【正文】 性能的服務(wù)器硬件平臺(tái)上，采用高效過(guò)濾算法，具有極高的處理能力。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。實(shí)時(shí)過(guò)濾及報(bào)警赤霄過(guò)濾網(wǎng)關(guān)實(shí)時(shí)過(guò)濾蠕蟲(chóng)、病毒、垃圾郵件、非法內(nèi)容，阻止它們進(jìn)入到用戶(hù)的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理策略記錄日志并發(fā)出報(bào)警，幫助管理員及時(shí)了解安全事件，掌握安全狀態(tài)。靈活的過(guò)濾策略根據(jù)不同的過(guò)濾對(duì)象和安全目的，赤霄過(guò)濾網(wǎng)關(guān)可以定義靈活的過(guò)濾策略，并且對(duì)符合過(guò)濾條件的對(duì)象進(jìn)行拒絕、丟棄、攔截、清除、延時(shí)等多種過(guò)濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶(hù)。特征碼自動(dòng)升級(jí)安全是動(dòng)態(tài)的，赤霄過(guò)濾網(wǎng)關(guān)通過(guò)不斷地更新過(guò)濾特征碼來(lái)保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。根據(jù)管理員定義的更新頻率與策略，通過(guò)HTTP或FTP協(xié)議自動(dòng)更新特征碼，確保始終使用最新的特征碼進(jìn)行檢查，以免受各種新病毒、蠕蟲(chóng)的侵害。雙機(jī)容錯(cuò)赤霄過(guò)濾網(wǎng)關(guān)支持STP（Spanning Tree Protocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺(tái)赤霄過(guò)濾網(wǎng)關(guān)時(shí)，如果主機(jī)出了問(wèn)題，備機(jī)會(huì)接管網(wǎng)絡(luò)連接并進(jìn)行過(guò)濾，滿足高可靠性的網(wǎng)絡(luò)對(duì)健壯性的要求。帶寬保護(hù)赤霄過(guò)濾網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的保護(hù)。用戶(hù)可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過(guò)濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。資源自適應(yīng)控制發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接時(shí)，赤霄過(guò)濾網(wǎng)關(guān)會(huì)檢測(cè)系統(tǒng)資源的消耗情況。當(dāng)達(dá)到處理極限后，進(jìn)行緩沖處理，避免資源超載造成網(wǎng)絡(luò)中斷的現(xiàn)象。同時(shí)，系統(tǒng)借助對(duì)協(xié)議的深度分析設(shè)置閥值，當(dāng)發(fā)生諸如SYN Flooding類(lèi)型的攻擊達(dá)到閥值后，赤霄過(guò)濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過(guò)濾絕大多數(shù)的服務(wù)拒絕攻擊。完整的日志記錄，豐富的報(bào)表赤霄過(guò)濾網(wǎng)關(guān)可提供詳盡、完整的過(guò)濾日志報(bào)告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計(jì)報(bào)表并支持?jǐn)?shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應(yīng)的過(guò)濾策略。支持SMTP認(rèn)證為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶(hù)的發(fā)信請(qǐng)求前，要求對(duì)用戶(hù)的身份作認(rèn)證，即SMTP認(rèn)證。如果原有郵件服務(wù)器進(jìn)行SMTP認(rèn)證，在引入了KILL Shield Gateway之后，該認(rèn)證過(guò)程將由KILL Shield Gateway來(lái)進(jìn)行。