中华网络安全联盟    作者：未知    来源：网络    时间：2006-4-5

1.Cisco公司的NetRanger
　　
　　1996年3月，WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：监测网络包和发告警的传感器(9000美元)，以及接收并分析告警和启动对策的控制器(1万美元)。
　　
　　另外，至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程序。两者都运行Sun的Solaris。在软硬件平台中，传感器上可能要花费1.3万美元，控制器上要花费2.5万美元。
　　
　　NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道，EDS、Perot Systems、IBM Global Services都是其分销商。
　　
　　NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。
　　
　　NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。
　　
　　按照GartnerGroup公司的研究专家Jude O’Reilley的说法，NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。
　　
　　但是，对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心(NOC)使用，其配置需要对Unix有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲未必很适合。
　　
2.Network Associates公司的CyberCop
　　
　　Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权，将NetRanger的引擎和攻击模式数据库用在CyberCop中。
　　
　　CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元，服务器上的控制器为15000美元。但其平台却可以是运行Solaris 2.5.1的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元，控制器的平台要5000美元。
　　
　　另外，CyberCop被设计成一个网络应用程序，一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。
　　
　　前端设计成浏览器方式主要是考虑易于使用，发挥Network General在提炼包数据上的经验，用户使用时也易于查看和理解。像在Sniffer中一样，它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。
　　
　　按照CyberCop产品经理Katherine Stolz的说法，Network Associates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上，我们将成为整体解决方案的提供者。"
　　
3.Internet Security System公司的RealSecure
　　
　　按照GartnerGroup的O’Reilley的说法，RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似，RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。
　　
　　对于一个小型的系统，将引擎和控制台放在同一台机器上运行是可以的，但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元，控制台是免费的。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。
　　
　　RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法，ISS还计划使其能对Cisco的路由器进行重新配置，同时也正开发OpenView下的应用。

4.Intrusion Detection公司的Kane Security Monitor
　　
　　基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台)，在此基础上每个工作站代理报价295美元。
　　
　　按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法，KSM在TCP/IP监测方面特别强。但他也提到，Intrusion Detection的产品不是为较快的广域网设计的。
　　
　　公司的奠基人兼总裁Robert Kane说，Intrusion Detection在本季度将推出在OpenView下的应用，随后在年底将推出与Tivoli Management Environment(TME)的集成。将来，Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。
　　
5.Axent Technologies公司的OmniGuard/Intruder Alert
　　
　　与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元，每个工作站为95美元)。
　　
　　ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上运行，所有的部分在多种Unix下都能运行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。
　　
　　可以根据一些解决方案来剪裁ITA，这些解决方案可来自主流的操作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor，并将增强ITA，使其能对Raptor的防火墙进行重配置。

[1] [2] [3] 下一页