【正文】 eb 服務(wù)器 Novell web 服務(wù)器 Apache web 服務(wù)器 Microsoft IIS 任何服務(wù)器它還使用戶能夠使用默認(rèn)的配置安裝他們需要的任何 Web 服務(wù)器，并且不需要關(guān)心 web 服務(wù)器的安全性問題以及運(yùn)行在這些服務(wù)器上的應(yīng)用程序的安全性。 ShivkaBurka ShockRave TrojanCow The Spy Remote Windows Shutdown netraider Devil Coma Danny hackatak Whackamole Ratbackdoor Masters Paradise UltorsTrojan Gjamer Eclipse 2000 Kuang2 NetBus2Pro Bla The Unexplained Kuang NetSpyDK DeepBackOrifice Mstream后門 / 特洛伊木馬樣例：（部分列表） Shaft Trinoo RaScan Nmap Machineinfo.網(wǎng)絡(luò) / 應(yīng)用掃描樣例：（部分列表） wrap FrontPage WebSite / WebSite Pro Microsoft IIS cfide/Administrator/ Allaire Coldfusion Pinger Quesso Fingerprint SATAN Scanner ISS Internet Scanner這些只是 Radware 新的 SynApps 架構(gòu)所支持的保護(hù)措施的一部分：探測 / Ping 流量樣例：（部分列表）但它在其它大多數(shù)系統(tǒng)上能夠工作正常。但是一些系統(tǒng)（特別是 Microsoft 機(jī)器）在這方面卻不一樣。另一方面，開放的端口常常會(huì)忽視有問題的數(shù)據(jù)包。而另一方面，F(xiàn)IN 數(shù)據(jù)包能夠順利通過檢測。 TCP FIN 掃描有時(shí)甚至是 SYN 掃描也不是完全保密的。此掃描技術(shù)的一個(gè)主要優(yōu)點(diǎn)是只有很少的站點(diǎn)將記錄它。RST 表示是一個(gè)非接收者。先發(fā)送一個(gè) SYN 數(shù)據(jù)包，好象您要打開一個(gè)真正的連接并等待響應(yīng)。使用無阻塞的 I/O 使您可以設(shè)置短的超時(shí)時(shí)間，并立即看到所有的套接字。它的另一個(gè)優(yōu)點(diǎn)是速度。此技術(shù)的一個(gè)重要的優(yōu)點(diǎn)是您不需要任何特權(quán)。使用操作系統(tǒng)提供的連接() 系統(tǒng)呼叫來打開與計(jì)算機(jī)上每個(gè)感興趣端口的連接。大多數(shù)工具只知道如何檢測掃描，只有非常少的工具知道如何檢測智能掃描。2. 通過查看目標(biāo)計(jì)算機(jī)的 TCP 堆棧響應(yīng)，攻擊者能夠知道目標(biāo)計(jì)算機(jī)正在運(yùn)行的 OS 類型。目前利用 TCP 堆棧攻擊者中的一些問題可以獲得目標(biāo)的大量信息。另外，它不受網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜性的影響，無論網(wǎng)絡(luò)有2 個(gè)分段還是有20 個(gè)分段，只需要使用單個(gè)設(shè)備來保護(hù)這些資源。一些攻擊來自網(wǎng)絡(luò)內(nèi)部，因此這種功能也被用來防止來自網(wǎng)絡(luò)內(nèi)部的攻擊。 9 雙向檢查– 流量受到雙向的監(jiān)視。反掃描功能– 應(yīng)用安全模塊能夠檢測并防止 網(wǎng)絡(luò)掃描– 例如Stealth Scanning 或者Connect Scanning。