软件说明
产品优势
蓝盾NIPS能够全面、实时地监测网段中的所有数据传输,信息收集与分析同步进行,反应快速,实时性高。用户可以实时查看网络中的通讯。可设置监控IP的流量、端口的流量和总流量,有利于管理员更正确地了解分析网络行为。一旦发现可疑行为,蓝盾IPS可以准确地显示入侵行为及其相关数据,实时向管理员以多种方式告警,以利及时采取措施。蓝盾IPS可以根据用户的设置,将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式发给客户,可供用户查询。 蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式,适合各种复杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异常等方式的检测,其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测,支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库,并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。
特性与功能
| 编号 | 功能 | 功能描述 |
| 1 | 支持镜像口监听、透明、路由、混合部署模式。 | BD-NIPS同时多种部署模式,支持镜像口透明、路由、监听、混合部署模式,支持在线阻断和旁路阻断,能够同时部署多个防御(或监控)网络,实时对攻击做出反应,更大程度地为网络提供安全保障。 |
| 2 | 支持多种协议解码分析 | 能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析,能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术。 |
| 3 | 完备的分析检测能力 | BD-NIPS具有完备的功能,主要的功能包括:TCP流重组,端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析、异常行为检测、关联分析、数据挖掘等方法,采用了自适应多协议融合分析技术。 |
| 4 | 强大的攻击特征模式库 | BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库共有8000多条,能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。 |
| 5 | 强大的蠕虫检测能力 | BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则,可实时检测各种蠕虫,如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫,因此在一定的程度上能解决蠕虫滞后的问题。 |
| 6 | 实时检测基于服务的攻击行为 | BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。 |
| 7 | 有效的异常检测技术 | 有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮廓统计分析技术,使入侵防御系统具有自学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形式的入侵、变种的入侵、系统误用。 |
| 8 | 违规行为检测功能 | 用户可以定义一些规则,监控内部网络各主机间的连接,保护一些重要的主机和服务器,对违反规定或不应该出现的连接,即使还没发生攻击,系统也会进行报警。 |
| 9 | IP处理和碎片攻击检测 | 具有IP处理和碎片攻击检测功能,防止黑客进行各种碎片攻击。 |
| 10 | 网络流量分析 | BD-NIPS提供流量分析功能。能统计、分析网络数据流量,发现异常并及时报警。 |
| 11 | 灵活的策略设置 | BD-NIPS检测引擎内置了大约2600条入侵模式,可以检测已知的大部分入侵,BD-NIPS同时允许有经验的高级用户自定义入侵模式,做到量体裁衣,检测用户最为关注的事件。 |
| 12 | 支持实时系统升级 | BD-NIPS检测引擎内置有实时的升级模块,可以通过控制中心在线升级检测引擎,而不必停止入侵防御系统的正常工作,从而保证了入侵防御系统的无间断运行。 |
| 13 | 不断更新的入侵模式 | 新的黑客技术不断涌现,攻击模式需要经常更新;蓝盾信息安全技术股份有限公司将定期地更新对更新攻击手段的识别,及时扩充到入侵模式库中,更大限度的防范黑客入侵;根据用户的需要,允许有经验的高级用户自定义入侵规则。 |
| 14 | 支持远程升级 | BD-NIPS具有完善的远程升级能力,用户可以在线远程更新攻击特征库或升级软件模块,补充更新发现的攻击特征,使系统拥有更新的产品特性。 |
