聯(lián)想網(wǎng)御IDS產(chǎn)品培訓(07)

1、 2008聯(lián)想網(wǎng)御 聯(lián)想網(wǎng)御ids產(chǎn)品培訓聯(lián)想網(wǎng)御科技（北京）有限公司 高憲法2009年7月聯(lián)想網(wǎng)御ids產(chǎn)品特點2聯(lián)想網(wǎng)御ids產(chǎn)品線構(gòu)成4聯(lián)想網(wǎng)御ids產(chǎn)品背景3 1聯(lián)想網(wǎng)御ids產(chǎn)品功能3 3目錄目錄聯(lián)想網(wǎng)御ids產(chǎn)品成功案例3 5 來自外部的攻擊intrusion黑客入侵攻擊dos/ddos拒絕服務(wù)攻擊worm網(wǎng)絡(luò)蠕蟲攻擊web相關(guān)攻擊企業(yè)網(wǎng)絡(luò)intrusion、dos/ddosworm/network virusweb相關(guān)攻擊相關(guān)攻擊來自外部的攻擊眾多來自外部的攻擊眾多 來自內(nèi)部網(wǎng)絡(luò)的威脅instant message在線聊天軟件p2p共享軟件虛擬隧道軟件在線網(wǎng)絡(luò)游戲企業(yè)網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)

2、imim：msnmsn、qqqq、skypeskypep2pp2p：迅雷、：迅雷、bittorrentbittorrent虛擬隧道：虛擬隧道：vnnvnn在線網(wǎng)游：聯(lián)眾、浩方在線網(wǎng)游：聯(lián)眾、浩方來自內(nèi)部的威脅增加來自內(nèi)部的威脅增加我的網(wǎng)絡(luò)究竟發(fā)生了什么？我的網(wǎng)絡(luò)究竟發(fā)生了什么？攻擊是什么時候攻擊是什么時候發(fā)生的？發(fā)生的？網(wǎng)絡(luò)中每天都有網(wǎng)絡(luò)中每天都有哪些攻擊行為？哪些攻擊行為？誰在違規(guī)使用誰在違規(guī)使用網(wǎng)絡(luò)資源？網(wǎng)絡(luò)資源？idsids是什么是什么idsids是什么是什么 intrusion detection：通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違

3、反安全策略的行為和遭到入侵跡象的一種安全技術(shù)； intrusion detection system：作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。聯(lián)想網(wǎng)御ids產(chǎn)品特點2聯(lián)想網(wǎng)御ids產(chǎn)品線構(gòu)成4聯(lián)想網(wǎng)御ids產(chǎn)品背景3 1聯(lián)想網(wǎng)御ids產(chǎn)品功能3 3目錄目錄聯(lián)想網(wǎng)御ids產(chǎn)品成功案例3 5聯(lián)想網(wǎng)御聯(lián)想網(wǎng)御idsids產(chǎn)品特點產(chǎn)品特點 高效精準的入侵檢測高效精準的入侵檢測并行數(shù)據(jù)采集的虛擬引擎技術(shù)硬件級的替換存儲零拷貝技術(shù)并行多協(xié)議融合分析技術(shù)細粒度的深度內(nèi)容匹配算法 方便靈活

4、的智能管理方便靈活的智能管理網(wǎng)絡(luò)流量精準檢測異常問題快速定位關(guān)鍵服務(wù)重點監(jiān)控統(tǒng)計報表靈活多樣 實時安全的聯(lián)動響應(yīng)實時安全的聯(lián)動響應(yīng)實時的主動阻斷多樣的聯(lián)動響應(yīng)入侵檢測性能高效入侵檢測性能高效use引擎引擎多協(xié)議融多協(xié)議融合分析技合分析技術(shù)術(shù)細粒度細粒度分析算法分析算法并行數(shù)據(jù)采集并行數(shù)據(jù)采集虛擬引擎技術(shù)虛擬引擎技術(shù)硬件級硬件級替換存儲替換存儲技術(shù)技術(shù)部署接入級提速部署接入級提速數(shù)數(shù)據(jù)據(jù)采采集集級級提提速速協(xié)議分析級提協(xié)議分析級提速速匹匹配配檢檢測測級級提提速速四四級級提提速速四四項項技技術(shù)術(shù)交換機探測引擎重要服務(wù)器控制臺tapsensor從交換機到服務(wù)器的流量從交換機到服務(wù)器的流量從服務(wù)器到交

