网神信息技术(北京)股份有限公司的主要产品
国内现状
网神新一代SecSSL 3600网关是网神SSL VPN核心研发团队在近10年的SSL VPN研发经验和对SSL VPN具有深入的研究的基础上,经过近两年的封闭试验,研发出的一款面向企业、电信级用户网络核心应用的产品设备,有效解决用户安全接入需求。产品采用All in One VPN技术,实现各种终端安全接入,集成SSL-VPN与IPsec VPN,同时支持windows, Linux, Mac, iOS, Android的全网络接入。产品具有用户桌面远程唤醒功能、多链路智能选路技术、虚拟安全桌面技术、动态短信授权等技术特点。产品借助安全可靠的加密算法和协议来实现将移动计算终端安全地接入到企业、政府内部网络,既实现了移动办公,同时也有效地保障企业、政府内部网络的安全。
产品纵览
网神SecSSL 3600是一款多功能VPN网关,其提供基于SSL 协议+IPsec协议的二合一VPN服务和网络防火墙服务,实现数据传输和保护;采用成熟的VPN技术实现用户应用客户端与应用业务的跨地域、跨网络互连;采用多种认证协议实现对用户的身份的全面认证;并通过详细的日志信息提供全面、翔实的审计服务。
网神SecSSL 3600采用SSL协议在远端用户与网关之间建立VPN连接,保证数据在传输过程中不被窃听、重放、窜扰等,针对每一个用户的接入,采用认证技术确保用户的身份为可信的。网关可以与LDAP/AD/Radius/证书认证服务器互动,提供了灵活多样的认证解决方案。
网神SecSSL 3600无需预先安装客户端软件,家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。产品不仅能保护Web应用,而且支持广泛的基于TCP/UDP的多种应用。为了提高远程接入的使用范围,还提供网络连接模式,它允许远程接入的客户访问企业内部网络的任意IP资源,也可以实现两个局域网络之间的互联。
网神SecSSL 3600内置IPsec协议功能模块,网络防火墙功能模块和网络入侵检测已经应用防火墙功能模块,在为用户提供SSL-VPN服务基础之上,能够为用户提供全面的网络安全防护解决方案。
网神SecSSL 3600提供全面的日志、审计和监控功能,管理员可以查看用户使用系统的历史纪录、当前系统的运行状态和当前在线用户的实时信息。
产品亮点
All in One VPN技术,实现各种终端安全接入,集成SSL-VPN与IPsec VPN,同时支持windows, Linux, Mac, iOS, Android的全网络接入,使用更灵活,业务支持更全面。
用户桌面远程唤醒功能,实现随时随地办公与节能减排的最佳平衡,管理员可以为用户注册用户的桌面电脑,这样用户在登录系统后可以通过远程唤醒的方式启动办公的桌面电脑,实现远程访问自己的办公主机;
多链路智能选路技术,实现对远程用户接入的快速响应,支持多条链路接入,即满足不同运营商的带宽差别,又能实现冗余备份;
领先的虚拟安全桌面技术,确保业务数据远端不落地,虚拟安全桌面使得用户的桌面数据都在虚拟安全桌面里面,业务数据不会泄漏,满足客户当前形势下的防数据泄漏要求。
灵活组合的认证模式,确保用户身份安全,支持多种认证方式组合;支持用户终端的绑定,确保用户身份的安全和仿冒;
支持动态短信授权,确保关键业务访问可控,满足审计要求,用户访问关键业务的时候,可以设置短信临时授权,这种功能对于外包业务人员访问企业业务数据具有满足企业IT系统高安全的作用。
具备应用审计,能够对应用业务命令进行审计,对远程接入用户的http, telnet应用,可以记录用户的命令,并展现日志报表,从而使得远程接入部分满足对外包接入人员的安全审计合规性要求。 一、 产品介绍
网神SecIDS 3600入侵检测系统是基于网神对网络安全技术和黑客技术多年研究的基础上开发的基于网络的入侵检测系统。网神入侵检测系统采用先进的协议分析检测引擎,通过优化机制,能够快速处理网络数据,准确发现各种攻击行为,具有较高的入侵检出率和较低的误报率。产品可广泛应用于政府、企业等各种需要对网络行为进行实时监控的场合。
二、 产品功能
支持对Windows系统、Linux/Unix系统攻击的检测;
支持对特洛伊木马、后门类攻击的检测;
支持针对TCP、UDP、IP协议的检测;
支持针对WWW,FTP、TELNET、SMTP、DNS、IAMP、POP等数十种应用层协议的检测;
支持针对数据库(MS-SQL/Oracle/MYSQL)攻击检测;
支持对常见P2P、IM软件活动的检测;
支持对用户定义网络行为、签名的检测;
支持对非法访问行为的检测;
支持对口令猜测行为的检测;
支持对蠕虫病毒的检测;
支持对CGI/PHP 攻击的检测;
支持端口扫描、主机扫描的检测;
支持DoS/DDoS攻击的检测;
支持IIS、Apache攻击的检测;
支持SIP协议安全性的检测;
支持恶意软件、间谍软件检测;
支持SSL协议攻击的检测;
支持SSH安全性的检测;
支持IP欺骗检查;
支持对缓冲区溢出攻击的检测;
支持对错误文件类型的检测;
支持将告警事件显示在控制台、记录在数据库中;
