【文章內(nèi)容簡(jiǎn)介】 分析他們的安全漏洞，并采取相應(yīng)的措施。 安全管理 安全管理的主要功能指對(duì)安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況，對(duì)危險(xiǎn)進(jìn)行隔離，并把危險(xiǎn)控制在最小范圍內(nèi)；身份認(rèn)證，權(quán)限設(shè)置；對(duì)資源的存取權(quán)限的管理；對(duì)資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；對(duì)違規(guī)事件，自動(dòng)生成報(bào)警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對(duì)無(wú)權(quán)操作人員進(jìn)行控制；密鑰管理：對(duì)于與密鑰相關(guān)的服務(wù)器，應(yīng)對(duì)其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對(duì)于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺(tái)技術(shù)實(shí)現(xiàn)兩個(gè)方面來(lái)實(shí)現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺(tái)。第四章 天創(chuàng)半導(dǎo)體公司安全需求(1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析當(dāng)前天創(chuàng)公司已經(jīng)實(shí)施了INTERNET入口的防火墻隔離，MAIL服務(wù)器通過(guò)DMZ區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴(kuò)展問(wèn)題，存在著防火墻端口不夠用的情況，且對(duì)于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來(lái)解決這個(gè)問(wèn)題。從上圖可以看到，由于是暴露在DMZ區(qū)，所以MAIL服務(wù)器在應(yīng)用層安全問(wèn)題是沒(méi)有保證的（垃圾郵件、郵件病毒隨時(shí)都可以通過(guò)防火墻傳入MAIL服務(wù)器）；目前內(nèi)網(wǎng)的拓?fù)涫遣捎脤?duì)外全封閉但對(duì)內(nèi)全開(kāi)放的格局而工作的，換言之對(duì)于內(nèi)網(wǎng)的攻擊是完全沒(méi)有免疫功能的。(2)客戶需求A需要有六個(gè)端口，支持VPN。B需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù)。例如，我為某位員工開(kāi)80端口讓其能上網(wǎng)，他能正常瀏覽網(wǎng)頁(yè)，但不能下載某些特定格式的文件，如：*.mp3,*.rm。C能夠防止員工使用P2P軟件進(jìn)行文件傳輸，能監(jiān)控員工發(fā)送的EMAIL。D因有MAIL服務(wù)器，防火墻能自動(dòng)偵測(cè)到某個(gè)IP長(zhǎng)時(shí)間連接MAIL服務(wù)器，而自動(dòng)禁止此IP一段時(shí)間后自動(dòng)恢復(fù)。時(shí)間及規(guī)則可由用戶在防火墻上設(shè)置的。（3）實(shí)施目標(biāo)啟用防火墻的VPN功能通過(guò)PPTP對(duì)網(wǎng)絡(luò)進(jìn)行VPN服務(wù)與管理；在防火墻處啟用URL過(guò)濾，禁止員工訪問(wèn)（下載）*.mp*.rm文件；通過(guò)相關(guān)的包過(guò)濾規(guī)則防止員工在內(nèi)網(wǎng)使用特定的工具進(jìn)行文件傳輸；配置過(guò)濾網(wǎng)關(guān)的郵件處理規(guī)則對(duì)客戶端進(jìn)行相應(yīng)的管理，達(dá)到優(yōu)化MAIL服務(wù)的效果。第五章 產(chǎn)品綜述(1）安氏LinkTrustTM CyberWall防火墻安氏領(lǐng)信防火墻是亞洲最大的信息安全實(shí)驗(yàn)室“ISOne Security Lab”成功推出的最新一代防火墻，產(chǎn)品迅速獲得國(guó)家認(rèn)證，被中國(guó)人民銀行評(píng)選為金融系統(tǒng)指定防火墻產(chǎn)品之一，并且在第21屆世界大學(xué)生運(yùn)動(dòng)會(huì)，上海APEC會(huì)議上大顯身手。領(lǐng)信防火墻的設(shè)計(jì)理念從“頂尖技術(shù)+人性化”出發(fā)，充分考慮防火墻的五大要素：功能、性能、管理能力、易用性和配置，體貼用戶的真正安全需求。領(lǐng)信防火墻采用專(zhuān)門(mén)設(shè)計(jì)的安全操作系統(tǒng)LTOS和專(zhuān)用搭載平臺(tái)，提供高度可靠性和可用性。