一、产品定位和功能描述

　　Symantec Network Security 7100 系列产品可以实时提供网络入侵防御和检测，以保护企业重要资产免受已知的、未知的（零日）和 DoS 攻击的威胁。　　Symantec Network Security 7100 系列设备运用了新型网络威胁防护架构 - 整合式入侵防御网络引擎（IMUNE），该架构将异常、特征、统计和漏洞攻击拦截技术整合到一个功能强大的防护引擎中，从而预先加强自身对恶意攻击的免疫功能。
该系列提供了三种型号：7120、7160 和 7161。所以，无论是分支机构、分布式站点，还是网络核心或骨干网存在网络安全需求，该系列设备都能很好地满足企业的各种部署要求。

• 7120 型号提供了 200Mbps 的吞吐量，最多可监视 4 个 10/100 网段。
• 7160 型号提供了 2Gbps 的吞吐量，最多可监视 8 个 10/100/1000 铜缆网段。
• 7161 型号与 7160 类似，最多可监视 4 个 10/100/1000 铜缆网段和 4 个 1000 Base-SX 光纤网段。

注意：实际监视率可能会有所不同，具体取决于系统配置。
Symantec Network Security 7100 系列设备通过简化部署、集中式管理以及整合的、改进的安全内容、服务和支持，可以减少实施一个完整的网络安全解决方案所需的总成本。

二、产品工作模式

1、工作原理

　　IDS的工作原理
基于网络的 IDS 通过将网络接口卡设置为混杂模式，来捕捉和分析在网段上传递的数据包。每个只负责查看自己所连接网段上传递的数据包，从而保护连接在此网段上的多个主机。必须监控重要的网段，或者重要的网段必须位于边界设备（例如可以检查子网内所有数据包的交换机）上。典型网络部署由一个或多个进行局部分析并向集中式控制台报告攻击信息的组成。
IPS的工作原理
IPS的检测方式与IDS相同，但是IPS的优势体现在他能直接拦截非法请求，而不是简单的报警。

　　分析框架可以参考各种事故以确定应该采用哪些措施。分析框架是一组数据库，包括安全性“智能”，其中又包括动态统计措施、当前事件追踪、网络拓扑以及用户可定义的策略和配置。此外，所有的日志都存储在分析框架中。管理GUI可以直接同分析框架通信以执行很多功能，包括配置SNS设备以及监控当前和过去的事故。

　 SNS 7100系列的所配备网卡接口有三种类型，

• 管理端口（有IP地址，不能监听）
• 监控网卡（无IP地址，工作在混杂模式(promiscuous mode)下，仅用于收集对应交换机端口的数据包）。
• TCP Reset发送端口（无IP地址，只用于发送TCP Reset包）

　　这三种类型，均在出厂时已经设定完毕，用户无法将其改作他用。
管理端口，监控网卡，TCP Reset发送端口不同的型号配置如下：
SNS 7120 ：　　　1/4/1
SNS 7160/7161：　1/8/3
用户在本地运行SNS 主控端软件，远程与SNS设备的管理端口建立连接，进行操作配置和事件查看。
Symantec Network Security 7100系列产品所运行的软件平台是Symantec Network Security 4.0,他是Symantec Manhunt 3.0的升级版本。在4.0版本中，赛门铁克在产品设计时，做了重大改进，使得针对未知攻击的检测和响应更为准确，减轻以往IDS产品的固有的对人为干预的依赖。SNS 的主要任务是发现异常或未经授权的网络访问，并对其行为进行分析，并依此做出适当的响应。SNS通过三个核心模块来完成这些功能：检测、分析、响应。
　　　　

检测
Symantec Network Security 7100 系列设备采用创新的入侵防范统一网络引擎 （IMUNE），对网络中传送的数据进行分析判断，并对恶意访问做出及时响应。
Symantec Network Security 7100系列最多可支持八个接口，允许企业监视更多的网段。三种型号支持从 50Mbps 到 2Gbps 的总网络带宽（IPS模式下最高到1.25Gbps），可满足分支机构、分布式站点和网络核心的不同部署需求。