| 15 | 实时的检测分析、响应能力 | BD-NIPS能够全面、实时地监测网段中的所有数据传输,信息收集与分析同步进行,反应快速,实时性高。系统可以实时监控网络中的通讯,一旦发现可疑行为,BD-NIPS可以准确地显示入侵行为及其相关数据,实时向管理员告警,以便及时采取措施。 |
| 16 | 支持多种报警和响应手段 | BD-NIPS提供多种实时报警和响应手段,报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报警、消息报警等。 |
| 17 | 多网段检测、集中管理 | BD-NIPS可以检测用户系统的多个网络。根据用户具体需求,每个检测引擎可以同时检测多达5个用户网络。 |
| 18 | 支持分级监控、集中管理 | BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级的报警日志可根据日志报警策略一级一级向上汇总,甚至可送到总控制中心;上级控制中心可管理下级控制中心和下级检测引擎。 |
| 19 | 具有集管理、监控和分析功能于一体的图形化控制台 | 为了确保网络系统的安全,减少入侵防御系统部署、配置、管理方面的支出,设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。 |
| 20 | 强大的信息记录、查询能力 | BD-NIPS有强大的信息记录、查询能力,这些信息包括原始的网络信息(可以当作入侵的证据)、入侵警报信息、系统管理记录等。 |
| 21 | 强大的审计和实用的报表功能 | BD-NIPS具有强大的审计功能,能对检测到的各种数据,包括原始数据、攻击报警数据、管理日志等进行分类统计、关联分析,可以根据用户的设置,将网络信息、分析结果、入侵记录存储到数据库中,可供查询、生成报表。本系统支持TXT、HTML、PDF等多种报表形式。 |
| 22 | 全面的联动能力 | BD-NIPS支持BDSEC、OPSEC等主流联动协议,能与蓝盾系列产品(防火墙等)和其它第三方厂家的安全产品实现联动。 |
| 序号 | 指标项 | 技术规格要求 |
| 1 | 产品架构 | ★ 机架式硬件专业IDS/IPS入侵检测设备; |
| ★ 部署方式:支持旁路监听、透明接入、 NAT、混合模式; | ||
| ★ 支持多网段、跨网段的多路混合部署检测防御; | ||
| ★ 硬件支持HA高可靠性,双机热备,双电源。 | ||
| 2 | 网络性能指标 | ★100/1000兆网络加速接口>=6个; |
| ★ 可配置1G SFP光纤接口; | ||
| ★并发连接数目>=1,000,000; | ||
| ★每秒新建连接数目>=40,000; | ||
| ★网络处理能力>=1Gbps; | ||
| ★IPS还原能力>=600Mbps。 | ||
| 3 | 网络服务 | (1) 支持DHCP服务; |
| (2) 支持IP-MAC地址全网及部分绑定; | ||
| (3) 可做DNS代理,支持静态及动态DNS服务,实现对ARP欺骗和IP地址冒用的报警; | ||
| (4) 支持DHCP服务; | ||
| (5) 支持RIP/OSPF/BGP路由及静态路由服务。 | ||
| 4 | 入侵检测 | 综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术, 并支持自定义协议检测事件; |
| 支持对VLAN Trunk、SSL加密数据等进行检测; | ||
| 支持IP碎片重组、TCP流重组、报警缩略再分析、规则阈值修改、多网段定义检测等功能; | ||
| 超过5000条的检测规则, 全面兼容CVE、BugTraq等国际标准漏洞库; | ||
| 对刻意逃避IDS的入侵手段进行精确检测、定位; | ||
| 可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略, 实现安全策略的动态调整。 | ||
| 5 | 入侵防御 | ⑴ 攻击特征库规则列表≥8000种; |
| (2) 可自定义特征库; | ||
| (3) 可防御DOS/DDOS攻击; | ||
| (4)可进行实时间在线式数据挖掘、入侵关联分析、时序分析等高级入侵分析,能够重组黑客入侵过程; | ||
| (5) 支持在线主动阻挡、旁路阻断拦截、防火墙联动拦截等多种拦截方式; | ||
| (6) 支持在线通讯切断、防火墙联动、发阻塞包等多种实时防御。 | ||
| 6 | 系统管理 | (1) 通过Web页面管理; |
| (2) 多种图形化报表,对入侵源、目标、时间、事件进行综合报表分析、排序; | ||
| (3) 完善的日志及日志管理; | ||
| (3) 支持多种日志方式:包括本地日志记录(可配置硬盘)、日志导出(文本、CSV等格式)、及自动Syslog远程服务器备份; | ||
| (4) 支持邮件发送报表; | ||
| (5) 支持手机短信警报功能。 |