天融信网络安全卫生NGIDS 技术白皮书

合集下载

IDS产品技术白皮书

I D S产品技术白皮书-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIUnisIDS技术白皮书1UnisIDS 简介1.1入侵检测系统概述1.1.1入侵检测系统分类不同于防止只针对具备一定条件入侵者进入的防火墙，入侵检测系统(IDS ，Intrusion Detection System)可以在系统内部定义各种hacking手段，进行实时监控的功能。

如果说防火墙是验证出入者身份的“大门”，那么 IDS相当于进行“无人自动监控”的闭路电视设备。

入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。

基于网络的入侵检测系统具有如下特点：通过分析网络上的数据包进行入侵检测入侵者难以消除入侵痕迹–监视资料将保存这些信息可以较早检测到通过网络的入侵可以检测到多种类型的入侵扫描–利用各种协议的脆弱点拒绝服务攻击–利用各种协议的脆弱点hacking代码规则匹配–识别各种服务命令可灵活运用为其他用途检测/防止错误网络活动分析、监控网络流量防止机密资料的流失图 1网络入侵检测模型而基于主机的入侵检测系统则具有以下的特点具有系统日志或者系统呼叫的功能可识别入侵成功与否可以跟踪、监视系统内部行为检测系统缓冲区溢出基于主机的入侵检测可以区分为基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)而清华紫光推出的UnisIDS入侵检测系统，实现了基于主机检测功能和基于网络检测功能的无缝集成，UnisIDS通过对系统事件和网络上传输的数据进行实时监视和分析，一旦发现可疑的入侵行为和异常数据包，立即报警并做出相应的响应，使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用，从而最大程度的降低系统安全风险，有效的保护系统的资源和数据。

1.1.2入侵检测系统技术组成因素如图 2所示入侵检测系统的处理过程分为数据采集阶段，数据处理及过滤阶段，入侵分析及检测阶段，报告以及响应阶段等 4 阶段。

产品说明&技术白皮书-天融信入侵防御系统产品说明

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

天融信网络卫士防火墙猎豹系列产品技术白皮书

3 猎豹系列防火墙功能及性能 ............................................................................................................. 7 3.1 产品功能.......................................................................................................................................... 7 3.2 运行环境与标准.............................................................................................................................. 9 3.3 产品规格与性能............................................................................................................................ 10 3.3.1 产品规格................................................................................................................................. 10 3.3.2 产品性能................................................................................................................................. 10

天融信网络卫士入侵防御IDP系列产品白皮书

天融信产品白皮书网络卫士入侵防御系统 TopIDP系列网络卫士入侵防御系统 TopIDP天融信公司为了满足市场上用户对入侵防御产品的需求，推出了“网络卫士入侵防御系统TopIDP”。

它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。

TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台，保证了TopIDP 产品更高性能地对网络入侵进行防护。

TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

入侵防御策略库随时防护目前业内最流行的入侵攻击行为。

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

强大的高性能多核并行处理架构TopIDP产品采用了先进的多核处理器硬件平台，将并行处理技术成功地融入到天融信自主知识产权操作系统TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核并发运算的架构技术体系。

在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。

图1 多核CPU内部运算示意图●精确的基于目标系统的流重组检测引擎传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击，任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器主机上形成真正的攻击。

TopIDP产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。

天融信安全管理平台TopAnalyzer产品白皮书

天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列安全运维管理中心TopAnalyzer随着信息安全建设的不断发展，信息网络和应用业务系统的安全涉及越来越多的方面，既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施，同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。

一个综合的、复杂的信息网络系统，它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞，安全策略的适用性等很多方面，都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。

同时，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。

因此，想要使这些信息网络安全设施能最大限度地发挥其安全保障功能，就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统，从全局的角度进行安全策略的管理，实时的事件监控及响应，为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告，从而使决策者能及时调整安全防护策略，恰当地进行网络优化，及时地部署安全措施，消除网络和系统中的问题和安全隐患。

只有这样，信息网络和业务应用系统才能真正地实现安全运行。

统一的网络与安全管理平台网络管理与安全管理无缝集成，为用户提供统一管理平台，有效降低客户总体拥有成本（TCO）。

系统支持全面的拓扑管理，包括自动的拓扑发现，网元状态监控，网元维护，集成的风险与事件展现界面。

同时支持多级管理，可对大规模的分层系统进行统一的管理。

集成的威胁与风险识别综合运用事件归一化与归并技术，关联分析，专家决策系统等不同层面的技术方案，为用户提供了一个集成化的威胁与风险识别的平台。

事件归一化与归并技术可将用户的海量数据大幅缩减，为进一步的数据挖掘做准备；基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发，可有效地帮助用户准确、实时的进行高精度威胁识别，并透过专家决策系统选择优化的解决方案。

