【導(dǎo)讀】二十一世紀(jì)是信息化世紀(jì)，隨著Inter的迅猛發(fā)展,信息共享的程度進(jìn)一步提高,目前政府部門、金融部門、醫(yī)療、企事業(yè)單位和個(gè)人都日益重視這一重要問題。有重大戰(zhàn)略意義的課題。了一些全新的工作方式，尤其是因特網(wǎng)的出現(xiàn)更給用戶帶來了巨大的方便。網(wǎng)絡(luò)，特別是因特網(wǎng)存在著極大的安全隱患。近年來，因特網(wǎng)上的安全事故屢有發(fā)生。這些安全風(fēng)險(xiǎn)的存在阻礙了計(jì)。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，建立安全可靠的。網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。統(tǒng)內(nèi)部所有計(jì)算機(jī)的不受病毒侵?jǐn)_，能夠數(shù)據(jù)系統(tǒng)正常應(yīng)用。壞，還有可能受到計(jì)算機(jī)病毒的感染。相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用。絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。未能對(duì)來自Inter的電子郵件挾。75%的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的。超過50%的安全威脅來。護(hù)網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。

　　

【正文】 時(shí)了解安全事件，掌握安全狀態(tài)。 靈活的過濾策略 根據(jù)不同的過濾對(duì)象 和安全目的，赤霄過濾網(wǎng)關(guān)可以定義靈活的過濾策略，并且對(duì)符合過濾條件的對(duì)象進(jìn)行拒絕、丟棄、攔截、清除、延時(shí)等多種過濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶。 特征碼自動(dòng)升級(jí) 安全是動(dòng)態(tài)的， 赤霄過濾網(wǎng)關(guān) 通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。根據(jù)管理員定義的更新頻率與策略，通過 HTTP 或 FTP 協(xié)議自動(dòng)更新特征碼，確保始終使用最新的特征碼進(jìn)行檢查，以免受各種新病毒、蠕蟲的侵害。 雙機(jī)容錯(cuò) 赤霄過濾網(wǎng)關(guān)支持 STP（ Spanning Tree Protocol），啟用 STP 后，當(dāng)網(wǎng)絡(luò)中使用了兩臺(tái) 赤天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 霄過濾網(wǎng)關(guān) 時(shí)，如果主機(jī)出了問題，備機(jī)會(huì)接管網(wǎng)絡(luò)連接并進(jìn)行過濾，滿足高可靠性的網(wǎng)絡(luò)對(duì)健壯性的要求。 帶寬保護(hù) 赤霄過濾網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的保護(hù)。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。 資源自適應(yīng)控制 發(fā)生郵件風(fēng)暴或大量 HTTP 并發(fā)鏈接時(shí)，赤霄過濾網(wǎng)關(guān)會(huì)檢測(cè)系統(tǒng)資源的消耗情況。當(dāng)達(dá)到處理極限后，進(jìn)行緩沖處理，避免資源超載造成網(wǎng)絡(luò)中斷的現(xiàn)象。同時(shí)，系統(tǒng)借助對(duì)協(xié)議的深度分析設(shè)置閥值，當(dāng)發(fā)生諸如 SYN Flooding 類型的攻擊達(dá)到閥值后，赤霄過濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過濾絕大多數(shù)的服務(wù)拒絕攻擊。 完整的日志記錄，豐富的報(bào)表 赤霄過濾網(wǎng)關(guān)可提供詳盡、完整的過濾日志報(bào)告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計(jì)報(bào)表并支持?jǐn)?shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應(yīng)的過濾策略。 