【文章內(nèi)容簡介】 夠設定郵件發(fā)送速率的門限值178。 病毒掃描、附件類型和附件大小過濾、關鍵字過濾等178。 支持貝葉斯過濾、可追查性檢查、發(fā)件人認證等反垃圾郵件功能l 豐富的VPN特性使組網(wǎng)變得簡單178。 豐富的手段：支持IPSec VPN、SSL VPN、L2TP和GRE178。 靈活的部署：IPSec全面支持NAT穿越，支持HubSpoken、FullMesh、DVPN等部署；SSL VPN支持Web、Agent、Tunnel應用方式，支持端到端部署178。 IPSec VPN支持DES、3DES、AES12AES19AES25國密SCB2等加密算法，支持MDSHA等認證算法l 精確的抗DoS攻擊能力178。 支持對JoltLandbase、ping of death、syn flag、Tear drop、winnuke、smurf、TCP flag、ARP攻擊、TCP掃描、UDP掃描、ping掃描等各種DOS攻擊和掃描事件的檢測和防御178。 采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務攻擊的準確性和全面性l 完善的上網(wǎng)行為管理178。 P2P控制：對eMule、BitTorrent、Maze、Kazaa等進行阻斷、限速； 178。 IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如、MSN、雅虎通、Gtalk、Skype178。 流媒體控制：對流媒體應用進行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、直播、TVAnts、沸點網(wǎng)絡電視、貓撲播霸等178。 網(wǎng)絡游戲控制：對常見網(wǎng)絡游戲如魔獸世界、征途、游戲大廳、聯(lián)眾游戲大廳等的阻斷178。 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 獨有的內(nèi)網(wǎng)安全管理特性178。 終端安全部署：內(nèi)置我的天珣內(nèi)網(wǎng)安全服務器，可以為客戶端部署天珣終端安全軟件；178。 終端準入控制：由天珣終端軟件進行各種安全性檢查，USG網(wǎng)關根據(jù)檢查結(jié)果進行準入控制，杜絕不安全的終端接入，保障內(nèi)網(wǎng)合規(guī)；178。 終端安全管理：通過USG向終端下發(fā)安全策略，能夠?qū)尤刖W(wǎng)絡的所有終端進行進程管理、服務管理、網(wǎng)絡應用管理和補丁管理。l 強大的日志報表功能178。 記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄178。 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關鍵字等進行查詢178。 報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。l 方便的集中管理功能178。 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲顯示，能夠?qū)Χ嗯_設備的日志和流量信息進行記錄。. 入侵檢測系統(tǒng)(IDS)設計在傳統(tǒng)的網(wǎng)絡信息安全概念里，似乎配置了防火墻就標志著網(wǎng)絡的安全，其實不然，防火墻僅僅是部署在網(wǎng)絡邊界的安全設備，它的作用是防止外部的非法入侵，僅僅相當于計算機網(wǎng)絡的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡；另外，據(jù)統(tǒng)計有70％以上的攻擊事件來自內(nèi)部網(wǎng)絡，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足，為網(wǎng)絡信息安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤、恢復、斷開網(wǎng)絡連接等。入侵檢測系統(tǒng)是實時的網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它運行于敏感數(shù)據(jù)需要保護的網(wǎng)絡上，通過實時監(jiān)聽網(wǎng)絡數(shù)據(jù)流，識別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進行響應，同時可以對穿透防火墻進行攻擊的數(shù)據(jù)流進行響應。在被保護的局域網(wǎng)中，入侵檢測設備應安裝在主交換機上,這些保護措施主要是為了監(jiān)控經(jīng)過網(wǎng)絡出入口及對重點服務器進行訪問的數(shù)據(jù)流。入侵檢測報警日志的功能是通過對所有對網(wǎng)絡系統(tǒng)有可能造成危害的數(shù)據(jù)流進行報警及響應。由于網(wǎng)絡攻擊大多來自于網(wǎng)絡的出口位置，入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報警日志，是作為受到網(wǎng)絡攻擊的主要證據(jù)。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡信息安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進行響應。從網(wǎng)絡信息安全防護上講，防火墻技術(shù)給出了一個靜態(tài)防護的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。