一、Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的業界經驗推出了NetRanger。產品分為兩部分：監測網絡包和發告警的傳感器(9000美元)，以及接收并分析告警和啟動對策的控制器(1萬美元)。

另外，至少還需要一臺奔騰PC來跑傳感器程序以及一臺Sun SparcStation通過OpenView或NetView來跑控制器程序。兩者都運行Sun的Solaris。在軟硬件平臺中，傳感器上可能要花費1.3萬美元，控制器上要花費2.5萬美元。

NetRanger以其高性能而聞名，而且它還非常易于裁剪。控制器程序可以綜合多站點的信息并監視散布在整個企業網上的攻擊。NetRanger的最大名聲在于其是針對企業而設計的。這種名聲的標志之一是其分銷渠道，EDS、Perot Systems、IBM Global Services都是其分銷商。

NetRanger在全球廣域網上運行很成功。例如，它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個點上監測全網或把監測權轉給第三方。

NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵者可能以字符模式存取一個端口，然后在每個包中只放一個字符。如果一個監測器只觀察單個包，它就永遠不會發現完整的信息。按照GartnerGroup公司的研究專家Jude O＇Reilley的說法，NetRanger是目前市場上基于網絡的入侵檢測軟件中經受實踐考驗最多的產品之一。

但是，對于某些用戶來講，NetRanger的強項也可能正好是其不足。它被設計為集成在OpenView或NetView下，在網絡運行中心(NOC)使用，其配置需要對Unix有詳細的了解。NetRanger相對較昂貴，這對于一般的局域網來講未必很適合。

二、Network Associates公司的CyberCop

Network Associates 公司是1977年由以做Sniffer類探測器聞名的Network General公司與以做反病毒產品為專業的 McAfee Associates公司合并而成的。NetWork Associates從Cisco那里取得授權，將NetRanger的引擎和攻擊模式數據庫用在CyberCop中。

CyberCop基本上可以認為是NetRanger的局域網管理員版。這些局域網管理員正是NetWork Associates的主要客戶群。其軟件價格比NetRanger還貴:傳感器為9000美元，服務器上的控制器為15000美元。但其平臺卻可以是運行Solaris 2.5.1的Dell PC(通常CyberCop是預裝在里面的)。跑傳感器的平臺一般要3000美元，控制器的平臺要5000美元。

另外，CyberCop被設計成一個網絡應用程序，一般在20分鐘內就可以安裝完畢。它預設了6種通常的配置模式:Windows NT和Unix的混合子網、Unix子網、NT子網、遠程訪問、前沿網(如Internet的接入系統)和骨干網。它沒有Netware的配置。

前端設計成瀏覽器方式主要是考慮易于使用，發揮Network General在提煉包數據上的經驗，用戶使用時也易于查看和理解。像在Sniffer中一樣，它在幫助文檔里結合了專家知識。CyberCop還能生成可以被 Sniffer識別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業應用的特征，如路徑備份功能等。

按照CyberCop產品經理Katherine Stolz的說法，Network Associates公司在安全領域將有一系列的舉措和合作。"我們定位在大規模的安全上，我們將成為整體解決方案的提供者。"

三、Internet Security System公司的RealSecure

按照GartnerGroup的O＇Reilley的說法，RealSecure的優勢在于其簡潔性和低價格。與NetRanger和CyberCop類似，RealSecure在結構上也是兩部分。引擎部分負責監測信息包并生成告警，控制臺接收報警并作為配置及產生數據庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上運行，并可以在混合的操作系統或匹配的操作系統環境下使用。它們都能在商用微機上運行。

對于一個小型的系統，將引擎和控制臺放在同一臺機器上運行是可以的，但這對于NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元，控制臺是免費的。一個引擎可以向多個控制臺報告，一個控制臺也可以管理多個引擎。

RealSecure可以對CheckPoint Software的FireWall-1重新進行配置。根據入侵檢測技術經理Mark Wood的說法，ISS還計劃使其能對Cisco的路由器進行重新配置，同時也正開發OpenView下的應用。

四、Intrusion Detection公司的Kane Security Monitor

基于主機的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在結構上由三部分組成，即一個審計器、一個控制臺和代理。代理用來瀏覽NT的日志并將統計結果送往審計器。系統安全員用控制臺的GUI界面來接收告警、查看歷史記錄以及系統的實時行為。KSM對每個被保護的服務器報價1495美元(包括審計器和控制臺)，在此基礎上每個工作站代理報價295美元。

按照位于加州Playa Del Rey以安全技術見長的Miora Systems Consulting公司的資深咨詢專家David Brussin的看法，KSM在TCP/IP監測方面特別強。但他也提到，Intrusion Detection的產品不是為較快的廣域網設計的。

公司的奠基人兼總裁Robert Kane說，Intrusion Detection在本季度將推出在OpenView下的應用，隨后在年底將推出與Tivoli Management Environment(TME)的集成。將來，Intrusion Detection還計劃支持Unix、微軟的BackOffice和Novell的Netware。

五、Axent Technologies公司的OmniGuard/Intruder Alert

與KSM的審計器、控制臺、代理所對應的OmniGuard/Intruder Alert(ITA)在結構上的三個組成部分為一個管理器(1995美元)、控制臺(免費)和代理(每個服務器為995美元，每個工作站為95美元)。

ITA比Intrusion Detection的KSM提供了更廣泛的平臺支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上運行，所有的部分在多種Unix下都能運行，如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。