天融信网络卫士入侵检测系统白皮书

安全推进应用
3
天融信网络卫士入侵检测系统技术白皮书
公司简介
北京天融信公司是中国网络安全行业的领先企业，是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业。同时天融信公司正向集团化、国际化迈进，努力成为中国网络安全领域内最优秀最具国际竞争力的企业。
天融信公司最早成立于 1995 年，目前公司总部设在北京，形成北京、武汉、成都三大研发中心，同时在上海、广州、西安、沈阳、成都、长沙、武汉等 29 个省市设有分支机构，拥有 500 多名信息安全专业研发、咨询与服务人员。
根据进行入侵分析的数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。
基于网络的入侵检测系统（NIDS）的数据来源为网络中传输的数据包及相关网络会话，通过这些数据和相关安全策略来进行入侵判断。
电子信箱：market@
安全推进应用
2
天融信网络卫士入侵检测系统技术白皮书
目
录
公司简介 .............................................................. 4
第 1 章入侵检测系统概述 ..................................................5
2000 年至 2003 年，天融信公司连续四年市场份额均居国内安全厂商之首。特别指出的是，国际权威咨询机构 IDC 统计：天融信 2003 年下半年防火墙市场份额达到了 17.28%，名列所有国内外安全厂商第一位，打破了国内安全厂商长期处于弱势地位的局面，为国内网络安全企业树立了新的里程碑。到目前为止，天融信公司拥有覆盖全国，涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。

天融信网络卫士入侵检测系统IDS产品白皮书

天融信产品白皮书网络卫士入侵检测系统 TopSentry系列网络卫士入侵检测 TopSentry天融信网络卫士入侵检测系统TopSentry经过多年的技术积累与创新，已成为天融信既防火墙和VPN之后的又一主力产品线。

据权威数据机构统计，网络卫士入侵检测系统国内市场占有率近两年来一直处于领先地位。

用户已覆盖能源、金融、烟草、电信等多个行业，并得到良好赞誉。

网络卫士入侵检测系统TopSentry采用多重检测、多层加速等多项天融信专有安全技术，更出色的降低了IDS产品的误报率、漏报率，有效提高了IDS的分析能力，使达到线速包捕获率成为可能。

天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS产品普遍存在的瓶颈问题。

多重检测技术综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，保证IDS检测准确性，极大地降低了漏报率与误报率。

◆误用检测（Misuse Detection ）：指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。

因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。

◆异常检测(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。

◆智能协议分析技术：天融信的智能协议分析技术充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在。

与非智能化的模式匹配相比，协议分析减少了误报的可能性。

与模式匹配系统中传统的穷举分析方法相比，在处理数据包和会话时更迅速、有效。

◆会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上进行检测分析。

而基于数据包的入侵检测技术只对每个数据包进行检查。

与基于数据包的入侵检测技术相比，准确率高。

天融信终端防护白皮书

网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用，各行业信息化办公已经得到普及。

各单位经过多年的信息化建设，单位内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备，但是由于业务运行保密性需求越来越高，边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题，主要体现在以下几方面：1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

TopSEC®天融信信息反馈目录1 产品概述 (1)2 产品特点 (1)3 产品功能 (5)4 运行环境与标准 (6)5 典型应用 (8)5.1 基本的典型应用 (8)5.2 多级管理部署方式 (8)1 产品概述网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。

北京天融信公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能和出色性能的入侵检测产品。

网络卫士入侵检测系统部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。

其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。

2 产品特点增强的多重入侵检测技术Ø网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，大大提高了准确度，减少了漏报、误报现象。

