【正文】 火墻，可使用防火墻的重定向功能，將 80（ HTTP）， 21(FTP)端口的請求直接重定向到 KILL Shield Gateway,從而實現(xiàn)透明代理功能，客戶端不需配置任何代理服務(wù)器。采用透明模式時，由于 KILL Shield Gateway 就是串聯(lián)在網(wǎng)絡(luò)當(dāng)中，受保護(hù)網(wǎng)絡(luò)的所有 數(shù)據(jù)均經(jīng)過它，為物理網(wǎng)關(guān)，故配置要簡單的多。蠕蟲可以利用電子郵件、文件傳輸?shù)确绞綌U(kuò)散，也可以利用系統(tǒng)漏洞進(jìn)行主動攻擊。該引擎還憑借其卓越的病毒查殺能力 19 次榮獲“ Virus Bulletin”（病毒公告牌）授予的“ VB 100%”獎，這一成就超過其它任何一個反病毒廠商。 高性能 赤霄過濾網(wǎng)關(guān)構(gòu)建在高性能的服務(wù)器硬件平臺上，采用高效過濾算法，具有極高的處理能力。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。 如果用戶的 RELAY 郵件服務(wù)器不支持 SMTP 認(rèn)證，可以使用 KILL Shield Gateway 的 SMTP認(rèn)證擴(kuò)展模塊，將 SMTP 認(rèn)證協(xié)議轉(zhuǎn)變?yōu)閷?POP3 用戶的認(rèn)證協(xié)議，進(jìn)行發(fā)信認(rèn)證。 安全優(yōu)化方案②： 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 說明： 方案②在核心交換機(jī)與入侵檢測系統(tǒng)的 排布上與方案①相同，只是在 KSG 郵件過濾系統(tǒng)的拓?fù)湮恢蒙蠈⑵湓镜耐負(fù)湮恢梅胚M(jìn) DMZ 區(qū)、 MAIL 服務(wù)器的前端，優(yōu)點：能保證 KSG郵件過濾能保障處于 DMZ 區(qū)的 MAIL 服務(wù)器能正常運(yùn)作；缺點：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。 CA KSG 郵件過濾網(wǎng)關(guān) GXGSS100 赤霄過濾網(wǎng)關(guān)從多個層次來過濾蠕蟲，在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過濾利用正常協(xié)議（ SMTP、 HTTP、 POP FTP 等）傳輸?shù)撵o態(tài)蠕蟲代碼。根據(jù)過濾對象的不同，赤霄過濾網(wǎng)關(guān)可以對符合過濾條件的對象進(jìn)行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲特征碼、病毒特征碼和入侵特征碼。 強(qiáng)大的攻擊特征自定義功能。 高負(fù)載網(wǎng)絡(luò)下的高性能。網(wǎng)絡(luò)病毒流傳檢測功能對網(wǎng)絡(luò)病毒的及時檢測和防護(hù)是非常有必要的。 中央管理機(jī)制：干將入侵檢測系統(tǒng)提供了強(qiáng)大的中央管理和策略分發(fā)機(jī)制。 遠(yuǎn)程管理功能：遠(yuǎn)程用戶能夠通過撥號方式訪問、察看并且監(jiān)控干將入侵檢測系統(tǒng)的運(yùn)行情況。 集成了防病毒引擎：干將入侵檢測系統(tǒng)采用 KILL 防病毒引擎來檢查網(wǎng)絡(luò)流量中是否包含病毒。干將入侵檢測系統(tǒng)目前能夠同 Check Point Firewall1/NG、Nokia 全系列防火墻、 eTrust 防火墻、 Cisco 路由器以及所有采用 OPSEC 標(biāo)準(zhǔn)的防火墻進(jìn)行聯(lián)動。 自身抗攻擊能力。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡(luò)性能?？梢宰远x垃圾郵件 —限制郵件的大小、限制同一郵件的收信地址 數(shù)量、依據(jù) IP 地址進(jìn)行過濾、依據(jù)郵箱地址進(jìn)行過濾；支持對垃圾郵件列表（ RBL）的黑名單進(jìn)行過濾，同時通過自帶的垃圾郵件列表庫可以過濾當(dāng)前絕大多數(shù)廣告、推銷、宣傳等性質(zhì)的郵件。 第七章 產(chǎn)品類別、報價與售后服務(wù) （ 1）產(chǎn)品類別 安氏 CyberWall200SP/006 專為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴(yán)密安全需求的大中型企業(yè)用戶而設(shè)計，配備 6 個 10/100M 自感應(yīng)端口，采用先進(jìn)的安全域（ Security Zone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個物理網(wǎng)口可以掛接任意多個邏輯子網(wǎng)，通過劃分安全級別域和設(shè)天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 置訪問控制規(guī)則來實現(xiàn)各端口、子網(wǎng)、安全域之間的 數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、 ASIC VPN（僅用于 200SP/006 型號）、入侵檢測、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認(rèn)證授權(quán)、內(nèi)容安全控制、 ADSL/ISDN 接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。