利用安氏安全實(shí)驗(yàn)室申請(qǐng)專(zhuān)利LinkTrust Polling技術(shù)，提升防火墻的吞吐速度，達(dá)到內(nèi)核級(jí)安全代理機(jī)制，是國(guó)內(nèi)唯一在線速狀態(tài)下工作的最新一代防火墻。安氏安全實(shí)驗(yàn)室采用多種先進(jìn)數(shù)據(jù)加密算法，最大限度提高VPN吞吐量。領(lǐng)信防火墻具有業(yè)界唯一的端口流量鏡像功能，實(shí)現(xiàn)與世界最先進(jìn)入侵檢測(cè)系統(tǒng)互動(dòng)；并為用戶提供友好Web管理界面、命令行管理界面和LCD界面。領(lǐng)信防火墻的特色包括：狀態(tài)檢測(cè)包過(guò)濾技術(shù)；多種服務(wù)的內(nèi)核級(jí)安全代理；全面的網(wǎng)絡(luò)地址翻譯（NAT）；IPsec VPN和撥號(hào)VPN；高可靠性（HA）；支持流量管理；內(nèi)容安全過(guò)濾；多種用戶認(rèn)證方案；完整日志、審計(jì)，告警和統(tǒng)計(jì)模塊；抗DOS攻擊能力（支持SYN Proxy）；內(nèi)嵌入侵檢測(cè)能力；支持多個(gè)ISP接入的負(fù)載均衡解決方案；支持詭異木馬的抵御；對(duì)ICMP攻擊免疫，基于時(shí)間的對(duì)象訪問(wèn)控制；支持按策略與IDS協(xié)作?！　martProtector的主要功能為：基于協(xié)議分析和攻擊特征分析技術(shù)，檢測(cè)并阻斷防火墻無(wú)法防止的攻擊，與防火墻互動(dòng)修改相應(yīng)的防火墻規(guī)則，同時(shí)通過(guò)控制臺(tái)報(bào)警。SmartProtector可以檢測(cè)包括：拒絕服務(wù)、端口掃描、Web IIS、Web Apache、DNS、ftp、snmp在內(nèi)的兩百多種攻擊。每個(gè)攻擊特征都符合CVE標(biāo)準(zhǔn)，并且支持在線升級(jí)。用戶還可以自定義檢測(cè)策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng)LTOS，擁有超負(fù)載保護(hù)能力。用戶還可以隨時(shí)從安氏站點(diǎn)（）下載最新的攻擊特征。 　　關(guān)于SmartProtector的推出，安氏公司產(chǎn)品市場(chǎng)總監(jiān)應(yīng)向榮強(qiáng)調(diào)：“SmartProtector的產(chǎn)生基于兩個(gè)層面考慮，融合安氏在入侵檢測(cè)（IDS）技術(shù)的多年雄厚積累，為L(zhǎng)inkTrustTM CyberWall提供增強(qiáng)功能模塊。增加SmartProtector功能的領(lǐng)信防火墻為特定需求用戶群提供了業(yè)界領(lǐng)先的一站式安全防御系統(tǒng)，特別適合企業(yè)上網(wǎng)工程，行業(yè)網(wǎng)絡(luò)廣域連接防護(hù)等等應(yīng)用。但流探測(cè)器SmartProtector不能取代專(zhuān)門(mén)的入侵檢測(cè)系統(tǒng)，它以不犧牲防火墻和VPN的性能為前提，檢測(cè)并響應(yīng)“嚴(yán)重的”攻擊手法，配合防火墻以及專(zhuān)門(mén)的IDS系統(tǒng)，為企業(yè)提供更加強(qiáng)大的防護(hù)體系。用戶在購(gòu)買(mǎi)LinkTrustTM CyberWall時(shí)可以選擇是否增加SmartProtector功能”。“現(xiàn)在安全問(wèn)題變得越來(lái)越復(fù)雜，攻擊手法層出不窮，而且更新很快，這要求安全管理員作出防范反應(yīng)越來(lái)越迅速，在防火墻上增加入侵檢測(cè)模塊，就是為了增強(qiáng)響應(yīng)時(shí)間，特別是在解決類(lèi)似“紅色代碼”，“尼姆達(dá)”這類(lèi)突發(fā)性極大的將網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬程序合為一體的攻擊手法時(shí)，將發(fā)揮相當(dāng)大的作用”。安氏公司防火墻產(chǎn)品經(jīng)理張強(qiáng)進(jìn)一步解釋?zhuān)爱?dāng)SmartProtector檢測(cè)到攻擊時(shí)，可以阻斷并且傳遞給領(lǐng)信防火墻，修改防火墻的安全規(guī)則，同時(shí)領(lǐng)信防火墻阻斷已經(jīng)建立的攻擊連接。通過(guò)一個(gè)基于WEB的友好、簡(jiǎn)潔明了的用戶界面，安全管理員不僅可以配置該SmartProtector的攻擊特征模板，還可以通過(guò)提供的鏈接，了解到更多關(guān)于攻擊的資料以及如何配置相應(yīng)的系統(tǒng)設(shè)備來(lái)防御攻擊”。