FlowEye安全域流監控産品白皮書

目錄

一、 前言 2

二、 産品概述 2

三、 功能特性 2

n 流量采集 2

n 數據存儲 3

n 行為管理 3

n 行為監控 4

n 行為分析 5

n 異常行為檢測 9

n 防火牆策略管理 10

n 配置管理 11

四、 關鍵技術 12

五、 産品部署 14

六、 産品優勢 15

n 無幹擾式部署 15

n 數據豐富 15

n 分析靈活 15

n 名單策略配置靈活 15

n 未知木馬流量檢測 16

n 可視化展現 16

n 操作(zuò)簡單 16

一、 前言

随着網絡和信息技術的高速發展，用戶的網絡規模在不(bù)斷擴北線大，承載的業務在不(bù)斷增多，網絡中(zhōng)的流量變得也愈加複雜。當商鄉前存在的典型問題包括：

n 對IP地(dì)址的使用情況掌握的不(bù)全面。除了已知的可對懂信的IP外，是否還有未知的IP、網段在活動(dòng)？這些IP地(dì)址、網段是否屬于誤用或濫用？

n 内網中(zhōng)哪些IP地(dì)址是暴露在互聯網的？是否存在遺漏知校的暴露面IP？

n 不(bù)清楚安全域之間(jiān)的訪問關系真實情況，們紅不(bù)清楚是否按照安全域劃分要求對網絡進行了劃分

n 不(bù)清楚是否存在因防火牆配置錯誤而被放大男行的違規訪問？是否存在不(bù)該出現的外連訪問，外連的目請校标是哪裡(lǐ)？

n 針對網絡流量的分析缺乏簡單易用的工(gōng)具支撐，厭錢複雜的流量分析産品對用戶專業能力要求高，難以充分發揮用戶對業務了解的專拿又長。

n 未知威脅頻繁發生，僅靠傳統的威脅檢測技術不(bù)足以應對日益放高嚴峻的安全形勢。

n 作(zuò)為基礎安全防護手段的防火牆策略随着時間(jiān)的變化，策略也在用大不(bù)斷增多，防火牆的性能也在不(bù)斷章票下降。用戶缺乏分析、梳理、管理防火牆策略的有效手段。

二、 産品概述

FlowEye安全域流監控系統是啟明星辰集團檢測産品本部，報雨依托自身在安全行業多年的經驗積累和技術沉澱，為适應信息安全技術發展玩聽的新(xīn)趨勢，适時推出的一款主動(dòng)化安全運維管理系統。去通産品集網絡訪問行為監控、網絡流量管理、監控、分析于一體(tǐ)，并提供專門的防新看火牆策略分析和梳理功能，可應用于網絡異常行為分析、網絡流量審計、異常流量分析科去、故障定位等，充分滿足運維人員、安全服務人員的需求。

目前，系統已成功應用于運營商、金融、能源、軍隊、公安、政府、煙草、教育等多個領域，成功幫助衆多客戶實現了安全運維管理工(gōng)作(zuò)從被動(dòng)向主動(d一哥òng)、安全建設路線從合規化向合規與實際需求相結合、網絡威脅微事從被動(dòng)響應向主動(dòng)感知、主動(dòng)幹預的轉內光變。

三、 功能特性

n 流量采集

系統既支持端口鏡像方式旁路采集原始網絡報文，也具備采集Flow數據的能力。系統支持Netflow、Sflow、IPFIX數據交換格式。端口鏡像流量采集功能由采集引擎提供，公錢Flow數據采集功能則是由數據中(zhōng)心提供的。這意味着小習當隻采集Flow數據時，用戶可以直接利用其它網絡設備發送頻慢Flow給數據中(zhōng)心，無需額外購買引擎，節省了成本。需要注意的是嗎照，系統的個别功能是基于原始網絡報文實現的，因此用戶需要綜合考腦熱慮功能需求，選擇最經濟實用的流量采集方式。