在**集團網(wǎng)絡入侵檢測系統(tǒng)配置中，我們對網(wǎng)絡系統(tǒng)進行實時監(jiān)控與阻斷響應，它集成了在線網(wǎng)絡入侵監(jiān)測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡資源運行狀況，為網(wǎng)絡管理員及時提供網(wǎng)絡入侵預警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進一步行動提供了強有力的技術(shù)支持，大大加強了對惡意黑客的威懾力量。 部署方案根據(jù)**集團網(wǎng)絡的現(xiàn)狀和日后的發(fā)展需要，通過部署我公司的天闐入侵檢測與管理系統(tǒng)1. 實時分析進出網(wǎng)絡的數(shù)據(jù)和訪問連接，及時檢測出混雜在正常數(shù)據(jù)流中的惡意入侵和攻擊，保護各級網(wǎng)絡的安全。2. 對**集團網(wǎng)絡邊界點的數(shù)據(jù)進行監(jiān)測，防止黑客的入侵。3. 監(jiān)視**集團網(wǎng)絡內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。4. 對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。5. 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻聯(lián)動。6. 對關鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。 系統(tǒng)功能通過使用網(wǎng)絡入侵檢測系統(tǒng)，我們可以做到：l 全面的入侵檢測入侵檢測能力取決于兩個方面的技術(shù)：攻擊特征分析技術(shù)和入侵檢測支撐技術(shù)。在入侵檢測的支撐技術(shù)上，技術(shù)優(yōu)勢體現(xiàn)在高速捕包、深入?yún)f(xié)議分析技術(shù)、高速樹型匹配技術(shù)、防躲避處理技術(shù)以及事件風暴處理技術(shù)等多個方面，有效地保證了入侵檢測的準確性、有效性和高性能。對**集團網(wǎng)網(wǎng)絡系統(tǒng)各級網(wǎng)絡邊界點的數(shù)據(jù)進行監(jiān)測，防止黑客的入侵。l 以入侵檢測為核心的動態(tài)安全體系隨著網(wǎng)絡脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡信息安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應網(wǎng)絡信息安全的需要。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補，可以提高系統(tǒng)對安全事件響應的準確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強了入侵檢測系統(tǒng)的響應能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機動性和實時反應能力。因此， 以入侵檢測系統(tǒng)為核心的動態(tài)防御體系，可以實現(xiàn)入侵檢測和防火墻、入侵檢測和漏洞掃描等防護系統(tǒng)的聯(lián)動。入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下：入侵檢測系統(tǒng)與防火墻的聯(lián)動l 入侵檢測系統(tǒng)可以進行針對TCP連接的阻斷。但是，對于網(wǎng)絡上的錯綜復雜的攻擊事件，網(wǎng)絡入侵檢測系統(tǒng)的防護效果還是不夠全面。防火墻作為網(wǎng)絡系統(tǒng)的專用的安全防護工具，其防護能力與入侵檢測產(chǎn)品的響應能力可以相互補充。所以，使用入侵檢測系統(tǒng)與防火墻聯(lián)動方式，來實現(xiàn)整體防護。當入侵檢測檢測到此攻擊事件時，會實時的傳送一個防護策略給防火墻，由防火墻來執(zhí)行此策略，實現(xiàn)入侵阻斷。l 入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)的聯(lián)動入侵檢測在發(fā)現(xiàn)攻擊行為的同時，發(fā)出指令通知漏洞掃描系統(tǒng)，對被攻擊目標機或攻擊源進行掃描，來確認攻擊源的存在和被攻擊機系統(tǒng)存在的漏洞，以作到主動防御。同時，通過獲得漏洞掃描系統(tǒng)的掃描結(jié)果，可動態(tài)修改入侵檢測系統(tǒng)的檢測策略，使入侵檢測系統(tǒng)的事件報警更加準確，提高入侵檢測系統(tǒng)的運行效率。l 基于入侵檢測系統(tǒng)的應急響應通過入侵檢測系統(tǒng)的強大功能為應急響應提供有力的技術(shù)支撐和充足的信息支持，實施應急響應來解決實際的網(wǎng)絡信息安全問題。入侵檢測系統(tǒng)的應急響應體系的架構(gòu)如下圖示。其中，技術(shù)包括4個方面：檢測發(fā)現(xiàn)、事件分析、事件報警、事件處理，這是一個安全事件的發(fā)現(xiàn)和處理流程。具有這幾項技術(shù)的支撐是具有龐大的知識庫，能夠進行入侵管理。而應急響應體系的組織結(jié)構(gòu)、處理規(guī)范、響應流程都是保證應急響應能夠正常開展的管理要素。l 異常流量分析實時監(jiān)控網(wǎng)絡流量，進行網(wǎng)絡流量的分類分析和統(tǒng)計；產(chǎn)生例如提供點對點數(shù)據(jù)流量及流量排名的詳細圖表；定義流量異常的閥值，對異常流量進行實時報警。l 內(nèi)容異常分析基于異常的檢測技術(shù)可以發(fā)現(xiàn)可疑的網(wǎng)絡行為，能夠?qū)ξ粗墓舴绞桨l(fā)出預警信號，是對其他方法的有利補充。