东软安全产品资料

1.1.1NetEye IDS 2200功能特性
1.1.1.1强大的攻击入侵检测功能
支持3400种以上的特征库
NetEye IDS根据数据流智能重组，轻松处理分片和乱序数据包。

利用统计与模式匹配，异常分析，检测3400多种攻击与入侵行为。

系统提供默认策略，用户也可以方便的定制策略。

使用数据库存储攻击与入侵信息以便随时检索。

系统还提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。

管理员可根据资料加强系统安全，并追究攻击者责任。

支持高级用户自定义检测规则
不同行业用户管理网络面临的安全问题有时各不一样，NetEye IDS为高级用户提供了自定义检测事件编辑功能，用户可以根据自身网络应用特点添加需要检测的安全事件。

特征库定期升级
NetEye IDS固定每周提供特征库的升级，当遇到重大安全事件或者突发安全事件时，提供及时升级，如针对冲击波、振荡波的及时升级。

与国际标准同步
根据CVE标准，以策略模板的形式预存了3000种多种攻击特征，管理员可以直接使用预存的策略，或者继承原有的策略，根据自己的特殊业务需求进行修改和补充，灵活地制定攻击检测策略。

根据BID标准对事件进行描述，将所能对应的攻击事件注明了相应的BID编号，便于用户更为详细的了解事件的详细内容。

检测ARP攻击
针对当前网络中常见的ARP攻击现象，通过地址的绑定技术，全面解决网络中的ARP 欺骗攻击，保证网络中的“纯净”。

1.1.1.2全面的审计功能
详尽的内容恢复，支持多种常用协议
NetEye IDS针对十几种常用的应用协议（SMTP、POP3、TELNET、FTP、HTTP、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等）具备内容恢复功能。

NetEye IDS实现完全记录通信的过程与内容，并将其回放。

支持自定义协议的内容恢复，便于用户根据自己的业务需求进行扩充。

此功能可用于监控内部网络中的用户是否滥用网络资源、是否窃取帐户进行非法访问、是否进行非法授权，从而发现网络中的机密信息泄露，直接获取犯罪分子活动信息。

应用审计功能
NetEye IDS针对十几种常用的应用协议（HTTP、 FTP、SMTP、POP3、TELNET、IMAP、NNTP、MSN等），记录：服务器的Banner信息、访问的URL地址、用户名等关键信息。

连接审计功能
NetEye IDS具备针对所有协议的网络连接审计功能，记录所有网络连接的时间、地址、端口、数据量等信息，并可以按照时间、地址、端口等条件进行查询统计，可以使用多种图形方式显示统计结果。

内容检测审计
可以针对HTTP、SMTP、POP3、IMAP、NNTP等最常用协议进行HTTP URL地址、HTTP 正文、发件人、收件人、邮件主题、邮件正文等项进行内容检测，可以针对特定站点、用户、特定内容进行重点审计与监控，有利于对通过网络的犯罪行为进行审计。

黑名单审计
NetEye IDS提供针对某些可疑主机和应用重点审计的功能。

通过在NetEye IDS的黑名单中配置可疑主机和可疑的应用，NetEye IDS更专注于审计这些主机和应用所产生的网络应用行为，而对其它主机和应用不进行相关审计。

1.1.1.3网络行为实时监控和嗅探
网络实时监控
NetEye IDS实时监控网络当前连接，显示网络用户信息，可随时断开可疑连接，最大限度的保证网络安全，实时监控网络当前流量，便于管理员发现网络异常，定位网络故障。

网络连接嗅探
NetEye IDS具有网络分析器功能，能够给出当前网络安全状况报告，能够对数据包进行解码，对MAC层及以上各协议层每个字节进行解释，并以友好的方式显示给用户。

主机信息收集
NetEye IDS能够自动获取网络中的主机信息，包括：IP地址、MAC地址、用户名、所属的组，为排除网络中的ARP攻击，提供MAC地址定位查询功能。

主动扫描探测
内置主动扫描器，入侵检测产品通常在攻击发起后才能检测出来，NetEye IDS首次在IDS系统中增加了主动探测被监控主机的功能，主动发现被监控主机中所存在的安全配置隐患、端口开放隐患、用户管理隐患等，给出当前网络安全状况报告，从而做到防患于未然。

