中联绿盟信息公司网络入侵检测系统解决方案

2004-8-16　发布方：绿盟科技　网友评论 0 条　点击进入论坛

一．概要介绍
网络入侵检测系统（Network Intrusion Detection System）在网络安全防护体系中的重要意义已经得到越来越多的重视，但是因为技术原因，并不是所有网络入侵检测产品都能满足用户真正的安全需求。误报、漏报、缺乏数据的有效整理及统计等各种问题都会困扰忙于应对的网管人员。而且缺乏有效的阻断手段也使不少网络入侵检测系统形同虚设，任由攻击者来去自如。

　　“冰之眼”网络入侵检测系统，秉承绿盟科技一贯的专业精神，以领先的技术驾驭产品，为用户带来真正可靠的安全保障。

二．产品架构
　　“冰之眼”网络入侵检测系统由网络探测器、内网探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL 日志数据库系统及绿盟科技中央升级站点几部分组成，相互关系如下：

三．部署方式

　　“冰之眼”网络入侵检测系统，秉承绿盟科技一贯的专业精神，以领先的技术驾驭产品，为用户带来真正可靠的安全保障。

三．部署方式

　　“冰之眼”网络入侵检测系统，秉承绿盟科技一贯的专业精神，以领先的技术驾驭产品，为用户带来真正可靠的安全保障。

三．部署方式

　　“冰之眼”网络入侵检测系统，秉承绿盟科技一贯的专业精神，以领先的技术驾驭产品，为用户带来真正可靠的安全保障。

三．部署方式

　　“冰之眼”网络入侵检测系统，秉承绿盟科技一贯的专业精神，以领先的技术驾驭产品，为用户带来真正可靠的安全保障。

三．部署方式

四．产品特性

检测能力

　　入侵检测系统最核心的要求就是能够准确地对入侵行为进行识别，并采取有效措施进行防护和干预。但是由于技术原因，以及欺骗性攻击技术的不断发展，漏报和误报一直是困扰入侵检测领域的两大难题。绿盟科技专业的安全专家，在对各种攻击手段进行充分的研究后，总结了一套行之有效的检测手段，误报率、漏报率均远远低于国内外同类产品，并得到了权威机构的测评认可。

检测超过1000种的攻击方式，特别包括众多面对国内系统特有漏洞的攻击，这是国外产品所无法做到的。基于绿盟科技强大的研究实力，保证提取攻击特征的有效性，最大程度地降低漏报和误报。

　　优异的运行性能：百兆及千兆产品分别能够很好地满足于百兆及千兆网络，可以对高流量的数据进行有效报文采集和处理，不会因流量问题造成采集缺失而漏报。

　　利用碎片穿透技术突破防火墙和欺骗入侵检测系统已经成为黑客常用的手段，“冰之眼”网络入侵检测系统能够针对各种协议有效进行IP层的碎片重组，让碎片欺骗技术无所遁形。

　　TCP状态跟踪及流汇聚通过对TCP状态的检测，能够有效避免因单纯包匹配造成的误报,对于利用Stick、nort工具进行欺骗攻击的IDS Flood行为能够有很好的甄别防范能力。

　　针对常用协议进行解码，能够“认清”数据的真实面目并提高了检测效率和准确率。
　　采用多种方式，对SYN Flood、Winnuke、Jolt、Teardrop 等拒绝服务攻击进行检测，配合其他安全产品，能够进行有效的防御。

　　“冰之眼”网络入侵检测系统加强了对内网行为（内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网中的特定事件）的有效监控和跟踪，能够很好的帮助网络管理者发现和跟踪内网异常，确保对内网安全事件进行有效的监控管理。

主动防御能力
　　传统的入侵检测系统仅仅是对入侵进行监控和报警，却没有很好的措施进行防御，因此在很多安全应用场合，入侵检测系统更多是提供事后亡羊补牢的参考，而不能在攻击进行时起到必要的防护作用，入侵检测系统的价值也就无法充分体现。绿盟科技认为：网络安全体系应该是通过完整的安全策略，利用多个安全产品的有效互动实施全方位保护，而不是单纯的安全产品的堆砌。基于这种认识，绿盟科技在“冰之眼”网络入侵检测系统产品中加强了与防火墙以及其他安全管理产品的联动功能，协助用户搭建真正可靠的安全防护体系。