系統采用分布式流量采集，數據集中(zhōng)存儲、分析、展現的系統體科架構，因此用戶可以将采集引擎部署到不(bù)同的看畫位置，如網絡出口、安全域之間(jiān)、網絡彙聚層、接入層等。用戶還知體可以配置多個網絡設備向數據中(zhōng)心發送flow。

n 數據存儲

系統提供容量為6T~16T的磁盤存儲空間(jiān)，多塊磁盤組成RAID陣列，可滿足用戶持久、可靠的流量存儲需求。亮長海量的數據存儲能力也為用戶全面、大跨度地(dì)做流量分析、審計、取證提供了保業還障。

系統的數據集中(zhōng)存儲在數據中(zhōng)心，部分型号的采集引書媽擎還提供專門用于存儲原始網絡報文的大容量的磁盤空間術爸(jiān)。

n 行為管理

l 黑白名單管理

系統提供按照黑白名單方式管理流量的功能。支持用些購戶為訪問關系配置黑白名單，用戶可以預先在系統新(xīn)建黑白名單，頻信也可以從excel表導入。黑白名單由五元組定義，特别地(dì廠購)，名單的IP地(dì)址對象可以配置地(dì)理位置。一雪

系統基于用戶配置的黑白名單訪問關系，實時檢測流量的合規性懂玩，并且用戶可以在訪問關系監控圖上醒目地(dì)看(kàn)到是否存在煙東違規訪問行為，是否存在未知的訪問行為。對于未知的訪紅時問行為，系統會如實記錄，用戶可通過對未知訪問行為服廠的分析将其方便地(dì)在線确認為對應的名單類型。

l IP管理

所有的流量都是來(lái)自于IP節點，如果不(bù)能全面準确掌握IP情況，對流量的管理就缺乏條理性。系統從安全管理的角度将用戶可管術音控的IP劃分為可信的已知IP和不(bù)可信的未知IP；根據是否能從Internet訪問，劃分為暴露面IP和非暴露面IP。

系統提供的IP管理功能包括：

² IP庫維護：系統包括兩個庫：已知IP庫和未知IP庫。已知IP庫為可信IP，由用戶手動(dòng)建立維護；未知IP庫為不(bù)可信IP，由系統自動(dòng)建立。已知IP庫除了IP地(dì)址信息外，還包括關聯的設備信息，包括設備名、黃工綁定的MAC地(dì)址、域名、操作(zuò)系統、開放端口、承載的服務、低遠所屬業務系統、網絡應用、是否為暴露面IP等。

² 未知IP檢測：系統能夠自動(dòng)從網絡報文中(zhōng)分農子析出未知IP，并報告用戶。

² 暴露面IP檢測：暴露面IP是指那些能夠從Internet訪問到的IP。相對于那些非暴露面IP而言，暴露面IP更容易成為攻擊的目标，更應該被用戶準确的了解。森坐系統能夠自動(dòng)識别哪些IP地(dì)址是暴露面IP。

² 導入和導出：支持從excel表導入可信IP和IP分組，支持可信IP、不(bù)可信IP、IP分組的導出。導出時，支持全部導出或條件過濾導出。

² IP分組：支持用戶手動(dòng)建立IP分組并配置地(dì)址範圍，系統能夠依據分組對應的地(dì們章)址範圍，自動(dòng)将可信IP劃歸到對應的分組中(zhōng)，自動(dòng)識别不(bù)可信IP對應的分組。方便了用戶的管理。

² 自動(dòng)探測：為了讓用戶維護的IP庫的信息更全面真實、更便利，系統提供了操作(zuò)系統從謝和網絡應用信息自動(dòng)探測功能，可秒工以自動(dòng)探測操作(zuò)系統類型及版本和網絡應用軟件（如費體tomcat、OpenSSH等）類型及版本。

n 行為監控

l 互聯監控

系統提供的互聯監控功能包括：

² 安全域互聯監控：以拓撲圖形式展現特定或全部安全域之間(jiā視他n)的互聯關系及其黑白名單類型，支持監控圖内容過濾，支持圖形對象下鑽，支持煙吃監控圖的縮放、導出、打印等操作(zuò)。

