启明星辰产品速查手册v

启明星辰产品速查手册v内容摘要：

桥接口，对于NIPS来说，并行部署完全模拟了正常的数据流转发流程。 . 产品规格规格型号外形网络接口其他天清NIPS600D1U设备8个百兆单电源天清NIPS680D1U设备8个千兆+1管理口单电源天清NIPS880D1U设备8个千兆+1管理口单电源天清NIPS1060D1U设备12个千兆Combo接口+1个千兆电口+1管理口单电源天清NIPS1080D2U设备12个千兆Combo接口+1个千兆电口+1管理口双电源天清NIPS2060D2U设备12个千兆Combo接口+1个千兆电口+1管理口单电源天清NIPS3060D2U设备12个千兆Combo接口+1个千兆电口+1管理口双电源天清NIPS5060E2U设备4个千兆电口 + 8个光电口 + 1管理口双电源天清NIPS7060E2U设备2GE+10个千兆Combo接口+ 1个扩展插槽（4个万兆XFP或者12个SFP或者12个GE）+1个管理口双电源；支持万兆口天清NIPS8060E2U设备2GE+10个千兆Combo接口+ 1个扩展插槽（4个万兆XFP或者12个SFP或者12个GE）+1个管理口双电源，支持万兆口天清NIPS8080E2U设备2个12口千兆扩展版或者2个4个万兆口扩展板双电源，支持万兆口天清NIPSWS2001U设备，最大发射20dBm；双天线， amp。 无线IPS天清NIPSWS10001U设备，最大发射25dBm；双天线， amp。 无线IPS. 产品资质l 计算机信息系统安全专用产品销售许可证（万兆、千兆、百兆）l 涉密信息系统产品检测证书（千兆、百兆）l EAL3认证（千兆、百兆）l 军用信息安全产品认证证书（千兆、百兆））l 国际CVE组织产品兼容认证l 计算机软件著作权登记证书7. 天清异常流量管理与抗拒绝服务系统ADM. 功能描述 随着网络技术的发展，异常流量和DDoS攻击每时每刻都在发生着变化，它们正在变得更强大、更具有针对性、更有渗透性，对企业运营和声誉造成的影响也越来越大。 包括应用层DDOS攻击，典型的应用层DDoS攻击包括针对于HTTP及HTTPS协议的攻击、DNS攻击、VOIP攻击等；针对IPv6的DDoS攻击浮现，同IPv4相比，IPv6在设计之初就对安全问题做出了更多的考虑，通过在协议内部实现了IPSec，IPv6的安全性能得到了很大的改善。 但IPSec仍然不能解决Flood类的流量型攻击，将来针对IPv6网络的大规模DDoS攻击是可以预见的。 l 针对应用层攻击的检测和清洗针对应用层攻击，尤其是HTTP/HTTPS、VOIP、DNS攻击越来越普遍的情况，异常流量处理设备在应用层攻击检测上需要更加全面、准确。 l 确保云数据中心网络的安全在云计算时代，数据中心以崭新的业务模式为用户提供高性能、低成本、弹性的持续计算能力和存储服务，支持各种不同的企业级信息化应用。 l 针对下一代网络攻击的检测为了满足IPv6下一代互联网的大规模应用，新一代的异常流量管理系统必须适应IPv6网络的需要，能够检测和清洗IPv6部署下发生的DDoS攻击。 天清ADM是完善的异常流量检测和清洗解决方案，共分为三个硬件组成部分（图1）：l 异常流量检测系统（ADMDetector，以下简称Detector）：通过对不同网络节点的流量进行实时关联分析，发现异常流量和DDoS攻击，并及时通知Guard对这些流量进行清洗。 Detector也可以单独使用，为用户提供全网流量可视化、DDoS攻击告警、路由分析等功能。 l 异常流量清洗系统（ADMGuard，以下简称Guard）：根据Detector提供的信息，完成后续对异常流量的牵引、DDoS流量清洗、P2P带宽控制、流量回注等。 Guard也可以单独部署，本身具备对异常流量的检测功能。 l 异常流量管理中心（ADMManager，以下简称Manager）：Guard和Detector均具备自管理的能力，但在规模部署的环境中，可以通过Manager对多台Guard和Detector设备进行统一管理，包括检测和清洗策略下发、状态监控、系统升级、日志集中等。 图 天清ADM异常流量检测和清洗解决方案. 部署方式 检测设备Detector的部署 异常流量检测设备Detector通过收集路由器等网络设备发送来的xFlow（如NetFlow、cFlow、sFlow、NetStream等）信息进行分析，检测出网络流量中的DDoS攻击和异常流量，并通知路由器或者清洗设备来完成后续的处理。 