FlowEye安全域流监控系统是启明星辰集团检测产品本部，依托自身在安全行业多年的经验积累和技术沉淀，为适应信息安全技术发展的新趋势，适时推出的一款主动化安全运维管理系统。产品集网络访问行为监控、网络流量管理、监控、分析于一体，并提供专门的防火墙策略分析和梳理功能，可应用于网络异常行为分析、网络流量审计、异常流量分析、故障定位等，充分满足运维人员、安全服务人员的需求。

目前，系统已成功应用于运营商、金融、能源、军队、公安、政府、烟草、教育等多个领域，成功帮助众多客户实现了安全运维管理工作从被动向主动、安全建设路线从合规化向合规与实际需求相结合、网络威胁从被动响应向主动感知、主动干预的转变。

三、功能特性

n 流量采集

系统既支持端口镜像方式旁路采集原始网络报文，也具备采集Flow数据的能力。系统支持Netflow、Sflow、IPFIX数据交换格式。端口镜像流量采集功能由采集引擎提供，Flow数据采集功能则是由数据中心提供的。这意味着当只采集Flow数据时，用户可以直接利用其它网络设备发送Flow给数据中心，无需额外购买引擎，节省了成本。需要注意的是，系统的个别功能是基于原始网络报文实现的，因此用户需要综合考虑功能需求，选择最经济实用的流量采集方式。

系统采用分布式流量采集，数据集中存储、分析、展现的系统架构，因此用户可以将采集引擎部署到不同的位置，如网络出口、安全域之间、网络汇聚层、接入层等。用户还可以配置多个网络设备向数据中心发送flow。

n 数据存储

系统提供容量为6T~16T的磁盘存储空间，多块磁盘组成RAID阵列，可满足用户持久、可靠的流量存储需求。海量的数据存储能力也为用户全面、大跨度地做流量分析、审计、取证提供了保障。

系统的数据集中存储在数据中心，部分型号的采集引擎还提供专门用于存储原始网络报文的大容量的磁盘空间。

n 行为管理

l 黑白名单管理

系统提供按照黑白名单方式管理流量的功能。支持用户为访问关系配置黑白名单，用户可以预先在系统新建黑白名单，也可以从excel表导入。黑白名单由五元组定义，特别地，名单的IP地址对象可以配置地理位置。

系统基于用户配置的黑白名单访问关系，实时检测流量的合规性，并且用户可以在访问关系监控图上醒目地看到是否存在违规访问行为，是否存在未知的访问行为。对于未知的访问行为，系统会如实记录，用户可通过对未知访问行为的分析将其方便地在线确认为对应的名单类型。

l IP管理

所有的流量都是来自于IP节点，如果不能全面准确掌握IP情况，对流量的管理就缺乏条理性。系统从安全管理的角度将用户可管控的IP划分为可信的已知IP和不可信的未知IP；根据是否能从Internet访问，划分为暴露面IP和非暴露面IP。

系统提供的IP管理功能包括：

² IP库维护：系统包括两个库：已知IP库和未知IP库。已知IP库为可信IP，由用户手动建立维护；未知IP库为不可信IP，由系统自动建立。已知IP库除了IP地址信息外，还包括关联的设备信息，包括设备名、绑定的MAC地址、域名、操作系统、开放端口、承载的服务、所属业务系统、网络应用、是否为暴露面IP等。

² 未知IP检测：系统能够自动从网络报文中分析出未知IP，并报告用户。

² 暴露面IP检测：暴露面IP是指那些能够从Internet访问到的IP。相对于那些非暴露面IP而言，暴露面IP更容易成为攻击的目标，更应该被用户准确的了解。系统能够自动识别哪些IP地址是暴露面IP。

² 导入和导出：支持从excel表导入可信IP和IP分组，支持可信IP、不可信IP、IP分组的导出。导出时，支持全部导出或条件过滤导出。

² IP分组：支持用户手动建立IP分组并配置地址范围，系统能够依据分组对应的地址范围，自动将可信IP划归到对应的分组中，自动识别不可信IP对应的分组。方便了用户的管理。

