netcop

2004-11-25　发布方：爱思软件　网友评论 0 条　点击进入论坛

前言

随着信息技术的不断发展，Internet 已经越来越深入到社会的每一个角落。政府、企业逐步建立起自己的计算机网络，形成各个结构复杂、相对独立的内联网络Intranet。由于政务或是业务的需要，这些Intranet 或多或少都不可避免地与Internet 有多种形式的接入，包括直接的或间接的。据《2002 年度CSI-FBI 美国网络安全状况调查报告》统计资料显示，美国500 家主要企业中近70%的网络安全事件均是由于内部原因造成。各种网络攻击、病毒的泛乱等造成了计算机的瘫痪和网络的阻塞，严重影响了正常的网络通讯，造成了很大的经济损失。然而传统的网络安全防御思想是一种被动式的防御思想，不能很好的解决各种网络安全问题，特别是网络病毒出现以后，这种情况日益突出。所以，原有的网络安全思路已经不能适应迅速发展的网络应用要求，必须从解决网络安全的思路上入手，变被动式的防御为主动防御，从整体上解决网络安全问题。因而加强对内部网络的监控管理，基于内部网络安全监控管理、能提供更细粒度的、整体性的安全防范手段的信息安全策略正越来越受到重视。爱思软件公司的“ 网络警察系统（NETCOP）”正是从网络安全主动防御和整体性防御两方面思想出发，及时针对新的网络安全应用需求，在长期、大量网络安全产品开发经验积累的基础上，充分利用拥有自主知识产权的技术，研制和开发出来的我国新一代整体性的、主动防御性的网络信息安全保障系统，为网络信息安全领域开拓了新的空间。

1. 产品概述

与传统的网络信息安全产品不同，“ 网络警察系统（NETCOP）”体现了将安全防范从以往的被动防御变为采取主动防御的思想，并将安全防范的焦点主要集中在内部网络，对内部各子网、关键主机等末端系统提供更细粒度安全保护，并提供灵活、方便的管理和控制手段，弥补了其他常见网络安全系统（如硬件边界防火墙、入侵检测系统、漏洞扫描系统等）被动、不实时，以及防外不防内的固有弱点，从而在整体上提高政府、企业内部网络的安全性。

“ 网络警察系统（NETCOP）” 是一个具有完全自主知识产权内部网络监控管理系统，针对目前国内计算机网络实际状况（如带宽、协议类型、拓扑结构、网管方式等）作了优化设计和处理，在稳定性、易用性、高效性、可扩展性等方面具有显著的优点。同时，“网络警察系统（NETCOP）”还很好地解决了目前其他网络安全系统无法适应交换式网络的难题，为NIDS、Sniffer 等基于数据包侦听技术的系统开辟了一个新的方案解决途径。

1.1. 系统特

功能全面、技术先进、性能稳定、配置灵活、兼容性强、保密性强、易安装、易管理、全中文界面、人机交互性强。

1.2. 系统体系结构

1.2.1. 硬件功能结构

系统硬件包括三部分：监控中心服务器NetCop-CMC；监控代理NetCop-Agent；监控探头NetCop-Probe。其中：

●监控中心服务器NetCop-CMC：作为网络管理员系统控制台，对各监控代理实施远程控制，完成参数配置、协议分析、故障查找等操作，并实时收集日志和告警，存储在RAID 磁盘组中，同时统计分析、报表生成、打印输出功能。该中心服务器可以是一台普通服务器（如IBM Netfinity系列），或是可选择增强型系统专用服务器。

●监控代理NetCop-Agent：直接连接、运行于被监控网络，能同时并发、实时地对多个子网进行监控，接收由监控中心传来的命令，回送运行结果。除了设置最基本的系统配置参数，监控代理本身是免安装、免维护的，所有操作均通过监控中心远程完成。该监控代理为系统专有设备，可根据应用环境需要（并发监控的子网数）提供从2~4 个监控端口的配置选择。其产品形态如图1 所示。

