绿盟冰之眼网络入侵保护系统-NSF-PROD-NIPS-产品白皮书
NSF-PROD-WAF-V5.5-Web管理用户使用手册
冰之眼Web应用防火墙Web管理用户使用手册© 2022 绿盟科技■版权声明© 2007 绿盟科技本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
■商标信息NSFOCUS和冰之眼等均是绿盟科技的商标。
目录前言 (1)文档范围 (1)期望读者 (1)内容简介 (1)获得帮助 (1)格式约定 (3)一. 概述 (5)1.1产品概述 (5)1.2公司简介 (6)二. 登录WEB界面 (8)2.1登录方法 (8)2.2布局介绍 (9)三. 引擎WEB管理 (11)3.1首页 (11)3.1.1 状态 (11)3.1.2 事件 (12)3.2系统 (13)3.2.1 升级与恢复 (13)3.2.2 下载与备份 (13)3.2.3 安全中心连接 (14)3.2.4 网络诊断工具 (14)3.2.5 用户管理 (16)3.2.6 证书与附加设置 (18)3.2.7 系统控制 (21)3.3网络 (21)3.3.1 接口 (21)3.3.2 安全区 (23)3.4对象 (24)3.4.1 Web (24)3.4.2 网络 (29)3.4.3 域名 (35)3.4.4 服务 (38)3.4.5 时间 (43)3.5策略 (45)3.5.1 Web应用防护 (45)3.5.2 网络访问控制 (48)3.5.3 Web应用扫描 (51)3.6报表 (53)3.6.1 事件报表 (53)3.6.2 查询报表 (54)3.6.3 审计报表 (55)3.6.4 Web应用扫描报表 (56)3.7帮助 (58)四. 引擎串口管理 (59)4.1功能概述 (59)4.2登录串口 (59)4.3详细介绍 (62)4.3.1 查看系统信息 (62)4.3.2 配置安全中心 (63)4.3.3 诊断工具 (64)4.3.4 维护工具 (65)4.3.5 系统初始化 (66)4.3.6 重新启动系统 (66)4.3.7 存储当前设置 (67)4.3.8 退出配置界面 (67)附录A出厂参数 (68)A.1引擎管理口初始设置 (68)A.2引擎初始用户 (68)A.2.1Web管理员初始帐号 (68)A.2.2串口管理员初始帐号 (68)A.3安全中心管理员初始帐号 (68)A.4串口通讯参数 (68)插图索引图 2.1 登录时的安全警报界面 (8)图 2.2 冰之眼WAF的WEB管理登录界面 (8)图 2.3 冰之眼WAF当前的运行状态信息 (9)图 2.4 冰之眼WAF的WEB管理界面 (10)图 3.1 引擎接口的当前状态信息 (11)图 3.2 引擎的当前状态信息 (11)图 3.3 系统的当前状态信息 (11)图 3.4 冰之眼WAF引擎实时告警信息和流量信息的整体界面 (12)图 3.5 系统–导入升级文件 (13)图 3.6 系统–下载文件 (13)图 3.7 系统–配置引擎的安全中心 (14)图 3.8 系统–当前的网络连接状态和网卡状态 (15)图 3.9 系统–网络诊断工具(PING工具) (15)图 3.10 系统–网络诊断工具(TRACEROUTE工具) (16)图 3.11 系统–网络诊断工具(HPING工具) (16)图 3.12 系统–网络诊断工具(NMAP工具) (16)图 3.13 系统–用户管理 (17)图 3.14 系统–证书信息 (19)图 3.15 系统–高可用性设置 (19)图 3.16 系统–附加设置管理 (21)图 3.17 系统–系统控制 (21)图 3.18 网络–引擎网络接口列表 (22)图 3.19 网络–编辑网络接口信息 (22)图 3.20 网络–安全区列表 (23)图 3.21 网络–新建安全区 (23)图 3.22 对象–系统WEB对象列表 (25)图 3.23 对象–编辑系统WEB对象 (25)图 3.24 对象–自定义WEB对象列表 (26)图 3.25 对象–新建自定义WEB对象 (27)图 3.26 对象– WEB组对象列表 (28)图 3.27 对象–新建WEB组对象 (28)图 3.28 对象–选择WEB组对象包含的对象 (29)图 3.29 对象–网络对象列表 (30)图 3.30 对象–新建网络对象 (30)图 3.31 对象–节点对象列表 (31)图 3.32 对象–新建节点对象 (31)图 3.33 对象– IP池对象列表 (32)图 3.34 对象–新建IP池对象 (32)图 3.35 对象–网络组对象列表 (33)图 3.36 对象–新建网络组对象 (34)图 3.37 对象–选择网络组对象包含的对象 (34)图 3.38 对象–自定义域名对象列表 (35)图 3.39 对象–新建自定义域名对象 (36)图 3.40 对象–域名组列表 (37)图 3.41 对象–新建域名组对象 (37)图 3.42 对象–选择域名组对象包含的对象 (38)图 3.43 对象–系统服务对象列表 (39)图 3.44 对象–自定义服务对象列表 (39)图 3.45 对象–新建自定义服务对象 (40)图 3.46 对象–服务组对象列表 (41)图 3.47 对象–新建服务组对象 (42)图 3.48 对象–选择服务组对象包含的对象 (42)图 3.49 对象–自定义时间对象列表 (43)图 3.50 对象–新建自定义时间对象 (43)图 3.51 对象–时间组对象列表 (44)图 3.52 策略– WEB应用防护规则列表 (46)图 3.53 策略–添加WEB应用防护规则 (46)图 3.54 策略–移动WEB应用防护规则的位置 (48)图 3.55 策略–网络访问控制规则列表 (49)图 3.56 策略–添加访问控制规则 (49)图 3.57 策略–移动网络访问控制规则的位置 (51)图 3.58 策略– WEB应用扫描规则列表 (51)图 3.59 策略–添加WEB应用扫描规则 (52)图 3.60 报表–事件详细报表 (53)图 3.61 报表–查询报表 (55)图 3.62 报表–审计报表 (55)图 3.63 报表– WEB应用扫描报表 (56)图 3.64 报表–查看WEB应用扫描结果 (57)图 4.1 超级终端运行的位置信息 (59)图 4.2 输入超级终端连接描述 (60)图 4.3 选择超级终端连接端口 (60)图 4.4 设置超级终端连接端口 (61)图 4.5 选择引擎管理菜单语言 (61)图 4.6 引擎串口管理–查看系统信息 (63)图 4.7 引擎串口管理–配置网络引擎参数 (64)图 4.8 引擎串口管理–诊断工具 (64)图 4.9 引擎串口管理–维护工具 (65)图 4.10 引擎串口管理–系统初始化 (66)图 4.11 引擎串口管理–重新启动系统 (67)图 4.12 引擎串口管理–存储当前设置 (67)前言文档范围本文将覆盖冰之眼Web应用防火墙(ICEYE Web Application Firewall,以下简称冰之眼WAF)的Web管理界面的所有功能点,详细介绍使用方法。