同時，采用“多目標跟蹤鎖定”功能，對用戶所設定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示，“凸出”用戶所關心的信息。l 行為關聯(lián)分析一個真正的攻擊不是一個單獨的行為就可以發(fā)現(xiàn)，必須分析一系列的單獨行為，找到其中的行為關聯(lián)關系，才能更好地識別攻擊，管理已發(fā)生的入侵事件，處理垃圾報警信息，準確描述攻擊行為。l 網(wǎng)絡病毒分析針對當前流行的網(wǎng)絡蠕蟲和病毒進行預警，包括Nimda蠕蟲、Sql slammer蠕蟲等。強調(diào)實現(xiàn)以入侵檢測為核心的安全防御體系。入侵檢測系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡管理系統(tǒng)等安全產(chǎn)品均可實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應急響應的一個組成部分，使得以前相互獨立、需要在不同的時間段內(nèi)完成的入侵檢測和應急響應兩個階段有機地融為一體。l 入侵管理入侵管理技術(shù)是應急響應體系的核心支撐技術(shù)。入侵檢測系統(tǒng)不僅能抓取網(wǎng)絡中的數(shù)據(jù)流并進行分析，與事件庫中的入侵行為進行模式匹配，從而對入侵行為進行報警，而且能夠進行完備的協(xié)議分析，保證對數(shù)據(jù)流的分析是比較完整的。同時，好的入侵檢測系統(tǒng)還具有異常統(tǒng)計的功能，以降低誤報率，提高工作效率。隨著入侵檢測技術(shù)的發(fā)展，入侵檢測系統(tǒng)還能夠與防火墻、漏洞掃描系統(tǒng)網(wǎng)管等其它安全產(chǎn)品進行廣泛的聯(lián)合，組成入侵防御系統(tǒng)。為了提高入侵檢測系統(tǒng)的可用性，提高對應急響應體系的支持力度，還應加強入侵檢測系統(tǒng)的安全防范及管理功能，提高對全局入侵行為的可視管理。具有良好可視化、可控性、可管理性的新一代入侵檢測系統(tǒng)可稱為入侵管理系統(tǒng)。l 入侵驗證入侵驗證系統(tǒng)根據(jù)入侵檢測系統(tǒng)發(fā)現(xiàn)的網(wǎng)絡信息安全事件，對被攻擊網(wǎng)絡或主機進行攻擊后果的驗證，并將攻擊后果返回給控制中心，供管理者做決策參考。l 與網(wǎng)管系統(tǒng)結(jié)合安全和網(wǎng)管系統(tǒng)結(jié)合，入侵管理平臺將預警事件分級、分類、自動上報給網(wǎng)管系統(tǒng)，供網(wǎng)絡管理員做全局安全事件分析。l 可視化用可視化的方式顯示當前安全態(tài)勢，用不同的顏色和形狀表示關鍵點（如外部IP）?？筛鶕?jù)需要設置條件，實時顯示TOP10事件，包括攻擊源、目標的MAC地址、IP地址，流量信息；對各種協(xié)議相關事件如Telnet、SMTP，按需要進行回放。l 事件自定義事件自定義功能，以深層協(xié)議分析為基礎，能夠?qū)崿F(xiàn)：216。 對攻擊特征進行多樣化、靈活定義，可以使我公司保證對最新攻擊方法的迅速反應和升級，同時可以協(xié)助用戶直接定義針對其特殊應用的攻擊和威脅。216。 用戶可以方便地修改協(xié)議端口默認值，滿足用戶保護特殊網(wǎng)絡應用的需要，同時有效防止黑客以變形木馬等方式躲避入侵檢測系統(tǒng)監(jiān)控的攻擊。216。 用戶可以自定義所關注的敏感信息，加強內(nèi)外部信息的審查，如商業(yè)機密，反動、黃色、暴力等信息。216。 用戶可以定義與指定的人、郵件、IP地址等有關的行為，實現(xiàn)對重點目標的保護和對重點懷疑對象異常行為的有效監(jiān)控。l 策略自定義入侵檢測系統(tǒng)內(nèi)置檢測策略，可以供用戶選用。同時，入侵檢測系統(tǒng)應允許有經(jīng)驗的用戶根據(jù)網(wǎng)絡中數(shù)據(jù)流的特點，提供靈活的安全策略管理機制，利用系統(tǒng)中的事件定義模板，定制網(wǎng)絡中可疑行為和監(jiān)控對象，定制相應的檢測策略，并對這些行為進行響應，做到重點監(jiān)測、量體裁衣，報告用戶最為關注的事件，充分提高入侵檢測系統(tǒng)的檢測效率，降低誤報率。l 引擎自定義提供不同作用、基于不同環(huán)境的入侵檢測探測引擎。包括基于百兆網(wǎng)的網(wǎng)絡入侵檢測系統(tǒng)引擎、基于千兆網(wǎng)的網(wǎng)絡入侵檢測系統(tǒng)引擎、基于Windows平臺的主機入侵檢測系統(tǒng)引擎、基于AIX、Solaris平臺的主機入侵檢測系統(tǒng)引擎等。這些引擎都可以被統(tǒng)一的入侵管理平臺所管理。. 脆弱性掃描系統(tǒng)設計（漏洞掃描）網(wǎng)絡的應用越來越廣泛，而網(wǎng)絡不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關操作系統(tǒng)、網(wǎng)絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易的破壞乃至完全的控制系統(tǒng)；另外，由于管理員的疏忽或者技術(shù)水平的限制造成的配置漏洞也是廣泛存在的，這對于系統(tǒng)的威脅同樣很嚴重。動態(tài)安全的概念是：幫助管理員主動發(fā)現(xiàn)問題。最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞，保證系統(tǒng)的安全性。因此**集團網(wǎng)絡系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡漏洞并解