每個(gè)檢測(cè)到的攻擊，將會(huì)通過(guò)日志告警與郵件告警方式通知管理員，同時(shí)為SmartProtector定制了專(zhuān)門(mén)的審計(jì)日志數(shù)據(jù)結(jié)構(gòu)包含：攻擊時(shí)間、源地址、目的地址、源端口、目的端口、攻擊名稱(chēng)。(2）eTrust入侵檢測(cè)系統(tǒng)解決方案－網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)解決方案通過(guò)自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在入侵、攻擊和濫用方式，提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。例如，網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件可以檢測(cè)到拒絕服務(wù)型攻擊，并且在服務(wù)器及業(yè)務(wù)受到影響前按照預(yù)先定義的策略采取相應(yīng)的行動(dòng)。 　網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件還可以大大減少管理和保障網(wǎng)絡(luò)安全所需的培訓(xùn)時(shí)間。通過(guò)以上措施，網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運(yùn)行情況(例如，它可以給出違反策略的數(shù)量及其來(lái)源的詳細(xì)統(tǒng)計(jì)報(bào)表。)　網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件以規(guī)則為基礎(chǔ)，定義哪些用戶可以訪問(wèn)網(wǎng)絡(luò)上的特定資源，保證只有授權(quán)用戶才可以訪問(wèn)網(wǎng)絡(luò)資源。　高級(jí)防病毒引擎病毒掃描引擎可以檢測(cè)和阻止包含了計(jì)算機(jī)病毒的網(wǎng)絡(luò)數(shù)據(jù)流。它可以防止用戶下載被病毒感染的文件。新的和升級(jí)的病毒特征文件可以從冠群金辰站點(diǎn)獲得?！∪娴墓舴绞綆?kù)網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中的攻擊方式，即使正在進(jìn)行之中的攻擊也能檢測(cè)。定期更新的攻擊特征文件可以從冠群金辰站點(diǎn)獲得，從而保證了網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)總是最新?！⌒畔崽郊夹g(shù)網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件以秘密方式運(yùn)行，使攻擊者無(wú)法感知到。黑客常常在沒(méi)有察覺(jué)的情況下被抓獲，因?yàn)樗麄儾恢浪麄円恢笔艿矫芮斜O(jiān)視。　URL限制管理員可以指定禁止用戶訪問(wèn)的URL，防止毫無(wú)效率的網(wǎng)上沖浪?！∽制ヅ鋻呙枥镁W(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件，管理員可以定義表明可能會(huì)違反策略的字符模式。這種方式防止了未經(jīng)授權(quán)就通過(guò)Email或web發(fā)送敏感數(shù)據(jù)等情況的發(fā)生。網(wǎng)絡(luò)使用日志網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件使網(wǎng)絡(luò)管理員可以跟蹤最終用戶，應(yīng)用程序等對(duì)網(wǎng)絡(luò)的使用情況。它可以幫助改進(jìn)網(wǎng)絡(luò)策略的規(guī)劃，并提供精確的網(wǎng)絡(luò)控制。 　保護(hù)企業(yè)網(wǎng)絡(luò)通過(guò)在企業(yè)內(nèi)多處位置部署網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)解決方案，用戶可以利用其強(qiáng)大的功能來(lái)保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)。這包括從一個(gè)遠(yuǎn)程或中央位置的穩(wěn)定控制臺(tái)監(jiān)視和響應(yīng)企業(yè)范圍內(nèi)的事件。網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件還包含一個(gè)中央事件數(shù)據(jù)庫(kù)、附加報(bào)表以及一個(gè)分布式的內(nèi)容查看器?！∪肭謾z測(cè)網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件可以提供網(wǎng)絡(luò)范圍內(nèi)可靠的、分布式實(shí)時(shí)網(wǎng)絡(luò)保護(hù)。