Principales productos de Netshen Information Technology (Beijing) Co., Ltd.
La puerta de enlace SecSSL 3600 es una nueva generación de productos y equipos de Netshen para aplicaciones de red central para empresas y usuarios de telecomunicaciones. Está desarrollado por el equipo central de investigación y desarrollo de SSL VPN de Netshen con casi 10 años de experiencia en investigación y. Conocimiento profundo de SSL VPN. Basado en investigaciones y desarrollado después de casi dos años de pruebas cerradas, satisface eficazmente las necesidades de acceso de seguridad de los usuarios. El producto adopta la tecnología All in One VPN para lograr un acceso seguro a varios terminales, integra SSL-VPN y IPsec VPN y admite acceso completo a la red para Windows, Linux, MAC, iOS y Android. El producto tiene características técnicas como función de activación remota del escritorio del usuario, tecnología de enrutamiento inteligente multienlace, tecnología de escritorio virtual seguro y autorización dinámica de SMS. Este producto utiliza algoritmos y protocolos de cifrado seguros y confiables para conectar de forma segura terminales informáticas móviles a las redes internas de empresas y gobiernos. No solo permite el trabajo de oficina móvil, sino que también garantiza de manera efectiva la seguridad de las redes internas de empresas y gobiernos.
Descripción general del producto
SecSSL 3600 es una puerta de enlace VPN multifuncional que proporciona un servicio VPN dos en uno y un servicio de firewall de red basado en el protocolo SSL + protocolo IPsec para realizar la transmisión de datos y protección. Utilice tecnología VPN madura para realizar la interconexión entre regiones y entre redes entre los clientes de aplicaciones de usuario y los servicios de aplicaciones; utilice múltiples protocolos de autenticación para lograr una autenticación integral de las identidades de los usuarios y proporcione servicios de auditoría integrales e informativos a través de información de registro detallada.
SecSSL 3600 utiliza el protocolo SSL para establecer una conexión VPN entre el usuario remoto y la puerta de enlace, lo que garantiza que los datos no serán escuchados, reproducidos ni interferidos durante la transmisión. Para el acceso de cada usuario, se utiliza tecnología de autenticación para garantizar que la identidad del usuario sea confiable. La puerta de enlace puede interactuar con servidores de autenticación LDAP/AD/Radius/certificados para proporcionar soluciones de autenticación flexibles y diversas.
NetGod SecSSL 3600 permite a los usuarios de oficinas domésticas, usuarios de oficinas móviles y socios acceder de forma fácil y segura a la intranet sin preinstalar el software del cliente. El producto no sólo puede proteger aplicaciones web, sino que también admite una variedad de aplicaciones basadas en TCP/UDP. Para mejorar el alcance de la aplicación del acceso remoto, también se proporciona un método de conexión de red, que permite a los clientes de acceso remoto acceder a cualquier recurso IP en la red interna de la empresa y también puede realizar la interconexión entre dos LAN.
SecSSL 3600 tiene un módulo de función de protocolo IPsec incorporado, un módulo de función de firewall de red y un módulo de función de detección de intrusiones en la red. Sobre la base de proporcionar servicios SSL-VPN, puede proporcionar a los usuarios soluciones integrales de protección de seguridad de red.
SecSSL 3600 proporciona funciones integrales de registro, auditoría y monitoreo. Los administradores pueden ver el historial de usuarios que utilizan el sistema, el estado operativo actual del sistema e información en tiempo real sobre los usuarios en línea actuales.
Aspectos destacados del producto
La tecnología VPN todo en uno permite el acceso seguro a varios terminales, integra SSL-VPN y VPN IPsec y es compatible con la red completa de Windows, Linux, MAC, iOS y Android. acceso, uso más flexible y soporte empresarial más completo.
La función de activación remota del escritorio del usuario puede lograr el mejor equilibrio entre trabajar en cualquier momento y en cualquier lugar y ahorrar energía y reducir las emisiones. El administrador puede registrar la computadora de escritorio del usuario, permitiéndole iniciar sesión en el sistema e iniciar la computadora de escritorio de la oficina mediante activación remota para lograr acceso remoto al host de su oficina.
