一、Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的業(yè)界經(jīng)驗(yàn)推出了NetRanger。產(chǎn)品分為兩部分：監(jiān)測(cè)網(wǎng)絡(luò)包和發(fā)告警的傳感器(9000美元)，以及接收并分析告警和啟動(dòng)對(duì)策的控制器(1萬(wàn)美元)。

另外，至少還需要一臺(tái)奔騰PC來跑傳感器程序以及一臺(tái)Sun SparcStation通過OpenView或NetView來跑控制器程序。兩者都運(yùn)行Sun的Solaris。在軟硬件平臺(tái)中，傳感器上可能要花費(fèi)1.3萬(wàn)美元，控制器上要花費(fèi)2.5萬(wàn)美元。

NetRanger以其高性能而聞名，而且它還非常易于裁剪。控制器程序可以綜合多站點(diǎn)的信息并監(jiān)視散布在整個(gè)企業(yè)網(wǎng)上的攻擊。NetRanger的最大名聲在于其是針對(duì)企業(yè)而設(shè)計(jì)的。這種名聲的標(biāo)志之一是其分銷渠道，EDS、Perot Systems、IBM Global Services都是其分銷商。

NetRanger在全球廣域網(wǎng)上運(yùn)行很成功。例如，它有一個(gè)路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個(gè)點(diǎn)上監(jiān)測(cè)全網(wǎng)或把監(jiān)測(cè)權(quán)轉(zhuǎn)給第三方。

NetRanger的另一個(gè)強(qiáng)項(xiàng)是其在檢測(cè)問題時(shí)不僅觀察單個(gè)包的內(nèi)容，而且還看上下文，即從多個(gè)包中得到線索。這是很重要的一點(diǎn)，因?yàn)槿肭终呖赡芤宰址Ｊ酱嫒∫粋€(gè)端口，然后在每個(gè)包中只放一個(gè)字符。如果一個(gè)監(jiān)測(cè)器只觀察單個(gè)包，它就永遠(yuǎn)不會(huì)發(fā)現(xiàn)完整的信息。按照GartnerGroup公司的研究專家Jude O＇Reilley的說法，NetRanger是目前市場(chǎng)上基于網(wǎng)絡(luò)的入侵檢測(cè)軟件中經(jīng)受實(shí)踐考驗(yàn)最多的產(chǎn)品之一。

但是，對(duì)于某些用戶來講，NetRanger的強(qiáng)項(xiàng)也可能正好是其不足。它被設(shè)計(jì)為集成在OpenView或NetView下，在網(wǎng)絡(luò)運(yùn)行中心(NOC)使用，其配置需要對(duì)Unix有詳細(xì)的了解。NetRanger相對(duì)較昂貴，這對(duì)于一般的局域網(wǎng)來講未必很適合。

二、Network Associates公司的CyberCop

Network Associates 公司是1977年由以做Sniffer類探測(cè)器聞名的Network General公司與以做反病毒產(chǎn)品為專業(yè)的 McAfee Associates公司合并而成的。NetWork Associates從Cisco那里取得授權(quán)，將NetRanger的引擎和攻擊模式數(shù)據(jù)庫(kù)用在CyberCop中。

CyberCop基本上可以認(rèn)為是NetRanger的局域網(wǎng)管理員版。這些局域網(wǎng)管理員正是NetWork Associates的主要客戶群。其軟件價(jià)格比NetRanger還貴:傳感器為9000美元，服務(wù)器上的控制器為15000美元。但其平臺(tái)卻可以是運(yùn)行Solaris 2.5.1的Dell PC(通常CyberCop是預(yù)裝在里面的)。跑傳感器的平臺(tái)一般要3000美元，控制器的平臺(tái)要5000美元。

另外，CyberCop被設(shè)計(jì)成一個(gè)網(wǎng)絡(luò)應(yīng)用程序，一般在20分鐘內(nèi)就可以安裝完畢。它預(yù)設(shè)了6種通常的配置模式:Windows NT和Unix的混合子網(wǎng)、Unix子網(wǎng)、NT子網(wǎng)、遠(yuǎn)程訪問、前沿網(wǎng)(如Internet的接入系統(tǒng))和骨干網(wǎng)。它沒有Netware的配置。

