收藏
NetScreen的最新产品NetScreen-IDP采用的是崭新的IDP(入侵检测和防护)技术,它可以打破NIDS(网络入侵检测系统)的以上瓶颈。NetScreen-IDP100/500采取了一系列的革新技术。第一个革新是采用多重方法检测技术(Multi-Method Detection,MMD),NetScreen采用了8种不同的检测方法以强化检测力,同时减少错误报警。这些检测方法包括协议异常检测、流量异常检测以及一些专利技术,如:状态签名(Stateful Signature)、后门检测(Backdoor Detection)等。第二个革新是NetScreen-IDP100/500采用了一个带内(in-Line)解决方案,这是惟一能对付潜逃的技术,提供真正入侵防护的方法。第三个革新是基于规则的中央式管理的构架。集中管理使管理员能精确控制NetScreen-IDP100/500的水平,同时简化安全策略和签名更新的作业。
多重方法检测(MMD)提高精确度
NetScreen-IDP100/500系统通过应用协议异常、状态签名、流量异常、后门、同步攻击(Syn-flood)、IP欺骗(IP spoof)、第二层检测以及网络陷阱(network honeypot)等8种不同的检测方法,能准确地识别入侵。不像其他厂商那样应用一个单一入侵检测机制去驱动整个产品架构,NetScreen-IDP100/500的架构设计能支持上述所有检测方法。这些方法共享信息,并且用更有效的方式一起去识别网络和应用层中的所有形式的攻击。同时,这些检测方法都是针对以高数据速率进行分析而被优化的,从而确保性能未能受到影响。由于NetScreen-IDP100/500能提供一个全面的覆盖,用户不需要费神决定,到底是买一个基于协议异常的系统还是基于签名的系统,或者需要两台或更多的产品。另外,多方法检测使管理员能够信任报警,而不用再担心会浪费时间去调查错误报警。
带内操作模式提供真正保护
NetScreen-IDP100/500被设计为带内模式操作。在这种配置里,NetScreen-IDP100/500一般被放置在防火墙之后,检查每个进出的数据包。当NetScreen-IDP100/500检测出恶意流量时,它能丢弃连接,使之不能进入网络。当然,你能准确地控制哪种形式的流量是需要丢弃连接的。相反,通常被动式的NIDS检测出恶意流量时,它只能发送一个TCP重设命令,试图阻止攻击。但是,由于TCP重置的特性,你无法确信攻击能及时被制止,这意味着需要花费时间去调查攻击是否已到达它的受害者。然后你不得不去了解攻击是怎么产生的,并且试图去调整NIDS,以防范未来类似的事情。最后,假如攻击成功了,你还需要评估造成的损失,当中又产生更多的投资和人力成本。采用NetScreen-IDP100/500,你可以丢弃有关恶意流量,并且确保这个流量不能到达目的地。
中央式、基于规则的管理提供更高可控性
NetScreen-IDP系统利用中央式、基于规则的管理方式,可以提供真正的三层管理架构。它包括一个检测与执行层(传感器)、一个管理层(服务器)和一个应用层(用户界面)。多用户界面可以连接到一个单一的管理服务器上,完成所有的管理操作。基于规则的管理容许NetScreen-IDP100/500的行为提供精确的控制。根据需要被寻找和匹配的来源、目标地、业务和攻击进行分类,你可以设置相应规则,以便去应用。然后,当攻击被检测到时,规则指定下一步操作,如丢弃或允许连接,以及记录攻击。中央式安全策略允许相同的安全策略应用到多个执行点上。尽管一个设备与其他不一样,你无需建立新的安全策略,只需列明那条在安全策略里的个别规则是对应哪台设备即可。闭环调查(Closed Loop Investigation)使你在综合报告、个别记录、相关记录的规则、记录的数据包之间自由地浏览查找。数据点相互关联以及在各信息层间轻松浏览查找的能力,让你更容易理解网络状况,并且能对防护新威胁的工作作出即时的响应。
防火墙在控制什么流量被允许进出网络方面做得很好。但不可避免的是,一些被允许进入的流量在本质上是恶意的。你需要第二层防护去协助防火墙,同时检测和防止各种形式的攻击。到现在为止,被动式的网络入侵检测系统(NIDS)一直被用于检测网络攻击。遗憾的是,目前的入侵检测解决方案通常只执行一个单一的入侵检测机制,因而造成很多错误报警,漏过不少攻击。另外,被动式方式不能阻止攻击,并且在管理上亦非常困难。NetScreen开发的入侵检测和防护系统(NetScreen-IDP100/500) 可以克服这些不足,助你保护公司的资产。
