有一个选项叫作HTTP规范化，如果IDP模块在HTTP请求中发现了矛盾的URI，管理员就可以指定如何去处理，有些针对服务器的攻击就是基于创建特定的URI的。
阿姆瑞特IDP可以检测的URI有以下几种：
● 无效的UTF8
该选项将检查URI中任何无效的UTF8字符。
● 无效的十六进制编码
一个有效的十六进制序列由一个百分号（%）后面跟着两个十六进制值构成，表示一个字节的数据。而一个无效的十六进制序列可能是一个百分号与一些无效的十六进制值的组合。
● 双重编码
该选项用于在数据流中查找所有被其它十六进制换码顺序编码了的十六进制序列。这种情况的一个例子就是：原始序列%2526，而%25可能是已经被HTTP解码成了“%”，而这又会出现一个“%26”，而这又会被解码为“&”。