内网威胁探测
威胁探测器是一款基于高性能ASIC芯片架构以全线速计算效能达成内网集中式身份管理和攻击抑制的高性能安全设备。内网威胁探测器是工作在7层网络模型中第2层的设备,主要作用是对网络2层的资源(如:MAC地址和IP地址的对应关系)进行管理,防御针对第2层的攻击(如:ARP欺骗)。简单来说,管理好了MAC和IP地址,就管理好了网内用户的身份,进而可以有效的防御2层攻击,自动将其定位并隔离在网络之外。
主要功能:
MAC/IP 地址管理
身份安全管理:自动学习网内MAC、IP及使用者计算机名称,快速建立一一对应的网络使用者数据库。加强了网络管理人员(以下简称“管理人员” )对网络使用者的身份安全管理;
绑定管理:MAC、IP绑定的网络存取安全策略,以防止网内用户私自攥改IP和MAC地址,造成地址冲突问题和管理问题,避免个人计算机与重要设备、服务器的网络地址冲突给管理人员带来的管理困扰,同时保障重要设备或服务器服务运行;
数据管理:系统支持单条MAC\IP数据录入,并提供整个数据库的导入、导出、清除等管理服务,增强了管理人员对网络中MAC\IP数据的管理能力。
异常侦测管理
IP Scan 扫描侦测:ARP病毒发作前一般会执行 IP scan扫描,通过对扫描进行侦测,在测试过程中对发现的问题用户进行定位并隔离在网络之外;
ARP异常侦测: 即使ARP病毒已经发作不再执行扫描动作,此功能依然可定位并隔离正在发动ARP攻击的问题用户;
DNS钓鱼侦测:检测用户浏览器是否因感染木马而被劫持。
内网威胁分析
内网威胁分析系统是按照信息安全规范ISO27001/27002的精神而推出的,旨在为内网构建一个类似于疾病防控体系一般的威胁防控体系和行为审计系统,工作在7层网络模型中第3层,第4层,主要作用是对网内第3层的数据流量,第4层的使用端口进行收集和分析,根据分析的结果来判断网络是否有异常状况,并能定位和隔离发生异常流量的主机。另外,分析系统还能存储大量的网络行为日志,凡做过必留下痕迹,为日后可能的危机处理提供证据。
主要功能:
流量分析
用户分析:通过一个列表,管理人员可了解网内每个用户流量的大小和在网络中的流量排名,从而找到具有潜在威胁的用户;
协议分析:管理人员对流量排行榜上的某个用户进行协议分析,以了解该用户可能正在使用哪些应用,从而确认是否存在风险;
实时分析:管理人员可以对网内流量进行实时的分析,了解流量传输的最新情况。
异常分析
侦测网络流量异常,并通过邮件通知管理人员;
能够侦测已知常见蠕虫病毒,并自动对问题用户进行封锁;
对于用户进行超流分析,超过规定流量执行封锁并能根据封锁时间设定进行自动解锁。
内网威胁的介绍时内网安全的重要部分,本文介绍的这个方案内容希望大家已经掌握,在以后的文章中我们会进一步探讨这个方案的。
【编辑推荐】
