返回列表 发帖
tutuning 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
tutuning发表于 2006-11-15 10:58 | 只看该作者

防蠕虫病毒和异常流量侦测交换机NBADswitch

防蠕虫病毒和异常流量侦测交换机NBADswitch
国内第一款防蠕虫病毒和异常流量侦测交换机
NBADswitch基于下列程序,而达到「整体的安全」的设计理念:
Authenticate认证 – 是谁或什么在使用网路?
Monitor (Audit)监测 –她们或它们在做什么 ?
Act (Administer)管理 – 我怎么管理他或它?
认证(Authenticate)
NBAD 提供layer 2/3 进阶的网路存取安全(Network Access Security)的功能, 用以防止网路身份的伪冒及降低网路MAC/IP存取冲突,主要包含下列主要二项:
身份认证-NBADswitch支援IEEE 802.1x认证机制,让网路使用者进入网路之前必须经过身份确认的程序,以防止网路身份的伪冒;并支援SyGate、Microsoft NAP端点安全(End point Seurity)认证,以确保使用者入网前可以提供主机完整性检查(Host Integrity Check)。
设备认证-基本上网路将会有愈来愈多设备参与网路活动(如VoIP Phone),而这些设备是无法以身分名称及密码来认证的,因此NBADswitch支援(MAC)、(Port+IP)或(MAC+IP)绑定的设备认证机制(Device Authentication),让不便使用IEEE 802.1x身份认证机制的人员或设备,可利用此机制达到阻止未授权设备(Rogue Device)的入侵或避免网路MAC/IP存取冲突。
监测 (Monitor & Audit)
认证(Authenticate)的目的在于上网前确认使用者的身分或设备的合法性,甚至利用主机完整性检查产品(如SyGate、Microsoft NAP)可以将用户的PC环境与设定作一番健康检查。但这样未必保证网路用户于上网后必然不会受到其他的感染,尤其是广告及间谍的后门程式越来越隐密,即使中毒后不容易察觉,据统计30%的广告或间谍的后门程式扫毒软体束手无策,也许下一个类似「杀手」的蠕虫病毒就会利用这样的后门程式来散播。
监测 (Monitor) 的目的在于上网后线上即时监视使用者发送的封包是否有攻击的行为或异常流量的发生;NBADswitch设计的主要目的之一是为了围剿日益严重的网虫,不仅要线上即时侦测蠕虫的攻击,甚至网路管理者可以启动流量分析工具,追踪网路行为或流量的异常。
稽核 (Audit) 的目的在于用户上网后线上即时侧录使用者发送的讯务流量资讯以作为未来安全稽核使用,NBADswitch具备Netflow v1/5/9机能让网路管理者可以测录经过NBADswitch的TCP session,亦可立即使用流量分析器(flow analyzer)分析使用者讯务行为是否有浅在的异常行为发生。
NBADswitch蠕虫围剿自动化的四部曲:
Detect - 侦测可疑中毒用户/骇客
ban - 隔离可疑用户
Remedy - 中毒用户的通过与治疗
unban - 治愈后, 回复至原安全网段
其中Detect就是整体安全程序里头的Monitor,配合NBADmanager即可达到Audit安全程序的要求。
Detect – 蠕虫侦测、异常侦测
NBADswitch内建第四层讯务流量统计及异常流量的ASIC晶片,每个封包经过交换器上的每一个埠均可送往此晶片监测,以检视是否为不友善的攻击封包,而提供的异常侦测方式包括下列三种:(1)特征侦测(signature based) – NBADswitch ASIC晶片具备多种目前市面已发现严重等级的蠕虫特征侦测功能,只要发现用户的封包具有这些严重的蠕虫攻击的特征,交换器就可以立即处置而不让蠕虫有机会散播感染。(2)异常侦测(anomaly based) – 这是一种统计基础的防卫机制,管理者可以依照过去的统计经验或利用预设值设定每个IP合理的讯务流量临界值(thresholds),当某网路用户session流量超过此临界值,NBADswitch可立即根据预设之的管制动作采取行动。

管理 (Administer)
监视与稽核的目的无非是要防止攻击或异常的发生,但是当这样的攻击已发生的时候,如何的处理才能减少或阻止危害的发生,同时必须具备有完善的机制处理攻击的危害,做到自动化的要求,以减轻管理人员的工作负荷;以下说明NBADswitch蠕虫围剿自动化的四部曲中有关管理(Administation) 设计的基本理念:


NBADswitch 管理自动化重生机能四部曲:
1.隔离 ban– MAC quarantine、Rate Limit、Quota control
2.通知 notice - auto web portal pop-up to browser of quarantined user
3.治疗 remedy – redirect web service to a specified remedy server
4.复原 unban – auto release the quarantined users after specified periods of time
中国区总代理
上海竞霄网络科技有限公司
上海四平路1128号远洋广场2号楼1006
电话:021-35010193
传真:021-65799874
http://www.viernet.com
收藏 分享

返回列表 回复 发帖