素材-網(wǎng)絡(luò)安全解決方案

yu網(wǎng)絡(luò)安全重點圖書信利半導(dǎo)體公司內(nèi)網(wǎng)安全解決方案權(quán)威安全指導(dǎo)yu網(wǎng)絡(luò)安全重點圖書信利半導(dǎo)體公司內(nèi)網(wǎng)安全解決方案權(quán)威安全指導(dǎo)

目錄天創(chuàng)半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 1第一章引言 2第二章網(wǎng)絡(luò)信息安全概況 2(1）網(wǎng)絡(luò)安全 2(2）網(wǎng)絡(luò)安全的威脅來自哪些方面？ 3(3）不安全造成的危害有多大？ 3(4）系統(tǒng)的安全應(yīng)具備那些功能？ 4(5）防火墻系統(tǒng)的安全設(shè)置問題 5（6）安全隱患 5第三章網(wǎng)絡(luò)安全方案總體設(shè)計 6（1）安全方案設(shè)計原則 6（2）安全服務(wù)、機制與技術(shù) 7（3）網(wǎng)絡(luò)安全體系結(jié)構(gòu) 7第四章天創(chuàng)半導(dǎo)體公司安全需求 13(1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 13(2)客戶需求 13（3）實施目標 14第五章產(chǎn)品綜述 14(1）安氏LinkTrustTMCyberWall防火墻 14(2）eTrust入侵檢測系統(tǒng) 15（3）KSG郵件過濾網(wǎng)關(guān) 18第六章實施方案 24（1）優(yōu)化方案 24（2）設(shè)備安裝 26（3）規(guī)則配置 27（4）網(wǎng)絡(luò)安全管理員培訓(xùn) 27（5）網(wǎng)絡(luò)安全審核 27第七章產(chǎn)品類別、報價與售后服務(wù) 27（1）產(chǎn)品類別 27天創(chuàng)半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案目錄：第一章引言二十一世紀是信息化世紀，隨著Internet的迅猛發(fā)展,信息共享的程度進一步提高,數(shù)字信息越來越深入的影響著社會生活的各個方面，而網(wǎng)絡(luò)上的信息安全問題也日益突出。目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個人都日益重視這一重要問題。大、中型企業(yè)如何保護信息安全和網(wǎng)絡(luò)安全，最大限度的減少或避免因信息泄密、破壞等安全問題所造成的經(jīng)濟損失及對企業(yè)形象的影響，是擺在我們面前亟需妥善解決的一項具有重大戰(zhàn)略意義的課題。網(wǎng)絡(luò)的飛速發(fā)展推動社會的發(fā)展，大批用戶借助網(wǎng)絡(luò)極大地提高了工作效率，創(chuàng)造了一些全新的工作方式，尤其是因特網(wǎng)的出現(xiàn)更給用戶帶來了巨大的方便。但另一方面，網(wǎng)絡(luò)，特別是因特網(wǎng)存在著極大的安全隱患。近年來，因特網(wǎng)上的安全事故屢有發(fā)生。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽損害等等。類似的風(fēng)險也存在于其它的互聯(lián)網(wǎng)絡(luò)中。這些安全風(fēng)險的存在阻礙了計算機網(wǎng)絡(luò)的應(yīng)用與發(fā)展。在網(wǎng)絡(luò)化、信息化的進程不可逆轉(zhuǎn)的形勢下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。一個系統(tǒng)的安全性可從三個層次考慮：第一層是存放數(shù)據(jù)資源的服務(wù)器組；第二層是傳輸數(shù)據(jù)的網(wǎng)絡(luò)；第三層是需要訪問數(shù)據(jù)的客戶機。對于一個與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)，首先要防止來自外部的惡意攻擊，同時還要保證系統(tǒng)內(nèi)部所有計算機的不受病毒侵擾，能夠數(shù)據(jù)系統(tǒng)正常應(yīng)用。第二章網(wǎng)絡(luò)信息安全概況(1）網(wǎng)絡(luò)安全計算機安全事業(yè)始于本世紀60年代末期，由于當(dāng)時計算機的速度和性能較落后，使用的范圍也不廣，再加上美國政府把它當(dāng)作敏感問題而施加控制，因此，有關(guān)計算機安全的研究一直局限在比較小的范圍內(nèi)。進入80年代后，計算機的性能得到了成百上千倍的提高，應(yīng)用的范圍也在不斷擴大，計算機已遍及世界各個角落。并且，人們利用通信網(wǎng)絡(luò)把孤立的單機系統(tǒng)連接起來，相互通信和共享資源。但是，隨之而來并日益嚴峻的問題就是計算機信息的安全問題。由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。計算機安全的內(nèi)容應(yīng)包括兩方面：即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性。一個系統(tǒng)存在的安全問題可能主要來源于兩方面：或者是安全控制機構(gòu)有故障；或者是系統(tǒng)安全定義有缺陷。(2）網(wǎng)絡(luò)安全的威脅來自哪些方面？由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行多種網(wǎng)絡(luò)協(xié)議（TCP/IP,IPX/SPX,NETBEUI），而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。所以，網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面：操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。(3）不安全造成的危害有多大？根據(jù)美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過1,70億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部；只有17%的公司愿意報告黑客入侵，其他的由于擔(dān)心負面影響而未聲張。59%的損失可以定量估算。平均每個組織損失USD$402,000。入侵的來源：首先是內(nèi)部心懷不滿的員工；其次為黑客；另外還有競爭者。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、應(yīng)用數(shù)據(jù)庫中的重要數(shù)據(jù)；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，信任自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點，釋放計算機病毒等等。黑客的威脅見諸報道的已經(jīng)屢見不鮮，象貴州省城熱線、成都藝術(shù)節(jié)主頁等都報道有黑客入侵，他們在主頁上發(fā)布反動口號，或?qū)⒅黜撔薷某牲S色畫面。受到此類攻擊對于政府部門，大型企業(yè)而言影響是尤為惡劣的。前段時間美國微軟公司遭黑客攻擊事件就是由于它的內(nèi)外網(wǎng)隔離存在漏洞，使得黑客成功竊取它的軟件源代碼等機密資料，嚴重威脅到企業(yè)的聲譽。這樣的例子舉不勝舉，網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉睫了。(4）系統(tǒng)的安全應(yīng)具備那些功能？與其它安全體系（如保安系統(tǒng)）類似，網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查安全漏洞通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認證良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內(nèi)部信息使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。