前端設(shè)計(jì)成瀏覽器方式主要是考慮易于使用，發(fā)揮Network General在提煉包數(shù)據(jù)上的經(jīng)驗(yàn)，用戶使用時(shí)也易于查看和理解。像在Sniffer中一樣，它在幫助文檔里結(jié)合了專家知識(shí)。CyberCop還能生成可以被 Sniffer識(shí)別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業(yè)應(yīng)用的特征，如路徑備份功能等。

按照CyberCop產(chǎn)品經(jīng)理Katherine Stolz的說法，Network Associates公司在安全領(lǐng)域?qū)⒂幸幌盗械呐e措和合作。"我們定位在大規(guī)模的安全上，我們將成為整體解決方案的提供者。"

三、Internet Security System公司的RealSecure

按照GartnerGroup的O＇Reilley的說法，RealSecure的優(yōu)勢(shì)在于其簡(jiǎn)潔性和低價(jià)格。與NetRanger和CyberCop類似，RealSecure在結(jié)構(gòu)上也是兩部分。引擎部分負(fù)責(zé)監(jiān)測(cè)信息包并生成告警，控制臺(tái)接收?qǐng)?bào)警并作為配置及產(chǎn)生數(shù)據(jù)庫(kù)報(bào)告的中心點(diǎn)。兩部分都可以在NT、Solaris、SunOS和Linux上運(yùn)行，并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。它們都能在商用微機(jī)上運(yùn)行。

對(duì)于一個(gè)小型的系統(tǒng)，將引擎和控制臺(tái)放在同一臺(tái)機(jī)器上運(yùn)行是可以的，但這對(duì)于NetRanger或CyberCop卻不行。RealSecure的引擎價(jià)值1萬(wàn)美元，控制臺(tái)是免費(fèi)的。一個(gè)引擎可以向多個(gè)控制臺(tái)報(bào)告，一個(gè)控制臺(tái)也可以管理多個(gè)引擎。

RealSecure可以對(duì)CheckPoint Software的FireWall-1重新進(jìn)行配置。根據(jù)入侵檢測(cè)技術(shù)經(jīng)理Mark Wood的說法，ISS還計(jì)劃使其能對(duì)Cisco的路由器進(jìn)行重新配置，同時(shí)也正開發(fā)OpenView下的應(yīng)用。

四、Intrusion Detection公司的Kane Security Monitor

基于主機(jī)的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在結(jié)構(gòu)上由三部分組成，即一個(gè)審計(jì)器、一個(gè)控制臺(tái)和代理。代理用來瀏覽NT的日志并將統(tǒng)計(jì)結(jié)果送往審計(jì)器。系統(tǒng)安全員用控制臺(tái)的GUI界面來接收告警、查看歷史記錄以及系統(tǒng)的實(shí)時(shí)行為。KSM對(duì)每個(gè)被保護(hù)的服務(wù)器報(bào)價(jià)1495美元(包括審計(jì)器和控制臺(tái))，在此基礎(chǔ)上每個(gè)工作站代理報(bào)價(jià)295美元。

按照位于加州Playa Del Rey以安全技術(shù)見長(zhǎng)的Miora Systems Consulting公司的資深咨詢專家David Brussin的看法，KSM在TCP/IP監(jiān)測(cè)方面特別強(qiáng)。但他也提到，Intrusion Detection的產(chǎn)品不是為較快的廣域網(wǎng)設(shè)計(jì)的。

公司的奠基人兼總裁Robert Kane說，Intrusion Detection在本季度將推出在OpenView下的應(yīng)用，隨后在年底將推出與Tivoli Management Environment(TME)的集成。將來，Intrusion Detection還計(jì)劃支持Unix、微軟的BackOffice和Novell的Netware。

五、Axent Technologies公司的OmniGuard/Intruder Alert

與KSM的審計(jì)器、控制臺(tái)、代理所對(duì)應(yīng)的OmniGuard/Intruder Alert(ITA)在結(jié)構(gòu)上的三個(gè)組成部分為一個(gè)管理器(1995美元)、控制臺(tái)(免費(fèi))和代理(每個(gè)服務(wù)器為995美元，每個(gè)工作站為95美元)。

ITA比Intrusion Detection的KSM提供了更廣泛的平臺(tái)支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上運(yùn)行，所有的部分在多種Unix下都能運(yùn)行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。