使用 KSG 郵件過濾系統(tǒng)放在 ISP 提供商的線路上，使用這種配置手法的優(yōu)點是：能同時過濾內(nèi)網(wǎng)（核心交換機(jī)①）與 DMZ 區(qū)的通信數(shù)據(jù)，起到全面保護(hù)的作用；缺點：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險。如果原有郵件服務(wù)器進(jìn)行 SMTP 認(rèn)證，在引入了KILL Shield Gateway 之后，該認(rèn)證過程將由 KILL Shield Gateway 來進(jìn)行。 雙機(jī)容錯 赤霄過濾網(wǎng)關(guān)支持 STP（ Spanning Tree Protocol），啟用 STP 后，當(dāng)網(wǎng)絡(luò)中使用了兩臺 赤天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 霄過濾網(wǎng)關(guān) 時，如果主機(jī)出了問題，備機(jī)會接管網(wǎng)絡(luò)連接并進(jìn)行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。 內(nèi)容過濾 赤霄過濾網(wǎng)關(guān)采用 SBPH/BCR（ Sparse Binary Polynomial Hashing / Bayesian Chain Rule）這一稀疏多項哈希 /貝葉斯鏈技術(shù)進(jìn)行內(nèi)容檢查，具有高度準(zhǔn)確的內(nèi)容識別能力（精度高于99%）。赤霄過濾網(wǎng)關(guān)具 有卓越的病毒查殺能力，能夠?qū)Χ喾N常用協(xié)議（ SMTP、POP HTTP、 FTP 等）傳輸?shù)臄?shù)據(jù)進(jìn)行病毒過濾。此外，由于其工作與使用的郵件和代理服務(wù)器具體類型無關(guān)，即使用戶更換了新的郵件和代理服務(wù)器，也無需修改 KILL Shield Gateway，從而保護(hù)用戶的已有投資。 總結(jié)：采用非透明模式將 KILL Shield Gateway 連接到網(wǎng)絡(luò)中時，它相當(dāng)于一個 邏輯過濾網(wǎng)關(guān)。 綜上所述，要達(dá)到如上所示的過濾效果，主要有三種配置方式： 如系統(tǒng)原有代理服務(wù)器時，可配置該代理服務(wù)器的代理為 KILL Shield Gateway，這樣一方面可達(dá)到過濾效果，一方面客戶端不需對原有配置做任何更改。使用代理服務(wù)器后，它處在客戶機(jī)和服務(wù)器之天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 間，對于遠(yuǎn)程服務(wù)器而言，它是客戶機(jī)，可向服務(wù)器提出各種服務(wù)申請；對于客戶機(jī)而言，它則是服務(wù)器，它接受客戶機(jī)提出的申請并提供相應(yīng)的服務(wù)。 SMTP 郵件過濾模塊工作原理 KILL Shield Gateway 的 SMTP 過濾主要是利用郵件路由協(xié)議的特點進(jìn)行工作。其中 DMZ 區(qū)中為重要的服務(wù)器，如 FTP 服務(wù)器， Web 服務(wù)器，郵件服務(wù)器等。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。 KILL Shield 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 Gateway 獨有的抗蠕蟲攻擊技術(shù)（ AntiWorm）能夠全方位 抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、 DoS/DDoS 等動態(tài)入侵攻擊行為。軟件安裝完畢并指定一個存檔位置后，用戶定義一個可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件還包含一個中央事件數(shù)據(jù)庫、附加報表以及一個分布式的內(nèi)容查看器。黑客常常在沒有察覺的情況下被抓獲，因為他們不知道他們一直受到密切監(jiān)視。通過以上措施，網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運(yùn)行情況 (例如，它可以給出違反策略的數(shù)量及其來源的詳細(xì)統(tǒng)計報表。用戶在購買 LinkTrustTM CyberWall 時可以選擇是否增加 SmartProtector 功能 ”。 SmartProtector 的主要功能為： 基于協(xié)議分析和攻擊特征分析技術(shù)， 檢測 并阻斷 防火墻無法防止的攻擊 ，與 防火墻 互動修改相應(yīng)的防火墻規(guī)則 ， 同時通過控制臺報警。 （ 3）實施目標(biāo) 啟用防火墻的 VPN 功能通過 PPTP 對網(wǎng)絡(luò)進(jìn)行 VPN 服務(wù)與管理；在防火墻處啟用 URL過濾，禁止員工訪問（下載） *.mp *.rm 文件；通過相關(guān)的包過濾規(guī)則 防止員工在內(nèi)網(wǎng)使用特定的工具進(jìn)行文件傳輸；配置過濾網(wǎng)關(guān)的郵件處理規(guī)則對客戶端進(jìn)行相應(yīng)的管理，達(dá)到優(yōu)化 MAIL 服務(wù)的效果。 第四章 天創(chuàng) 半導(dǎo)體公司安全需求 (1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 當(dāng)前 天創(chuàng) 公司已經(jīng)實施了 INTERNET 入口的防火墻隔離， MAIL 服務(wù)器通過 DMZ 區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴(kuò)展問題，存在著防火墻端口不夠用的情況，且對于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來解決這個問題。 