安全域互聯監控圖

² 境内、境外互聯監控：以地(dì)圖形式展現用戶網絡與境内外的互聯情況，形象展紅麗示互聯關系黑白名單類型、互聯頻次大小(xiǎo)、互聯關系連線可下鑽。文個

境内互聯監控圖

境外互聯監控圖

l 流量監控

系統提供行為發生時的流量的趨勢、Top10 IP、Top10應用監控功能，支持監控範圍自定義，可自定義監控的IP範圍、服務、端口、采集引擎及接口、流量方向等。

n 行為分析

l 基礎數據

系統通過對網絡報文或flow數據的解析，形成三類數據作(zuò)為流鐘要量行為分析的基礎：

² 流信息。支持TCP、UDP、ICMP三種最常見的流解析。流信息由基本信息和擴展信息構成。基本信息通過解析報文又白或flow得到，包括源和目的IP、源和目的端口、傳輸層協議、流起止時間(jiān)、包民懂數、會話時長、流量、MAC地(dì)址等；擴展信息包括IP地(dì)理位置、所屬分組、設備名等，其中(zhōn鐵冷g)IP地(dì)理位置由系統自動(dòng)提供。

² payload信息。支持Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP應用層協議的賬号和指令解析。

² 網絡報文。原始的網絡報文，以pcap文件形式存儲。

l 策略

系統支持用戶通過配置策略控制流量的解析和存儲。策略由五元組描述，老舞其中(zhōng)IP地(dì)址支持配置地(dì)理位置，如境内、境外、某國、某省等，這對笑日于那些無法用IP地(dì)址确切描述策略的場合十分有幫助。

系統支持的策略類型包括：

² 包存儲策略。當配置了包存儲策略後，系統将會把匹配到策略的網絡報文忠實記錄下要車來(lái)，記錄下來(lái)的報文可以pcap文件形式下載到本地(dì)。例如通過配置策略，控制系統隻記房暗錄源IP為境外，目的IP為核心域的SSH報文。

特别地(dì)，如果配置any存儲策略，那麼系統将實現全包存儲功能。系統具備高性能的包存儲能力。

² 協議解析策略。支持為Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP應用層協議配置協議解析策略，配置協議解析策略後，系統将解析并記錄協議的賬号司厭和操作(zuò)指令信息。

² 過濾策略。當配置過濾策略後，系統将不(bù)會存儲解析到的流信息，要師可節省存儲空間(jiān)，還有助于提升系統性能。這對于什資那些無法或不(bù)方便在交換機(jī)進行流量采人窗集控制的場合十分有用。例如當用戶在網絡出口采集流量時，可以過濾掉與自己所負責他嗎網絡無關的流量。

l 查詢統計列表

系統提供一個強大靈活的流量查詢引擎，查詢結果列表說雪展示，查詢結果可導出excel表。

查詢統計

用戶可以通過設置過濾條件、歸并條件、排序條熱嗎件靈活控制流量統計範圍、統計和排序方式。豐員哥富靈活的查詢、歸并、排序條件不(bù)但可以滿足典型的流少木量統計要求，也可以滿足個性化的查詢統計要求。例如用戶可以IP、分組、地(dì)理區域、會話、協議、端還事口、服務等為考察對象，查詢并統計它們(men)的流量、會話數、會話時長、包數讀時等，并且查詢結果可以進行靈活的歸并和排序，可以對查詢結果深入挖掘。匠爸

