你要允许来自未知发布者的此应用对你的设备进行更改吗_网络应用安全解决方案...

攻击的形式

Exploits(漏洞)

术语“漏洞”指那些众所周知的 bug，黑客可以利用它们进入系统。

缓冲区溢出 / 超限

缓冲区溢出是 Internet 上最常见的攻击方法之一。缓冲区溢出 bug 的产生是由于未对输入进行双重检查的错误导致的，它允许大容量的输入(如包含几千个字符的登录姓名)“溢出”到存储器的其它区域，从而导致系统崩溃/非法进入系统。

DoS 攻击的方式：

· 崩溃：试图使运行在系统上的软件崩溃，或者使整个计算机崩溃。

· 中断连接：试图使两个系统之间的通信中断，或者使系统与整个网络的连接中断。

· 减慢速度：降低系统或其网络连接的速度

· 挂起：使系统进入无限循环。如果系统崩溃，它常常会重新启动，但如果“挂起”，则会一直保持这种状态直到管理员手动停止并重新启动它。

分布式 DoS (DDoS) 攻击的方式

DDoS是通过数量巨大的计算机来实施的攻击。黑客为了摧毁 Internet 站点而控制成百上千的计算机。这些计算机都是从单个的控制台来进行控制的。以前认为主要的 Internet 网站应当对这样的攻击具有免疫能力，因为它们的带宽比任何可能发动这种攻击的单个计算机都要大很多。然而，在 2000 年年初，黑客否定了这种理论，他们进入了 Internet 的许多网站，使用这些网站同时向主要的 Internet 站点发动冲击，因此有效地使这些站点当机。

后门

后门是计算机系统安全性的一个漏洞，它是设计者或者维护者故意留下来的。通过它不需要密码或许可就可以直接访问。在防止未授权访问这个问题的处理过程中，有可能在一些情况下错误地中断一次正常的会话。可以禁用这种功能，但为了防止通过后门非法闯入系统，最好还是取消它。

特洛伊木马

特洛伊木马是隐藏在应用程序内部的一段代码，它执行一些秘密的操作。NetBus 和 Back Oriface 是特洛伊木马的常见类型。这些程序都是远程用户执行的，它们允许未授权的用户或者黑客访问网络。一旦进入，他们就可以利用网络上的一切内容。

默认安装

攻击系统已知的默认值是最常见的黑客攻击方式之一。大多数软件都提供了默认配置以使设置更简单，但为了确保系统的安全性应当更改这些配置。

例如：

· 帐号 – 许多系统都提供一些默认的用户帐号和众所周知的密码，而管理员会忘记更改它们。

· 位置 – 文件的默认位置也会常常被利用，例如 numerous

· Netscape Navigator 和 Microsoft Internet Explorer bugs 都允许黑客从磁盘检索文件

· 样例 – 许多软件包都提供可以利用的“样例”，例如 ColdFusion web 服务上的程序样例。

探测器

使用探测器来扫描网络或主机以获得网络上的信息。然后它们使用相同的主机来攻击网络上的其它主机。有两种常见类型的探测器。

地址空间探测器 – 用来扫描网络以确定主机上运行的服务

端口空间探测器–用来扫描主机以确定主机上运行的服务

网络安全解决方案

建设检测引擎(分类器)

负责对网络流量(目前为 IP 流量)进行分类，并将其与设备上安装的安全策略进行匹配。然后由 (响应引擎)执行操作。

追溯功能

不是所有的攻击都是由具有特定模式或者信息的数据包来启动的。一些攻击是由一系列数据包产生的，这些共同存在的数据包才会导致攻击发生。因此，我们使用基于5个独立组件的历史机制，以不同的方式来识别每一个组件：

· 通过源 IP 识别

· 通过目标 IP 识别

· 通过源和目标 IP 识别

· 通过过滤器类型识别

· TCP 检查系统–始终跟踪每个 TCP 会话(源和目标 IP 以及源和目标端口)

响应引擎

根据策略产生的规则结果执行相应的操作

操作类型：

· 丢弃数据包 (Drop, Reject)

· 转发数据包 (Forward)

· 发送重置(丢弃数据包并向发送者发送 Reset(重置))

· 发送 RST/ACK 和 RST(如果检测到端口扫描，它会向目标发送 RST/ACK 数据包以及向源发送者发送 RST)以“愚弄”扫描器

报告模块

报告主要包含下列内容：

· 攻击开始信息(开始日期或时间、攻击名称、源地址、目标地址)

· 攻击结束信息(结束日期或时间、攻击名称、源地址、目标地址)

· 发生的攻击信息(攻击发生的日期或时间、攻击名称、源地址、目标地址)

管理模块

管理模块架构需要包含下列优点：

• 基于交换架构，而不是运行在一般H/W 上的S/W。
• 不要求在任何服务器上安装任何网络代理– 这样易于管理和配置。
• 可以与任何服务器H/W 和操作系统共同工作。
• 因为没有代理，所以不会占用服务器的资源。
• 不要求代理报告的日常流量，因此提高了整体的网络性能。
• 高性能的应用安全模块。
• 使用SNMP 进行安全的通信– 通常SNMP 是不安全的，但这种新的架构应用了更复杂的安全版本的SNMP。
• 端口多路传输: 服务器通常都使用相同的端口来发送数据，因此易于受到攻击。输入端口被映射到另一个可配置的输出端口，每次使用不同的端口来掩饰此端口的能力可以防止服务器受到攻击。

核心功能

处理Web 环境中的以下攻击

• 拒绝服务(DOS) 攻击
• 分布式拒绝服务(DDOS)攻击l
• 缓冲区溢出/超限
• 利用已知的Bugs
• 利用误配置和默认的安装问题来进行攻击
• 在攻击前探测流量
• 未授权的网络流量
• 后门/特洛伊木马
• 端口扫描(Connect & Stealth)

反扫描功能

应用安全模块能够检测并防止

Web 应用程序扫描- 可以实时检测并防止专门的TCP 连接TCP Syn 、TCP FIN 和TCP reverse IDENT 扫描方法。- 9 -

双向检查

流量受到双向的监视。搜索从外界流入的或者从内部向外发出的数据包中的攻击信息，它在防止流入通道上出现新的漏洞方面非常有用，并且对输出通道进行检测和保护。一些攻击来自网络内部，因此这种功能也被用来防止来自网络内部的攻击。