² 自动探测：为了让用户维护的IP库的信息更全面真实、更便利，系统提供了操作系统和网络应用信息自动探测功能，可以自动探测操作系统类型及版本和网络应用软件（如tomcat、OpenSSH等）类型及版本。

n 行为监控

l 互联监控

系统提供的互联监控功能包括：

² 安全域互联监控：以拓扑图形式展现特定或全部安全域之间的互联关系及其黑白名单类型，支持监控图内容过滤，支持图形对象下钻，支持监控图的缩放、导出、打印等操作。

安全域互联监控图

² 境内、境外互联监控：以地图形式展现用户网络与境内外的互联情况，形象展示互联关系黑白名单类型、互联频次大小、互联关系连线可下钻。

境内互联监控图

境外互联监控图

l 流量监控

系统提供行为发生时的流量的趋势、Top10 IP、Top10应用监控功能，支持监控范围自定义，可自定义监控的IP范围、服务、端口、采集引擎及接口、流量方向等。

n 行为分析

l 基础数据

系统通过对网络报文或flow数据的解析，形成三类数据作为流量行为分析的基础：

² 流信息。支持TCP、UDP、ICMP三种最常见的流解析。流信息由基本信息和扩展信息构成。基本信息通过解析报文或flow得到，包括源和目的IP、源和目的端口、传输层协议、流起止时间、包数、会话时长、流量、MAC地址等；扩展信息包括IP地理位置、所属分组、设备名等，其中IP地理位置由系统自动提供。

² payload信息。支持Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP应用层协议的账号和指令解析。

² 网络报文。原始的网络报文，以pcap文件形式存储。

l 策略

系统支持用户通过配置策略控制流量的解析和存储。策略由五元组描述，其中IP地址支持配置地理位置，如境内、境外、某国、某省等，这对于那些无法用IP地址确切描述策略的场合十分有帮助。

系统支持的策略类型包括：

² 包存储策略。当配置了包存储策略后，系统将会把匹配到策略的网络报文忠实记录下来，记录下来的报文可以pcap文件形式下载到本地。例如通过配置策略，控制系统只记录源IP为境外，目的IP为核心域的SSH报文。

特别地，如果配置any存储策略，那么系统将实现全包存储功能。系统具备高性能的包存储能力。

² 协议解析策略。支持为Oracle、MS-SQL、Sybase、HTTP、Telnet、FTP应用层协议配置协议解析策略，配置协议解析策略后，系统将解析并记录协议的账号和操作指令信息。

² 过滤策略。当配置过滤策略后，系统将不会存储解析到的流信息，可节省存储空间，还有助于提升系统性能。这对于那些无法或不方便在交换机进行流量采集控制的场合十分有用。例如当用户在网络出口采集流量时，可以过滤掉与自己所负责网络无关的流量。

l 查询统计列表

系统提供一个强大灵活的流量查询引擎，查询结果列表展示，查询结果可导出excel表。

查询统计

用户可以通过设置过滤条件、归并条件、排序条件灵活控制流量统计范围、统计和排序方式。丰富灵活的查询、归并、排序条件不但可以满足典型的流量统计要求，也可以满足个性化的查询统计要求。例如用户可以IP、分组、地理区域、会话、协议、端口、服务等为考察对象，查询并统计它们的流量、会话数、会话时长、包数等，并且查询结果可以进行灵活的归并和排序，可以对查询结果深入挖掘。

