入侵检测－IDS

    IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来并加以分析，同时与防火墙做联动，实时阻断不正当的访问等攻击行为。

    黑客要对一个网站发动攻击前，一般要对目标服务器进行端口扫描，了解服务器上开启的服务，然后才能决定以何种方式入侵。方御入侵检测功能在检测到有扫描服务器端口时会立即在攻击者的视野中消失，从而使黑客无法进行以后的攻击。方御防火墙可根据配置文件监控任何和TCP，UDP端口的连接。可以对全部端口同时进行监控，同时也可以忽略指定的端口。

    国内防火墙普遍采用检测库的方式来使异常行为和检测库中的文件做比对，如发现为攻击行为立即通知防火墙采取措施。方御防火墙入侵检测系统采用了可扩展检测库的方法，目前可以抵御20多类1500多种攻击方式，而且可以通过升级检测库的方法来不断的提高抵御新攻击类型的方法。管理员还可以自定义攻击检测库来符合自己的要求。

    1.检测多种DoS攻击

    检测包括IGMP攻击，TearDrop， LAND， WinNuke等多种DoS攻击。从而使被托管的服务器处于安全的保护之中。方御入侵检测功能一旦发现有DoS攻击，立即在线报警，记录日志。

    2检测多种DDoS攻击

    检测包括TFN，Trin00，shaft synflood等多种DDoS工具的攻击。而这些攻击都是进行DDoS攻击的主要工具。

    3.检测保护子网中是否存在后门和木马程序

    检测网络中是否存在流行的BO，BO2000，NetSphere， DeepThroat，WinCrash，BackConstruction等多种后门或木马程序。

    4.检测多种针对Finger服务的攻击

    检测针对Finger服务攻击的如Finger Bomb，Finger search，FINGER-ProbeNull等扫描和攻击。

    5.检测多种针对FTP服务的攻击

    检测针对不同FTP server，包括AIX FTPD，WuFTP，ProFTPD，Serv-U FTPD，NCFTPD，MsFTPD发起的FTP-site-exec， FTP-user-root，Buffer Overflow等多种尝试和攻击行为。

    6.检测基于NetBIOS的攻击

    对基于NetBIOS的如NETBIOS-SMB-IPC$access，NETBIOS-SMB-ADMIN$access，NETBIOS-SNMP-NT-UserList等多种尝试和攻击行为进行检测。

    7.检测缓冲区溢出类型攻击

    对OVERFLOW-x86-solaris-nlps，OVERFLOW-x86-windows-MailMax，OVERFLOW- x86-linux-ntalkd，OVERFLOW-DNS-sparc等近百种堆栈溢出攻击进行检测。

    8.检测基于RPC的攻击

    对基于RPC的如portmap-request-amountd，portmap-request-bootparam，RPC Info Query，portmap-request-ypserv，RPC ttdbserv Solaris Overflow等多种尝试和攻击行为进行检测。

    9.检测基于SMTP的攻击

    对针对多种SMTP server，包括Sendmail，Exchange Server，Qmail等所发起的SMTP-expn-root，SMTP Relaying Denied等试探和攻击进行检测。

    10.检测基于Telnet的攻击

    针对基于Telnet的包括Attempted SU from wrong group，set ld_preload，set ld_library_path， Login Incorrect等多种尝试和攻击。

    11.检测网络上传输的病毒和蠕虫

    能将计算机病毒和蠕虫传输到宿主机之前将其检测出来，包括流行的Happy99，IloveU， PrettyPark等百种蠕虫和病毒，防患于未然。

    12.检测CGI攻击

    能检测出包括针对PHF，NPH， pfdisplay。cgi等已知上百种的有安全隐患的CGI进行的探测和攻击方式。

    13.检测针对WEB Server的FrontPage扩展进行的攻击

    14.检测针对WEB Server的ColdFusion扩展进行的攻击

    15.检测针对 MicroSoft IIS server进行的攻击

    能检测View Source exploit， IIS-exec-srch， IIS-asp-srch等已知的漏洞和弱点的攻击行为。

    16.检测利用ICMP进行的扫描和攻击

    对利用这种方式进行的网络拓扑探测所产生的PING-ICMP Destination Unreachable，PING-ICMP Time Exceeded等ICMP包进行检测。

    17.检测利用Traceroute对网络的探测

    18.检测ActiveX，JaveApplet的传输

    通过匹配网络包内容，可以检测特定的ActiveX， JaveApplet等程序在网络上的传输。

    19.检测对其他可能的网络服务进行的攻击

    方御防火墙还提供了非常方便的升级接口，可以通过方正数码网站进行在线更新入侵栓测的数据库，方便的用户升级界面使升级工作可以非常方便的完成。

    方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会马上做出反应，通过Email或手机通知管理员。同时会启动自动防范系统进行防范。

    方御防火墙的入侵检测系统可以和防火墙实现联动，通过对通信行为的跟踪检测到对网络的多种扫描和攻击行为，并能够对攻击行为进行响应，包括自动防范及用户自定义安全响应策略等。