绿盟科技“冰之眼”网络入侵防护解决方案
一
、
多链路防护解决方案 二 、交换防护解决方案
企 业 『部 网络 根 据 l 地 点 和 I 特 性 ,划 分 为不 同的 ^ 】 - 作 : 作
网 段 。 网段 之 间通 过 交 换 机 连 接 , 进 行 数 交 换 。 如何 有 效
目前 ,很 多余 为 r 证 网络 带宽 资源 的充 足和 网络 余 , 保 C
又要保 护企 业内网的安全 。 针对大 业 网络特点 ,绿 盟科技 入侵 保护系统提供混
合防护的解决方案 :( ) 1 在总部瓦联网出入 口处在线部署 “ 冰
之 眼 ” NI S,实 现 路 由 防 护 ,提 供 互 联 网 的 从 网 络 层 、应 用 P
r应 用 协 议深 层 检 测 模 块 ,并 可 由 流 垦 抽 样 分析 模 块 进 行 驱
网元 设备的主动分析 、调节还 可较精确地预期流量走势 以及
缓 解 异 常 流 量 带 来 的影 响 .
() ty as 3NeE eNtr增加 更具实际意义的响麻于段 分析报告
牛成 几乎 是异常流量分析 系统 的主 要数据输 …方 式,但高 端
网络mn采用多链路连接方式,连接到两个或更多IP ̄ S I务商。 ] 针对这种连接 式 ,绿盟科技 入侵保护 系统提 供 多链路
防护 的 解 决 方 案 , 在 网 络 出 口处 部 署 一 台 “ 之 眼 ” 网 络 入 冰
侵保 护系统 ,采用 多路I S P 的部署方式 : ()“ 1 冰之眼”NIS P 支持多路I S P 部署 ,一路IS P 防护一 个
大 幅 度降 低 管 理 员作 业 负担 肝 提 高 系 统 防 护 』 度 。 J
针对运营级骨 干网络环境 ,尔软 N-ARS从网络 安全 防 r
网络安全防御产品白皮书
冰之眼网络入侵保护系统产品白皮书© 2019 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息绿盟科技、NSFOCUS、冰之眼是绿盟科技的商标。
目录一. 前言 .................................................................................................................... 错误!未定义书签。
二. 为什么需要入侵保护系统................................................................................. 错误!未定义书签。
2.1防火墙的局限................................................................................................. 错误!未定义书签。
2.2入侵检测系统的不足..................................................................................... 错误!未定义书签。
2.3入侵保护系统的特点..................................................................................... 错误!未定义书签。
三. 如何评价入侵保护系统..................................................................................... 错误!未定义书签。
绿盟下一代网络入侵防护系统产品白皮书
绿盟下一代网络入侵防护系统产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-NIPS-产品白皮书-V1.0■版本编号V1.0 ■日期2015-11-14■撰写人戴永涛■批准人Array© 2016 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2015-11-14 V1.0 新建周帅奇2016-04-28 V1.1 增加周帅奇目录一. 前言 (1)二. 攻防的新特点 (1)三. 绿盟下一代网络入侵防护系统 (2)3.1体系结构 (3)3.2主要功能 (3)3.3产品特点 (4)3.3.1 全新的高性能软硬件架构 (4)3.3.2 用户身份识别与控制功能 (5)3.3.3 更精细的应用层安全控制 (5)3.3.4 基于用户身份的行为分析 (5)3.3.5 全面支持IPv6 (6)3.3.6 多种技术融合的入侵检测机制 (6)3.3.7 2~7层深度入侵防护能力 (8)3.3.8 先进的Web威胁抵御能力 (9)3.3.9 恶意文件防御和取证能力 (9)3.3.10 基于应用的流量管理 (10)3.3.11 部署极其简便 (10)3.3.12 强大的管理能力 (11)3.3.13 完善的报表系统 (11)3.3.14 完备的高可用性 (12)3.3.15 丰富的响应方式 (13)3.3.16 高可靠的自身安全性 (14)3.3.17 威胁可视化 (14)3.4解决方案 (15)3.4.1 多链路防护解决方案 (15)3.4.2 混合防护解决方案 (16)四. 结论 (17)插图索引图 3.1 绿盟网络入侵防护系统体系架构 (3)图 3.2 虚拟IPS功能实现示意图........................................................................................ 错误!未定义书签。
绿盟科技冰之眼网络入侵保护系统
绿盟科技冰之眼网络入侵保护系统
张杰
【期刊名称】《中国计算机用户》
【年(卷),期】2005(000)038
【摘要】绿盟科技冰之眼入侵检测系统的的检测和防护功能具备了国际同类产品的水平,具体体现在以下几个方面冰之眼NIPS的协议分析技术能够分析近100种应用层协议,包括HTTP,FTP、SMTP等,极大地提高检测的准确性。
冰之眼NIPS独有的协议识别技术能够识别近100种包括后门、木马、IM.网络游戏在内的应用层协议;冰之眼NIPS出色的协议异常检测针对未知的溢出攻击与拒绝服务攻击.达到接近100%的检测准确率。
【总页数】1页(P58)
【作者】张杰
【作者单位】无
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.实时阻断来自网络的安全威胁--介绍绿盟科技冰之眼入侵保护系统 [J], 绿盟科技公司
2.横空出世反客为主--绿盟科技冰之眼入侵保护系统 [J],