La tecnología de enrutamiento inteligente multienlace logra una respuesta rápida al acceso de usuarios remotos y admite el acceso multienlace, lo que no solo satisface las diferencias de ancho de banda de diferentes operadores, sino que también logra una copia de seguridad redundante;
p>
La tecnología líder de escritorio virtual seguro garantiza que los datos comerciales remotos no se pierdan. El escritorio virtual seguro permite que los datos del escritorio de los usuarios estén en el escritorio virtual seguro y los datos comerciales no se filtrarán, lo que satisface las necesidades de prevención de fuga de datos de los clientes en la situación actual.
El modo de autenticación de combinación flexible garantiza la seguridad de la identidad del usuario y admite la combinación de múltiples métodos de autenticación; admite la vinculación del terminal del usuario para garantizar la seguridad y la protección contra la falsificación de la identidad del usuario;
Admite autorización dinámica por SMS para garantizar el acceso controlable a negocios clave y cumplir con los requisitos de auditoría. Cuando los usuarios acceden a servicios clave, pueden configurar una autorización temporal por SMS.
Esta función puede cumplir con los altos requisitos de seguridad de los sistemas de TI empresariales donde el personal comercial subcontratado accede a los datos comerciales de la empresa.
A través de la auditoría de aplicaciones, se pueden auditar los pedidos comerciales de las aplicaciones. Para las aplicaciones de usuario de acceso remoto, se pueden registrar los pedidos de los usuarios y mostrar los informes de registro, de modo que la parte de acceso remoto pueda cumplir con los requisitos de cumplimiento de las auditorías de seguridad para el personal de acceso subcontratado. 1. Introducción del producto
El sistema de detección de intrusiones Netshen SecIDS 3600 es un sistema de detección de intrusiones basado en red desarrollado en base a los años de investigación de Netshen sobre tecnología de seguridad de red y tecnología de piratas informáticos. El sistema de detección de intrusiones de Netshen utiliza un motor de detección y análisis de protocolo avanzado y, a través de un mecanismo de optimización, procesa rápidamente los datos de la red y detecta con precisión varios ataques. Tiene una alta tasa de detección de intrusiones y una baja tasa de falsas alarmas. Los productos pueden usarse ampliamente en gobiernos, empresas y otras ocasiones donde se requiere monitoreo en tiempo real del comportamiento de la red.
2. Funciones del producto
Admite la detección de ataques en sistemas Windows y sistemas Linux/Unix;
Admite la detección de caballos de Troya y ataques en etapa tardía;
p>
Admite la detección de protocolos TCP, UDP e IP;
Admite la detección de docenas de protocolos de capa de aplicación como WWW, FTP, TELNET, SMTP, DNS, IAMP, POP, etc.;
Admite la detección de ataques a bases de datos (MS-SQL/Oracle/MYSQL);
Admite la detección de actividades comunes de software P2P y mensajería instantánea;
Admite la detección de comportamientos y características de red definidos por el usuario;
Admite la detección de comportamientos de acceso ilegal;
Admite la detección de comportamientos de adivinación de contraseñas;
Admite la detección de gusanos;
Admite la detección de ataques CGI/PHP;
Admite la detección de escaneo de puertos y escaneo de hosts;
Admite la detección de ataques DoS/DDoS;
Admite la detección de ataques IIS y Apache;
Admite la detección de ataques DoS/DDoS;
Admite la detección de ataques IIS y Apache;
p>
Admite detección de seguridad del protocolo SIP;
Admite detección de malware y spyware;
Admite detección de ataques del protocolo SSL;
Admite detección de seguridad SSH;
Admite la verificación de suplantación de identidad de IP;
Admite la detección de ataques de desbordamiento del búfer;
Admite la detección de tipos de archivos incorrectos;
Admite la visualización de eventos de alarma en la consola y registrarlos en la base de datos;
Admite el envío de capturas SNMP al servidor SNMP;
Admite notificar a los administradores por correo electrónico;
Admite la ejecución especificada por el usuario programas cuando ocurren eventos específicos;
Admite el envío de información de eventos en modo Syslog;
Admite el protocolo OPSEC;
Principio de funcionamiento
Para analizar y determinar si un comportamiento o evento específico es un comportamiento anormal o un ataque que viola las políticas de seguridad, el sistema de detección de intrusiones debe pasar por las siguientes cuatro etapas:
(1) Recopilación de datos
p>Un sistema de detección de intrusiones en la red (NIDS) utiliza una tarjeta de red en modo promiscuo para obtener datos que pasan a través de la red y recopilar los datos necesarios para el análisis de intrusiones.