可以根據一些解決方案來剪裁ITA，這些解決方案可來自主流的操作系統、防火墻廠商、Web服務器廠商、數據庫應用以及路由器制造商。Axent在2月份兼并了防火墻廠商Raptor，并將增強ITA，使其能對Raptor的防火墻進行重配置。

六、Computer Associates公司的SessionWall-3/eTrust Intrusion Detection

SessionWall-3/eTrust Intrusion Detection可以通過降低對網絡管理技能和時間的要求，在確保網絡的連接性能的前提下，大大提高網絡的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自動地識別網絡使用模式，特殊網絡應用，并能夠識別各種基于網絡的各種入侵、攻擊和濫用活動。另外，SessionWall-3/eTrust Intrusion Detection還可以將網絡上發生的各種有關生產應用、網絡安全和公司策略方面的眾多疑點提取出來。

SessionWall-3/eTrust Intrusion Detection是作為一種獨立或補充產品進行設計的，它的特點包括：

世界水平的攻擊監測引擎，可以實現對網絡攻擊的監測；

豐富的URL控制表單，可以實現對200，000個以上分類站點的控制；

世界水平對Java/ActiveX惡意小程序的監測引擎和病毒監測引擎；

SessionWall-3/eTrust Intrusion Detection遠程管理插件，用于沒有安裝SessionWall-3/eTrust Intrusion Detection的機器的SessionWall-3/eTrust Intrusion Detection記錄文件的歸檔和查閱，以及SessionWall-3/eTrust Intrusion Detection報表的查閱。

SessionWall-3/eTrust Intrusion Detection的特點包括：

提供從先進的網絡統計到特定用戶使用情況的統計的全面網絡應用報表；

網絡安全功能包括內容掃描、入侵監測、阻塞、報警和記錄。

Web和內部網絡使用策略的監視和控制，對Web和公司內部網絡訪問策略實施監視和強制實施；

公司保護（Company preservation），或稱訴訟保護，即對電子郵件的內容進行監視，記錄、查看和存檔；

SessionWall-3/eTrust Intrusion Detection還包括用于WEB訪問的策略集（用于監視/阻塞/報警）和用于入侵監測的策略集（用于攻擊監測、惡意小程序和惡意電子郵件）。這些策略集包含了SessionWall-3/eTrust Intrusion Detection對所有通信進行掃描的策略，這些策略不僅指定了掃描的模式、通信協議、尋址方式、網絡域、URL以及掃描內容，還指定了相應的處理動作。一旦安裝了SessionWall-3/eTrust Intrusion Detection，它將立即投入對入侵企圖和可疑網絡活動的監視，并對所有電子郵件、WEB瀏覽、新聞、Telnet和FTP活動進行記錄。

SessionWall-3/eTrust Intrusion Detection可以滿足各種網絡保護需求，它的主要應用對象包括審計人員、安全咨詢人員、執法監督機構、金融機構、中小型商務機構、大型企業、ISP、教育機構和政府機構等。

SessionWall-3/eTrust Intrusion Detection是一種功能全面且使用方便的網絡保護解決方案，它克服了網絡保護中的主要業務障礙，其采用的主要手段包括：

最大程度地降低用戶技能和資源需求；

提供一種經濟的和可擴展的解決方案；

提供管理報表；

提供靈活易用的工具。

從操作的角度講，SessionWall-3/eTrust Intrusion Detection去除了某些網絡保護解決方案在安裝和操作的麻煩。實際上，SessionWall-3/eTrust Intrusion Detection可以提供許多人們所期望網絡內在特性，而這些特性在過去是必需借助多種工具并通過復雜的分析之后才能夠得到的。為了達到這一目的，SessionWall-3/eTrust Intrusion Detection采用了如下措施：

即插即用安裝（自動配置）；

易用的圖形用戶界面；

登錄網絡活動的在線查閱；

實時統計和圖形顯示；

全面的"追根溯源（drill down）"報表；

聯機查詢和定時報表；

易于更新的監視、阻塞和報警規則；

綜合的響應和報警集合，包括實時干涉，預定義阻塞規則、第三方應用啟動響應接口、以及不同的信息發送方式。

用于監視和阻塞的全面URL站點分類和控制列表。

支持WEB自速率系統（RSACi）。

先進的可疑小程序監測（例如，Java/ActiveX引擎）。

綜合病毒掃描引擎和病毒庫。

完整的格式化內容和附件瀏覽器。

電子文字模式內容的掃描和阻塞；

菜單驅動的自動地址解析。

特殊的保密特性，可以對控制訪問權限提供登錄和管理的訪問控制。

SessionWall-3/eTrust Intrusion Detection的特點：

SessionWall-3/eTrust Intrusion Detection與大多數網絡保護產品不同，后者是生硬地安插在網絡通信路徑中的，而前者則是完全透明的，它不需要對網絡和地址做任何的變化，也不會給獨立于平臺的網絡帶來任何的傳輸延遲。

SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet網絡保護產品，它具備前所未有的訪問控制水平、用戶的透明度、性能、靈活性、適應性和易用性。SessionWall-3/eTrust Intrusion Detection無需使用昂貴的UNIX主機，也避免了因非路由防火墻所造成的額外開銷。另外，SessionWall-3/eTrust Intrusion Detection還包括一個會話視窗，可以用于網絡入侵的監視、審計，并可以為電子通信的濫用現象提供充分的證據。

技術規范

操作系統：Windows 95（OSR 2）， Windows 98或Windows NT 4.0（SP3以上）以上版本；

系統平臺：Intel Pentium 100MHz以上；

內存：64MB RAM

磁盤空間：200MB可用空間

網絡接口：標準以太網/令牌環網/FDDI

軟件介質：CD-ROM