Платформа по предотвращению сетевых угроз FireEye Network Threat Prevention Platform
Основные особенностиВарианты развертывания: поточный режим (блокирование/мониторинг), внеполосной режим (сброс TCP/мониторинг), анализ безопасности трафика IPv6Анализ всех подозрительных веб-объектов (файлы форматов PDF, Flash, файлы мультимедийных форматов, архивы ZIP, RAR, TNEF), блокировка исходящих вредоносных объектов для предотвращения эксфильтрацииИнтеграция с платформой FireEye Threat Prevention Platform с целью исключения целевых фишинговых атакПередача данных, полученных в результате анализа угроз из локальной системы FireEye, а также из глобальной клиентской базы FireEye, с помощью облачного сервиса FireEye Dynamic Threat (DTI)Поддержка локальных средств аутентификации, доступ к удаленным сторонним сетям по протоколу АААУправление доступом на основе ролей (RBAC), журнал аудитаОбъединение сигнатурных и бессигнатурных технологий с помощью дополнительной лицензии IPS для FireEye Network, автоматическое снижение количества ложных срабатываний
Платформа FireEye Network Threat Prevention Platform распознает и блокирует веб-уязвимости «нулевого дня» (дропперы) и обратные мультипротокольные вызовы. Это позволяет обеспечить расширенную защиту всех типов систем, развернутых в организациях: от штаб-квартир, подключенных по мультигигабитным каналам, до удаленных полевых и мобильных офисов. FireEye Network с системой предотвращения вторжений (IPS) позволяет снизить затраты, существенно сократить число ложных срабатываний и защитить организации от известных и неизвестных угроз.
Киберпреступники используют Интернет как главный инструмент для распространения уязвимостей нулевого дня, вредоносных ссылок в почтовых сообщениях, а также для эксфильтрации данных. Система FireEye Network представляет собой средство для остановки нежелательных скачиваний и предупреждения смешанных атак через Интернет и электронную почту. Кроме этого, FireEye Network позволяет защититься от заражения вирусами из сети.
Система предотвращения угроз блокирует интернет-атаки в режиме реального времени
FireEye Network можно развернуть как линейное поточное приложение на точках входа из Интернета, чтобы блокировать веб-уязвимости и исходящие обратные многопотоковые вызовы. Используя многовекторный механизм FireEye Virtual Execution™ (MVX), система FireEye Network выявляет атаки нулевого дня, анализирует угрозы в режиме реального времени и перехватывает адреса динамических обратных вызовов. В режиме мониторинга система запускает механизмы реагирования, во внеполосном режиме защиты – посылает команду сброса по TCP, чтобы выполнить внеполосное блокирование соединений по протоколам TCP, UDP и HTTP.
Отражение смешанных атак из Интернета и по электронной почте
Платформа FireEye обеспечивает защиту от смешанных сложных атак, использующих Интернет, целевые фишинговые письма и уязвимости «нулевого дня». Модули FireEye Network, FireEye Email и FireEye Central Management защищают от атак, выполняемых с адресов вредоносных сайтов, посредством присоединения к точкам смешанных атак в реальном времени.
Защита от неизвестных атак и атак «нулевого дня»
В решении FireEye Network используется бессигнатурный механизм FireEye MVX, который удаляет подозрительные бинарные файлы и веб-объекты из браузеров, дополнений, приложений и операционных сред, то есть те файлы, которые могут эксплуатировать уязвимости, повреждать содержимое памяти и выполнять другие вредоносные действия. При запуске такой атаки механизм FireEye MVX перехватывает каналы вызовов, динамически создает правила блокировки и возвращает данные FireEye Network.
Настраиваемые правила на основе YARA
Благодаря настраиваемым правилам YARA, специалисты по информационной безопасности могут выяснить, какой веб-объект следует проанализировать на предмет угрозы.
Потоковое определение приоритетов реагирования на инциденты
С помощью пакета FireEye AV можно проанализировать каждый вредоносный объект, выявленный FireEye Network, с помощью антивирусов различных разработчиков. Это позволяет эффективнее устанавливать приоритеты реагирования на инциденты.
Динамический обмен данными об угрозах
Решения FireEye могут использовать аналитическую информацию об угрозах, динамически получаемую из FireEye Network, для защиты локальной сети. Эта информация включает в себя координаты обратного вызова и коммуникационные характеристики, которыми можно обмениваться в глобальном масштабе при помощи облачного сервиса FireEye Dynamic Threat™ (DTI) и уведомлять подписчиков о появлении новых угроз.