(2) Filtrado de datos
Realice el filtrado de datos necesario según la configuración predefinida, mejorando así la eficiencia de la detección y el análisis.
(3) Detección/análisis de ataques
De acuerdo con la política de seguridad definida, monitoree y analice todos los servicios de comunicación a través de la red en tiempo real y utilice los paquetes de datos de red recopilados como datos. para identificar la fuente de los ataques. Normalmente se utilizan cuatro técnicas para identificar ataques: patrón, expresión o coincidencia de bytes, cruce de frecuencia o umbral, correlación de eventos y detección de anomalías estadísticas.
(4) Alarma/respuesta de evento
Una vez que el IDS detecta un ataque, el módulo de respuesta del IDS proporciona una variedad de opciones para notificar, alarmar y responder en consecuencia al ataque. Generalmente incluye notificación al Administrador y se registra en la base de datos.
Cuarto, características del producto
1. Potente motor de detección de aplicaciones inteligente
El sistema de detección de intrusiones Netherhead SecIDS 3600 utiliza un motor de detección de aplicaciones inteligente, que puede detectar amenazas reales. tiempo Monitorear las transmisiones de red. Mediante la captura rápida de paquetes de datos en la red, el análisis de protocolos en profundidad y la coincidencia de patrones correspondientes combinados con la biblioteca de funciones, se pueden descubrir comportamientos ilegales o de ataque de manera oportuna mediante el análisis estadístico de comportamientos y eventos.
El sistema de detección de intrusiones Netherhead SecIDS 3600 incluye una gran cantidad de características de ataques y aplicaciones que han sido cuidadosamente detectadas y probadas por el equipo de seguridad de Netherhead, y puede identificar con precisión varios ataques y protocolos de capa de aplicación: troyanos, puertas traseras, gusanos, aplicaciones P2P. , software de mensajería instantánea, juegos en línea esperan.
2. Análisis de protocolo basado en estado
La tecnología de análisis de protocolo del sistema de detección de intrusiones SecIDS 3600 es una comprensión profunda de los protocolos conocidos y las especificaciones RFC, y puede identificar de manera precisa y eficiente. Varios tipos de sistemas de detección de intrusos. Al mismo tiempo, según el algoritmo de análisis del protocolo del sistema, el sensor tiene la capacidad de detectar anomalías y uso indebido del protocolo, resolviendo por completo las deficiencias de los productos IDS basados en la tecnología de coincidencia de patrones que solo se basa en la cantidad de firmas de ataque para detectar ataques. , mejorando enormemente la eficiencia de detección y ampliando el rango de detección.
3. Funciones de personalización detalladas y completas
La biblioteca de firmas del sistema de detección de intrusiones SecIDS 3600 proporciona a los usuarios una configuración detallada de los parámetros de firma. Al configurar y ajustar los parámetros, los usuarios pueden obtener información de alarma muy precisa y, al mismo tiempo, pueden definir o modificar fácilmente estos parámetros.
4. Fuertes habilidades de gestión y análisis.
El diseño optimizado de la arquitectura distribuida de tres niveles, la implementación jerárquica y el control centralizado pueden proporcionar evaluación gráfica de riesgos, visualización de eventos y asignación de activos, así como monitoreo gráfico en tiempo real del estado del tráfico de la red, lo que puede proporcionar a los usuarios with Proporciona informes gráficos dinámicos y enriquecidos, con más de 40 plantillas de informes de análisis y funciones de informes definidas por el usuario con estilo de asistente.
