网警产品说明白皮书.doc

产品介绍_网警产品说明一、产品概述网警(NetSentry)是一套在技术上处于国际领先地位的网络入侵检测系统(N-IDS)，由安络公司组织国际一流的华人网络安全专家和优秀程序员，根据中国网络安全管理和技术的具体特点，吸取国外IDS产品的优点，采用先进的嗅探技术、底层的协议分析技术、和智能规则技术、图形实时显示技术、网络数据监控技术，经过艰苦的技术攻关和大量缜密的编码工作，最终形成了拥有完全自主版权、独具民族特色、实用性极强的监控网上黑客和可疑行为的安全产品。 网警-是针对网络上的可疑入侵行为，做出策略反应，及时切断资料入侵源、 记录、并通过各种途径通知网络管理员，最大幅度地保障系统安全，是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护, 最大幅度地保障系统安全。二、网警的特点： 网警有一个高度智能化的数据库该数据库包含大量的黑客攻击、渗透、扫描、破解行为的特征信息，网警对黑客攻击和入侵行为的识别，正是建立在这样一个数据库的基础上的，管理员可以通过它来灵活地定制适合自己的网络安全策略。 网警具有强大的嗅探功能一套网警产品，能实现对整个局域网的安全监控，管理员可以借助网警实现对多台机器的安全集中管理；入侵活动和可疑行为发生时，经网警识别确认后，可以通过声音报警、邮件通知、传呼告警、运行指定程序等方式及时通知管理员，使管理员可以方便、及时地了解网络安全状况和处理突发事件。 网警具有强大的侦探能力网络内一旦有符合特征的可疑行为发生，网警将及时报警，通知管理员。并精确记录当前时间、入侵者IP、入侵行为，同时切断入侵者的连接，使入侵者留下罪证，徒劳而返。 图形界面友好，全中文化，易于操作一目了然的图形界面，使管理员可以随时了解网络内的连接情况，可以对特定的连接实行实时的观察和跟踪 网警具有高度的兼容性通用于Windows95/98/WindowsNT等各种Windows平台。网警操作简便，界面友善，适合中国人使用。三、网警的强大功能网警的核心技术通过截获局域网(LAN)数据，进行IP Packet(包)分析。 具体是先截获以太网的帧数据，然后处理成IP包，IP包处理成TCP,UDP,ICMP三种包。最后对三种包进行入侵行为分析。其中采用了多种技术融于一身，是从最底的的协议开始处理的，从而具有强大网络监控能力。包括：u 智能事件规则技术(Event Rules)：通过使用网络对象，网络协议，入侵规则，动作响应，运行时间等，形象地描述了一个网络事件内容。预先定义了四百种多种的事件定义，对当前的已知的网络入侵行为做了描述。用户也可以通过自定义网络事件，来灵活定制自己的安全策略。u 完善的网络对象定义(NetObject Define)：提供多达7种方式的网络定义方法，能定义IP地址（IP Address）,MAC地址(MAC Address)，内部网（Internal Network），外部网(External Network)，特定网络(Network)，网络对象组(Group), 反向网络对象(Exclude)等等。u 完善的网络协议定义(Protocol Define)：预先设定了目前网络涉及几乎全部的网络协议，特别定义了FTP,POP3,SMTP,TELNET,HTTP,NNTP,IMAP,NFS等协议。u 灵活的入侵规则技术(Network Rules)：提供多达35种的判断规则类型标准，并根据网络协议做了相应的组合。能对网络中的数据包做全面的检测。多种预定义方式极大方便规则的定义，满足用户绝大部分需求。u 实时检测与跟踪：实时检测网络中的非法入侵，追踪入侵者的攻击位置； u 智能动作响应：过入侵规则技术确认后，认定是入侵行为后，根据定义好的动作做出反应，及时地进行报警或阻断。提供了多达22种的动作方案，包含阻断，声音报警，邮件通知，传呼告警，指定程序运行等等。u 采用OPSET技术：自动配置防火墙阻挡外部攻击。u 多国语言技术：通过编辑语言库，实现对简体中文，繁体中文，英文，日文等等的支持。u 攻击行为记录：详细记录攻击行为的时间，来源，内容，用于事后分析，并作为起诉计算机犯罪的证据；网警提供详实的历史记录，可查询当天的网络安全情况。u 网警主机独立：网警主机可以配置成无IP运行，进一步保障其自身的安全性。