图1 NetCop-Agent

●监控探头NetCop-Probe：大多数交换式以太网无法满足基于数据包侦听技术的系统苛刻的运行环境要求，监控探头正是针对这一难题，在网络交换机与监控代理（或是其他系统，如NIDS、Sniffer 等）间提供外挂式端口镜像功能，使任一镜像端口可捕获任意指定被镜像端口的数据包，从而解决了在交换式以太网中端口连接相互隔离、无法侦听的问题。同时，监控探头还可以开放、关闭任意物理端口，以控制相应的网络接入。该监控探头为本系统专有设备，可根据应用环境需要（并发监控的子网数、被监控网络交换机端口数）提供从2/8（2 镜像端口/8 被镜像端口）、3/16、4/24 等配置选择，并可以菊链方式堆叠，以扩展被镜像端口数，满足大型交换网络需求。其产品形态如图2 所示。

图2 NetCop-Probe

“网络警察系统（NETCOP）”整体结构由上述三部分通过一定拓扑关系连接组成，如图3 所示。

图3 NetCop 网络应用示意图

1.2.2. 软件功能结构

软件系统采用清晰的模块化结构，包括：协议分析模块；网络管理模块；子网监控模块；流量监控模块；拨号上网监控模块、精简NIDS 模块；日志告警模块；统计分析模块；通信模块；自我保护模块。
如图4 所示。

图4 NetCop 软件模块结构

其中：

    ●协议分析模块：具有分布式协议分析功能，可自定义协议数据包过滤器，并针对中国网络实际情况，精简协议分析内容，使之更高效，大大降低了丢包率。另外，该模块还具有数据包内容防泄密的功能，即在进行协议分析时，仅对协议头解码，不显示数据包内容，避免Telnet、FTP、POP3 等以明文传送的服务器帐号、密码、口令等被截获，导致泄密。
    ●网络管理模块：为网络管理员提供可视化工具界面，对分布在多个子网中的监控代理进行远程管理，显示各代理主机在线工作状态，集中配置系统参数、相关规则库、进行系统版本升级。
    ●子网监控模块：负责对所在子网实施具体监控操作，如非授权计算机入网控制、网关保护。在初次接入被监控子网后的指定时间里，该模块将自动学习并记录其所在子网络所有计算机MAC 地址，经网络管理员确认后存档，并对未授权MAC 入网实施阻断。该模块将对其网络所在网关进行IP 地址保护，防止其他计算机配置不当与网关IP地址冲突导致网络通信中断。
    ●流量统计模块：依据协议过滤器设置，对被监控子网数据包进行明细流量统计，包括链路层MAC、网络层IP、传输层TCP、常见应用协议（Telnet、HTTP、FTP、SMTP、POP3 等）统计。
    ●拨号监控模块：防止内部网络未授权主机通过Modem 拨号上网，接入外网（如Internet），导致信息泄露或引入黑客程序及病毒。
    ●精简NIDS 模块：依据常见入侵规则对网络行为进行检测，实时发现恶意入侵事件及网络病毒（如Nimda、红色代码等）并产生日志和告警。该模块为精简NIDS 系统，其规则库定义包含了发生频率较高的网络攻击行为特征。规则库可随时通过网络被更新，以保持对最新网络安全隐患的免疫能力。
    ●日志告警模块：详细记录系统及网络事件，对恶意网络行为产生告警，以提醒网络管理员及时处理故障。其中日志、告警分类明确，方便查阅及管理。所有日志告警均被收集到监控中心，作为系统监控历史档案保存。
    ●统计分析模块：对大量的日志告警信息进行统计分析，依据时间、IP 地址、协议类型、告警类型等进行详细分类查询，对相关数据进行分析评估，并以丰富的图表（直方图、饼图、曲线图）表达统计分析结果，有助于网络管理员直观了解和进一步分析网络运行状况，便于制定和调整网络规划及安全防范策略。该模块还具有报表打印输出功能。所有图表可以html 方式输出。
    ●通信模块：负责监控代理与监控中心间的网络通信，所有数据均采用特定算法加密，避免被截获和破解。
    ●自我保护模块：在系统中提供进程守护和防攻击措施。每个系统主机中均有特殊进程守护程序，持续监视各功能模块的运行状况，一旦发现问题便自动启动诊断程序，从新加载恢复模块运行。NetCop-CMC 内嵌最新通过公安部信息安全产品评测中心权威认证的新一代主机网络防火墙—— “爱思红墙”功能，能根据安全防御规则进行反端口扫描、防黑客攻击等操作，有效保障系统本身的安全。