Tecnología de producto verbal (abreviatura de verbo)
La tecnología de coincidencia de patrones supone que todos los comportamientos y métodos de intrusión (y sus variantes) pueden expresarse como un patrón o característica, por lo que todos los comportamientos de intrusión y los métodos (y sus variantes) se pueden expresar como un patrón o característica. Todos los métodos de intrusión conocidos se pueden descubrir mediante la comparación. La clave para el descubrimiento de patrones es cómo expresar patrones de intrusión y distinguir las intrusiones reales de los comportamientos normales.
Tecnología de detección de anomalías El comportamiento normal de todos tiene ciertas reglas. Estas reglas se pueden resumir analizando la información de registro generada por estos comportamientos. Por lo general, deben definirse como un conjunto de varios parámetros de comportamiento y sus umbrales para describir. rango normal de comportamiento. Sin embargo, existen serias diferencias entre las intrusiones y abusos y el comportamiento normal, y las intrusiones pueden detectarse examinando estas diferencias. De esta manera, se pueden detectar intrusiones ilegales incluso mediante métodos de ataque desconocidos, y también se puede detectar comportamientos anormales del usuario (abuso de privilegios propios) que no constituyen una intrusión.
La tecnología de análisis de protocolo está dirigida principalmente a atacantes que intentan evadir la detección de IDS en ataques a la red, como realizar algunos cambios en los paquetes de datos de ataque. La tecnología de análisis de protocolos aprovecha al máximo la naturaleza de alto orden de los protocolos de red y combina captura de paquetes de alta velocidad, análisis de protocolos y análisis de comandos para detectar rápidamente la existencia de una característica de ataque. Su característica más importante es pasar los paquetes de datos capturados desde la capa de red a la capa de aplicación, restaurar los datos reales y luego hacer coincidir los datos restaurados con la base de reglas, para que puedan identificarse mediante el análisis de protocolo estructurado de los paquetes de datos.
Rendimiento y confiabilidad de los verbos intransitivos
El modo de implementación de derivación no afecta la estructura de red original y admite conexiones de alta concurrencia;
Decodificación incorporada de alto rendimiento y motor de detección;
Los productos maduros y estables garantizan operaciones comerciales estables y a largo plazo;
Las funciones perfectas de actualización de reglas y firmware garantizan la seguridad de la red a largo plazo;
Siete. Modo de implementación
* * *El modo de implementación en una red compartida es muy simple. Simplemente conecte la tarjeta de red de monitoreo al segmento de red que desea detectar. La tarjeta de red recopila todos los paquetes de datos de la red para su análisis y procesamiento, lo que tiene la ventaja de no afectar la estructura de la red ni la comunicación normal.
La situación en la red de conmutación es muy complicada. Generalmente existen tres métodos para recopilar datos:
Una forma es conectar la tarjeta de interfaz de red al puerto de monitoreo del dispositivo interactivo. , y a través del dispositivo de conmutación La función Span/Mirror copia los paquetes de datos que fluyen a cada puerto al puerto de monitoreo, y el sensor de detección de intrusiones obtiene los paquetes de datos del puerto de monitoreo para su análisis y procesamiento.
La segunda forma es agregar un concentrador a la red para cambiar la topología de la red y obtener paquetes de datos a través del concentrador (* * *Disfrute del modo de escucha).
El tercer método consiste en que el sensor de detección de intrusos analiza y procesa los paquetes de datos en la red de conmutación a través del dispositivo TAP.
Los sensores se pueden colocar en cualquier segmento de la red corporativa que pueda presentar riesgos de seguridad.
En estos segmentos de red, se implementan diferentes tipos de sensores según las necesidades del tráfico de la red y los datos de monitoreo.
Despliegue de red pequeña y mediana:
Despliegue de red distribuida: