【正文】 火墻，可使用防火墻的重定向功能，將 80（ HTTP）， 21(FTP)端口的請(qǐng)求直接重定向到 KILL Shield Gateway,從而實(shí)現(xiàn)透明代理功能，客戶端不需配置任何代理服務(wù)器。采用透明模式時(shí)，由于 KILL Shield Gateway 就是串聯(lián)在網(wǎng)絡(luò)當(dāng)中，受保護(hù)網(wǎng)絡(luò)的所有 數(shù)據(jù)均經(jīng)過(guò)它，為物理網(wǎng)關(guān)，故配置要簡(jiǎn)單的多。蠕蟲(chóng)可以利用電子郵件、文件傳輸?shù)确绞綌U(kuò)散，也可以利用系統(tǒng)漏洞進(jìn)行主動(dòng)攻擊。該引擎還憑借其卓越的病毒查殺能力 19 次榮獲“ Virus Bulletin”（病毒公告牌）授予的“ VB 100%”獎(jiǎng)，這一成就超過(guò)其它任何一個(gè)反病毒廠商。 高性能 赤霄過(guò)濾網(wǎng)關(guān)構(gòu)建在高性能的服務(wù)器硬件平臺(tái)上，采用高效過(guò)濾算法，具有極高的處理能力。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過(guò)濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。 如果用戶的 RELAY 郵件服務(wù)器不支持 SMTP 認(rèn)證，可以使用 KILL Shield Gateway 的 SMTP認(rèn)證擴(kuò)展模塊，將 SMTP 認(rèn)證協(xié)議轉(zhuǎn)變?yōu)閷?duì) POP3 用戶的認(rèn)證協(xié)議，進(jìn)行發(fā)信認(rèn)證。 安全優(yōu)化方案②： 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 說(shuō)明： 方案②在核心交換機(jī)與入侵檢測(cè)系統(tǒng)的 排布上與方案①相同，只是在 KSG 郵件過(guò)濾系統(tǒng)的拓?fù)湮恢蒙蠈⑵湓镜耐負(fù)湮恢梅胚M(jìn) DMZ 區(qū)、 MAIL 服務(wù)器的前端，優(yōu)點(diǎn)：能保證 KSG郵件過(guò)濾能保障處于 DMZ 區(qū)的 MAIL 服務(wù)器能正常運(yùn)作；缺點(diǎn)：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。 CA KSG 郵件過(guò)濾網(wǎng)關(guān) GXGSS100 赤霄過(guò)濾網(wǎng)關(guān)從多個(gè)層次來(lái)過(guò)濾蠕蟲(chóng)，在網(wǎng)絡(luò)層和傳輸層過(guò)濾蠕蟲(chóng)利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過(guò)濾利用正常協(xié)議（ SMTP、 HTTP、 POP FTP 等）傳輸?shù)撵o態(tài)蠕蟲(chóng)代碼。根據(jù)過(guò)濾對(duì)象的不同，赤霄過(guò)濾網(wǎng)關(guān)可以對(duì)符合過(guò)濾條件的對(duì)象進(jìn)行拒絕、丟棄、攔截、清除、延時(shí)等多種過(guò)濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。安全是動(dòng)態(tài)的，赤霄過(guò)濾網(wǎng)關(guān)通過(guò)不斷地更新過(guò)濾特征碼來(lái)保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲(chóng)特征碼、病毒特征碼和入侵特征碼。 強(qiáng)大的攻擊特征自定義功能。 高負(fù)載網(wǎng)絡(luò)下的高性能。網(wǎng)絡(luò)病毒流傳檢測(cè)功能對(duì)網(wǎng)絡(luò)病毒的及時(shí)檢測(cè)和防護(hù)是非常有必要的。 中央管理機(jī)制：干將入侵檢測(cè)系統(tǒng)提供了強(qiáng)大的中央管理和策略分發(fā)機(jī)制。 遠(yuǎn)程管理功能：遠(yuǎn)程用戶能夠通過(guò)撥號(hào)方式訪問(wèn)、察看并且監(jiān)控干將入侵檢測(cè)系統(tǒng)的運(yùn)行情況。 集成了防病毒引擎：干將入侵檢測(cè)系統(tǒng)采用 KILL 防病毒引擎來(lái)檢查網(wǎng)絡(luò)流量中是否包含病毒。干將入侵檢測(cè)系統(tǒng)目前能夠同 Check Point Firewall1/NG、Nokia 全系列防火墻、 eTrust 防火墻、 Cisco 路由器以及所有采用 OPSEC 標(biāo)準(zhǔn)的防火墻進(jìn)行聯(lián)動(dòng)。 自身抗攻擊能力。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過(guò)濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡(luò)性能?？梢宰远x垃圾郵件 —限制郵件的大小、限制同一郵件的收信地址 數(shù)量、依據(jù) IP 地址進(jìn)行過(guò)濾、依據(jù)郵箱地址進(jìn)行過(guò)濾；支持對(duì)垃圾郵件列表（ RBL）的黑名單進(jìn)行過(guò)濾，同時(shí)通過(guò)自帶的垃圾郵件列表庫(kù)可以過(guò)濾當(dāng)前絕大多數(shù)廣告、推銷、宣傳等性質(zhì)的郵件。 第七章 產(chǎn)品類別、報(bào)價(jià)與售后服務(wù) （ 1）產(chǎn)品類別 安氏 CyberWall200SP/006 專為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴(yán)密安全需求的大中型企業(yè)用戶而設(shè)計(jì)，配備 6 個(gè) 10/100M 自感應(yīng)端口，采用先進(jìn)的安全域（ Security Zone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個(gè)物理網(wǎng)口可以掛接任意多個(gè)邏輯子網(wǎng)，通過(guò)劃分安全級(jí)別域和設(shè)天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 置訪問(wèn)控制規(guī)則來(lái)實(shí)現(xiàn)各端口、子網(wǎng)、安全域之間的 數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、 ASIC VPN（僅用于 200SP/006 型號(hào)）、入侵檢測(cè)、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認(rèn)證授權(quán)、內(nèi)容安全控制、 ADSL/ISDN 接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。