UTM/IDS/IPS

通过充分的科学验证和严格的产品选型，马钢集团最终选择了LanGate UTM设备实现外防内控以及VPN连接。通过部署LanGate UTM产品实现了：一、网络接入的安全，对网络服务器等重要资产、信息和内部PC机提供保护，防范入侵。二、内部各部门网络的隔离和上网行为控制，杜绝网络滥用行为的发生，对QQ、MSN及P2P工具的使用进行限制，同时对上网记录进行审计。三、通过LanGate UTM中的VPN功能实现了子公司、分支机构与总部网络的安全通信，保证业务系统通过互联网传输时不被窃取；大幅提高各部门的工作效率，降低总公司及各地分支的运营成本，得到了客户单位的高度认可。

加速卡是一组针对底层安全协议处理(SPP)、信息扫描分析(ISA)、密钥处理(KSP)等方面的多核运算处理器(Multi-Core Processor)。加速卡的任务是分担主处理器的底层运算，对主要硬件安全项目进行分析、扫描、归类，对底层协议及特征信息进行处理等工作，使主处理器更专注于业务逻辑运算。加速卡对网关扫描、网关杀毒、邮件扫描、内容过滤、流量保证、协议分析等方面能带来显著的性能提供及稳定性。

UTM让安全管理简单化成为了可能，而天清汉马USG让安全管理的简单化成为了现实。通过实现简单管理的“六化”，天清汉马USG解决了管理使用困难给用户带来的困扰，把用户带入怡然自得、安全无忧的“简单”境界。

Joe Wang总结如下：“可扩展式安全意味着为客户提供空前的安全以抵御下一轮未知威胁的攻击，给顾客以不需妥协的网络管理和用户控制。结合这些优点， WatchGuard的独特性给世界各地的企业带来了平和，因为他们知道他们的网络、员工的操作和数据都在WatchGuard的XTM的高度保护之下”。

Joe Wang总结如下：“可扩展式安全意味着为客户提供空前的安全以抵御下一轮未知威胁的攻击，给顾客以不需妥协的网络管理和用户控制。结合这些优点，WatchGuard的独特性给世界各地的企业带来了平和，因为他们知道他们的网络、员工的操作和数据都在WatchGuard的XTM的高度保护之下”。

LanGate UTM在网络边界处提供实时保护，同时对内网进行有效管理。LanGate UTM部署在网络入口处，对外能够检测有害的病毒、蠕虫及其他基于内容的安全威胁，具有防火墙、网关防病毒、入侵检测、垃圾邮件过滤等功能；对内能够控制网络行为，具有内网防火墙、应用层过滤、流量监控、带宽管理等功能；同时具有稳定可靠的IPSec VPN、线路负载均衡，设备负载均衡等功能。LanGate UTM具有高性价比、方便的和强有力的解决方案来检测、阻止攻击，防止不正常使用和改善关键网络应用的服务。能够在不降低网络运行性能的前提下优化网络通讯资源。

LanGate UTM在专用高效安全硬件平台上集成了Firewall（防火墙）、VPN（虚拟专用网络）、Content Filtering（内容过滤，又称上网行为监管）、IDP（Intrusion Detection and Prevention，即入侵检测防御系统）、QoS（Quality of Services，即流量管理）、Anti-Virus （防病毒网关）、Anti-Spam（反垃圾邮件）等技术。

有了面对的威胁对象和处理方式之后，就要看UTM能达成的目标了，也就是价值。UTM设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速、或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，“精确识别和控制”是最为关键的。

LanGate UTM 和GreenBow 的IPsec VPN成功连接技术可以把处于不同地理位置的局域网通过互联网链路完美的结合在一起，形成一个专用的、安全性高的广域网络。采用了这种VPN连接的方式可以节省远程线路的租用费、网络设备维护费，而且连接快速、简便并简化 WAN 连接管理等优势。更有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，这将成为企业网络间安全连接的必然选择。

知道了如何使用基于报头的特征数据，接下来要确定的是检查何种信息包。确定的标准依然是根据实际需求而定。因为ICMP和UDP信息包是无状态的，所以大多数情况下，需要对它们的每一个“属下”都进行检查。而TCP信息包是有连接状态的，因此有时候可以只检查连接中的第一个信息包。例如，象IP地址和端口这样的特征将在连接的所有数据包中保持不变，只对它们检查一次就可放心。其他特征如TCP标志会在对话过程的不同数据包中有所不同，如果要查找特殊的标志组合值，就需要对每一个数据包进行检查。检查的数量越多，消耗的资源和时间也就越多。

除IPS之外，另一种专门用来保护Web服务器和DMZ应用的技术是Web应用防火墙，这类产品主要是阻止Web应用盗用，尤其是防止被防火墙和IPS遗漏的Web应用盗用攻击。此外，基于主机的入侵防御软件还可以为Web应用以及内部关键服务器提供额外保护。Check Point和NetScreen在防火墙产品中增加了深层检测功能，与依靠硬件实现深层检测功能的IPS和Web应用防火墙所不同的是，Check Point和NetScreen应用防火墙是基于软件来实现的。

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧，而有写技术却无需太多的技巧。 而fragroute之类的工具出现，大大降低了攻击者采用某些技术的难度，使防御的一方总是处于被动。

在绝大数TCP实现中，RESET包必须与CP指针相符合，否则RESET包将会被抛弃。好了，一切彻底明朗了，只要我们能够构造一串连续的数据包，修改当前的CP。比如在上面我们的例子中，我们在第三个包之后构造第四个包，比如包含一个空格或者别的什么，只要不影响攻击的效果。我们以非常快的速度连续发出这两个包，则当IDS抓到第三个包的时候，它会产生RESET包，不过此时第四个包已经到达了目标主机，

LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工具(lidsadm)，它加强了Linus内核。 它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。

设计日志时还有一大问题便是连续不断的相同攻击会产生大量相同的日志，HereLine对此采取的办法也与UNIX的syslogd相同：设立一专门的计数器count，每当有新的事件出现的时候先比较是否与上一事件重名，若不重名则马上记录（保证报警的迅速），否则对计数器加一，直到有不重名的事件发生才真正写日志

本文我们讨论了一些常用的IDS躲避技术及其对策。其中有些技术需要攻击者具有熟练的攻击技巧，而有写技术却无需太多的技巧。而fragroute之类的工具出现，大大降低了攻击者采用某些技术的难度，使防御的一方总是处于被动。

IDS必须清楚的了解所有操作系统网络协议的运作情况，甚至细节，才能准确的进行分析，否则[1]中提到的insertion,evasion的问题便无法解决。而不同操作系统之间，甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背IDS高效工作的原则。

在实际操作过程中，数据收集和数据分析通常被划分成两个步骤，在不同的时间甚至是不同的地点进行。但这一分离存在着缺点，在实际使用过程中，数据收集与数据分析功能之间应尽量缩短距离。

对于IDS的设计者和实现者来说，研究所使用的数据源、权衡使用这些数据源的利弊以及是否可能有更好的方法，都是至关重要的。只有当决策数据可靠时，IDS的可靠性才能得到保证。所以如何为入侵检测系统提供尽可能好的数据源是所有IDS开发商和研究者应认真考虑的问题。

有些网络设备会处理TOS选项，如果NIDS与受保护主机各自连接的网络设备处理不一样的话，通过精心设置TOS选项，将会导致NDIS的Sensor与受保护主机收到的数据包的顺序不一样，于是有可能导致NIDS重组后的数据包与被保护主机的数据包不一致，从而绕过NIDS的监测(尤其在UDP包中)。