【文章內容簡介】 不夠用的情況，且對于采用低性能的防火墻于網絡將造成很大的網絡通信瓶頸，為此我們決定使用六端口的千兆型防火墻來解決這個問題。 天創(chuàng) 半導體公司內部網絡安全解決方案 從上圖可以看到，由于是暴露在 DMZ 區(qū)，所以 MAIL 服務器在應用層安全問題是沒有保證的（垃圾郵件、郵件病毒隨時都可以通過防火墻傳入 MAIL 服務器）；目前內網的拓撲是采用對外全封閉但對內全開放的格局而工作的，換言之對于內網的攻擊是完全沒有免疫功能的。 (2)客戶需求 A 需要有六個端口，支持 VPN。 B 需要能監(jiān)控員工的上網數據 。例如，我為某位員工開 80 端口讓其能上網，他能正常瀏覽網頁，但不能下載某些特定格式的文件，如： *.mp3,*.rm。 C 能夠防止員工使用 P2P 軟件進行文件傳輸，能監(jiān)控員工發(fā)送的 EMAIL。 D 因有 MAIL 服務器，防火墻能自動偵測到某個 IP 長時間連接 MAIL 服務器，而自動禁止此 IP 一段時間后自動恢復。時間及規(guī)則可由用戶在防火墻上設置的。 （ 3）實施目標 啟用防火墻的 VPN 功能通過 PPTP 對網絡進行 VPN 服務與管理；在防火墻處啟用 URL過濾，禁止員工訪問（下載） *.mp *.rm 文件；通過相關的包過濾規(guī)則 防止員工在內網使用特定的工具進行文件傳輸；配置過濾網關的郵件處理規(guī)則對客戶端進行相應的管理，達到優(yōu)化 MAIL 服務的效果。 天創(chuàng) 半導體公司內部網絡安全解決方案 第五章 產品綜述 (1）安氏 LinkTrustTM CyberWall 防火墻 安氏領信防火墻是亞洲最大的信息安全實驗室“ ISOne Security Lab”成功推出的最新一代防火墻，產品迅速獲得國家認證，被中國人民銀行評選為金融系統(tǒng)指定防火墻產品之一，并且在第 21 屆世界大學生運動會，上海 APEC 會議上大顯身手。 領信防火墻的設計理念從“頂尖技術 +人性化”出發(fā)，充分考慮防火 墻的五大要素：功能、性能、管理能力、易用性和配置，體貼用戶的真正安全需求。 領信防火墻采用專門設計的安全操作系統(tǒng) LTOS 和專用搭載平臺，提供高度可靠性和可用性。利用安氏安全實驗室申請專利 LinkTrust Polling 技術，提升防火墻的吞吐速度，達到內核級安全代理機制，是國內唯一在線速狀態(tài)下工作的最新一代防火墻。 安氏安全實驗室采用多種先進數據加密算法，最大限度提高 VPN 吞吐量。領信防火墻具有業(yè)界唯一的端口流量鏡像功能，實現與世界最先進入侵檢測系統(tǒng)互動；并為用戶提供友好 Web管理界面、命令行管理界面和 LCD 界面。 領信防火墻的特色包括：狀態(tài)檢測包過濾技術；多種服務的內核級安全代理；全面的網絡地址翻譯（ NAT）； IPsec VPN 和撥號 VPN；高可靠性（ HA）；支持流量管理；內容安全過濾；多種用戶認證方案；完整日志、審計，告警和統(tǒng)計模塊； 抗 DOS 攻擊能力（支持 SYN Proxy）；內嵌入侵檢測能力；支持多個 ISP 接入的負載均衡解決方案；支持詭異木馬的抵御；對 ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與 IDS 協(xié)作。 SmartProtector 的主要功能為： 基于協(xié)議分析和攻擊特征分析技術， 檢測 并阻斷 防火墻無法防止的攻擊 ，與 防火墻 互動修改相應的防火墻規(guī)則 ， 同時通過控制臺報警。 SmartProtector可以檢測包括：拒絕服務、端口掃描、 Web IIS、 Web Apache、 DNS、 ftp、 snmp 在內的兩百 多種攻擊。每個攻擊特征 都 符合 CVE 標準，并且支持在線升級。用戶還可以自定義檢測策略模板，緊密結合特有安全的領信操作系統(tǒng) LTOS，擁有超負載保護能力。 用戶 還 可以隨時從 安氏站點 （ ） 下載 最新的攻擊特征 。 關于 SmartProtector 的推出， 安氏公司產品市場總監(jiān)應向榮 強調： “SmartProtector 的產生基于兩個層面考慮，融合安氏在入侵檢測（ IDS）技術的多年雄厚積累，為 LinkTrustTM CyberWall提供增強功能模塊 。 增加 SmartProtector 功能的領信防火墻為特定需求用戶群提供了業(yè)界領先的一站式安全防御系統(tǒng)，特別適合企業(yè)上網工程，行業(yè)網絡廣域連接防護等等應用。