使用 KSG 郵件過(guò)濾系統(tǒng)放在 ISP 提供商的線路上，使用這種配置手法的優(yōu)點(diǎn)是：能同時(shí)過(guò)濾內(nèi)網(wǎng)（核心交換機(jī)①）與 DMZ 區(qū)的通信數(shù)據(jù)，起到全面保護(hù)的作用；缺點(diǎn)：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險(xiǎn)。如果原有郵件服務(wù)器進(jìn)行 SMTP 認(rèn)證，在引入了KILL Shield Gateway 之后，該認(rèn)證過(guò)程將由 KILL Shield Gateway 來(lái)進(jìn)行。 雙機(jī)容錯(cuò) 赤霄過(guò)濾網(wǎng)關(guān)支持 STP（ Spanning Tree Protocol），啟用 STP 后，當(dāng)網(wǎng)絡(luò)中使用了兩臺(tái) 赤天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 霄過(guò)濾網(wǎng)關(guān) 時(shí)，如果主機(jī)出了問(wèn)題，備機(jī)會(huì)接管網(wǎng)絡(luò)連接并進(jìn)行過(guò)濾，滿足高可靠性的網(wǎng)絡(luò)對(duì)健壯性的要求。 內(nèi)容過(guò)濾 赤霄過(guò)濾網(wǎng)關(guān)采用 SBPH/BCR（ Sparse Binary Polynomial Hashing / Bayesian Chain Rule）這一稀疏多項(xiàng)哈希 /貝葉斯鏈技術(shù)進(jìn)行內(nèi)容檢查，具有高度準(zhǔn)確的內(nèi)容識(shí)別能力（精度高于99%）。赤霄過(guò)濾網(wǎng)關(guān)具 有卓越的病毒查殺能力，能夠?qū)Χ喾N常用協(xié)議（ SMTP、POP HTTP、 FTP 等）傳輸?shù)臄?shù)據(jù)進(jìn)行病毒過(guò)濾。此外，由于其工作與使用的郵件和代理服務(wù)器具體類型無(wú)關(guān)，即使用戶更換了新的郵件和代理服務(wù)器，也無(wú)需修改 KILL Shield Gateway，從而保護(hù)用戶的已有投資。 總結(jié)：采用非透明模式將 KILL Shield Gateway 連接到網(wǎng)絡(luò)中時(shí)，它相當(dāng)于一個(gè) 邏輯過(guò)濾網(wǎng)關(guān)。 綜上所述，要達(dá)到如上所示的過(guò)濾效果，主要有三種配置方式： 如系統(tǒng)原有代理服務(wù)器時(shí)，可配置該代理服務(wù)器的代理為 KILL Shield Gateway，這樣一方面可達(dá)到過(guò)濾效果，一方面客戶端不需對(duì)原有配置做任何更改。使用代理服務(wù)器后，它處在客戶機(jī)和服務(wù)器之天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 間，對(duì)于遠(yuǎn)程服務(wù)器而言，它是客戶機(jī)，可向服務(wù)器提出各種服務(wù)申請(qǐng)；對(duì)于客戶機(jī)而言，它則是服務(wù)器，它接受客戶機(jī)提出的申請(qǐng)并提供相應(yīng)的服務(wù)。 SMTP 郵件過(guò)濾模塊工作原理 KILL Shield Gateway 的 SMTP 過(guò)濾主要是利用郵件路由協(xié)議的特點(diǎn)進(jìn)行工作。其中 DMZ 區(qū)中為重要的服務(wù)器，如 FTP 服務(wù)器， Web 服務(wù)器，郵件服務(wù)器等。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。 KILL Shield 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 Gateway 獨(dú)有的抗蠕蟲(chóng)攻擊技術(shù)（ AntiWorm）能夠全方位 抵御所有已知蠕蟲(chóng)病毒的攻擊和傳播，可以阻斷后門程序、 DoS/DDoS 等動(dòng)態(tài)入侵攻擊行為。軟件安裝完畢并指定一個(gè)存檔位置后，用戶定義一個(gè)可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件還包含一個(gè)中央事件數(shù)據(jù)庫(kù)、附加報(bào)表以及一個(gè)分布式的內(nèi)容查看器。黑客常常在沒(méi)有察覺(jué)的情況下被抓獲，因?yàn)樗麄儾恢浪麄円恢笔艿矫芮斜O(jiān)視。通過(guò)以上措施，網(wǎng)絡(luò)入侵檢測(cè) (eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運(yùn)行情況 (例如，它可以給出違反策略的數(shù)量及其來(lái)源的詳細(xì)統(tǒng)計(jì)報(bào)表。用戶在購(gòu)買 LinkTrustTM CyberWall 時(shí)可以選擇是否增加 SmartProtector 功能 ”。 SmartProtector 的主要功能為： 基于協(xié)議分析和攻擊特征分析技術(shù)， 檢測(cè) 并阻斷 防火墻無(wú)法防止的攻擊 ，與 防火墻 互動(dòng)修改相應(yīng)的防火墻規(guī)則 ， 同時(shí)通過(guò)控制臺(tái)報(bào)警。 （ 3）實(shí)施目標(biāo) 啟用防火墻的 VPN 功能通過(guò) PPTP 對(duì)網(wǎng)絡(luò)進(jìn)行 VPN 服務(wù)與管理；在防火墻處啟用 URL過(guò)濾，禁止員工訪問(wèn)（下載） *.mp *.rm 文件；通過(guò)相關(guān)的包過(guò)濾規(guī)則 防止員工在內(nèi)網(wǎng)使用特定的工具進(jìn)行文件傳輸；配置過(guò)濾網(wǎng)關(guān)的郵件處理規(guī)則對(duì)客戶端進(jìn)行相應(yīng)的管理，達(dá)到優(yōu)化 MAIL 服務(wù)的效果。 