如果网络设备不支持xFlow外发（比如较低端的交换设备），则可以配置端口镜像，将实际流量镜像到Detector（这种方式也称为SPAN），Detector会将实时流量转化为xFlow信息之后再进行分析。 Detector采用这两种不同的流量处理方式时，均采用旁路部署的方式，不改变用户的拓扑结构（图2）。 图 流量检测设备Detector的单机部署在大型行业、大企业园区等网络环境下，用户需了解出口网络以及各个子网的流量状况，这时可以采用多台Detector分布式级联部署的方式（图3）。 在需要监控的各个节点部署Detector，由从级的Detector将镜像来的流量转换成Netflow数据，对分支节点的流量进行分析；对于核心路由器，可以直接启用xFlow功能，将xFlow流量信息发送给主级Detector，进行整网和子网的全面流量分析。 图3 流量检测设备Detector的分布式级联部署 清洗设备Guard的部署 异常流量清洗设备Guard根据Detector提供的信息，或者根据自己的检测结果，完成对DDoS攻击的清洗以及对其他异常流量的处理，比如限速等。 Guard一般有三种单机部署方式：直连部署、旁路双臂部署和旁路单臂部署（图4）。 图4 清洗设备Guard的不同部署方式直连部署直连部署是将Guard串联在骨干网链路上，DDoS攻击和异常流量在经过Guard时，被Guard检测到并丢弃（或限制）。 在串联部署时，Guard既充当异常流量的检测设备，又充当了异常流量的清洗设备。 l 优点：Guard可以独立部署，不需要依赖Detector；不需要对流量牵引，直接将流经的攻击流丢弃即可。 l 缺点：在线部署改变了网络拓扑，增加了故障环节。 旁路双臂部署 旁路双臂部署需要将Guard分别与两个相邻的骨干网路由器连接，从上游路由器牵引异常流量，再把清洗过的流量从另一条链路回注到下游路由器。 这种部署方式需要与Detector配合，部署在骨干网上的Detector通过采样分析发现对目标的攻击流量并通报Guard进行牵引、清洗和回注。 l 优点：对拓扑影响较小。 不用改变骨干路由器的配置；牵引和回注使用不同的端口，有利于设备发挥效率。 l 缺点：需要两台骨干设备参与，对设备资源占用相对较多。 旁路单臂部署 旁路单臂部署将Guard与骨干网路由器用单臂连接，从路由器牵引异常流量，再把清洗过的流量从同一个接口回注到这台路由器。 这种部署方式需要与Detector配合，部署在骨干网上的Detector通过采样分析发现对目标的攻击流量，于是通报给Guard，Guard向路由器发送牵引路由，将异常流量牵引到Guard进行过滤，在将干净的流量回注给路由器。 l 优点：对拓扑影响最小，基本不用改变骨干路由器的配置。 牵引和回注使用相同的端口，节省网络资源。 l 缺点：配置不当可能会出现环路问题。 旁路单臂部署的环路问题是因为牵引路由同样也会对回注的流量起作用，会将回注的流量向牵引数据流一样发送给Guard，然后Guard再次回注回来，如此产生死循环（图5）： 图5 流量回注环路示意图. 产品规格天清ADM具有丰富的产品型号，可以满足从企业级用户到运营级用户不同规模的异常流量检测和清洗需求。 异常流量检测设备ADMDetectorADMDetector3200单电源，标配4SFP+4GE，500GB硬盘，企业级异常流量检测ADMDetector5200单电源，标配4SFP+4GE，1TB硬盘，企业增强级异常流量检测ADMDetector6200双冗余电源，标配4SFP+4GE，双500GB硬盘并支持RAID，运营级流量分析ADMDetector8200双冗余电源，标配4SFP+4GE，双1TB硬盘并支持RAID，运营商骨干网流量分析异常流量清洗设备ADMGuardADMGuard1200双冗余电源，标配4SFP+4GE，企业级流量清洗ADMGuard3200双冗余电源，标配4SFP+4GE，企业增强级流量清洗ADMGuard8200双冗余电源，标配4GE，最大可支持4万兆SFP+或24个千兆接口，运营级流量清洗ADMGuard10100双冗余电源，标配4GE，最大可支持4万兆SFP+或24个千兆接口，运营增强级流量清洗ADMGuard10200双冗余电源，标配8GE，最大可支持8万兆SFP+或48个千兆接口，运营商骨干网流量清洗异常流量管理中心ADMManagerADMManager5200单电源，标配4SFP+4GE，1TB硬盘，企业级异常流量管理中心ADMManager8200双冗余电源，标配4SFP+4GE，双1TB硬盘并支持RAID，运营级异常流量管理中心8. 