(5）防火墻系統(tǒng)的安全設(shè)置問題近年來大家如果提到網(wǎng)絡(luò)信息安全，可能最為熟識的可能就是防火墻系統(tǒng)。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)之間實施的信息安全防范系統(tǒng)，這種計算機網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽被保護網(wǎng)絡(luò)的信息，從而對系統(tǒng)結(jié)構(gòu)及其良性運行等實現(xiàn)安全防護。因此，許多管理員認為，計算機網(wǎng)絡(luò)裝上防火墻，就可以“高枕無憂”、“萬事大吉”了。其實，這是一種片面的錯誤認識和十分令人擔(dān)心的危險想法。因為防火墻并不是萬能的，它的技術(shù)不可能一勞永逸和真正達到“萬無一失”，它的“權(quán)力”是有限的，在計算機網(wǎng)絡(luò)上，它也有“管不著”、“管不了”的地方，或者說也有許多“難言之隱”。A防內(nèi)不防外。現(xiàn)在在市面上比較流行的防火墻大都是邊界防火墻，它們在網(wǎng)絡(luò)的邊界上進行外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的劃分，并進行一定程度的安全防范。而這些防火墻一般只對來自外部網(wǎng)絡(luò)進行防范。如果入侵者繞過了防火墻或內(nèi)部攻擊者將能在內(nèi)部網(wǎng)絡(luò)暢行無阻，肆意攻擊。B不能防止數(shù)據(jù)驅(qū)動式攻擊防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。C不能防止非法通道的出現(xiàn)防火墻不能防止非法通道的出現(xiàn)，如果在內(nèi)部網(wǎng)絡(luò)有人使用貓或其他設(shè)備通過其他的方法接入互聯(lián)網(wǎng)，那么防火墻將不能防止此類問題的出現(xiàn)。D不能防止DD.o.S攻擊防火墻本身就是一種網(wǎng)絡(luò)設(shè)備，當(dāng)超大流量的數(shù)據(jù)通過它的時候，它同樣有可能來不及處理各種數(shù)據(jù)而造成拒絕服務(wù)攻擊。而且安全策略越多，造成拒絕服務(wù)的可能性就越大。E防火墻自身漏洞防火墻同樣是一種運行在硬件上的軟件產(chǎn)品（不管是硬件防火墻還是軟件防火墻），而軟件就一定不可避免的出現(xiàn)一些問題，也會帶來安全問題。世界上最出名的各種防火墻本身都出現(xiàn)過安全問題。（6）安全隱患對于計算數(shù)據(jù)而言存在眾多的隱患，如病毒的破壞，計算機存儲設(shè)備損壞造成的數(shù)據(jù)丟失，人為操作造成的誤刪除，外來及內(nèi)部人員的攻擊等；給企業(yè)數(shù)據(jù)信息安全造成了重大的威脅。第三章網(wǎng)絡(luò)安全方案總體設(shè)計（1）安全方案設(shè)計原則在對這個企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡(luò)進行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等，都要有安全的內(nèi)容光煥發(fā)及措施，實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費也小得多。易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。分步實施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全?？稍u價性原則：如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認證機構(gòu)的評估來實現(xiàn)。（2）安全服務(wù)、機制與技術(shù)安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對象認證服務(wù)、可靠性服務(wù)等；安全機制：訪問控制機制、認證機制等；安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實現(xiàn)；而安全服務(wù)又是由各種安全機制或安全技術(shù)來實現(xiàn)的。應(yīng)當(dāng)指出，同一安全機制有時也可以用于實現(xiàn)不同的安全服務(wù)。（3）網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理物理安全保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面：環(huán)境安全對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護；（參見國家標準GB50173－93《電子計算機機房設(shè)計規(guī)范》、國標GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。在網(wǎng)絡(luò)的安全方面，主要考慮兩個大的層次，一是整個網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個網(wǎng)絡(luò)系統(tǒng)的安全。網(wǎng)絡(luò)結(jié)構(gòu)安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上的，網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，主要考慮網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標準化、可靠性、先進性和實用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計，充分利用現(xiàn)有資源，具有運營管理的簡便性，完善的安全保障體系。網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓撲上主要考慮到冗余鏈路；防火墻的設(shè)置和入侵檢測的實時監(jiān)控等。網(wǎng)絡(luò)系統(tǒng)安全訪問控制及內(nèi)外網(wǎng)的隔離訪問控制訪問控制可以通過如下幾個方面來實現(xiàn)：制訂嚴格的管理制度:可制定的相應(yīng)：《用戶授權(quán)實施細則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。配備相應(yīng)的安全設(shè)備在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。防火墻主要的種類是包過濾型，包過濾防火墻一般利用IP和TCP包的頭信息對進出被保護網(wǎng)絡(luò)的IP包信息進行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實時告警等功能。由于這種防火墻安裝在被保護網(wǎng)絡(luò)與路由器之間的通道上，因此也對被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。防火墻具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制在這里，主要利用VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。這樣，就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議補救措施和安全策略，達到增強網(wǎng)絡(luò)安全性的目的。檢測工具應(yīng)具備以下功能：具備網(wǎng)絡(luò)監(jiān)控、分析和自動響應(yīng)功能找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正；控制各種網(wǎng)絡(luò)安全危險。