网络监控与入侵检测系统.pdf

NetWatch 网络监控和入侵检测系统 无锡天骄科技有限公司() NetWatch 网络监控和入侵检测系统 一、 简单介绍 NetWatch 是一个能对企业网络进行实时监控、对关键访问进行实时记录、并可以自动和手动切断网络连接、手动孤立和堵塞 网络主机、防止ARP 欺骗、具备企业级的入侵检测功能、具有多种响应方式、支持和NetMoon 防火墙的互动（自动和手动两种） 的基于Windows NT/Windows 2000 平台的网络监控和入侵检测系统。 二、 系统结构 NetWatch 是一个桌面版的网络监控和入侵检测系统。其中，监控主机是基于Windows NT/Windows 2000 平台并运行NetWatch 的 一台普通PC 机。NetWatch 可部署在企业出口的地方，也可部署在局域网内部。 NetWatch 部署在企业出口的地方 注意：由于NetWatch 要对网络上的每一个数据包进行分析处理、故NetWatch 运行在共享式局域网环境中。NetWatch 也可运行于交 换式环境中，关于如何运行于交换环境中，请参见常见问题解答部分 。 三、功能说明 对企业网络连接信息进行实时监控(TCP和UDP)，并以列表和活动状态树的形式显示，用户可对每个连接 进行更细的处理：切断连接、记录连接、跟踪连接、制定控制规则、制定和防火墙的互动规则、给客户端发送”信使” 信息(WinPopup 信息)。 按客户端、服务端、服务和常用应用层协议对网络流量数据的进行统计显示。在按客户端和服务端进行流 量显示的同时，可对指定的条目制定动态过滤规则、互动规则过滤、排除规则过滤。 对影响网络活动的每一个要素实施面向对象的管理。目前有网络对象、服务对象、时间对象、URL 对象、 内容对象、消息对象等等。 灵活的过滤规则制定方式。目前有网络过滤规则、URL 过滤规则、内容过滤规则、网络排除规则、入侵检 测规则、IP 和MAC 地址绑定规则等灵活多变的规则制定方式。 支持对TCP 会话的实时跟踪功能，特别适合对Telnet 、FTP 等交互式会话的实时跟踪。 支持对端口扫描和2500 多种常见攻击方式的检测。 以可视化方式支持Unix 下ARPWatch 功能，跟踪网络内的IP 地址变更，防止ARP 欺骗。 1 NetWatch 网络监控和入侵检测系统 无锡天骄科技有限公司() 可手工对主机进行堵塞和孤立。 可自动阻断TCP 连接。 在规则过滤中， 可以以主机的MAC 地址而不是IP 地址进行过滤。 在某一网络活动发生时，可以实施多种响应方式：发送邮件、自动阻断、发送 SNMP Trap、防火墙互动、 发送Syslog 信息。 特别支持和NetMoon 放火墙的互动响应和第三方防火强的互动响应。 四、运行环境和系统要求 NetWatch 运行于Windows NT 4.0(SP6) 和Windows 2000 平台上。256M 内存（推荐512M 内存）,PII 600 CPU,100M 硬盘空间。 至少800x600 的显示分辨率。 五、安装与卸载 1、安装软件 第一步：启动计算机并进入Windows （95/98/Me/NT/2000/XP/2003）系统； 第二步：从光盘安装：将 NetWatch 网络监控和入侵检测系统安装光盘放入光驱，浏览光盘，运行光盘根目录下的