第四章 天創(chuàng) 半導(dǎo)體公司安全需求 (1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 當(dāng)前 天創(chuàng) 公司已經(jīng)實(shí)施了 INTERNET 入口的防火墻隔離， MAIL 服務(wù)器通過(guò) DMZ 區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴(kuò)展問(wèn)題，存在著防火墻端口不夠用的情況，且對(duì)于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來(lái)解決這個(gè)問(wèn)題。 制訂完備的系統(tǒng)維護(hù)制度 對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。具體的活動(dòng)有： 訪問(wèn)控制使用證件的發(fā)放與回收； 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 處理保密信息 ； 硬件和軟件的維護(hù)； 系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改； 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限原則：一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 安全管理 為了保護(hù)網(wǎng)絡(luò)的安全性，除 了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略： 對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對(duì) Inter 公開(kāi)；關(guān)鍵性信息不直接公開(kāi)，盡可能采用安全性高的操作系統(tǒng)。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問(wèn)或?qū)W(wǎng)絡(luò)攻擊 及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。 B 檢測(cè)病毒技術(shù)：它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。這樣，就能防止影響一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。 配備相應(yīng)的安全設(shè)備 在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。 在網(wǎng)絡(luò)的安全方面，主要考慮兩個(gè)大的層次，一是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實(shí) 際上，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 容易，且花費(fèi)也小得多。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。當(dāng)有些表面看起來(lái)無(wú)害的數(shù)據(jù)通過(guò)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。因此，許多管理員認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)裝上防火墻，就可以“高枕無(wú)憂”、“萬(wàn)事大吉 ”了。 攻擊監(jiān)控 通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的 攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息，竊取用戶的口令、 應(yīng)用 數(shù)據(jù)庫(kù) 中 的 重要數(shù)據(jù) ；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份， 信任 自己的簽名。 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失 。所以，網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)可能存在的安全威脅來(lái)自以下方面： 操作 系統(tǒng)的安全性。并且，人們利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來(lái)，相互通信和共享資源。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險(xiǎn)：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽(yù)損害等等。目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個(gè)人都日益重視這一重要問(wèn)題。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。 計(jì)算機(jī)安全的內(nèi)容應(yīng)包括兩方面：即物理安全和邏輯安全。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)。超過(guò) 50%的安全威脅來(lái)自內(nèi)部；只有 17%的公司愿意報(bào)告黑客入侵，其他的由于擔(dān)心負(fù)面影響而未聲張。 受到此類攻擊對(duì)于政府部門，大型企業(yè)而言影響是尤為惡 劣的。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 備份和恢復(fù) 良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 A 防內(nèi)不防外。而且安全策略越多，造成拒絕服務(wù)的可能性就越大。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。 分步實(shí)施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。安全應(yīng)用由一些安全服務(wù)來(lái)實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來(lái)實(shí)現(xiàn)的。 網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、審記與實(shí)時(shí)告警等功能。 網(wǎng)絡(luò)安全檢測(cè) 網(wǎng)