漏洞分析和響應(yīng)配置分析和響應(yīng)漏洞形勢分析和響應(yīng)認證和趨勢分析具體體現(xiàn)在以下方面：防火墻得到合理配置內(nèi)外WEB站點的安全漏洞減為最低網(wǎng)絡(luò)體系達到強壯的耐攻擊性各種服務(wù)器操作系統(tǒng)，如E_MIAL服務(wù)器、WEB服務(wù)器、應(yīng)用服務(wù)器、，將受黑客攻擊的可能降為最低對網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護重要應(yīng)用系統(tǒng)（如財務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害審計與監(jiān)控審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于去定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。網(wǎng)絡(luò)防病毒由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，一次計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)：A預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。B檢測病毒技術(shù)：它是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。C清除病毒技術(shù)：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向MAIL、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機等。支持對網(wǎng)絡(luò)、服務(wù)器、和工作站的實時病毒監(jiān)控；能夠在中心控制臺向多個目標分發(fā)新版殺毒軟件，并監(jiān)視多個目標的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對Internet/Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶機試圖上載一個染毒文件時，服務(wù)器可自動關(guān)閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務(wù)；支持日志記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。網(wǎng)絡(luò)備份系統(tǒng)備份系統(tǒng)為一個目的而存在：盡可能快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復(fù)；場點外的數(shù)據(jù)存儲、備份與恢復(fù)；對系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。在確定備份的指導(dǎo)思想和備份方案之后，就要選擇安全的存儲媒介和技術(shù)進行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到令一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放?！袄鋫浞荨笔侵浮安辉诰€”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。熱備份的優(yōu)點是投資大，但調(diào)用快，使用方便，在系統(tǒng)恢復(fù)中需要反復(fù)調(diào)試時更顯優(yōu)勢。熱備份的具體做法是：可以在主機系統(tǒng)開辟一塊非工作運行空間，專門存放備份數(shù)據(jù)，即分區(qū)備份；另一種方法是，將數(shù)據(jù)備份到另一個子系統(tǒng)中，通過主機系統(tǒng)與子系統(tǒng)之間的傳輸，同樣具有速度快和調(diào)用方便的特點，但投資比較昂貴。冷備份彌補了熱備份的一些不足，二者優(yōu)勢互補，相輔相成，因為冷備份在回避風(fēng)險中還具有便于保管的特殊優(yōu)點。系統(tǒng)安全系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略：對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對Internet公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能的減少應(yīng)用系統(tǒng)的漏洞；網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品；通過專業(yè)的安全工具（安全檢測系統(tǒng)）定期對網(wǎng)絡(luò)進行安全評估。信息安全在這個企業(yè)的局域網(wǎng)內(nèi)，信息主要在內(nèi)部傳遞，因此信息被竊聽、篡改的可能性很小，是比較安全的。應(yīng)用安全在應(yīng)用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲嬘涗?。這必須加強登錄過程的認證（特別使在到達服務(wù)器主機之前的認證），確保用戶的合法性；其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。另外，在加強主機的管理上，除了上面談的訪問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對權(quán)限進行分割和管理。應(yīng)用安全平臺要加強資源目錄管理和授權(quán)管理、傳輸加密、審計記錄和安全管理。對應(yīng)用安全，主要考慮確定不同服務(wù)的應(yīng)用軟件并緊密注視其Bug；對掃描軟件不斷升級。安全管理為了保護網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規(guī)范來實現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺（包括網(wǎng)絡(luò)管理和安全管理）。安全管理策略主要有：定義完善的安全管理模型；建立長遠的并且可實施的安全策略；徹底貫徹規(guī)范的安全防范措施；建立恰當(dāng)?shù)陌踩u估尺度，并且進行經(jīng)常性的規(guī)則審核。當(dāng)然，還需要建立高效的管理平臺。安全管理規(guī)范面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)安全管理規(guī)范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。A安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個原則。多人負責(zé)原則：每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護；系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等；任期有限原則：一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度切實可行。職責(zé)分離原則：在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開。計算機操作與計算機編程；機密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問證件的管理與其它工作；計算機操作與信息處理系統(tǒng)使用媒介的保管等。B安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級根據(jù)確定的安全等級，確定安全管理的范圍制訂相應(yīng)的機房出入管理制度對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理制訂嚴格的操作規(guī)程操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則，各負其責(zé)，不能超越自己的管轄范圍。