IDP功能介绍

ShareTech UTM具有IDP入侵防御

为何要IDP？

状态检测（Stateful Inspection）防火墙可以检视对应OSI模型第二到第四层通讯协议的内容，他最常检视及控管的项目为：Source IP Address（来源IP地址）、Destination IP Address（目的IP地址）、Source Port Number（来源端口号）、Destination Port Number（目的端口号）、以及Flag Fields（旗标字段）。

应用程序管制是藉由每个联机的前2000个Bytes特征值的组合检测，辨识客户端使用的软件是哪一种，如MSN、QQ等，辨识出后再利用管制条例的运作管控使用者的使用，但是对于恶意的攻击者呢？例如：SQL Slammer采用[缓冲溢位]（buffer overflow）的攻击手法，因为防火墙开了SQL通讯端口，所以外界的人可以进到内部的SQL Server，攻击者再利用缓冲溢位攻击的程序代码，就可以攻击内部的SQL服务器，窃取他想要的数据。

IDP的运作

众至UTM IDP入侵侦测防御功能，它会检查对应到OSI模型第四到第七层的内容，是否有恶意的攻击程序、病毒，隐藏在TCP/IP的通信协议中，通过详细的内容检查后，符合条件的特征码就会被标示出来，一但发现后能够实时地将封包阻止，让这些穿过防火墙的恶意封包无所遁形。

众至UTM IDP的特征值数据库会依照危险程度分成高、中、低三种，再让管理者决定放行或阻挡，考虑客户端的实际网络环境及机器的运算能力，在中小型的网络架构的 IDP设备只需要有完整的危险程度高、中（例如病毒、木马程序）的特征值数据库就足够，其它属于警告或通知性质的检查没必要处理。