2022年网络卫士入侵检测系统TopSentry产品说明宣贯 .pdf

《2022年网络卫士入侵检测系统TopSentry产品说明宣贯 .pdf》由会员分享，可在线阅读，更多相关《2022年网络卫士入侵检测系统TopSentry产品说明宣贯 .pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络卫士入侵检测系统 Topsentry 产品说明天融信TOPSEC? 北京市海淀区上地东路1 号华控大厦100085 电话： +8610-82776666 传真： +8610-82776677 服务热线： +8610-8008105119 http:/名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

2、本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。版权所有不得翻印 ? 1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标， 均属各该商标注册人所有，恕不逐一列明。TopSEC? 天融信信息反馈http:/名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心

3、整理 - - - - - - - 第 2 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司i 1产品概述 .22产品特点 .33产品功能 .74产品规格 .85运行环境与标准 .86典型应用 .111）小规模网络环境 .112）虚拟引擎技术的典型应用.113）双网卡分流重组技术在实际网络环境中的应用.117产品资质 .12目录名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - -

4、 - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司2 1 产品概述网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。北京天融信公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统是北京天融信公司获得多项国际、国内安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL加密访问检测等多项天融信独创安全技术，致力于降低IDS 的误报率、漏报率，提高IDS 的捕包与分析能力，并加强IDS 对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS 市

5、场普遍存在的瓶颈问题。 TopSentry具有以下特点： 通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，保证了网络卫士IDS 高效的检测性能。 系统内置600 条以上的蠕虫检测规则，实时跟踪、检测当前最新的蠕虫事件，最大限度地解决蠕虫发现滞后的问题。 通过解码基于SSL加密的访问数据，分析、检测SSL加密访问中的攻击行为，从而可以保护内部提供SSL 加密访问的重要服务器的安全性。 完整记录多种应用协议（ HTTP 、FTP 、SMTP 、POP3 、TELNET 等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络

6、资源滥用时泄漏的保密信息内容。 通过天融信网络卫士安全管理系统（TSM ）基于状态机的实时关联检测技术，对IDS 的报警事件和其他事件进行关联分析，有效地提高了IDS 检测的准确率。 网络卫士入侵检测系统部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - -

7、 - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司3 2 产品特点z增强的多重入侵检测技术?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，大大提高了准确度，减少了漏报、误报现象。?采用基于协议分析的误用检测技术，实时跟踪各种系统、软件漏洞， 并及时更新事件库，可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型，用户还可以根据实际网络环境适当调整相关参数， 更加准确地检测到行为异常攻击。并且，基于内置的强大协议解码器，网络卫士IDS 能够检测到各种违背RFC协议规范的协议异常攻击

8、。 ?内置了遵循RFC规范，并基于对协议在实践中的具体执行过程的充分理解而建立的协议解码器。通过详尽、细粒度的应用协议分析技术，提高了检测的准确性。?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中。加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。网络卫士 IDS 能够维护完整的会话列表，并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态，在有效地防止IDS 规避攻击的同时， 不仅可以减少误报和漏报，而且可以大大提高检测性能。 ?天融信网络卫士安全管理系统（TSM ）采用基于状态机的实时关联检测技术，

9、对网络卫士 IDS 的报警事件和其他事件进行关联分析，有效地提高了IDS 检测准确率。 ?内置 2800 种以上入侵规则，提供对DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。 ?基于优化的TCP/IP 协议栈及可疑网络活动（SNA ）处理器，增强了DoS、扫描等攻击事件检测能力。 z高效的多层加速技术?采用专用的高速硬件平台，提供高速网络接口接入和全面优化的背板总线设计。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - -

10、 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司4 ?具有基于专用底层硬件驱动优化技术的底层抓包加速引擎。 ?通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，结合独有的流汇聚引擎，有效保证协议分析技术的应用。 ?采用增强直接用户空间访问（EDUA ） 技术，网卡驱动程序与上层系统共享一块内存区域， 网卡从网络上捕获到的数据报文直接传递给入侵检测系统，避免了数据的内存拷贝， 不需要占用CPU资源，从而最大程度的将有限的CPU资源让给协议分析和模式匹配等进程去利用，提高了整体性能。 同时通过将用户空间中的大量内存空间映射到内核层的D

11、MA 缓冲空间，从而使原来有限的DMA 缓冲空间得到有效扩展，解决了高峰期因缓冲空间有限而发生丢包的现象。 ?多线程分散式重组引擎，大大提高了重组效率，解决了IP 分片重组造成的性能瓶颈。 ?采用高效的流定位及状态型的协议分析技术。优化哈希（Hash）表查询，迅速定位每个报文所属session ；通过学习，模拟目标主机进行TCP流重组，有效的提高 TCP流重组性能， 并减少了误报； 状态型的会话跟踪分析，优化了同一会话的检测速度； 完整的协议分析，使得不需传统方式对每个数据包都进行检测，而是基于一个完整数据流进行分析。 ?无缝集成的优化智能模式匹配算法。协议解码器与模式匹配引擎采用无缝连接，在

