产 品
MORE +
scroll down

网御入侵检测系统 (TD3000-FT-A)

  • 产品描述
  • 产品特性
  • 主要功能
  • 产品规格

| 产品描述

 

网御入侵检测系统(以下简称:网御IDS)基于分布式入侵检测系统构架的网络入侵检测系统(NIDS),采用网御安全引擎,具备强大的攻击防御能力,具备多种协议分析、异常攻击。行为检测、会话关联分析,攻击达选检测等多种技术,准确识别入侵攻击行为,为用户提供2~7层深度入侵检测。综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。在入侵监控的基础上,遵循CSC关联安全标准,可主动发包或与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创建了全面纵深的安全防御体系。

2013年网御全新一代入侵检测系统上市,新一代入侵检测系统定位于智能威胁检测、分析与管理产品,威胁管理涉及:威胁发现、威胁展示、威胁分析、威胁处理四个环节,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。

| 产品特性

 

检测全面

网御入侵检测系统具备攻击检测能力,支持检测包括扫描探测,暴力猜解,拒绝服务攻击、后门控制,溢出攻击、代码执行、非授权访问、注入攻击、URL跳转、跨站攻击、WebShell,浏览器劫持、文件漏洞攻击、物联网漏洞攻击等在内的17大类9000种网络攻击事件,并对规则可设置相应警告、联动阻断动作,有效防止各种网络攻击事件,保障网络的安全性。内置6000种以上入侵检测规则;可解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、Oracle、HTTPS、SMTPS、POP3S、IMAPS等协议报文。支持防逃选检测,包括IP分片、TCP分段、HTTP-Hoader折叠、HTTP-Body编码、HTTP-Body压缩、HTTP-Post数据编码、HTTP-Javascript编码,邮件头折叠、邮件体编码、URL斜线分隔符攻击等类型。内置专业的病毒检测引擎,具有百万级的病毒特征库;内置专业的Web应用攻击检测引擎;支持智能威胁检测与向导化的威胁管理功能;支持ipv4及ipv6网络环境下的安全事件检测;全面的上网行为监控,可识别IM、P2P、网游、炒股软件等网络应用检测;支持对HTTP、IMAP、SMTP、POP3、Telnet、FTP等协议的弱口令检测,提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件。

网御IDS入侵检测处理流程图(右侧上图)

 

部署灵活

隐蔽部署:监听口、通讯口分离,监听口不配置IP地址;并行数据采集:支持TAP、非对称路由、高速网络环境等复杂部署;多端口并行监听:创新的物理虚拟引擎技术,一台硬件可当多个设备用,节省用户投资;支持分布式部署,最大支持五级级联部署,支持探测器的以添加.删除,并且可以显示探测器版本、状态和IP,管理中心具备告警统一管理能力。

 

网御IDS多虚拟引擎数据处理流程图(右侧下图)

组织化的威胁管理:海量数据以组织为单位进行归类;

分布式部署:支持设备分布式部署,集中管理;

级联部署:分级管理功能支持大型网络环境进行分层级联部署。分级部署时可自动获取下级管理中心引擎、探头配置信息,并能通过醒目颜色及时反馈运行状态;可实现上、下级之间全局消息发送、文件传输,实现全局信息共享。

 

响应丰富

报警通知:支持控制台实时显示、邮件、SNMPV2c、V3、SNMP Trap、Syslog、自用户定义等多种报警方式;支持从IP、时间、协议、端口等维度对网络原始流量进行查询下载。

关联报警:针对设定时间范围内来自相同或不同引擎的大量相同报警事件进行二次关联报警;

日志保存:支持大型数据库集中日志保存;

动态阻断:支持自动、手动发送TcpReset包动态切断会话;

外设联动:支持与国内主流的防火墙进行联动;

| 产品功能

 

分类

特性/功能

详细描述

检测

功能

入侵检测

综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,并支持自定义协议和检测事件。

能够采用僵尸主机与控制主机异常通信行为检测的方式,具有独立的僵尸主机特征库,能够对10000种僵尸主机行为进行监测,包括僵尸网络、木马控制、蠕虫、挖矿、勒索、移动端木马控制、APT等多类型的僵尸主机行为。支持对Windows.Linux、Android、Unix等多种操作系统的僵尸主机检测,并对规则可设置相应警告、联动阻断动作,有效防止僵尸主机行为,保障网络的安全性。

支持IPMAC地址绑定,实现了对ARP欺骗和IP地址冒用的报警。

支持IP碎片重组、TCP流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能。

超过3000条的检测规则,全面兼容CVEBugTraq等国际标准漏洞库。

可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略,实现安全策略的动态调整。

具备隐蔽通信检测能力,支持隐蔽通信检测,支持对HTTP、FIP、SMTP、IMAP、POP3、Telnet等服务的总蔽通信检测,可设置相应警告、联动阻断动作,保障网络的安全性。

病毒检测

内置专业的病毒检测引擎。

百万级的病毒检测规则。

支持基于IPv4/v6网络的病毒检测。

Web攻击检测

内置专业的Web应用攻击检测引擎。

支持基于IPv4/v6网络的Web攻击检测。

流量统计与监控

可实时显示引擎的总流量、Web应用流量、邮件流量、数据库流量、其它流量等,并支持流量的配置与报警功能。

报表统计

报表可包括各种入侵统计、流量统计、应用监控等不同方面信息。

有超过100种报表模板,并可自定义报表。

报表支持支持HTML、PDF、WORD、EXCEL格式的报表导出。

支持基于事件名称、源地址、目的地址的三维交叉报表功能。

支持审计日志、运作日志导出功能。

易用性

支持在线或离线升级方式;全中文的图形化用户界面;全中文的串口菜单式管理界面;实时图形显示探测器的CPU、内存等资源利用状况。

灵活性

支持分布式部署。一个控制台可以同时管理多个探测器;支持多级管理,报警事件可以多级上报,检测策略可多级下发

分级部署时,可实现上、下级之间消息发送、文件传输,实现全局信息共享。

高安全性

支持通过导入证书方式实现SSL卸载,将加密流量解密还原为:ITTP、IMAP、SMTP、POP3、FTP、RDP、MQTT等协议流量,保障业务的正常运行,保障网络通信安全。。

响应

方式

被动响应方式

支持实时的邮件、短信、SNMPV2c、V3、SNMP Trap等多种被动报警响应方式。

针对设定时间范围内来自相同或不同引擎的大量相同报警事件进行二次关联报警。

主动响应方式

支持查看并保存会话内容,探测器可主动向会话双方发送RST包,来切断入侵会话。

支持DDoS检测及检测基线自学习功能,能够进行自学习配置、自学习结果查看、防护配置设置,形成DDOS攻击防护阈值,及时有效阻断DDOS攻击。

支持国内外品牌主流防火墙的联动。

支持SNMP Trap协议,报警信息可被LeadsecTopsec等多种安全管理系统接收和处理。

| 产品规格

 

产品型号

TD3000-FT-A

实配网络接口

4个千兆电口、4个千兆光口、4个万兆光口,1个扩展槽位

整机吞吐量

40Gbps

最大并发连接数

2000万

电源

冗余电源

高度

2U

Top