在這種情況下，每個(gè)通過設(shè)備的數(shù)據(jù)包將始終與該攻擊過濾器匹配，而不考慮攻擊終止閾值的設(shè)置。攻擊終止也報(bào)告給管理工作站。老化周期使用戶可以設(shè)置若干采樣時(shí)間周期。l 將數(shù)據(jù)包轉(zhuǎn)發(fā)到網(wǎng)絡(luò)時(shí)，限制與當(dāng)前活動(dòng)的攻擊匹配的流量帶寬 (kbps)。達(dá)到激活閾值時(shí)，攻擊狀態(tài)將更改為“當(dāng)前活動(dòng)的”，并根據(jù)此攻擊對所有通過此設(shè)備的數(shù)據(jù)包進(jìn)行檢查。用戶可以為每個(gè)攻擊配置警告閾值和激活閾值。每一段采樣時(shí)間結(jié)束時(shí)，將計(jì)數(shù)器的值除以采樣時(shí)間的秒數(shù)，然后用此值與配置的攻擊閾值比較。用戶還可以配置采樣周期持續(xù)時(shí)間，以不同的閾值進(jìn)行檢查（采樣時(shí)間）。DoS Shield 流量流程按每個(gè)休眠攻擊對流量采樣進(jìn)行檢查，以檢測可能存在的攻擊。 Stealth)DoS Shield模塊是Radware公司最新開發(fā)出來的專門用來防止大流量網(wǎng)絡(luò)環(huán)境中的DoS攻擊，是業(yè)界唯一的可以做到千兆級(jí)別的DoS攻擊防護(hù)。內(nèi)置的數(shù)據(jù)包過濾引擎: 可以根據(jù)優(yōu)先權(quán)、IP 地址、內(nèi)容和其它用戶指定的參數(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包。端口多路傳輸: 服務(wù)器通常都使用相同的端口來發(fā)送數(shù)據(jù)，因此易于受到攻擊。高性能的應(yīng)用安全模塊。因?yàn)闆]有代理，所以不會(huì)占用服務(wù)器的資源。不要求在任何服務(wù)器上安裝任何網(wǎng)絡(luò)代理– 這樣易于管理和配置。 發(fā)生的攻擊信息（攻擊發(fā)生的日期或時(shí)間、攻擊名稱、源地址、目標(biāo)地址）l 管理模塊通過 Configware 實(shí)用程序或者 (CLI) 命令行界面來管理 SynApps 架構(gòu)。 攻擊開始信息（開始日期或時(shí)間、攻擊名稱、源地址、目標(biāo)地址） Syslog 操作（日志機(jī)制 – 通過 SNMP）l 報(bào)告模塊通過 SNMP traps、syslog 消息和設(shè)備的統(tǒng)計(jì)表生成報(bào)告和警報(bào)。 發(fā)送 RST/ACK 和 RST（如果檢測到端口掃描，它會(huì)向目標(biāo)發(fā)送 RST/ACK 數(shù)據(jù)包以及向源發(fā)送者發(fā)送 RST）以“愚弄”掃描器 轉(zhuǎn)發(fā)數(shù)據(jù)包 (Forward) TCP 檢查系統(tǒng) – 始終跟蹤每個(gè) TCP 會(huì)話（源和目標(biāo) IP 以及源和目標(biāo)端口）并被用來識(shí)別 TCP 端口掃描l 響應(yīng)引擎 根據(jù)策略產(chǎn)生的規(guī)則結(jié)果執(zhí)行相應(yīng)的操作 操作類型： 通過源和目標(biāo) IP 識(shí)別 通過源 IP 識(shí)別一些攻擊是由一系列數(shù)據(jù)包產(chǎn)生的，這些共同存在的數(shù)據(jù)包才會(huì)導(dǎo)致攻擊發(fā)生。然后由 Response Engine（響應(yīng)引擎）執(zhí)行操作。通過終止所跟蹤的可疑會(huì)話來實(shí)時(shí)檢測和阻止攻擊。此模塊的設(shè)計(jì)使它可以作為服務(wù)器、防火墻、cache 服務(wù)器，或者路由器前面的另一道防線。