Sentriant 內網安全

雖然絕大部分的企業均已採用防火牆、 VPN 、防毒、防駭等必要安全防護系統，但只能阻絕來自於外部 (Internet) 的病毒或攻擊，卻無法有效的過濾及防堵經 mobile 及 guest 用戶或隨著 VPN 、無線區域網路、 IM 及 email 使用下所造成的內部網路漏洞及威脅。目前網路防護機制，不外乎採用防火牆、 IDS/IDP/IPS 、防毒系統及搭配使用者認證等作法。其中網路內部防火牆及 IDP/IPS 的使用通常於經費及效能考量的雙重壓力下採局部性的建置，佈建的範圍以 Internet 閘道、主機群及少數重要部門為主，在此架構下管理者如何：

1. 在幾秒中內隔離感染源？部門內部之間的感染無法被 IDP/IPS 所偵測。

2. 在遭受攻擊的狀態下如何保證網路的運作？防火牆及 IPS/IDP 皆為被動式的防禦，無法主動隔離攻擊來源。

3. 如何做到內部網路全面性防護？現有的乙太網路大部分為超高速乙太網路 GB 甚至 10GB 骨幹，大部分的企業根本沒有對應的內網安全性設備可搭配。

4. 如何防禦全新的病毒或攻擊？現有安全設備大多使用特徵值 (Signatures) 比對技術，對於 Day-Zero 攻擊完全沒有防禦能力。

能夠快速判別、自動隔離感染源及具有聯防機制的內部網路安全解決方案

高階乙太網路交換器廠商－極進網路公司 (Extreme Networks) 發表了可結合核心交換器防禦來自內部網路攻擊的安全產品 Sentriant 。 Sentriant 結合網路行為分析、異常偵測、感染源快速定位 / 封鎖及自動防護等功能，為有效防制內部病毒擴散的完美解決方案。

Sentria 只需旁接在核心交換器上即可監控、偵測及隔離異常流量的來源

不限交換器廠牌的獨特運作原理

Sentriant 的運作模式主要在於偵測異常及主動阻斷攻擊來源。大部分的資安設備不管是偵測、分析或隔離措施都以處理封包經過設備的條件下才能運作，通常也只能用於閘道端。對於網路內部的感染或攻擊行動，這些資安設備就發揮不了任何作用。

Sentriant 對於病毒或駭客的偵測方法除了分析異常的網路行為外，並主動深入各個被保護的網段，監聽已使用及閒置的 IP 位址， Sentriant 會主動利用閒置 IP 位址來建立誘餌主機 (Honey pot) ，這些誘餌主機除了擔任警戒任務監測異常連線行為外，還肩負吸引及牽制病毒活動並引誘駭客的攻擊。

一旦 Sentriant 偵測到受保護的網段內有任何的異常行為，並被判斷為感染或攻擊行為時， Sentriant 利用 Cloaking 技術將感染源或攻擊者的所有封包誘導至 Sentriant 主動阻斷攻擊來源。

Sentriant 專利技術 Cloaking 是主動式防禦、隔離技術，採用標準的的 IP 協定，
只要是乙太網路交換器及一般終端設備都適用，因此在電腦上不需要安裝特別的軟體。

整合 CLEAR-flow 高階網路設備的獨特性功能

為了將內網安全防禦機制有效延伸到網路內部，當各家網路設備商還只能依賴一般不健全的防禦機制時， Extreme 已在核心交換器中使用 Programmable ASIC 的技術，強化內網資安的相關應用。 Extreme 在 2003 年時，提出了模組化作業系統技術，並提供了 CLEAR-flow 分析引擎，將原本最不容易實作的內網異常流量分析及安全防禦機制，內建於網路核心交換器中。

CLEAR-flow 是架構於 Extreme Programmable ASIC 之上的流量分析機制及動態 ACL 機制。不同於傳統的 ASIC 核心交換器，使用 Programmable ASIC 的核心交換器可以以 Wire-Speed 的效能分析所有傳送封包 Layer 2 到 Layer 4 的所有欄位。所以不論使用環境是 Gigabit 或是 10G 、攻擊是來自網路那一個 VLAN 或端點，皆可在核心端作阻斷、 Mirror 流量記錄甚至修改交換器動作、通知管理者。

CLEAR-flow 分析引擎

Sentriant 搭配 Extreme Programmable ASIC 的 CLEAR-flow Engine 是目前全世界唯一可以在 10G 以上大流量環境中，提供異常流量分析及安全防禦機制的解決方案。並透過 XML 介面與其它 SOC 平台及資安設備進行溝通。 (Programmable ASIC 及 CLEAR-flow 功能需搭配 Extreme BlackDiamond 12804 或 10808)

Sentriant 搭配 Extreme Programmable ASIC 的 CLEAR-flow Engine 是
目前全世界唯一可以在 10G 以上大流量環境中提供異常流量分析及安全防禦機制

Sentriant 不同於 IDS/IDP ，可有效防禦 Day-Zero 攻擊

Sentriant 不同於傳統網路安全防禦設設備，如 IDS/IDP 。最大的差異在於傳統 IDS/IDP 必需依賴特徵碼 (Signature) 的比對，及建置於網路邊界的特性。依賴特徵碼比對使得 IDS/IDP 無法防禦 Day-Zero 攻擊，而建置於邊界使 IDS/IDP 不易用於防禦內網攻擊。 Sentriant 的特性正好彌補了 IDS/IPS 這些不足，一方面擴大了防禦範圍，另一方面也強化流量分析不足。而 IDS/IPS 特徵碼比對也可彌補 Sentriant 只針對異常行為比對的不足性。

面對未來行動用戶、 VPN 遠端存取及無線網路發展的潮流下，現有的閘道型網路安全機制將不足以應付來自內部的攻擊。極進網路 (Extreme Networks) 由網路交換器製造商的觀點出發，運用最先進的技術，在不更動現有的網路架構下，輕鬆的解決現在及未來資安管理所將要面臨的棘手問題。

Sentriant 補強 IDS/IPS 達成全面性防護