- 概述
- 部署模式
- 流量审计
- 攻击库
- DDoS防护
- 网站分类与过滤
- Email过滤
- 数据泄漏防护
- 应用控制
- 流量控制
- 日志和报告
- 了解更多
概述
入侵检测系统(IDS)是网络行为的监控系统。它通过实时地监视网络,一旦发现异常情况就发出警告,根据检测方法又可分为异常入侵检测和基于特征库的入侵检测。
不同于防火墙,IDS是一个监听设备,采用旁路部署,不需串接在网络中,无须网络流量“流经”它便可以工作。IDS部署唯一要求是,IDS应当旁路部署于所关注流量都流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
入侵防御系统(IPS)是在IDS技术上发展起来的。旁路式IDS(入侵检测系统)对绝大多数的攻击行为只能记录日志,而不能进行阻断。而IPS是在线式的,直接部署在不同安全级别的网络区域之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。
自由的部署模式
入侵检测/防御系统(IPS/IDS)具有多种部署模式,用户可以根据自己的实际网络情况选择相应的部署方式。
NAT模式
NAT模式是指设备工作在三层路由模式,以网关模式部署在组织网络中,所有流量都通过处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。作为组织的出口网关,安全功能可保障组织网络安全,支持多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现路由功能等。
透明模式
透明模式是指设备工作在二层交换模式,设备以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。
旁路模式
旁落模式采用流量镜像的方式,也就是在交换机或者路由器上做流量镜像。IDS对流量进行监听,发现其中的攻击、病毒和各种网络行为。IDS可以支持多路流量的审计。
基于会话的流量审计
简网入侵检测/防御系统(IPS/IDS)提供完整的会话分析及流量分析功能。
会话分析
IPS-IDS是可以基于状态检测机制对会话进行分析,它会跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可以直接放行,极大的简化了配置、提供了效率。所有的会话都会维持在会话表中,还可以供管理员分析和排错使用。
流量分析
IPS-IDS可以监控所有接口的流量图,包含进出的流量对比。
查看每IP的流量图,根据源IP、目标IP进行top10,top20排行分析不同字节所占流量的比例
还可以根据应用进行排行。
强大的攻击库
IPS特征库内置7000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御。IPS特征库中包含大量国内特有的攻击或应用,如QQ、迅雷等,适应国内用户的本土化需求。
溢出类攻击(buffer overflow)
缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。
暴力破解类
暴力破解(brute force),又名暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。比如,由于同一个Web应用系统需要同时提供给不同的用户进行访问,为了区分用户及权限,身份认证和访问控制作为Web应用安全手段逐渐应用开来。然而由于登录功能的公开性,使得攻击者猜测用户名和密码以获取未授权访问的应用程序功能的攻击成了一种常见的Web应用安全风险。这种攻击手法我们一般称之为“暴力破解”。
SQL注入类攻击
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
Webshell类攻击
攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。
跨站脚本类攻击(XSS)
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
扫描类攻击(Scanner)
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。
跨站请求伪造攻击(CSRF)
浏览器有关Cookie的设计缺陷当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为。
优秀的DDoS防护
DDoS(Distributed Denial of Service),攻击者通过控制在网络各处的数百甚至数千傀儡主机(又称为肉鸡),发动它们同时向目标进行拒绝服务攻击。
广义而言,凡是利用网络安全防护措施不足导致用户不能或不敢继续使用正常服务的攻击手段,都称之为拒绝服务攻击。其目的是通过消耗网络带宽或系统资源,使网络或计算机不能提供正常的服务。其原理是借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击。
SYN flood
Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
UDP flood
攻击者通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害。从而造成服务器资源耗尽,无法响应正常的请求,严重时会导致链路拥塞。
ICMP flood
ICMP全称Internet Control Message Protocol(网际控制信息协议)。提起ICMP,一些人可能会感到陌生,实际上,ICMP与我们息息相关。在网络体系结构的各层次中,都需要控制,而不同的层次有不同的分工和控制内容,IP层的控制功能是最复杂的,主要负责差错控制、拥塞控制等,任何控制都是建立在信息的基础之上的,在基于IP数据 报的网络体系中,网关必须自己处理数据报的传输工作,而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误,TCP/IP设计了ICMP协 议,当某个网关发现传输错误时,立即向信源主机发送ICMP报文,报告出错信息,让信源主机采取相应处理措施,它是一种差错和控制报文协议,不仅用于传输 差错报文,还传输控制报文。
