主流網路產品 入侵檢測產品的綜合比較(轉)

主流網路產品 入侵檢測產品的綜合比較(轉)[@more@]一、Cisco公司的NetRanger


1996年3月，WheelGroup基於多年的業界經驗推出了NetRanger。產品分為兩部分：監測網路包和發告警的感測器(9000美元)，以及接收並分析告警和啟動對策的控制器(1萬美元)。


另外，至少還需要一臺奔騰PC來跑感測器程式以及一臺Sun SparcStation透過OpenView或NetView來跑控制器程式。兩者都執行Sun的Solaris。在軟硬體平臺中，感測器上可能要花費1.3萬美元，控制器上要花費2.5萬美元。


NetRanger以其高效能而聞名，而且它還非常易於裁剪。控制器程式可以綜合多站點的資訊並監視散佈在整個企業網上的攻擊。NetRanger的最大名聲在於其是針對企業而設計的。這種名聲的標誌之一是其分銷渠道，EDS、Perot Systems、IBM Global Services都是其分銷商。


NetRanger在全球廣域網上執行很成功。例如，它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了，資訊可以從備份路徑上傳過來。它甚至能做到從一個點上監測全網或把監測權轉給第三方。


NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵者可能以字元模式存取一個埠，然後在每個包中只放一個字元。如果一個監測器只觀察單個包，它就永遠不會發現完整的資訊。按照GartnerGroup公司的研究專家Jude O＇Reilley的說法，NetRanger是目前市場上基於網路的入侵檢測軟體中經受實踐考驗最多的產品之一。


但是，對於某些使用者來講，NetRanger的強項也可能正好是其不足。它被設計為整合在OpenView或NetView下，在網路執行中心(NOC)使用，其配置需要對Unix有詳細的瞭解。NetRanger相對較昂貴，這對於一般的區域網來講未必很適合。


二、Network Associates公司的CyberCop


Network Associates 公司是1977年由以做Sniffer類探測器聞名的Network General公司與以做反病毒產品為專業的 McAfee Associates公司合併而成的。NetWork Associates從Cisco那裡取得授權，將NetRanger的引擎和攻擊模式資料庫用在CyberCop中。


CyberCop基本上可以認為是NetRanger的區域網管理員版。這些區域網管理員正是NetWork Associates的主要客戶群。其軟體價格比NetRanger還貴:感測器為9000美元，伺服器上的控制器為15000美元。但其平臺卻可以是執行Solaris 2.5.1的Dell PC(通常CyberCop是預裝在裡面的)。跑感測器的平臺一般要3000美元，控制器的平臺要5000美元。


另外，CyberCop被設計成一個網路應用程式，一般在20分鐘內就可以安裝完畢。它預設了6種通常的配置模式:Windows NT和Unix的混合子網、Unix子網、NT子網、遠端訪問、前沿網(如Internet的接入系統)和骨幹網。它沒有Netware的配置。


前端設計成瀏覽器方式主要是考慮易於使用，發揮Network General在提煉包資料上的經驗，使用者使用時也易於檢視和理解。像在Sniffer中一樣，它在幫助文件裡結合了專家知識。CyberCop還能生成可以被 Sniffer識別的蹤跡檔案。與NetRanger相比，CyberCop缺乏一些企業應用的特徵，如路徑備份功能等。


按照CyberCop產品經理Katherine Stolz的說法，Network Associates公司在安全領域將有一系列的舉措和合作。"我們定位在大規模的安全上，我們將成為整體解決方案的提供者。"


三、Internet Security System公司的RealSecure


按照GartnerGroup的O＇Reilley的說法，RealSecure的優勢在於其簡潔性和低價格。與NetRanger和CyberCop類似，RealSecure在結構上也是兩部分。引擎部分負責監測資訊包並生成告警，控制檯接收報警並作為配置及產生資料庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上執行，並可以在混合的作業系統或匹配的作業系統環境下使用。它們都能在商用微機上執行。


對於一個小型的系統，將引擎和控制檯放在同一臺機器上執行是可以的，但這對於NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元，控制檯是免費的。一個引擎可以向多個控制檯報告，一個控制檯也可以管理多個引擎。


RealSecure可以對CheckPoint Software的FireWall-1重新進行配置。根據入侵檢測技術經理Mark Wood的說法，ISS還計劃使其能對Cisco的路由器進行重新配置，同時也正開發OpenView下的應用。


四、Intrusion Detection公司的Kane Security Monitor


基於主機的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在結構上由三部分組成，即一個審計器、一個控制檯和代理。代理用來瀏覽NT的日誌並將統計結果送往審計器。系統安全員用控制檯的GUI介面來接收告警、檢視歷史記錄以及系統的實時行為。KSM對每個被保護的伺服器報價1495美元(包括審計器和控制檯)，在此基礎上每個工作站代理報價295美元。


按照位於加州Playa Del Rey以安全技術見長的Miora Systems Consulting公司的資深諮詢專家David Brussin的看法，KSM在TCP/IP監測方面特別強。但他也提到，Intrusion Detection的產品不是為較快的廣域網設計的。


公司的奠基人兼總裁Robert Kane說，Intrusion Detection在本季度將推出在OpenView下的應用，隨後在年底將推出與Tivoli Management Environment(TME)的整合。將來，Intrusion Detection還計劃支援Unix、微軟的BackOffice和Novell的Netware。


五、Axent Technologies公司的OmniGuard/Intruder Alert


與KSM的審計器、控制檯、代理所對應的OmniGuard/Intruder Alert(ITA)在結構上的三個組成部分為一個管理器(1995美元)、控制檯(免費)和代理(每個伺服器為995美元，每個工作站為95美元)。


ITA比Intrusion Detection的KSM提供了更廣泛的平臺支援。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上執行，所有的部分在多種Unix下都能執行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。


可以根據一些解決方案來剪裁ITA，這些解決方案可來自主流的作業系統、防火牆廠商、Web伺服器廠商、資料庫應用以及路由器製造商。Axent在2月份兼併了防火牆廠商Raptor，並將增強ITA，使其能對Raptor的防火牆進行重配置。


六、Computer Associates公司的SessionWall-3/eTrust Intrusion Detection


SessionWall-3/eTrust Intrusion Detection可以透過降低對網路管理技能和時間的要求，在確保網路的連線效能的前提下，大大提高網路的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自動地識別網路使用模式，特殊網路應用，並能夠識別各種基於網路的各種入侵、攻擊和濫用活動。另外，SessionWall-3/eTrust Intrusion Detection還可以將網路上發生的各種有關生產應用、網路安全和公司策略方面的眾多疑點提取出來。


SessionWall-3/eTrust Intrusion Detection是作為一種獨立或補充產品進行設計的，它的特點包括：


世界水平的攻擊監測引擎，可以實現對網路攻擊的監測；


豐富的URL控制表單，可以實現對200，000個以上分類站點的控制；


世界水平對Java/ActiveX惡意小程式的監測引擎和病毒監測引擎；


SessionWall-3/eTrust Intrusion Detection遠端管理外掛，用於沒有安裝SessionWall-3/eTrust Intrusion Detection的機器的SessionWall-3/eTrust Intrusion Detection記錄檔案的歸檔和查閱，以及SessionWall-3/eTrust Intrusion Detection報表的查閱。


SessionWall-3/eTrust Intrusion Detection的特點包括：


提供從先進的網路統計到特定使用者使用情況的統計的全面網路應用報表；


網路安全功能包括內容掃描、入侵監測、阻塞、報警和記錄。


Web和內部網路使用策略的監視和控制，對Web和公司內部網路訪問策略實施監視和強制實施；


公司保護（Company preservation），或稱訴訟保護，即對電子郵件的內容進行監視，記錄、檢視和存檔；


SessionWall-3/eTrust Intrusion Detection還包括用於WEB訪問的策略集（用於監視/阻塞/報警）和用於入侵監測的策略集（用於攻擊監測、惡意小程式和惡意電子郵件）。這些策略集包含了SessionWall-3/eTrust Intrusion Detection對所有通訊進行掃描的策略，這些策略不僅指定了掃描的模式、通訊協議、定址方式、網路域、URL以及掃描內容，還指定了相應的處理動作。一旦安裝了SessionWall-3/eTrust Intrusion Detection，它將立即投入對入侵企圖和可疑網路活動的監視，並對所有電子郵件、WEB瀏覽、新聞、Telnet和FTP活動進行記錄。


SessionWall-3/eTrust Intrusion Detection可以滿足各種網路保護需求，它的主要應用物件包括審計人員、安全諮詢人員、執法監督機構、金融機構、中小型商務機構、大型企業、ISP、教育機構和政府機構等。


SessionWall-3/eTrust Intrusion Detection是一種功能全面且使用方便的網路保護解決方案，它克服了網路保護中的主要業務障礙，其採用的主要手段包括：


最大程度地降低使用者技能和資源需求；


提供一種經濟的和可擴充套件的解決方案；


提供管理報表；


提供靈活易用的工具。


從操作的角度講，SessionWall-3/eTrust Intrusion Detection去除了某些網路保護解決方案在安裝和操作的麻煩。實際上，SessionWall-3/eTrust Intrusion Detection可以提供許多人們所期望網路內在特性，而這些特性在過去是必需藉助多種工具並透過複雜的分析之後才能夠得到的。為了達到這一目的，SessionWall-3/eTrust Intrusion Detection採用瞭如下措施：


即插即用安裝（自動配置）；


易用的圖形使用者介面；


登入網路活動的線上查閱；


實時統計和圖形顯示；


全面的"追根溯源（drill down）"報表；


聯機查詢和定時報表；


易於更新的監視、阻塞和報警規則；


綜合的響應和報警集合，包括實時干涉，預定義阻塞規則、第三方應用啟動響應介面、以及不同的資訊傳送方式。


用於監視和阻塞的全面URL站點分類和控制列表。


支援WEB自速率系統（RSACi）。


先進的可疑小程式監測（例如，Java/ActiveX引擎）。


綜合病毒掃描引擎和病毒庫。


完整的格式化內容和附件瀏覽器。


電子文字模式內容的掃描和阻塞；


選單驅動的自動地址解析。


特殊的保密特性，可以對控制訪問許可權提供登入和管理的訪問控制。


SessionWall-3/eTrust Intrusion Detection的特點：


SessionWall-3/eTrust Intrusion Detection與大多數網路保護產品不同，後者是生硬地安插在網路通訊路徑中的，而前者則是完全透明的，它不需要對網路和地址做任何的變化，也不會給獨立於平臺的網路帶來任何的傳輸延遲。


SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet網路保護產品，它具備前所未有的訪問控制水平、使用者的透明度、效能、靈活性、適應性和易用性。SessionWall-3/eTrust Intrusion Detection無需使用昂貴的UNIX主機，也避免了因非路由防火牆所造成的額外開銷。另外，SessionWall-3/eTrust Intrusion Detection還包括一個會話視窗，可以用於網路入侵的監視、審計，並可以為電子通訊的濫用現象提供充分的證據。


技術規範


作業系統：Windows 95（OSR 2）， Windows 98或Windows NT 4.0（SP3以上）以上版本；


系統平臺：Intel Pentium 100MHz以上；


記憶體：64MB RAM


磁碟空間：200MB可用空間


網路介面：標準乙太網/令牌環網/FDDI


軟體介質：CD-ROM