首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 操作系统安全 > AIX的入侵预防 > 正文

AIX的入侵预防

出处:IBM 作者:纪元 时间:2007-12-27 17:04:21

AIX 入侵预防检测不适当的、未授权的或可能被视为对系统有害的其他数据
以下描述了 AIX 提供的各种入侵检测类型。
相关信息也可以参阅:chfilt、ckfilt、expfilt、genfilt、impfilt、lsfilt、mkfilt、mvfilt和rmfilt命令。

  • 入侵检测:描述入侵检测的概念。
  • 从 SMIT 访问过滤规则:描述如何从SMIT配置规则。

入侵检测
入侵检测是监视和分析系统事件以拦截和拒绝所有未授权系统访问的尝试的操作。
在 AIX 中,这种对未授权访问或未授权访问尝试所进行的检测,是通过观察特定操作并对这些操作应用过滤规则来实现的。
注:必须在主机系统上安装 bos.net.ipsec 文件集以启用入侵检测。
检测技术构建于现有 AIX 因特网协议安全性(IPsec)功能之上。

  • 模式匹配过滤规则
    模式匹配是将 IPsec 过滤规则用于过滤网络信息包。过滤模式可以是文本字符串、十六进制字符串或包含多个模式的文件。
    在建立了模式过滤规则并且在任何网络信息包的主体中检测到该模式之后,接着将生成预定义的过滤规则操作。
  • 避免端口和避免主机过滤规则
    通过设置避免过滤规则,可以拒绝远程主机或远程主机及端口对访问本地机器
  • 状态过滤规则
    状态过滤检查诸如源和目标地址、端口号以及状态之类的信息.这时,通过将 IF、ELSE 或 ENDIF 过滤规则应用到这些头标志,状态系统可在整个会话的上下文中(而不是在个别信息包及其头信息的上下文中)作出过滤决策。
  • 定时规则
    定时规则指定在使用 mkfilt -v [4|6] -u 命令使过滤规则生效之后应用过滤规则的时间(秒)。

模式匹配过滤规则
模式匹配是将 IPsec 过滤规则用于过滤网络信息包.过滤模式可以是文本字符串、十六进制字符串或包含多个模式的文件。
在建立了模式过滤规则并且在任何网络信息包的主体中检测到该模式之后,接着将生成预定义的过滤规则操作。
模式匹配过滤规则仅适用于入站网络信息包。使用 genfilt 命令将过滤规则添加到过滤规则表中。
此命令生成的过滤规则称为手工过滤规则。使用 mkfilt 命令激活或停用过滤规则。 mkfilt 命令还可用来控制过滤记录功能。
模式文件可包含文本模式或十六进制模式列表(每行一个列表)。
模式匹配过滤规则可用来防御病毒、缓冲区溢出和其他网络安全性攻击。
如果模式匹配过滤规则的使用范围过广,并且模式数过多,则可能对系统性能产生反面影响。
最好使其应用保持在尽可能窄的范围。
例如,如果已知病毒模式适用于 sendmail,则在过滤规则中指定 sendmail SMTP 目标端口 25。
这允许所有其他流量通过而不会因模式匹配影响性能。

模式类型
有三个基本的模式类型:文本、十六进制和文件。模式匹配过滤规则仅适用于进入的信息包。
文本模式,文本过滤模式是类似以下格式的 ASCII 字符串:GET /../../../../../../../../

十六进制模式,十六进制模式类似以下格式:
0x33c0b805e0cd16b807e0cd1650558becc
7460200f05d0733ffb8c800b9fffff3abb00150
e670e47132c0e67158fec03c8075f033c033
c9b002fa99cd26fb4183f90575f5c3
注:十六进制模式由于以0x开头而不同于文本模式。

包含文本模式的文件,文件可包含文本模式或十六进制模式列表(每行一个列表)。

避免端口和避免主机过滤规则
通过设置避免过滤规则,可以拒绝远程主机或远程主机及端口对访问本地机器
避免过滤规则可动态创建有效规则,在符合该规则的指定条件时,它将拒绝远程主机或远程主机及端口对访问本地机器。
由于攻击一般在端口扫描之后进行,因此避免端口过滤规则在通过检测此攻击行为而防止入侵方面特别有用。
例如,如果本地主机不使用服务器端口37(该服务器为时间服务器),则远程主机不应正在访问端口 37,除非它正运行端口扫描。
在端口37上放置避免端口过滤规则,这样如果远程主机试图访问该端口,则避免过滤规则将创建有效的规则,该规则将阻止该主机在避免规则到期时间字段内指定的时间内作进一步访问。
如果避免规则的到期时间字段设置为0,则动态创建的有效避免规则将不会过期。
注:
1.避免端口过滤规则指定的到期时间仅适用于动态创建的有效规则。
2.只能通过 lsfilt -a命令来查看动态创建的有效规则。

