English日本語
 

需求分析


随着网络和信息技术的高速发展,用户的网络规模在不断扩大,承载的业务也在不断增多,为此网络中的流量也愈加复杂。通过对网络中业务的分析,梳理了当前网络中存在的典型问题如下:

-—— 对IP地址的使用情况掌握的不全面。除了已知的可信的IP外,是否还有未知的IP、网段在活动?这些IP地址、网段是否属于误用或滥用?内网中哪些IP地址是暴露在互联网的?是否存在遗漏的暴露面IP?
—— 不清楚安全域之间的访问关系真实情况,不清楚是否按照安全域划分要求对网络进行了划分。
—— 不清楚是否存在因防火墙配置错误而被放行的违规访问?是否存在不该出现的外连访问,外连的目标是哪里?
—— 针对网络流量分析缺乏简单易用的工具支撑,复杂的流量分析产品对用户专业能力要求高。
—— 未知威胁频繁发生,仅靠传统的威胁检测技术不足以应对日益严峻的安全形势。

 

产品简介

产品简介


FlowEye安全域流监控系统依托在别处集团自身在安全行业多年的经验积累和技术沉淀,适应信息安全技术发展的新趋势,适时推出的一款主动化安全运维管理系统。此系统集网络访问行为监控、网络流量管理、监控、分析于一体,以IP资产为核心,通过对网络中的流量进行审计,梳理出网络中的互访关系,监控网络中的访问行为;通过对网络中的异常行为分析建立算法模型,准确识别出异常行为,通过溯源,近而定位原因;另外此还提供了专门的防火墙策略分析和梳理功能,通过对防火墙策略的分析梳理出策略的有效性,并为用户提供合理化的建议。此系统从实际使用出发,采用专家的视角,充分考虑运维人员、视讯赌城网赌人员的需求。节省了人力,大大提高了工作效率。目前,此系统已成功应用在多个领域,包括运营商、金融、能源、公安、政府、烟草、教育等,成功帮助众多客户实现了安全运维管理工作从被动向主动、安全建设路线从合规化向合规与实际需求相结合、网络威胁从被动响应向主动感知、主动干预的转变。

 

功能特点

  • 防火墙策略管理:

    系统能够对主流防火墙策略配置问题和使用情况进行分析,并为新部署的防火墙,快速梳理出一个基础策略。

  • 异常行为检测:

    系统依托自身存储的海量网络流行为信息,通过分析流量的行为特征,能够发现多种异常流量。

  • 流量行为报表:

    系统支持流量报表的自定义。支持报表导出为pdf、word、html、excel多种格式,支持报表计划。

  • 查询统计:

    系统提供一个强大灵活的流量查询引擎,查询结果列表展示,查询结果可导出excel表。

  • 流量监控:

    系统提供行为发生时的流量的趋势、Top10 IP、Top10应用监控功能,支持监控范围自定义,可自定义监控的IP范围、服务、端口、采集引擎及接口、流量方向等。

  • 互联监控:

    系统提供的互联监控功能,形象展示出互联关系黑白名单类型,支持图形对象下钻,支持监控图的缩放、导出等操作。

  • IP管理:

    所有的流量都是来自于IP节点,系统从安全管理的角度将IP划分为可信的已知IP和不可信的未知IP。

  • 黑白名单管理:

    系统提供黑白名单方式管理流量的功能。黑白名单由五元组定义,用户可以在系统新建黑白名单,也可以从excel表导入。

 

技术优势

  • 智能策略梳理

    采用基于流量和安全域配置的策略智能梳理技术,解决了用户为新防火墙快速配置策略的难题。

  • IP地理定位

    系统采用IP地理定位技术,不但增强了数据的可读性和关联性,更丰富了数据分析的视角。

  • 可视化

    系统采用地图、拓扑图、柱状图、饼状图、趋势图等数据可视化展现技术,使得数据展现更直观,监控分析工作更轻松。

  • 数据聚合

    预先对基础数据按照不同主题进行聚合处理,保证用户查询的快速响应。

  • 高性能抓包

    根据磁盘的工作原理,对包存储算法进行优化,抓包存储性能接近千兆。

  • 基于行为的检测

    系统的异常流量检测全部采用基于流量的行为分析技术,不需要特征库,可以应对已知和未知威胁。

 

典型应用


系统采用流量采集引擎分布式旁路部署,和数据中心集中存储、分析、展现部署。

防火墙策略梳理-端口镜像部署方案  


端口镜像部署方案


 防火墙策略梳理-Flow部署方案  


Flow部署方案


产品参数:

指标项

FA6000系列

设备形态

硬件形态,产品分流量采集引擎和数据分析中心双层架构;

电源

冗余电源;

硬件规格

 

采集引擎和数据分析中心均为2U机架式硬件设备,6T磁盘空间(支持Raid5)

采集引擎标配6个千兆电口、1个接口扩展插槽;提供2个监听口作为流量采集端口;

数据中心引擎标配6个千兆电口、1个接口扩展插槽;1个管理口、1个日志口

产品性能

吞吐量:2.5Gbps,新建连接数:23000/秒,入库速度:75000条/秒;

基础功能

支持端口镜像、分光器、TAP等采集数据,数据分析中心采用B/S管理方式;

支持将流量转化成服务器、设备间的业务互联关系事件;

支持对内部与境外发生互联的事件监控功能,并且能够自动定位到国家。

支持将海量互联事件归并后的业务黑白确认功能,从而通过互联事件分析,梳理用户网络白环境;

支持防火墙策略的新建和自动导入,支持对新建和导入的防火墙策略进行增删改查功能,策略对象可修改;

结合现网中真实互联关系可自动梳理出防火墙策略,系统支持自动和精确两种梳理模式,具备根据安全域、引擎、时间等过滤条件梳理策略的功能。

系统具备对内部服务器与境外设备互联的自动发现能力。

系统能区分互联时的方向,即能够区分是内部服务器向外连接还是外部设备向用户内部服务器的连接。

内部服务器能够自动定位到设备名称、IP、所属业务系统、所属安全域。

具备对未经审批或者私自违规接入网络的IP设备的旁路发现能力

提供动态报表的生成功能,报表周期可选、周、月以及自定义报表格式支持PDF、WORD、HTML和EXCEL


用户价值

——无干扰式部署:系统采用旁路分布式部署方式采集流量,对用户网络无任何影响。

——数据丰富:系统不但具有海量的数据存储能力,还提供从基本的流信息到会话内容,到最原始的网络包等不同粒度的数据。除了这些来自数据包的信息外,还提供了地理位置信息、IP分组信息、设备名字等更加易读的关联信息。

——分析灵活:系统提供灵活的查询分析手段,支持丰富的查询条件及组合,以及丰富的查询结果分组和排序,可满足用户灵活多样的数据分析要求。

——名单策略配置灵活:系统不但支持名单和策略的IP地址引用具体IP,更支持IP地址引用地理区域。这对于那些无法确切描述IP地址,但可以描述地理区域的场合十分方便。如用户可以轻松地配置出Internet到本地网络、某国到本地网络等等这样的策略。

——可视化展现:系统通过地图、拓扑图、柱状图、饼状图、趋势图等多种方式实现数据展现,展现的数据更加直观易懂。
——操作简单:秉承在别处“让安全变得简单”的理念,除了必要的IP配置外,系统几乎不需要用户做任何配置即可投入运行。

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30