地址空間探測器 – 用來掃描網(wǎng)絡(luò)以確定主機(jī)上運(yùn)行的服務(wù)端口空間探測器 – 用來掃描主機(jī)以確定主機(jī)上運(yùn)行的服務(wù) Radware SynApps的安全解決方案在應(yīng)用安全方面，Radware的所有應(yīng)用交換機(jī)均采用SynApps 體系架構(gòu)來實(shí)現(xiàn)對網(wǎng)絡(luò)元素的保護(hù)。然后它們使用相同的主機(jī)來攻擊網(wǎng)絡(luò)上的其它主機(jī)。 樣例 – 許多軟件包都提供可以利用的“樣例”，例如 ColdFusion web 服務(wù)上的程序樣例。 位置 – 文件的默認(rèn)位置也會(huì)常常被利用，例如 numerous 帳號(hào) – 許多系統(tǒng)都提供一些默認(rèn)的用戶帳號(hào)和眾所周知的密碼，而管理員會(huì)忘記更改它們。大多數(shù)軟件都提供了默認(rèn)配置以使設(shè)置更簡單，但為了確保系統(tǒng)的安全性應(yīng)當(dāng)更改這些配置。一旦進(jìn)入，他們就可以利用網(wǎng)絡(luò)上的一切內(nèi)容。NetBus 和 Back Oriface 是特洛伊木馬的常見類型?？梢越眠@種功能，但為了防止通過后門非法闖入系統(tǒng)，最好還是取消它。通過它不需要密碼或許可就可以直接訪問。然而，在 2000 年年初，黑客否定了這種理論，他們進(jìn)入了 Internet 的許多網(wǎng)站，使用這些網(wǎng)站同時(shí)向主要的 Internet 站點(diǎn)發(fā)動(dòng)沖擊，因此有效地使這些站點(diǎn)當(dāng)機(jī)。這些計(jì)算機(jī)都是從單個(gè)的控制臺(tái)來進(jìn)行控制的。分布式 DoS (DDoS) 攻擊的方式DDoS是通過數(shù)量巨大的計(jì)算機(jī)來實(shí)施的攻擊。 掛起：使系統(tǒng)進(jìn)入無限循環(huán)。 DoS 攻擊的方式：緩沖區(qū)溢出 / 超限緩沖區(qū)溢出是 Internet 上最常見的攻擊方法之一。另外，基于地址、協(xié)議和應(yīng)用的 DefensePro 訪問控制，將保證網(wǎng)絡(luò)的訪問安全。五、應(yīng)用安全性DefensePro 具有過濾功能和對諸如 SYN flood 等 DoS 攻擊的防護(hù)能力。四、簡單的網(wǎng)絡(luò)安裝DefensePro 可以非常容易地集成到任何網(wǎng)絡(luò)中，而不需對現(xiàn)有網(wǎng)絡(luò)做任何改動(dòng)，從而避免了工作量和花費(fèi)。其直觀的布局和易于使用的菜單與向?qū)?，使用戶可以按部就班地進(jìn)行系統(tǒng)配置，并對配置內(nèi)容進(jìn)行備份。三、簡單的管理DefensePro 可以通過 CLI、Telnet、Web 應(yīng)用、HPOV 插件以及 Radware 的 ConfigWare Insite（一個(gè)獨(dú)立的全 GUI Java 實(shí)用工具）來進(jìn)行管理。Radware 看到了這種需求。保證關(guān)鍵任務(wù)應(yīng)用的服務(wù)質(zhì)量 流量控制策略還可以保證關(guān)鍵任務(wù)應(yīng)用獲得較高的服務(wù)質(zhì)量，同時(shí)限制非業(yè)務(wù)應(yīng)用（如P2P 應(yīng)用）所占用的帶寬。完全的設(shè)備安全性 其透明性還意味著優(yōu)異的安全性，因?yàn)橛脩魺o法了解網(wǎng)絡(luò)中是否有該設(shè)備。其它的獨(dú)特優(yōu)點(diǎn)還包括：高端口密度 允許通過單個(gè)設(shè)備保護(hù)多個(gè)網(wǎng)絡(luò)段，從而實(shí)現(xiàn)即時(shí)的投資回報(bào)。