3.绿盟科技NIDS冰之眼网络入侵侦测系统 [J],
4.绿盟科技自主研发的“冰之眼”网络入侵侦测系统 [J],
5.绿盟科技“冰之眼”网络入侵保护系统正式推出 [J], 无
因版权原因,仅展示原文概要,查看原文内容请购买。
绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0
绿盟WEB应用防火墙产品白皮书【绿盟科技】■文档编号■密级完全公开■版本编号■日期■撰写人■批准人© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人目录一. 概述 (3)二. 关键能力 (3)2.1客户资产视角 (3)2.2优化的向导系统 (4)2.3快捷的配置体系 (5)2.4完整的防护体系 (5)2.5细致高效的规则体系 (6)2.6主动防护的代理架构 (7)2.7领先的DD O S防护能力 (8)2.8智能补丁应急响应 (8)2.9辅助PCI-DSS合规 (9)2.10高可用性 (10)三. 典型部署 (10)四. 典型应用 (11)4.1网站访问控制 (11)4.2网页篡改在线防护 (12)4.3网页挂马在线防护 (12)4.4敏感信息泄漏防护 (12)4.5DD O S联合防护 (13)4.6非对称链路防护 (13)五. 附录 (14)5.1客户资产定义 (14)5.2规则体系定义 (14)5.3常见W EB应用攻击 (15)插图索引图表1策略实例 (3)图表2资产分层及其防护层级 (4)图表3向导体系过滤站点规则 (5)图表4防护体系 (6)图表5智能补丁 (9)图表6WAF的典型部署 (11)图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13)图表8站点的定义 (14)图表9主机名的定义 (14)图表10URI及相关字段的定义 (14)一. 概述绿盟Web应用防火墙(简称WAF),站在“资产”的视角,用完整的防护体系将多种Web安全检测方法连结成一套完整的解决方案,保卫您的Web应用免遭当前和未来的安全威胁。
专注于保护Web应用和Web服务,并将成熟的DDoS攻击抵御机制整合在一起,绿盟WAF提供针对OWASP Top 10、LOIC、HOIC的全面防御,通过事前防御、事中防护、事后补偿的整体解决方案,为Web安全保驾护航。
RSAS-产品白皮书报告
绿盟远程安全评估系统产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-RSAS-V6.0-产品白皮书-V1.0■版本编号V1.0 ■日期2015-10-19■撰写人尹航■批准人李晨© 2022 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 攻防威胁的变化 (1)二. 环境变化带来的问题 (1)三. 新一代漏洞管理产品必备特性 (2)四. 绿盟远程安全评估系统 (2)4.1产品体系结构 (3)4.1.1 基础平台层功能 (3)4.1.2 系统服务层功能 (4)4.1.3 系统核心层功能 (4)4.1.4 系统接入层功能 (4)4.2产品特色 (5)4.2.1 多种检查能力合一,全面系统脆弱性发现 (5)4.2.2 风险统一分析 (6)4.2.3 灵活的部署方案 (7)4.2.4 独创便携工控设备,随时监督检查 (7)4.2.5 结合资产从海量数据快速定位风险 (7)4.2.6 融入并促进安全管理流程 (8)4.2.7 识别非标准端口,准确扫描服务漏洞 (8)4.2.8 丰富的漏洞、配置知识库 (9)4.3典型应用方式 (9)4.3.1 监督检查或小规模网络安全运维 (9)4.3.2 中小规模多子网安全运维 (10)4.3.3 网络访问受限的子网安全运维 ................................................................ 错误!未定义书签。
4.3.4 大规模跨地区网络安全运维 (10)五. 结论 (11)插图索引图 4.1 NSFOCUS RSAS整体架构图 (3)图 4.2 NSFOCUS RSAS单机部署 (9)图 4.3 NSFOCUS RSAS单机多网口多子网接入 (10)图 4.4 NSFOCUS RSAS代理扫描 ................................................................................. 错误!未定义书签。
绿盟网络入侵检测系统(IDS)快速使用手册
四. 查看事件 .............................................................................................................................................15
4.1 事件概述 .........................................................................................................................................15 4.2 查看状态 .........................................................................................................................................15 4.3 入侵检测事件 .................................................................................................................................17
绿盟威胁分析系统产品白皮书
绿盟威胁分析系统产品白皮书【绿盟科技】■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开■版本编号V1.0 ■日期2013-10-10■撰写人唐伽佳■批准人段小华© 2022 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2013-10-10 V1.0 新建唐伽佳目录一. 前言 (1)二. 攻防的新特点 (2)三. 攻防技术发展特点 (3)四. 绿盟威胁分析系统 (4)4.1体系结构 (6)4.2主要功能 (6)4.3部署方案 (10)五. 结论 (10)插图索引图 4.1 绿盟威胁分析系统体系架构 (6)图 4.2 NSFOCUS TAC 虚拟执行过程图 (8)图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10)图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案............................................ 错误!未定义书签。