Ø采用基于协议分析的误用检测技术，实时跟踪各种系统、软件漏洞，并及时更新事件库，可以及时、准确地检测到各种已知攻击。

Ø网络卫士 IDS 建立了完备的异常统计分析模型，用户还可以根据实际网络环境适当调整相关参数，更加准确地检测到行为异常攻击。

并且，基于内置的强大协议解码器，网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。

Ø内置了遵循 RFC 规范，并基于对协议在实践中的具体执行过程的充分理解而建立的协议解码器。

通过详尽、细粒度的应用协议分析技术，提高了检测的准确性。

Ø有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中。

加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。

网络卫士 IDS能够维护完整的会话列表，并实时跟踪会话状态。

通过重组网络数据包、监控并分析会话状态，在有效地防止 IDS 规避攻击的同时，不仅可以减少误报和漏报，而且可以大大提高检测性能。

Ø天融信网络卫士安全管理系统（TSM）采用基于状态机的实时关联检测技术，对网络卫士 IDS 的报警事件和其他事件进行关联分析，有效地提高了 IDS 检测准确率。

Ø内置 2800 种以上入侵规则，提供对 DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。

Ø基于优化的 TCP/IP 协议栈及可疑网络活动（SNA）处理器，增强了 DoS、扫描等攻击事件检测能力。

高效的多层加速技术Ø采用专用的高速硬件平台，提供高速网络接口接入和全面优化的背板总线设计。

Ø具有基于专用底层硬件驱动优化技术的底层抓包加速引擎。

Ø通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，结合独有的流汇聚引擎，有效保证协议分析技术的应用。

Ø采用增强直接用户空间访问（EDUA）技术，网卡驱动程序与上层系统共享一块内存区域，网卡从网络上捕获到的数据报文直接传递给入侵检测系统，避免了数据的内存拷贝，不需要占用 CPU 资源，从而最大程度的将有限的 CPU 资源让给协议分析和模式匹配等进程去利用，提高了整体性能。

同时通过将用户空间中的大量内存空间映射到内核层的 DMA缓冲空间，从而使原来有限的 DMA缓冲空间得到有效扩展，解决了高峰期因缓冲空间有限而发生丢包的现象。

Ø多线程分散式重组引擎，大大提高了重组效率，解决了 IP 分片重组造成的性能瓶颈。

Ø采用高效的流定位及状态型的协议分析技术。

优化哈希（Hash）表查询，迅速定位每个报文所属 session；通过学习，模拟目标主机进行 TCP 流重组，有效的提高 TCP 流重组性能，并减少了误报；状态型的会话跟踪分析，优化了同一会话的检测速度；完整的协议分析，使得不需传统方式对每个数据包都进行检测，而是基于一个完整数据流进行分析。