它將認(rèn)證過(guò)程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認(rèn)證的結(jié)果來(lái)決定是否接收用戶(hù)的發(fā)信請(qǐng)求。如果用戶(hù)的RELAY郵件服務(wù)器不支持SMTP認(rèn)證，可以使用KILL Shield Gateway的SMTP認(rèn)證擴(kuò)展模塊，將SMTP認(rèn)證協(xié)議轉(zhuǎn)變?yōu)閷?duì)POP3用戶(hù)的認(rèn)證協(xié)議，進(jìn)行發(fā)信認(rèn)證?？蓹z查偽裝郵件KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認(rèn)證信息正確，但發(fā)件人郵件地址和提供的認(rèn)證信息不相符合的情況。KILL Shield Gateway通過(guò)將郵件地址和SMTP認(rèn)證用戶(hù)進(jìn)行綁定來(lái)識(shí)別偽裝郵件，從而確保郵件信息系統(tǒng)不被濫用和誤用。代理系統(tǒng)的訪問(wèn)控制KILL Shield Gateway不僅可以對(duì)HTTP流量進(jìn)行過(guò)濾，還可進(jìn)行訪問(wèn)控制，設(shè)置可以使用代理系統(tǒng)的客戶(hù)端網(wǎng)段，使用它可以訪問(wèn)的服務(wù)器，或者客戶(hù)端需經(jīng)過(guò)驗(yàn)證后才可以使用代理系統(tǒng)，確保只有允許的用戶(hù)或客戶(hù)端才可以使用該代理系統(tǒng)。第六章 實(shí)施方案（1）優(yōu)化方案安全優(yōu)化方案①：說(shuō)明：將原例圖交換機(jī)②外帶的三個(gè)網(wǎng)段加入交換機(jī)①，通過(guò)劃分VLAN的方式連接，這樣既也節(jié)省硬件資源（交換機(jī)②），也便于入侵檢測(cè)系統(tǒng)的集中管理。這里需要將交換機(jī)①的某個(gè)端口設(shè)置監(jiān)聽(tīng)狀態(tài)，并使用該端口聯(lián)入侵檢測(cè)系統(tǒng)。使用KSG郵件過(guò)濾系統(tǒng)放在ISP提供商的線路上，使用這種配置手法的優(yōu)點(diǎn)是：能同時(shí)過(guò)濾內(nèi)網(wǎng)（核心交換機(jī)①）與DMZ區(qū)的通信數(shù)據(jù)，起到全面保護(hù)的作用；缺點(diǎn)：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險(xiǎn)。防火墻采用安氏中國(guó)的防火墻高端產(chǎn)品LinkTrust CyberWall200SP/006。安全優(yōu)化方案②：說(shuō)明：方案②在核心交換機(jī)與入侵檢測(cè)系統(tǒng)的排布上與方案①相同，只是在KSG郵件過(guò)濾系統(tǒng)的拓?fù)湮恢蒙蠈⑵湓镜耐負(fù)湮恢梅胚M(jìn)DMZ區(qū)、MAIL服務(wù)器的前端，優(yōu)點(diǎn)：能保證KSG郵件過(guò)濾能保障處于DMZ區(qū)的MAIL服務(wù)器能正常運(yùn)作；缺點(diǎn)：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。防火墻同樣是使用安氏的LinkTrust CyberWall200SP/006。（2）設(shè)備安裝ISONE FW 防火墻具有“防火墻（Firewall） + 非軍事區(qū)（DMZ）+ 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）+帶寬管理 + 代理服務(wù)器（Proxy）+雙機(jī)熱備 + 簡(jiǎn)單入侵檢測(cè) + 用戶(hù)認(rèn)證”的功能；必須考慮DMZ區(qū)的應(yīng)用所涉及的安裝接法，建議對(duì)DMZ區(qū)進(jìn)行應(yīng)用，將數(shù)據(jù)服務(wù)器、WEB服務(wù)器聯(lián)接到此區(qū)中；配合企業(yè)的需要，在郵件過(guò)濾網(wǎng)關(guān)與入侵檢測(cè)系統(tǒng)加載適合管理者需要的、符合安全基準(zhǔn)的安全策略。（3）規(guī)則配置在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)的應(yīng)用情況，代理及帶寬的使用情況進(jìn)行配置。