东软入侵检测系统网络安全解决方案

2009年4月13日 17:23    通信世界网    评论()    

作 者：东软

 NetEyeIDS2.2技术优势：

    1．以“网络安全问题是一个完整的过程，而不是一个孤立的事件。”为核心设计思想。有效监控网络全过程，整体保障网络安全和健康。

    2．强大的攻击检测能力和优越的性能，是功能强大的入侵检测产品。

    3．NetEyeIDS独有的网络内容恢复、应用审计、网络审计等功能，是完整的网络行为录像机。

    4．NetEyeIDS独有的网络实时监控和诊断功能，是全面的网络故障分析器。

    5．NetEyeIDS独有的网络主动扫描功能，综合主动发现和被动分析功能。是灵活的网络安全探测仪。

    NetEyeIDS2.2应用特色：

    1、易用性。

    2、易维护性。

    3、高可用性。

    4、易部署性。

    5、整体拥有成本最低。

    NetEyeIDS2.2入侵检测系统是东软股份针对网络蠕虫病毒泛滥、内部人员对网络的违规使用、网络的长期健康运行无法有效保障等情况。最新开发的具有自主版权的网络入侵监测系统。利用独创的数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。是防火墙之后的第二道安全闸门。同时具备强大的网络信息审计功能，可对网络的运行，使用情况进行全面的监控，记录，审计和重放。使用户对网络的运行状况一目了然。并且提供网络嗅探器和扫描器用于分析网络的问题，定位网络的故障。不但保障网络的安全，同时保障网络的健康运行。NetEye入侵检测系统可对自身的数据库进行自动维护和备份，不需要用户的干预。学习和使用及其简易，不对网络的正常运行造成任何干扰，是完整的网络审计，监测，分析和管理系统。NetEyeIDS具备完整的多用户分权管理，支持多级分布式管理，便于大规模部署。NetEye入侵检测系统可与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。

    全面高效，可靠易用的网络综合健康管理平台是NetEyeIDS的设计理念。

    系统结构：

    检测引擎：

    检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有数据包进行记录和分析。根据规则判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。

    管理主机：

    运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。

    典型拓扑:　

    主要功能：

    1．攻击检测

    利用数据流智能重组，轻松处理分片和乱序数据包。综合使用模式匹配，异常识别，统计分析，协议分析，行为分析等多种方法综合检测1700种以上的攻击与入侵行为。

    2．内容恢复

    针对几种常用的应用协议的（HTTP、FTP、SMTP、POP3、TELNET，NNTP,IMAP,DNS,Rlogin, Rsh, MSN, Yahoo MSG）数据连接的内容恢复的功能，能够完全记录通信的过程与内容（不要，）并将其回放。并可自定义协议，便于扩充。此功能对于了解攻击者的攻击过程，监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。

    3．应用审计和网络审计

    记录网络中发生的所有连接，提供完整的网络审计日志

    系统特性：

    1．先进的数据流截取和重组技术。

    采用专用的接口直接从操作系统内核快速截取数据包，高效进行数据流重组，以数据流为对象进行分析。轻松处理分片和乱序数据包。经各种测试证明，NetEyeIDS性能极为优秀。

    2．强大的攻击事件检测和防御。

    可对1700多种攻击进行检测、报警、记录、切断，并可方便的升级以检测最新的攻击。同时可方便的自定义检测规则，便于管理员扩充检测能力

    3．高效的网络应用恢复

    可对HTTP、FTP、SMTP、POP3、TELNET，NNTP,IMAP,DNS,Rlogin, Rsh, MSN, Yahoo MSG等协议进行恢复和重放，并可自定义协议，便于扩充。

    4．完整的网络审计

    可对网络中发生的所有应用和连接等事件进行记录，并可自动备份，提供完整的网络审计日志。

    5．灵活的查询，报表功能

    可对网络中的攻击事件，访问记录进行灵活的查询，并可根据查询结果输出优美的报表。

    6．丰富的辅助工具

    集成网络嗅探器和扫描器等网络分析工具，便于管理员查看当前网络状况，分析网络问题。

    7.实时的网络连接察看，切断功能

    实时查看网络当前连接状况，对可疑连接可立即切断，最大限度的保证用户的安全。

    8．简便的管理和部署

    客户/服务器结构，提供便于使用的图形界面来进行远程管理。自动进行自身的数据和策略的默认维护，不需人为干预,使用极其简便。内置多级用户分权限管理，方便不同权限的用户进行不同的操作。支持802.1q、PPPOE等协议的解码。支持多探头，网桥等接入方式。便于部署，对用户的网络正常运行无任何影响。同时支持多级分布式部署和集中管理，便于大规模部署。

    9．全面的网络信息收集

    采取多种方法全面收集网络用户信息，方便管理员快速了解当前网络用户状态。

    10.多样的报警方法

    用户可选择实时报警，声音报警，记录到数据库，电子邮件报警，SysLog报警，SNMPTrap报警，Windows日志报警，Windows消息报警，切断攻击连接，以及和防火墙联动，运行自定义程序等多种方式进行报警。