【正文】 無需更改任何配置， 因而對用戶來說是 完全透明的 ，易于管理，同時保證了信息系統(tǒng)的安全。 SMTP 郵件過濾模塊工作原理 KILL Shield Gateway 的 SMTP 過濾主要是利用郵件路由協(xié)議的特點進行工作。 KILL Shield Gateway 在網(wǎng)絡中與原郵件服務器的關系如下圖： D N S 服務器Inter郵件服務器 KILL ShieldGatewaySMTP SMTP 注：郵件服務器的優(yōu)先級在 DNS 服務器中設置。使用代理服務器后，它處在客戶機和服務器之天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 間，對于遠程服務器而言，它是客戶機，可向服務器提出各種服務申請；對于客戶機而言，它則是服務器，它接受客戶機提出的申請并提供相應的服務。如果不含病毒，則傳送，否則根據(jù)用戶設定的規(guī)則進行攔截或清除病毒，并通知客戶端。 綜上所述，要達到如上所示的過濾效果，主要有三種配置方式： 如系統(tǒng)原有代理服務器時，可配置該代理服務器的代理為 KILL Shield Gateway，這樣一方面可達到過濾效果，一方面客戶端不需對原有配置做任何更改。很多用戶的郵件客戶端除接收自己單位域的郵件外，還接收一些公共郵箱的郵件，這些郵件如果不進行過濾，也將帶來安全隱患。 總結(jié)：采用非透明模式將 KILL Shield Gateway 連接到網(wǎng)絡中時，它相當于一個 邏輯過濾網(wǎng)關。用戶可使用瀏覽器本地或遠程修改 KILL Shield Gateway 系統(tǒng)配置及過濾策略，用戶界面友好，操作簡單。此外，由于其工作與使用的郵件和代理服務器具體類型無關，即使用戶更換了新的郵件和代理服務器，也無需修改 KILL Shield Gateway，從而保護用戶的已有投資。近幾年爆發(fā)流行的一些主要破壞事件，如尼姆 達（ Nimda）、紅色代碼（ CodeRed）、蠕蟲王（ Slammer）、沖擊波（ Blaster）等，都屬于蠕蟲攻擊，這些事件普遍導致了大面積的網(wǎng)絡癱瘓。赤霄過濾網(wǎng)關具 有卓越的病毒查殺能力，能夠?qū)Χ喾N常用協(xié)議（ SMTP、POP HTTP、 FTP 等）傳輸?shù)臄?shù)據(jù)進行病毒過濾?？赏ㄟ^自帶的垃圾郵件列表庫過濾當前絕大多數(shù)廣告、宣傳性質(zhì)的郵件。 內(nèi)容過濾 赤霄過濾網(wǎng)關采用 SBPH/BCR（ Sparse Binary Polynomial Hashing / Bayesian Chain Rule）這一稀疏多項哈希 /貝葉斯鏈技術進行內(nèi)容檢查，具有高度準確的內(nèi)容識別能力（精度高于99%）。 實時過濾及報警 赤霄過濾網(wǎng)關 實時過濾蠕蟲、病毒、垃圾郵件、非法內(nèi)容，阻止它們進入到用戶的網(wǎng)絡，并可根據(jù)系統(tǒng)安全管理策略記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。 雙機容錯 赤霄過濾網(wǎng)關支持 STP（ Spanning Tree Protocol），啟用 STP 后，當網(wǎng)絡中使用了兩臺 赤天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 霄過濾網(wǎng)關 時，如果主機出了問題，備機會接管網(wǎng)絡連接并進行過濾，滿足高可靠性的網(wǎng)絡對健壯性的要求。當達到處理極限后，進行緩沖處理，避免資源超載造成網(wǎng)絡中斷的現(xiàn)象。如果原有郵件服務器進行 SMTP 認證，在引入了KILL Shield Gateway 之后，該認證過程將由 KILL Shield Gateway 來進行。 KILL Shield Gateway 通過將郵件地址 和 SMTP 認證用戶進行綁定來識別偽裝郵件，從而確保郵件信息系統(tǒng)不被濫用和誤用。使用 KSG 郵件過濾系統(tǒng)放在 ISP 提供商的線路上，使用這種配置手法的優(yōu)點是：能同時過濾內(nèi)網(wǎng)（核心交換機①）與 DMZ 區(qū)的通信數(shù)據(jù)，起到全面保護的作用；缺點：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險。 （ 2）設備安裝 ISONE FW 防火墻具有“防火墻（ Firewall） + 非軍事區(qū)（ DMZ） + 網(wǎng)絡地址轉(zhuǎn)換（ NAT）+帶寬管理 + 代理服務器（ Proxy） +雙機熱備 + 簡單入侵檢測 + 用戶認證” 的功能；必須考慮 DMZ 區(qū)的應用所涉及的安裝接法，建議對 DMZ 區(qū)進行應用，將數(shù)據(jù)服務器、 WEB 服務器聯(lián)接到此區(qū)中；配合企業(yè)的需要，在郵件過濾網(wǎng)關與入侵檢測系統(tǒng)加載適合管理者需要的、天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 符合安全基準的安全策略。 