CA的eTrust Intrusion Detection是业界领先的功能非常强大的基于网络的入侵检测系统。它可以被实施在网络的各个部分,通过对数据包的监听,识别大量基于网络的入侵、攻击和滥用。它可以全自动地识别网络使用模式、网络使用具体细节,做到最全面地监控网络数据。Intrusion Detection能够根据远程各节点收集的数据,对整个企业网络范围内的事件给予响应。
eTrust Intrusion Detection可以安装在Windows 95/98以及Windows NT等操作系统上,用Sniffer的工作方式侦听和收集流经该网段的所有数据包,通过自带的黑客攻击手段代码库,对存在的入侵进行及时响应,对传输内容进行扫描、显示、报告、记录和报警,并提供了全面地查看相关内容(如Web浏览)的途径,以易于理解的方式提供了相应的信息,在产品中还提供了访问规则设定的功能,使对网络资源的访问进行规范成为可能。eTrust Intrusion Detection支持以太网,Token Ring和FDDI网络,可以对流经该计算机上多块网卡多个局域网段中的网络流量进行处理。
功能特性
eTrust Intrusion Detection 包括限制Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全保护措施。企业在了解其网络利用情况、检测入侵和可疑网络活动时需要的规则可以非常方便地加以激活、关闭或加以剪裁以满足企业在一般需要之外的其它具体要求。这些规则包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
入侵检测功能
eTrust Intrusion Detection最主要的功能是入侵检测,它包括入侵探测和服务拒绝型攻击探测引擎,可以自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。Intrusion Detection可以在企业网络范围内广泛地收集信息并根据预定的规则对其进行有针对性地记录,管理员可以在此记录的基础上,通过浏览器对相关记录进行过滤、排序和查看等操作,并创建详细的报告。
会话记录、拦截功能
eTrust Intrusion Detection还可以对所有的TCP/UDP会话进行记录或拦截。安装缺省配置,eTrust Intrusion Detection自动记录所有的Telnet和HTTP会话,并且可以对这些会话进行不同的处理。如下图所示,屏幕的左边是所有记录的会话,右边是某会话过程中Client和Server之间通讯的所有数据。这些数据可以以ACSII吗、HEX十六进制等多种方式察看,以便用户察看该种通讯协议的细节。对于Telnet会话,eTrust Intrusion Detection提供了"回放"功能,用户只要通过鼠辈简单地选择回放,该Telnet过程就会与实际发生时完全一样的发生重现出来。包括用户输入的口令、用户输错的命令、用户的各种命令及运行结果等等。对于WEB会话,eTrust Intrusion Detection会在右边同步的显示浏览器看到的内容,同步监视客户的活动。管理员点击某链接,也可以直接得到该页内容,相当于一个浏览器。
对于其他的任意应用,只要我们指明其TCP/UDP端口,就可以非常简单地进行监视记录,如Email、News、FTP、POP2/3甚至Netbios等等。eTrust Intrusion Detection也允许只监视记录某些客户机和服务器之间的通讯,而不是与该应用相关的所有通讯。新的规则可以方便地添加,现有的规则也可以利用菜单功能选项进行修改。所有未能与规则关联的网络活动,都被加以识别,并被用于统计分析和实时分析,以确定是否需要额外的规则。
防止网络滥用
网络滥用往往表现为对不恰当的Web站点进行访问,使用内部网络从事与其它员工或网络用户的非正当通讯或不正当的网络资源消耗。
CA eTrust Intrusion Detection也包含一个巨大的超过400,000个分类站点清单的URL控制列表,本身相当与Web控制网关类软件。它通过"unobtrusive blocking"技术禁止或限制内部用户访问某些WEB站点,以防止网络的滥用。同时,由于eTrust Intrusion Detection 是以被动的方式连接到网络上的,对流量进行简单地监听,一旦发现需要拦截的访问,即加以阻止。因此不会造成任何延迟或性能问题。
与其它安全产品集成与配合
eTrust Intrusion Detection既可以独立使用,又可以与其它相关安全产品配合使用,如防火墙、策略扫描(PCM)、安全审计(Audit)及CISCO OS等。它对所有流行的"防火墙"(包括eTrust Firewall、Check Point Firewall-1等)是有效的补充,可以提供与应用相关的保护,提供入侵探测,并对现有的设置进行审计。它在检测到某种入侵企图之后,可以自动配置相关防火墙,切断该入侵来源;或是发送指令至CISCO路由器以阻断数据流,从而防止该"黑客"进行其他的入侵。在Intrusion Detection中还提供了PCM的代理程序,为策略扫描提供安全记录信息。其相应的日志记录也可以被发送到安全审计产品Audit中进行统一的查看。
集中管理
eTrust Intrusion Detection既可以单机使用,对网络流量的截取、分析、报警、拦截、配置和统计等在一台计算机上完成,也支持集中化管理和监控。在Intrusion Detection中提供了专门的工具用来实现企业级网络中入侵检测的统一部署。管理员可以在集中的控制台上进行相关规则的设定与统一分发,从而对远程的Client端进行有效的控制。
eTrust Intrusion Detection/Central使网络管理员可以监视和控制一个或多个运行eTrust Intrusion Detection的节点。中央节点可以对其它节点进行监控,并可以把不同节点所收集的信息进行合并的基础上查看和生成报表。
eTrust Intrusion Detection Central是若干个不同服务的基础。eTrust Intrusion Detection Central:
使同一个网络管理员可以对多个远程和本地的eTrust Intrusion Detection进行监视和管理。利用这一功能,网络管理员可以在控制台上查看报警信息,并拥有远程控制特定节点的功能,就象它们在本地一样。
使系统管理员可以管理远程的eTrust Intrusion Detection节点。
使远程网络上的授权用户可以查看已被授权的特定信息。
总之,eTrust Intrusion Detection代表了最新一代的Internet和Intranet保护技术,提供了无与伦比的网络使用智能水平、访问控制、用户和网络透明度、性能、灵活性、适应性和易用性。eTrust Intrusion Detection克服了对强大的UNIX主机的需要,也排除了非路由防火墙软件所引起的开销。另外,eTrust Intrusion Detection包括了会话日志查看工具,可以被用于内容审计,提供有关电子通讯手段滥用方面的有力证据。