制訂完備的系統(tǒng)維護制度對系統(tǒng)進行維護時，應(yīng)采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要首先經(jīng)主管部門批準，并有安全管理人員在場，故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄。制訂應(yīng)急措施要制定系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整響應(yīng)的授權(quán)。網(wǎng)絡(luò)管理管理員可以在管理機器上對整個內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測探測器進行綜合管理，同時利用安全分析軟件可以從不同角度對所有的設(shè)備、服務(wù)器、工作站進行安全掃描，分析他們的安全漏洞，并采取相應(yīng)的措施。安全管理安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險情況，對危險進行隔離，并把危險控制在最小范圍內(nèi)；身份認證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動態(tài)的或靜態(tài)的審計；對違規(guī)事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進行控制；密鑰管理：對于與密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來實現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。第四章天創(chuàng)半導(dǎo)體公司安全需求(1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析當(dāng)前天創(chuàng)公司已經(jīng)實施了INTERNET入口的防火墻隔離，MAIL服務(wù)器通過DMZ區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴展問題，存在著防火墻端口不夠用的情況，且對于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來解決這個問題。從上圖可以看到，由于是暴露在DMZ區(qū)，所以MAIL服務(wù)器在應(yīng)用層安全問題是沒有保證的（垃圾郵件、郵件病毒隨時都可以通過防火墻傳入MAIL服務(wù)器）；目前內(nèi)網(wǎng)的拓撲是采用對外全封閉但對內(nèi)全開放的格局而工作的，換言之對于內(nèi)網(wǎng)的攻擊是完全沒有免疫功能的。(2)客戶需求A需要有六個端口，支持VPN。B需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù)。例如，我為某位員工開80端口讓其能上網(wǎng)，他能正常瀏覽網(wǎng)頁，但不能下載某些特定格式的文件，如：*.mp3,*.rm。C能夠防止員工使用P2P軟件進行文件傳輸，能監(jiān)控員工發(fā)送的E-MAIL。D因有MAIL服務(wù)器，防火墻能自動偵測到某個IP長時間連接MAIL服務(wù)器，而自動禁止此IP一段時間后自動恢復(fù)。時間及規(guī)則可由用戶在防火墻上設(shè)置的。（3）實施目標啟用防火墻的VPN功能通過PPTP對網(wǎng)絡(luò)進行VPN服務(wù)與管理；在防火墻處啟用URL過濾，禁止員工訪問（下載）*.mp3、*.rm文件；通過相關(guān)的包過濾規(guī)則防止員工在內(nèi)網(wǎng)使用特定的工具進行文件傳輸；配置過濾網(wǎng)關(guān)的郵件處理規(guī)則對客戶端進行相應(yīng)的管理，達到優(yōu)化MAIL服務(wù)的效果。第五章產(chǎn)品綜述(1）安氏LinkTrustTMCyberWall防火墻安氏領(lǐng)信防火墻是亞洲最大的信息安全實驗室“IS-OneSecurityLab”成功推出的最新一代防火墻，產(chǎn)品迅速獲得國家認證，被中國人民銀行評選為金融系統(tǒng)指定防火墻產(chǎn)品之一，并且在第21屆世界大學(xué)生運動會，上海APEC會議上大顯身手。領(lǐng)信防火墻的設(shè)計理念從“頂尖技術(shù)+人性化”出發(fā)，充分考慮防火墻的五大要素：功能、性能、管理能力、易用性和配置，體貼用戶的真正安全需求。領(lǐng)信防火墻采用專門設(shè)計的安全操作系統(tǒng)LTOS和專用搭載平臺，提供高度可靠性和可用性。利用安氏安全實驗室申請專利LinkTrustPolling技術(shù)，提升防火墻的吞吐速度，達到內(nèi)核級安全代理機制，是國內(nèi)唯一在線速狀態(tài)下工作的最新一代防火墻。安氏安全實驗室采用多種先進數(shù)據(jù)加密算法，最大限度提高VPN吞吐量。領(lǐng)信防火墻具有業(yè)界唯一的端口流量鏡像功能，實現(xiàn)與世界最先進入侵檢測系統(tǒng)互動；并為用戶提供友好Web管理界面、命令行管理界面和LCD界面。領(lǐng)信防火墻的特色包括：狀態(tài)檢測包過濾技術(shù)；多種服務(wù)的內(nèi)核級安全代理；全面的網(wǎng)絡(luò)地址翻譯（NAT）；IPsecVPN和撥號VPN；高可靠性（HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認證方案；完整日志、審計，告警和統(tǒng)計模塊；抗DOS攻擊能力（支持SYNProxy）；內(nèi)嵌入侵檢測能力；支持多個ISP接入的負載均衡解決方案；支持詭異木馬的抵御；對ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與IDS協(xié)作。SmartProtector的主要功能為：基于協(xié)議分析和攻擊特征分析技術(shù)，檢測并阻斷防火墻無法防止的攻擊，與防火墻互動修改相應(yīng)的防火墻規(guī)則，同時通過控制臺報警。SmartProtector可以檢測包括：拒絕服務(wù)、端口掃描、WebIIS、WebApache、DNS、ftp、snmp在內(nèi)的兩百多種攻擊。每個攻擊特征都符合CVE標準，并且支持在線升級。用戶還可以自定義檢測策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng)LTOS，擁有超負載保護能力。用戶還可以隨時從安氏站點（）下載最新的攻擊特征。關(guān)于SmartProtector的推出，安氏公司產(chǎn)品市場總監(jiān)應(yīng)向榮強調(diào)：“SmartProtector的產(chǎn)生基于兩個層面考慮，融合安氏在入侵檢測（IDS）技術(shù)的多年雄厚積累，為LinkTrustTMCyberWall提供增強功能模塊。增加SmartProtector功能的領(lǐng)信防火墻為特定需求用戶群提供了業(yè)界領(lǐng)先的一站式安全防御系統(tǒng)，特別適合企業(yè)上網(wǎng)工程，行業(yè)網(wǎng)絡(luò)廣域連接防護等等應(yīng)用。但流探測器SmartProtector不能取代專門的入侵檢測系統(tǒng)，它以不犧牲防火墻和VPN的性能為前提，檢測并響應(yīng)“嚴重的”攻擊手法，配合防火墻以及專門的IDS系統(tǒng)，為企業(yè)提供更加強大的防護體系。用戶在購買LinkTrustTMCyberWall時可以選擇是否增加SmartProtector功能”。“現(xiàn)在安全問題變得越來越復(fù)雜，攻擊手法層出不窮，而且更新很快，這要求安全管理員作出防范反應(yīng)越來越迅速，在防火墻上增加入侵檢測模塊，就是為了增強響應(yīng)時間，特別是在解決類似“紅色代碼”，“尼姆達”這類突發(fā)性極大的將網(wǎng)絡(luò)蠕蟲、計算機病毒、木馬程序合為一體的攻擊手法時，將發(fā)揮相當(dāng)大的作用”。安氏公司防火墻產(chǎn)品經(jīng)理張強進一步解釋，“當(dāng)SmartProtector檢測到攻擊時，可以阻斷并且傳遞給領(lǐng)信防火墻，修改防火墻的安全規(guī)則，同時領(lǐng)信防火墻阻斷已經(jīng)建立的攻擊連接。