系統支持的統計項包括：

² 流量

² 連接時長

² 會話頻次

系統支持的流量過濾條件包括：

² 時間(jiān)範圍：統計任意天、周、月的流量

² 名單類型：統計黑名單流量、白名單流量、未知流量

² 采集引擎：統計某個采集引擎的流量

² 采集接口：統計采集引擎的某個接口的流量

² 區域類型：統計境内流量、境外流量、本地(dì)流量

² 協議：統計TCP流量、UDP流量、ICMP流量

² 端口：統計某個端口的流量

² 服務：統計單個或一組服務的流量

² IP地(dì)址：統計某個IP地(dì)址的流量

² IP分組：統計某個IP分組的流量

² 地(dì)理區域：統計境内某省或境外某國的流量

² 連接方向：統計連入或連出的流量，通常與IP地(dì)址、區域等組合使用

² 會話狀态：統計全連接、半連接的流量

² 會話頻次：統計符合特定頻次條件的流量，查詢互聯關系時使用

² 流量：統計符合特定流量條件的流量

² 連接時長：統計符合特定會話時長條件的流量明劇，查詢互聯關系時使用

以上條件可組合使用。

系統支持的查詢結果歸并條件包括：

² IP：區分源和目的，支持按照源IP對查詢結果歸并

² 目的IP：支持按照目的IP對查詢結果歸并

² 源IP分組：支持按照源IP分組對查詢結果歸并

² 目的IP分組：支持按照目的IP分組對查詢結果歸并

² 源IP區域：支持按照源IP所屬地(dì)理位置對查詢結果歸并

² 目的IP區域：支持按照目的IP所屬地(dì)理位置對查詢結果歸并

² 端口：支持按照目的端口對查詢結果進行歸并

² 協議：支持按照TCP、UDP、ICMP協議對查詢結果歸并

² 服務：支持按照服務對查詢結果歸并

以上歸并條件可組合使用。

系統支持的查詢結果排序條件包括：

² 源IP：支持按照源IP的升降序對查詢結果排序

² 目的IP：支持按照目的IP的升降序對查詢結果排序

² 頻次：支持按照會話頻次的升降序對查詢結果排序

² 流量：支持按照流量的升降序對查詢結果排序

² 連接時長：支持按照連接時長的升降序對查詢結麗很果排序

以上排序條件可組合使用。組合使用時，可以選擇排序的優先級。

系統還内置了三個分類查詢統計功能，包括：

² 境外流量查詢統計

² 境内流量查詢統計

² 本地(dì)流量查詢統計

特别是境内和境外流量查詢統計功能，結合系統的流量黑白名單功能及用戶的業務特點，花車對于發現木馬、蠕蟲、密碼暴力破解、數據竊取等安全事件往往能起到事半功光水倍的效果。