• IMUNE 系统 – 包括一系列的检测技术，可以检测已知和未知威胁，如蠕虫、扫描活动、探查活动、拒绝服务攻击、后门、缓冲溢出攻击和碎片攻击

－ 协议异常检测(Protocol Anomaly Detection) – 检测没有已知或已披露漏洞方面知识的攻击。
－ 漏洞攻击拦截 － 防御已知和未知（或零日）蠕虫以及对已公布漏洞的利用。
－ 通信流检测（流量规则） － 检测网络行为和使用策略违规，以确定是否违反了公司网络使用策略。
－ 即时消息和点对点通信 – 检测是否存在即时消息和对等通信。
－ IPV6 隧道通信识别 – 检测通过隧道穿透网络的 Ipv6 通信，指明可能发生的策略违规或入侵。
－ 增强的攻击特征描述语言 － 更准确有效的检测攻击和威胁。
分析
Symantec Network Security 的分析和关联引擎成功地应用于网络中发生的大量事件，并在具体环境下评估事件。如果公司的关键资产受到攻击，为了对攻击做出有效和快速的响应，时间和知识是很关键的。实时的事件集合、关联和分析使得 Symantec Network Security能从遍布企业的安全设备中收集事件，并能在事件发生时利用先进的事件关联和分析来快速确认事件。这大大减少了传统上安全人员所要进行的工作，让他们有时间应对更复杂的入侵调查和策略工作，而不是花费时间检查不相关的事件日志。
从第三方的安全设备收集事件使 Symantec Network Security 能扩展威胁管理的范围超越由主机收集的事件，从而覆盖整个企业。
这些事件源包括：

• Cisco IDS
• Snort
• TripWire
• Dragon IDS
• ISS RealSecure
• NetScreen Firewalls
• CheckPoint Firewalls

响应
Symantec Network Security 7100 系列设备提供了实时主动的网络入侵防御，可以保护企业网络，并减少由已知和未知（或零日）攻击以及蠕虫造成的业务破坏。
Symantec Network Security有两种工作模式:

• 被动监控模式,即传统的IDS工作模式,
• 自动防御模式,即IPS模式.

　　SNS 7100系列可以提供灵活的部署方案，包括支持多个内嵌对或监视同一设备中的被动和内嵌段，从而可以采用不同的安全策略应对变化的网络。
在通常的IDS部署模式下,SNS 7100可以产生各种报警信息,包括发送邮件给管理员。在IPS模式下，安全人员可以确保，根据安全策略和业务需求，威胁已被阻止或已警告。

　　SNS 7100 除了能发送讯息提示管理员外，还能够完成一些辅助工作来帮助管理员，快速定位攻击源、攻击手段。一般情况下，当管理员发现需要查找攻击源时，通常会发现地址欺骗，采用的传统方法是人工查询路由器，搜索相关数据流。这是非常艰苦的工作，即使熟练的网络工程师也可能需要数小时乃至数天。使用 FlowChaser 技术以及 TrackBack，Symantec Network Security能快速和自动地追踪攻击（即使是那些经过伪装或映射的攻击）直到网络的入口。这使企业能快速反应并有效地阻止拒绝服务攻击，这些攻击严重影响带宽和服务可用性。此外，基于策略的响应、有效负载检查和支持 CVE 命名规则等特性为安全人员提供了足够的信息来发现即使是最轻微的攻击。

　　SNS 7100还提供专门的TCP Reset发送端口，这些TCP Reset发送端口没有绑定TCP/IP协议堆栈，也没有IP地址，只能完成发送终止会话工作，使得IDS始终处在隐蔽的位置。这样入侵者就无法在入侵会话被终断时，追踪到IDS的位置，保护了IDS自身的安全，还能达到完整监控入侵全过程的目的。

２、产品部署模式

SNS 7100的工作方式有两种：

　1、IDS模式（入侵检测）　　　　

基于网络的入侵检测系统一般部署在某一个网段上，监视和检测该网段所有的数据流量，如企业的Internet出口处、DMZ区以及重要的服务器所在的子网等。

2、IPS模式（入侵防御）

IPS模式，可以有不同的响应动作，报警和拦截模式，用户可以使用“单击防御”技术在这两种模式间切换。

报警模式：串接在网络上，发现可疑行为后发出报警通知管理员，不拦截会话。  

　　
报警模式示意图

拦截模式：直接串接在网络上，发现恶意攻击、非法请求，立即拦截．
　　
拦截模式示意图

为防止单点故障，可通过Symantec Inline ByPass Unit配合SNS一起工作，在SNS出现问题时，ByPass Unit可以接管数据通讯，保证网络的畅通无阻。
　　
透明模式下，故障转移实现模式图