12、进行细粒度协议分析后进行高效的模式匹配，最大限度地提高性能。 z强大的病毒蠕虫检测能力实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫攻击及时提供相关事件规则。对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。 网络卫士入侵检测系统内置600 条以上的蠕虫检测规则。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品

13、说明北京天融信公司5 zSSL 加密访问检测技术通过解码基于SSL加密的访问数据，分析、检测 SSL加密访问中的攻击行为，从而可以保护内部提供SSL加密访问的重要服务器的安全性。 z强大的报文回放能力能够完整记录多种应用协议（HTTP 、FTP 、SMTP 、POP3 、TELNET等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。 z丰富的响应方式控制台响应 ?报警：包括控制台报警、报警器报警、报警灯报警、焦点窗口报警、声音报警、邮件报警、手机短信报警等。 ?日志保存：将日志保存在本地数据库或者远程数据库中。 引擎响应 ?报警：向控

14、制台发送报警信息、邮件报警、 手机短信报警、 报警器报警、 SNMP报警、自定义程序报警等。 ?联动：防火墙、路由器联动等。 ?阻断：引擎主动阻断。 z方便、灵活的策略编辑器内置多种策略模板，用户可根据实际网络环境灵活选择、应用。策略编辑器简单、易用，便于管理员制定各种安全策略。内置强大的协议解码器，用户可以灵活地自定义各种入侵规则，具有极强的扩展性。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统Top

15、Sentry 产品说明北京天融信公司6 z灵活的部署方式支持控制台、引擎分离的分布式部署方式。不仅支持基于HUB的共享环境、基于交换机镜像功能的交换环境，而且还支持基于专用的流量分流设备TAP的部署方案。 z多层次、分级管理?引擎管理： 产品构架为基于C/S 模式的控制台与检测引擎分离的结构。从控制台可以对引擎进行详尽的配置，同时向引擎分发升级更新文件，并可以控制引擎停止、重启等。 ?数据库管理：支持多种数据库，包括本地ACCESS 数据库、外挂SQL SERVER 数据库。可以对数据库日志进行有效的备份、删除、压缩和恢复操作。 ?策略管理： 内置了多种策略模板，在策略模板基础上， 用户可以添

16、加新的策略集，并可以对具体策略项进行编辑处理。同时，支持策略集的导出和导入，便于控制台的迁移。 ?升级管理： 支持对事件特征库和系统的在线升级、文件包升级等升级方式，保证事件特征库和系统的及时更新。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司7 3 产品功能功能描述采用高稳定、高安全、高效率、高扩展、模块化、多平台支持的TOS 操作系统。采用创新技术： 综合应

17、用会话分析、智能协议分析、 异常状态检测等先进的检测技术。入侵检测：系统内置 2800余种入侵检测规则，可以细粒度检测各种入侵攻击企图。网络入侵阻断：系统可以阻断对特定服务器的访问或来自特定用户的服务。灵活的响应方式： 系统对所检测到的入侵企图和违背设定安全策略的活动提供了多种响应方式。提供强大的病毒（蠕虫）检测功能及强大的可疑事件（SNA）检测能力。与第三方安全产品联动功能：系统可通过TOPSEC 或 OPSEC 等协议与第三方防火墙互动 , 可以与 Cisco 路由器互动，组成强大的联合防御体系。支持与天融信安全审计系统（TA） 、天融信安全管理系统（TSM）联动。内置强大的、 灵活的协议

18、解码器， 用户可根据需求灵活定义协议和各种入侵检测规则。分级管理功能：支持大型分布式网络环境下的分级部署管理功能，即可支持多级控制台管理。安全功能支持天融信可信网络架构（TNA ） 。实时会话监控：提供实时监控当前TCP会话并根据需要进行切断、保存会话内容的功能。 实时系统监控：系统以图形方式实时监控IDS 引擎的 CPU 、内存等资源信息及实时网络流量信息。 监控功能协议还原与内容监控：监控并还原邮件内容（POP3, SMTP, IMAP, WEB MAIL ）；监控并记录 WWW、FTP 、TELNET 等 TCP会话的访问信息。 流量统计：提供基于各种协议的流量统计功能和基于访问端、服务

19、端的流量统计功能。报表与统计提供网络流量统计报表、丰富的入侵事件报表、针对当前系统设置的详细分析报表和用户自定义报表。增强的安全性：系统提供了采集入侵相关信息、发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和内部的攻击；增强安全性增强的自身安全性：采用stealth技术，有效地防止暴露入侵检测系统的存在，控制台引擎间的通讯采用SSL加密认证，从而有效地保护了入侵检测系统自身的安全性。简单、实用的图形化用户界面。 全中文的串口管理功能。 强大的在线帮助功能：提供强大的入侵规则及产品使用在线帮助，极大地减轻了管理员的负担。 便捷的升级功能： 系统通过自身集成的在线升级模块方便地对入侵检测