1.1.1.4管理与响应
分布式结构，监控大型网络，支持多级管理
NetEye IDS可将探测引擎安装于大型网络的各个物理子网中，分布式监控网络的各个部分，一台管理器可管理多台服务器，达到分布安装，全网监控，集中管理，同时支持多级管理结构，适用于省规模以上的多级网络结构的，各级可独立管理IDS引擎，也可以由最高级管理中心对全网的IDS引擎进行集中的管理。

管理角色划分
用户角色分为：用户管理员、审计管理员、安全管理员。

不同的角色拥有不同的操作权限，更能保证系统的安全。

专有用户管理器
设定专门的用户管理员对使用者的身份进行管理，同时又对用户管理员的权限做限制，是当前安全产品对于使用者身份进行管理的一个趋势，NetEye IDS采用专用的用户管理器对IDS的使用者的身份进行管理，从而大大提高了IDS系统自身的安全性。

集中管理器
通过集中管理器，可集中管理多个探测引擎，实现了：
对探测引擎进行统一的规则库升级、统一的安全策略下发。

所有的探测引擎向集中管理器的报警中心提交报警事件，由报警中心集中进行管理。

通过集中管理器，可以实时监控各个探测引擎的状态。

双重口令认证功能
登陆认证采用双重口令认证方式，大大增加了使用人员身份的合法性，从而保证了，IDS系统自己安全，用户口令支持双密码策略，如果用户设置为双密码，那么在认证的时候
需要同时输入两个正确的密码才能认证成功；如果用户设置为单密码，则登录认证时只需要输入首要密码即可。

多种报警方式，实时展示入侵行为，并做出反应
为了使用户能够即时掌握网络中的入侵行为，系统在管理器中加入了实时报警装置，网络中发生入侵事件时，系统会立即在管理器中反应出来。

还可以设置记录日志、邮件报警SYSLOG、SNMP Trap、播放声音、Windows日志、Windows消息、运行程序等其它的报警方式供用户选择。

对于报警事件可设置采取的防范措施，例如，切断攻击连接、防火墙联动。

利用标准的SYSLOG和SNMP协议，可以支持高层网管软件的告警平台，做到事件统一管理。

灵活的查询，报表功能
NetEye IDS采用标准的水晶报表，用户可对网络中的攻击事件，访问记录进行灵活的查询，并可根据查询结果输出图文并茂，美观的报表，管理维护简洁、明了，操作方便。

提供多样的报表输出结果,报表输出格式包含如下格式：PDF格式、HTML格式、MS Word格式、MS Excel格式、Rich Text格式、Crystal Reports格式、文本格式。

1.1.1.5自身安全性与维护性
自身的高度安全性和隐蔽性
NetEye IDS本身运行在安全的操作系统上，检测引擎和管理主机之间通讯采用128位RSA和RC4算法加密。

检测引擎为黑洞式结构，监测口无IP，攻击者无法发现，保证了自身的安全性。

自带数据库，无需额外配置
NetEye IDS内置数据库系统并提供本地存储空间，自身具备数据库，不需要用户额外的安装任何数据库。

可自行对攻击事件数据库、内容恢复数据库、应用审计数据库、网络审计数据库可以进行备份和恢复。

数据库的自动维护和备份
系统具备数据库自动维护功能。

数据库支持备份到管理主机或者指定的FTP服务器。

具备启动自动备份的功能，支持自动备份到FTP服务器上。

利用脱机浏览器可以在本地直接查看备份文件。

1.1.2产品形态和性能特点
产品类型NetEye专用硬件体系
产品形态软硬一体
服务器平台NetEye专用安全操作系统
产品型号NetEye IDS 2200-XE4
软件版本V2.2
存储160G
网络接口1个10/100MBase-Tx专用带外管理端口，RJ45
4个10/100/1000MBase-Tx监听端口，RJ45
入侵规则库>3000
ip碎片重组≥500000
最大检测tcp会话数≥1000000
吞吐量1000M，100%检测率
功能特征100% NetEye功能特征集
入侵检测的响应时间毫秒级
管理界面GUI
运行温度0~40℃
储存温度-40~70℃
相对湿度5~95%，非冷凝
电源~220V/50Hz，460W PFC
MTBF 100000小时
机箱19”，2U
1.1.3防火墙功能特性
东软在96年推出的NetEye防火墙是通过对国外防火墙产品的综合分析，针对我国具体行业应用环境和特点，结合国内外防火墙领域里的最新技术发展，提出的一种全状态包过滤的、高效的、安全可靠的专用防火墙系统。