DefensePro 的底層支持技術(shù)是4層安全交換架構(gòu)，其交換ASIC 使用了44 GB 的線速背板、2個(gè)網(wǎng)絡(luò)處理器、RISC 處理器和專用的基于ASIC 的硬件加速卡（StringMatch Engine )，可將檢查速度提高1000倍。但從下表可以看到，DefensePro 是業(yè)內(nèi)唯一兼具了3Gbps 的安全性能和應(yīng)用安全智能的產(chǎn)品，它可以保護(hù)從網(wǎng)絡(luò)層直到應(yīng)用層的所有網(wǎng)絡(luò)化應(yīng)用。優(yōu)點(diǎn)：l 實(shí)時(shí)的入侵防范功能可杜絕蠕蟲、病毒和特洛伊木馬的攻擊l 實(shí)時(shí)防范拒絕服務(wù)攻擊和SY N攻擊l 保護(hù)所有局域網(wǎng)網(wǎng)段和流量的安全l 可將攻擊帶來的危害隔離起來l 可實(shí)現(xiàn)同任何網(wǎng)絡(luò)環(huán)境的無縫集成獨(dú)具優(yōu)勢從防火墻、VPN 網(wǎng)關(guān)、IDS 到防病毒網(wǎng)關(guān)，安全市場集結(jié)了各式各樣的安全工具。每個(gè)網(wǎng)絡(luò)段使用2個(gè)端口。該配置利用了DefensePro 的高端口密度和3千兆位的交換速度。DefensePro 的透明特性就好比是一種智能化的繩索，通過它，DefensePro 可以實(shí)現(xiàn)同任何網(wǎng)絡(luò)環(huán)境的無縫集成。在網(wǎng)絡(luò)的網(wǎng)關(guān)位置防范Do S攻擊，不僅保護(hù)了公司資源和基礎(chǔ)體系，而且還保護(hù)了公司的安全工具不會(huì)超負(fù)荷運(yùn)行，從而即使是在DoS 攻擊之下也能保證它們的連續(xù)運(yùn)行。典型配置企業(yè)配置此處介紹了最為常見的DefensePro 安裝形式。它不僅可識(shí)別所有的活動(dòng)攻擊并且控制StringMatch Engine和網(wǎng)絡(luò)處理器中隔離、攔截和阻止攻擊的活動(dòng)操作，而且還可以管理所有的安全更新和網(wǎng)絡(luò)要求。CPU1 GH Z的安全會(huì)話管理DefensePro 的RISC 處理器使用的是Motorola PPC 7457。同業(yè)內(nèi)其它安全設(shè)備通常使用的800Mhz Pentium III CPU 或Pentium 4 CP U相比，Radware StringMatch Engine 的內(nèi)容檢查速度顯得鶴立雞群。StringMatch Engine 由ASIC（最多8個(gè)，可支持256,000個(gè)并行的字符串搜索操作）和高端的Power PC RISC 處理器（負(fù)責(zé)安排和運(yùn)行并行搜索算法）構(gòu)成。除了清除所有可疑流量外，網(wǎng)絡(luò)處理器還支持端到端的流量控制和帶寬分配管理，以確保所有安全流量有穩(wěn)定的服務(wù)水平，并且保證關(guān)鍵任務(wù)應(yīng)用的連續(xù)性和服務(wù)質(zhì)量（即使在受到攻擊的情況下）。StringMatch的模式比較結(jié)果確定了數(shù)據(jù)包是合法流量還是惡意攻擊。對第4層攻擊的檢測和防范是由網(wǎng)絡(luò)處理器完成的，這有助于提升防范這些攻擊類型時(shí)的性能。最先進(jìn)的網(wǎng)絡(luò)處理器兩個(gè)網(wǎng)絡(luò)處理器將并行工作，它們可以用數(shù)千兆位的速度同時(shí)處理多個(gè)數(shù)據(jù)包（實(shí)現(xiàn)了更快的第4至第7層安全交換速度）并且執(zhí)行所有同數(shù)據(jù)包處理有關(guān)的任務(wù)，包括流量轉(zhuǎn)發(fā)和攔截、流量控制以及延遲綁定（以防范SYN flood攻擊）。