支持 SMTP 認(rèn)證 為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請(qǐng)求前，要求對(duì)用戶的身份作認(rèn)證，即 SMTP 認(rèn)證。如果原有郵件服務(wù)器進(jìn)行 SMTP 認(rèn)證，在引入了KILL Shield Gateway 之后，該認(rèn)證過程將由 KILL Shield Gateway 來進(jìn)行。它將認(rèn)證過程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認(rèn)證的結(jié)果來決定是否接收用戶的發(fā)信請(qǐng)求。 如果用戶的 RELAY 郵件服務(wù)器不支持 SMTP 認(rèn)證，可以使用 KILL Shield Gateway 的 SMTP認(rèn)證擴(kuò)展模塊，將 SMTP 認(rèn)證協(xié)議轉(zhuǎn)變?yōu)閷?duì) POP3 用戶的認(rèn)證協(xié)議，進(jìn)行發(fā)信認(rèn)證。 可檢查偽裝郵件 KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認(rèn)證信息正確，但發(fā)件人郵件地址和提供的認(rèn)證信息不相符合的情況。 KILL Shield Gateway 通過將郵件地址 和 SMTP 認(rèn)證用戶進(jìn)行綁定來識(shí)別偽裝郵件，從而確保郵件信息系統(tǒng)不被濫用和誤用。 代理系統(tǒng)的訪問控制 KILL Shield Gateway 不僅可以對(duì) HTTP 流量進(jìn)行過濾，還可進(jìn)行訪問控制，設(shè)置可以使用代理系統(tǒng)的客戶端網(wǎng)段，使用它可以訪問的服務(wù)器，或者客戶端需經(jīng)過驗(yàn)證后才可以使用代理系統(tǒng)，確保只有允許的用戶或客戶端才可以使用該代理系統(tǒng)。 第六章 實(shí)施方案 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 （ 1）優(yōu)化方案 安全優(yōu)化方案①： 說明： 將原例圖交換機(jī)②外帶的三個(gè)網(wǎng)段加入交換機(jī)①，通過劃分 VLAN 的方式連接，這樣既也節(jié)省硬件資源（交換機(jī)②），也便于入侵檢測(cè)系統(tǒng)的集中管理。這里需要將交換機(jī)①的某個(gè)端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測(cè)系統(tǒng)。使用 KSG 郵件過濾系統(tǒng)放在 ISP 提供商的線路上，使用這種配置手法的優(yōu)點(diǎn)是：能同時(shí)過濾內(nèi)網(wǎng)（核心交換機(jī)①）與 DMZ 區(qū)的通信數(shù)據(jù)，起到全面保護(hù)的作用；缺點(diǎn)：暴露在網(wǎng)閘（企業(yè)型防火墻）的前端，存在被攻擊的危險(xiǎn)。防火墻采用安氏中國(guó)的防火墻高端產(chǎn)品 LinkTrust CyberWall200SP/006。 安全優(yōu)化方案②： 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 說明： 方案②在核心交換機(jī)與入侵檢測(cè)系統(tǒng)的 排布上與方案①相同，只是在 KSG 郵件過濾系統(tǒng)的拓?fù)湮恢蒙蠈⑵湓镜耐負(fù)湮恢梅胚M(jìn) DMZ 區(qū)、 MAIL 服務(wù)器的前端，優(yōu)點(diǎn)：能保證 KSG郵件過濾能保障處于 DMZ 區(qū)的 MAIL 服務(wù)器能正常運(yùn)作；缺點(diǎn)：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。防火墻同樣是使用安氏的 LinkTrust CyberWall200SP/006。 （ 2）設(shè)備安裝 ISONE FW 防火墻具有“防火墻（ Firewall） + 非軍事區(qū)（ DMZ） + 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）+帶寬管理 + 代理服務(wù)器（ Proxy） +雙機(jī)熱備 + 簡(jiǎn)單入侵檢測(cè) + 用戶認(rèn)證” 的功能；必須考慮 DMZ 區(qū)的應(yīng)用所涉及的安裝接法，建議對(duì) DMZ 區(qū)進(jìn)行應(yīng)用，將數(shù)據(jù)服務(wù)器、 WEB 服務(wù)器聯(lián)接到此區(qū)中；配合企業(yè)的需要，在郵件過濾網(wǎng)關(guān)與入侵檢測(cè)系統(tǒng)加載適合管理者需要的、天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 符合安全基準(zhǔn)的安全策略。 （ 3）規(guī)則配置 在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、 DMZ 區(qū)的應(yīng)用情況，代理及帶寬的使用情況進(jìn)行配置。 （ 4）網(wǎng)絡(luò)安全管理員培訓(xùn) A 介紹網(wǎng)絡(luò)安全管理知識(shí)，常見的攻擊與防護(hù)； B 培訓(xùn)墻火防的安裝、規(guī)則配置等； C 培訓(xùn)入侵檢測(cè)及報(bào)表審核； D 培訓(xùn)郵件過濾網(wǎng)關(guān)的規(guī)則配置； E 培訓(xùn)安全評(píng)估的應(yīng)用。 （ 5）網(wǎng)絡(luò)安全審核 對(duì)防火墻、入侵檢測(cè)系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進(jìn)行審核確保系統(tǒng)當(dāng)前的安全性。 第七章 產(chǎn)品類別、報(bào)價(jià)與售后服務(wù) （ 1）產(chǎn)品類別 安氏 CyberWall200SP/006 專為具有復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)及嚴(yán)密安全需求的大中型企業(yè)用戶而設(shè)計(jì)，配備 6 個(gè) 10/100M 自感應(yīng)端口，采用先進(jìn)的安全域（ Security Zone）概念結(jié)構(gòu)，提供了復(fù)雜網(wǎng)絡(luò)多子網(wǎng)之間的安全控制方案，防火墻上的每個(gè)物理網(wǎng)口可以掛接任意多個(gè)邏輯子網(wǎng)，通過劃分安全級(jí)別域和設(shè)天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 置訪問控制規(guī)則來實(shí)現(xiàn)各端口、子網(wǎng)、安全域之間的 數(shù)據(jù)包轉(zhuǎn)發(fā)，高度集成了防火墻、 ASIC VPN（僅用于 200SP/006 型號(hào)）、入侵檢測(cè)、帶寬管理、防拒絕服務(wù)網(wǎng)關(guān)、多媒體通信安全、認(rèn)證授權(quán)、內(nèi)容安全控制、 ADSL/ISDN 接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。另外， 200SP/006 自身還集成了 ASIC VPN 處理器Security Processor 200，它支持處理所有的與安全相關(guān)的協(xié)議包括 IPSec, IKE, SSL 和 TLS，處理能力相當(dāng)于 1000MIPS，等同于 12－ 18 顆的 Pentium III 級(jí)微處理器對(duì)數(shù)據(jù)加密的處理能力 , 賦予了 CW200SP/006 可怕的數(shù)據(jù)加密處理能力，在 IP 安全通訊領(lǐng)域中承擔(dān)著 VPN 中央數(shù)據(jù)加密處理核心節(jié)點(diǎn)的位置。 CA KSG 郵件過濾網(wǎng)關(guān) GXGSS100 赤霄過濾網(wǎng)關(guān)從多個(gè)層次來過濾蠕蟲，在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過濾利用正常協(xié)議（ SMTP、 HTTP、 POP FTP 等）傳輸?shù)撵o態(tài)蠕蟲代碼。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（ SMTP、 HTTP、 POP FTP等）所傳遞的數(shù)據(jù)進(jìn)行病毒過濾，其反病毒引擎獲得了 ICSA（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)）實(shí)驗(yàn)室的查殺病毒認(rèn)證，能夠 100%地檢測(cè)出目前“流行病毒名單”上的病毒。