系统支持的统计项包括：

² 流量

² 连接时长

² 会话频次

系统支持的流量过滤条件包括：

² 时间范围：统计任意天、周、月的流量

² 名单类型：统计黑名单流量、白名单流量、未知流量

² 采集引擎：统计某个采集引擎的流量

² 采集接口：统计采集引擎的某个接口的流量

² 区域类型：统计境内流量、境外流量、本地流量

² 协议：统计TCP流量、UDP流量、ICMP流量

² 端口：统计某个端口的流量

² 服务：统计单个或一组服务的流量

² IP地址：统计某个IP地址的流量

² IP分组：统计某个IP分组的流量

² 地理区域：统计境内某省或境外某国的流量

² 连接方向：统计连入或连出的流量，通常与IP地址、区域等组合使用

² 会话状态：统计全连接、半连接的流量

² 会话频次：统计符合特定频次条件的流量，查询互联关系时使用

² 流量：统计符合特定流量条件的流量

² 连接时长：统计符合特定会话时长条件的流量，查询互联关系时使用

以上条件可组合使用。

系统支持的查询结果归并条件包括：

² IP：区分源和目的，支持按照源IP对查询结果归并

² 目的IP：支持按照目的IP对查询结果归并

² 源IP分组：支持按照源IP分组对查询结果归并

² 目的IP分组：支持按照目的IP分组对查询结果归并

² 源IP区域：支持按照源IP所属地理位置对查询结果归并

² 目的IP区域：支持按照目的IP所属地理位置对查询结果归并

² 端口：支持按照目的端口对查询结果进行归并

² 协议：支持按照TCP、UDP、ICMP协议对查询结果归并

² 服务：支持按照服务对查询结果归并

以上归并条件可组合使用。

系统支持的查询结果排序条件包括：

² 源IP：支持按照源IP的升降序对查询结果排序

² 目的IP：支持按照目的IP的升降序对查询结果排序

² 频次：支持按照会话频次的升降序对查询结果排序

² 流量：支持按照流量的升降序对查询结果排序

² 连接时长：支持按照连接时长的升降序对查询结果排序

以上排序条件可组合使用。组合使用时，可以选择排序的优先级。

系统还内置了三个分类查询统计功能，包括：

² 境外流量查询统计

² 境内流量查询统计

² 本地流量查询统计

特别是境内和境外流量查询统计功能，结合系统的流量黑白名单功能及用户的业务特点，对于发现木马、蠕虫、密码暴力破解、数据窃取等安全事件往往能起到事半功倍的效果。

l 统计分析图表

系统除了提供一个强大灵活的查询统计引擎，方便用户制定分析策略外，还提供了多种统计分析图表，包括：

² 黑、白名单访问频次Top10

² 黑、白名单访问频次趋势图

² 访问频次连入和连出Top10 IP

² IP连入和连出频次趋势图

² 流量Top10 服务

² 流量Top10 IP

² 流量趋势图

² 流量占比图

² 安全域访问关系图

² 境内和境外访问关系图

l 流量行为报表

系统支持流量报表的自定义。支持报表导出为pdf、word、html、excel多种格式，支持报表计划。

n 异常行为检测

系统依托自身存储的海量网络流行为信息，通过分析流量的行为特征，能够发现多种异常流量，包括：

² *木马通道检测

² *ARP欺骗检测

² 网络扫描行为检测

² 蠕虫检测

² DDoS攻击检测

当系统检测到异常流量行为时，系统会根据用户配置的告警方式及时报告给用户。

对于木马通道检测，有别于基于特征库的检测技术，系统是通过检测流量的行为判断是否为木马C&C通道流量，因此能够检测未知木马威胁。

*标记项仅端口镜像方式支持。

n 防火墙策略管理

l 防火墙支持

防火墙的策略统计和分析需要预先导入并解析防火墙的配置文件，当前支持以下防火墙配置文件的解析：

² 天清汉马防火墙

² 网御星云Power V（3602版本）

² Juniper防火墙

² Fortinet防火墙

² 思科防火墙

² 网神防火墙

² 华为防火墙

² H3C防火墙

² 东软防火墙

² 迪普防火墙

² 山石防火墙

² 天融信防火墙

² 神州数码防火墙

l 策略统计

系统提供策略分类统计功能，包括：

² 启用和禁用策略数统计

² 放行和阻断策略数统计

² any服务和any地址策略数统计

² 策略总数统计

l 策略分析及报告

系统能够对策略配置问题和使用情况进行分析，并能够生成分析报告。

对于策略配置问题，系统能够分析出：

n 哪条策略是冗余策略。对于任意一条策略，如果在它之前存在五元组和动作与它完全相同的策略，则该策略称为冗余策略。

n 哪两条策略是冲突策略。对于任意两条策略，如果它们的五元组完全相同，但动作相反的策略，则这两条策略产生冲突。

n 哪两条策略是交叉策略，并指出交叉项。对于任意两条策略，如果它们的五元组部分相同，则这两条策略就存在交叉关系。

n 哪两条策略可以合并，并指出可合并项。

n 哪条策略是宽松策略及宽松项。宽松策略是指由于策略的IP地址或端口等配置的范围太大，而导致违背“安全最小化”原则的策略，如Any地址或any服务策略。

n 哪条策略是不活跃策略。不活跃策略是指没有流量命中的策略。

对于策略使用情况，系统能够分析出：

n 策略的命中次数及对应的流量。

n 系统默认策略（非用户配置的策略）与流量的对应关系。通常流量没有命中任何用户配置的策略时，系统会做默认处理（放行或阻断），通过查看那些对应的流量可以发现默认策略是否配置合理、是否存在试图绕过防火墙的行为等。