NetEye防火墙产品采用独创的基于状态包过滤的“流过滤”体系结构，保证了从数据链路层到应用层的完全高性能过滤，并可以进行应用级插件的及时升级和攻击方式的及时响应，实现网络安全的动态保障。

围绕流过滤平台，东软专门构建了NetEye网络安全响应小组、应用升级包开发小组及网络安全实验室。

实现了流过滤不仅能够带给用户高性能的应用层保护，还包括对新应用的及时支持、特殊应用的定制开发及安全攻击事件的及时响应。

NetEye防火墙采用先进的NP架构，系统的主要模块工作在操作系统的内核模式下，并对协议的处理进行了优化，具有高吞吐量、低延迟、零丢包率和强大的缓冲能力，完全满足高速、对性能要求苛刻的网络应用。

1.1.3.1安全特性
1.同时获得应用代理和包过滤最新防火墙国家标准认证：应用级防火墙安全技术要求（GB/T 18020-1999）；包过滤防火墙安全技术要求（GB/T 18019-1999）的认证；
2. 采用专用服务器硬件和安全的核心操作系统；
3．具有安全的自身防护能力，可以实时防止多种网络攻击和扫描；当出现异常事件时，根据管理员配置，可以进行报警；可对各种常见DoS 和 DDoS 攻击的检测；对振荡波、冲击波数据包可深度过滤。

4．具有产品升级能力，且能够随着新的网络攻击行为的出现而迅速添加相应的升级包，以达到防范攻击的目的；
5．支持双机热备份功能，切换时间不超过1秒；支持配置更改同步、会话同步；
6．支持NAP（Network Alert Protocol）协议。

1.1.3.2工作模式和访问控制功能
1. 支持路由及交换两种工作模式；支持IEEE 80
2.1q 的Trunk封装协议；
2. 支持透明代理。

较好地实现了交换模式和路由模式下的应用层过滤。

在交换模式下和路由模式下均可以对应用级协议进行细度的控制，支持通配符过滤。

✓对HTTP协议可以进行命令级控制及URL、页面内容过滤、HTTP命令级过滤、Java Applet、ActiveX等小程序过滤。

至少支持HTTP（服务器信息替换、URL、小程序
（Java Applet，ActiveX等等），可以进行应用层漏洞防范（如Unicode漏洞等）。

✓对FTP协议可以进行命令级、目录及文件控制过滤。

✓对SMTP协议支持基于邮件地址、正文、附件、主题的过滤，并可以设定允许Relay 的邮件域。

✓支持多种协议服务器头信息替换，提供反向代理服务器保护技术。

3. 基于状态检测包过滤的访问控制功能。

提供灵活、全面的访问控制功能，可以基于网络地址、通讯协议、网络通讯端口、用户帐号、信息传输方向、操作方式、网络通讯时间、网络服务等。

4．支持网络地址转换（NAT），包括静态、动态、端口转换；支持单对单、多对单、多对多的地址转换、支持PAT、策略NAT；支持基于NAT的负载均衡；
5．支持IP和MAC地址绑定，防止IP地址盗用；
6．支持多种路由配置：静态路由（子网、主机、缺省），策略路由；
7. 支持多播协议，使多播数据流可以通过，同时还能够对多播数据加以控制，保证网络安全；
8．支持自动完成有关主机DNS信息的过滤转换功能，解决NAT下域名与IP地址（私有IP，公有IP）的冲突问题；
9．流量控制和基于优先级的带宽管理。

提供基于IP地址及用户的最大流量控制功能，提供基于优先级的带宽管理功能；
10．支持物理断开功能。

可以设置防火墙网卡的睡眠时间和活动时间，让防火墙在指定的时刻自动进行睡眠和活动的转换；
11．支持H.323协议，能够动态打开相应的媒体通道端口;支持TUXEDO、PNM、RTSP；
12. 具有一次性口令用户身份认证功能，并支持标准的RADIUS协议第三方认证；
13. 在防火墙设备的基础上，具有平滑的VPN扩充功能，VPN采用国家密码管理机构批准使用的硬件加密和认证（哈希）算法。

