Модель StoneGate I D S 200

В основе работы семейства StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов.

StoneGate IPS предоставляет огромное количество возможностей по настройке и управлению. Обладая самыми современными возможностями по управлению политиками обнаружения вторжений, система позволяет составлять карты сети и проводить анализ сетевой активности в наглядном виде.

Основные возможности StoneGate IPS:

ü обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;

ü обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);

ü возможность обработки фрагментированного сетевого трафика;

ü возможность контроля нескольких сетей с разными скоростями;

ü декодирование протоколов для точного определения специфических атак;

ü возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур Open Source);

ü блокировка или завершение нежелательных сетевых соединений;

ü анализ «историй» событий безопасности;

ü анализ протоколов на соответствие RFC;

ü встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;

ü создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;

ü распределенная многоуровневая система управления и мониторинга;

ü централизованное дистанционное обновление программного обеспечения вместе с операционной системой;

ü интуитивно понятный интерфейс, интегрированный с межсетевым экраном StoneGate;

ü простая в использовании и одновременно гибкая в настройке система генерации отчетов.

Цена StoneGate I D S 200 = 4673$

7.2.3. DefensePro IDS IPS

Особенность оборудования — полная «прозрачность» для сети и двунаправленный анализ трафика. DefensePro не имеет ни МАС, ни IP-адреса, как следствие, злоумышленник не имеет возможности понять где установлена система защиты. Один DefensePro может одновременно обслуживать несколько сегментов сети, путём разделения на несколько виртуальных устройств. Анализ трафика в двух направлениях позволяет избежать распространения вирусов и червей в пределах сети, а так же позволяет блокировать исходящие атаки. DefensePro гарантирует максимальную пропускную способность одновременно с возможностью изолировать, блокировать и останавливать атаки в режиме реального времени.

Основные возможности DefensePro -200:

ü Полный мониторинг и изоляция атак

ü Полная защита приложений

ü Обнаружение аномалий в работе протоколов

ü Обнаружение аномалий трафика

ü Защита DoS/DDos и SYN flood

ü Обновление программного обеспечения и базы данных атак

Цена DefensePro-200: $3890

7.2.4. SecureNet Sensor

Система Intrusion SecureNet является не просто системой обнаружения, а системой предотвращения вторжений в режиме реального времени в соответствии с заданными администратором критериями. Как и большинство других систем, представленных на рынке, она способна анализировать потоки трафика на предмет соответствия заданному набору сигнатур. Однако, в отличие от конкурентных продуктов, Intrusion SecureNet умеет также выявлять аномалии и отклонения в работе протоколов посредством разбора сетевых пакетов «на лету», осуществлять корреляцию событий, ограничивая нагрузку на подсистему регистрации и облегчая тем самым работу администратора.

Основные возможности SecureNet Sensor :

Обнаружение вторжений:

ü обнаружение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;

ü обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);

ü возможность обновления базы данных сигнатур атак из различных источников;

ü возможность обработки фрагментированного сетевого трафика;

ü возможность контроля нескольких сетей, работающих с разными скоростями;

ü скрипт-язык SNPL для создания собственных сигнатур;

ü использование в нескольких сетевых сегментах с разной скоростью и типами интерфейсов, включая Fast Ethernet и Gigabit Ethernet;

ü декодирование протоколов для точного определения специфических атак.

Предотвращение вторжений:

ü предотвращение попыток НСД в режиме реального времени;

ü блокировка или завершение нежелательных сетевых соединений;

ü анализ информации в заданных VLAN;

ü функции HoneyPot для отвода атак;

ü блокировка любого вида трафика в режиме IPS.

Цена SecureNet Sensor = $3200

7.2.5. Juniper Networks IDP

Семейство продуктов Juniper Networks IDP включает четыре одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500, IDP-1000), различающиеся величиной пропускной способности и ассортиментом интерфейсов. Juniper Networks IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак. Для организации отказоустойчивых структур и распределения нагрузки, а также с целью увеличения пропускной способности узла защиты, несколько (до16) устройств могут быть объединены в кластер, имеющий для каждой VLAN один виртуальный интерфейс с собственными виртуальными МАС и IP адресом.Совместно с IDP-10 и IDP-100 может также быть использован т.н. Bypass Unit, который включается в линию вместо IDP и осуществляет продвижение трафика в случае, если IDP выйдет из строя. Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществлять немедленную блокировку атак в режиме реального времени.