（4）網(wǎng)絡(luò)安全管理員培訓(xùn)A介紹網(wǎng)絡(luò)安全管理知識(shí)，常見(jiàn)的攻擊與防護(hù)；B培訓(xùn)墻火防的安裝、規(guī)則配置等；C培訓(xùn)入侵檢測(cè)及報(bào)表審核；D培訓(xùn)郵件過(guò)濾網(wǎng)關(guān)的規(guī)則配置；E培訓(xùn)安全評(píng)估的應(yīng)用。（5）網(wǎng)絡(luò)安全審核對(duì)防火墻、入侵檢測(cè)系統(tǒng)、郵件過(guò)濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進(jìn)行審核確保系統(tǒng)當(dāng)前的安全性。第七章 產(chǎn)品類(lèi)別、報(bào)價(jià)與售后服務(wù)（1）產(chǎn)品類(lèi)別安氏CyberWall200SP/006專(zhuān)為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴(yán)密安全需求的大中型企業(yè)用戶(hù)而設(shè)計(jì)，配備6個(gè)10/100M自感應(yīng)端口，采用先進(jìn)的安全域（Security Zone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個(gè)物理網(wǎng)口可以掛接任意多個(gè)邏輯子網(wǎng)，通過(guò)劃分安全級(jí)別域和設(shè)置訪問(wèn)控制規(guī)則來(lái)實(shí)現(xiàn)各端口、子網(wǎng)、安全域之間的數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、ASIC VPN（僅用于200SP/006型號(hào)）、入侵檢測(cè)、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認(rèn)證授權(quán)、內(nèi)容安全控制、ADSL/ISDN接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。另外，200SP/006自身還集成了ASIC VPN處理器Security Processor 200，它支持處理所有的與安全相關(guān)的協(xié)議包括IPSec, IKE, SSL 和TLS，處理能力相當(dāng)于1000MIPS，等同于12－18顆的Pentium III級(jí)微處理器對(duì)數(shù)據(jù)加密的處理能力, 賦予了CW200SP/006可怕的數(shù)據(jù)加密處理能力，在IP安全通訊領(lǐng)域中承擔(dān)著VPN中央數(shù)據(jù)加密處理核心節(jié)點(diǎn)的位置。CA KSG郵件過(guò)濾網(wǎng)關(guān)GXGSS100赤霄過(guò)濾網(wǎng)關(guān)從多個(gè)層次來(lái)過(guò)濾蠕蟲(chóng)，在網(wǎng)絡(luò)層和傳輸層過(guò)濾蠕蟲(chóng)利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過(guò)濾利用正常協(xié)議（SMTP、HTTP、POPFTP等）傳輸?shù)撵o態(tài)蠕蟲(chóng)代碼。赤霄過(guò)濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（SMTP、HTTP、POPFTP等）所傳遞的數(shù)據(jù)進(jìn)行病毒過(guò)濾，其反病毒引擎獲得了ICSA（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)）實(shí)驗(yàn)室的查殺病毒認(rèn)證，能夠100%地檢測(cè)出目前“流行病毒名單”上的病毒。赤霄過(guò)濾網(wǎng)關(guān)使用基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術(shù)進(jìn)行內(nèi)容檢查。SBPH/BCR是一種基于稀疏多項(xiàng)哈希和貝葉斯鏈的評(píng)定系統(tǒng)，具有高度準(zhǔn)確的內(nèi)容識(shí)別能力（精度高于99%）。支持對(duì)關(guān)鍵字、附件文件類(lèi)型等方式的過(guò)濾。赤霄過(guò)濾網(wǎng)關(guān)采用多種技術(shù)對(duì)垃圾郵件進(jìn)行過(guò)濾。