一. 前言如今,政府和企业同时面临着一个不断演变的网络威胁环境。
最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。
攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。
动机的变化,同时也带来了攻击方式的变化。
从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。
高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点:➢高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。
绿盟安全白皮书
绿盟安全白皮书可以围绕以下内容撰写:标题:绿盟安全:应对网络威胁的新视角一、引言随着互联网的普及和技术的快速发展,网络安全问题日益严重。
作为一家专业的网络安全公司,绿盟安全致力于提供全面的安全解决方案,帮助企业应对日益复杂的网络威胁。
本白皮书将介绍绿盟安全的主要观点和策略,以便读者了解如何更好地保护自己的网络安全。
二、网络威胁的现状与趋势1. 不断演变的威胁环境:网络犯罪分子不断利用新的技术和漏洞进行攻击,企业、政府机构和个人都面临着严峻的网络安全挑战。
2. 威胁的趋势:网络攻击的形式变得更加多样化,从传统的恶意软件到新兴的量子计算和无文件系统攻击等。
此外,勒索软件、零日攻击和分布式拒绝服务(DDoS)攻击等高级威胁也日益严重。
三、绿盟安全的观点1. 全面安全解决方案:绿盟安全认为,网络安全不仅仅是技术问题,更是一个涉及组织、流程和文化等多个方面的综合问题。
因此,绿盟安全提供全面的安全解决方案,包括安全产品、服务、培训和咨询等。
2. 重视安全培训:绿盟安全认为,提高员工的安全意识和技能是提高整体网络安全水平的关键。
因此,绿盟安全提供安全培训课程,帮助员工了解常见的网络威胁和防护措施。
3. 建立安全文化:绿盟安全认为,建立安全文化是提高整体网络安全水平的基础。
因此,绿盟安全通过培训、咨询和合作等方式,帮助企业建立和完善安全文化。
四、绿盟安全的策略与实践1. 创新技术:绿盟安全不断投入研发,不断创新技术,以应对不断变化的网络威胁。
例如,绿盟安全推出了下一代防火墙、入侵检测系统、威胁情报中心等产品,以提高网络安全性能和效率。
2. 合作伙伴关系:绿盟安全与多家企业和机构建立了合作伙伴关系,共同应对网络安全挑战。
通过共享威胁情报和经验,绿盟安全可以帮助合作伙伴更好地保护其网络免受攻击。
3. 安全咨询与服务:绿盟安全提供安全咨询与服务,帮助企业评估和改进其网络安全体系。
通过绿盟安全的专家团队,企业可以了解其网络中存在的风险和薄弱环节,并制定相应的措施进行改进。
NSF-PROD-WAF(主机版)-V6.0-WH-产品白皮书
绿盟WEB应用防火墙(主机版)产品白皮书© 2022 绿盟科技■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■ 商标信息绿盟科技、NSFOCUS是绿盟科技的商标。
目录一. 前言 (1)二. 网页篡改现状 (1)2.1概述 (1)2.2攻击手段 (2)2.2.1 Mass SQL注入攻击造成网页篡改/挂马 (3)三. 网页篡改防护解决思路 (4)3.1WEB应用/技术发展 (4)3.2早期的网页篡改防护技术 (5)3.3解决思路 (6)四. 绿盟WEB应用防火墙(主机版)解决方案 (6)4.1概述 (6)4.2功能组件 (7)4.2.2 集中管理服务器 (7)4.2.3 网站服务器代理 (8)4.2.4 发布服务器代理 (8)4.2.5 备份服务器代理 (8)4.3产品核心技术 (8)4.3.1 WEB应用攻击防护技术 (8)4.3.2 网页挂马检测 (9)4.3.3 核心内嵌技术 (10)4.3.4 文件保护技术 (10)4.3.5 自动同步技术 (10)4.4跨平台支持 (10)4.5自身安全性 (11)4.6强大的告警功能 (11)4.7丰富的审计功能 (11)4.8NSFOCUS WAF部署 (12)五. 结论 (12)插图索引图 2.1 MASS SQL INJECTION攻击原理 (4)图 3.1 WEB应用/技术发展 (5)图 4.1 NSFOCUS WAF组件 (7)图 4.2 NSFOCUS WAF典型部署 (12)一. 前言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现,正深刻影响人们生活与工作的方式。
与此同时,信息安全的重要性也在不断提升。
20130808_NSF-PROD-RSAS-V6.0-产品白皮书-V1.0
绿盟远程安全评估系统产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-RSAS-V6.0-产品白皮书-V1.0■版本编号V1.0 ■日期2013-6-15■撰写人尹航■批准人李晨© 2022 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 攻防威胁的变化 (1)二. 环境变化带来的问题 (1)三. 新一代漏洞管理产品必备特性 (2)四. 绿盟远程安全评估系统 (2)4.1产品体系结构 (3)4.1.1 基础平台层功能 (3)4.1.2 系统服务层功能 (4)4.1.3 系统核心层功能 (4)4.1.4 系统接入层功能 (4)4.2产品特色 (5)4.2.1 多种检查能力合一,全面系统脆弱性发现 (5)4.2.2 风险统一分析 (6)4.2.3 灵活的部署方案 (7)4.2.4 独创便携工控设备,随时监督检查 (7)4.2.5 结合资产从海量数据快速定位风险 (7)4.2.6 融入并促进安全管理流程 (8)4.2.7 识别非标准端口,准确扫描服务漏洞 (8)4.2.8 丰富的漏洞、配置知识库 (9)4.3典型应用方式 (9)4.3.1 监督检查或小规模网络安全运维 (9)4.3.2 中小规模多子网安全运维 (10)4.3.3 网络访问受限的子网安全运维 (10)4.3.4 大规模跨地区网络安全运维 (11)五. 结论 (12)插图索引图 4.1 NSFOCUS RSAS整体架构图 (3)图 4.2 NSFOCUS RSAS单机部署 (9)图 4.3 NSFOCUS RSAS单机多网口多子网接入 (10)图 4.4 NSFOCUS RSAS代理扫描 (11)图 4.5 NSFOCUS RSAS大规模部署 (12)一. 攻防威胁的变化利用安全漏洞进行网络攻击的互联网安全问题,好像阳光下的阴影,始终伴随着互联网行业的应用发展。
