提供零日威胁保护（Zero Day Protection）

　　在网络安全的领域，人们对“预防御”攻击保护有多种不同的说法。但是，厂商们真正提供的防护服务却截然不同。零日威胁（Zero Day Threats）是指新的或未知的攻击，它们出现的时候，还没有写好相应的补丁程序或者攻击特征。零日威胁保护（Zero Day Protection）是指在发现漏洞，以及在建立和发起真正的攻击之前，就阻止新的或未知的威胁。通常称为“预防御”。
 
　　基于攻击特征的解决方案只能阻止已经识别出来的威胁。在分析出攻击特征，开发好补丁程序，并实际部署之前，您的网络对于新的威胁仍然没有任何免疫力。考虑一下当今的各式网络攻击的频率和破坏力，即使失去一分钟保护，都可能带来灾难性的后果。事实上，在分析出攻击特征或开发出补丁，并进行实际部署之前，用户需要的是几小时、几天甚至几周的等待时间。这个网络漏洞的空窗期是每一个IT 管理者的噩梦。

　　深度应用检测层的核心能力是提供零日威胁保护。

　　协议异常检测（Protocol Anomaly Detection）

　　协议定义了两个系统交换数据的方法。一些服务器不能够正确地处理畸形数据流。很多攻击者就制造一种DoS 攻击方法，对某些应用层协议进行攻击从而得到服务器的管理权限。通过执行协议的RFC 标准检测，我们可以防止这种典型的攻击。除防止协议攻击外，我们还可以防止非法的命令调用攻击和防止大量的缓存溢出攻击。

　　模式匹配

　　对于拦截那些到达电脑并执行的恶意代码是非常有效果的。换句话说，就是那些包含在可执行文件中的恶意代码。通过拦截用于承载恶意代码的文件（如exe、pif、src等）和MIME 类型，我们可以有效地防止这些恶意软件达到网络内部的电脑。

　　但是在一些应用中，我们必须允许这些可能存在潜在威胁的文件（如exe、dll）进入到内部网络，例如从Microsoft 更新软件、从HP 站点下载打印驱动程序等。那么我们就必须清楚地定义那些安全资源，并允许安全资源通过。

　　命令限制

　　应用协议中经常包含很多命令和参数，用于数据的发送和接收。然后，有很多管理命令是我们不希望由外部网络用户使用的。我们可以拦截那些具有潜在危险的命令，例如，可以拦截FTP 协议的SITE 命令和SMTP 协议的DEBUG 命令，从而防止这一类型的攻击。

　　伪装

　　伪装可以很好地隐含服务器的真实信息，从而躲避黑客的探测。例如在SMTP 协议中，可以伪装域名、隐含服务器类型及版本，甚至可以从Message ID 和MIME 中移出一些信息。这些技术可以防止黑客探测到服务器细节信息，从而使用相应的攻击手段对付服务器。

　　过滤/拦截头信息

　　另一类攻击依靠建立一些畸形协议头来攻击服务器的弱点。深度应用检测层可以很好地过滤/拦截这些协议头内部的信息。

　　依靠如上这些技术很好地提供零日威胁保护的能力，都是Firebox 系统预定义好的，并结合安全策略实施的，无须用户自己来解决。

　　前瞻性地识别并拦截黑客

　　这一机制可以对那些在发起攻击前（通过他们的行为）或者在第一次发起攻击的黑客作出识别。通过拦截攻击者的IP 地址，可以使我们有能力动态地响应攻击行为。对于防御重复性攻击，拦截IP 地址是非常简单而有效的方法，并可以大大减少系统资源的占用。如果我们可以预先发现一个攻击行为，那么这个机制就可以很好地保护我们免受新的、未知的攻击。

　　识别攻击

　　WatchGuard ILS 结构的效力体现在其分布式智能分析能力。每一个层都具有分析和报告攻击者IP 地址的能力，同时可以拦截这些攻击性的IP 地址通讯。这个能力应用于大量的不同级别攻击行为，例如DoS 攻击、IP 选项攻击、基于PAD 的协议异常攻击，甚至被防病毒/入侵防御系统识别到的攻击等。

　　识别攻击者行为　　

　　在一个攻击开始前，基于行为的分析就可以将其锁定为一个攻击者。“扫描者与攻击者的匹配几率高达96.3% ……换句话说，每一次扫描过后，在未来某一时刻，都可能会发生来自同一个地点的攻击行为。”（网络世界，8 月25 日，2003）ILS 通常可以识别的行为有： 端口扫描、地址扫描、利用IP 选项、欺骗和源路由。