2. 系统功能描述

2.1. 分布式防泄密协议分析功能
监控中心通过安装在各远程子网中的监控代理，将远端协议数据包捕获并传送回监控中心，可实现分布式远程协议分析，为确定网络运行状态、故障查找及解决提供原始依据。为了防止其他协议分析仪（如Sniffer）对敏感用户数据包内容解码造成的帐号口令泄密，本功能特别屏蔽了数据包内容，不以明文显示，解码只对协议头相关字段进行，从而避免了泄密事件发生。

2.2. 精简网络入侵检测系统（NIDS）功能
提供对常见入侵事件、黑客程序、网络病毒（如Nimda、红色代码等）的在线实时检测和告警功能。入侵检测规则库可通过网络进行更新，从而有效提高对网络恶意行为监控的准确性和及时性。

2.3. 未授权微机入网控制管理功能
依据初始设置，系统在指定时间段对每个子网进行智能学习，收集和登记当时网络中所有计算机的MAC 地址，经网络管理员确认后存档。之后具有未授权MAC 地址的计算机将被禁止接入网络，直到被管理员认可。

2.4. 监测局域网络用户拨号联INTERNET 网功能对局域网内各计算机进行扫描监视，一旦发现有用户拨号联入Internet，将产生告警并记录其MAC 和IP 地址，并对其所有内部连接访问进行阻塞，以防止外部恶意行为通过拨号上网主机对内部网络进行攻击。该功能需要在INTERNET 中放置一台辅助检测服务器。

2.5. 应用协议数据包智能统计分析处理功能
系统在设定时间内对被监控子网内各应用层协议数据包（包括HTTP、FTP、SMTP、Telnet、POP3 等）进行流量统计，自动计算出平均流量，作为网络正常运行的参考点。在以后的网络运行中，如果实际流量超过平均流量，将产生告警并上报监控中心，同时记录当时的网络运行状态（如活跃的IP 地址），以便网络管理员进行判断并进行异常处理。

2.6. 网关IP 地址冲突检测及自动恢复处理功能
由于子网内计算机网络参数配置不当，可能与网关产生IP地址冲突，严重影响网络连通性。该功能能实时检测这样的事件发生，并通过特殊技术处理强制恢复网关IP 地址，以保障网络通信顺利进行。

2.7. 分布式网络流量监控、处理、报警功能
实时检测和统计被监控子网总流量、各计算机单机流量，当其超过预定平均值，将产生告警，并根据预先设定的参数对异常流量计算机所有网络连接访问进行阻塞，或通过NetCop-Probe端口关闭功能切断其网络物理连接，也可选择通知网络管理员人工判定处理。

2.8. 网络日志功能
系统提供分类明确、查询方便的日志功能，对包括系统运行、网络访问在内的所有事件进行详细记录，按时间顺序保存于历史数据库，以供随时查阅和回溯分析。支持对日志的统计分析功能，分析结果可以直方图、饼图、曲线图等丰富直观的报表形式打印输出。

2.9. 网络故障辅助处理功能
向网络管理员提供功能强大的网络分析处理工具和手段，以协助对网络故障实时处理，如对出现异常流量的计算机进行人工干预，切断其所有网络连接（包括逻辑和物理连接）；对未授权入网的计算机或经检测确认感染病毒（如Nimda、红色代码）的计算机通过监控探头(NetCop-Probe)或交换机对其所在物理端口进行切断处理，将未经授权或感染病毒的计算机与网络在物理上隔开。

2.10. 自我保护能力
在系统中提供进程守护和防攻击措施。每个系统主机中均有特殊进程守护程序，持续监视各功能模块的运行状况，一旦发现问题便自动启动诊断程序，从新加载恢复模块运行。

NetCop-Probe 具有自我IP 恢复功能。NetCop-CMC 内嵌最新通过公安部信息安全产品评测中心权威认证的新一代主机网络防火墙—— “爱思红墙”功能，能根据安全防御规则进行反端口扫描、防黑客攻击等操作，有效保障系统本身的安全。

3. 产品硬件规范

3.1. 控制中心NetCop-CMC
通用PC 服务器，CPU 为Intel-PIII 以上，操作系统支持Win2000/XP/9X/NT/Me，内存> 128M，RAID 磁盘阵列> 20G。

3.2. 监控代理NetCop-Agent

3.3. 监控探头NetCop-Probe

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表