通過一個基于WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該SmartProtector的攻擊特征模板，還可以通過提供的鏈接，了解到更多關(guān)于攻擊的資料以及如何配置相應(yīng)的系統(tǒng)設(shè)備來防御攻擊”。每個檢測到的攻擊，將會通過日志告警與郵件告警方式通知管理員，同時為SmartProtector定制了專門的審計日志數(shù)據(jù)結(jié)構(gòu)包含：攻擊時間、源地址、目的地址、源端口、目的端口、攻擊名稱。(2）eTrust入侵檢測系統(tǒng)解決方案－網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)解決方案通過自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在入侵、攻擊和濫用方式，提供了先進的網(wǎng)絡(luò)保護功能。例如，網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件可以檢測到"拒絕服務(wù)"型攻擊，并且在服務(wù)器及業(yè)務(wù)受到影響前按照預(yù)先定義的策略采取相應(yīng)的行動。網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件還可以大大減少管理和保障網(wǎng)絡(luò)安全所需的培訓(xùn)時間。通過以上措施，網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運行情況(例如，它可以給出違反策略的數(shù)量及其來源的詳細統(tǒng)計報表。)網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件以規(guī)則為基礎(chǔ)，定義哪些用戶可以訪問網(wǎng)絡(luò)上的特定資源，保證只有授權(quán)用戶才可以訪問網(wǎng)絡(luò)資源。高級防病毒引擎病毒掃描引擎可以檢測和阻止包含了計算機病毒的網(wǎng)絡(luò)數(shù)據(jù)流。它可以防止用戶下載被病毒感染的文件。新的和升級的病毒特征文件可以從冠群金辰站點獲得。全面的攻擊方式庫網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中的攻擊方式，即使正在進行之中的攻擊也能檢測。定期更新的攻擊特征文件可以從冠群金辰站點獲得，從而保證了網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)總是最新。信息包嗅探技術(shù)網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件以秘密方式運行，使攻擊者無法感知到。黑客常常在沒有察覺的情況下被抓獲，因為他們不知道他們一直受到密切監(jiān)視。URL限制管理員可以指定禁止用戶訪問的URL，防止毫無效率的網(wǎng)上沖浪。字匹配掃描利用網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件，管理員可以定義表明可能會違反策略的字符模式。這種方式防止了未經(jīng)授權(quán)就通過E-mail或web發(fā)送敏感數(shù)據(jù)等情況的發(fā)生。網(wǎng)絡(luò)使用日志網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件使網(wǎng)絡(luò)管理員可以跟蹤最終用戶，應(yīng)用程序等對網(wǎng)絡(luò)的使用情況。它可以幫助改進網(wǎng)絡(luò)策略的規(guī)劃，并提供精確的網(wǎng)絡(luò)控制。保護企業(yè)網(wǎng)絡(luò)通過在企業(yè)內(nèi)多處位置部署網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)解決方案，用戶可以利用其強大的功能來保護整個企業(yè)網(wǎng)絡(luò)。這包括從一個遠程或中央位置的穩(wěn)定控制臺監(jiān)視和響應(yīng)企業(yè)范圍內(nèi)的事件。網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件還包含一個中央事件數(shù)據(jù)庫、附加報表以及一個分布式的內(nèi)容查看器。入侵檢測網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件可以提供網(wǎng)絡(luò)范圍內(nèi)可靠的、分布式實時網(wǎng)絡(luò)保護。這是通過允許每一個網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)實例全面發(fā)揮其功能并單獨運行實現(xiàn)的，避免了對網(wǎng)絡(luò)可用性或響應(yīng)時間的依賴。集中監(jiān)視網(wǎng)絡(luò)管理員可以在本地或遠程集中監(jiān)控運行網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件的一臺或多臺工作站。通過在不同網(wǎng)段(本地或遠程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)代理，管理員可以根據(jù)收集的綜合信息查看警告并生成報表。遠程管理遠程用戶可以通過TCP/IP或調(diào)制解調(diào)器連接訪問運行網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件的工作站。一旦連接成功，用戶就可以按照網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件管理員定義的許可內(nèi)容，查看和監(jiān)視網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)數(shù)據(jù)、修改規(guī)則和生成報告。入侵日志及分析網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)軟件提供了一個綜合系統(tǒng)來捕捉信息并進行分析。軟件安裝完畢并指定一個存檔位置后，用戶定義一個可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。用戶可以使用瀏覽器過濾、排序和查看歸檔信息并創(chuàng)建詳細報表。網(wǎng)絡(luò)入侵檢測(eTrustIntrusionDetection)代表了最新一代企業(yè)網(wǎng)絡(luò)保護技術(shù)，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應(yīng)性及易用性等。它提供給企業(yè)一個易于部署的網(wǎng)絡(luò)保護方案，可以在不會導(dǎo)致任何失敗的情況下加以實施。支持環(huán)境服務(wù)器/PC網(wǎng)絡(luò)Windows95/98WindowsNT/2000TCP/IP網(wǎng)（3）KSG郵件過濾網(wǎng)關(guān)赤霄過濾網(wǎng)關(guān)（KILLShieldGateway）是冠群金辰公司新一代網(wǎng)絡(luò)過濾專用設(shè)備，能夠同時在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對病毒、蠕蟲、垃圾郵件、非法內(nèi)容分別進行過濾。在網(wǎng)絡(luò)層，KILLShieldGateway實現(xiàn)基于IP地址、端口號等網(wǎng)絡(luò)層特征的過濾；在傳輸層，實現(xiàn)基于HTTP、SMTP等協(xié)議特征的過濾，有效識別和攔截蠕蟲攻擊；在應(yīng)用層，對多種常用協(xié)議（SMTP、POP3、HTTP、FTP等）進行深度分析并還原出原始數(shù)據(jù)，進行病毒檢查、蠕蟲檢查、垃圾郵件檢查和內(nèi)容檢查。三管齊下，KILLShieldGateway可對用戶網(wǎng)絡(luò)實現(xiàn)立體式的全面保護，有效保護用戶的網(wǎng)絡(luò)免受侵害，確保用戶內(nèi)部網(wǎng)絡(luò)的信息安全。