保护企业信息安全 NBAD sensor功能详解

　　单纯的单点防御，或是筑起一道坚固的信息防御外墙，已经逐渐不能满足企业在信息安全上的需求，取而代之的，未来企业越来越需要整体网络与系统的协同防御机制。也就是说，企业在防火墙之后的数据防护，所必须做的数据控管、身分认证、入侵侦测或预警等机制，将是未来信息安全的重要走向，以杜绝日渐增多的由企业内部使用者造成的信息安全问题。

　　NBAD sensor是一款多功能整合型的网络资源暨威胁管理的解决方案产品，以探针的方式学习或探测或管理内网VLAN内部广播异常的封包，同时探测或展现不同VLAN之间的TCP/UDP/ICMP网络流量资源与异常威胁的来源;它不同于市面上一般布署于网关上之安全产品, 可广泛探测网络内部各角落(VLAN)的异常网络行为，以期即早侦测或发现那些尚未被探测出特征的病毒或黑客攻击。NBAD sensor 是可应用于任何网络环境支持IEEE 802.1Q之封包检测器(packet sensor)，此设备不仅可以检测骨干网络内各个Layer 2层VLAN内网络是否有异常ARP攻击，并可检查使用者是否有不符合规定之网络行为。

　　早期攻击方式是利用网页服务器(如Apache与IIS)的漏洞，钻进企业内部网络中;而后改成利用网页程序语言(如PHP、ASP与Java)的瑕疵，窃取企业资料;现在则演变成利用网页编写中的漏洞，进行SQL Injection或Cross-site Script攻击，令人防不胜防，且更难以阻挡。 NBAD sensor可提供「异常抑制」的功能，以阻止违反上述安全策略的网络使用者上网。另外当侦测器实施「异常抑制」的时候，可立即通知该使用者及 管理者侦测器发现之异常活动。

　　NBADsensor -内建ASIC芯片含有16Gbps封包复制、转送、检侧、分流的能力, 以支持所提供2种以太网络硬件接口规格, 包括8个Copper Gigabit以太网络接口及24个100Mbps utp及2个sfp/utp Gigabit Combo接口， 藉以线速的效能执行网络流量封包学习及检测的功能。NBADsensor主要目的：

　　MAC/IP 存取安全管理

　　·MAC/IP 存取安全管理 -自动学习 -VLAN区网内MAC、IP及使用者计算机名称收集，供管理者容易快速建立网络使用者数据库。并可自动侦测MAC/IP地址的新增、异动及冲突事件功能，并可将相关系统讯息储存于数据库管理系统。

　　·实施绑定 - MAC、IP绑定的网络存取安全策略，以防止使用者私自窜改IP发生使用同一IP的冲突问题。避免个人计算机与重要设备、服务器之网络IP地址冲突，以保障重要设备或服务器之服务。

　　·数据管理 - 系统支持单笔数据的维护外并提供整个数据库的汇入、汇出、清除管理。系统也支持SNMP Private MIB提供网管软件或其它类似NBADmanager管理软件的存取接口。

　　DHCP IP地址管理

　　·DHCP容错服务器 -内建DHCP服务器功能，提供授权与非授权两种型态之DHCP服务，并支持两台设备互为备援机制之功能。

　　·MAC/IP绑定派送 - DHCP服务器除支持标准DHCP IP租赁服务，可定义IP Range for multi VLANs,并派发成功之外，并可整合授权之MAC/IP数据库，提供MAC/IP绑定派送功能，以确定要求路服务之节点为合法之计算机设备后，始得由DHCP派发特定的IP。

　　·派发记录与例外管理 -提供DHCP派发历史记录查询及汇出功能。本系统亦可由管理者自定IP派发政策，可区分为固定IP用户及或由系统自行派发等，可例外管理部份之私设固定IP并。

　　·客户端DHCP管理 - (1)私设DHCP服务器阻断 - LAN环境内私自架设不合法DHCP Server会被NBADsensor阻隔无效 (2)DHCP强制 - 可限制端点只能使用DHCP方式取得IP，任何私自设定IP地址之终端设备无论所设定IP地址是否为合法IP皆禁止其使用网络 。

　　异常侦测管理

　　·IP Scan 扫描侦测 -设定IP Scan门坎,可侦测用户执行 IP scan时,IP Scan值是否累计,超过时应可根据Lock Action进行动作(Lock by MAC, send event log, send notify page)。

　　·ARP异常侦测 - 侦测器提供区网内ARP欺骗攻击侦测功能包括：ARP 扫瞄侦测 - 可侦测LAN内部ARP扫描行为。ARP异常侦测 - 则是侦测LAN内部哪些用户送一些不合法封包。ARP攻击侦测 - 主要目的是侦测出哪些用户遭受攻击。

　　·DNS钓鱼欺骗侦测 -可侦测用户浏览器DNS是否遭受劫持而可能被植入木马程序。

　　·广播风暴侦测 - 可侦测区域内网VLAN是否有超过异常之广播发生，并通知管理者。

　　远程防卫 End-point Defense - NBADsensor 可以检测Rogue MAC/IP address(非法/入侵地址) 或透过NBADanalyzer分析Worm, DoS攻击, 这时后NBADsensor 可立即起动端点防卫(End-point defense)功能模块，来抑制阻止这些非法入侵。端点防卫(End-point defense) 并非封锁特定的交换器埠，而是直接抑制入侵者(非法使用)的PC或Note Book笔记计算机网络的使用，因此即使入侵者使用的是Note Book计算机具备移动的特性，仍然逃不过End-point defense的封锁，而且也不需改变任何网络架构或作复杂的设定。

NBAD独家总代：上海竞霄网络科技有限公司
上海市四平路1128号远洋广场B座1006
联系电话： 021-35010193 联 系 人： 杨先生