可以自定義垃圾郵件—限制郵件的大小、限制同一郵件的收信地址數(shù)量、依據(jù)IP地址進(jìn)行過(guò)濾、依據(jù)郵箱地址進(jìn)行過(guò)濾；支持對(duì)垃圾郵件列表（RBL）的黑名單進(jìn)行過(guò)濾，同時(shí)通過(guò)自帶的垃圾郵件列表庫(kù)可以過(guò)濾當(dāng)前絕大多數(shù)廣告、推銷(xiāo)、宣傳等性質(zhì)的郵件。這樣，可實(shí)現(xiàn)對(duì)垃圾郵件的綜合防范。根據(jù)過(guò)濾對(duì)象的不同，赤霄過(guò)濾網(wǎng)關(guān)可以對(duì)符合過(guò)濾條件的對(duì)象進(jìn)行拒絕、丟棄、攔截、清除、延時(shí)等多種過(guò)濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶(hù)。赤霄過(guò)濾網(wǎng)關(guān)實(shí)時(shí)過(guò)濾蠕蟲(chóng)、病毒、垃圾郵件，阻止它們進(jìn)入到用戶(hù)的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報(bào)警，幫助管理員及時(shí)了解安全事件，掌握安全狀態(tài)。赤霄過(guò)濾網(wǎng)關(guān)的配置管理采用B/S方式，用戶(hù)可使用瀏覽器遠(yuǎn)程查看、修改系統(tǒng)配置及各項(xiàng)過(guò)濾策略，用戶(hù)界面友好，操作簡(jiǎn)單。赤霄過(guò)濾網(wǎng)關(guān)的接入非常簡(jiǎn)單，主要使用透明（Bridge模式）接入用戶(hù)網(wǎng)絡(luò)，也支持非透明（Router模式，旁路并聯(lián)）的接入。發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接的時(shí)候，赤霄過(guò)濾網(wǎng)關(guān)會(huì)檢測(cè)系統(tǒng)資源的消耗情況。赤霄過(guò)濾網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的保護(hù)。用戶(hù)可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過(guò)濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡(luò)性能。赤霄過(guò)濾網(wǎng)關(guān)支持STP（Spanning Tree Protocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺(tái)赤霄過(guò)濾網(wǎng)關(guān)時(shí)，如果主機(jī)出了問(wèn)題，備機(jī)會(huì)接管網(wǎng)絡(luò)連接并進(jìn)行過(guò)濾，滿足高可靠性的網(wǎng)絡(luò)對(duì)健壯性的要求。安全是動(dòng)態(tài)的，赤霄過(guò)濾網(wǎng)關(guān)通過(guò)不斷地更新過(guò)濾特征碼來(lái)保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲(chóng)特征碼、病毒特征碼和入侵特征碼。CA eTrust 入侵檢測(cè)系統(tǒng)GJMIDSB強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)控制功能：干將入侵檢測(cè)系統(tǒng)采用了一套規(guī)則庫(kù)來(lái)定義什么用戶(hù)能夠訪問(wèn)什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶(hù)才能夠訪問(wèn)網(wǎng)絡(luò)資源。大規(guī)模的入侵特征庫(kù)：干將入侵檢測(cè)系統(tǒng)實(shí)時(shí)地在網(wǎng)絡(luò)流量中察看是否包含入侵行為。入侵升級(jí)文件能夠快速及時(shí)地進(jìn)行在線升級(jí)，讓特征庫(kù)隨時(shí)保持最新最全。強(qiáng)大的碎片重組能力和抗入侵能力。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和IDS入侵攻擊。自身抗攻擊能力。干將入侵檢測(cè)系統(tǒng)能夠進(jìn)行隱藏IP設(shè)置，保證自身不會(huì)受到黑客的攻擊，保證自身的安全性。強(qiáng)大的攻擊特征自定義功能。管理員能夠隨時(shí)利用干將入侵檢測(cè)系統(tǒng)提供的正則表達(dá)式對(duì)最新出現(xiàn)的攻擊方式進(jìn)行特征定義和方法，非常方便和靈活。