第七章 產(chǎn)品類別、報價與售后服務 （ 1）產(chǎn)品類別 安氏 CyberWall200SP/006 專為具有復雜網(wǎng)絡結(jié)構(gòu)及嚴密安全需求的大中型企業(yè)用戶而設計，配備 6 個 10/100M 自感應端口，采用先進的安全域（ Security Zone）概念結(jié)構(gòu)，提供了復雜網(wǎng)絡多子網(wǎng)之間的安全控制方案，防火墻上的每個物理網(wǎng)口可以掛接任意多個邏輯子網(wǎng)，通過劃分安全級別域和設天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 置訪問控制規(guī)則來實現(xiàn)各端口、子網(wǎng)、安全域之間的 數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、 ASIC VPN（僅用于 200SP/006 型號）、入侵檢測、帶寬管理、防拒絕服務網(wǎng)關、多媒體通信安全、認證授權(quán)、內(nèi)容安全控制、 ADSL/ISDN 接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。赤霄過濾網(wǎng)關使用基于 SBPH/BCR（ Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術進行內(nèi)容檢查。可以自定義垃圾郵件 —限制郵件的大小、限制同一郵件的收信地址 數(shù)量、依據(jù) IP 地址進行過濾、依據(jù)郵箱地址進行過濾；支持對垃圾郵件列表（ RBL）的黑名單進行過濾，同時通過自帶的垃圾郵件列表庫可以過濾當前絕大多數(shù)廣告、推銷、宣傳等性質(zhì)的郵件。赤霄過濾 網(wǎng)關的配置管理采用 B/S 方式，用戶可使用瀏覽器遠程查看、修改系統(tǒng)配置及各項過濾策略，用戶界面友好，操作簡單。用戶可以根據(jù)實際網(wǎng)絡帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡性能。 大規(guī)模的入侵特征庫：干將入侵檢測系統(tǒng)實時地在網(wǎng)絡流量中察看是否包含入侵行為。 自身抗攻擊能力。 細致入微的數(shù)據(jù)包分析功能。干將入侵檢測系統(tǒng)目前能夠同 Check Point Firewall1/NG、Nokia 全系列防火墻、 eTrust 防火墻、 Cisco 路由器以及所有采用 OPSEC 標準的防火墻進行聯(lián)動。支持全交換網(wǎng)絡環(huán)境。 集成了防病毒引擎：干將入侵檢測系統(tǒng)采用 KILL 防病毒引擎來檢查網(wǎng)絡流量中是否包含病毒。采用 Crystal Reports 專業(yè)報表格式，能夠生成包括 HTML、 Word、 Excel、 Lotus Notes、 Txt 等十余種格式的報表。 遠程管理功能：遠程用戶能夠通過撥號方式訪問、察看并且監(jiān)控干將入侵檢測系統(tǒng)的運行情況。 。 中央管理機制：干將入侵檢測系統(tǒng)提供了強大的中央管理和策略分發(fā)機制。 強大的報警功能。網(wǎng)絡病毒流傳檢測功能對網(wǎng)絡病毒的及時檢測和防護是非常有必要的。這大大有利于提升網(wǎng)絡策略的規(guī)劃，并且提供了準確的網(wǎng)絡利用情況報告。 高負載網(wǎng)絡下的高性能。管理員能夠采用該措施對攻 擊行為進行自定義。 強大的攻擊特征自定義功能。 強大的碎片重組能力和抗入侵能力。安全是動態(tài)的，赤霄過濾網(wǎng)關通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲特征碼、病毒特征碼和入侵特征碼。發(fā)生郵件風暴或大量 HTTP 并發(fā)鏈接的時候，赤霄過濾網(wǎng)關會檢測系統(tǒng)資源的消耗情況。根據(jù)過濾對象的不同，赤霄過濾網(wǎng)關可以對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。支持對關鍵字、附件文件類型等方式的過濾。 CA KSG 郵件過濾網(wǎng)關 GXGSS100 赤霄過濾網(wǎng)關從多個層次來過濾蠕蟲，在網(wǎng)絡層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應用層過濾利用正常協(xié)議（ SMTP、 HTTP、 POP FTP 等）傳輸?shù)撵o態(tài)蠕蟲代碼。 （ 4）網(wǎng)絡安全管理員培訓 A 介紹網(wǎng)絡安全管理知識，常見的攻擊與防護； B 培訓墻火防的安裝、規(guī)則配置等； C 培訓入侵檢測及報表審核； D 培訓郵件過濾網(wǎng)關的規(guī)則配置； E 培訓安全評估的應用。 安全優(yōu)化方案②： 天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 說明： 方案②在核心交換機與入侵檢測系統(tǒng)的 排布上與方案①相同，只是在 KSG 郵件過濾系統(tǒng)的拓撲位置上將其原本的拓撲位置放進 DMZ 區(qū)、 MAIL 服務器的前端，優(yōu)點：能保證 KSG郵件過濾能保障處于 DMZ 區(qū)的 MAIL 服務器能正常運作；缺點：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。 