【正文】 性能的服務(wù)器硬件平臺上，采用高效過濾算法，具有極高的處理能力。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。實時過濾及報警赤霄過濾網(wǎng)關(guān)實時過濾蠕蟲、病毒、垃圾郵件、非法內(nèi)容，阻止它們進入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理策略記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。靈活的過濾策略根據(jù)不同的過濾對象和安全目的，赤霄過濾網(wǎng)關(guān)可以定義靈活的過濾策略，并且對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶。特征碼自動升級安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。根據(jù)管理員定義的更新頻率與策略，通過HTTP或FTP協(xié)議自動更新特征碼，確保始終使用最新的特征碼進行檢查，以免受各種新病毒、蠕蟲的侵害。雙機容錯赤霄過濾網(wǎng)關(guān)支持STP（Spanning Tree Protocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺赤霄過濾網(wǎng)關(guān)時，如果主機出了問題，備機會接管網(wǎng)絡(luò)連接并進行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。帶寬保護赤霄過濾網(wǎng)關(guān)可以實現(xiàn)對網(wǎng)絡(luò)帶寬的保護。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。資源自適應(yīng)控制發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接時，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。當(dāng)達到處理極限后，進行緩沖處理，避免資源超載造成網(wǎng)絡(luò)中斷的現(xiàn)象。同時，系統(tǒng)借助對協(xié)議的深度分析設(shè)置閥值，當(dāng)發(fā)生諸如SYN Flooding類型的攻擊達到閥值后，赤霄過濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過濾絕大多數(shù)的服務(wù)拒絕攻擊。完整的日志記錄，豐富的報表赤霄過濾網(wǎng)關(guān)可提供詳盡、完整的過濾日志報告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計報表并支持數(shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應(yīng)的過濾策略。支持SMTP認證為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請求前，要求對用戶的身份作認證，即SMTP認證。如果原有郵件服務(wù)器進行SMTP認證，在引入了KILL Shield Gateway之后，該認證過程將由KILL Shield Gateway來進行。它將認證過程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認證的結(jié)果來決定是否接收用戶的發(fā)信請求。如果用戶的RELAY郵件服務(wù)器不支持SMTP認證，可以使用KILL Shield Gateway的SMTP認證擴展模塊，將SMTP認證協(xié)議轉(zhuǎn)變?yōu)閷OP3用戶的認證協(xié)議，進行發(fā)信認證?？蓹z查偽裝郵件KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認證信息正確，但發(fā)件人郵件地址和提供的認證信息不相符合的情況。KILL Shield Gateway通過將郵件地址和SMTP認證用戶進行綁定來識別偽裝郵件，從而確保郵件信息系統(tǒng)不被濫用和誤用。代理系統(tǒng)的訪問控制KILL Shield Gateway不僅可以對HTTP流量進行過濾，還可進行訪問控制，設(shè)置可以使用代理系統(tǒng)的客戶端網(wǎng)段，使用它可以訪問的服務(wù)器，或者客戶端需經(jīng)過驗證后才可以使用代理系統(tǒng)，確保只有允許的用戶或客戶端才可以使用該代理系統(tǒng)。第六章 實施方案（1）優(yōu)化方案安全優(yōu)化方案①：說明：將原例圖交換機②外帶的三個網(wǎng)段加入交換機①，通過劃分VLAN的方式連接，這樣既也節(jié)省硬件資源（交換機②），也便于入侵檢測系統(tǒng)的集中管理。這里需要將交換機①的某個端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測系統(tǒng)。使用KSG郵件過濾系統(tǒng)放在ISP提供商的線路上，使用這種配置手法的優(yōu)點是：能同時過濾內(nèi)網(wǎng)（核心交換機①）與DMZ區(qū)的通信數(shù)據(jù)，起到全面保護的作用；缺點：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險。防火墻采用安氏中國的防火墻高端產(chǎn)品LinkTrust CyberWall200SP/006。安全優(yōu)化方案②：說明：方案②在核心交換機與入侵檢測系統(tǒng)的排布上與方案①相同，只是在KSG郵件過濾系統(tǒng)的拓撲位置上將其原本的拓撲位置放進DMZ區(qū)、MAIL服務(wù)器的前端，優(yōu)點：能保證KSG郵件過濾能保障處于DMZ區(qū)的MAIL服務(wù)器能正常運作；缺點：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。