port scan
端口扫描,顾名思义,就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务,然后就可以通过所提供的这些服务的己知漏洞就可进行攻击。
ICMP SWEEP
ICMP扫射( ICMP sweep)是基本的网络安全扫描技术之一。用于探测多个主机地址是否存活。Ping扫射(ping sweep),也称为ICMP扫射( ICMP sweep)是基本的网络安全扫描技术之一。
会话管理
网络中除了syn flood这种半连接攻击以外,还有全连接攻击。所谓的全连接攻击说的就是客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时后处理或者耗尽服务器的处理进程。
出色的网站分类与过滤
使用APServices动态过滤服务的用户只需要在APPway上设置阻断某类站点(如色情、暴力类网站)便可批量屏蔽不良网站。当内网用户访问外部网站(例如www.google.com)时,APPway会将该网站的URL发往KServices服务器进行查询,返回分类信息(例如www.google.com属于“搜索引擎及门户网站“类别)。如果APPway管理员设置的规则中禁止访问“搜索引擎及门户网站”类网站,则该用户访问www.google.com的行为将被APPway阻止,并对访问者进行提示。
如下图所示,管理员可以很容易地实现对所有色情、广告等相关的网站的阻断,及对烟酒、软件下载、游戏等网站的访问记录。
APPway同时也支持本地的URL及关键字黑白名单,可以针对网址及网页中的不良词汇进行过滤,另外还支持对ActiveX、Java applet、Cookies等小程序的过滤,防止有害脚本进入内网。APServices动态过滤服务与本地分类、URL/关键字黑白名单相结合,可以最大程度的提高过滤效率及精确率,达到最佳的内容过滤效果。
Email过滤
Email作为Internet上的一种重要服务,给人们提供了一种重要的通信手段。但是,由于电子邮件原理上的缺陷,垃圾邮件日益泛滥,已经引起了人们的高度重视。邮件过滤功能可以根据不能邮件协议,对IP地址、URL、垃圾邮件、IP地址黑白名单、关键字、HELO DNS等进行过滤和检查,丢弃标记的垃圾邮件。
Email过滤可以自定义禁忌词汇,对于不想在邮件中出现的词汇进行禁止。
Email过滤还可以设置黑白IP地址名单和黑白Email地址名单,对信任的地址进行放行,对已知的恶意地址进行屏蔽。
数据泄漏防护
利用网络来进行文件传输是许多用户每天的必修课,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
数据泄漏防护对于电子邮件的检查,包括主体、主题、发送方、接收方、附件、邮件大小、是否加密等多种方式进行检测。
当发现有数据泄露行为时,可采取的处理动作包括屏蔽、例外、封禁、封禁发送者、隔离来源IP地址或接口等方式。数据泄露防护功能还可以对内容进行归档功能,信息可以归档在本地硬盘或远端设备中,方便以后进行提取、检查。
应用控制
多种应用识别技术,全面识别各种应用,进而有效管控和审计。主要包括:URL识别:设备内置URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术。设备除了内置的上百种URL类别以外,管理员还可以自定义URL分组,分组默认可以到500组,特殊场景可以扩容到更多组。根据组织内部特殊需求,将一些指定的URL划分到一个URL分组下,此时,各种权限策略就可以引用这个URL分组来做控制,满足精细化的URL控制需求,让企业内网管理更加灵活高效,更加满足“权限最小化”的管理原则。应用规则识别库:拥有大量的应用识别库,保证库处于最新状态;该库支持2000种以上网络主流应用。
对于IM类通信,由于其通讯端口是不固定,一般策略难以进行限制,上网行为管理可以针对这些应用进行识别和控制,下图为屏蔽QQ通信和文件传输功能。
流量控制
带宽有限,盲目地扩展互联网出口带宽,而对上网行为不进行管理,带宽仍然会不够用,而且一旦内网存在网络行为不规范、滥用带宽资源的用户,就会造成网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等现象,影响正常办公。
上网行为管理产品可以设置共享的带宽控制,配置后该端口下的策略共享带宽。
设置基于每IP的流量控制策略,每个IP分配固定的带宽。
上网行为管理还可以设置基于应用的带宽控制方案,为特殊的应用提供固定的带宽。
日志和报告
大型组织可能在短短几天就产生大量流量日志,仅仅实现日志的海量审计尚不足以帮助组织管理员透彻了解网络状况,而通过独立数据中心丰富报表工具,管理员可以根据组织的现实情况和关注点定制、定期导出所需报表,形成网络调整依据、组织网络资源使用情况报告、员工工作情况报告等,日志工具主要包括。
日志配置
用户可以自己设置日志的保存,设置E-mail报警,查看事件日志等。
日志访问
用户可以查看各种过滤日志,包括应用程序日志、安全审计日志、电子邮件过滤日志、攻击日志、Web过滤日志、防病毒日志、事件日志、流量日志、网络扫描日志等。
归档文件读取
用户可以查看上网行为管理中归档的各种文件,包括IPS包、隔离文件、E-mail、HTTP、FTP、IM、VoIP等。
日志导入
用户可以导入导出各种Log
对比报表
汇总对比、指定用户组/指定用户的对比、指定时间的对比等。
统计模板
上网流量/行为/时间统计、病毒信息统计、关键字报表、网络热帖报表、热门论坛报表、外发文件行为报表、危险行为报表。
智能报表
管理员可手动设定基于行为特征的风险智能报表,如离职风险报表、工作效率报表、泄密风险报表、异常思想倾向报表等。
查询工具
流量查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等。
了解更多
公司已通过国家高新技术企业、双软企业、ISO27001(信息安全管理体系认证证书)、ISO9001(质量管理体系认证证书)认证、ISO14001(环境管理体系认证证书)、ISO45001(职业健康安全管理体系认证证书),ISO20000(服务管理体系认证证书)。查看更多证书》
高新企业证书
中关村高新企业证书
中关村会员证书
双软件企业证书
双软件企业证书
工业物联网产业联盟证书