1.Cisco公司的NetRanger
1996年3月,WheelGroup基於多年的業界經驗推出了NetRanger。產品分為兩部分:監測網絡包和發告警的傳感器(9000美元),以及接收並分析告警和啟動對策的控制器(1萬美元)。
另外,至少還需要一台奔騰PC來跑傳感器程序以及一台Sun SparcStation通過OpenView或NetVIEw來跑控制器程序。兩者都運行Sun的Solaris。在軟硬件平台中,傳感器上可能要花費1.3萬美元,控制器上要花費2.5萬美元。
NetRanger以其高性能而聞名,而且它還非常易於裁剪。控制器程序可以綜合多站點的信息並監視散布在整個企業網上的攻擊。NetRanger的最大名聲在於其是針對企業而設計的。這種名聲的標志之一是其分銷渠道,EDS、Perot Systems、IBM Global Services都是其分銷商。
NetRanger在全球廣域網上運行很成功。例如,它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了,信息可以從備份路徑上傳過來。它甚至能做到從一個點上監測全網或把監測權轉給第三方。
NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內容,而且還看上下文,即從多個包中得到線索。這是很重要的一點,因為入侵者可能以字符模式存取一個端口,然後在每個包中只放一個字符。如果一個監測器只觀察單個包,它就永遠不會發現完整的信息。
按照GartnerGroup公司的研究專家Jude O'Reilley的說法,NetRanger是目前市場上基於網絡的入侵檢測軟件中經受實踐考驗最多的產品之一。
但是,對於某些用戶來講,NetRanger的強項也可能正好是其不足。它被設計為集成在OpenView或NetVIEw下,在網絡運行中心(NOC)使用,其配置需要對Unix有詳細的了解。NetRanger相對較昂貴,這對於一般的局域網來講未必很適合。
2.Network Associates公司的CyberCop
Network Associates 公司是1977年由以做Sniffer類探測器聞名的Network General公司與以做反病毒產品為專業的 McAfee Associates公司合並而成的。NetWork Associates從Cisco那裡取得授權,將NetRanger的引擎和攻擊模式數據庫用在CyberCop中。
CyberCop基本上可以認為是NetRanger的局域網管理員版。這些局域網管理員正是NetWork Associates的主要客戶群。其軟件價格比NetRanger還貴:傳感器為9000美元,服務器上的控制器為15000美元。但其平台卻可以是運行Solaris 2.5.1的Dell PC(通常CyberCop是預裝在裡面的)。跑傳感器的平台一般要3000美元,控制器的平台要5000美元。
另外,CyberCop被設計成一個網絡應用程序,一般在20分鐘內就可以安裝完畢。它預設了6種通常的配置模式:Windows NT和Unix的混合子網、Unix子網、NT子網、遠程訪問、前沿網(如Internet的接入系統)和骨干網。它沒有Netware的配置。
前端設計成浏覽器方式主要是考慮易於使用,發揮Network General在提煉包數據上的經驗,用戶使用時也易於查看和理解。像在Sniffer中一樣,它在幫助文檔裡結合了專家知識。CyberCop還能生成可以被 Sniffer識別的蹤跡文件。與NetRanger相比,CyberCop缺乏一些企業應用的特征,如路徑備份功能等。
按照CyberCop產品經理Katherine Stolz的說法,Network Associates公司在安全領域將有一系列的舉措和合作。"我們定位在大規模的安全上,我們將成為整體解決方案的提供者。"
3.Internet Security System公司的RealSecure
按照GartnerGroup的O'Reilley的說法,RealSecure的優勢在於其簡潔性和低價格。與NetRanger和CyberCop類似,RealSecure在結構上也是兩部分。引擎部分負責監測信息包並生成告警,控制台接收報警並作為配置及產生數據庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上運行,並可以在混合的操作系統或匹配的操作系統環境下使用。它們都能在商用微機上運行。
對於一個小型的系統,將引擎和控制台放在同一台機器上運行是可以的,但這對於NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元,控制台是免費的。一個引擎可以向多個控制台報告,一個控制台也可以管理多個引擎。