KILLShieldGateway做為先進的新型網(wǎng)關(guān)過濾設(shè)備，除了具有一般網(wǎng)關(guān)過濾設(shè)備的功能外，它的突出特點是可以實現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。KILLShieldGateway獨有的抗蠕蟲攻擊技術(shù)（Anti-Worm）能夠全方位抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、DoS/DDoS等動態(tài)入侵攻擊行為。KILLShieldGateway采用冠群金辰備受贊譽的反病毒引擎，該掃描引擎經(jīng)ICSA（國際計算機安全協(xié)會）認證可“100%查殺流行病毒”，并獲得全球18家重要測評機構(gòu)的認證，使用安全可靠，是KILLShieldGateway強大反病毒功能的基礎(chǔ)。KILLShieldGateway做為獨立的硬件產(chǎn)品，其過濾與具體的郵件、代理系統(tǒng)無關(guān)，其工作不需更改用戶原有系統(tǒng)的任何配置。KILLShieldGateway在企業(yè)網(wǎng)絡(luò)的邊緣，而不是在用戶的郵件和代理服務(wù)器上，進行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠遠高于在服務(wù)器本機上安裝過濾軟件的方式。而且即使用戶更換了新的代理和郵件服務(wù)器，也無需改變KILLShieldGateway，保護了用戶的已有投資。KILLShieldGateway通過Web頁面進行系統(tǒng)配置，管理界面友好，易于配置，而且使用簡便，一旦配置完成，可自動完成病毒查殺、特征碼下載、日志記錄、報表生成等工作，大大減輕了網(wǎng)絡(luò)安全管理員的負擔(dān)，是一款技術(shù)極為先進的網(wǎng)關(guān)過濾產(chǎn)品。KILLShieldGateway的工作原理根據(jù)KILLShieldGateway接入方式的不同，其過濾的工作原理也不同。KILLShieldGateway主要使用透明（Bridge模式）接入用戶網(wǎng)絡(luò)。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。此外，赤霄過濾網(wǎng)關(guān)也支持非透明（Router模式）的接入。這種情況下，主要用于對用戶的郵件系統(tǒng)進行病毒過濾。下面分別介紹其工作原理。透明模式接入采用透明模式時，無須改變用戶網(wǎng)絡(luò)環(huán)境中的所有網(wǎng)絡(luò)設(shè)備（包括主機、路由器等）和所有計算機的配置(包括IP地址和網(wǎng)關(guān))，只須將KILLShieldGateway串聯(lián)到需重點保護的網(wǎng)絡(luò)中，例如，要保護郵件服務(wù)器，可將KILLSheildGateway連在用戶郵件服務(wù)器之前；要保護內(nèi)部網(wǎng)的主機，可把KSG部署在主交換機和路由器（防火墻）之間，從而大大增強網(wǎng)絡(luò)的安全性。下面舉例說明根據(jù)用戶的典型網(wǎng)絡(luò)情況部署KILLShieldGateway。如圖所示。一般企業(yè)網(wǎng)絡(luò)通過防火墻，劃分為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)，連接到Internet。其中DMZ區(qū)中為重要的服務(wù)器，如FTP服務(wù)器，Web服務(wù)器，郵件服務(wù)器等。為確保內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全，建議如上圖所示部署過濾網(wǎng)關(guān)。這樣，對內(nèi)部網(wǎng)絡(luò)，KSG可以攔截內(nèi)部主機從Internet下載的有害數(shù)據(jù)，同時也能攔截內(nèi)部主機發(fā)向Internet的攻擊數(shù)據(jù)。對DMZ區(qū)，主要作用是攔截從外部發(fā)向服務(wù)器的攻擊數(shù)據(jù)，確保了公司重要服務(wù)器的安全。從用戶的角度看，使用KILLShieldGateway無需更改任何配置，因而對用戶來說是完全透明的，易于管理，同時保證了信息系統(tǒng)的安全。非透明模式接入由于非透明模式的實施相比透明模式來說較為復(fù)雜，所以一般建議用戶采用透明模式。但是在有些情況下，也可能采用非透明模式。下面根據(jù)KILLShieldGateway的三大功能模塊：SMTP過濾、代理過濾和POP3過濾，分別講述采用非透明模式接入到網(wǎng)絡(luò)中時，每個模塊的工作原理，由此了解該如何將產(chǎn)品連接到網(wǎng)絡(luò)中。SMTP郵件過濾模塊工作原理KILLShieldGateway的SMTP過濾主要是利用郵件路由協(xié)議的特點進行工作。出于容錯和擴展方面的考慮，簡單郵件傳輸協(xié)議(SMTP)在設(shè)計時引入了郵件路由的思想，郵件總是首先試圖傳遞給優(yōu)先級值相對較高的MX郵件服務(wù)器，失敗后才試圖傳遞給優(yōu)先級值稍大的MX郵件服務(wù)器；同時郵件總是在同一優(yōu)先級的MX郵件服務(wù)器都嘗試失敗后，才試圖傳遞給優(yōu)先級稍低的MX郵件服務(wù)器。因此一封具有一個收件人地址的Email可以有多個MX郵件服務(wù)器目標，每臺MX郵件服務(wù)器可以設(shè)置成不同的優(yōu)先級，高優(yōu)先級的郵件服務(wù)器將先進行處理，如果高優(yōu)先級的郵件服務(wù)器出現(xiàn)意外，郵件會自動發(fā)向第二優(yōu)先服務(wù)器，依次直到最低優(yōu)先級服務(wù)器。在使用中，KILLShieldGateway本身就是一個完整的MTA（郵件傳輸單元），我們賦予它最高的優(yōu)先級，這樣所有的郵件將先發(fā)到KILLShieldGateway，進行過濾處理后，再由它通過SMTP協(xié)議傳給MX郵件服務(wù)器。KILLShieldGateway在網(wǎng)絡(luò)中與原郵件服務(wù)器的關(guān)系如下圖：注：郵件服務(wù)器的優(yōu)先級在DNS服務(wù)器中設(shè)置。對于發(fā)出去的郵件，可以在DNS中修改RELAY服務(wù)器(即發(fā)件服務(wù)器)的IP指向，或者用戶直接修改自己所用的郵件客戶端軟件的RELAY服務(wù)器以指向KILLShieldGateway

就可以了。代理過濾模塊工作原理KILLSheildGateway的代理模塊相當(dāng)于一個代理服務(wù)器(ProxyServer)。一般情況下，當(dāng)用戶的本地機與因特網(wǎng)連接時，通過本地機的客戶程序如IE瀏覽器發(fā)出請求，遠端的服務(wù)器在接到請求之后響應(yīng)請求并提供相應(yīng)的服務(wù)。使用代理服務(wù)器后，它處在客戶機和服務(wù)器之間，對于遠程服務(wù)器而言，它是客戶機，可向服務(wù)器提出各種服務(wù)申請；對于客戶機而言，它則是服務(wù)器，它接受客戶機提出的申請并提供相應(yīng)的服務(wù)。也就是說，客戶機訪問因特網(wǎng)時所發(fā)出的請求不再直接發(fā)送到遠程服務(wù)器，而是被送到了代理服務(wù)器上，代理服務(wù)器再向遠程的服務(wù)器提出相應(yīng)的申請，接收遠程服務(wù)器提供的數(shù)據(jù)并保存在自己的硬盤上，然后用這些數(shù)據(jù)對客戶機提供相應(yīng)的服務(wù)。要確保網(wǎng)絡(luò)內(nèi)部用戶下載的內(nèi)容的安全，只要確保它們的代理下載內(nèi)容的安全就可以了。KILLShieldGateway代理模塊典型應(yīng)用的邏輯示意圖如下：HTTP/FTPClientsKShield代理模塊HTTP/FTPClientsKShield代理模塊系統(tǒng)原有ProxyInternetKILLShieldGateway代理模塊的過濾就是利用前面講到的原理，KILLShieldGateway的主機本身就是一個代理服務(wù)器，首先將接收的遠程服務(wù)器的數(shù)據(jù)保存在自己的硬盤上，在傳送給客戶端前先進行病毒掃描。如果不含病毒，則傳送，否則根據(jù)用戶設(shè)定的規(guī)則進行攔截或清除病毒，并通知客戶端。