這是通過(guò)允許每一個(gè)網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)實(shí)例全面發(fā)揮其功能并單獨(dú)運(yùn)行實(shí)現(xiàn)的，避免了對(duì)網(wǎng)絡(luò)可用性或響應(yīng)時(shí)間的依賴。集中監(jiān)視網(wǎng)絡(luò)管理員可以在本地或遠(yuǎn)程集中監(jiān)控運(yùn)行網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件的一臺(tái)或多臺(tái)工作站。通過(guò)在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)代理，管理員可以根據(jù)收集的綜合信息查看警告并生成報(bào)表。　遠(yuǎn)程管理遠(yuǎn)程用戶可以通過(guò)TCP/IP或調(diào)制解調(diào)器連接訪問(wèn)運(yùn)行網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件的工作站。一旦連接成功，用戶就可以按照網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件管理員定義的許可內(nèi)容，查看和監(jiān)視網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)數(shù)據(jù)、修改規(guī)則和生成報(bào)告?！　　　∪肭秩罩炯胺治鼍W(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)軟件提供了一個(gè)綜合系統(tǒng)來(lái)捕捉信息并進(jìn)行分析。軟件安裝完畢并指定一個(gè)存檔位置后，用戶定義一個(gè)可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。用戶可以使用瀏覽器過(guò)濾、排序和查看歸檔信息并創(chuàng)建詳細(xì)報(bào)表。 網(wǎng)絡(luò)入侵檢測(cè)(eTrust Intrusion Detection)代表了最新一代企業(yè)網(wǎng)絡(luò)保護(hù)技術(shù)，具有前所未有的訪問(wèn)控制、用戶透明性、高性能、靈活性、適應(yīng)性及易用性等。它提供給企業(yè)一個(gè)易于部署的網(wǎng)絡(luò)保護(hù)方案，可以在不會(huì)導(dǎo)致任何失敗的情況下加以實(shí)施。　　支持環(huán)境服務(wù)器/PC網(wǎng)絡(luò)Windows 95/98Windows NT/2000TCP/IP網(wǎng) （3）KSG郵件過(guò)濾網(wǎng)關(guān)赤霄過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）是冠群金辰公司新一代網(wǎng)絡(luò)過(guò)濾專(zhuān)用設(shè)備，能夠同時(shí)在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對(duì)病毒、蠕蟲(chóng)、垃圾郵件、非法內(nèi)容分別進(jìn)行過(guò)濾。在網(wǎng)絡(luò)層，KILL Shield Gateway實(shí)現(xiàn)基于IP地址、端口號(hào)等網(wǎng)絡(luò)層特征的過(guò)濾；在傳輸層，實(shí)現(xiàn)基于HTTP、SMTP等協(xié)議特征的過(guò)濾，有效識(shí)別和攔截蠕蟲(chóng)攻擊；在應(yīng)用層，對(duì)多種常用協(xié)議（SMTP、POPHTTP、FTP等）進(jìn)行深度分析并還原出原始數(shù)據(jù)，進(jìn)行病毒檢查、蠕蟲(chóng)檢查、垃圾郵件檢查和內(nèi)容檢查。三管齊下，KILL Shield Gateway可對(duì)用戶網(wǎng)絡(luò)實(shí)現(xiàn)立體式的全面保護(hù)，有效保護(hù)用戶的網(wǎng)絡(luò)免受侵害，確保用戶內(nèi)部網(wǎng)絡(luò)的信息安全。KILL Shield Gateway做為先進(jìn)的新型網(wǎng)關(guān)過(guò)濾設(shè)備，除了具有一般網(wǎng)關(guān)過(guò)濾設(shè)備的功能外，它的突出特點(diǎn)是可以實(shí)現(xiàn)蠕蟲(chóng)過(guò)濾（過(guò)濾靜態(tài)蠕蟲(chóng)擴(kuò)散、阻斷蠕蟲(chóng)動(dòng)態(tài)攻擊）。KILL Shield Gateway獨(dú)有的抗蠕蟲(chóng)攻擊技術(shù)（AntiWorm）能夠全方位抵御所有已知蠕蟲(chóng)病毒的攻擊和傳播，可以阻斷后門(mén)程序、DoS/DDoS等動(dòng)態(tài)入侵攻擊行為。KILL Shield Gateway 采用冠群金辰備受贊譽(yù)的反病毒引擎，該掃