Система защиты от угроз Nortel Threat Protection System

Увеличить картинку

Обзор

Взяв за основу систему обнаружения вторжений на базе технологии SNORT, Nortel совместила ее с лучшим в отрасли коммутируемым межсетевым экраном для создания адаптивной системы защиты от угроз. Эта комбинированная система защищает сеть от нападений хакеров, атак, «червей» и вирусов.


Теперь эта технология дополнена многоуровневой линейной моделью системы предотвращения вторжений (IPS) и системой обнаружения угроз в реальном времени. Вместе эти системы обеспечивают:

  • Высокоскоростную предварительную обработку и анализ опасного трафика
  • Многоуровневую проверку и сканирование аномалий для обнаружения сложных и новых видов угроз
  • Работу базы данных сигнатур, создаваемой усилиями мирового сообщества пользователей SNORT
  • Получение информации из расширенных запросов и отчетов, что приводит к более надежной защите сети и позволяет оценивать соответствие требованиям структуры безопасности организации
  • Полная поддержка от Nortel, в том числе обновления подписей, делают систему защиты от угроз простой в установке и поддержке

Целевая аудитория

  • Средние и крупные организаций в таких областях, как здравоохранение, финансы, производство и транспорт, коммунальные службы, сферы обслуживания, правительственные учреждения, образовательные учреждения и высокотехнологичные производства, которые:
    • Должны соответствовать корпоративным и правительственным требованиям безопасности
    • Обеспокоены возможностью нападения «червей», вирусов и хакеров, которые могут вызвать перерывы в работе и принести реальные убытки
    • Ценят защищенный удаленный доступ для сотрудников, партнеров и клиентов
    • Нуждаются в современных средствах обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
    • Нуждаются в решениях безопасности, способных различать типы приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз
  • Сервисные организации, предлагающие услуги управляемой защиты предприятиям всех типов и размеров. Это может быть системный интегратор, поставщик комплексных решений, провайдер услуг, владелец недвижимости, правительственное учреждение или учрежденческое сервисное бюро в составе крупной международной компании. Требования к услугам:
    • Выполнение соглашений об уровне обслуживания и возможность демонстрировать эффективность и действенность политики безопасности
    • Получение достоверной информации об угрозах для планирования и устранения неисправностей – что влияет на прибыльность сервиса
      Защищенный удаленный доступ к нескольким доменам
    • Современные средства обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
    • Решения безопасности, способные различать типа приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз

Что нужно обеспечить

  • Количество инцидентов, относящихся к безопасности, возрастает — в 2004 году зафиксировано более 140 000 случаев.
  • Техническая изощренность и сложность атак возрастает.
  • Расширенное использование мобильности и различных технологий доступа дают злоумышленникам новые возможности обхода защитных структур сети.
  • Новые требования регулирующих органов и проверки систем корпоративной безопасности повышают необходимость в изучении и составлении отчетов по системе безопасности.

Типичные варианты применения

  • Обнаружение угроз при помощи сенсоров вторжения:
    • Многоуровневая проверка. Проверка полей протоколов на предмет специфических признаков нападения с использованием метода обнаружения на основе правил. Это помогает обнаружить угрозы, прячущиеся глубоко в потоке данных.
    • Обнаружение аномалий. Комплексный анализ протокола с сохранением результатов и нормализацией в ходе первичной обработки на коммутаторе. Это помогает обнаружить необычные изменения в потоке данных, которые возникают в результате сканирования портов, снятия отпечатков с IP-стека, атак, направленных на отказ в обслуживании и подмена информации протокола разрешения адресов (ARP).
  • Сбор информации об угрозах в реальном времени. Мониторинг и регистрация всех ресурсов и потоков трафика в сети – любых IP-адресов, которые могут являться источником или жертвой атаки. Результаты исследования угроз в реальном времени анализируются вместе с событиями, отмеченными сенсорами вторжения, и на их основе составляется очень подробный отчет об угрозах. Действия для блокировки или изоляции атаки могут быть предприняты немедленно в ручном или автоматическом режиме.
  • Анализ угроз:
    • Запросы и отчеты. Детальный анализ сигналов тревоги и событий. Позволяет администраторам оперативно реагировать на новые или текущие угрозы. Широкие возможности составления отчетов позволяют сопоставлять информацию о событиях для анализа, архивирования и выполнения требований регулирующих органов.
    • «Ловушки» и слежение. Администраторы имеют возможность помечать и отслеживать сессии, которые последовали за угрозой. Эта функция записывает всю последующую информацию и полезна при полном анализе воздействия, источника и цели атаки.
    • База данных по событиям. Высокопроизводительная база данных, доступная с консоли управления центра защиты, способна хранить миллионы событий. Поддержка всестороннего анализа помогает выделить долгосрочные тенденции в области безопасности. База данных устанавливается и конфигурируется предварительно, ее обслуживание производится автоматически. Это помогает администраторам сконцентрироваться на обобщении и анализе событий.
    • Реакция на угрозы:
      • Линейная защита от угроз. Линейные сенсоры вторжения производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
      • Адаптивная защита с обновлением в реальном времени. Оффлайновые сенсоры производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы на коммутируемые межсетевые экраны Nortel и коммутаторы приложений Application Switch обновления направляются в реальном времени. Опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
      • Управление политиками и контроль конфигураций. Центр защиты управляет политиками сенсоров, определяет реакцию на сигналы тревоги и уровни административных привилегий пользователям из единого центрального местоположения. Единый центр защиты поддерживает крупную иерархическую группу систем сбора информации об угрозах и сенсоров вторжения. Она обобщает и представляет данные о событиях, произошедших в пределах системы сенсоров. Для сопоставления и анализа угроз сети или приложений администраторами систем безопасности могут использоваться встроенные аналитические инструменты Центра защиты.

