內網安全管理解決方案之內網威脅探測與分析
內網威脅探測
威脅探測器是一款基于高性能ASIC芯片架構以全線速計算效能達成內網集中式身份管理和攻擊抑制的高性能安全設備。內網威脅探測器是工作在7層網絡模型中第2層的設備,主要作用是對網絡2層的資源(如:MAC地址和IP地址的對應關系)進行管理,防御針對第2層的攻擊(如:ARP欺騙)。簡單來說,管理好了MAC和IP地址,就管理好了網內用戶的身份,進而可以有效的防御2層攻擊,自動將其定位并隔離在網絡之外。
主要功能:
MAC/IP 地址管理
身份安全管理:自動學習網內MAC、IP及使用者計算機名稱,快速建立一一對應的網絡使用者數(shù)據(jù)庫。加強了網絡管理人員(以下簡稱“管理人員” )對網絡使用者的身份安全管理;
綁定管理:MAC、IP綁定的網絡存取安全策略,以防止網內用戶私自攥改IP和MAC地址,造成地址沖突問題和管理問題,避免個人計算機與重要設備、服務器的網絡地址沖突給管理人員帶來的管理困擾,同時保障重要設備或服務器服務運行;
數(shù)據(jù)管理:系統(tǒng)支持單條MAC\IP數(shù)據(jù)錄入,并提供整個數(shù)據(jù)庫的導入、導出、清除等管理服務,增強了管理人員對網絡中MAC\IP數(shù)據(jù)的管理能力。
異常偵測管理
IP Scan 掃描偵測:ARP病毒發(fā)作前一般會執(zhí)行 IP scan掃描,通過對掃描進行偵測,在測試過程中對發(fā)現(xiàn)的問題用戶進行定位并隔離在網絡之外;
ARP異常偵測: 即使ARP病毒已經發(fā)作不再執(zhí)行掃描動作,此功能依然可定位并隔離正在發(fā)動ARP攻擊的問題用戶;
DNS釣魚偵測:檢測用戶瀏覽器是否因感染木馬而被劫持。
內網威脅分析
內網威脅分析系統(tǒng)是按照信息安全規(guī)范ISO27001/27002的精神而推出的,旨在為內網構建一個類似于疾病防控體系一般的威脅防控體系和行為審計系統(tǒng),工作在7層網絡模型中第3層,第4層,主要作用是對網內第3層的數(shù)據(jù)流量,第4層的使用端口進行收集和分析,根據(jù)分析的結果來判斷網絡是否有異常狀況,并能定位和隔離發(fā)生異常流量的主機。另外,分析系統(tǒng)還能存儲大量的網絡行為日志,凡做過必留下痕跡,為日后可能的危機處理提供證據(jù)。
主要功能:
流量分析
用戶分析:通過一個列表,管理人員可了解網內每個用戶流量的大小和在網絡中的流量排名,從而找到具有潛在威脅的用戶;
協(xié)議分析:管理人員對流量排行榜上的某個用戶進行協(xié)議分析,以了解該用戶可能正在使用哪些應用,從而確認是否存在風險;
實時分析:管理人員可以對網內流量進行實時的分析,了解流量傳輸?shù)淖钚虑闆r。
異常分析
偵測網絡流量異常,并通過郵件通知管理人員;
能夠偵測已知常見蠕蟲病毒,并自動對問題用戶進行封鎖;
對于用戶進行超流分析,超過規(guī)定流量執(zhí)行封鎖并能根據(jù)封鎖時間設定進行自動解鎖。
內網威脅的介紹時內網安全的重要部分,本文介紹的這個方案內容希望大家已經掌握,在以后的文章中我們會進一步探討這個方案的。
【編輯推薦】