分析结果可以生成报告并导出。

l 策略梳理

系统提供基于流量和安全域配置的策略自动梳理功能，对于还没有配置策略的新防火墙，用户可以借助该功能快速梳理出一个基础策略，再经过适当调整后应用到防火墙。

策略梳理功能包括：

² 策略自动梳理。

² 对自动梳理结果的调整。

² 策略对应流量的查看，便于用户依据真实流量对自动梳理出来的策略进行调整。

² 梳理结果导出。

l 集中管理

系统支持集中管理不同防火墙的策略配置和同一台防火墙不同时间点的策略快照。

n 配置管理

系统支持SSH、HTTP/HTTPS、telnet（默认禁止）、串口管理方式。提供资源监控、用户管理、引擎管理、时间管理、备份恢复等管理功能，并提供操作日志及查询功能。

l 告警方式

支持syslog、Email、Web页面告警方式。

l IP分组

支持IP分组。IP分组既方便用户管理IP，还可能有助于防火墙策略梳理的准确性（当以安全域的角度建立IP分组时）。

l 服务自定义

系统内置了667种标准服务，支持用户配置协议+端口的形式自定义服务。

l 用户管理

支持功能授权。管理员可以将每个页面访问和操作权限为单位，将操作权限分配给每个用户。

支持三权分立和非三权分立模式的管理。三权分立模式下内置系统管理员、系统操作员、报表操作员三个角色

支持密码安全策略。可以配置密码强度、有效期、锁定时间、登录IP限制。

l 资源监控

支持对内存、磁盘、CPU、接口等关键资源的实时监控。

l 管理方式

提供Web页面和命令行两种管理方式。Web页面管理支持http和https方式。命令行支持SSH、Telnet、串口方式。

四、关键技术

n 灵活的流量采集

支持端口镜像和flow两种主流的流量采集方式，用户可根据实际需求自主选择。

n 基于行为的检测

系统的异常流量检测全部采用基于流量的行为分析技术，不需要特征库，可以应对已知和未知威胁。

n 高性能抓包

根据磁盘的工作原理，对包存储算法进行优化，抓包存储性能接近千兆。

n 数据聚合

预先对基础数据按照不同主题进行聚合处理，保证用户查询的快速响应。

n 可视化

系统采用地图、拓扑图、柱状图、饼状图、趋势图等数据可视化展现技术，使得数据展现更直观，监控分析工作更轻松。

n IP地理定位

系统采用IP地理定位技术，不但增强了数据的可读性和关联性，更丰富了数据分析的视角。

n 协议解析

系统支持Oracle 8i、Oracle 9i、Oracle 10g、Oracle 11g、MS-SQL、Sybase、telnet、ftp、http等协议的内容解析，用户的操作细节一目了然。

n 高性能流量采集

系统采用高性能的驱动零拷贝技术，实现了驱动到应用程序的快速收包，系统的性能优势十分明显。

n 灵活的策略分析

既支持基于策略配置文件的防火墙策略基本分析，也支持基于流量和策略配置文件的全面分析。

n 丰富的防火墙支持

支持国内外13种常见防火墙的策略分析。

n 智能策略梳理

采用基于流量和安全域配置的策略智能梳理技术，解决了用户为新防火墙快速配置策略的难题。

五、产品部署

系统采用流量采集引擎分布式旁路部署，和数据中心集中存储、分析、展现部署。

端口镜像部署方案

Flow部署方案

六、产品优势

n 无干扰式部署

系统采用旁路分布式部署方式采集流量，对用户网络无任何影响。

n 数据丰富

系统不但具有海量的数据存储能力，还提供从基本的流信息到会话内容，到最原始的网络包等不同粒度的数据。除了这些来自数据包的信息外，还提供了地理位置信息、IP分组信息、设备名字等更加易读的关联信息。

n 分析灵活

系统提供灵活的查询分析手段，支持丰富的查询条件及组合，以及丰富的查询结果分组和排序，可满足用户灵活多样的数据分析要求。

n 名单策略配置灵活

系统不但支持名单和策略的IP地址引用具体IP，更支持IP地址引用地理区域。这对于那些无法确切描述IP地址，但可以描述地理区域的场合十分方便。如用户可以轻松地配置出Internet到本地网络、某国到本地网络等等这样的策略。

n 未知木马流量检测

系统采用基于木马流量行为的技术检测木马，不但可以应对已知木马，也可以应对未知木马。

n 可视化展现

系统通过地图、拓扑图、柱状图、饼状图、趋势图等多种方式实现数据展现，展现的数据更加直观易懂。

n 操作简单

秉承启明星辰“让安全变得简单”的理念，除了必要的IP配置外，系统几乎不需要用户做任何配置即可投入运行。

上一篇：防火墙策略监控分析平台白皮书

下一篇： Dell Storage SCv3000存储阵列_ZH_CN

联系我们

深圳市安腾达科技有限公司

电话：0755-22663188

地址：深圳市南山区深圳湾科技生态园12栋B座737

销售部：谢先生13662290538

邮箱：lbxie@serverchina.com.cn

在线留言

姓名

电话

留言

提交

客服热线

0755-22663188

社区:

FlowEye安全域流监控产品白皮书

一、 前言

二、 产品概述

三、 功能特性