赤霄過濾網(wǎng)關(guān)使用基于 SBPH/BCR（ Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術(shù)進(jìn)行內(nèi)容檢查。SBPH/BCR 是一種基于稀疏多項(xiàng)哈希和貝葉斯鏈的評(píng)定系統(tǒng)，具有高度準(zhǔn)確的內(nèi)容識(shí)別能力（精度高于 99%）。支持對(duì)關(guān)鍵字、附件文件類型等方式的過濾。赤霄過濾網(wǎng)關(guān)采用多種技術(shù)對(duì)垃圾郵件進(jìn)行過濾。可以自定義垃圾郵件 —限制郵件的大小、限制同一郵件的收信地址 數(shù)量、依據(jù) IP 地址進(jìn)行過濾、依據(jù)郵箱地址進(jìn)行過濾；支持對(duì)垃圾郵件列表（ RBL）的黑名單進(jìn)行過濾，同時(shí)通過自帶的垃圾郵件列表庫(kù)可以過濾當(dāng)前絕大多數(shù)廣告、推銷、宣傳等性質(zhì)的郵件。這樣，可實(shí)現(xiàn)對(duì)垃圾郵件的綜合防范。根據(jù)過濾對(duì)象的不同，赤霄過濾網(wǎng)關(guān)可以對(duì)符合過濾條件的對(duì)象進(jìn)行拒絕、丟棄、攔截、清除、延時(shí)等多種過濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。赤霄過濾網(wǎng)關(guān)實(shí)時(shí)過濾蠕蟲、病毒、垃圾郵件，阻止它們進(jìn)入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報(bào)警，幫助管理員及時(shí)了解安全事件，掌握安全狀態(tài)。赤霄過濾 網(wǎng)關(guān)的配置管理采用 B/S 方式，用戶可使用瀏覽器遠(yuǎn)程查看、修改系統(tǒng)配置及各項(xiàng)過濾策略，用戶界面友好，操作簡(jiǎn)單。赤霄過濾網(wǎng)關(guān)的接入非常簡(jiǎn)單，主要使用透明（ Bridge 模式）接入用戶網(wǎng)絡(luò)，也支持非透明（ Router 模式，旁路并聯(lián)）的接入。發(fā)生郵件風(fēng)暴或大量 HTTP 并發(fā)鏈接的時(shí)候，赤霄過濾網(wǎng)關(guān)會(huì)檢測(cè)系統(tǒng)資源的消耗情況。赤霄過濾網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的保護(hù)。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整優(yōu)化網(wǎng)絡(luò)性能。赤霄過濾網(wǎng)關(guān)支持 STP（ Spanning Tree Protocol）， 啟用 STP 后，當(dāng)網(wǎng)絡(luò)中使用了兩臺(tái)赤霄過濾網(wǎng)關(guān)時(shí)，如果主機(jī)出了問題，備機(jī)會(huì)接管網(wǎng)絡(luò)連接并進(jìn)行過濾，滿足高可靠性的網(wǎng)絡(luò)對(duì)健壯性的要求。安全是動(dòng)態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲特征碼、病毒特征碼和入侵特征碼。 CA eTrust 入侵檢測(cè)系統(tǒng) GJMIDSB 強(qiáng)大的網(wǎng)絡(luò)訪問控制功能：干將入侵檢測(cè)系統(tǒng)采用了一套規(guī)則庫(kù)來定義什么用戶能夠訪問什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶才能夠訪問網(wǎng)絡(luò)資源。 大規(guī)模的入侵特征庫(kù)：干將入侵檢測(cè)系統(tǒng)實(shí)時(shí)地在網(wǎng)絡(luò)流量中察看是否包含入侵行為。 入侵升級(jí)文件能夠快速及時(shí)地進(jìn)行在線升級(jí)，讓特征庫(kù)隨時(shí)保持最新最全。 強(qiáng)大的碎片重組能力和抗入侵能力。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和 IDS 入侵攻擊。 自身抗攻擊能力。干將入侵檢測(cè)系統(tǒng)能夠進(jìn)行隱藏 IP 設(shè)置，保證自身不會(huì)受到黑客的攻擊，天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 保證自身的安全性。 