但流探測器 SmartProtector 不能取代專門的入侵檢測系統(tǒng)，它以不犧牲防火墻和 VPN 的性能為前提，檢測并響應“嚴重的”攻擊手法，配合防火墻以及專門的 IDS 系統(tǒng) ，為企業(yè)提供更加強大的天創(chuàng) 半導體公司內部網絡安全解決方案 防護體系。用戶在購買 LinkTrustTM CyberWall 時可以選擇是否增加 SmartProtector 功能 ”。 “現在安全問題變得越來越復雜，攻擊手法層出不窮，而且更新很快，這要求安全管理員作出防范反應越來越迅速，在防火墻上增加入侵檢測模塊，就是為了增強響應時間，特別是在解決類似“紅色代碼”，“尼姆達”這類突發(fā)性極大的 將網絡蠕蟲、計算機病毒、木馬程序合為一體 的攻擊手法時，將發(fā)揮相當大的作用 ”。安氏公司防火墻產品經理張強進一步解釋，“當 SmartProtector 檢測到攻擊時，可 以阻斷并且傳遞給領信防火墻，修改防火墻的安全規(guī)則，同時領信防火墻阻斷已經建立的攻擊連接。通過一個基于 WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該 SmartProtector 的攻擊特征模板，還可以通過提供的鏈接，了解到更多關于攻擊的資料以及如何配置相應的系統(tǒng)設備來防御攻擊 ”。每個檢測到的攻擊，將會通過日志告警與郵件告警方式通知管理員，同時為 SmartProtector 定制了專門的審計日志數據結構包含：攻擊時間、源地址、目的地址、源端口、目的端口、攻擊名稱。 (2） eTrust 入侵檢測系統(tǒng) 解 決方案－網絡入侵檢測 (eTrust Intrusion Detection) 網絡入侵檢測 (eTrust Intrusion Detection)解決方案通過自動檢測網絡數據流中潛在入侵、攻擊和濫用方式，提供了先進的網絡保護功能。例如，網絡入侵檢測 (eTrust Intrusion Detection)軟件可以檢測到 拒絕服務 型攻擊，并且在服務器及業(yè)務受到影響前按照預先定義的策略采取相應的行動。 網絡入侵檢測 (eTrust Intrusion Detection)軟件還可以大大減少管理和保障網絡安全所需的培訓時間。通過以上措施，網絡入侵檢測 (eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網絡內部的運行情況 (例如，它可以給出違反策略的數量及其來源的詳細統(tǒng)計報表。 ) 網絡訪問控制 網絡入侵檢測 (eTrust Intrusion Detection)軟件以規(guī)則為基礎，定義哪些用戶可以訪問網絡上的特定資源，保證只有授權用戶才可以訪問網絡資源。 天創(chuàng) 半導體公司內部網絡安全解決方案 高級防病毒引擎 病毒掃描引擎可以檢測和阻止包含了計算機病毒的網絡數據流。它可以防止用戶下載被病毒感染的文件。新的和升級的病毒特征文件可以從冠群金辰站點獲得。 全面的攻擊方式庫 網絡入侵檢測 (eTrust Intrusion Detection)軟件可以自動檢測網絡數據流中的攻擊方式，即使正在進行之中的攻擊也能檢測。定期更新的攻擊特征文件可以從冠群金辰站點獲得，從而保證了網絡入侵檢測 (eTrust Intrusion Detection)總是最新。 信息包嗅探技術 網絡入侵檢測 (eTrust Intrusion Detection)軟件以秘密方式運行，使攻擊者無法感知到。黑客常常在沒有察覺的情況下被抓獲，因為他們不知道他們一直受到密切監(jiān)視。 URL 限制 管理員可以指定禁止用戶訪問的 URL，防止毫無效率的網上沖浪。 字匹配掃描 利用網絡入侵檢測 (eTrust Intrusion Detection)軟件，管理員可以定義表明可能會違反策略的字符模式。這種方式防止了未經授權就通過 Email 或 web 發(fā)送敏感數據等情況的發(fā)生。 網絡使用日志 網絡入侵檢測 (eTrust Intrusion Detection)軟件使網絡管理員可以跟蹤最終用戶，應用程序等對網絡的使用情況。它可以幫助改進網絡策略的規(guī)劃，并提供精確的網絡控制。 保護企業(yè)網絡 通過在企業(yè)內多處位置部署網絡入侵檢測 (eTrust Intrusion Detection)解決方案，用戶可以利用其強大的功能來保護整個企業(yè)網絡。這包括從一個遠程或中央位置的穩(wěn)定控制臺監(jiān)視和響應企業(yè)范圍內的事件。