Настройки без правил и уменьшение случаев ложного срабатывания
FireEye Network – это простая в управлении платформа, не требующая установки отдельного клиента, которую можно развернуть менее чем за 60 минут и которая не нуждается в настройке. Она поддерживает гибкие режимы развертывания, в том числе внеполосные через TAP/SPAN, потоковый мониторинг или потоковое активное блокирование.
Поддержка при отказах
FireEye Network интегрируется с коммутатором резервного переключения, что позволяет исключить простои при отказах и обеспечить постоянную работу развернутого в потоковом режиме оборудования при сбое сети электропитания или сетевого подключения. Коммутатор резервного переключения контролирует работоспособность устройств FireEye Network и автоматически отключается от них в случае отказа.
Система предотвращения вторжений
FireEye Network с IPS сочетает в себе расширенные функции предотвращения угроз и традиционные инструменты безопасности, что позволяет оптимизировать затраты. Система автоматически проверяет оповещения и настраивает MVX для снижения числа ложных срабатываний. Кроме того, она способна определять атаки, скрытые в сигналах шума, что уменьшает операционные расходы и уменьшает ущерб от инцидентов, оставшихся незамеченными. FireEye Network дополняет бессигнатурные средства безопасности MVX сигнатурными инструментами, используемыми в традиционных технологиях предотвращения вторжений, что позволяет поддерживать надлежащий уровень безопасности и обеспечивать соответствие нормативным требованиям.
Технические характеристики
| NX 900 | NX 1400 | NX 2400 | NX 4400/4420 | NX 7400/7420 | NX 7500 | NX 9450 | NX 10000 | NX 10450 | |
| Количество пользователей | 50 | 100 | 500 | 2 500 | 10 000 | 10 000 | 20 000 | 40 000 | 40 000 |
| Поддержка операционных систем | Microsoft Windows | Microsoft Windows | Microsoft Windows | Microsoft Windows | Microsoft Windows | Microsoft Windows / Mac OS X | Microsoft Windows | Microsoft Windows | Microsoft Windows |
| Производительность * | До 10 Мбит/с | До 20 Мбит/с | До 50 Мбит/с | До 250 Мбит/с | До 1 Гбит/с | До 1 Гбит/с | До 2 Гбит/с | До 4 Гбит/с | До 4 Гбит/с |
| Порты мониторинга сети | 2 порта 10/100/1000 BASE-T | 2 порта 10/100/1000 BASE-T | 4 порта 10/100/1000 BASE-T | 4400: 4 порта 10/100/1000 BASE-T4420: 4 опто-волоконных порта 1000 BASE-SX (коннектор LC многомодовый) | 7400: 4 порта 10/100/1000 BASE-T7420: 4 опто-волоконных порта 1000 BASE-SX (коннектор LC многомодовый) | 4 порта 10/100/1000 BASE-T | 4xSFP+, 4xSFP порта, 1000 BASE-SX (LC MMF), 1000 BASE-LX (LC SMF), 1000 BASE-T (RJ-45, UTPS) | 2x10GBASE-SR/SW 850nm Фиксирован-ные интер-фейсы: 10GBASE-SX (LC-MMF) | 8xSFP+ (4×1000 BASE и 4x10GBASE), 1000 BASE-SX/ 10 GBASE-SR (LC, MMF) 1000 BASE-LX/ 10 GBASE-LR (LC, SMF) 1000 BASE-T (RJ-45, UTPS), 10 GBASE-CU (кабель прямого подключения 5 м |
| Режимы работы сетевых портов | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор или опция TAP/SPAN | Встроенный монитор, опции Fail-Open, Faile-Close, TAP/SPAN, HW Bypass | Встроенный монитор или опция TAP/SPAN |
