H3C主动式入侵防御系统解决方案(12)

H3C主动式入侵防御系统解决方案

用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞，对公司业务系统的危害极大。

为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。

IDS的不作为：

由于已经部署的防火墙从能力和性能上都不具备对大量流量进行综合、深入分析的能力，自2000年开始，许多用户在网络中部署了入侵检测系统。

IDS确实为防止入侵和控制非法流量具有开创意义，然而，在实际的应用中，用户发现其存在严重不足：

IDS是一个被动的监听者，而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用，当IDS报警的时候，攻击已经发生而损失已不可避免，如下图所示：

为了弥补IDS的先天不足，一种称之为IDS和防火墙联动的方案出现了，但在实际应用中，从IDS发现问题到通过开放接口向防火墙发送策略更新信息，再到最终防火墙激活新的策略所耗费的时间仍无法满足用户对高安全性的要求，特别是在攻击流量激增的情况下，这种方案几乎无法奏效，所以其可行性存在很大问题。

杭州华三通信技术有限公司

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新外语学习H3C主动式入侵防御系统解决方案(12)全文阅读和word下载服务。