Ø无缝集成的优化智能模式匹配算法。

协议解码器与模式匹配引擎采用无缝连接，在进行细粒度协议分析后进行高效的模式匹配，最大限度地提高性能。

强大的病毒蠕虫检测能力实时跟踪当前最新的蠕虫事件，针对当前已经发现的蠕虫攻击及时提供相关事件规则。

对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。

网络卫士入侵检测系统内置近千条的蠕虫检测规则。

SSL 加密访问检测技术通过解码基于 SSL 加密的访问数据，分析、检测 SSL加密访问中的攻击行为，从而可以保护内部提供 SSL加密访问的重要服务器的安全性。

强大的报文回放能力能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。

丰富的响应方式l控制台响应Ø报警：包括控制台报警、报警器报警、报警灯报警、焦点窗口报警、声音报警、邮件报警、手机短信报警等。

Ø日志保存：将日志保存在本地数据库或者远程数据库中。

l引擎响应Ø报警：向控制台发送报警信息、邮件报警、手机短信报警、报警器报警、 SNMP 报警、自定义程序报警等。

Ø联动：防火墙、路由器联动等。

Ø阻断：引擎主动阻断。

方便、灵活的策略编辑器内置多种策略模板，用户可根据实际网络环境灵活选择、应用。

策略编辑器简单、易用，便于管理员制定各种安全策略。

内置强大的协议解码器，用户可以灵活地自定义各种入侵规则，具有极强的扩展性。

灵活的部署方式支持控制台、引擎分离的分布式部署方式。

不仅支持基于 HUB 的共享环境、基于交换机镜像功能的交换环境，而且还支持基于专用的流量分流设备 TAP 的部署方案。

多层次、分级管理Ø引擎管理：产品构架为基于 C/S 模式的控制台与检测引擎分离的结构。

从控制台可以对引擎进行详尽的配置，同时向引擎分发升级更新文件，并可以控制引擎停止、重启等。

Ø数据库管理：支持多种数据库，包括本地 ACCESS 数据库、外挂 SQL SERVER 数据库。

可以对数据库日志进行有效的备份、删除、压缩和恢复操作。

Ø策略管理：内置了多种策略模板，在策略模板基础上，用户可以添加新的策略集，并可以对具体策略项进行编辑处理。

同时，支持策略集的导出和导入，便于控制台的迁移。

Ø升级管理：支持对事件特征库和系统的在线升级、文件包升级等升级方式，保证事件特征库和系统的及时更新。

3 产品功能功能描述采用高稳定、高安全、高效率、高扩展、模块化、多平台支持的TOS操作系统。

采用创新技术：综合应用会话分析、智能协议分析、异常状态检测等先进的检测技术。

入侵检测：系统内置 2800余种入侵检测规则，可以细粒度检测各种入侵攻击企图。

网络入侵阻断：系统可以阻断对特定服务器的访问或来自特定用户的服务。

灵活的响应方式：系统对所检测到的入侵企图和违背设定安全策略的活动提供了多种响应方式。

提供强大的病毒（蠕虫）检测功能及强大的可疑事件（SNA）检测能力。

安全功能与第三方安全产品联动功能：系统可通过TOPSEC或OPSEC等协议与第三方防火墙互动, 可以与Cisco 路由器互动，组成强大的联合防御体系。

支持与天融信安全审计系统（TA）、天融信安全管理系统（TSM）联动。

内置强大的、灵活的协议解码器，用户可根据需求灵活定义协议和各种入侵检测规则。

分级管理功能：支持大型分布式网络环境下的分级部署管理功能，即可支持多级控制台管理。

支持天融信可信网络架构（TNA）。

实时会话监控：提供实时监控当前TCP会话并根据需要进行切断、保存会话内容的功能。

实时系统监控：系统以图形方式实时监控 IDS 引擎的CPU、内存等资源信息及实时网监控功能络流量信息。

协议还原与内容监控：监控并还原邮件内容（POP3, SMTP, IMAP, WEB MAIL）；监控并记录WWW、FTP、TELNET等TCP会话的访问信息。

流量统计：提供基于各种协议的流量统计功能和基于访问端、服务端的流量统计功能。

报表与统计提供网络流量统计报表、丰富的入侵事件报表、针对当前系统设置的详细分析报表和用户自定义报表。

增强的安全性：系统提供了采集入侵相关信息、发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和内部的攻击；增强安全性增强的自身安全性：采用stealth技术，有效地防止暴露入侵检测系统的存在，控制台引擎间的通讯采用SSL加密认证，从而有效地保护了入侵检测系统自身的安全性。

简单、实用的图形化用户界面。

全中文的串口管理功能。

强大的在线帮助功能：提供强大的入侵规则及产品使用在线帮助，极大地减轻了管理管理功能员的负担。

便捷的升级功能：系统通过自身集成的在线升级模块方便地对入侵检测库和产品模块进行升级。

分布式探测与集中式管理相结合。

4 运行环境与标准电源：Ø百兆设备：电压：AC 110/220V频率：50/60HZ电流：5.0A（110v）/3.0A（220v） (最大)功率：250W (最大25摄氏度)Ø千兆设备：电压：AC 100~240V（±10%）频率：50/60HZ（±3HZ）电流：8.0~5.0A (最大)功率：350W (最大25摄氏度)环境：运行温度： 0 - 45 摄氏度非运行温度： -20 - 65 摄氏度相对湿度： 10 - 90%@40 摄氏度，非冷凝国家标准:GB/T18336-2001GA/T403.1-2002BMB13-2004GB/T9813-2000GB/T4857.5-1992参考的安全规范及标准(相对参考):UL 60950EN 61000IEC 950NEMKO EN 60950AS/NZS CISPR 22：2002 Class BCSA 22.2 NO.234 LEVEL 3FCC Part 15 Subpart J, Class ‘B’ 115VacECEN 55022：1998+A1：2000，ClassBEN 61000-3-2：2000EN 61000-3-3：1995+A1：2001CISPR 22：1997+A1：2000 Class B抗干扰性：IEC 61000-4-2：2001 （ESD ）IEC 61000-4-3：2002 （辐射敏感性）IEC 61000-4-4：1995 （电快速瞬变）IEC 61000-4-5：2001 （电源）IEC 61000-4-6：2001 （谐波）IEC 61000-4-8：2001IEC 61000-4-11：20015 典型应用5.1 基本的典型应用对于一般中小型企业的网络部署，TopSentry的监听口可通过端口镜象来同时监控内网和DMZ区的入侵，起到入侵检测的作用。