避免主机过滤规则
当符合避免主机过滤规则的条件时,动态创建的有效规则将在指定的到期时间内阻止或避免来自远程主机的所有网络流量。

避免端口过滤规则
当符合避免端口过滤规则的条件时,在超过到期时间之前,动态创建的有效规则将只阻止或避免来自该远程主机的特定端口的网络流量。

状态过滤规则
状态过滤检查诸如源和目标地址、端口号以及状态之类的信息。这时,通过将 IF、ELSE 或 ENDIF 过滤规则应用到这些头标志,状态系统可在整个会话的上下文中(而不是在个别信息包及其头信息的上下文中)作出过滤决策。
状态检查将检查进入和外发的通信信息包。当使用 mkfilt -u 命令激活状态过滤规则时,在满足 IF 规则之前,将始终检查 ELSE 块中的规则。
在满足了 IF 规则或条件之后,在使用 mkfilt -u 命令重新激活过滤规则之前,将一直使用 IF 块中的规则。
ckfilt 命令将检查状态过滤规则的语法并将其以说明方式如下显示:
%ckfilt -v4
IPv4 过滤规则的开头。Rule 2
IF Rule 3
IF Rule 4
Rule 5
ELSE Rule 6
Rule 7
ENDIF Rule 8
ELSE Rule 9
Rule 10
ENDIF Rule 11
Rule 0

定时规则
定时规则指定在使用 mkfilt -v [4|6] -u 命令使过滤规则生效之后,应用过滤规则的时间(秒)。
到期时间通过 genfilt -e 命令指定。
注:定时器对 IF、ELSE 或 ENDIF 规则没有影响。如果到期时间是在避免主机或避免端口规则中指定的,则该时间仅适用于避免规则启动的有效规则。避免规则没有到期时间。

从 SMIT 访问过滤规则
要从 SMIT 配置过滤规则,完成以下步骤。
1.从命令行中,输入以下命令:smitty ipsec4
2.选择高级 IP 安全性配置
3.选择配置 IP 安全性过滤规则
4.选择添加 IP 安全性过滤规则
5. Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[TOP] [Entry Fields]
* Rule Action [permit] +
* IP Source Address []
* IP Source Mask []
IP Destination Address []
IP Destination Mask []
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [all] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [any] +
* Destination Port Number / ICMP Type [0] #
* Routing [both] +
* Direction [both] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [] +
Expiration Time (sec) [] #
Pattern Type [none] +
Pattern / Pattern File []
Description []

Where "Pattern Type" may be one of the following
x none x#
x pattern x
x file x
x Anti-Virus patterns

操作字段的选项有:permit、deny、shun_host、shun_port、if、else 和 endif。
如果指定了模式文件,则在使用 mkfilt -a 命令激活过滤规则时,该文件必须为可读。
过滤规则存储在 /etc/security/ipsec_filter 数据库中。

相关文章 热门文章
  • Domino 6 – AIX环境安装手册
  • AIX上的Sendmail邮件服务器的配置及常见问题
  • 如何阻止对AIX Sendmail服务器的垃圾邮件攻击
  • AIX操作系统下如何使用Sendmail
  • IBM AIX邮件服务绕过认证漏洞
  • Lotus Domino on AIX memory usage explained
  • Lotus Domino on AIX memory usage explained
  • Domino服务器支持在AIX 5.3上安装运行吗?
  • 如何解决AIX的文件系统故障
  • AIX系统下Domino邮件服务器安装图解
  • IBM Aix上Qmail的建立
  • LotusScript在AIX下保持RTF域回车代码的问题
  • ipc$详细解释大全
  • 利用RPC漏洞入侵服务器
  • 配置策略禁止139/445端口连接
  • 使用windows脚本入侵WINDOWS服务器
  • 木马克星――Trojan Ender正式国际版 2.0.0
  • 让你的终端服务器“固若金汤”
  • 诡秘的DLL木马
  • Windows源码泄露 微软建议用户升级至IE6 SP1
  • 安装Win2003 Server下的Snort
  • 微软最新漏洞公告10号发布 MS04-007最严重
  • 如何配置解决Win2K服务器安全问题
  • 构筑更安全的乐园--Windows安全解决方案解析
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号