l 統計分析圖表

系統除了提供一個強大靈活的查詢統計引擎，方便用戶但著制定分析策略外，還提供了多種統計分析圖表，包括：

² 黑、白名單訪問頻次Top10

² 黑、白名單訪問頻次趨勢圖

² 訪問頻次連入和連出Top10 IP

² IP連入和連出頻次趨勢圖

² 流量Top10 服務

² 流量Top10 IP

² 流量趨勢圖

² 流量占比圖

² 安全域訪問關系圖

² 境内和境外訪問關系圖

l 流量行為報表

系統支持流量報表的自定義。支持報表導出為pdf、word、html、excel多種格式，支持報表計劃。

n 異常行為檢測

系統依托自身存儲的海量網絡流行為信息，通過計吧分析流量的行為特征，能夠發現多種異常流量，包括：

² *木馬通道檢測

² *ARP欺騙檢測

² 網絡掃描行為檢測

² 蠕蟲檢測

² DDoS攻擊檢測

當系統檢測到異常流量行為時，系統會根據用戶配置的告警方式及時報告給用戶。

對于木馬通道檢測，有别于基于特征庫的檢測技術，系統是通過檢測流量的行為動業判斷是否為木馬C&C通道流量，因此能夠檢測未知木馬威脅。

*标記項僅端口鏡像方式支持。

n 防火牆策略管理

l 防火牆支持

防火牆的策略統計和分析需要預先導入并解析從窗防火牆的配置文件，當前支持以下防火牆配置文件的解析：

² 天清漢馬防火牆

² 網禦星雲Power V（3602版本）

² Juniper防火牆

² Fortinet防火牆

² 思科防火牆

² 網神防火牆

² 華為防火牆

² H3C防火牆

² 東軟防火牆

² 迪普防火牆

² 山石防火牆

² 天融信防火牆

² 神州數碼防火牆

l 策略統計

系統提供策略分類統計功能，包括：

² 啟用和禁用策略數統計

² 放行和阻斷策略數統計

² any服務和any地(dì)址策略數統計

² 策略總數統計

l 策略分析及報告

系統能夠對策略配置問題和使用情況進行分析工朋，并能夠生成分析報告。

對于策略配置問題，系統能夠分析出：

n 哪條策略是冗餘策略。對于任意一條策略，如果在它之前存在五元組和動(dò都錯ng)作(zuò)與它完全相同的策略，則該策略稱為冗餘雪員策略。

n 哪兩條策略是沖突策略。對于任意兩條策略，如果它們(場熱men)的五元組完全相同，但動(dòng)作(zuò)車算相反的策略，則這兩條策略産生沖突。

n 哪兩條策略是交叉策略，并指出交叉項。對于任意月路兩條策略，如果它們(men)的五元組部分相同，則這兩條策略就存北身在交叉關系。

n 哪兩條策略可以合并，并指出可合并項。

n 哪條策略是寬松策略及寬松項。寬松策略是指由于策略的IP地(dì)址或端口等配置的範圍太大，而導緻違背“腦商安全最小(xiǎo)化”原則的策略，如Any地(dì)址或any服務策略。

n 哪條策略是不(bù)活躍策略。不(bù)活躍策略是指沒有流量命中(z內少hōng)的策略。

對于策略使用情況，系統能夠分析出：

n 策略的命中(zhōng)次數及對應的流量。

n 系統默認策略（非用戶配置的策略）與流量的對應關系。通常流量沒有章工命中(zhōng)任何用戶配置的策略時，系統會做默認處理（放行或阻斷），通件市過查看(kàn)那些對應的流量可以發現默認策略頻工是否配置合理、是否存在試圖繞過防火牆的行為等。

分析結果可以生成報告并導出。

l 策略梳理

系統提供基于流量和安全域配置的策略自動(dòng)梳理功能，對于行謝還沒有配置策略的新(xīn)防火牆，用戶可以借助該功風輛能快速梳理出一個基礎策略，再經過适當調整後應國工用到防火牆。

策略梳理功能包括：

² 策略自動(dòng)梳理。

² 對自動(dòng)梳理結果的調整。

² 策略對應流量的查看(kàn)，便于用戶依據真實流量對自動(dòng)梳理出店微來(lái)的策略進行調整。

² 梳理結果導出。

l 集中(zhōng)管理

系統支持集中(zhōng)管理不(bù)同防火牆的策飛中略配置和同一台防火牆不(bù)同時間(ji新少ān)點的策略快照。

n 配置管理

系統支持SSH、HTTP/HTTPS、telnet（默認禁止）、串口管理方式。提供資源監控算拍、用戶管理、引擎管理、時間(jiān)管理、備份恢複等管理功能，并提供通慢操作(zuò)日志及查詢功能。