1.1.3.3监控和调试功能
1. 具有实时网络数据监控功能；实时监视当前的网络连接状态，并以列表和图形方式显示出来。

可针对当前连接、流量进行监控、统计、分析等，同时可以针对特定连接进行查询和控制（中断、延长超时时间等）；
2．具有网络嗅探的功能，实时抓取网络上的数据包，进行解码和分析；
3．具有自动搜集与防火墙相连子网中主机信息的功能，搜集的信息包括IP地址、MAC 地址、用户名、用户所在组、共享资源、端口开放情况等；
4．具有可视化维护工具：支持ping 、tracert、route、arp等维护工具。

1.1.3.4管理与响应
1. 具有物理上分离的以太网网络管理接口，可本地管理及远程集中管理；全中文GUI 管理界面，通过GUI管理界面能够完成全部配置、管理工作；
2．支持SNMP协议（包括v1、v2c、v3版本），方便管理员使用第三方的网管平台进行管理；
3．对防火墙的管理可以划分成管理员、安全员、审计员，彼此具有不同的管理权限，相互制约；
3. 防火墙上的配置信息、过滤规则可以方便地下载并保存在软盘或某PC机中，以供备份，需要时再上载或恢复；
4. 日志系统支持防火墙内部和网络数据库外部两种存放方式，支持多台防火墙系统日志的集中管理；支持SYSLOG日志输出；
5．完善的审计、日志系统；审计日志包括事件日志和访问日志。

事件日志负责记录防火墙上曾经发生过的事件（运行错误、运行信息、网络攻击、端口扫描等）。

访问日志负责记录经过防火墙的网络连接并记录相关信息。

具有相应的图形和报表功能；数据可以导出；
6. 多种报警响应方式，包括：声音、邮件、SNMP Trap等。

1.1.3.5VPN功能要求：
1、基本要求
(1)加密数据，以保证通过网络传输的信息即使被他人截取也不会泄漏；
(2)信息认证和身份认证，保证信息的合法性、完整性，并能鉴别身份；
(3)提供访问控制，不同用户有不同的访问权限；
(4)VPN可禁止错误配置包通过；
(5)VPN配置信息的完善保护；
2、管理功能
(1)本地管理必须是安全的；管理控制台不应该对外网开放；
(2)VPN产品自身应该有全面的保护功能和篡改检测（授权管理工作站除外）；
(3)本地管理员的完善的鉴别机制；远程管理要有完善的鉴别和加密机制，如果远程管
理不能加密，做到能关掉远程管理功能；
(4)提供综合的VPN管理能力，包括对安全策略、IP地址及密钥的管理能力。

基于GUI
的VPN管理工具提供基于策略的VPN配置和监控，可以优化网络性能；
(5)支持“策略推送”。

3、特定功能
(1)封装模式：AH & ESP；
(2)对IP数据包加密的加密算法的选择：DES，3DES，IDEA、基于硬件加密装置的专用加密算法；
(3)基于RSA证书结构，IKE-XAUTH安全RADIUS；
(4)数据完整性和身份认证考虑：HMAC-MD5，HMAC-SHA-1，RC4；
(5)密钥管理：人工密钥管理；IKE；用户认证；，Diffie-Hellman；
(6)协议支持：TCP/IP，IPSec ESP/AH，SCEP。

1.1.4关键技术
1.1.4.1流过滤
NetEye防火墙3.2中以状态检测包过滤为基础实现了一种称之为“流过滤”的结构，其基本的原理是以状态包过滤的形态实现应用层的保护能力。

通过内嵌的专门实现的TCP 协议栈，在状态检测包过滤的基础上实现了透明的应用信息过滤机制。

在这种机制下，从防火墙外部看，仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会
话，数据是以“流”的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。

比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能。

流过滤的结构继承了包过滤防火墙的应用透明的特点，因而非常容易部署。

并且由于应用层安全策略与网络层安全策略是紧密的，所以在任何一种部署方式下，都能够起到相同的保护作用。

流过滤的另一个优势在于性能，完全为过滤和转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，流过滤结构几乎是唯一的选择。

图 NetEye防火墙体系结构示意图
1.1.5产品形态和性能特点
11。