发信人: cyberarmy(ΔΙΑΨΑΓΟ)
整理人: webfan(2001-07-03 10:51:43), 站内信件
|
BlackICE防火墙是由四个部分组成:入侵系统检测引擎、证据搜集引擎、防火墙和概要程序所组成。
入侵检测引擎
这套防火墙的核心是已经获取专利的七层解码入侵检测引擎,这个引擎即时分析所有的网络进出数据来检测入侵或不正当的系统登陆,当发现吻合的情况时,引擎会马上通知防火墙来关闭和入侵者的所有连接。BlackICE的入侵检测引擎是运用了新的反黑客技术,现在大多数入侵检测系统正在使用和反病毒软件一样的“特征比对法”,BlackICE使用的是高级的协议分析算法。
“特征比对发”是将传送包裹和防火墙数据库里面的所有特征进行比较,而这个方法是十分费时并且容易出错的。在另一方面,“协议分析法”分析网路联系的结构和组成,这项新的十分迅速的方法不只比“特征比对法”更加的有效,而且能让BlackICE在极高的网路速度下监控和防卫电脑。继然BlackICE能更快的检测到入侵行为,它也能更快的抵挡和封闭着入侵行为。
另外,很多使用“特征比对法”的防火墙都缺少检测那些使用文件包裹碎片的攻击入侵行为。资深的黑客知道了这点,会将他们的攻击分成大量的碎片包裹来绕过防火墙。因为BlackICE入侵检测引擎分析整个进入电脑的包裹,所有他也能检测并命令防火墙防御这些攻击。最近由长须鲸写的“蜗牛炸弹”就是这么一类能攻破如“天网”防火墙的武器,我估计原理就是大量的碎片攻击来拖慢对方的机器直到死机,如果是这样,天网就是使用“特征对比法”的那类防火墙。
证据收集引擎
当BlackICE防火墙检测到可疑的事件,它会马上开始收集信息,这就要动用到追踪。BlackICE的追踪分两种,间接追踪和直接追踪。间接追踪是通过分析入侵数据包来决定该数据包经过了哪些路由器,借此来判断入侵者的源头,但并不和入侵者的电脑有任何接触;而直接追踪是分析了数据包后,逆向追踪直到入侵者的电脑,并收集电脑的信息。间接追踪是不会被入侵者发现的,但因为直接追踪要和入侵者的电脑接触,所以有可能被入侵者发现,但幸运的是,大多数黑客都没有足够的经验来封闭直接追踪。
在BlackICE里能设置直接追踪和间接追踪的参数,比如触动直接追踪需要多少的危险系数,追踪时是否要查看入侵者的NETBIOS,间接追踪是否要寻找入侵者的域名服务器来搜集入侵者的资料等。
当黑客尝试入侵或攻击你的系统时,证据收集引擎还可以将黑客发送到你电脑的一切信息包裹通过嗅探的方式截获并保存到特殊的证据文件(*.enc)里,这些文件在有经验的网路工程师的分析下,能明了该黑客的意图,而对你日后在法庭上起诉该黑客时将有很大的帮助。
BlackICE还可以设置对某个ip进行为期一个小时、一天、一个月甚至永远的封锁,可以自定义封锁端口,等等,这里我说到的只是一些比较主要的功能。BlackICE还可以对局域网里装有ICEcap分析器的服务器报告受攻击的情况,由服务器对防火墙进行适当的调整措施,它还内嵌了对付一些如Loveletter等VBS邮件病毒的检测,流行木马的检测等。
比较起来,BlackICE比Norton Personal Firewall 2000更加专业,不论是从界面:BlackICE的界面更加的清楚,从日期时间、攻击类型、次数,反应级别、参数、本地系统信息,入侵者信息,危险系数等都一目了然,而NPF只有日期、时间、和NPF的系统报告信息,没有入侵者的任何信息,比较笼统。不要看上面提到BlackICE有这么多引擎呀程序的,其实它占用的系统资源很小,基本上没有感觉到有什么不同,而NPF继承了诺顿家族的传统,对系统资源占用的较多,打开防火墙后感觉速度减慢。BlackICE的报警是系统图标的闪动和一声“嘀”的长鸣,而NPF只是在地球图标上加个红感叹闪动,没有声音,目标不明显。而且受到攻击后查看得花一段时间来打开NPF的主窗口,BlackICE只有一点,报告就跳出来了,十分迅速。BlackICE的历史记录是比较直观的,90分\小时\天的网络流量和攻击次数记录,而NPF就很详细,从访问过的网站,系统的网络记录等等。
BlackICE只是NetworkICE所出品的以系列BlackICE产品的其中一个,可以和其它的BlackICE产品配合使用。
作者cyberarmy 转载请保留作者名字。
----
我来自地狱
要去天堂
现在正路过人间
|
|