網絡入侵檢測 (eTrust Intrusion Detection)軟件還包含一個中央事件數據庫、附加報表以及一個分布式的內容查看器。 入侵檢 測 網絡入侵檢測 (eTrust Intrusion Detection)軟件可以提供網絡范圍內可靠的、分布式實時網絡保護。這是通過允許每一個網絡入侵檢測 (eTrust Intrusion Detection)實例全面發(fā)揮其功能并單獨運行實現的，避免了對網絡可用性或響應時間的依賴。 集中監(jiān)視 網絡管理員可以在本地或遠程集中監(jiān)控運行網絡入侵檢測 (eTrust Intrusion Detection)軟件的一臺或多臺工作站。通過在不同網段 (本地或遠程 )上安裝由中央工作站控制的網絡入侵檢測 (eTrust Intrusion Detection)代理，管理員可以根據收集的綜合信息查看警告并生成報表。 遠程管理 天創(chuàng) 半導體公司內部網絡安全解決方案 遠程用戶可以通過 TCP/IP 或調制解調器連接訪問運行網絡入侵檢測 (eTrust Intrusion Detection)軟件的工作站。一旦連接成功，用戶就可以按照網絡入侵檢測 (eTrust Intrusion Detection)軟件管理員定義的許可內容，查看和監(jiān)視網絡入侵檢測 (eTrust Intrusion Detection)數據、修改規(guī)則和生成報告。 入侵日志及分析 網絡入侵檢測 (eTrust Intrusion Detection)軟件提供了一個綜合系統(tǒng)來捕捉信息并進行分析。軟件安裝完畢并指定一個存檔位置后，用戶定義一個可以在檔案文件中記錄任務數據的規(guī)則。用戶可以使用瀏覽器過濾、排序和查看歸檔信息并創(chuàng)建詳細報表。 網絡入侵檢測 (eTrust Intrusion Detection)代表了最新一代企業(yè)網絡保護技術，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應性及易用性等。它提供給企業(yè)一個易于部署的網絡保護方案，可以在不會導致任何失敗的情況下加以實施。 支持環(huán)境 服務器 /PC 網絡 Windows 95/98 Windows NT/20xx TCP/IP 網 （ 3） KSG 郵件過濾網關 赤霄過濾網關（ KILL Shield Gateway）是冠群金辰公司新一代網絡過濾專用設備，能夠同時在網絡層、傳輸層、應用層對病毒、蠕蟲、垃圾郵件、非法內容分別進行過濾。在網絡層，KILL Shield Gateway 實現基于 IP 地址、端口號等網絡層特征的過濾；在傳輸層，實現基于 HTTP、SMTP 等協(xié)議特征的過濾，有效識別和攔截蠕蟲攻擊；在應用層，對多種常用協(xié)議（ SMTP、POP HTTP、 FTP 等）進行深度分析并還原出原始數據，進行病毒檢查、蠕蟲檢查、垃圾郵件檢查和內容檢查。三管齊下， KILL Shield Gateway 可對用戶網絡實現立體式的全面保護，有效保護用戶的網絡免受侵害，確保用戶內部網絡的信息安全。 KILL Shield Gateway 做為先進的新型網關過濾設備，除了具有一般網關過濾設備的功能外，它的突出特點是可以實現蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。 KILL Shield 天創(chuàng) 半導體公司內部網絡安全解決方案 Gateway 獨有的抗蠕蟲攻擊技術（ AntiWorm）能夠全方位 抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、 DoS/DDoS 等動態(tài)入侵攻擊行為。 KILL Shield Gateway 采用冠群金辰備受贊譽的反病毒引擎，該掃描引擎經 ICSA（國際計算機安全協(xié)會）認證可“ 100%查殺流行病毒”，并獲得全球 18 家重要測評機構的認證，使用安全可靠，是 KILL Shield Gateway 強大反病毒功能的基礎。 KILL Shield Gateway 做為獨立的硬件產品，其過濾與具體的郵件、代理系統(tǒng)無關，其工作不需更改用戶原有系統(tǒng)的任何配置。 KILL Shield Gateway 在企業(yè)網絡的邊緣，而不是在用戶的郵件和代理服務器上，進行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠遠高于在服務器本機上安裝過濾軟件的方式。而且即使用戶更換了新的代理和郵件服務器，也無需改變 KIL