冰之眼网络入侵检测系统产品白皮书
冰之眼网络入侵检测系统产品白皮书©7/14/2021绿盟科技■声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容,除另有特别注明,均属绿盟科技所有,并受到有关产权及法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息绿盟科技、NSFOCUS、冰之眼是绿盟科技的商标。
目录一. 前言1二. 为什么需要入侵检测系统12.1防火墙的局限22.2入侵检测系统的特点2三. 如何评价入侵检测系统3四. 绿盟科技网络入侵检测系统34.1产品功能34.2体系架构44.3产品特点54.3.1 基于对象的虚拟系统54.3.2 准确细致的检测技术64.3.3 强大丰富的管理能力64.3.4 可扩展的入侵保护84.3.5 高可靠的自身平安性94.4解决方案94.4.1 小型网络之精细管理方案94.4.2 中型网络之集中管理方案104.4.3 大型网络之分级管理方案11五. 结论12一. 前言随着信息化技术的深入和互联网的迅速开展,整个世界正在迅速地融为一体,计算机网络已经成为国家的经济根底和命脉。
众多的企业、组织与政府部门都在组建和开展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。
计算机网络在经济和生活的各个领域正在迅速普及,其地位越来越重要,整个社会对网络的依赖程度越来越大。
伴随着网络的开展,也产生了各种各样的问题,其中平安问题尤为突出。
现在,网络中蠕虫、病毒及垃圾肆意泛滥,木马无孔不入,DDOS攻击越来越常见,网络资源滥用〔包括P2P下载、IM即时通讯、网络游戏、在线视频等行为〕,黑客攻击行为几乎每时每刻都在发生,所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。
能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为,成为所有网络用户面临的一个重要问题。
二. 为什么需要入侵检测系统随着网络的普及,网络平安事件的发生离我们越来越近,我们可能遇到如下情况:◆公司的网络系统被入侵了,造成效劳器瘫痪,但不知道什么时候被入侵的;◆客户抱怨公司的网页无法正常翻开,检查发现是效劳器被攻击了,但不知道遭受何种方式的攻击;◆公司XX资料被窃,给公司造成巨大的损失,但是检查不出是谁干的;◆公司网络瘫痪,检查出遭受蠕虫病毒攻击,但是不知道如何去除和防止再次遭到攻击;◆公司网络被入侵了,平安事件调查中缺乏证据。
NSFOCUS 绿盟网络入侵防护系统 说明书
文档版本:V5.6.3.25-20090828绿盟网络入侵防护系统用户使用手册© 2009 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录前言 (1)文档范围 (1)期望读者 (1)内容简介 (1)获得帮助 (2)格式约定 (2)一. 产品概述 (3)二. 基础知识 (4)2.1接口 (4)2.2子接口 (4)2.3安全区 (4)2.4对象 (5)2.5VLAN与VLAN路由 (5)2.6证书系统 (5)三. 登录引擎WEB管理界面 (7)3.1登录方法 (7)3.2导入证书 (8)3.3系统状态确认 (9)四. 部署方式 (11)4.1直通部署方式 (11)4.1.1 单路部署 (11)4.1.2 多路部署 (13)4.2三层部署方式 (14)4.2.1 静态路由部署 (14)4.2.2 OSPF动态路由部署 (23)4.2.3 RIP动态路由部署 (26)4.3BGP部署 (26)4.4VLAN部署 (27)4.4.1 VLAN部署方式一:隔离广播域 (28)4.4.2 VLAN部署方式二:Trunk (29)4.4.3 VLAN部署方式三:Trunk穿越 (30)4.4.4 VLAN部署方式四:混合部署 (31)4.5单臂路由部署方式 (32)4.6负载均衡部署方式 (33)4.7高可用性设置 (35)4.7.1 高可用性HA设置 (35)4.7.2 生成树配置 (36)五. 策略配置 (38)5.1对象 (38)5.1.1 网络对象 (38)5.1.2 服务对象 (46)5.1.3 事件对象 (49)5.1.4 IM/P2P对象 (60)5.1.5 时间对象 (63)5.2路由 (66)5.2.1 静态路由 (66)5.2.2 动态路由 (68)5.2.3 策略路由 (68)5.3防火墙策略 (69)5.3.1 阻断功能 (70)5.3.2 认证功能 (70)5.3.3 NAT功能 (73)5.3.4 一一映射和端口映射 (74)5.4IDS联动 (76)5.5入侵防护策略 (76)5.6流量管理策略 (77)5.6.1 保证带宽 (77)5.6.2 最大带宽 (78)5.7IM/P2P策略 (79)5.8WEB安全策略 (82)5.8.1 WEB信誉策略配置 (82)5.8.2 URL过滤策略配置 (83)5.9防病毒策略 (83)5.9.1 启用防病毒引擎 (84)5.9.2 防病毒策略配置 (85)5.10透明代理策略 (88)5.11DHCP服务 (89)5.11.1 DHCP服务配置 (89)5.11.2 DHCP中继配置 (91)5.11.3 租约列表 (92)5.12DNS服务 (92)5.12.1 DNS服务器配置 (92)5.12.2 DNS客户端配置 (93)5.13IPMAC绑定 (93)5.14策略配置生效方式 (95)六. 查看实时事件 (96)6.1流量 (96)6.2入侵防护事件 (96)6.3IM/P2P事件 (97)6.4WEB安全事件 (98)6.5防病毒事件 (99)七. 日志分析 (100)7.1防火墙日志 (100)7.2入侵防护日志 (101)7.3IM/P2P日志 (102)7.4WEB安全日志 (103)7.5防病毒日志 (104)7.6系统日志 (105)八. 统计报表 (107)8.1防火墙统计报表 (107)8.2入侵防护统计报表 (108)8.3IM/P2P统计报表 (108)8.4WEB安全统计报表 (109)8.5防病毒统计报表 (110)九. 系统维护 (112)9.1升级与恢复 (112)9.1.1 升级设置 (112)9.1.2 导入升级文件 (112)9.2下载与备份 (114)9.3系统配置 (114)9.3.1 引擎配置 (114)9.3.2 外置Bypass配置 (115)9.3.3 与安全中心连接 (116)9.3.4 SQL注入白名单 (117)9.3.5 恶意站点库白名单 (118)9.4帐号管理 (119)9.4.1 帐号管理 (119)9.4.2 参数配置 (121)9.5网络诊断与调试 (122)9.5.1 网络连接状态 (122)9.5.2 网卡状态 (123)9.5.3 ping工具 (123)9.5.4 traceroute工具 (124)9.6证书管理 (124)9.7系统控制 (124)十. 