u 网警提供了强有力的网络状态观察工具： 图形化的网络传输状态显示程序(TCP Connect View) 网络通信监察(Session Monitor) 在线帐号监察(Account Monitor) 全中文并图形化的路由跟踪(RouteTrack) 网络流量统计(Flowmeter) 系统进程观察(Proess List) 自启动管理(Startup Manager) 邮件汇报(Mail Report) 本机网络状态观察(TCPState) 在线/离线网络行为的现场监视 网络行为的明文和二进制监视 HTML和电子邮件的重现 图形化的告警记录浏览 网警在较高硬件配置下所能承受的流量为100M，成为IDS处理能力的佼佼者四、网警工作原理示意分析 网警主要采用事件驱动，调用各个功能模块进行分析与处理，实现对网络进行的监控从而最大限度保证系统安全。其事件分析流程图如下：Netsentry事件分析流程框图IP数据包截获特殊入侵检测（如D.O.S.等）特殊告警要求解析器HTTPFTPPOP3DNSNFSDEFAULT事件端口内存表包过滤事件对象内存表包分析事件内存表事件告警处理网络状态信息告警消息规则数据库参数及临时数据库后台辅助模块告警生成模块其主要功能模块详细一览表：主要模块详细说明包解析模块接收数据包。对特殊入侵行为进行检测并发送告警消息根据事件定义对包进行端口过滤和地址过滤，根据事件中的 服务用不同的解析器对包进行解析，根据事件的动作发送告警 消息。后台辅助模块实时或定时生成或处理系统信息和内存表。用户定义模块规则定义、事件定义告警生成模块接收来自包解析模块和用户定义模块的告警消息(非闭塞函数)，生成Log和其他告警数据。告警处理模块根据告警数据库进行实时告警Log解析报表输出模块根据Log生成用户需要的各种报表和显示。系统辅助工具模块数据备份恢复,软件升级支持等。文档资料模块多国语言、支持技术、使用手册、授权条款等。网络工具模块集成天行网络刺客中工具类内容等模拟测试攻击模块集成天行网络刺客中攻击类内容。远程监控客户模块让NetSentroy可以实现远程对客户进行管理远程监控服务模块让NetSentroy可以实现远程监控C/S模式客户模块支持C/S模式，实现分布收集集中管理。C/S模式服务模块五、网警的分类1) 按入侵检测的手段来划分为-基于网络和基于系统两种基于网络的模型通过实时监视网络上的数据流，来寻找具有网络攻击特征的活动；基于系统的模型则通过分析系统的审计数据来发现可疑的活动。这两种模型具有互补性，基于网络的模型能够客观地反映网络活动，特别是能够监视到系统审计的盲区；而基于系统的模型能够更加精确地监视系统中的各种活动。基于网络的模型受交换网的限制，只能监控同一网段内的主机，一台装有网警的监控主机可以对同一段内的所有主机进行监控，而基于系统的模型是安装在本机上运行的。2) 按入侵检测的策略来划分为-基于异常特征和基于正常特征两种异常特征模型建立在已知的入侵模式库基础上，正常特征模型则建立在系统正常工作模式基础上。后一类模型包括两个方面：一是为用户和系统建立正常行为特征，二是观察实际的系统和用户活动与所建立的正常行为是否存在差异。六、与其他安全产品的比较网警可以运行于单个主机之上，也可以运行在一个需要监控的网段之内，可以监视网络中可疑的报文，查出已知的入侵行为，对未知的入侵手段也能及时发现并利于监控，在入侵者闯入系统以前将报警，并能切断特定的连接。值得一提的是能查出正常服务中的非法调用，是动态性强的网络安全产品，该方面功能优于防火墙，设计思想独树一帜。网警与防火墙之间的主要区别：网警可以检测到一个对外开放服务的非法访问，而防火墙却难以实现。防火墙难以防止应用程序的漏洞，如果被防火墙视为正常服务的程序存在漏洞（如web服务），那么黑客利用这种漏洞成功就等于已经绕过了防火墙。网警补充了防火墙难于防内的缺陷，防火墙的安全控制只能作用于外对内或内对外。网警较防火墙易于管理和配置，避免因此造成安全漏洞。防火墙的管理及配置相当复杂，要想成功地维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。网警图形化的接口使用户易于操作，网警完整的出厂设置，即使不用做什么修改也能放心使用。