| Источник питания переменного тока | Недублирую-щий, non-FRU, внутренний 200 Вт, 100-240 В переменного тока 3-1.5 А, 50-60 Гц, IEC60320-C14 Inlet | Недублирую-щий, non-FRU, внутренний 500 Вт, 100-240 В переменного тока 5-2.5 А, 50-60 Гц, IEC60320-C14 Inlet | Недублирую-щий, non-FRU, внутренний 500 Вт, 100-240 В переменного тока 5-2.5 А, 50-60 Гц, IEC60320-C14 Inlet | Дублирующий, (1+1) 750 Вт, 100-240 В переменного тока 9-4.5 А, 50-60 Гц, IEC60320-C14 Inlet, FRU | Дублирующий, (1+1) 750 Вт, 100-240 В переменного тока 9-4.5 А, 50-60 Гц, IEC60320-C14 Inlet, FRU | Дублирующий, (1+1) 750 Вт, 100-240 В переменного тока 9-4.5 А, 50-60 Гц, IEC60320-C14 Inlet, FRU | Дублирующий, (1+1) 1200 Вт, 100-140 В переменного тока 14.7-10.5 А, 1400 Вт, 180-240 В переменного тока, 9.5-7.2 А, 50-60 Гц, FRU, IEC60320-C14 Inlet, FRU | Дублирующий, (1+1) 1200 Вт, 100-140 В переменного тока 14.7-10.5 А, 1400 Вт, 180-240 В переменного тока, 9.5-7.2 А, 50-60 Гц, FRU, IEC60320-C14 Inlet, FRU | Дублирующий, (1+1) 1200 Вт, 100-140 В переменного тока 14.7-10.5 А, 1400 Вт, 180-240 В переменного тока, 9.5-7.2 А, 50-60 Гц, FRU, IEC60320-C14 Inlet, FRU |
| Максимальная потребляемая мощность (Вт) | 136 Вт | 208 Вт | 210 Вт | 305 Вт | 501 Вт | 479 Вт | 550 Вт | 962 Вт | 850 Вт |
| Максимальное рассеивание теплового потока (БТЕ/ч) | 464 БТЕ/ч | 710 БТЕ/ч | 717 БТЕ/ч | 1041 БТЕ/ч | 1709 БТЕ/ч | 1634 БТЕ/ч | 1881 БТЕ/ч | 3282 БТЕ/ч | 2908БТЕ/ч |
| Наработка на отказ (ч) | 94 700 ч | 67 500 ч | 55 200 ч | 37 000 ч | 58 900 ч | 58 900 ч | 52 469 ч | 50 200 ч | 40 275 ч |
| Вес устройства / вес в упаковке в кг | 5 кг / 9 кг | 11 кг / 18 кг | 11 кг / 18 кг | 14 кг / 21 кг | 19 кг / 26 кг | 19.5 кг / 27 кг | 23 кг / 30 кг | 23 кг / 30 кг | 23 кг / 30 кг |
Технические характеристики IPS
| NX 900 | NX 1400 | NX 2400 | NX 4400/4420 | NX 7400/7420 | NX 7500 | NX 9450 | NX 10000 | NX 10450 | |
| Производительность IPS | 10 Мбит/с | 20 Мбит/с | 50 Мбит/с | 250 Мбит/с | 1 Гбит/с | 1 Гбит/с | 2 Гбит/с | 4 Гбит/с | 4 Гбит/с |
| Параллельные соединения | 4К | 7.5К | 15К | 80К | 500К | 500К | 1М | 2М | 2М |
| Новые соединения в секунду | 200/с | 375/с | 750/с | 4К/с | 10К/с | 10К/с | 20К/с | 40К/с | 40К/с |
| Пакеты данных в секунду | 600/с | 1200/с | 4К/с | 20К/с | 90К/с | 90К/с | 105К/с | 120К/с | 120К/с |
Технические характеристики переключателя Active Fail Open
| AFO 1G Switch | AFO 10G Switch | |
| Размер (Д х Ш х В) | 22.2 х 27.9 х 3.4 см | 6.5 х 35.6 х 2.8 см |
| Порты управления | (1) DB9 Serial Console, (1) RJ-45 Cat.5e порт (10/100) | (1) DB9 Serial Console, (1) RJ-45 Cat.5e порт (10/100) |
| Сетевые порты | (2) RJ-45 Cat.5e порты (10/100/1000) | (1) Коннектор Quad-LC |
| Порты мониторинга | (2) RJ-45 Cat.5e порты (10/100/1000) | (2) Порты XFP |
| Потребляемая мощность | 100-240 В переменного тока, 0.5 А, 47-63 Гц | 100-240 В переменного тока, 0.5 А, 47-63 Гц |
| Диапазон рабочих температур | От 0˚ С до 40˚ С | От 0˚ С до 40˚ С |
Примечание: показатели производительности могут изменяться в зависимости от конфигурации системы и особенностей обрабатываемого трафика.