　　自动拦截

　　这种自动拦截的方法就是，在用户定义的一段时间里，系统自动地拦截来自攻击者或具有攻击行为的IP 地址通讯。在以下几个方面具有显著的效果。

　　自动拦截黑客工具；对于来自同一地点的攻击行为，简单的IP 地址拦截可以很好地降低系统开销；当然，防火墙也可以手工配置来屏蔽到一些不良的端口和IP 地址。保证误判率最小化

　　众所周知，基于签名的技术，如防病毒引擎，都会有误判率（如将某种正常行为定义为攻击）。一般地说，误判率与签名库大小和扫描数据的多少是有直接比例关系的。那么在ILS体系结构中，各层协同工作，以降低需要扫描的数据量和签名库的大小。

　　网关防病毒和深度应用检测

　　前面描述过，深度应用检测层通过执行协议标准检测和对已知的有害文件类型进行拦截来发现攻击行为。对已知的有害文件类型进行拦截不会产生误判；那么减少防病毒引擎的扫描工作量，就意味着具有降低病毒检测误判率的可能性。

　　入侵检测

　　经过优化的ILS 包含一套标准的入侵防御系统，通过签名定义的方法描述所有可能的攻击形。每种攻击对应一个签名。在ILS 体系结构中，由于从数据完整性层到深度应用检测层，大多数攻击都被有效地拦截了。这意味着，在内容安全层的IPS 引擎中只需要维护大约2000 余种签名就足够了。

　　另外，因为深度应用检测层可以识别大多数的协议，并将这些信息传递给IPS 引擎。这样一来，IPS 引擎就可以针对具体协议来进行精细扫描，从而进一步缩小了查询签名库的范围，提高了处理速度。例如，扫描SMTP 通讯而忽略其使用的端口，那么IPS 引擎只需要在SMTP 签名列表中搜索匹配项即可。这样的设计，不仅仅减少了被扫描数据流的数量，而且也减少了每次扫描时使用到的签名数量。从而进一步地降低了误报率。

　　保证更好的性能

　　真正网络世界中，UTM 的性能很难去衡量，因为这里是一个混合的环境。这里有大量的防火墙策略，VPN 通道，还有很多使用到的服务，如网关防病毒和反垃圾邮件等等。基于如上原因，UTM 厂商所给出的性能参数都是每项服务或功能在最佳状态下的测试值。例如，网关防病毒性能是在使用最少量的防火墙策略和其他服务都关闭情况下测试得到的。这样就很难比较在真实网络世界中的UTM 综合性能。虽然我们可以从厂商那里得到各类参数来比较单独某项功能或服务性能，但是更有意义的多功能和多服务综合性能效果对比就变得很难了。通过精心设计和各安全层的相互协作影响，WatchGuard 的ILS 体系结构使真正网络世界中的UTM 性能达到最优状态。这表现在三个关键的设计原则上：

　　处理顺序

　　ILS 引擎最轻量化地占用系统性能来实现对数据流的检测以发现攻击行为。如前面所述，一些简单的攻击，例如畸形数据包和DoS 攻击，首先被处理掉了。这就意味着，占用较高系统资源的服务，例如入侵防御引擎，他们所处理的数据流减少了很多。

　　各层间的信息交换

　　在很多UTM 解决方案中，许多安全功能是独立工作的，他们之间并没有很好地利用信息共享来实现合作。ILS 会在各层间共享信息，从而能够减少并很好地调整各安全功能的处理需求。这也就意味着，各安全功能间无须多次重复处理数据，因此得到理想的性能。

　　动态拦截

　　很多真实网络世界中的攻击都来自一些自动化的攻击工具。这些工具都会在发起攻击前先扫面目标网络中存在的弱点。除DDoS 和垃圾邮件攻击外，这些攻击工具都会使用同一个IP 地址。

　　ILS 的能力在于可以发现这些行为，例如端口扫描和地址扫描，然后利用这些信息来自动拦截。当第一次扫描或攻击开始的时候，保护机制便被触发。那么来自同一地点的后续攻击数据流都回被自动拦截。同时拦截会被保持一段时间，这样设计使得系统没有必要浪费时间再次处理和分析同类攻击行为。