网警解决了防火墙安全控制的弱点，即规则的定义超出基于IP地址的，网络对象的 定义可以在用户或者域一级上，可以在内外得以一致的安全策略，开放了企业网的 物理范围。网警的动态防御技术也弥补了防火墙在这方面的弱点。网警能识别和分析可疑报文， 从而达到防止未知入侵行为的目的（在已知的黑客攻击手段中，大多数的攻击行为都具有某种相似的特征）。防火墙容易造成一种错误的安全假像，使人们忽视安全管理工作。装了防火墙的系统，工程师一般都不愿意对系统进行必要的安全配置和补漏处理。甚至明知有重大漏洞都懒得去补。相反的是网警可以使管理者查出这些毛病，使管理人员可以对网络的安全状况有一个较全面的了解，防止这些人为因素带来的隐患。七、网警服务器硬件需求 具体应根据应用而调整，规则配置的复杂化(如需要对数据流中敏感文字的检测等)将需要更高的CPU和CPU缓存、内存配置，CPU平均使用率不超过50%，内存使用量不超过总内存的30%为较为合理配置。需要更详细的LOG则需要更大更快的硬盘及硬盘缓存，建议硬盘容量为一个月实际LOG的1.52倍。我们建议一台服务器只运行网警，不能同时运行其它程序。运行环境最小系统需求基本应用(10M网络)，满足一般的内部网络和站点需求。440BX Pentium II/III Motherboard Intel Pentium II 400Mhz x 1 Unit 2U RM0152 ATX Rackmount Chassis 256MB SDRAM Memory (256MB Module x 1 Units) 1.44MB Floppy 40X CDROM PCI Video Card w/4MB Intel Dual Ports EtherExpress 10/100 Board 13GB EIDE Harddisk 2 Years Warranty普通应用（100M网络以下）只对入侵网络行为和敏感入侵网络行为(如Telnet,Ftp指令)以及Pop3,Smtp数据等进行LOG440BX Pentium II/III Motherboard Intel Pentium III 800Mhz x 1 Unit 2U RM0152 ATX Rackmount Chassis 512MB SDRAM Memory (256MB Module x 2 Units) 1.44MB Floppy 40X CDROM PCI Video Card w/4MB Intel Dual Ports EtherExpress 10/100 Board 13GB EIDE Harddisk 2 Years Warranty较高应用，运用于高度交换网络。ASUS AMD Athlon Motherboard AMD 950MHz Processor x 1 Unit 2U RM0155 Rackmount Chassis w/300 Watts Power Supply 512MB SDRAM Memory (256MB Module x 2 Units) 1.44MB Floppy 40X CDROM PCI Video Card w/4MB Intel Dual Ports EtherExpress 10/100 Board 20GB EIDE Harddisk 2 Years Warranty八、网警硬件外观示意图九、网警安装的具体位置网警建议与防火墙配套使用，并结合网络安全在线扫描系统，构建安全的、全面的网络拓扑。通常网警安装在防火墙之后。在共享HUB上只需提供一端口就可以供网警使用。在复杂拓扑结构的网络，通常网警采用监视网关的办法来对整个网络进行监视。在SIWITCH HUB上，使用SPAN或者ESPAN(Enhanced switched port analyer)将任意一个端口、以太网、高速以太网、FDDI端口、VLAN上的数据流重定向到一个以太网或者高速以太网的监视端口供网警用来监测使用。该监视端口为一个镜像的端口，此外网警需要提供另一可以发往各攻击源的端口用于发阻断包来阻断攻击网络行为。网警的安装具体表现为以下四种模型。十、产品的认证网警获得中国公安部计算机信息系统安全专用产品销售许可证(XKC31022)十一、网警的定制、再开发、升级和保修因为我们的网络环境在不断地变化着，黑客技术也在不断发展，我们应用、业务的安全需求也不会一成不变，所以我们的事件规则、入侵规则、响应规则等等