产品架构

系统架构

产品由控制台软件和探测器两部分组成，探测器使用专用的一体化硬件平台。

操作系统

探测器的操作系统为VSP通用安全平台，具备高效、智能、安全、健壮、易扩展等特点。

检测引擎

探测器采用高性能的USE统一安全引擎。

网络适应性

引擎及控制中心支持IPv4/v6网络通信

支持IPv4/v6 双协议栈网络地址解析；支持针对 IPv4/v6网络中的数据包解析、支持IPv4/v6碎片重组等功能；

检测功能

入侵检测

支持IPv4/v6 双协议栈网络地址解析；支持针对 IPv4/v6网络中的数据包解析、支持IPv4/v6碎片重组等功能；

网络设备攻击、安全扫描、蠕虫病毒、安全审计、可疑行为、网络娱乐、安全漏洞、欺骗劫持、网络通讯、脆弱口令、穷举探测、间谍软件、流量事件、分布事件、CGI访问

支持IP与MAC地址绑定，实现了对ARP欺骗和IP地址冒用的报警。

支持IP碎片重组、TCP流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能。

超过7000条的检测规则，全面兼容CVE、BugTraq等国际标准漏洞库。

可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略，实现安全策略的动态调整。

支持基于IPv4/v6网络的攻击检测。

病毒检测

内置专业的病毒检测引擎。

百万级的病毒检测规则。

支持基于IPv4/v6网络的病毒检测。

Web攻击检测

内置专业的Web应用攻击检测引擎。

支持基于IPv4/v6网络的Web攻击检测。

虚拟引擎

一台探测器实体可被虚拟成多个独立的虚拟探测引擎。

每个虚拟探测引擎可应用不同的检测和响应策略。

基于组织化的虚拟引擎技术。

并行数据采集

每个虚拟探测引擎支持多监听口并行数据采集，实现了在数据汇聚分析基础上再进行攻击检测，解决了大流量环境引起的交换机镜像丢包问题，以及单臂路由、TAP分流环境的会话还原问题。

应用层协议完全解析

基于RFC协议规范的协议判断与解析，避免基于端口号判断协议引起的误报。

报文回放

可对包括HTTP、SMTP、POP3、TELNET、FTP等多种应用协议进行报文事后回放，实现对访问行为或网络使用情况的事后分析或取证。

状态监控

显示引擎的名称和版本、本级控制中心名称和IP、上级控制中心、事件库版本、CPU使用率、内存使用率、服务器磁盘占用、数据库磁盘占用。

流量统计与监控

可实时显示引擎的总流量、Web应用流量、邮件流量、数据库流量、其它流量等，并支持流量的配置与报警功能。

报表统计

报表可包括各种入侵统计、流量统计、应用监控等不同方面信息。

有超过100种报表模板，并可自定义报表。

报表支持支持HTML、PDF、WORD、EXCEL格式的报表导出。

支持基于事件名称、源地址、目的地址的三维交叉报表功能。

支持审计日志、运作日志导出功能。

易用性

支持在线或离线升级方式；全中文的图形化用户界面；全中文的串口菜单式管理界面；实时图形显示探测器的CPU、内存等资源利用状况。

灵活性

支持分布式部署。一个控制台可以同时管理多个探测器；支持多级管理，报警事件可以多级上报，检测策略可多级下发

分级部署时，可实现上、下级之间消息发送、文件传输，实现全局信息共享。

高安全性

控制台和探测器之间通过SSL加密传输；探测器支持访问控制列表；探测器开放的服务端口可修改；管理员权限分级。

响应方式

被动响应方式

支持实时的邮件、短信、SNMPV2c、V3、SNMP Trap等多种被动报警响应方式。

针对设定时间范围内来自相同或不同引擎的大量相同报警事件进行二次关联报警。

主动响应方式

支持查看并保存会话内容，探测器可主动向会话双方发送RST包，来切断入侵会话。

支持国内外品牌主流防火墙的联动。

支持SNMP Trap协议，报警信息可被Leadsec、Topsec等多种安全管理系统接收和处理。