1、产品概述捷普病毒威胁防护系统,是针对以恶意代码综合威胁特征及行为而研发的一款硬件产品,采用企业级防病毒引擎和专用的蠕虫检测引擎,超过 1000 万的恶意代码特征库,其核心功能在于全面监测和过滤恶意代码传播和爆发的各项环节及引发的连带威胁,监测范围主要以“ 病毒(包含手机病毒) 、蠕虫、僵尸网络、木马通讯、恶意 URL、口令探测” 等较为活跃的威胁类型。该产品部署在网络边界处,深度分析通信数据中的恶意代码综合威胁,实现对进出网络数据的威胁识别与过滤。产品特点动态识别应用协议采用协议动态识别自适应机制,无需人工干预,即可使含有躲避机制的威胁通讯无处循形。同时,最大程度的适应与融合企业应用的多样性。
2、性能优秀,多路监控驱动层采用环状缓存映射机制,减少 CPU 终端和内存拷贝次数,线速传递网络数据,并将网络数据分发给多个 CPU 进行并行处理,解决了传统设备受制于驱动=中断= 内核这一数据链的低效率问题;支持多路监控,可同时监控两路以上的网络数据。精确的病毒检测能力专业企业级防病毒引擎具有脱壳和启发式检测能力,可实现 700 万种以上的病毒特征的识别,包括邮件病毒、文件传输病毒、网页病毒等。全面的蠕虫检测能力采用入侵防御(IPS)技术、IP/端口/ 数据包封锁技术,优化了蠕虫识别机制,不仅可以检测已知蠕虫,还可以对未知蠕虫行为进行预警。强大的木马通讯监控内置数千种木马通讯协议识别特征,可监控
3、多种常见的木马通讯,并通过不断升级的识别库,可以识别新型木马,包括手机木马。先进的僵尸网络监控基于行为分析感知僵尸主机,通过多维度的数据分析和智能关联技术,实现对僵尸网络威胁的发现,便于用户提早发现网络中潜在的威胁风险。丰富的恶意 IP/URL 库内置数十万恶意 IP/URL 网址,同时内置数百种针对各种浏览器的溢出攻击特征,防范网络钓鱼攻击和浏览器溢出攻击。口令探测监控可实现对常用网络服务和业务应用,如:HTTP/SMTP/POP3/IMAP/FTP/SSH/TELNET/SMB等应用协议进行口令探测的活动进行监测,可实现对常用网络服务和业务应用洞悉重要业务系统的应用安全现状。产品功能接入方
4、式即插即用,支持 INLINE 串接、ONLINE 旁路、INLINE/ONLINE 混合部署,三种方式接入。支持带内/带外管理两种方式。支持 VLAN、HA、单臂路由等复杂网络环境,支持端口汇聚功能。混合部署,多接口下支持同时串行防御和旁路监听。监听数据格式 以太网镜像数据,并支持 VLAN 环境下的镜像数据 (包含非对称 VLAN) IPv4 / IPv6 支持 IPv4/IPv6 双栈网络环境网络功能多路防御 实现单台设备的多路防御,每路可单独设定防御策略且互不影响威胁恶意代码监测类型:静态病毒精确识别并防御以下种类的静态类型恶意代码程序(指以文件形式寄存):病毒、木马、蠕虫、间谍广告类
5、软件、恶意脚本、僵尸程序、后门程序、邮件病毒等。恶意代码监测类型:动态病毒精确识别并防御以下种类的动态类型恶意代码攻击(指已处于活动或传播状态): 蠕虫攻击传播、活动木马( 含手机木马通讯) 、僵尸网络、邮件蠕虫病毒、网络共享病毒等。 网络威胁阻断支持针对系统级的漏洞攻击、对业务系统的口令探测和暴力破解、对钓鱼类网站和恶意网址、对浏览器的溢出攻击等网络威胁的防御阻断及监测。协议识别支持非端口定义的协议识别,无论服务端采用什么协议端口均无须设定,支持对 HTTP/FTP/ SMTP/POP3/IMAP/SSH/SSL/SMB 等协议精确识别。 协议深度识别 支持各项协议下多种工作模式的深度识别,
6、如 HTTP GET/POST,FTP Port/Passive 等。 防御监测策略设定防御策略具备细颗粒度的策略设定,如针对各项协议的选择性阻断、选择性监测、选择性禁用和选择性报警。特征库更新 特征库的更新具备在线更新、离线更新、定时任务更新。更新频率至少 1-2 次/天。 开放接口 支持 SNMP、Syslog、Radius、NTP 时钟同步等网络管理方式。 管理维护具备 HTTPS、SSH 和 Console 登陆管理,支持 CLI 命令行方式配置;支持对可信主机的设定(IPv4/IPv6),控制策略可细化至 ping、ssh、snmp。SSH 管理可设定时间周期,避免端口长时间暴露。账
7、户权限 帐户设定,具备权限划分功能,如 Console 帐户设定、管理员、审计员、安全员。 管理功能网络诊断 具有 ping、traceroute 网络诊断功能。 威胁数据展示日志展示以威胁类型和威胁地址作为主分类,进行数据的趋势呈现和数据关联,支持多种组合式条件查询,进行态势分析。日志与报告安全报告系统具有可定制化的安全态势报告生成功能和定时发送。产品部署1 边界串行,遏制威胁捷普病毒威胁防护系统部署在网络边界处(或不同网络区域边界处) ,可实现对进出双向数据的威胁防御阻断。2 并行监测,威胁预警捷普病毒威胁防护系统通过核心交换机所镜像过来的全网数据,可实现对数据包的深度检查。核心交换机所镜像的数据可呈现内网全部数据,因此,可更加深层的挖掘内部威胁的定位与态势分析。此外,通过捷普病毒威胁防护系统自动化的风险分析报告,可为用户提供最具威胁系数的攻击源和受害主机。3 混合部署,综合防御捷普病毒威胁防护系统可单台设备实现多路防御及并行部署,如下图所示,捷普病毒威胁防护系统提供了内网办公区与互联网边界的串行防御、DMZ 业务区域与互联网边界串行防御,同时,还提供一条针对全网核心数据的威胁监测模式。
