当前位置:首页 -> 安全产品 -> 天阗入侵检测与管理系统 NT35JH-SRE
天阗入侵检测与管理系统 NT35JH-SRE
天阗入侵检测与管理系统 NT35JH-SRE------全面检测 有效呈现
  • 产品简介
  • 功能特点

1.前言

 

 随着网络技术的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。

 

值得注意的是,网络安全对政府部门、行业组织、企业单位等的重要性不言而喻。2014年4月15日,中央正式宣布成立国家安全委员会(以下简称“国安委”),并完成了第一次会议的召开。从会议精神所传递的信息中我们不难发现,习近平总书记明确指出了11项安全的建设目标,明确要求全国构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。换句话说,信息安全作为建设专项之一,已经被提拔到“一把手工程”的国家战略级高度。在这样的历史背景下,企业、组织与政府部门不仅需要构建自身可靠的网络安全体系,同时还需要站在国家安全的战略高度,来积极思考信息安全发展的新趋势所带来的各种挑战,需要我们积极应对。

 

在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。另外,根据国内外调研机构分析发现,网络中蠕虫病毒、垃圾邮件肆虐、攻击工具泛滥、木马后门无孔不入、拒绝服务司空见惯,黑客的攻击行为也正在不断升级,他们已经不局限于传统的攻击工具利用上,正逐步向0-day漏洞利用、嵌套式攻击、木马潜伏植入等更高级的攻击形态变化,这些以行为本身为主导的黑客攻击行为,掺杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化,这无疑给我们的各级政府部门、行业组织和企业单位带来了极大的麻烦。

 

因此,我们需要了解威胁,我们要找到网络中究竟哪些地方存在威胁?存在什么样的威胁?如何规避这些威胁所造成的伤害?等一系列问题,不得不需要我们网络管理者去面对和解决,信息安全建设的意义也就体现在这些方面。

 

  2.传统网络安全设备的局限性

 

2.1边界安全网关类安全设备的局限性

 

以防火墙为代表的边界安全设备是当前广泛应用于用户网络的一类网关型安全设备,作用是在网络的边缘进行访问控制,除防火墙之外还有其他形态的设备,譬如:UTM(统一威胁管理)、NGFW(下一代防火墙)、IPS(入侵防御)等。这类网关类安全设备主要基于诸如协议、地址、端口这些四层及四层以下的信息进行访问控制,但无法根据7层或超7层协议(如HTTP Tunnel)进行动态分析、过滤。因此它们的访问控制采用的是基于静态的访问控制策略进行的,目前已经越来越难以适应迅速发展且手段千变万化的入侵行为,比如:

 

u 复杂协议无法解析:无法对复杂协议(多数是应用层协议,如MSRPC)的负载进行有效解析,因此也就无法基于复杂协议的负载进行的入侵行为进行监控与拦截。

 

u 组合攻击无法检测:无法对由多步骤组成的组合攻击行为进行有效的关联分析,因此防火墙对于这类攻击无法进行监控与拦截。

 

u 内部攻击无法防范:对于内部发生的攻击行为,因为没有经过边界防火墙,因此防火墙也就无法监控和有效拦截。

 

2.2传统入侵检测系统及其局限性

 

入侵检测系统(Intrusion Detection System)则是实时入侵发现的专家,由于其部属于旁路位置,因此,入侵检测系统对于内网的攻击行为和来自外部的攻击行为都能够起到有效的发现作用,但与安全网关类设备一样,传统入侵检测系统也存在着自身的局限性:

 

u 无法真正做到事前告警:只有在攻击行为发生的时候,才能产生告警,无法在攻击发生之前有效预警,即因为缺乏信息整合的能力,无法采用预测技术做到事前告警。

 

u 很难做到实时阻断:入侵检测系统由于旁路部署,所以很难对实时的入侵起到有效阻断,虽然可以采用与防火墙联动、TCP Killer等方式对攻击进行一定的干扰,但由于实时性较差,因此很难像防火墙一样起到安全闸门的作用,防御能力有限。

 

u 取证能力有限:与审计类产品相比,入侵检测系统的取证能力有限,入侵检测系统是基于攻击行为片段特征来发现攻击,因此,即使进行取证,也多是采集整个攻击过程某一片段的快照(如时间、端口、ip等静态信息),而很难对攻击全过程进行有效的动态录制(即取证)。因此,在取证方面,往往将审计产品作是最为有效的手段

 

u 报警事件过多:入侵检测系统由于每天会上报大量的事件(包括可疑行为),根据对国内外传统IDS产品的统计,传统IDS每天产生的报警数量在300条以上。因此对于使用者来说,分析、处理这些事件的工作量巨大,如果不能及时对上报的事件进行有效的分析、处理,则实时报警就失去了意义,并可能导致网络安全事故的发生

 

u 基于行为的攻击检测难题:传统入侵检测系统虽然具备的黑客检测能力,但其对文件还原之后是否还含有恶意行为、嵌套攻击等都缺乏有效的数据甄别能力,尤其是诸如C&C非法连接行为、0-day利用攻击等最新的高级持续性威胁,传统入侵检测的检测机理是无法奏效的。
   

3 .NT35JH-SRe产品规格参数

 

产品型号
NT35JH-SRE
性能
整机吞吐量
10Gbps
IDS吞吐量
5.5Gbps
每秒新建连接数
6万
最大并发连接数
300万;
单包最大延时
≤5us
配置
高度
2U
电源
双冗余电源,交流电压100240V
带外管理口
1*GE
板载捕包口
5*GE,1个扩展槽,1个console口
硬盘
SSD硬盘 500G,具有硬件温度监控能力
USB接口
2个
平台
采用X86多核硬件平台
★适应网络环境
千兆
环境要求
工作温度
0℃ ~ 40℃
工作湿度
5% ~ 85%
存储温度
-20℃ ~ 70℃
存储湿度
5% ~ 95%

  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号