　　通过对各种防火墙产品的联动操作，“冰之眼”网络入侵检测系统能够自动切断攻击行为，“冰之眼”网络入侵检测系统当前能够与多种不同种类的防火墙实现联动，真正起到主动防御作用。以下是“冰之眼”网络入侵检测系统支持联动的防火墙产品列表：
　　天融信防火墙
　　Check Point FW-1
　　东方龙马防火墙
　　天网（Sky Net）
　　更多防火墙联动不断升级中

管理能力
　　可管理性是入侵检测系统能够真正发挥作用的重要因素，一个入侵检测系统产品即便拥有好的技术，而缺乏有效的数据管理功能，依然无法让网络管理人员真正有效的利用起来，其价值也就无法得到体现。

　　绿盟科技做为国内最早从事专业安全服务的企业，将多年丰富的网络安全服务经验融入产品设计，确保用户能够方便地使用，从而最大发挥入侵检测系统的防护效用，并真正协助用户实施安全决策和统筹安全管理。
　　以下是“冰之眼”网络入侵检测系统产品的安全管理特性：

　　具有信息过滤 /合并功能，能够在控制台过滤一些低风险或者不可能成功的攻击行为，从而极大地减少管理员的工作量，也使得重要攻击行为能够得到重点体现。

　　会话记录及回放能够对指定来源或保护对象的TCP会话进行跟踪和回放，对于一些可能存在的危险行为，可以实施跟踪观察，方便管理员确定攻击者意图和攻击途径。

　　自定义检测规则，针对一些具有特殊安全防护需求，比如内容信息过滤，可以方便设置自定义的关键字过滤检测规则，通过与防火墙的联动，也可以将该涉及敏感信息的TCP会话阻断，防止企业重要信息泄露或者一些非法的网络信息传递。

　　报表系统可以自动生成各种形式的攻击统计报表，包括日报表、月报表、年报表等，通过来源分析、目标分析、类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便。
　　规则自动在线升级 (同时也提供手动升级)、日志数据库的自动维护、报表的自动生成和发送等一整套自动化功能，有效地降低了管理员的工作强度，提高了产品持续运行的时间。

　　通过强大的集中监控中心实现分散信息采集和集中控制的思想。管理员在控制中心就能管理和综合地分析所有探测器的告警信息和状态信息，形成统一的分析报表。

“冰之眼”网络入侵检测系统千兆产品

自身安全性
　　安全产品自身的安全性非常重要，否则将很难起到应有的保护作用，反而会成为网络安全体系的隐患。
　　防欺骗性攻击：一些别有用心的攻击者通过一些工具造成入侵检测系统大量误报，然后将入侵行为隐藏在大量无用的误报中。

　　当精心构造的欺骗数据包达到一定规模，有可能导致入侵检测系统的崩溃。“冰之眼”网络入侵检测系统针对各种入侵检测系统欺骗方式和攻击方式进行了总结，并采用了基于状态的行为分析方式，有效避免了这种情况的发生，能够确保产品不会遭受诸如Stick、Snot的攻击。

　　多点备份功能：当网络出现故障时，探测器能够自动通过最多四条备用通道将数据发送到中央控制台，从最大程度上保证了告警消息的及时性和可靠性。

　　SSL加密传输通道：确保管理控制信息不会被恶意用户截获和窥探。

规则升级技术支持
　　网络安全永远没有一劳永逸的解决方案，新的安全漏洞和攻击方法几乎每天都会出现，缺乏升级和技术支持的安全产品，不论其产品技术和产品性能如何领先，也是没有生命力的。绿盟科技强大的研究团队，不断跟踪国内外最新安全研究成果，并且不断面向国际机构发布自己的研究成果。一直以来安全研究能力在国内遥遥领先，从而能确保用户能够得到最及时的安全规则升级和最优秀的技术支持，保护用户的投资。

　　日常升级至少每一周一次，重大安全问题升级在全球首次发现后三个工作日内完成。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表