Схемы организации сети

  • Система защиты от угроз Nortel Threat Protection System
  • Система защиты от угроз Nortel Threat Protection System

Характеристики и преимущества

АртикулМодельОписание
EB1639140TPS 2050-ISСистема защиты от угроз Threat Protection System 2050 с сенсором вторжений, работающим на скорости 150 Мбит/c. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт.
EB1639141TPS 2070-ISСистема защиты от угроз Threat Protection System 2070 с сенсором вторжений, работающим на скорости 1 Гбит/c. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами.
EB1639142TPS 2070-DCСистема защиты от угроз Threat Protection System 2070 с консолью Центра защиты и программным обеспечением управления.
EB1639155TPS 2150-ISСистема защиты от угроз Threat Protection System 2150 с сенсором вторжений, работающим на скорости 100 Мбит/с, и обходным сетевым интерфейсом для линейной работы. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт.
EB1639156TPS 2170-ISСистема защиты от угроз Threat Protection System 2170 с сенсором вторжений, работающим на скорости 1000 Мбит/с, и обходным сетевым интерфейсом для линейной работы. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами.
EB1639158TPS 2050-TIСистема защиты от угроз Threat Protection System 2050 Threat Intelligence обрабатывает трафик на скорости 100 Мбит/с и поддерживает анализ угроз в реальном времени для 8192 узлов. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт.
EB1639159TPS 2070-TIСистема защиты от угроз Threat Protection System 2070 Threat Intelligence обрабатывает трафик на скорости 1000 Мбит/с и поддерживает анализ угроз в реальном времени для 65 000 узлов. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами.
EB1639160TPS-RTI-5Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — до 511 узлов.
EB1639161TPS-RTI-10Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 512 до 1023 узлов.
EB1639162TPS-RTI-20Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 1024 до 2047 узлов.
EB1639163TPS-RTI-40Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 2048 до 4095 узлов.
EB1639164TPS-RTI-80Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 4095 до 8191 узлов.
EB1639165TPS-RTI-160Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 8192 до 16 383 узлов.
EB1639166TPS-RTI-320Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — от 16 384 до 32 767 узлов.
EB1639167TPS-RTI-PlusЛицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence — более 32 768 узлов.

Интерфейсы

4 порта 10/100/1000 TX
Консольный порт RS-232C, разъем DB-9, DCE-интерфейс типа «мама» для внеполосного управления

Габариты

Высота 1,75” (4,44 см)
Ширина 17,61” (44,0 см)
Глубина 20” (50,8 см)
9,53 кг (устанавливается в стандартную 19-дюймовую стойку EIA, высота 1U)

Сетевые протоколы и совместимость со стандартами

10BASE-T/100BASE-TX/1000BASE-TX (IEEE 802.3-2000)
1000BASE-SX/LX (IEEE 802.3z)
Управление логическим каналом (IEEE 802.2)
Управление потоком (IEEE 802.3x)
Согласование канала (IEEE 802.3z)
IP (RFC 791)
ICMP (RFC 792)
ARP (RFC 826)
TFTP (RFC 783), FTP (RFC 959)
Telnet (RFC 854)
SSH v1/v2
SSL/TLS (RFC 2246 )
Bootp/DHCP Relay (RFC 2131)
SNMPv2c (RFC 1901, 1905, 1906, 1907, 2578, 2579, 2580)
SNMPv3 (RFC 2570, 2571, 2572, 2573, 2574, 2575)

Характеристики электропитания

Универсальный источник питания 100-240 В перем. тока, 3,5 А, 50-60 Гц
Максимальная потребляемая мощность 250 Вт
Среднее время наработки на отказ — >50 000 часов

Параметры окружающей среды

Рабочая температура — от 10° до 35° C
Рабочая влажность — от 8% до 80% (без конденсации)

Сертификаты

Электромагнитная совместимость: (требования к электромагнитной совместимости)

США: FCC Part 15, Subpart B Class A
Австралия: AS/NZS CISPR 22:2002
Канада: ICES-003
Япония: VCCI Class A
Европа: EN 300 386 v1.3.1 (2001-09)
Тайвань: BSMI Registration Certificate
Остальной мир : CISPR 22 Class A

Излучения:

США — FCC Class B
Канада — DOC Class B
Европа — CE Mark to EN55022/EN50082-1/ICE 801-2/ICE 801-3/ICE 801-4

Отраслевые:

EAL-4
OPSEC
ICSA

Безопасность

IEC 60950 (Международный стандарт)
Национальные отклонения по странам-участникам «Договора взаимного признания результатов сертификационных испытаний электрического оборудования» согласно IEC 60950
UL 1950 (США)
CSA 22.2, No. 950 (Канада)
EN 60950 (Европа)

Для того, чтобы получить дополнительную информацию и сформировать заказ отправьте в произвольной форме письмо на адрес HD@logictel.ru.