5、換機的流量從服務(wù)器到交換機的流量并行數(shù)據(jù)采集的虛擬引擎技術(shù)并行數(shù)據(jù)采集的虛擬引擎技術(shù)多協(xié)議融合分析技術(shù)多協(xié)議融合分析技術(shù)先進的入侵檢測技術(shù)先進的入侵檢測技術(shù)智能ip碎片重組技術(shù)優(yōu)化的tcp流重組及檢索技術(shù)基于應(yīng)用協(xié)議完全解析應(yīng)用層狀態(tài)檢測技術(shù)adi匹配算法cdi匹配算法多線程并行處理技術(shù)ssl加密數(shù)據(jù)檢測技術(shù)3000多條細粒度檢測規(guī)則方便靈活的智能管理方便靈活的智能管理網(wǎng)絡(luò)流量精準檢測：網(wǎng)絡(luò)流量精準檢測：實時記錄并圖形化顯示當前正常和異常的網(wǎng)絡(luò)流量和會話數(shù)；真實反映當前探測器處理能力，客觀顯示丟包數(shù)量，為設(shè)備科學合理部署提供依據(jù)。異常問題快速定位：異常問題快速定位：主機異常流量快速定位、ip/

6、mac地址捆綁和事件關(guān)聯(lián)分析等功能，輔助網(wǎng)管員快速解決病毒爆發(fā)預(yù)警和網(wǎng)關(guān)地址盜用快速定位等問題。關(guān)鍵服務(wù)重點監(jiān)控：關(guān)鍵服務(wù)重點監(jiān)控：針對關(guān)鍵服務(wù)器可自定義事件特征、修改已有規(guī)則閾值，制定針對性的個性化檢測策略，并實時監(jiān)控服務(wù)運行狀態(tài)，對針對性的攻擊實現(xiàn)報警響應(yīng)和阻斷。統(tǒng)計報表靈活多樣：統(tǒng)計報表靈活多樣：提供50多種基本的日志與審計報告樣式，并支持用戶靈活定制報告樣式，支持將報告轉(zhuǎn)換為ms-word、ms-excel、crystal、xml、rtf和html格式網(wǎng)絡(luò)流量檢測精準網(wǎng)絡(luò)流量檢測精準異常問題快速定位異常問題快速定位實時安全的聯(lián)動響應(yīng)實時安全的聯(lián)動響應(yīng)聯(lián)想網(wǎng)御ids產(chǎn)品特點2聯(lián)想網(wǎng)御id

7、s產(chǎn)品線構(gòu)成4聯(lián)想網(wǎng)御ids產(chǎn)品背景3 1聯(lián)想網(wǎng)御ids產(chǎn)品功能3 3目錄目錄聯(lián)想網(wǎng)御ids產(chǎn)品成功案例3 5為了便于用戶查看，提供了分別提供了實時事件和歷史事件查看窗口為了防止事件洪水淹沒界面窗口，默認啟用了入侵檢測事件歸并的功能個性化界面可將不同危險級別的事件，分別顯示在不同的窗口中入侵事件查看功能入侵事件查看功能 實時流量統(tǒng)計按協(xié)議/源地址/目的地址 按小時/天/月/年統(tǒng)計入侵流量統(tǒng)計按協(xié)議/源地址/目的地址 按小時/天/月/年統(tǒng)計web流量統(tǒng)計流量統(tǒng)計功能流量統(tǒng)計功能 實時查詢當前會話列表，可以查看會話內(nèi)容并進行切斷 實時統(tǒng)計每個會話所傳輸?shù)臄?shù)據(jù)量，并可以定位入侵會話 有助于定位、分析