防火墻同樣是使用安氏的LinkTrust CyberWall200SP/006。（2）設(shè)備安裝ISONE FW 防火墻具有“防火墻（Firewall） + 非軍事區(qū)（DMZ）+ 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）+帶寬管理 + 代理服務(wù)器（Proxy）+雙機熱備 + 簡單入侵檢測 + 用戶認證”的功能；必須考慮DMZ區(qū)的應(yīng)用所涉及的安裝接法，建議對DMZ區(qū)進行應(yīng)用，將數(shù)據(jù)服務(wù)器、WEB服務(wù)器聯(lián)接到此區(qū)中；配合企業(yè)的需要，在郵件過濾網(wǎng)關(guān)與入侵檢測系統(tǒng)加載適合管理者需要的、符合安全基準的安全策略。（3）規(guī)則配置在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)的應(yīng)用情況，代理及帶寬的使用情況進行配置。（4）網(wǎng)絡(luò)安全管理員培訓(xùn)A介紹網(wǎng)絡(luò)安全管理知識，常見的攻擊與防護；B培訓(xùn)墻火防的安裝、規(guī)則配置等；C培訓(xùn)入侵檢測及報表審核；D培訓(xùn)郵件過濾網(wǎng)關(guān)的規(guī)則配置；E培訓(xùn)安全評估的應(yīng)用。（5）網(wǎng)絡(luò)安全審核對防火墻、入侵檢測系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進行審核確保系統(tǒng)當(dāng)前的安全性。第七章 產(chǎn)品類別、報價與售后服務(wù)（1）產(chǎn)品類別安氏CyberWall200SP/006專為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴密安全需求的大中型企業(yè)用戶而設(shè)計，配備6個10/100M自感應(yīng)端口，采用先進的安全域（Security Zone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個物理網(wǎng)口可以掛接任意多個邏輯子網(wǎng)，通過劃分安全級別域和設(shè)置訪問控制規(guī)則來實現(xiàn)各端口、子網(wǎng)、安全域之間的數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、ASIC VPN（僅用于200SP/006型號）、入侵檢測、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認證授權(quán)、內(nèi)容安全控制、ADSL/ISDN接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。另外，200SP/006自身還集成了ASIC VPN處理器Security Processor 200，它支持處理所有的與安全相關(guān)的協(xié)議包括IPSec, IKE, SSL 和TLS，處理能力相當(dāng)于1000MIPS，等同于12－18顆的Pentium III級微處理器對數(shù)據(jù)加密的處理能力, 賦予了CW200SP/006可怕的數(shù)據(jù)加密處理能力，在IP安全通訊領(lǐng)域中承擔(dān)著VPN中央數(shù)據(jù)加密處理核心節(jié)點的位置。CA KSG郵件過濾網(wǎng)關(guān)GXGSS100赤霄過濾網(wǎng)關(guān)從多個層次來過濾蠕蟲，在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過濾利用正常協(xié)議（SMTP、HTTP、POPFTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（SMTP、HTTP、POPFTP等）所傳遞的數(shù)據(jù)進行病毒過濾，其反病毒引擎獲得了ICSA（國際計算機安全協(xié)會）實驗室的查殺病毒認證，能夠100%地檢測出目前“流行病毒名單”上的病毒。赤霄過濾網(wǎng)關(guān)使用基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術(shù)進行內(nèi)容檢查。SBPH/BCR是一種基于稀疏多項哈希和貝葉斯鏈的評定系統(tǒng)，具有高度準確的內(nèi)容識別能力（精度高于99%）。支持對關(guān)鍵字、附件文件類型等方式的過濾。赤霄過濾網(wǎng)關(guān)采用多種技術(shù)對垃圾郵件進行過濾?？梢宰远x垃圾郵件—限制郵件的大小、限制同一郵件的收信地址數(shù)量、依據(jù)IP地址進行過濾、依據(jù)郵箱地址進行過濾；支持對垃圾郵件列表（RBL）的黑名單進行過濾，同時通過自帶的垃圾郵件列表庫可以過濾當(dāng)前絕大多數(shù)廣告、推銷、宣傳等性質(zhì)的郵件。這樣，可實現(xiàn)對垃圾郵件的綜合防范。根據(jù)過濾對象的不同，赤霄過濾網(wǎng)關(guān)可以對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。赤霄過濾網(wǎng)關(guān)實時過濾蠕蟲、病毒、垃圾郵件，阻止它們進入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。赤霄過濾網(wǎng)關(guān)的配置管理采用B/S方式，用戶可使用瀏覽器遠程查看、修改系統(tǒng)配置及各項過濾策略，用戶界面友好，操作簡單。