l 告警方式

支持syslog、Email、Web頁面告警方式。

l IP分組

支持IP分組。IP分組既方便用戶管理IP，還可能有助于防火牆策略梳理的準确性（當以安全域的角度建立IP分組時）。

l 服務自定義

系統内置了667種标準服務，支持用戶配置協議+端口的形式自定義服務。

l 用戶管理

支持功能授權。管理員可以将每個頁面訪問和操作(z理身uò)權限為單位，将操作(zuò)權限分配給每個用戶。

支持三權分立和非三權分立模式的管理。三權分立模式下内置系統管理員自筆、系統操作(zuò)員、報表操作(zuò)員三個角色

支持密碼安全策略。可以配置密碼強度、有效期、鎖定時間(ji就信ān)、登錄IP限制。

l 資源監控

支持對内存、磁盤、CPU、接口等關鍵資源的實時監控。

l 管理方式

提供Web頁面和命令行兩種管理方式。Web頁面管理支持http和https方式。命令行支持SSH、Telnet、串口方式。

四、 關鍵技術

n 靈活的流量采集

支持端口鏡像和flow兩種主流的流量采集方式，用戶可根據實際需求開答自主選擇。

n 基于行為的檢測

系統的異常流量檢測全部采用基于流量的行為分析技機高術，不(bù)需要特征庫，可以應對已知和未樹去知威脅。

n 高性能抓包

根據磁盤的工(gōng)作(zuò)原理，對包存儲算法進行優化，抓包存儲船厭性能接近千兆。

n 數據聚合

預先對基礎數據按照不(bù)同主題進行聚合處理，保證用戶查詢的快和話速響應。

n 可視化

系統采用地(dì)圖、拓撲圖、柱狀圖、餅狀圖、趨勢圖等數據友西可視化展現技術，使得數據展現更直觀，監控冷事分析工(gōng)作(zuò)更輕松。

n IP地(dì)理定位

系統采用IP地(dì)理定位技術，不(bù)但增強了數據的可讀性和關聯性，間音更豐富了數據分析的視角。

n 協議解析

系統支持Oracle 8i、Oracle 9i、Oracle 10g、Oracle  11g、MS-SQL、Sybase、telnet、ftp、http等協議的内容解析，用戶的操作(zuò)細節一目了然。

n 高性能流量采集

系統采用高性能的驅動(dòng)零拷貝技術費遠，實現了驅動(dòng)到應用程序的快速收書體包，系統的性能優勢十分明顯。

n 靈活的策略分析

既支持基于策略配置文件的防火牆策略基本分析月空，也支持基于流量和策略配置文件的全面分析。

n 豐富的防火牆支持

支持國内外13種常見防火牆的策略分析。

n 智能策略梳理

采用基于流量和安全域配置的策略智能梳理技術，解決了用戶為新(xīn)防火國街牆快速配置策略的難題。

五、 産品部署

系統采用流量采集引擎分布式旁路部署，和數據中(zhōng)心集中(zhōn舊的g)存儲、分析、展現部署。

端口鏡像部署方案

Flow部署方案

六、 産品優勢

n 無幹擾式部署

系統采用旁路分布式部署方式采集流量，對用戶網絡無任何影(yǐ家低ng)響。

n 數據豐富

系統不(bù)但具有海量的數據存儲能力，還提供從基廠請本的流信息到會話内容，到最原始的網絡包等不(bù)同粒度的數藍姐據。除了這些來(lái)自數據包的信息外，雪喝還提供了地(dì)理位置信息、IP分組信息、設備名字等更加易讀的關聯信息。

n 分析靈活

系統提供靈活的查詢分析手段，支持豐富的查詢如區條件及組合，以及豐富的查詢結果分組和排序，可滿足用戶靈活多樣的數據分析要求。

n 名單策略配置靈活

系統不(bù)但支持名單和策略的IP地(dì)址引用具體(tǐ)IP，更支持IP地(dì)址引用地(dì)理區域。這對于那些無法确切描述IP地(dì)址，但可以描述地(dì)理區域的場合十分方便。如用戶可以輕松地(開廠dì)配置出Internet到本地(dì)網絡、某國到本地(dì)網絡等等這樣的員算策略。

n 未知木馬流量檢測

系統采用基于木馬流量行為的技術檢測木馬，不(bù)但南分可以應對已知木馬，也可以應對未知木馬。

n 可視化展現

系統通過地(dì)圖、拓撲圖、柱狀圖、餅狀圖、趨勢圖等多種方式實現數據輛計展現，展現的數據更加直觀易懂。

n 操作(zuò)簡單

秉承啟明星辰“讓安全變得簡單”的理念，除了必要的IP配置外，系統幾乎不(bù)需要用戶做任何配置即可投喝上入運行。