制訂完備的系統(tǒng)維護(hù)制度 對系統(tǒng)進(jìn)行維護(hù)時，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。具體的活動有： 訪問控制使用證件的發(fā)放與回收； 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 處理保密信息 ； 硬件和軟件的維護(hù)； 系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改； 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限原則：一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久性的。 安全管理 為了保護(hù)網(wǎng)絡(luò)的安全性，除 了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。對于操作系統(tǒng)的安全防范可以采取如下策略： 對操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對 Inter 公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊 及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。 B 檢測病毒技術(shù)：它是通過對計算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。這樣，就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。 配備相應(yīng)的安全設(shè)備 在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施之一。 在網(wǎng)絡(luò)的安全方面，主要考慮兩個大的層次，一是整個網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個網(wǎng)絡(luò)系統(tǒng)的安全。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細(xì)設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實 際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 容易，且花費也小得多。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。因此，許多管理員認(rèn)為，計算機(jī)網(wǎng)絡(luò)裝上防火墻，就可以“高枕無憂”、“萬事大吉 ”了。 攻擊監(jiān)控 通過對特定網(wǎng)段、服務(wù)建立的 攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、 應(yīng)用 數(shù)據(jù)庫 中 的 重要數(shù)據(jù) ；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份， 信任 自己的簽名。 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失 。所以，網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： 操作 系統(tǒng)的安全性。并且，人們利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來，相互通信和共享資源。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽(yù)損害等等。目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個人都日益重視這一重要問題。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。 計算機(jī)安全的內(nèi)容應(yīng)包括兩方面：即物理安全和邏輯安全。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。超過 50%的安全威脅來自內(nèi)部；只有 17%的公司愿意報告黑客入侵，其他的由于擔(dān)心負(fù)面影響而未聲張。 受到此類攻擊對于政府部門，大型企業(yè)而言影響是尤為惡 劣的。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 備份和恢復(fù) 良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 A 防內(nèi)不防外。而且安全策略越多，造成拒絕服務(wù)的可能性就越大。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。 分步實施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。安全應(yīng)用由一些安全服務(wù)來實現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實現(xiàn)的。 網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、審記與實時告警等功能。 網(wǎng)絡(luò)安全檢測 網(wǎng)