8、未知協(xié)議對網(wǎng)絡(luò)造成的影響實時會話監(jiān)控功能實時會話監(jiān)控功能提供對郵件、文件傳輸(ftp/msn)、msn聊天、web訪問以及有害站點等各種網(wǎng)絡(luò)行為監(jiān)控功能網(wǎng)絡(luò)行為監(jiān)控功能網(wǎng)絡(luò)行為監(jiān)控功能cpu、內(nèi)存使用率 當前會話數(shù)/當前流量/當前引擎丟包數(shù)/每秒報文數(shù)可實時查看當前引擎工作情況及當前網(wǎng)絡(luò)狀況詳盡的引擎狀態(tài)監(jiān)控詳盡的引擎狀態(tài)監(jiān)控提供監(jiān)控重要服務(wù)器服務(wù)工作情況記錄指定服務(wù)宕機時間可以作為數(shù)據(jù)中心服務(wù)器監(jiān)控功能使用關(guān)鍵服務(wù)器監(jiān)控關(guān)鍵服務(wù)器監(jiān)控提供基于協(xié)議漏洞、郵件、文件傳輸(msn)及其他途徑傳播的各類蠕蟲內(nèi)置了豐富的蠕蟲檢測規(guī)則強大的蠕蟲檢測功能強大的蠕蟲檢測功能 lenovoids的策略編輯器的

9、設(shè)計考慮的非常周全、簡便 同時提供了很多高級配置功能,用戶可以根據(jù)實際環(huán)境進行各種優(yōu)化 提供數(shù)十種精細加工之后的通俗易懂的應(yīng)用層協(xié)議解碼器，用戶可以根據(jù)需求靈活定義各種規(guī)則靈活的策略編輯靈活的策略編輯= =直觀的會話回放直觀的會話回放對抓取的原始報文，可以模擬終端回放整個操作過程可以轉(zhuǎn)換為16進制格式進行分析 防火墻聯(lián)動(聯(lián)想防火墻/天融信防火墻/netscreen防火墻/checkpoint防火墻/cisco pix/iap聯(lián)動） 網(wǎng)絡(luò)設(shè)備聯(lián)動(cisco路由器） 廣泛的第三方產(chǎn)品聯(lián)動功能廣泛的第三方產(chǎn)品聯(lián)動功能靈活的日志備份策略靈活的日志備份策略可按照如下方式靈活的備份入侵日志按照指定周期

10、定期備份根據(jù)指定大小進行備份按日期/星期進行備份以上三種方式的任意組合備份基于專業(yè)的水晶報表(crystal report)為插件的報表系統(tǒng)匯總報表、流量報表、入侵事件報表、系統(tǒng)參數(shù)報表等可以導出為word、excel、xml、html、rtf各種格式全面的報表功能功能全面的報表功能功能支持在線升級支持脫機包升級 提供升級提示功能規(guī)則庫平均每周更新一次升級功能升級功能sensorsensor 分級管理適合于大型分級網(wǎng)絡(luò)環(huán)境 有利于制定全局的安全策略可以實現(xiàn)安全事件集中管理管理控制臺管理控制臺sensorsensorsensorsensorsensorsensor管理控制臺管理控制臺管理控制臺管

11、理控制臺管理控制臺管理控制臺管理控制臺管理控制臺管理控制臺管理控制臺總部總部分支機構(gòu)分支機構(gòu)下級分支機構(gòu)下級分支機構(gòu)sensorsensorsql-serversql-serversql-server分級管理功能分級管理功能聯(lián)想網(wǎng)御ids產(chǎn)品特點2聯(lián)想網(wǎng)御ids產(chǎn)品線構(gòu)成4聯(lián)想網(wǎng)御ids產(chǎn)品背景3 1聯(lián)想網(wǎng)御ids產(chǎn)品功能3 3目錄目錄聯(lián)想網(wǎng)御ids產(chǎn)品成功案例3 5聯(lián)想網(wǎng)御聯(lián)想網(wǎng)御idsids產(chǎn)品線產(chǎn)品線n120n820n3200n5200百兆百兆標準型標準型千兆千兆標準型標準型百兆百兆增強型增強型千兆千兆增強型增強型200mbps1gbps2gbps100mbpsn5200n5200產(chǎn)品說

12、明產(chǎn)品說明說明項說明產(chǎn)品描述千兆增強型，2u機箱，熱備冗余電源適用于2g負載的千兆網(wǎng)絡(luò)環(huán)境通訊口（管理口）1個10/100m自適應(yīng)電口監(jiān)聽口2個10/100/1000m自適應(yīng)電口，2個gbic插槽（可插千兆gbic多模光口/單模光口/電口模塊)，監(jiān)聽口可擴展為4個。串口1個rs-232口擴展說明如需支持3或4個監(jiān)聽口,可按客戶需求選配1或2個相應(yīng)“gbic模塊”，可隨主機同時下單；如已購買主機，則直接下單購買“gbic模塊”升級為3或4個監(jiān)聽口,設(shè)備無需返廠。目標客戶電信級高端用戶n3200n3200產(chǎn)品說明產(chǎn)品說明說明項說明產(chǎn)品描述千兆標準型，2u機箱，熱備冗余電源適用于1g負載的千兆網(wǎng)絡(luò)環(huán)

