NetScreen-IDP 3.0

防護網路層與應用層

ESP模組會收集網路層和應用層的各種情報，例如應用程式和伺服器的名稱與位址、網路刺探來源和被攻擊的主機，並建立這些情報的關聯，快速地找出攻擊源頭。舉例來說，當主機的會話（sessions）數量爆增，很可能是遭到蠕蟲感染，ESP會辦識出這種異常狀況，並依照管理員的設定，限制主機能新建的會話數，以達到圍堵蠕蟲的效果。當新的應用程式或伺服器加入網路時，ESP會提醒管理員注意可能的漏洞。

以往，NetScreen的報表是技術人員導向，比較難符合企業高層所需，因此3.0版增加客製化報表功能，企業可自行客製化所需的報表內容，包括即時報表、日/周/月報表及快速報表等格式，透過過濾日誌欄位功能，可輕鬆製作出所需的報表內容。3.0並新增攻擊日誌壓縮功能，對於相同的攻擊事件，系統只會顯示一個事件，降低管理人員檢閱的負擔。

在3.0版中，NetScreen也與TruSecure合作，將TruSecure Intellishield Alert Manager整合進來。當TruSecure發現應用程式的漏點或蠕蟲時，會通報給NetScreen，再由NetScreen撰寫攻擊特徵，提供給企業下載攻擊特徵、弱點資訊及修補程式等資訊，讓IDP具備弱點稽核功能。9種攻擊偵測技術

NetScreen目前共有4款IDP產品，分別為NetScreen-IDP 10、NetScreen-IDP 100、NetScreen-IDP 500及NetScreen-IDP 1000等機型，其中1000具有全線速Gigabit處理能力，企業可視網路需求選購。

為了增加攻擊防護的廣度，NetScreen-IDP支援8種偵測技術，包括動態特徵偵測（Stateful Signature Detection）、通訊協定異常偵測（Protocol Anomaly Detection）、後門偵測、流量異常偵測、IP欺騙（IP Spoofing）、DoS偵測、第二層偵測及網路誘捕（Network Honeypot）等。

NetScreen亞太區技術總監賴永誠表示，動態特徵偵測會追蹤所有的資料流，但只會檢查可能潛藏攻擊的資料流，減少不相關的比對工作。3.0更增加第9種偵測技術-複合式攻擊特徵（Compound Attack Signatures），可依照企業需求制定合適的安全政策，協助企業防護複雜的攻擊和蠕蟲。舉例來說，當某人使用「admin」或「root」帳號登入FTP伺服器失敗時，很可能是駭客在破解密碼，其他產品可能要寫多筆攻擊特徵，但使用複合式攻擊特徵則只要寫「ftp-username=(admin|root) and FTP:LOGIN:FAILED」即可。

隨著版本更新，NetScreen-IDP的語法（Contexts）、攻擊特徵和支援通訊協定的數量也持續增加，語法從原先的200種，增加到500餘種，並內建2000多筆攻擊特徵，支援60種通訊協定。另外，系統內建特徵編輯器，管理者可以客製化攻擊特徵，將企業的需求整合進安全策略中，配合集中化管理，一次設定即可同步化所有偵測器。

在安裝模式上，除了原先的Bridge、Router、Proxy-ARP及Sniffer模式，3.0新增Transparent 模式。

在升級方面，2.x版的NetScreen-IDP只要支付升級費用後，就可直接原機升級。由於NetScreen-IDP採三層式架構，第一層是偵測器，第二層是管理平臺，第三層是圖型化管理介面，所以升級順序也是由第一層開始，陸續往下升級第二層及第三層。文⊙陳世煌