其中，每個(gè)網(wǎng)絡(luò)段將使用兩個(gè)端口進(jìn)行連接（一個(gè)入站端口和一個(gè)出站端口）。 業(yè)內(nèi)最高的端口密度DefensePro無阻塞的44千兆位交換背板基于多層的分布式交換架構(gòu)，使用了可確保1個(gè)10GbE端口、7個(gè)1千兆位端口以及16個(gè)高速以太網(wǎng)端口實(shí)現(xiàn)線速交換的交換ASIC 。該安全更新服務(wù)包括以下的主要服務(wù)要素：? 安全運(yùn)行中心(SOC) 24/7地檢視：不間斷地監(jiān)測、檢測威脅，對威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估以及創(chuàng)建過濾器來抑制威脅? 緊急過濾器：通過緊急過濾器，可針對高危的安全性事件作出快速反應(yīng)? 定制過濾器：針對特定環(huán)境下的威脅以及新出現(xiàn)的攻擊報(bào)告給SOC的攻擊定制過濾器架構(gòu)DefensePro 的4層架構(gòu)是為滿足企業(yè)、電子商務(wù)公司以及通訊商在網(wǎng)絡(luò)和應(yīng)用保護(hù)方面最緊迫的需求而設(shè)計(jì)的。這些用戶可以配置Configware Insite ，讓它定期輪詢Radware 的網(wǎng)站，以檢查是否有新的安全更新。所有的DefensePro 用戶都可以通過期限為一年或多年的預(yù)訂來獲得Radware 安全更新服務(wù)。對機(jī)構(gòu)而言，這樣就保證了ERP和CRM 等關(guān)鍵任務(wù)應(yīng)用的性能和不間斷運(yùn)行。流量控制借助DefensePro 的帶寬管理功能，可以動(dòng)態(tài)性地對流量進(jìn)行控制，以保證所有關(guān)鍵任務(wù)應(yīng)用的持續(xù)運(yùn)行和性能（即使在攻擊之下）。Configware Insite 可以在Windows、Linux 和Unix操作系統(tǒng)上運(yùn)行。可以使用設(shè)備日志文件和報(bào)警表格在內(nèi)部記錄安全事件信息，或者通過系統(tǒng)日志渠道、SNMP 陷阱或電子郵件將安全事件信息發(fā)送到外部。報(bào)告功能當(dāng)DefensePro檢測到攻擊時(shí)，它會(huì)將該安全事件報(bào)告。DefensePro 的強(qiáng)大架構(gòu)允許它處理大規(guī)模的SYN flood攻擊。完成這種三向握手后，DefensePro 僅處理含有在此前插入的ID號(hào)的請求。除了上述基于攻擊特征的防范方法外，DefensePro 還針對各種類型的SYN flood攻擊提供了強(qiáng)大的防護(hù)能力（無論該攻擊是使用何種工具發(fā)動(dòng)的）。如果沒有匹配的特征，則會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)。一旦達(dá)到了某個(gè)潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就會(huì)變?yōu)镃urrently Active （當(dāng)前活動(dòng)），這樣就會(huì)使用該潛在攻擊的特征文件來比較各個(gè)數(shù)據(jù)包。DefensePro 的DoS Shield模塊借助高級(jí)的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測來識(shí)別異常流量，提供了實(shí)時(shí)的、數(shù)千兆位速度的DoS 防范。DoS Shield 徹底防范拒絕服務(wù)攻擊