【WAF】【配置管理】IDP防护原理与规则

郭伟发表于:2020年09月07日 15:08:34更新于:2020年09月09日 10:58:15

IDP检查和阻止入侵的原理在于IDP拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IDP就会创建一个新的过滤器。IDP数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IDP能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IDP可以做到逐一字节地检查数据包。所有流经IDP的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
  针对不同的攻击行为,IDP设置了不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。