网卡分组部署

在复杂一点的网络中，可能会出现数据包传送路径不对称的情况，即进/出网络的数据包分别通过不同的物理设备传送，对于这样的网络，SNS 7100需要针对不同的网络情况进行部署，
　　
针对非对称路由的网络环境，SNS 7100可以通过将一台7100设备上2至4块网卡归并为一组的网卡分组（Interface Grouping）的方式来进行监控。这样这些网卡上收集到的事件会被归并成一个数据通讯流，和从单一监听网卡上收集到的事件是一模一样。
网卡分组模示部署示意图  

高可用性部署

在IDS监控模式下，7100设备可以部署成故障保护模式实现高可用性（high availability）. 一台主设备和后备设备同时被配置成监听同一网段，一旦主设备失效，后备设备马上接管入侵监测任务,直至主设备恢复正常，重新上线。
　　

三、、产品主要特性和优点

预先减低风险

Symantec Network Security 7100 系列设备可预先阻止安全威胁和防止蠕虫在组织网络内进行传播。
单击防御
只需简单的鼠标单击，即可将Symantec Network Security 7100从检测设备转换为防御工具。
内嵌(Inline Mode)会话阻止
内嵌时，安全人员可以确保，根据安全策略和业务需求，威胁已被阻止或已警告。
灵活的入侵防御部署选项，包括支持多个内嵌对或监视同一设备中的被动和内嵌段，从而可以采用不同的安全策略应对变化的网络。
防火墙黑名单
Symantec Network Security 7100 系列设备可通过给 Symantec Enterprise Firewall 和 Symantec Gateway Security 5400 系列设备发送限制策略，将入侵防御措施扩展至外围网关。
优点：
有助于防止安全威胁和攻击。
扩展入侵防御至网络外围。

网络威胁缓解构架

Symantec Network Security 7100 系列设备运用了整合式入侵防御网络引擎 (IMUNE) 架构，使安全人员能够较准确地阻止网络威胁和蠕虫。IMUNE 系统包括的一系列检测技术可以检测已知和未知威胁，如蠕虫、扫描活动、探查活动、拒绝服务攻击、后门、缓冲溢出攻击和碎片攻击。

• 协议异常检测 – 在未掌握已知或已公开的漏洞方面的知识的情况下检测出零日攻击。
• 漏洞攻击拦截 －针对已公开但尚未被具体利用的漏洞采取特定防御措施。
• 通信流检测（流规则） － 检测网络行为和使用策略违规。用于确定是否违反了公司的网络使用策略。
• 即时消息和对等通信 – 提供了检测是否存在即时消息和对等通信的功能。
• IPv6 隧道通信识别 – 可以检测通过隧道穿透网络的 IPv6 通信，从而指明可能发生的策略违规或入侵。
• 增强的特征语言 － 更准确有效的检测攻击。

此外，IMUNE 系统还支持自定义特征、扫描活动、侦察和探查检测、拒绝服务攻击检测、后门检测以及逃避配置，从而加强了客户对抵制逃避或碎片攻击的信息。
优点：
为保护网络提供更快、更准确的检测和响应时间。

设备同时实现被动和内嵌监视

如果同时部署了主设备和备份设备，Symantec Network Security 将可以提供连续的网络监视。如果主设备停止运作，将使用备份设备继续防护。
支持非对称路由环境 － 可以对非对称路由网络实施攻击检测。

• 设备维护简单易行 － 可以根据企业需求和部署方案选择配置选项。

优点：
提供灵活的部署选项，以便根据客户安全策略和业务需求实施入侵检测或入侵防御。

自动更新/赛门铁克安全内容

借助 LiveUpdate安全内容，可以自动保护企业免受威胁的攻击。赛门铁克利用 Symantec DeepSight威胁信息和 Symantec Security Response，将先进的专业技术集成到安全解决方案中。用户可以选择自动应用赛门铁克倍受信赖的 LiveUpdate 技术，即自动运行该解决方案的实时保护功能，从而帮助您在威胁来到之前采取防御措施。
优点：