13、境通訊口（管理口）2個10/100m自適應(yīng)電口監(jiān)聽口2個10/100/1000m自適應(yīng)電口，2個sfp插槽（可插千兆sfp多模光口/單模光口/電口模塊)，監(jiān)聽口可擴展為4個。串口1個rj45口擴展說明如需支持3個監(jiān)聽口,可按客戶需求選配1個相應(yīng)“sfp模塊”，可隨主機同時下單;如已購買主機，則直接下單購買“sfp模塊”升級為3個監(jiān)聽口,設(shè)備無需返廠；不建議插2個sfp模塊來支持4個監(jiān)聽口，如需要請購買n5200。目標客戶大型企業(yè)、省市級政府等中高端用戶n820n820產(chǎn)品說明產(chǎn)品說明說明項說明產(chǎn)品描述百兆增強型，1u機箱，單電源適用于200m負載的百兆網(wǎng)絡(luò)環(huán)境通訊口（管理口）1個10/100/

14、1000m自適應(yīng)電口監(jiān)聽口1個10/100/1000m自適應(yīng)電口，2個10/100/1000m自適應(yīng)擴展口（可設(shè)為監(jiān)聽口）。 串口1個rs-232口擴展說明如需支持2或3個監(jiān)聽口，按用戶手冊通過串口對擴展口進行相應(yīng)配置即可，設(shè)備無需返廠。目標客戶中小型企業(yè)、縣級政府n120n120產(chǎn)品說明產(chǎn)品說明說明項說明產(chǎn)品描述百兆增強型，1u機箱，單電源適用于100m負載的百兆網(wǎng)絡(luò)環(huán)境通訊口（管理口）1個10/100m自適應(yīng)電口監(jiān)聽口1個10/100m自適應(yīng)電口，2個10/100m自適應(yīng)擴展口（可設(shè)為監(jiān)聽口）。 串口1個rs-232口擴展說明如需支持2個監(jiān)聽口，按用戶手冊通過串口對擴展口進行相應(yīng)配置即可，

15、設(shè)備無需返廠；不建議支持3個監(jiān)聽口，如需要請購買n820。目標客戶小型企業(yè)聯(lián)想網(wǎng)御ids產(chǎn)品特點2聯(lián)想網(wǎng)御ids產(chǎn)品線構(gòu)成4聯(lián)想網(wǎng)御ids產(chǎn)品背景3 1聯(lián)想網(wǎng)御ids產(chǎn)品功能3 3目錄目錄聯(lián)想網(wǎng)御ids產(chǎn)品成功案例3 5典型客戶典型客戶政府政府國家知識產(chǎn)權(quán)局科技部河南省政府河南省發(fā)改委寧廈自治區(qū)發(fā)改委河南省信息中心云南省信息技術(shù)發(fā)展中心吉林省政府云南省政協(xié)杭州市西湖區(qū)政府廊坊市政府廓坊市政府淳安市信息中心江蘇省信訪局湖南省信訪局江西省信訪局安徽省信訪局山東濱州市檢察院山東淄博市檢察院淄博市博山檢察院聊城市檢察院懷化市勞動和社會保障局福建省勞動廳泰興勞動局北京市水務(wù)局河南省測繪局浙江省糧食局寧波市規(guī)劃局寧波市國土局南陽防疫局澄合礦務(wù)局成都市人事考試中心南通機關(guān)事務(wù)局廣州市農(nóng)業(yè)局廣州市人大廣州市林業(yè)局典型客戶典型客戶公安、財政、稅務(wù)公安、財政、稅務(wù)河南省公安廳成都市公安寧波市公安蕪湖市公安宿州市公安荊州市公安鶴壁市公安荊州市公安淮安市公安宿州市公安黑龍江全省財政江蘇南通市財政 吉林省地稅局河南省國稅局湖北省國稅局寧夏國稅局湖北省地稅局 典型客戶典型客戶電信、電力