細(xì)致入微的數(shù)據(jù)包分析功能。干將入侵檢測(cè)系統(tǒng)能夠在二進(jìn)制級(jí)別對(duì)數(shù)據(jù)包進(jìn)行特征定義和匹配，分析隱藏的攻擊手段。管理員能夠采用該措施對(duì)攻擊行為進(jìn)行自定義。強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)能力。干將入侵檢測(cè)系統(tǒng)目前能夠同Check Point Firewall1/NG、Nokia全系列防火墻、eTrust 防火墻、Cisco路由器以及所有采用OPSEC標(biāo)準(zhǔn)的防火墻進(jìn)行聯(lián)動(dòng)。即干將入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)入侵行為，便能夠馬上通知這些防火墻動(dòng)態(tài)修改安全策略，對(duì)外來(lái)入侵在第一時(shí)間進(jìn)行有效的攔截。高負(fù)載網(wǎng)絡(luò)下的高性能。采用專(zhuān)用的數(shù)據(jù)處理機(jī)制讓其即使在高流量下也能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。支持全交換網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)利用情況紀(jì)錄：干將入侵檢測(cè)系統(tǒng)提供了基于最終用戶(hù)明、應(yīng)用程序等進(jìn)行跟蹤和記錄網(wǎng)絡(luò)使用情況的功能。這大大有利于提升網(wǎng)絡(luò)策略的規(guī)劃，并且提供了準(zhǔn)確的網(wǎng)絡(luò)利用情況報(bào)告。入侵記錄和分析：為收集入侵信息并歸納入庫(kù)分析提供了一套完整有效的機(jī)制。集成了防病毒引擎：干將入侵檢測(cè)系統(tǒng)采用KILL防病毒引擎來(lái)檢查網(wǎng)絡(luò)流量中是否包含病毒。特別是在目前的情況下，網(wǎng)絡(luò)病毒已經(jīng)成為一種最流量的病毒，而且最近又出現(xiàn)了新舊的病毒組合，如求職信病毒和CIH病毒的組合，結(jié)合了舊病毒強(qiáng)大的破壞性和新病毒傳播快速的特點(diǎn)，對(duì)網(wǎng)絡(luò)安全造成了極大的威脅。網(wǎng)絡(luò)病毒流傳檢測(cè)功能對(duì)網(wǎng)絡(luò)病毒的及時(shí)檢測(cè)和防護(hù)是非常有必要的。強(qiáng)大的報(bào)表能力：預(yù)置上百種報(bào)表模版，提供類(lèi)似于網(wǎng)絡(luò)入侵?jǐn)?shù)量統(tǒng)計(jì)、入侵類(lèi)型統(tǒng)計(jì)、入侵源統(tǒng)計(jì)以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細(xì)報(bào)表分析等內(nèi)容。采用Crystal Reports專(zhuān)業(yè)報(bào)表格式，能夠生成包括HTML、Word、Excel、Lotus Notes、Txt等十余種格式的報(bào)表。報(bào)表擴(kuò)展能力：支持Webtrends、Telemate等專(zhuān)業(yè)報(bào)表軟件接口，并且提供豐富的API功能。強(qiáng)大的報(bào)警功能。能夠通過(guò)電子郵件、尋呼、NT事件日志、消息框、SNMP Trap、打印機(jī)等等預(yù)定義的功能進(jìn)行告警，用戶(hù)還能夠通過(guò)提供的接口方便地自定義保警方式，如通過(guò)短消息報(bào)警。遠(yuǎn)程管理功能：遠(yuǎn)程用戶(hù)能夠通過(guò)撥號(hào)方式訪問(wèn)、察看并且監(jiān)控干將入侵檢測(cè)系統(tǒng)的運(yùn)行情況。在緊急情況下，管理員能夠在家里對(duì)干將入侵檢測(cè)系統(tǒng)進(jìn)行管理和入侵分析。中央管理機(jī)制：干將入侵檢測(cè)系統(tǒng)提供了強(qiáng)大的中央管理和策略分發(fā)機(jī)制。當(dāng)一個(gè)網(wǎng)絡(luò)分布于不同的地理位置的時(shí)候，管理員僅僅需要在每一個(gè)位置安裝相應(yīng)的檢測(cè)引擎，就能夠集中在中央管理臺(tái)進(jìn)行管理策略的定義、分發(fā)以及入侵庫(kù)的升級(jí)等工作。39 / 4