引擎串口管理 (126)10.1功能概述 (126)10.2登录串口 (126)10.3详细介绍 (129)10.3.1 查看系统信息 (129)10.3.2 配置安全中心 (130)10.3.3 诊断工具 (131)10.3.4 维护工具 (132)10.3.5 系统初始化 (133)10.3.6 重新启动系统 (134)10.3.7 存储当前设置 (134)10.3.8 退出配置界面 (135)十一. NSFOCUS NIPS规则库 (136)附录A出厂参数 (137)A.1引擎管理口初始设置 (137)A.2引擎初始用户 (137)A.2.1Web操作员初始帐号 (137)A.2.2Web审计员初始帐号 (137)A.2.3串口管理员初始帐号 (137)A.3绿盟安全中心管理员初始帐号 (137)A.4串口通讯参数 (138)A.5CLI管理员初始帐号 (138)插图索引图 3.1 登录时的安全警报界面 (7)图 3.2 NSFOCUS NIPS的WEB管理登录界面 (8)图 3.3 NSFOCUS NIPS当前的运行状态信息 (8)图 3.4 导入引擎证书之前 (9)图 3.5 导入引擎证书确认对话框 (9)图 3.6 正确导入引擎证书之后的证书信息 (10)图 4.1 部署方式–单路部署结构图 (11)图 4.2 单路部署方式–配置ETH0接口 (12)图 4.3 单路部署方式–配置ETH1接口 (12)图 4.4 单路部署方式–配置ETH2接口 (13)图 4.5 部署方式–单路部署的接口列表 (13)图 4.6 部署方式–多路部署结构图 (13)图 4.7 多路部署方式–配置ETH3接口 (14)图 4.8 部署方式–多路部署的接口列表 (14)图 4.9 部署方式–静态部署结构图 (15)图 4.10 静态路由部署方式–配置DMZ安全区 (16)图 4.11 静态路由部署方式–配置内网安全区 (16)图 4.12 静态路由部署方式–配置外网安全区 (16)图 4.13 静态路由部署方式–配置内网接口 (16)图 4.14 静态路由部署方式–配置外网接口 (17)图 4.15 静态路由部署方式–配置DMZ安全区接口 (17)图 4.16 静态路由部署方式–配置完成后的接口列表 (17)图 4.17 静态路由部署方式–创建节点对象(DMZ服务器) (18)图 4.18 静态路由部署方式–创建节点对象(一一映射公网的IP地址) (18)图 4.19 静态路由部署方式–创建节点对象(DMZ区域的WEB服务器内部IP地址) (18)图 4.20 静态路由部署方式–创建节点对象(外网接口IP地址) (19)图 4.21 静态路由部署方式–配置完成后的节点对象列表 (19)图 4.22 静态路由部署方式–创建IP池对象(NAT使用地址) (19)图 4.23 静态路由部署方式–配置完成后的IP池对象列表 (19)图 4.24 静态路由部署方式–配置防火墙规则的NAT (20)图 4.25 静态路由部署方式–配置完成后的防火墙规则列表 (20)图 4.26 静态路由部署方式–配置外网接口的一一映射规则 (21)图 4.27 静态路由部署方式–配置完毕的外网接口一一映射规则列表 (21)图 4.28 静态路由部署方式–创建“外网 外网”的防火墙规则 (21)图 4.29 静态路由部署方式–配置外网接口的端口映射规则 (22)图 4.30 静态路由部署方式–配置完毕的外网接口端口映射规则列表 (22)图 4.31 静态路由部署方式–创建静态路由1 (22)图 4.32 静态路由部署方式–创建静态路由2 (23)图 4.33 静态路由部署方式–配置完毕的静态路由列表 (23)图 4.34 部署方式–动态路由部署结构图(方式一) (24)图 4.35 部署方式–动态路由部署结构图(方式二) (25)图 4.36 部署方式–查看OSPF路由信息 (26)图 4.37 部署方式– BGP部署结构图 (27)图 4.38 部署方式– VLAN部署结构图(隔离广播域) (28)图 4.39 VLAN部署–创建ACCESS模式的安全区VLAN_A (28)图 4.40 VLAN部署–创建ACCESS模式的安全区VLAN_B (29)图 4.41 VLAN部署–隔离广播域的接口列表 (29)图 4.42 部署方式– VLAN部署结构图(TRUNK) (30)图 4.43 VLAN部署–创建TRUNK模式的安全区VLAN_C (30)图 4.44 部署方式– VLAN部署结构图(TRUNK穿越) (31)图 4.45 部署方式– VLAN部署结构图(混合部署) (31)图 4.46 VLAN部署–创建三层模式的安全区VLAN_F (32)图 4.47 VLAN部署–创建ACCESS模式的安全区VLAN_G (32)图 4.48 部署方式–单臂路由部署结构图 (33)图 4.49 单臂路由部署方式–子接口列表 (33)图 4.50 部署方式–负载均衡部署结构图 (34)图 4.51 网络–高可用性设置 (35)图 4.52 网络-生成树配置 (37)图 5.1 对象–网络对象列表 (38)图 5.2 对象–创建网络对象 (39)图 5.3 对象–节点对象列表 (40)图 5.4 对象–创建节点对象 (40)图 5.5 对象–MAC地址对象列表 (42)图 5.6 对象–创建MAC地址对象 (42)图 5.7 对象– IP池对象列表 (43)图 5.8 对象–创建IP池对象 (43)图 5.9 对象–网络组对象列表 (44)图 5.10 对象–创建网络组对象 (45)图 5.11 对象–系统服务对象列表 (46)图 5.12 对象–自定义服务对象列表 (47)图 5.13 对象–创建自定义服务对象 (47)图 5.14 对象–服务组对象列表 (48)图 5.15 对象–系统分组对象列表 (50)图 5.16 对象–编辑系统分组对象 (50)图 5.17 对象–自定义规则列表 (51)图 5.18 对象–自定义IP规则 (52)图 5.19 对象–自定义UDP规则 (53)图 5.20 对象–自定义ICMP规则 (54)图 5.21 对象–自定义HTTP规则 (55)图 5.22 对象–自定义POP3规则 (55)图 5.23 对象–自定义MSN规则 (56)图 5.24 对象–自定义QQTCP规则 (57)图 5.25 对象–自定义FTP规则 (57)图 5.26 对象–自定义分组对象列表 (58)图 5.27 对象–创建自定义分组对象 (58)图 5.28 对象–事件组对象列表 (59)图 5.29 对象–系统IM/P2P对象列表 (60)图 5.30 对象–自定义IM/P2P对象列表 (61)图 5.31 对象–创建自定义IM/P2P对象 (62)图 5.32 对象– IM/P2P组对象列表 (63)图 5.33 对象–自定义时间对象列表 (64)图 5.34 对象–创建自定义时间对象 (64)图 5.35 对象–时间组对象列表 (65)图 5.36 路由–静态路由列表 (67)图 5.37 路由–创建静态路由 (67)图 5.38 路由–策略路由列表 (68)图 5.39 路由–创建策略路由 (68)图 5.40 防火墙策略–设置阻断功能 (70)图 5.41 防火墙策略–设置阻断功能的规则 (70)图 5.42 防火墙策略–认证配置 (71)图 5.43 防火墙策略–设置NSFOCUS EPS认证功能 (72)图 5.44 防火墙策略–设置NSFOCUS EPS认证功能的规则 (72)图 5.45 防火墙策略–设置NAT地址对象 (73)图 5.46 防火墙策略–设置防火墙规则(NAT功能) (73)图 5.47 一一映射–设置接口的一一映射规则 (74)图 5.48 一一映射–设置完毕的一一映射规则列表 (74)图 5.49 端口映射–设置接口的端口映射规则 (75)图 5.50 端口映射–设置完毕的端口映射规则列表 (75)图 5.51 入侵防护策略–创建阻断蠕虫和病毒的规则 (76)图 5.52 入侵防护策略–创建检查全部事件的规则 (77)图 5.53 配置完毕的入侵防护规则列表 (77)图 5.54 流量管理策略–创建流量管理规则(保证带宽) (78)图 5.55 流量管理策略–创建流量管理规则(最大带宽) (79)图 5.56 IM/P2P策略–创建阻断迅雷、BT下载和电驴的规则 (80)图 5.57 IM/P2P策略–定义上班时间对象 (80)图 5.58 IM/P2P策略–时间对象列表 (80)图 5.59 IM/P2P策略–创建在线视频和网络游戏事件上班时间的规则 (81)图 5.60 IM/P2P策略–创建检查全部事件的规则 (81)图 5.61 配置完毕的IM/P2P规则列表 (81)图 5.62 WEB安全策略–配置WEB信誉 (82)图 5.63 WEB安全策略–触发规则时的页面显示 (82)图 5.64 WEB安全策略–创建URL过滤规则 (83)图 5.65 配置完毕的URL过滤规则列表 (83)图 5.66 防病毒策略– NSFOCUS病毒引擎配置 (84)图 5.67 防病毒策略–创建防病毒规则 (85)图 5.68 配置完毕的防病毒规则列表 (85)图 5.69 防病毒配置– NSFOCUS病毒引擎 (86)图 5.70 防病毒配置– KASPERKAY病毒引擎 (86)图 5.71 防病毒策略–白名单 (87)图 5.72 防病毒配置–许可证 (87)图 5.73 防病毒策略–病毒库版本信息 (87)图 5.74 透明代理-新建配置 (88)图 5.75 透明代理配置列表 (88)图 5.76 DHCP –新建动态DHCP服务 (90)图 5.77 DHCP –新建静态DHCP服务 (90)图 5.78 DHCP –配置完毕的DHCP服务列表 (91)图 5.79 DHCP –新建DHCP中继 (91)图 5.80 DHCP –配置完毕的DHCP服务列表 (91)图 5.81 DHCP –租约列表 (92)图 5.82 DNS –新建DNS服务器 (92)图 5.83 DNS –配置完毕的DNS服务器列表 (92)图 5.84 DNS –新建DNS客户端 (93)图 5.85 网络– IP和MAC绑定规则列表 (93)图 5.86 网络–新建IP地址与MAC地址的绑定 (94)图 5.87 网络– IPMAC在线状态 (95)图 6.1 NSFOCUS NIPS引擎实时流量统计信息 (96)图 6.2 事件–入侵防护事件TOP20 (97)图 6.3 事件– IM/P2P事件TOP20 (98)图 6.4 事件– WEB安全事件TOP20 (98)图 6.5 事件–防病毒事件TOP20 (99)图7.1 日志分析–防火墙日志 (100)图7.2 日志分析–入侵防护日志 (101)图7.3 日志分析– IM/P2P日志 (102)图7.4 日志分析– WEB安全日志 (103)图7.5 日志分析–防病毒日志 (104)图7.6 日志分析–系统日志 (105)图8.1 统计报表–防火墙统计报表 (107)图8.2 统计报表–入侵防护统计报表 (108)图8.3 统计报表– IM/P2P统计报表 (109)图8.4 统计报表– WEB安全统计报表 (110)图8.5 统计报表–防病毒统计报表 (111)图9.1 系统–导入升级文件 (113)图9.2 系统–下载文件 (114)图9.3 系统–引擎配置 (115)图9.4 系统–外置BYPASS设备 (116)图9.5 系统–配置引擎的安全中心 (116)图9.6 系统配置–SQL注入白名单 (118)图9.7 系统配置–恶意站点库白名单 (119)图9.8 系统–帐号管理 (120)图9.9 添加新账户 (121)图9.10 帐号管理-参数配置 (122)图9.11 系统–当前的网络连接状态 (123)图9.12 系统–当前的网卡状态 (123)图9.13 系统–网络诊断工具(PING工具) (124)图9.14 系统–网络诊断工具(TRACEROUTE工具) (124)图9.15 系统–系统控制 (125)图10.1 超级终端运行的位置信息 (126)图10.2 输入超级终端连接描述 (127)图10.3 选择超级终端连接端口 (127)图10.4 设置超级终端连接端口 (128)图10.5 选择引擎管理菜单语言 (128)图10.6 NSFOCUS NIPS引擎的串口管理主菜单 (129)图10.7 引擎串口管理–查看系统信息 (130)图10.8 引擎串口管理–配置网络引擎参数 (131)图10.9 引擎串口管理–诊断工具 (132)图10.10 引擎串口管理–维护工具 (133)图10.11 引擎串口管理–系统初始化 (133)图10.12 引擎串口管理–重新启动系统 (134)图10.13 引擎串口管理–存储当前设置 (134)图11.1 帮助–规则库搜索 (136)前言文档范围本文将覆盖绿盟网络入侵防护系统(NSFOCUS Network Intrusion Prevention System,以下简称NSFOCUS NIPS)的Web管理界面和串口管理界面的所有功能点,详细介绍使用方法。
国内首台NIPS—绿盟科技冰之眼网络入侵保护系统正式推出
国内首台NIPS—绿盟科技冰之眼网络入侵保护系统正式推出近日,国内著名网络安全公司绿盟科技在京举办新产品新闻发布会,隆重推出国内首台具有全部自主知识产权的冰之眼网络入侵保护系统(ICEYE NIPS)。
