1. 概述
传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对******起到部分防御作用。但是***仍然可以从合法的IP地址通过防火墙开放的端口对内网发起***,目前很多***和应用可以通过任意IP、端口进行,各种高级、复杂的***单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(***防御系统)来配合防火墙实现对复杂***的防御。IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络***行为。
特征匹配方法类似于病毒检测方法,通过***数据包中的特征(字符串等)来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进行防御。(因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进行,这是无法想象的。)而使用IPS的特征匹配方法,通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响。