• 简化了入侵防护的实施，从而加快了对安全事故的响应速度。
• 有助于实施无需人为干预的最佳防护。

安全的策略管理

借助强大而周密的策略管理，安全工作人员可以根据安全策略和业务需求定制防护方案，还可以针对每种设备设置通用或个性化的策略。对于那些基于威胁类别、严重程度、意图、可靠性和受保护资源的状况所建立的策略，您可以根据网络状况或预定策略进行适当的调整，让其符合网络安全配置方面的防护要求。
优点：
允许客户根据自己的安全策略和业务需求定制防护方案。
允许客户基于每个传感器（包括内嵌和被动监控传感器）设置通用或个性化的策略。
在被动监控模式下，可以灵活选择是忽略网络安全事件，还是对网络安全事件发出警报并自动做出响应。

可伸缩的集中性管理

使用 Symantec Network Security 7100 系列的 Appliance Management Console 4.0，可以远程对所有 Symantec Network Security 7100 系列设备实施安全的管理。
管理控制台：
实现控制台与多达 120 台的 Symantec Network Security 7100 系列设备之间的加密通信；
能够定义管理用户，并授予他们不同级别的访问权限；
提供从执行摘要到详细事件报告的多级企业报告。
优点：
能够满足中小型、大型和跨国企业等不同规模的企业的管理需求。
安全工作人员可以评估和报告网络基础架构安全的整体有效性。

实时威胁分析

Symantec Network Security 采用多个传感器在企业内部收集威胁情报，可以快速、自动地侦察威胁趋势，并识别新出现的相关事件。借助可以自定义的事件关联视图，可以大幅减少安全工作人员识别威胁时所需投入的精力，从而提高了管理人员的工作效率。借助数据包和会话的捕获与回放功能（其中，恶意流和会话可以用于取证分析和存储），安全工作人员可以对关联事件进行深入的分析。
优点：
有助于提高管理员的工作效率，让其有更多的时间来研究较为复杂的入侵并采取相应的补救措施。
能够过滤掉多余的数据，从而在识别威胁的同时，不会造成数据过载。

多种入侵检测产品集中管理

Symantec Network Security Smart Agents 可以收集、汇总并响应来自赛门铁克及第三方的多个主机与网络安全产品的事件，从而实现企业级的多来源入侵管理。
优点：
快速识别来自企业内部多个事件源的威胁，从而减少对重要资产的潜在破坏。

与Symantec Enterprise Security Architecture 2.0 的集成

Symantec Network Security 利用了业界领先的 Symantec Enterprise Security Architecture (SESA) 2.0 的强大功能。SESA 中继可以与各种网络管理框架（如 HP OpenView 和 IBM Tivoli）进行集成。通过与 Symantec Event Manager for Intrusion Protection 相集成，企业可以利用企业级事件集合、日志记录和报告功能。生成的报告的格式可以是文本、HTML 和 PDF，报告可以随电子邮件发送，也可以进行保存或打印。此外，还可以使用安全副本将定期报告归档到远程计算机上。
优点：
企业可以评估安全基础架构的整体有效性，实现运营目标，以及在企业内部发布安全信息。

四、产品性能指标

五、系统最低硬件配置要求

设备
Symantec Network Security 7100 系列是一个带有预装软件组件的自包含系统，因而对系统要求没有最低限制。
主控端软件
Symantec Network Security Management Console 4.0

Symantec Network Security Imaging Server（自动）

• 兼容 Intel 处理器的标准 PC 或笔记本电脑
• 必须能通过光盘启动
• 可以运行任何操作系统
• 10/100 Base-T 接口
• CD-ROM 或 CD-RW 驱动器
• 可以与包含现有 DHCP 服务器的任何网络断开连接

Symantec Network Security Imaging Server（标准）

• 兼容 Intel 处理器的标准 PC 或笔记本电脑
• Red Hat Linux 8.0 或 9.0
• 10/100 Base-T 接口 CD-ROM 或 CD-RW 驱动器

六、术语表

七、产品操作界面图例

1．登录窗口 　　　　　　　　　　

2．透明内嵌模式状态

3．事件、事故窗口

4．策略配置窗口