第8章 IPS¶
NG-UTM 具備的 IPS ( Intrusion Prevention System) 入侵防禦功能可以立刻檢查網路封包是否含有攻擊/入侵的特徵值,
並立刻阻止有害的網路封包攻擊內部或是從內部攻擊外部。
• 為何需要 IPS ?
攻擊手法例如:SQL Slammer 是採用「緩衝溢位」(buffer overflow) 的攻擊,
因為防火牆開了 SQL 通訊埠,所以外界的人可以進到內部的 SQL Server,
攻擊者再利用緩衝溢位攻擊的程式碼,就可以攻擊內部的 SQL 伺服器,竊取他想要的資料。
而狀態檢測(Stateful Inspection)防火牆可以檢視對應 OSI 模型第 2 到第 4 層通訊協定的內容,
最常檢視及控管的項目為:Source IP Address(來源 IP 位址)、Destination IP Address(目的 IP 位址)、
Source Port Number(來源埠號)、Destination Port Number(目的埠號)、以及 Flag Fields(旗標欄位)。
• IPS 的運作
IPS 會檢查對應到 OSI 模型第 4 到 7 層的內容,是否有惡意的攻擊程式、病毒隱藏在 TCP/IP 的通信協定中,
透過詳細的內容檢查後,符合條件的特徵碼就會被標示出來,一旦發現後能夠即時地阻止封包,讓這些穿過防火牆的惡意封包無所遁形。
IPS 跟 Firewall 的差別就是 IPS 會做內容或行為檢查,IPS 的優劣就在於特徵值資料庫的多寡及更新速度,
也就是說 IPS 的資料庫有越多的特徵值,意味它能辨識越多不正常的內容或網路行為,
但是越多的檢查就需要越強的運算能力,否則反而會導致網路速度緩慢。
一般而言,IPS 的特徵值資料庫會依照危險程度分成高、中、低三種,再讓管理者決定放行或阻擋,
考量客戶端的實際網路環境及機器的運算能力,
在中小型網路架構的 IPS 設備只需要有完整的危險程度高、中(病毒、木馬程式等)的特徵值資料庫就足夠了。
要讓 IPS 正常運作,步驟如下:
1. 在【IPS 設定】中,建立一個群組,在群組中指定要阻擋還是記錄有問題的特徵值。
2. 在【管制條例】中選擇來源 /目的 IP 位址後再套用預先建立的群組。
IPS 的特徵值眾多,管理者套用不同的特徵值時,有可能誤將正常的網路封包阻擋,本來為了安全才使用 IPS 反而造成網路不順暢。
為了避免這樣的狀況,NG-UTM 將所有的 IPS 事件分成高、中、低 3 種風險事件,把管制行為分成阻擋跟記錄,
管理者可以先啟用記錄功能,然後再根據實際的需要設定阻擋機制。
Tip
影片參考|眾至NU系列 UTM教學 IPS說明與設定
8-1、IPS 設定¶
8-2、IPS 記錄¶
每個 IPS 的阻擋事件都會被記錄下來,讓管理者可以查詢,今日 IPS 防護紀錄 會列出從凌晨 00:00 到進入此介面當下的紀錄,管理者另可在 IPS 紀錄搜尋 依條件查詢 IPS 防護紀錄。每一筆紀錄包含事件發生的時間、IPS 種類、特徵值名稱、來源 / 目的 IP 位址、協定、來源 / 目的 Port、NG-UTM 執行的動作跟分類的風險程度。![]()
圖 250. 圖8-3 IPS 阻擋及記錄¶