可以根據(jù)一些解決方案來剪裁ITA，這些解決方案可來自主流的操作系統(tǒng)、防火墻廠商、Web服務(wù)器廠商、數(shù)據(jù)庫(kù)應(yīng)用以及路由器制造商。Axent在2月份兼并了防火墻廠商Raptor，并將增強(qiáng)ITA，使其能對(duì)Raptor的防火墻進(jìn)行重配置。

六、Computer Associates公司的SessionWall-3/eTrust Intrusion Detection

SessionWall-3/eTrust Intrusion Detection可以通過降低對(duì)網(wǎng)絡(luò)管理技能和時(shí)間的要求，在確保網(wǎng)絡(luò)的連接性能的前提下，大大提高網(wǎng)絡(luò)的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自動(dòng)地識(shí)別網(wǎng)絡(luò)使用模式，特殊網(wǎng)絡(luò)應(yīng)用，并能夠識(shí)別各種基于網(wǎng)絡(luò)的各種入侵、攻擊和濫用活動(dòng)。另外，SessionWall-3/eTrust Intrusion Detection還可以將網(wǎng)絡(luò)上發(fā)生的各種有關(guān)生產(chǎn)應(yīng)用、網(wǎng)絡(luò)安全和公司策略方面的眾多疑點(diǎn)提取出來。

SessionWall-3/eTrust Intrusion Detection是作為一種獨(dú)立或補(bǔ)充產(chǎn)品進(jìn)行設(shè)計(jì)的，它的特點(diǎn)包括：

世界水平的攻擊監(jiān)測(cè)引擎，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的監(jiān)測(cè)；

豐富的URL控制表單，可以實(shí)現(xiàn)對(duì)200，000個(gè)以上分類站點(diǎn)的控制；

世界水平對(duì)Java/ActiveX惡意小程序的監(jiān)測(cè)引擎和病毒監(jiān)測(cè)引擎；

SessionWall-3/eTrust Intrusion Detection遠(yuǎn)程管理插件，用于沒有安裝SessionWall-3/eTrust Intrusion Detection的機(jī)器的SessionWall-3/eTrust Intrusion Detection記錄文件的歸檔和查閱，以及SessionWall-3/eTrust Intrusion Detection報(bào)表的查閱。

SessionWall-3/eTrust Intrusion Detection的特點(diǎn)包括：

提供從先進(jìn)的網(wǎng)絡(luò)統(tǒng)計(jì)到特定用戶使用情況的統(tǒng)計(jì)的全面網(wǎng)絡(luò)應(yīng)用報(bào)表；

網(wǎng)絡(luò)安全功能包括內(nèi)容掃描、入侵監(jiān)測(cè)、阻塞、報(bào)警和記錄。

Web和內(nèi)部網(wǎng)絡(luò)使用策略的監(jiān)視和控制，對(duì)Web和公司內(nèi)部網(wǎng)絡(luò)訪問策略實(shí)施監(jiān)視和強(qiáng)制實(shí)施；

公司保護(hù)（Company preservation），或稱訴訟保護(hù)，即對(duì)電子郵件的內(nèi)容進(jìn)行監(jiān)視，記錄、查看和存檔；

SessionWall-3/eTrust Intrusion Detection還包括用于WEB訪問的策略集（用于監(jiān)視/阻塞/報(bào)警）和用于入侵監(jiān)測(cè)的策略集（用于攻擊監(jiān)測(cè)、惡意小程序和惡意電子郵件）。這些策略集包含了SessionWall-3/eTrust Intrusion Detection對(duì)所有通信進(jìn)行掃描的策略，這些策略不僅指定了掃描的模式、通信協(xié)議、尋址方式、網(wǎng)絡(luò)域、URL以及掃描內(nèi)容，還指定了相應(yīng)的處理動(dòng)作。一旦安裝了SessionWall-3/eTrust Intrusion Detection，它將立即投入對(duì)入侵企圖和可疑網(wǎng)絡(luò)活動(dòng)的監(jiān)視，并對(duì)所有電子郵件、WEB瀏覽、新聞、Telnet和FTP活動(dòng)進(jìn)行記錄。