第六章 實施方案 天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 （ 1）優(yōu)化方案 安全優(yōu)化方案①： 說明： 將原例圖交換機②外帶的三個網(wǎng)段加入交換機①，通過劃分 VLAN 的方式連接，這樣既也節(jié)省硬件資源（交換機②），也便于入侵檢測系統(tǒng)的集中管理。 如果用戶的 RELAY 郵件服務器不支持 SMTP 認證，可以使用 KILL Shield Gateway 的 SMTP認證擴展模塊，將 SMTP 認證協(xié)議轉(zhuǎn)變?yōu)閷?POP3 用戶的認證協(xié)議，進行發(fā)信認證。 完整的日志記錄，豐富的報表 赤霄過濾網(wǎng)關可提供詳盡、完整的過濾日志報告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計報表并支持數(shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應的過濾策略。用戶可以根據(jù)實際網(wǎng)絡帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡性能。 特征碼自動升級 安全是動態(tài)的， 赤霄過濾網(wǎng)關 通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。 高性能 赤霄過濾網(wǎng)關構(gòu)建在高性能的服務器硬件平臺上，采用高效過濾算法，具有極高的處理能力。采用貝葉斯技術進行智能過濾。該引擎還憑借其卓越的病毒查殺能力 19 次榮獲“ Virus Bulletin”（病毒公告牌）授予的“ VB 100%”獎，這一成就超過其它任何一個反病毒廠商。在網(wǎng)絡層和傳輸層阻擋蠕蟲利用系統(tǒng)漏洞發(fā)起的動態(tài)攻擊，在應用層過濾通過正常協(xié)議（ SMTP、 POP HTTP、 FTP 等）傳輸?shù)撵o態(tài)蠕蟲代碼。蠕蟲可以利用電子郵件、文件傳輸?shù)确绞綌U散，也可以利用系統(tǒng)漏洞進行主動攻擊。采用非透明模式時，對郵件系統(tǒng)，只需修改 DNS 配置，對代理服務器，只需指定其上一級代理為 KILL Shield Gateway，即可進行過濾工作。采用透明模式時，由于 KILL Shield Gateway 就是串聯(lián)在網(wǎng)絡當中，受保護網(wǎng)絡的所有 數(shù)據(jù)均經(jīng)過它，為物理網(wǎng)關，故配置要簡單的多。 KILL Shield Gateway 的 POP3 過濾模塊的工作原理如下圖所示： 啟用 POP3 過濾前，一般用戶接收郵件的過程為： HTTP/FTP Clients KShield 代理模塊 Inter HTTP/FTP Clients KShield 代理模塊 系統(tǒng)原有 Proxy Inter POP3 client POP3 服務器 天創(chuàng) 半導體公司內(nèi)部網(wǎng)絡安全解決方案 啟用 POP3 過濾后，郵件客戶端接收郵件的過程為： 郵件客戶端向 KILL Shield Gateway 發(fā)出 POP3 請求， KILL Shield Gateway 根據(jù)其提供的信息，向?qū)嶋H的 POP3 服務器發(fā)出請求接收郵件后，客戶端直接從 KILL Shield Gateway 接收郵件。 如網(wǎng)絡中使用了防火墻，可使用防火墻的重定向功能，將 80（ HTTP）， 21(FTP)端口的請求直接重定向到 KILL Shield Gateway,從而實現(xiàn)透明代理功能，客戶端不需配置任何代理服務器。 對于原有系統(tǒng)中沒有代理服務器的用戶環(huán)境，可以使用以下結(jié)構(gòu) ： 在這種使用方式下， 為中小型網(wǎng)絡用戶提供了一個功能完整，性能優(yōu)良的防病毒代理系統(tǒng)。要確保網(wǎng)絡內(nèi)部用戶下載的內(nèi)容的安全，只要確保它們的代理下載內(nèi)容的安全就可以了。 代理過濾模塊工作原理 KILL Sheild Gateway 的代理模塊相當于一個代理服務器 (Proxy Server)。因此一封具有一個收件人地址的 Email 可以有多個 MX 郵件服務器目標，每臺 MX 郵件服務器可以設置成不同的優(yōu)先級，高優(yōu)先級的郵件服務器將先進行處理，如果高優(yōu)先級的郵件服務器出現(xiàn)意外，郵件會自動發(fā)向第二優(yōu)先服務器，依次直到最低優(yōu)先級服務器。但是在有些情況下，也可能采用非透明模式。這樣，對內(nèi)部網(wǎng)絡， KSG 可以攔截內(nèi)部主機從 Inter下載的有害數(shù)據(jù)，同時也能攔截內(nèi)部主機發(fā)向 Inter 的攻擊數(shù)據(jù)。如圖所示。這種情況下，主要用于對用戶的郵件系統(tǒng)進行病毒過濾。 KILL Shield Gateway 的工作原理 根據(jù) KILL Shield Gateway 接入方式的不同，其過濾的工作原理也不同。 KILL Shield Ga