天珣内网终端安全审计系统. 功能描述天珣内网终端安全风险管理与审计系统（以下简称：天珣），是启明星辰依据在终端安全管理和建设相关领域多年的实践经验，自主研发的业界领先的内网安全管理产品。 天珣提供的产品功能覆盖终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段，全部核心功能模块，如下图所示：图 天珣功能模块示意图提供的功能模块有：“资产管理”、“软件分发”、“远程桌面”、“补丁管理”、“主机防火墙”、“主机监控审计”、“非法外联控制”、“移动存储管理”、“涉密信息发现”、“准入控制”、“安全基线管理”和“增强身份认证管理”。 . 部署模式天珣分布式多级服务器级联管理架构，可以支持无限级的中心服务器进行级联。 当然，单级服务器在又可以分为中心服务器和多个本地服务器，结合无限级的服务器级联，对终端的管理规模可以无限扩展。 实现集中管理和分级控制。 每台中心服务器又可以与其直接管辖的本地服务器之间，相互冗余备份，其中一台服务器宕机，其直接管理的终端将会自动被其他所属服务器接管。 分布式多级服务器管理架构使天珣具有优秀的容错性、可伸缩性，支持管理的计算机终端数量可以无限扩展. 产品规格型号产品组件天珣高级版内网安全解决方案包客户端授权许可证产品安装服务、产品升级维护服务天珣基础版增强身份认证高级版增强身份认证基础版. 产品资质l 公安部信息安全产品销售许可证l 涉密信息系统产品检测证书l EAL1认证证书l EAL3认证证书l 军用信息安全产品认证l 中国国家信息安全产品认证证书l 计算机软件著作权登记证书9. 天玥网络安全审计系统. 功能描述天玥网络安全审计系统（业务网审计）（以下简称天玥系统）是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。 它通过对业务人员访问系统的行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。 对于业务系统的核心——数据库的审计能力表现尤其出色，是国内审计数据库类型最全，解析粒度最细的审计产品。 ■ 数据库协议审计天玥系统可针对各种常用数据库进行访问审计，目前能解析和审计的协议覆盖商业数据库（Oracle、SQL Server、Informix、DBSybase）、行业数据库（Teradata、Cache）、开源数据库（MySQL、PostgreSQL）和国产数据库（人大金仓、达梦、南大通用等），对这些数据库的不同的服务编码方式（UTFUTF1GB2312等）和各种访问客户端，天玥系统均能有效解析，是目前国内支持数据库类型最全的审计产品。 ■ 运维协议审计在常见的信息网络中，数据库管理员经常对数据库服务器本身进行运维管理，采用的运维方式也不一而同，包括通过字符协议Telnet、Rlogin、SSH的远程登录，通过图形协议RDP、VNC、X11的操作。 天玥系统可针对这些网络运维协议进行解析，以达到对数据库访问的全面审计。 除了应用在数据库运维中，如果操作人员对其他服务器进行运维，天玥系统同样能够对其操作进行审计和监控。 注：加密协议（包括SSH、RDP等）审计需要使用天玥系统的在线引擎。 除此之外，天玥系统还支持对邮件协议（SMTP/POP3）、互联网协议（HTTP）、认证协议（Radius）等网络常用协议进行审计。 . 部署模式■ 旁路审计部署一般情况下，用户更愿意选择旁路方式部署他们的审计产品，避免审计设备影响原有的网络访问结构和访问效果。 天玥系统支持旁路模式部署，引擎连接到交换机SPAN口，收集镜像数据流，对其进行分析。 此种部署方式无需改变用户原有配置，对业务系统和数据库不构成任何影响，尤其适用于大访问流量下的数据库审计。 ■ 串联审计部署但是，某些特殊应用下，旁路审计并不能解决所有的问题。 在互联网环境中，审计过程除了记录以外，还需要关注控制，而网络监听方式无法实现很好的控制效果；另外，鉴于加密协议的安全性，部分用户环境访问服务器使用的是SSH、RDP等加密协议，对加密协议解析和在线产品似乎更加有效。 为了解决上面的问题，用户可以选择在线部署审计产品的方式。 不过由于数据库环境存在流量。