20、库和产品模块进行升级。 管理功能分布式探测与集中式管理相结合。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司8 4 产品规格产品型号 PN 产品描述 TopSentry3000 TS-3304-IDS 千兆高端：含网络卫士入侵检测引擎（硬件）和入侵检测控制台（软件） 2U机型；标配 2 个 10/100/1000BASE-T 端口 ( 可以用作扩展和监听） +1

21、 个 10/100/1000BASE-T 管理端口2 个 SFP插槽 TS-2504-IDS 百兆高端：含网络卫士入侵检测引擎（硬件）和入侵检测控制台（软件） 1U机型；标配 3 个 10/100/1000BASE-T 端口 ( 可以用作扩展和监听） +1 个 10/100/1000BASE-T 管理端口 TopSentry2000 TS-2204-IDS 标准百兆：含网络卫士入侵检测引擎（硬件）和入侵检测控制台（软件） 1U机型；标配 3 个 10/100BASE-TX 端口 ( 两个端口可以用作监听，另外一个端口用作扩展）+1个 10/100BASE-TX 管理端口 5 运行环境与标准电源

22、： ?TS-2204-IDS： 电压：AC 110/220V 频率：50/60HZ 电流：5.0A（110v）/3.0A （220v） ( 最大) 功率：250W (最大25摄氏度) ?TS-2504-IDS 电压：AC 100240V 频率：4763HZ 电流：4-2A 功率：200W (最大) ?TS-3304-IDS： 电压：AC 100240V （10% ） 频率：50/60HZ（3HZ ） 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 14 页 - - -

23、- - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司9 电流：8.05.0A ( 最大) 功率：350W (最大25摄氏度) 环境： 运行温度： 0 - 45 摄氏度 非运行温度： -20 - 65 摄氏度 相对湿度： 10 - 90%40 摄氏度，非冷凝 国家标准 : GB/T18336-2001 GA/T403.1-2002 BMB13-2004 GB/T9813-2000 GB/T4857.5-1992 参考的安全规范及标准 ( 相对参考 ): UL 60950 EN 61000 IEC 950 NEMKO EN 60950 AS/NZS CISPR 2

24、2 ：2002 Class B CSA 22.2 NO.234 LEVEL 3 FCC Part 15 Subpart J, Class B 115Vac EC EN 55022：1998+A1 ：2000，ClassB EN 61000-3-2：2000 EN 61000-3-3：1995+A1 ：2001 CISPR 22：1997+A1 ：2000 Class B 抗干扰性： IEC 61000-4-2 ：2001 （ESD ） IEC 61000-4-3 ：2002 （辐射敏感性） IEC 61000-4-4 ：1995 （电快速瞬变） IEC 61000-4-5 ：2001 （电源）

25、 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司10 IEC 61000-4-6 ：2001 （谐波） IEC 61000-4-8 ：2001 IEC 61000-4-11 ：2001名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 14

26、页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司11 6 典型应用1） 小规模网络环境这种部署适合于小型单一网段。通常集中监控网络出入口的关键路径，监控所有进出的数据流量。 2） 虚拟引擎技术的典型应用 假设 DMZ 网络中的重要服务器有：邮件服务器、Web服务器，那么Sensor0 的安全策略将侧重于检测邮件和Web服务相关的事件，响应策略可以设置为常规审计和防火墙联动；而针对内网的Sensor1，主要侧重于违规操作等的检测，所以响应策略设置为常规审计即可 3） 双网卡分流重组技术在实际网络环境中的应用在高速的千兆网络环境中，用户需要监听

27、的流量信息可能多于1000M （源自交换机的双向镜像），传统IDS 产品采用单网卡单独工作的方式，大于千兆的网络数据就会被IDS 监听网卡所丢失。天融信网络卫士入侵检测系统通过首创的“双网卡分流重组技术”，通过两块网卡的协同工作为用户解决了这个难题，部署如图。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 14 页 - - - - - - - - - 网络卫士入侵检测系统TopSentry 产品说明北京天融信公司12 7 产品资质证书名称颁发单位计算机信息系统安全专用

28、产品销售许可证 公安部国家信息安全认证产品型号证书 中国国家信息安全测评认证中心涉密信息系统产品检测证书 国家保密局涉密信息系统安全保密测评中心军用信息安全产品认证证书 军队测评中心 软件著作权证书 国家版权局 声明： 1. 本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不另行通知。 2. 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配 置方法不同而有所差异， 此可能产生的差异为正常现象，相关问题请咨询天融信客户服务中心400-610-5119 或者800-810-5119。 3. 本手册中没有任何关于其他同类产品的对比或比较，天融信也不对其他同类产品表达意见， 如引起相关纠纷应属于自行推测或误会，天融信对此没有任何立场。 4. 本手册中提到的信息为正常公开的信息，若因本手册或其所提到的任何信息引起了他人直接 或间接的资料流失、利益损失，天融信及其员工不承担任何责任。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 14 页 - - - - - - - - -