在上面的典型配置中，用戶網(wǎng)絡(luò)中本來就有代理服務(wù)器，這時只須修改該代理服務(wù)器的缺省上一級代理設(shè)置，使之指向KILLShieldGateway即可，無須修改用戶原有的用戶認證等其他代理服務(wù)器配置，也無須修改客戶端瀏覽器的配置。對于原有系統(tǒng)中沒有代理服務(wù)器的用戶環(huán)境，可以使用以下結(jié)構(gòu)：HTTP/FTPClientsKShield代理模塊HTTP/FTPClientsKShield代理模塊Internet在這種使用方式下，為中小型網(wǎng)絡(luò)用戶提供了一個功能完整，性能優(yōu)良的防病毒代理系統(tǒng)。這種方式同樣具有很好的伸縮性和擴展性。綜上所述，要達到如上所示的過濾效果，主要有三種配置方式：如系統(tǒng)原有代理服務(wù)器時，可配置該代理服務(wù)器的代理為KILLShieldGateway，這樣一方面可達到過濾效果，一方面客戶端不需對原有配置做任何更改。如系統(tǒng)中沒有代理服務(wù)器，可配置瀏覽客戶端，使用KILLShieldGateway這個代理。如網(wǎng)絡(luò)中使用了防火墻，可使用防火墻的重定向功能，將80（HTTP），21(FTP)端口的請求直接重定向到KILLShieldGateway,從而實現(xiàn)透明代理功能，客戶端不需配置任何代理服務(wù)器。POP3過濾模塊工作原理KILLShieldGateway可以作為一個POP3代理，進行POP3流量的過濾。很多用戶的郵件客戶端除接收自己單位域的郵件外，還接收一些公共郵箱的郵件，這些郵件如果不進行過濾，也將帶來安全隱患。使用KILLShieldGateway的POP3過濾功能，郵件客戶端可通過KILLShieldGateway連接Internet上的POP3服務(wù)器收取email，同時可確保接收郵件的安全性。KILLShieldGateway的POP3過濾模塊的工作原理如下圖所示：啟用POP3過濾前，一般用戶接收郵件的過程為：POP3clientPOP3clientPOP3服務(wù)器啟用POP3過濾后，郵件客戶端接收郵件的過程為：POP3clientPOP3clientKSGPOP3過濾模塊POP3服務(wù)器郵件客戶端向KILLShieldGateway發(fā)出POP3請求，KILLShieldGateway根據(jù)其提供的信息，向?qū)嶋H的POP3服務(wù)器發(fā)出請求接收郵件后，客戶端直接從KILLShieldGateway接收郵件。要使用POP3過濾功能，郵件客戶端需作相應(yīng)更改，假設(shè)過濾網(wǎng)關(guān)名為，則郵件客戶端需做的更改示例如下：收件服務(wù)器帳戶名啟用POP3過濾前username啟用POP3過濾后username@即，在郵件客戶端將POP3服務(wù)器改為指向KILLShieldGateway，但同時在賬號后面加入@原pop3郵件服務(wù)器名，告知KILLShieldGateway去哪個服務(wù)器接收郵件?？偨Y(jié)：采用非透明模式將KILLShieldGateway連接到網(wǎng)絡(luò)中時，它相當(dāng)于一個邏輯過濾網(wǎng)關(guān)。因此，必須采用指向的方式確保SMTP，POP3，HTTP，F(xiàn)TP流量經(jīng)過KILLShieldGateway。采用透明模式時，由于KILLShieldGateway就是串聯(lián)在網(wǎng)絡(luò)當(dāng)中，受保護網(wǎng)絡(luò)的所有數(shù)據(jù)均經(jīng)過它，為物理網(wǎng)關(guān)，故配置要簡單的多。KILLShieldGateway的功能特點友好的系統(tǒng)管理界面對郵件系統(tǒng)的管理采用B/S方式，供HTTPS、SSH等方式的安全管理。用戶可使用瀏覽器本地或遠程修改KILLShieldGateway系統(tǒng)配置及過濾策略，用戶界面友好，操作簡單。接入方式簡單易行KILLShieldGateway的配置非常簡單，支持透明和非透明兩種接入方式。采用非透明模式時，對郵件系統(tǒng)，只需修改DNS配置，對代理服務(wù)器，只需指定其上一級代理為KILLShieldGateway，即可進行過濾工作。采用透明模式時，用戶不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)，安裝工作更加簡單。此外，由于其工作與使用的郵件和代理服務(wù)器具體類型無關(guān)，即使用戶更換了新的郵件和代理服務(wù)器，也無需修改KILLShieldGateway，從而保護用戶的已有投資。蠕蟲過濾嚴格來講，蠕蟲與病毒是有區(qū)別的，它比病毒的危害性更大。蠕蟲可以利用電子郵件、文件傳輸?shù)确绞綌U散，也可以利用系統(tǒng)漏洞進行主動攻擊。由于蠕蟲能夠從網(wǎng)絡(luò)上發(fā)起動態(tài)攻擊，因而防范難度非常大。近幾年爆發(fā)流行的一些主要破壞事件，如尼姆達（Nimda）、紅色代碼（CodeRed）、蠕蟲王（Slammer）、沖擊波（Blaster）等，都屬于蠕蟲攻擊，這些事件普遍導(dǎo)致了大面積的網(wǎng)絡(luò)癱瘓。赤霄過濾網(wǎng)關(guān)獨有的抗蠕蟲動態(tài)攻擊技術(shù)屬國內(nèi)首創(chuàng)，能夠全面抵御目前危害最大的蠕蟲威脅。在網(wǎng)絡(luò)層和傳輸層阻擋蠕蟲利用系統(tǒng)漏洞發(fā)起的動態(tài)攻擊，在應(yīng)用層過濾通過正常協(xié)議（SMTP、POP3、HTTP、FTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。病毒過濾全面實現(xiàn)對普通病毒（如CIH）、郵件病毒（如求職信、美麗殺手、Mydoom）、木馬活動、惡意網(wǎng)頁代碼的過濾。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N常用協(xié)議（SMTP、POP3、HTTP、FTP等）傳輸?shù)臄?shù)據(jù)進行病毒過濾。其反病毒引擎獲得了ICSA（國際計算機安全協(xié)會）的認證，能夠100%地檢測出目前“流行病毒名單”上的病毒。該引擎還憑借其卓越的病毒查殺能力19次榮獲“VirusBulletin”（病毒公告牌）授予的“VB100%”獎，這一成就超過其它任何一個反病毒廠商。垃圾郵件過濾赤霄過濾網(wǎng)關(guān)采用多種技術(shù)過濾垃圾郵件，實現(xiàn)對垃圾郵件的綜合防范?？赏ㄟ^自帶的垃圾郵件列表庫過濾當(dāng)前絕大多數(shù)廣告、宣傳性質(zhì)的郵件。支持實時黑名單（RBL）技術(shù)的過濾。采用貝葉斯技術(shù)進行智能過濾。支持靈活的過濾策略—依據(jù)IP地址過濾；依據(jù)郵件地址過濾；基于HELO標志過濾；限制郵件的大??；限制同一郵件的發(fā)件數(shù)量；對附件文件類型和文件名過濾；根據(jù)郵件主題、發(fā)件人、收件人、正文及附件關(guān)鍵字進行過濾；對郵件頭、郵件體進行關(guān)鍵字過濾；支持域名過濾；自動禁止郵件服務(wù)的Openrelay功能；智能識別垃圾文本等。內(nèi)容過濾赤霄過濾網(wǎng)關(guān)采用SBPH/BCR（SparseBinaryPolynomialHashing/BayesianChainRule）這一稀疏多項哈希/貝葉斯鏈技術(shù)進行內(nèi)容檢查，具有高度準確的內(nèi)容識別能力（精度高于99%）。支持對關(guān)鍵字（正則表達式）、附件文件類型、URL等方式的過濾。高性能赤霄過濾網(wǎng)關(guān)構(gòu)建在高性能的服務(wù)器硬件平臺上，采用高效過濾算法，具有極高的處理能力。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。實時過濾及報警赤霄過濾網(wǎng)關(guān)實時過濾蠕蟲、病毒、垃圾郵件、非法內(nèi)容，阻止它們進入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理策略記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。