赤霄過濾網(wǎng)關(guān)的接入非常簡單，主要使用透明（Bridge模式）接入用戶網(wǎng)絡(luò)，也支持非透明（Router模式，旁路并聯(lián)）的接入。發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接的時候，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。赤霄過濾網(wǎng)關(guān)可以實現(xiàn)對網(wǎng)絡(luò)帶寬的保護。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡(luò)性能。赤霄過濾網(wǎng)關(guān)支持STP（Spanning Tree Protocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺赤霄過濾網(wǎng)關(guān)時，如果主機出了問題，備機會接管網(wǎng)絡(luò)連接并進行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲特征碼、病毒特征碼和入侵特征碼。CA eTrust 入侵檢測系統(tǒng)GJMIDSB強大的網(wǎng)絡(luò)訪問控制功能：干將入侵檢測系統(tǒng)采用了一套規(guī)則庫來定義什么用戶能夠訪問什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶才能夠訪問網(wǎng)絡(luò)資源。大規(guī)模的入侵特征庫：干將入侵檢測系統(tǒng)實時地在網(wǎng)絡(luò)流量中察看是否包含入侵行為。入侵升級文件能夠快速及時地進行在線升級，讓特征庫隨時保持最新最全。強大的碎片重組能力和抗入侵能力。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和IDS入侵攻擊。自身抗攻擊能力。干將入侵檢測系統(tǒng)能夠進行隱藏IP設(shè)置，保證自身不會受到黑客的攻擊，保證自身的安全性。強大的攻擊特征自定義功能。管理員能夠隨時利用干將入侵檢測系統(tǒng)提供的正則表達式對最新出現(xiàn)的攻擊方式進行特征定義和方法，非常方便和靈活。細致入微的數(shù)據(jù)包分析功能。干將入侵檢測系統(tǒng)能夠在二進制級別對數(shù)據(jù)包進行特征定義和匹配，分析隱藏的攻擊手段。管理員能夠采用該措施對攻擊行為進行自定義。強大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動能力。干將入侵檢測系統(tǒng)目前能夠同Check Point Firewall1/NG、Nokia全系列防火墻、eTrust 防火墻、Cisco路由器以及所有采用OPSEC標(biāo)準的防火墻進行聯(lián)動。即干將入侵檢測系統(tǒng)一旦發(fā)現(xiàn)入侵行為，便能夠馬上通知這些防火墻動態(tài)修改安全策略，對外來入侵在第一時間進行有效的攔截。高負載網(wǎng)絡(luò)下的高性能。采用專用的數(shù)據(jù)處理機制讓其即使在高流量下也能夠準確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。支持全交換網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)利用情況紀錄：干將入侵檢測系統(tǒng)提供了基于最終用戶明、應(yīng)用程序等進行跟蹤和記錄網(wǎng)絡(luò)使用情況的功能。這大大有利于提升網(wǎng)絡(luò)策略的規(guī)劃，并且提供了準確的網(wǎng)絡(luò)利用情況報告。入侵記錄和分析：為收集入侵信息并歸納入庫分析提供了一套完整有效的機制。集成了防病毒引擎：干將入侵檢測系統(tǒng)采用KILL防病毒引擎來檢查網(wǎng)絡(luò)流量中是否包含病毒。特別是在目前的情況下，網(wǎng)絡(luò)病毒已經(jīng)成為一種最流量的病毒，而且最近又出現(xiàn)了新舊的病毒組合，如求職信病毒和CIH病毒的組合，結(jié)合了舊病毒強大的破壞性和新病毒傳播快速的特點，對網(wǎng)絡(luò)安全造成了極大的威脅。網(wǎng)絡(luò)病毒流傳檢測功能對網(wǎng)絡(luò)病毒的及時檢測和防護是非常有必要的。強大的報表能力：預(yù)置上百種報表模版，提供類似于網(wǎng)絡(luò)入侵數(shù)量統(tǒng)計、入侵類型統(tǒng)計、入侵源統(tǒng)計以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細報表分析等內(nèi)容。采用Crystal Reports專業(yè)報表格式，能夠生成包括HTML、Word、Excel、Lotus Notes、Txt等十余種格式的報表。報表擴展能力：支持Webtrends、Telemate等專業(yè)報表軟件接口，并且提供豐富的API功能。強大的報警功能。能夠通過電子郵件、尋呼、NT事件日志、消息框、SNMP Trap、打印機等等預(yù)定義的功能進行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報警。遠程管理功能：遠程用戶能夠通過撥號方式訪問、察看并且監(jiān)控干將入侵檢測系統(tǒng)的運行情況。在緊急情況下，管理員能夠在家里對干將入侵檢測系統(tǒng)進行管理和入侵分析。中央管理機制：干將入侵檢測系統(tǒng)提供了強大的中央管理和策略分發(fā)機制。當(dāng)一個網(wǎng)絡(luò)分布于不同的地理位置的時候，管理員僅僅需要在每一個位置安裝相應(yīng)的檢測引擎，就能夠集中在中央管理臺進行管理策略的定義、分發(fā)以及入侵庫的升級等工作。39 / 4