方正入侵检测系统 Founder-NIDS
- 产品品牌 方正 FOUNDER
- 产品型号 NIDS 系列
- 产品描述
FOUNDER NIDS入侵检测系统是由方正信息安全技术有限公司自主研发的基于网络的入侵检测系统。...
产品概述
FOUNDER NIDS入侵检测系统是由方正信息安全技术有限公司自主研发的基于网络的入侵检测系统。方正信息安全技术有限公司基于多年来积累的安全产品开发及实施经验,集中强大的研发队伍推出具有完善的功能和出色性能的入侵检测产品,FOUNDER NIDS网络入侵检测系统部署于网络中重点防护区域的旁路,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,可以大大增强用户的整体安全防护强度。
产品功能
1、网络入侵检测功能
监控能力:基于TCP/IP的网络活动和攻击行为,支持3200种以上的入侵检测规则;
协议解码:对常用网络应用层协议解码分析,并记录网络中的异常行为;
日志风暴处理功能:同种攻击类型事件合并成同一条以记录以增加攻击次数的方式在控制台显示;
协议过滤和误报处理功能:过滤不必要的TCP/IP协议的数据流。
2、增强功能
敏感会话监控:监控网络中常用的敏感信息,如URL地址、邮件主题中的敏感字符串等;
文件传输监控:对MSNP和FTP协议中上传和下载的文件名做详细记录;
实时网络会话监控:记录网络中TCP/IP连接情况,记录原始报文;
报文回放:可恢复常用协议(HTTP、FTP、SMTP、POP3、TELNET等)内容。
3、配置和策略管理功能
事件规则的定制:用户可根据需要定义自己的安全规则,根据需要修改告警级别,响应方式等;
多种响应方式:对攻击规则提供了记录常规日志、记录详细日志(获取原始报文)、防火墙联动、发送电子邮件、报警器报警、报警灯报警、手机短信报警、TCP 阻断等多种响应方式;
策略模板定制:提供Email策略、Web策略、最小化策略、缺省策略等多种定制模板;
日志审计和报表:用户可根据需要从任意角度定制审计查询条件。
4、系统安全功能
远程安全管理:采用SSL 加密信道和身份认证形式对传输信息进行处理;
管理日志审计:支持对用户操作的审计功能;
控制台身份认证和权限分级管理:通过控制台身份认证,有效确保控制台的安全和集中管理。
5、扩展功能
网络流量统计功能:对网络引擎监控的网段做流量统计,以图形和数字结合的方式显示;
引擎状态监控:实时显示网络引擎抓包情况,了解引擎端资源消耗情况;
日志管理功能:提供数据库管理功能,提供备份文件信息记录和显示功能;
事件规则库升级:支持自动定时、手动Web站点升级以及光盘介质升级。
6、分级管理功能:
对大型的分布式网络环境提供分级部署管理功能,支持多级控制台管理的复杂部署结构和两级的简单部署结构。
产品特点
全面的入侵检测技术
采用模式匹配结合状态分析及异常行为检测技术,提高了准确度,减少了漏报、误报;
应用高效的模式匹配算法,提高了检测效率;
细粒度的应用协议分析技术,提高了应用层攻击检测能力;
基于优化的TCP/IP协议栈及可疑网络活动(SNA)处理器,增强了DoS、扫描等攻击事件的检测能力;
具有DoS、扫描、代码攻击、病毒、后门等各种检测能力。
强大的蠕虫检测能力
实时跟踪当前最新的蠕虫事件,及时提供相关事件规则。分析其相关漏洞提供相关的入侵事件规则,解决了蠕虫发现滞后问题。
丰富的响应方式
控制台响应:
报警方式:具有控制台事件显示、报警灯报警、焦点窗口报警、邮件报警、手机短信报警等;
日志保存:将日志保存本地数据库或者异地数据库中。
引擎响应:
报警方式:可向控制台发送报警信息、邮件报警、手机短信报警、报警器报警;
联动:可与防火墙、路由器联动。
方便、灵活的策略编辑器
多种默认策略模板,用户可根据实际环境灵活选择、应用。内置强大的协议解码器,用户可灵活自定义各种入侵规则功能,具有极强的扩展性。
灵活的部署方式
支持控制台、引擎分离的分布式部署方式。支持共享和交换环境,支持基于专用的流量分流设备TAP的部署,以及多端口并行监听的虚拟引擎部署。
多层次、分级管理
引擎管理:产品采用C/S模式的控制台与引擎分离的结构。控制台对引擎进行配置,向引擎分发升级更新文件,控制引擎启动、停止、重新启动等;
界面管理:中心界面的窗口可以灵活部署、方便添加,窗口显示属性和内容都可以由用户调整;
数据库管理:支持多种数据库,包括本地ACCESS数据库、专用的SQL SERVER。可以对数据库日志进行有效的备份和删除维护以及压缩和恢复操 作;
策略管理:内置了多种策略集,可添加新的策略集,可对具体策略细项进行编辑处理。支持策略集的导出和导入;
升级管理:支持对攻击特征和系统本身的在线升级和手动升级管理方式。
技术优势
采用零拷贝技术:
零拷贝技术避免了数据的内存拷贝,降低CPU资源的占用,最大程度的将有限的CPU资源让给协议分析和模式匹配等进程去利用,提高设备的整体性能;
应用虚拟引擎技术:
引入了“探头”的概念,一个“探头”就等于传统产品的一个引擎,可以分别配置检测策略。用户在总网络流量不超过引擎处理能力的情况下,一台引擎就可以作为“多台引擎”来用,节省了用户的投资;
采用多线程分散式IP分片重组技术:
为了最大限度地提高IP分片重组效率,采用了多线程分散式IP分片重组机制,大大提高了因IP分片重组造成的性能瓶颈;
TCP 流汇聚及匹配机制:
优化的TCP 流定位算法可快速、准确地确定相关会话,减少系统资源消耗并提高处理效率,并对每一个数据报文进行准确地判断、匹配相关TCP流。
典型部署图
产品系列
产品名称 | 产品型号 | 配置/说明 |
方正入侵检测系统 | Founder-NIDS-6500 | 4个标准 1000M 电口(接口可灵活扩展)/1U |
方正入侵检测系统 | Founder-NIDS-6600 | 4个标准 1000M 电口(接口可灵活扩展)/冗余双电源(可选)/2U |
方正入侵检测系统 | Founder-NIDS-6700 | 2个标准 1000M 电口+2个 1000M SFP接口(接口可灵活扩展)/冗余双电源(可选)/2U |
方正入侵检测系统 | Founder-NIDS-6800 | 2个标准 1000M 电口+2个 1000M SFP接口(接口可灵活扩展)/冗余双电源(可选)/2U |
方正入侵检测系统 | Founder-NIDS-6900 | 4个标准 1000M 电口+2个 1000M SFP接口(接口可灵活扩展)/冗余双电源/2U |
方正入侵检测系统 | Founder-IDP-3000S | 6个标准 1000M 电口+2个 1000M SFP接口/1U |