靈活的過濾策略根據(jù)不同的過濾對象和安全目的，赤霄過濾網(wǎng)關(guān)可以定義靈活的過濾策略，并且對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶。特征碼自動升級安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。根據(jù)管理員定義的更新頻率與策略，通過HTTP或FTP協(xié)議自動更新特征碼，確保始終使用最新的特征碼進行檢查，以免受各種新病毒、蠕蟲的侵害。雙機容錯赤霄過濾網(wǎng)關(guān)支持STP（SpanningTreeProtocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺赤霄過濾網(wǎng)關(guān)時，如果主機出了問題，備機會接管網(wǎng)絡(luò)連接并進行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。帶寬保護赤霄過濾網(wǎng)關(guān)可以實現(xiàn)對網(wǎng)絡(luò)帶寬的保護。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。資源自適應(yīng)控制發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接時，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。當(dāng)達到處理極限后，進行緩沖處理，避免資源超載造成網(wǎng)絡(luò)中斷的現(xiàn)象。同時，系統(tǒng)借助對協(xié)議的深度分析設(shè)置閥值，當(dāng)發(fā)生諸如SYNFlooding類型的攻擊達到閥值后，赤霄過濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過濾絕大多數(shù)的服務(wù)拒絕攻擊。完整的日志記錄，豐富的報表赤霄過濾網(wǎng)關(guān)可提供詳盡、完整的過濾日志報告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計報表并支持數(shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應(yīng)的過濾策略。支持SMTP認證為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請求前，要求對用戶的身份作認證，即SMTP認證。如果原有郵件服務(wù)器進行SMTP認證，在引入了KILLShieldGateway之后，該認證過程將由KILLShieldGateway來進行。它將認證過程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認證的結(jié)果來決定是否接收用戶的發(fā)信請求。如果用戶的RELAY郵件服務(wù)器不支持SMTP認證，可以使用KILLShieldGateway的SMTP認證擴展模塊，將SMTP認證協(xié)議轉(zhuǎn)變?yōu)閷OP3用戶的認證協(xié)議，進行發(fā)信認證。可檢查偽裝郵件KILLShieldGateway可檢查發(fā)件人偽裝，即提供的發(fā)件認證信息正確，但發(fā)件人郵件地址和提供的認證信息不相符合的情況。KILLShieldGateway通過將郵件地址和SMTP認證用戶進行綁定來識別偽裝郵件，從而確保郵件信息系統(tǒng)不被濫用和誤用。代理系統(tǒng)的訪問控制KILLShieldGateway不僅可以對HTTP流量進行過濾，還可進行訪問控制，設(shè)置可以使用代理系統(tǒng)的客戶端網(wǎng)段，使用它可以訪問的服務(wù)器，或者客戶端需經(jīng)過驗證后才可以使用代理系統(tǒng)，確保只有允許的用戶或客戶端才可以使用該代理系統(tǒng)。第六章實施方案（1）優(yōu)化方案安全優(yōu)化方案①：說明：將原例圖交換機②外帶的三個網(wǎng)段加入交換機①，通過劃分VLAN的方式連接，這樣既也節(jié)省硬件資源（交換機②），也便于入侵檢測系統(tǒng)的集中管理。這里需要將交換機①的某個端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測系統(tǒng)。使用KSG郵件過濾系統(tǒng)放在ISP提供商的線路上，使用這種配置手法的優(yōu)點是：能同時過濾內(nèi)網(wǎng)（核心交換機①）與DMZ區(qū)的通信數(shù)據(jù)，起到全面保護的作用；缺點：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險。防火墻采用安氏中國的防火墻高端產(chǎn)品LinkTrustCyberWall-200SP/006。安全優(yōu)化方案②：說明：方案②在核心交換機與入侵檢測系統(tǒng)的排布上與方案①相同，只是在KSG郵件過濾系統(tǒng)的拓撲位置上將其原本的拓撲位置放進DMZ區(qū)、MAIL服務(wù)器的前端，優(yōu)點：能保證KSG郵件過濾能保障處于DMZ區(qū)的MAIL服務(wù)器能正常運作；缺點：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。防火墻同樣是使用安氏的LinkTrustCyberWall-200SP/006。（2）設(shè)備安裝IS-ONEFW防火墻具有“防火墻（Firewall）+非軍事區(qū)（DMZ）+網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）+帶寬管理+代理服務(wù)器（Proxy）+雙機熱備+簡單入侵檢測+用戶認證”的功能；必須考慮DMZ區(qū)的應(yīng)用所涉及的安裝接法，建議對DMZ區(qū)進行應(yīng)用，將數(shù)據(jù)服務(wù)器、WEB服務(wù)器聯(lián)接到此區(qū)中；配合企業(yè)的需要，在郵件過濾網(wǎng)關(guān)與入侵檢測系統(tǒng)加載適合管理者需要的、符合安全基準的安全策略。（3）規(guī)則配置在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)的應(yīng)用情況，代理及帶寬的使用情況進行配置。（4）網(wǎng)絡(luò)安全管理員培訓(xùn)A介紹網(wǎng)絡(luò)安全管理知識，常見的攻擊與防護；B培訓(xùn)墻火防的安裝、規(guī)則配置等；C培訓(xùn)入侵檢測及報表審核；D培訓(xùn)郵件過濾網(wǎng)關(guān)的規(guī)則配置；E培訓(xùn)安全評估的應(yīng)用。（5）網(wǎng)絡(luò)安全審核對防火墻、入侵檢測系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進行審核確保系統(tǒng)當(dāng)前的安全性。第七章產(chǎn)品類別、報價與售后服務(wù)（1）產(chǎn)品類別安氏CyberWall200SP/006專為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴密安全需求的大中型企業(yè)用戶而設(shè)計，配備6個10/100M自感應(yīng)端口，采用先進的安全域（SecurityZone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個物理網(wǎng)口可以掛接任意多個邏輯子網(wǎng)，通過劃分安全級別域和設(shè)置訪問控制規(guī)則來實現(xiàn)各端口、子網(wǎng)、安全域之間的數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、ASICVPN（僅用于200SP/006型號）、入侵檢測、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認證授權(quán)、內(nèi)容安全控制、ADSL/ISDN接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。另外，200SP/006自身還集成了ASICVPN處理器SecurityProcessor200，它支持處理所有的與安全相關(guān)的協(xié)議包括IPSec,I