清网防火墙的动态防御、实时监控机制解析

　　黑客攻击、蠕虫病毒，网络维护人员已经被这些网络问题搅得焦头烂额了，如何能够快速的定位故障，切断源头，将损失降低至最小呢？
　　清网数安公司从多级的安全防御策略为出发点，对各种蠕虫病毒及常见网络攻击行为进行分析，提出了动态防御的安全机制，通过对网络故障进行动态定位，实时监控整个网络状态。
清网防火墙系统的动态防御机制可对经过防火墙的每个IP 的流量、连接数、连接速率进行控制，对其协议进行实时分析，通过预设的安全策略，对蠕虫病毒、网络攻击等行为进行识别并智能地对异常的IP隔离，为网络维护人员快速确立应对方案提供分析依据。
　　随着全球网络化发展，黑客入侵、病毒、漏洞以及新形式恶意代码等无处不在，且不断变化，这些严重威胁着网络的安全。在新型网络攻击不断出现的情况下，主动防御就显得更为重要。
　　清网数安公司致力于信息安全领域，追踪安全发展趋势，发现目前网络安全威胁，主要包括：网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪等等。面对这些日益凸现的问题，清网数安的动态防御、实时监控机制，可以为客户提供快速的应对方案，同时也为客户带来更为切实有效的安全保护。

动态防御功能的机制分析

　　蠕虫病毒的扫描报文对防火墙而言就是新建连接报文，通过对每个IP的新建连接数进行统计与监控，可以判定机器是否中毒，同时通过设定每个IP的连接速率可以大大减少蠕虫病毒所占用的出口带宽以及大大降低所占用的防火墙系统资源。通过对每个IP所产生的流量的实时统计，可在网络流量异常时分析诊断网络故障点。

动态防御功能的具体实现指标

　◇系统总的连接速率
　　正常的网络平均每1个用户每秒产生的新建连接数一般小于1个，即对于100个用户规模的网络而言，每秒新建连接数通常小于100，如果该规模的网络某时段新建连接速率持继超过几百甚至达到几千上万，网络中肯定出现异常主机产生大量新建连接，此时可可以进一步利用每个IP的连接速率来定位到异常主机。

　◇每个IP地址的流量
　　当出口流量被占满时，如果系统总的连接速率没有异常，可通过该功能定位到是哪些用户占用了大量的带宽。

　◇每个IP地址的新建连接速率
　　当系统总连接速率异常时通过该功能很容易就定位到异常主机。

　◇对每个IP的新建连接速率进行控制
　　通过对每个IP的新建连接速率进行控制，网络中即使出现大面积机器中毒，也不会对其他机器以及防火墙造成影响，受影响的仅是中毒机器自身，因每个IP连接速率被控制在指定值以下，中毒机器所产生的新建连接数过多而导致在该机器上的正常访问也会被丢弃。所以当开启这个选项时，中毒机器将无法正常访问外网，正常的机器不受影响。
　　为了防止某些突发的连接被丢弃，比如用户打开某些网页就可能在瞬间产生十几个会话，因此在设置每个IP每秒新建会话速率时可同时设置所允许的突发值（即阀值），比如突发值可设为30个。突发值将采用动态补偿策略。
　　通过阀值调控将确保用户正常的突发访问不受影响。

　◇对某个IP进行临时阻断，并设置阻断时间
　　当管理员查到某个用户出现流量或连接速率出现异常时，为不让其影响其他用户的正常访问，可临时阻断该IP地址一段时间，阻断时间以秒为单位。
　
　◇每个IP进行状态查询
　　为方便查询定位，在实时流量及连接速率统计输出界面直接点击查看状态，显示出与该IP相关联的所有状态表条目。

　◇显示超过新建连接速率限制的IP
　　在设置了每个IP的新建连接速率后，对于超过该限制的IP将进行记录，该功能可让管理员随时了解内网哪些机器出现过异常（中毒或用某些工具扫描外网）。
　　通过具体的分析可以看出，清网防火墙的动态防御机制，对于经由类似的网络攻击行为，均可有效的控制，保障网络高可用性的同时降低维护的难度。