SessionWall-3/eTrust Intrusion Detection可以滿足各種網(wǎng)絡(luò)保護(hù)需求，它的主要應(yīng)用對(duì)象包括審計(jì)人員、安全咨詢?nèi)藛T、執(zhí)法監(jiān)督機(jī)構(gòu)、金融機(jī)構(gòu)、中小型商務(wù)機(jī)構(gòu)、大型企業(yè)、ISP、教育機(jī)構(gòu)和政府機(jī)構(gòu)等。

SessionWall-3/eTrust Intrusion Detection是一種功能全面且使用方便的網(wǎng)絡(luò)保護(hù)解決方案，它克服了網(wǎng)絡(luò)保護(hù)中的主要業(yè)務(wù)障礙，其采用的主要手段包括：

最大程度地降低用戶技能和資源需求；

提供一種經(jīng)濟(jì)的和可擴(kuò)展的解決方案；

提供管理報(bào)表；

提供靈活易用的工具。

從操作的角度講，SessionWall-3/eTrust Intrusion Detection去除了某些網(wǎng)絡(luò)保護(hù)解決方案在安裝和操作的麻煩。實(shí)際上，SessionWall-3/eTrust Intrusion Detection可以提供許多人們所期望網(wǎng)絡(luò)內(nèi)在特性，而這些特性在過去是必需借助多種工具并通過復(fù)雜的分析之后才能夠得到的。為了達(dá)到這一目的，SessionWall-3/eTrust Intrusion Detection采用了如下措施：

即插即用安裝（自動(dòng)配置）；

易用的圖形用戶界面；

登錄網(wǎng)絡(luò)活動(dòng)的在線查閱；

實(shí)時(shí)統(tǒng)計(jì)和圖形顯示；

全面的"追根溯源（drill down）"報(bào)表；

聯(lián)機(jī)查詢和定時(shí)報(bào)表；

易于更新的監(jiān)視、阻塞和報(bào)警規(guī)則；

綜合的響應(yīng)和報(bào)警集合，包括實(shí)時(shí)干涉，預(yù)定義阻塞規(guī)則、第三方應(yīng)用啟動(dòng)響應(yīng)接口、以及不同的信息發(fā)送方式。

用于監(jiān)視和阻塞的全面URL站點(diǎn)分類和控制列表。

支持WEB自速率系統(tǒng)（RSACi）。

先進(jìn)的可疑小程序監(jiān)測(cè)（例如，Java/ActiveX引擎）。

綜合病毒掃描引擎和病毒庫(kù)。

完整的格式化內(nèi)容和附件瀏覽器。

電子文字模式內(nèi)容的掃描和阻塞；

菜單驅(qū)動(dòng)的自動(dòng)地址解析。

特殊的保密特性，可以對(duì)控制訪問權(quán)限提供登錄和管理的訪問控制。

SessionWall-3/eTrust Intrusion Detection的特點(diǎn)：

SessionWall-3/eTrust Intrusion Detection與大多數(shù)網(wǎng)絡(luò)保護(hù)產(chǎn)品不同，后者是生硬地安插在網(wǎng)絡(luò)通信路徑中的，而前者則是完全透明的，它不需要對(duì)網(wǎng)絡(luò)和地址做任何的變化，也不會(huì)給獨(dú)立于平臺(tái)的網(wǎng)絡(luò)帶來任何的傳輸延遲。

SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet網(wǎng)絡(luò)保護(hù)產(chǎn)品，它具備前所未有的訪問控制水平、用戶的透明度、性能、靈活性、適應(yīng)性和易用性。SessionWall-3/eTrust Intrusion Detection無(wú)需使用昂貴的UNIX主機(jī)，也避免了因非路由防火墻所造成的額外開銷。另外，SessionWall-3/eTrust Intrusion Detection還包括一個(gè)會(huì)話視窗，可以用于網(wǎng)絡(luò)入侵的監(jiān)視、審計(jì)，并可以為電子通信的濫用現(xiàn)象提供充分的證據(jù)。

技術(shù)規(guī)范

操作系統(tǒng)：Windows 95（OSR 2）， Windows 98或Windows NT 4.0（SP3以上）以上版本；

系統(tǒng)平臺(tái)：Intel Pentium 100MHz以上；

內(nèi)存：64MB RAM

磁盤空間：200MB可用空間

網(wǎng)絡(luò)接口：標(biāo)準(zhǔn)以太網(wǎng)/令牌環(huán)網(wǎng)/FDDI

軟件介質(zhì)：CD-ROM