来自与网络安全密切相关的20余家主流IT报刊、IT门户网站和安全期刊的记者在绿盟科技公司产品展示厅出席了新产品的发布活动。
会上绿盟科技的技术专家介绍了国际网络安全产品的发展概况,演示了对企业、政府网络管理具有全新意义的冰之眼网络入侵保护系统,详细解答了与会记者关于网络安全管理方面的提问。
网络入侵保护系统(NIPS)是一种具有主动检测布防特性,在综合了安全防火墙、入侵检测系统各自优点的基础上形成的新一代安全防护产品,目前在国际上已经被广泛应用,并在很多地方已经全部取代了传统入侵检测系统(IDS)和部分取代了防火墙的应用。
国内业界由于对这类安全产品的接触较少、认知不同,对于攻击误报、串接方式、运行效率等问题还存在疑问,一直处于争论观察期。
绿盟科技公司依靠多年在安全漏洞与攻防技术研究方面积累下来的丰富经验,完全依靠自己的力量在两年时间内完成了IPS产品的研发试用工作,解决了业界最为担心的误报、效率等问题。
特别是针对企业、政府网络应用中存在的资源滥用、安全泄密等重大问题增加了检测、控制功能,可以完全变被动为主动地实施安全管理工作。
经过试用,效果优异,客户反映良好。
绿盟科技今天正式推出这款具有国际水准的网络入侵保护系统,对国内网络安全工作的开展具有重大意义,同时也对抗衡国际同类产品提供了有力的竞争产品。
背景材料:随着新的网络技术的不断诞生,许多传统的安全产品已经无法应对新型的安全威胁,目前我们经常看到的情况是:每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播,阻塞甚至中断网络;BT、电驴等P2P下载软件轻易的占据100%的企业网络上行下行带宽;员工沉浸在QQ、MSN聊天或反恐精英、传奇等网游中不能自拔,从而影响了正常的工作。
下一代入侵防御系统NIPS产品白皮书
下一代入侵防御系统产品白皮书(SANGFOR)下一代入侵防御系统(NIPS)是自主研发的网络型入侵防御产品,围绕精确识别,有效阻断的核心理念,通过对网络流量的深度解析,可及时准确发现各类非法入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。
SANGFOR NIPS 不仅可以应对对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解,而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为进行防御,有效弥补网络层防护产品深层防御效果的不足,为用户提供了完整的立体式网络安全防护。
SANGFOR NIPS相比传统入侵防御系统更加强调通过多维度的检测技术包含基于AI 和沙箱等技术实现识别的精确性,同时,通过简单的运维操作方式提升管理和运维的有效性。
1.1产品架构介绍1.1.1深度内容解析SANGFOR NIPS的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。
灰度威胁识别技术改变了传统NIPS 等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
1.1.2分离平面设计SANGFOR NIPS通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。
实现数据报文的高效,可靠处理。
1.1.3单次解析架构要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。
因此,SANGFOR NIPS所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。
绿盟网络入侵防护系统NIPSNX...
用户 管理
用户身份识别能力 增强的客户端身份认 证能力
统计分析告警 自定义分布统计模型 报表系统 地址簿功能
级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带 宽限制、会 话限制和每 IP 设置等功能,有效保证关键应用全天候畅通无阻。须提供界面截 图。
系统应具备用户身份识别能力,支持基于用户身份进行策略配置、 日志记录与 查询;支持自动与手动获取用户信息列表并生成组织结构图。须提供界面截图。
300Mbps 100 万 20,000 <100 µs
类别
参数
入侵检测引擎
攻击特征库
入侵 检测 和防 护能 力
攻击防护类型
客户 端 Web 安全 防护
恶意 Web 流量过滤 URL 分类及控制
ห้องสมุดไป่ตู้
流量 管理
流量分析 基于应用协议的流量 控制功能
功能及技术描述
系统应具备融合模式匹配、协议分析、异常检测、会话关联分析,以及抗 IDS/IPS 逃逸等多种技术,准确识别各种黑客入侵,为用户提供 2~7 层深度入侵防御。 系统应提供覆盖广泛的攻击特征库,能够针对 3700 种以上的攻击行为、异常事 件,以及网络资源滥用流量,进行检测和防御。 系统携带的攻击特征库须获得 CVE-Compatible 兼容性认证须提供证书复印件。 系统应具备防僵尸网络功能,从而提高整体安全防护能力 须提供规则界面截图。 系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、 暴力破解等 恶意流量的检测和阻断。 系统应具备基于“漏洞保护”的虚拟补丁功能,融合协议异常检测 能力,有效 抵御缓冲区溢出攻击,以及各类未知攻击。 系统应具备零日攻击防护能力,保护用户避免遭受新的安全威胁 系统应能够有效抵御 SQL 注入等多种常见的应用层安全威胁 系统应提供先进的 DoS/DDoS 攻击防护能力,支持双向阻断 TCP/UDP/ICMP/ACK Flooding,以及 UDP/ICMP Smurfing 等常见的 DoS/DdoS 的攻击。 系统应能对环境进行感知。 须提供界面截图。 系统应提供入侵行为和应用软件特征的自定义接口,可根据用户需 求定制对其 它流量的检测和阻断规则。 系统应提供 Web 信誉机制,非 URL 库,在用户访问被植入木马的页面时,给予 及时报警和阻断,能够有效抵御 Web 安全威胁渗入企业内网。须提供界面截图。 系统应提供中英文网页过滤数据库,超过 1,000 万条的 URL,多种精细分类(如 不良言论、色情暴力、网络“钓鱼”、论坛聊天等),实现全面 、高效的高风险、 不良网站过滤。须提供界面截图。 系统应支持全面的流量分析功能,可察看网络实时流量,包括 :流量协议分布、 流量 IP 分布、自定义察看某种流量 TOP10、常见流量 TOP10 等;同时应支持生 成日、周和月的流量报表,以便了解一段时间的流量情况。 系统应提供灵活的流量管理功能,可以根据用户、应用、目的 IP 地址、时间及 带宽等因素,实现基于应用、面向对象的流量保护策略。通过流量 许可和优先