支持向snmp服务器发送snmp trap;
支持通过电子邮件方式通知管理员;
支持在特定事件出现时运行用户指定的程序;
支持以Syslog方式发送事件信息;
支持OPSEC协议;
三、 工作原理
入侵检测系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为,需要经过下列四个阶段:
(1)数据采集
网络入侵检测系统(NIDS)利用处于混杂模式的网卡来获得通过网络的数据,采集必要的数据用于入侵分析。
(2)数据过滤
根据预定义的设置,进行必要的数据过滤,从而提高检测、分析的效率。
(3)攻击检测/分析
根据定义的安全策略,实时监测并分析通过网络的所有通信业务,使用采集的网络包作为数据源进行攻击辨别,通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。
(4)事件报警/响应
当IDS一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应,通常都包括通知管理员、记录在数据库。
四、 产品特色
1、强大的智能应用检测引擎
网神SecIDS 3600入侵检测系统采用智能应用检测引擎,能够实时监控网络传输,通过对网络上的数据包快速捕获,进行深入的协议分析,结合特征库进行相应的模式匹配,通过对行为和事件的统计分析,能及时发现非法或攻击行为。网神SecIDS 3600入侵检测系统携带了由网神安全小组精心提炼而成的大量经过仔细检测与时间考验的攻击和应用特征,能够准确识别各种攻击及应用层协议:木马、后门、蠕虫、P2P应用、IM软件、网络在线游戏等。
2、 基于状态的协议分析
网神SecIDS 3600入侵检测系统的协议分析技术,是对已知协议和RFC规范的深入理解,可准确、高效的识别各种已知攻击。同时根据系统协议分析的算法,Sensor拥有检测协议异常、协议误用的能力,彻底解决了以往仅基于模式匹配技术的IDS产品片面依赖攻击特征签名数量来检测攻击的弊端,极大提高了检测的效率,扩大了检测的范围。
3、详尽全面的自定义功能
网神SecIDS 3600入侵检测系统签名特征库为用户提供了详细的签名参数配置,通过参数的设置和调整,用户可以得到非常准确的报警信息,同时也使用户非常容易的去定义或者修正这些参数。
4、强大的管理和分析能力
优化的三层分布式体系架构设计,采用分级部署、集中控制,能够提供图形化的风险评估、事件显示和资产配置,以及图形化的网络流量状态的实时监控,能够给用户提供丰富的动态图形报表,有超过40种的分析报表模版和向导式的用户自定义报表功能。
五、 产品技术
模式匹配技术 假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法来发现,模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。
异常检测技术 任何人的正常行为都是有一定规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,通常需要定义为各种行为参数及其阀值的集合,用于描述正常行为范围。而入侵和滥用行为则通常和正常的行为存在严重的差异,通过检查出这些差异就可以检测出入侵。这样,我们就能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为,此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。
协议分析技术 主要是针对网络攻击行为中攻击者企图躲避IDS的检测,如对攻击数据包做一些变形,协议分析技术充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,它最大的特点是将捕获的数据包从网络层一直送达应用层,将真实数据还原出来,然后将还原出来的数据再与规则库进行匹配,因此它能够通过对数据包进行结构化协议分析来识别入侵企图和行为。
六、 性能及可靠性
旁路部署模式,不影响原有网络的结构,支持高并发连接数;
内置高性能解码、检测引擎;
产品成熟稳定,保证业务稳定、长期运行;
完善的固件和规则升级功能,长期保证网络的安全;
七、 部署方式
共享式网络中的部署方式非常简单,监听网卡连接到需检测的网段中即可,网卡收集网络中的所有数据包进行分析和处理,其优点是不影响网络结构和正常通信。
交换式网络中情况比较复杂,通常有三种收集数据的方式:
· 一种方式是网络接口卡与交互设备的监控端口连接,通过交换设备的Span/Mirror功能将流向各端口的数据包复制一份给监控端口,入侵检测传感器从监控端口获取数据包进行分析和处理。
· 第二种方式是在网络中增加一台集线器改变网络拓扑结构,通过集线器(共享式监听方式)获取数据包。
· 第三种方式是入侵检测传感器通过一种TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
传感器可以被放置在企业网络中的任何可能存在安全隐患的网段。在这些网段中,根据网络流量和监控数据的需要来决定部署不同型号的传感器。
中小型网络部署:
分布式网络部署:
