目錄

一、 前言 2

二、 產(chǎn)品概述 2

三、 功能特性 2

n 流量采集 2

n 數(shù)據(jù)存儲 3

n 行為管理 3

n 行為監(jiān)控 4

n 行為分析 5

n 異常行為檢測 9

n 防火墻策略管理 10

n 配置管理 11

四、 關(guān)鍵技術(shù) 12

五、 產(chǎn)品部署 14

六、 產(chǎn)品優(yōu)勢 15

n 無干擾式部署 15

n 數(shù)據(jù)豐富 15

n 分析靈活 15

n 名單策略配置靈活 15

n 未知木馬流量檢測 16

n 可視化展現(xiàn) 16

n 操作簡單 16

一、 前言

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展，用戶的網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，承載的業(yè)務(wù)在不斷增多，網(wǎng)絡(luò)中的流量變得也愈加復(fù)雜。當(dāng)前存在的典型問題包括：

n 對IP地址的使用情況掌握的不全面。除了已知的可信的IP外，是否還有未知的IP、網(wǎng)段在活動？這些IP地址、網(wǎng)段是否屬于誤用或?yàn)E用？

n 內(nèi)網(wǎng)中哪些IP地址是暴露在互聯(lián)網(wǎng)的？是否存在遺漏的暴露面IP？

n 不清楚安全域之間的訪問關(guān)系真實(shí)情況，不清楚是否按照安全域劃分要求對網(wǎng)絡(luò)進(jìn)行了劃分

n 不清楚是否存在因防火墻配置錯誤而被放行的違規(guī)訪問？是否存在不該出現(xiàn)的外連訪問，外連的目標(biāo)是哪里？

n 針對網(wǎng)絡(luò)流量的分析缺乏簡單易用的工具支撐，復(fù)雜的流量分析產(chǎn)品對用戶專業(yè)能力要求高，難以充分發(fā)揮用戶對業(yè)務(wù)了解的專長。

n 未知威脅頻繁發(fā)生，僅靠傳統(tǒng)的威脅檢測技術(shù)不足以應(yīng)對日益嚴(yán)峻的安全形勢。

n 作為基礎(chǔ)安全防護(hù)手段的防火墻策略隨著時間的變化，策略也在不斷增多，防火墻的性能也在不斷下降。用戶缺乏分析、梳理、管理防火墻策略的有效手段。

二、 產(chǎn)品概述

FlowEye安全域流監(jiān)控系統(tǒng)是啟明星辰集團(tuán)檢測產(chǎn)品本部，依托自身在安全行業(yè)多年的經(jīng)驗(yàn)積累和技術(shù)沉淀，為適應(yīng)信息安全技術(shù)發(fā)展的新趨勢，適時推出的一款主動化安全運(yùn)維管理系統(tǒng)。產(chǎn)品集網(wǎng)絡(luò)訪問行為監(jiān)控、網(wǎng)絡(luò)流量管理、監(jiān)控、分析于一體，并提供專門的防火墻策略分析和梳理功能，可應(yīng)用于網(wǎng)絡(luò)異常行為分析、網(wǎng)絡(luò)流量審計、異常流量分析、故障定位等，充分滿足運(yùn)維人員、安全服務(wù)人員的需求。

目前，系統(tǒng)已成功應(yīng)用于運(yùn)營商、金融、能源、軍隊、公安、政府、煙草、教育等多個領(lǐng)域，成功幫助眾多客戶實(shí)現(xiàn)了安全運(yùn)維管理工作從被動向主動、安全建設(shè)路線從合規(guī)化向合規(guī)與實(shí)際需求相結(jié)合、網(wǎng)絡(luò)威脅從被動響應(yīng)向主動感知、主動干預(yù)的轉(zhuǎn)變。

三、 功能特性

n 流量采集

系統(tǒng)既支持端口鏡像方式旁路采集原始網(wǎng)絡(luò)報文，也具備采集Flow數(shù)據(jù)的能力。系統(tǒng)支持Netflow、Sflow、IPFIX數(shù)據(jù)交換格式。端口鏡像流量采集功能由采集引擎提供，Flow數(shù)據(jù)采集功能則是由數(shù)據(jù)中心提供的。這意味著當(dāng)只采集Flow數(shù)據(jù)時，用戶可以直接利用其它網(wǎng)絡(luò)設(shè)備發(fā)送Flow給數(shù)據(jù)中心，無需額外購買引擎，節(jié)省了成本。需要注意的是，系統(tǒng)的個別功能是基于原始網(wǎng)絡(luò)報文實(shí)現(xiàn)的，因此用戶需要綜合考慮功能需求，選擇最經(jīng)濟(jì)實(shí)用的流量采集方式。

系統(tǒng)采用分布式流量采集，數(shù)據(jù)集中存儲、分析、展現(xiàn)的系統(tǒng)架構(gòu)，因此用戶可以將采集引擎部署到不同的位置，如網(wǎng)絡(luò)出口、安全域之間、網(wǎng)絡(luò)匯聚層、接入層等。用戶還可以配置多個網(wǎng)絡(luò)設(shè)備向數(shù)據(jù)中心發(fā)送flow。

n 數(shù)據(jù)存儲

系統(tǒng)提供容量為6T~16T的磁盤存儲空間，多塊磁盤組成RAID陣列，可滿足用戶持久、可靠的流量存儲需求。海量的數(shù)據(jù)存儲能力也為用戶全面、大跨度地做流量分析、審計、取證提供了保障。

系統(tǒng)的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，部分型號的采集引擎還提供專門用于存儲原始網(wǎng)絡(luò)報文的大容量的磁盤空間。

n 行為管理

l 黑白名單管理

系統(tǒng)提供按照黑白名單方式管理流量的功能。支持用戶為訪問關(guān)系配置黑白名單，用戶可以預(yù)先在系統(tǒng)新建黑白名單，也可以從excel表導(dǎo)入。黑白名單由五元組定義，特別地，名單的IP地址對象可以配置地理位置。

系統(tǒng)基于用戶配置的黑白名單訪問關(guān)系，實(shí)時檢測流量的合規(guī)性，并且用戶可以在訪問關(guān)系監(jiān)控圖上醒目地看到是否存在違規(guī)訪問行為，是否存在未知的訪問行為。對于未知的訪問行為，系統(tǒng)會如實(shí)記錄，用戶可通過對未知訪問行為的分析將其方便地在線確認(rèn)為對應(yīng)的名單類型。

l IP管理

所有的流量都是來自于IP節(jié)點(diǎn)，如果不能全面準(zhǔn)確掌握IP情況，對流量的管理就缺乏條理性。系統(tǒng)從安全管理的角度將用戶可管控的IP劃分為可信的已知IP和不可信的未知IP；根據(jù)是否能從Internet訪問，劃分為暴露面IP和非暴露面IP。

系統(tǒng)提供的IP管理功能包括：

2 IP庫維護(hù)：系統(tǒng)包括兩個庫：已知IP庫和未知IP庫。已知IP庫為可信IP，由用戶手動建立維護(hù)；未知IP庫為不可信IP，由系統(tǒng)自動建立。已知IP庫除了IP地址信息外，還包括關(guān)聯(lián)的設(shè)備信息，包括設(shè)備名、綁定的MAC地址、域名、操作系統(tǒng)、開放端口、承載的服務(wù)、所屬業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)應(yīng)用、是否為暴露面IP等。

2 未知IP檢測：系統(tǒng)能夠自動從網(wǎng)絡(luò)報文中分析出未知IP，并報告用戶。

2 暴露面IP檢測：暴露面IP是指那些能夠從Internet訪問到的IP。相對于那些非暴露面IP而言，暴露面IP更容易成為攻擊的目標(biāo)，更應(yīng)該被用戶準(zhǔn)確的了解。系統(tǒng)能夠自動識別哪些IP地址是暴露面IP。

2 導(dǎo)入和導(dǎo)出：支持從excel表導(dǎo)入可信IP和IP分組，支持可信IP、不可信IP、IP分組的導(dǎo)出。導(dǎo)出時，支持全部導(dǎo)出或條件過濾導(dǎo)出。

2 IP分組：支持用戶手動建立IP分組并配置地址范圍，系統(tǒng)能夠依據(jù)分組對應(yīng)的地址范圍，自動將可信IP劃歸到對應(yīng)的分組中，自動識別不可信IP對應(yīng)的分組。方便了用戶的管理。

2 自動探測：為了讓用戶維護(hù)的IP庫的信息更全面真實(shí)、更便利，系統(tǒng)提供了操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用信息自動探測功能，可以自動探測操作系統(tǒng)類型及版本和網(wǎng)絡(luò)應(yīng)用軟件（如tomcat、OpenSSH等）類型及版本。

n 行為監(jiān)控

l 互聯(lián)監(jiān)控

系統(tǒng)提供的互聯(lián)監(jiān)控功能包括：

2 安全域互聯(lián)監(jiān)控：以拓?fù)鋱D形式展現(xiàn)特定或全部安全域之間的互聯(lián)關(guān)系及其黑白名單類型，支持監(jiān)控圖內(nèi)容過濾，支持圖形對象下鉆，支持監(jiān)控圖的縮放、導(dǎo)出、打印等操作。

安全域互聯(lián)監(jiān)控圖

2 境內(nèi)、境外互聯(lián)監(jiān)控：以地圖形式展現(xiàn)用戶網(wǎng)絡(luò)與境內(nèi)外的互聯(lián)情況，形象展示互聯(lián)關(guān)系黑白名單類型、互聯(lián)頻次大小、互聯(lián)關(guān)系連線可下鉆。

境內(nèi)互聯(lián)監(jiān)控圖

境外互聯(lián)監(jiān)控圖

l 流量監(jiān)控

系統(tǒng)提供行為發(fā)生時的流量的趨勢、Top10 IP、Top10應(yīng)用監(jiān)控功能，支持監(jiān)控范圍自定義，可自定義監(jiān)控的IP范圍、服務(wù)、端口、采集引擎及接口、流量方向等。

n 行為分析

l 基礎(chǔ)數(shù)據(jù)

系統(tǒng)通過對網(wǎng)絡(luò)報文或flow數(shù)據(jù)的解析，形成三類數(shù)據(jù)作為流量行為分析的基礎(chǔ)：

2 流信息。支持TCP、UDP、ICMP三種最常見的流解析。流信息由基本信息和擴(kuò)展信息構(gòu)成?；拘畔⑼ㄟ^解析報文或flow得到，包括源和目的IP、源和目的端口、傳輸層協(xié)議、流起止時間、包數(shù)、會話時長、流量、MAC地址等；擴(kuò)展信息包括IP地理位置、所屬分組、設(shè)備名等，其中IP地理位置由系統(tǒng)自動提供。

2 payload信息。支持Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP應(yīng)用層協(xié)議的賬號和指令解析。

2 網(wǎng)絡(luò)報文。原始的網(wǎng)絡(luò)報文，以pcap文件形式存儲。

l 策略

系統(tǒng)支持用戶通過配置策略控制流量的解析和存儲。策略由五元組描述，其中IP地址支持配置地理位置，如境內(nèi)、境外、某國、某省等，這對于那些無法用IP地址確切描述策略的場合十分有幫助。

系統(tǒng)支持的策略類型包括：

2 包存儲策略。當(dāng)配置了包存儲策略后，系統(tǒng)將會把匹配到策略的網(wǎng)絡(luò)報文忠實(shí)記錄下來，記錄下來的報文可以pcap文件形式下載到本地。例如通過配置策略，控制系統(tǒng)只記錄源IP為境外，目的IP為核心域的SSH報文。

特別地，如果配置any存儲策略，那么系統(tǒng)將實(shí)現(xiàn)全包存儲功能。系統(tǒng)具備高性能的包存儲能力。

2 協(xié)議解析策略。支持為Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP應(yīng)用層協(xié)議配置協(xié)議解析策略，配置協(xié)議解析策略后，系統(tǒng)將解析并記錄協(xié)議的賬號和操作指令信息。

2 過濾策略。當(dāng)配置過濾策略后，系統(tǒng)將不會存儲解析到的流信息，可節(jié)省存儲空間，還有助于提升系統(tǒng)性能。這對于那些無法或不方便在交換機(jī)進(jìn)行流量采集控制的場合十分有用。例如當(dāng)用戶在網(wǎng)絡(luò)出口采集流量時，可以過濾掉與自己所負(fù)責(zé)網(wǎng)絡(luò)無關(guān)的流量。

l 查詢統(tǒng)計列表

系統(tǒng)提供一個強(qiáng)大靈活的流量查詢引擎，查詢結(jié)果列表展示，查詢結(jié)果可導(dǎo)出excel表。

查詢統(tǒng)計

用戶可以通過設(shè)置過濾條件、歸并條件、排序條件靈活控制流量統(tǒng)計范圍、統(tǒng)計和排序方式。豐富靈活的查詢、歸并、排序條件不但可以滿足典型的流量統(tǒng)計要求，也可以滿足個性化的查詢統(tǒng)計要求。例如用戶可以IP、分組、地理區(qū)域、會話、協(xié)議、端口、服務(wù)等為考察對象，查詢并統(tǒng)計它們的流量、會話數(shù)、會話時長、包數(shù)等，并且查詢結(jié)果可以進(jìn)行靈活的歸并和排序，可以對查詢結(jié)果深入挖掘。

系統(tǒng)支持的統(tǒng)計項包括：

2 流量

2 連接時長

2 會話頻次

系統(tǒng)支持的流量過濾條件包括：

2 時間范圍：統(tǒng)計任意天、周、月的流量

2 名單類型：統(tǒng)計黑名單流量、白名單流量、未知流量

2 采集引擎：統(tǒng)計某個采集引擎的流量

2 采集接口：統(tǒng)計采集引擎的某個接口的流量

2 區(qū)域類型：統(tǒng)計境內(nèi)流量、境外流量、本地流量

2 協(xié)議：統(tǒng)計TCP流量、UDP流量、ICMP流量

2 端口：統(tǒng)計某個端口的流量

2 服務(wù)：統(tǒng)計單個或一組服務(wù)的流量

2 IP地址：統(tǒng)計某個IP地址的流量

2 IP分組：統(tǒng)計某個IP分組的流量

2 地理區(qū)域：統(tǒng)計境內(nèi)某省或境外某國的流量

2 連接方向：統(tǒng)計連入或連出的流量，通常與IP地址、區(qū)域等組合使用

2 會話狀態(tài)：統(tǒng)計全連接、半連接的流量

2 會話頻次：統(tǒng)計符合特定頻次條件的流量，查詢互聯(lián)關(guān)系時使用

2 流量：統(tǒng)計符合特定流量條件的流量

2 連接時長：統(tǒng)計符合特定會話時長條件的流量，查詢互聯(lián)關(guān)系時使用

以上條件可組合使用。

系統(tǒng)支持的查詢結(jié)果歸并條件包括：

2 IP：區(qū)分源和目的，支持按照源IP對查詢結(jié)果歸并

2 目的IP：支持按照目的IP對查詢結(jié)果歸并

2 源IP分組：支持按照源IP分組對查詢結(jié)果歸并

2 目的IP分組：支持按照目的IP分組對查詢結(jié)果歸并

2 源IP區(qū)域：支持按照源IP所屬地理位置對查詢結(jié)果歸并

2 目的IP區(qū)域：支持按照目的IP所屬地理位置對查詢結(jié)果歸并

2 端口：支持按照目的端口對查詢結(jié)果進(jìn)行歸并

2 協(xié)議：支持按照TCP、UDP、ICMP協(xié)議對查詢結(jié)果歸并

2 服務(wù)：支持按照服務(wù)對查詢結(jié)果歸并

以上歸并條件可組合使用。

系統(tǒng)支持的查詢結(jié)果排序條件包括：

2 源IP：支持按照源IP的升降序?qū)Σ樵兘Y(jié)果排序

2 目的IP：支持按照目的IP的升降序?qū)Σ樵兘Y(jié)果排序

2 頻次：支持按照會話頻次的升降序?qū)Σ樵兘Y(jié)果排序

2 流量：支持按照流量的升降序?qū)Σ樵兘Y(jié)果排序

2 連接時長：支持按照連接時長的升降序?qū)Σ樵兘Y(jié)果排序

以上排序條件可組合使用。組合使用時，可以選擇排序的優(yōu)先級。

系統(tǒng)還內(nèi)置了三個分類查詢統(tǒng)計功能，包括：

2 境外流量查詢統(tǒng)計

2 境內(nèi)流量查詢統(tǒng)計

2 本地流量查詢統(tǒng)計

特別是境內(nèi)和境外流量查詢統(tǒng)計功能，結(jié)合系統(tǒng)的流量黑白名單功能及用戶的業(yè)務(wù)特點(diǎn)，對于發(fā)現(xiàn)木馬、蠕蟲、密碼暴力破解、數(shù)據(jù)竊取等安全事件往往能起到事半功倍的效果。

l 統(tǒng)計分析圖表

系統(tǒng)除了提供一個強(qiáng)大靈活的查詢統(tǒng)計引擎，方便用戶制定分析策略外，還提供了多種統(tǒng)計分析圖表，包括：

2 黑、白名單訪問頻次Top10

2 黑、白名單訪問頻次趨勢圖

2 訪問頻次連入和連出Top10 IP

2 IP連入和連出頻次趨勢圖

2 流量Top10 服務(wù)

2 流量Top10 IP

2 流量趨勢圖

2 流量占比圖

2 安全域訪問關(guān)系圖

2 境內(nèi)和境外訪問關(guān)系圖

l 流量行為報表

系統(tǒng)支持流量報表的自定義。支持報表導(dǎo)出為pdf、word、html、excel多種格式，支持報表計劃。

n 異常行為檢測

系統(tǒng)依托自身存儲的海量網(wǎng)絡(luò)流行為信息，通過分析流量的行為特征，能夠發(fā)現(xiàn)多種異常流量，包括：

2 *木馬通道檢測

2 *ARP欺騙檢測

2 網(wǎng)絡(luò)掃描行為檢測

2 蠕蟲檢測

2 DDoS攻擊檢測

當(dāng)系統(tǒng)檢測到異常流量行為時，系統(tǒng)會根據(jù)用戶配置的告警方式及時報告給用戶。

對于木馬通道檢測，有別于基于特征庫的檢測技術(shù)，系統(tǒng)是通過檢測流量的行為判斷是否為木馬C&C通道流量，因此能夠檢測未知木馬威脅。

*標(biāo)記項僅端口鏡像方式支持。

n 防火墻策略管理

l 防火墻支持

防火墻的策略統(tǒng)計和分析需要預(yù)先導(dǎo)入并解析防火墻的配置文件，當(dāng)前支持以下防火墻配置文件的解析：

2 天清漢馬防火墻

2 網(wǎng)御星云Power V（3602版本）

2 Juniper防火墻

2 Fortinet防火墻

2 思科防火墻

2 網(wǎng)神防火墻

2 華為防火墻

2 H3C防火墻

2 東軟防火墻

2 迪普防火墻

2 山石防火墻

2 天融信防火墻

2 神州數(shù)碼防火墻

l 策略統(tǒng)計

系統(tǒng)提供策略分類統(tǒng)計功能，包括：

2 啟用和禁用策略數(shù)統(tǒng)計

2 放行和阻斷策略數(shù)統(tǒng)計

2 any服務(wù)和any地址策略數(shù)統(tǒng)計

2 策略總數(shù)統(tǒng)計

l 策略分析及報告

系統(tǒng)能夠?qū)Σ呗耘渲脝栴}和使用情況進(jìn)行分析，并能夠生成分析報告。

對于策略配置問題，系統(tǒng)能夠分析出：

n 哪條策略是冗余策略。對于任意一條策略，如果在它之前存在五元組和動作與它完全相同的策略，則該策略稱為冗余策略。

n 哪兩條策略是沖突策略。對于任意兩條策略，如果它們的五元組完全相同，但動作相反的策略，則這兩條策略產(chǎn)生沖突。

n 哪兩條策略是交叉策略，并指出交叉項。對于任意兩條策略，如果它們的五元組部分相同，則這兩條策略就存在交叉關(guān)系。

n 哪兩條策略可以合并，并指出可合并項。

n 哪條策略是寬松策略及寬松項。寬松策略是指由于策略的IP地址或端口等配置的范圍太大，而導(dǎo)致違背“安全最小化”原則的策略，如Any地址或any服務(wù)策略。

n 哪條策略是不活躍策略。不活躍策略是指沒有流量命中的策略。

對于策略使用情況，系統(tǒng)能夠分析出：

n 策略的命中次數(shù)及對應(yīng)的流量。

n 系統(tǒng)默認(rèn)策略（非用戶配置的策略）與流量的對應(yīng)關(guān)系。通常流量沒有命中任何用戶配置的策略時，系統(tǒng)會做默認(rèn)處理（放行或阻斷），通過查看那些對應(yīng)的流量可以發(fā)現(xiàn)默認(rèn)策略是否配置合理、是否存在試圖繞過防火墻的行為等。

分析結(jié)果可以生成報告并導(dǎo)出。

l 策略梳理

系統(tǒng)提供基于流量和安全域配置的策略自動梳理功能，對于還沒有配置策略的新防火墻，用戶可以借助該功能快速梳理出一個基礎(chǔ)策略，再經(jīng)過適當(dāng)調(diào)整后應(yīng)用到防火墻。

策略梳理功能包括：

2 策略自動梳理。

2 對自動梳理結(jié)果的調(diào)整。

2 策略對應(yīng)流量的查看，便于用戶依據(jù)真實(shí)流量對自動梳理出來的策略進(jìn)行調(diào)整。

2 梳理結(jié)果導(dǎo)出。

l 集中管理

系統(tǒng)支持集中管理不同防火墻的策略配置和同一臺防火墻不同時間點(diǎn)的策略快照。

n 配置管理

系統(tǒng)支持SSH、HTTP/HTTPS、telnet（默認(rèn)禁止）、串口管理方式。提供資源監(jiān)控、用戶管理、引擎管理、時間管理、備份恢復(fù)等管理功能，并提供操作日志及查詢功能。

l 告警方式

支持syslog、Email、Web頁面告警方式。

l IP分組

支持IP分組。IP分組既方便用戶管理IP，還可能有助于防火墻策略梳理的準(zhǔn)確性（當(dāng)以安全域的角度建立IP分組時）。

l 服務(wù)自定義

系統(tǒng)內(nèi)置了667種標(biāo)準(zhǔn)服務(wù)，支持用戶配置協(xié)議+端口的形式自定義服務(wù)。

l 用戶管理

支持功能授權(quán)。管理員可以將每個頁面訪問和操作權(quán)限為單位，將操作權(quán)限分配給每個用戶。

支持三權(quán)分立和非三權(quán)分立模式的管理。三權(quán)分立模式下內(nèi)置系統(tǒng)管理員、系統(tǒng)操作員、報表操作員三個角色

支持密碼安全策略?？梢耘渲妹艽a強(qiáng)度、有效期、鎖定時間、登錄IP限制。

l 資源監(jiān)控

支持對內(nèi)存、磁盤、CPU、接口等關(guān)鍵資源的實(shí)時監(jiān)控。

l 管理方式

提供Web頁面和命令行兩種管理方式。Web頁面管理支持http和https方式。命令行支持SSH、Telnet、串口方式。

四、 關(guān)鍵技術(shù)

n 靈活的流量采集

支持端口鏡像和flow兩種主流的流量采集方式，用戶可根據(jù)實(shí)際需求自主選擇。

n 基于行為的檢測

系統(tǒng)的異常流量檢測全部采用基于流量的行為分析技術(shù)，不需要特征庫，可以應(yīng)對已知和未知威脅。

n 高性能抓包

根據(jù)磁盤的工作原理，對包存儲算法進(jìn)行優(yōu)化，抓包存儲性能接近千兆。

n 數(shù)據(jù)聚合

預(yù)先對基礎(chǔ)數(shù)據(jù)按照不同主題進(jìn)行聚合處理，保證用戶查詢的快速響應(yīng)。

n 可視化

系統(tǒng)采用地圖、拓?fù)鋱D、柱狀圖、餅狀圖、趨勢圖等數(shù)據(jù)可視化展現(xiàn)技術(shù)，使得數(shù)據(jù)展現(xiàn)更直觀，監(jiān)控分析工作更輕松。

n IP地理定位

系統(tǒng)采用IP地理定位技術(shù)，不但增強(qiáng)了數(shù)據(jù)的可讀性和關(guān)聯(lián)性，更豐富了數(shù)據(jù)分析的視角。

n 協(xié)議解析

系統(tǒng)支持Oracle 8i、Oracle 9i、Oracle 10g、Oracle  11g、MS-SQL、Sybase、telnet、ftp、http等協(xié)議的內(nèi)容解析，用戶的操作細(xì)節(jié)一目了然。

n 高性能流量采集

系統(tǒng)采用高性能的驅(qū)動零拷貝技術(shù)，實(shí)現(xiàn)了驅(qū)動到應(yīng)用程序的快速收包，系統(tǒng)的性能優(yōu)勢十分明顯。

n 靈活的策略分析

既支持基于策略配置文件的防火墻策略基本分析，也支持基于流量和策略配置文件的全面分析。

n 豐富的防火墻支持

支持國內(nèi)外13種常見防火墻的策略分析。

n 智能策略梳理

采用基于流量和安全域配置的策略智能梳理技術(shù)，解決了用戶為新防火墻快速配置策略的難題。

五、 產(chǎn)品部署

系統(tǒng)采用流量采集引擎分布式旁路部署，和數(shù)據(jù)中心集中存儲、分析、展現(xiàn)部署。

端口鏡像部署方案

Flow部署方案

六、 產(chǎn)品優(yōu)勢

n 無干擾式部署

系統(tǒng)采用旁路分布式部署方式采集流量，對用戶網(wǎng)絡(luò)無任何影響。

n 數(shù)據(jù)豐富

系統(tǒng)不但具有海量的數(shù)據(jù)存儲能力，還提供從基本的流信息到會話內(nèi)容，到最原始的網(wǎng)絡(luò)包等不同粒度的數(shù)據(jù)。除了這些來自數(shù)據(jù)包的信息外，還提供了地理位置信息、IP分組信息、設(shè)備名字等更加易讀的關(guān)聯(lián)信息。

n 分析靈活

系統(tǒng)提供靈活的查詢分析手段，支持豐富的查詢條件及組合，以及豐富的查詢結(jié)果分組和排序，可滿足用戶靈活多樣的數(shù)據(jù)分析要求。

n 名單策略配置靈活

系統(tǒng)不但支持名單和策略的IP地址引用具體IP，更支持IP地址引用地理區(qū)域。這對于那些無法確切描述IP地址，但可以描述地理區(qū)域的場合十分方便。如用戶可以輕松地配置出Internet到本地網(wǎng)絡(luò)、某國到本地網(wǎng)絡(luò)等等這樣的策略。

n 未知木馬流量檢測

系統(tǒng)采用基于木馬流量行為的技術(shù)檢測木馬，不但可以應(yīng)對已知木馬，也可以應(yīng)對未知木馬。

n 可視化展現(xiàn)

系統(tǒng)通過地圖、拓?fù)鋱D、柱狀圖、餅狀圖、趨勢圖等多種方式實(shí)現(xiàn)數(shù)據(jù)展現(xiàn)，展現(xiàn)的數(shù)據(jù)更加直觀易懂。

n 操作簡單

秉承啟明星辰“讓安全變得簡單”的理念，除了必要的IP配置外，系統(tǒng)幾乎不需要用戶做任何配置即可投入運(yùn)行。