　　
　　·　　　　OS Sensor检测过程--RealSecure OS Sensor在被保护服务器上运行一个进程。每当操作系统产生一个新的日志记录项，操作系统会向OS Sensor发出中断。OS Sensor读取新的日志记录项，与监控特征进行对比，如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项，因此OS Sensor会同时维护和监控一些用户活动流的状态。
　　
　　提供对特定网段的实时保护，支持高速交换网络的监控:
　　
　　对重要网段的保护，如公共服务器群，为了避免来自网络其它边界的入侵，需要在该子网的入口处安装Realsecure Network Sensor，并在各个服务器内配置Realsecure OS Sensor，由集中的Realsecure Workgroup Manager统一管理。
　　
　　能够在检测到入侵事件时，自动执行预定义的动作，包括切断服务、重起服务进程，记录入侵过程信息等：
　　
　　1.　　　　当一个攻击或事件被检测到，RealSecure可以做出以下几种响应：
　　
　　·　　　　自动终止攻击
　　
　　·　　　　终止用户连接
　　
　　·　　　　禁止用户账号
　　
　　·　　　　重新配置Check Point™ Firewall-1®防火墙阻塞攻击的源地址
　　
　　·　　　　向管理控制台发出警告指出事件的发生
　　
　　·　　　　向网络管理平台（off-the-shelf）发出SNMP trap
　　
　　·　　　　记录事件的日志，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。
　　
　　·　　　　实时观看事件中的原始记录（或者记录下来过后再回放）
　　
　　·　　　　向安全管理人员发出提示性的电子邮件
　　
　　·　　　　执行一个用户自定义程序
　　
　　　
　　
　　2.　　　　可以为RealSecure OS Sensor自定义一些特征。OS Sensor允许用户指定一个关键字或正则表达式，在发现操作系统日志文件项对应特征时，会做出相应的响应。
　　
　　　
　　
　　3.　　　　用户可以为RealSecure Network Sensor自定义连接事件。一个连接事件可以定义为基于 IP的连接，可以对下面信息进行匹配：
　　
　　·　　　　协议
　　
　　·　　　　源IP地址
　　
　　·　　　　目的IP地址
　　
　　·　　　　源端口
　　
　　·　　　　目的端口
　　
　　　
　　
　　4.　　　　一些RealSecure预定以攻击特征可以根据网络的具体情况进行参数调整。比如，有些网络中PointCast下载会引发SYN Flood特征，此时可以通过调整SYN Flood的阀值来减少误报。
　　
　　　
　　
　　5.　　　　用户可以定义RealSecure Network Sensor过滤规则来忽略某些类型的数据流。可以通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式，可以将 RealSecure配置得更适合用户的网络。
　　
　　　
　　
　　6.　　　　最后，用户可以建立自己的响应选项。任何可以从命令行发起的动作（如：可执行程序、批处理文件、Shell Script等），都可以作为RealSecure Network Sensor或者OS Sensor对攻击的响应。
　　
　　　
　　
　　支持集中的攻击特征和攻击取证数据库管理：
　　
　　Realsecure真正实现集中管理，也体现在对攻击特征和攻击事件的数据库管理。
　　
　　·　　　　Realsecure Workgroup Manager运行在MS NT或Win2000平台上，在默认情况下，其管理数据库格式为MS Access文件格式。Realsecure的数据库接口支持标准的 ODBC，因此可以灵活选择其后台管理数据库类型。
　　
　　·　　　　在Realsecure的管理数据库中，有一组数据库表格式，分别用于记录所有最新版本能够识别的攻击特征，及从各个远程的Sensor汇总来的攻击事件的记录。
　　
　　　
　　
　　支持攻击特征信息的集中式发布和攻击取证信息的分布式上载：
　　
　　Realsecure中包含升级组件X-press Updates，利用这一组件，可以从Workgroup Manager集中分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事件时，依据Sensor的策略定制，Sensor将执行一系列的动作，包括实时在Workgroup Manager的屏幕上显示，并执行切断连接或重新配置防火墙等动作，为了方便管理员查询并记录犯罪证据，Sensor必须将监控的事件记录到日志中。在Workgroup Manager可以采取手工干预或自动两种方式对Sensor 的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。
　　
　　　
　　
　　提供对监视引擎和检测特征的定期更新服务，更新方式可有多种，包括厂家的直接服务和联网更新操作：
　　
　　ISS拥有实力雄后的X-Force小组，该小组专门研究和发现新的攻击手段，是业界独一无二的安全小组。作为入侵检测产品，其Sensor和攻击特征库的升级能力直接反映了产品的功能，而ISS的系列安全产品包括Realsecure的升级速度都是其它厂商无法比拟的。ISS承诺对用户的升级服务，详见ISS服务承诺。从产品本身提供的功能看，Realsecure中提供了　　　 X-press Updates，利用这一组件，可以直接从ISS站点下载升级包，并可以从Workgroup Manager集中分发攻击特征信息至所管理的每个Sensor。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] 下一页

上一篇:IDC 网络部分设计方案1

下一篇:Cisco解决方案在中望公司内部网中的应用

IDC 网络与系统安全部分设计方案相关文章：

·3DS Max 7卧室效果图设计：建模篇

·XP系统运行慢？小编自用7招解决

·将系统装到U盘中如何自制XP@USB启动盘

·不用重装XP系统就可以解决全部故障

·《边看边打赚大奖－－迅雷宽频》部分问题及答案

·校园网组建方案

·学生成绩管理系统实习

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·施工与工程组织方案

·Vista系统使用技巧总结

IDC 网络与系统安全部分设计方案相关软件：

·网络常见问题与故障1000例

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·成功少儿培养方案（上中下）高清晰PDF电子书

·Photoshop CS中文版平面设计师标准案例教程

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot