文(wén)章(zhāng)摘要(yào)： π   在✘π但(dàn)前的(de)網絡環境中，外(wài)部的(de)威脅可≥$(kě)以造成以下(xià)問(wèn)題：1、 面臨來(lái)‌"δ$自(zì)內(nèi)部網和(hé)…

在但(dàn)前的(de)網絡環境中，外✔¶(wài)部的(de)威脅可(kě)以造成以下(xià)問(wè↕&"∞n)題：

1、 面臨來(lái)自(zì)↑♠內(nèi)部網和(hé)Internet的(deε ‌ )黑(hēi)客攻擊，包括DOS/DDO±®★S攻擊的(de)威脅，來(lái)自(zì)Internet或者內(nèi↕ )部網的(de)DOS/DDOS攻擊會(huì)造成Ωε網絡、應用(yòng)和(hé)服務器(qì)系統癱瘓；
2、蠕蟲病毒通(tōng)過網絡、Email和(hé)網絡文(wén)件↑∑ (jiàn)共享等多(duō)種方式傳播，植入企業(yφ​è)內(nèi)部後為(wèi)黑(hēi)客攻擊留下(xià)後門(m£↔én)，同時(shí)造成網絡擁塞，甚至€‌∑中斷，如(rú)NetSky、Mydoo♦↓×>m等蠕蟲病毒；
3、蠕蟲利用(yòng)操作(zuò)系統、$σ 應用(yòng)、Web服務器(qì)和(hé)郵件(jiàn)系₩γ統的(de)弱點進行(xíng)傳播，植入計€ ♠★(jì)算(suàn)機(jī)系統後為(wèi‍→)黑(hēi)客攻擊留下(xià)後門( '¶mén)，同樣，在傳播過程中，産生(shēng)大(dà)量的(de)TCP→Ω、UDP或ICMP垃圾信息，造成網絡擁塞¶™∏φ，如(rú)Sql Slammer、Nimdα<<§a、“沖擊波”和(hé)Nachi蠕蟲病毒；
4、內(nèi)部網用(yòng)戶文(wén)件(jiàn)拷貝，Inter✘π&®net訪問(wèn)帶來(lái)：病毒、蠕蟲、間(jiān)諜≥σ程序、後門(mén)程序和(hé)特洛伊木(mù)馬的>•★≤(de)威脅；
5、來(lái)自(zì)內(nèi)部網網絡的(de)越權訪問(wèn)機<₽(jī)密信息，造成信息洩密。

對(duì)于上(shàng)述威脅，傳統防火(huǒ)牆、IDS和(h∏γ¥πé)防病毒都(dōu)無法有(yǒu)效地(¶ ÷dì)阻止，因為(wèi)：

1、防火(huǒ)牆：防火(huǒ)牆的(de)目标是(sh ¥ì)用(yòng)于網絡訪問(wèn)控制(zhì)，對(duì)于黑(hē&δ≈©i)客使用(yòng)Buffer Overflow等應用(yòng)∞↓或OS弱點的(de)攻擊，防火(huǒ)牆無能(∞®néng)為(wèi)力，另外(wài)，對(duì)于通(tōng)過₽∏郵件(jiàn)傳播的(de)蠕蟲病毒，防火 ​δσ(huǒ)牆也(yě)無法阻擋；而且，黑(hēi)客的(de)攻擊都(dōu)↔™是(shì)利用(yòng)防火(huǒ)牆允許通(t∏↓€πōng)過的(de)協議(yì)發起的(de)針對(duì)主機(jī)漏洞的<↔(de)攻擊；
2、防病毒系統：防病毒系統屬于被動防護，對(duì)企業(yè)必不‍ (bù)可(kě)少(shǎo)，但(dàn)由于它一(yī)般隻φ♣>能(néng)在發布病毒特征碼後才能(néng)檢測出已δ&§知(zhī)病毒，而對(duì)于新的(de)未知↑¶(zhī)蠕蟲病毒，防病毒軟件(jiàn)無法÷₽↓♣檢測出，因此，在發現(xiàn)新病毒到(dào)廠(chǎng)∏♠商發布病毒特征碼更新這(zhè)段時(shí)間(jiān)內(nè≤'i)将會(huì)對(duì)網絡系統造成損害，甚至系統網絡服務中斷；£α♠'
3、IDS：傳統的(de)IDS産品隻能(§'néng)探測黑(hēi)客的(de)攻擊，發出報(bào)警，♦®∏≈而不(bù)能(néng)實時(shí)£§Ω★阻止黑(hēi)客的(de)攻擊；同樣，對(duì)于≥€已知(zhī)和(hé)未知(zhī)的(de)蠕蟲病毒也♥✘ (yě)無法阻止他(tā)們進入企業(yè)網絡。

鑒于以上(shàng)原因，現(xiàn)代企業(yè)就(jiù)需要(y♦‌ào)有(yǒu)一(yī)個(gè)網絡入侵防護系統，以實現(xià ∑©n)：

1、探測出黑(hēi)客攻擊，并且實時(shí)阻斷黑(hēiπ♣♣)客的(de)攻擊；
2、能(néng)夠探測出已知(zhī)和(hé)未知(z★'hī)的(de)蠕蟲，實時(shí)阻止這(zhè)些(xiē)蠕蟲進 Ω$入公司企業(yè)內(nèi)部網絡；
3、探測由于蠕蟲病毒引起的(de)異常網絡流量∑×‍，阻止進入企業(yè)內(nèi)部；
4、阻止DOS/DDOS攻擊
5、能(néng)夠探測出已知(zhī)和(hé)未知(zhī)的β®‍β(de)蠕蟲，實時(shí)阻止這(zhè)些(xiē)蠕λ"♠蟲進入內(nèi)部網絡；
6、探測并阻止來(lái)自(zì)In∏₹★ternet或者內(nèi)部網網絡由于蠕蟲♥§•≥病毒引起的(de)異常網絡流量；
7、阻止對(duì)內(nèi)部網絡的(dγ₽←♦e)DOS/DDOS攻擊

    入侵防禦系統部署在接入防≥©¶火(huǒ)牆和(hé)Internet之間(j £×iān)，要(yào)求能(néng)工(gōng)作(zuò)€‌∏$在bypass監聽(tīng)模式和(hé)in-line防 ↓€禦模式，對(duì)各種應用(yòng)層攻擊和(héβ≥)網絡事(shì)件(jiàn)進行(xíng)監♦$♥聽(tīng)，并能(néng)有(yǒuλ₽‌☆)選擇地(dì)進行(xíng)阻斷，性能(néng)要(±§×yào)求能(néng)達到(dào)1Gbps (in-line IPS模≥≥ 式和(hé)IDS模式)，支持的(de)并發連接∞↓ σ數(shù)不(bù)少(shǎo)于50萬。