強(qiáng)大的攻擊特征自定義功能。管理員能夠隨時(shí)利用干將入侵檢測(cè)系統(tǒng)提供的正則表達(dá)式對(duì)最新出現(xiàn)的攻擊方式進(jìn)行特征定義和方法，非常方便和靈活。 細(xì)致入微的數(shù)據(jù)包分析功能。干將入侵檢測(cè)系統(tǒng)能夠在二進(jìn)制級(jí)別對(duì)數(shù)據(jù)包進(jìn)行特征定義和匹配，分析隱藏的攻擊手段。管理員能夠采用該措施對(duì)攻 擊行為進(jìn)行自定義。 強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)能力。干將入侵檢測(cè)系統(tǒng)目前能夠同 Check Point Firewall1/NG、Nokia 全系列防火墻、 eTrust 防火墻、 Cisco 路由器以及所有采用 OPSEC 標(biāo)準(zhǔn)的防火墻進(jìn)行聯(lián)動(dòng)。即干將入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)入侵行為，便能夠馬上通知這些防火墻動(dòng)態(tài)修改安全策略，對(duì)外來入侵在第一時(shí)間進(jìn)行有效的攔截。 高負(fù)載網(wǎng)絡(luò)下的高性能。采用專用的數(shù)據(jù)處理機(jī)制讓其即使在高流量下也能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。支持全交換網(wǎng)絡(luò)環(huán)境。 網(wǎng)絡(luò)利用情況紀(jì)錄：干將入侵檢測(cè)系統(tǒng)提供了基于最終用戶 明、應(yīng)用程序等進(jìn)行跟蹤和記錄網(wǎng)絡(luò)使用情況的功能。這大大有利于提升網(wǎng)絡(luò)策略的規(guī)劃，并且提供了準(zhǔn)確的網(wǎng)絡(luò)利用情況報(bào)告。 入侵記錄和分析：為收集入侵信息并歸納入庫(kù)分析提供了一套完整有效的機(jī)制。 集成了防病毒引擎：干將入侵檢測(cè)系統(tǒng)采用 KILL 防病毒引擎來檢查網(wǎng)絡(luò)流量中是否包含病毒。特別是在目前的情況下，網(wǎng)絡(luò)病毒已經(jīng)成為一種最流量的病毒，而且最近又出現(xiàn)了新舊的病毒組合，如求職信病毒和 CIH 病毒的組合，結(jié)合了舊病毒強(qiáng)大的破壞性和新病毒傳播快速的特點(diǎn)，對(duì)網(wǎng)絡(luò)安全造成了極大的威脅。網(wǎng)絡(luò)病毒流傳檢測(cè)功能對(duì)網(wǎng)絡(luò)病毒的及時(shí)檢測(cè)和防護(hù)是非常有必要的。 強(qiáng)大的報(bào)表能力：預(yù)置上百種報(bào)表模版，提供類似于網(wǎng)絡(luò)入侵?jǐn)?shù)量統(tǒng)計(jì)、入侵類型統(tǒng)計(jì)、入侵源統(tǒng)計(jì)以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細(xì)報(bào)表分析等內(nèi)容。采用 Crystal Reports 專業(yè)報(bào)表格式，能夠生成包括 HTML、 Word、 Excel、 Lotus Notes、 Txt 等十余種格式的報(bào)表。 報(bào)表擴(kuò)展能力：支持 Webtrends、 Telemate 等專業(yè)報(bào)表軟件接 口，并且提供豐富的 API 功能。 強(qiáng)大的報(bào)警功能。能夠通過電子郵件、尋呼、 NT 事件日志、消息框、 SNMP Trap、打印機(jī)等等預(yù)定義的功能進(jìn)行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報(bào)警。 遠(yuǎn)程管理功能：遠(yuǎn)程用戶能夠通過撥號(hào)方式訪問、察看并且監(jiān)控干將入侵檢測(cè)系統(tǒng)的運(yùn)行情況。在緊急情況下，管理員能夠在家里對(duì)干將入侵檢測(cè)系統(tǒng)進(jìn)行管理和入侵分析。 中央管理機(jī)制：干將入侵檢測(cè)系統(tǒng)提供了強(qiáng)大的中央管理和策略分發(fā)機(jī)制。當(dāng)一個(gè)網(wǎng)絡(luò)分布于不同的地理位置的時(shí)候，管理員僅僅需要在每一個(gè)位置安裝相應(yīng)的檢測(cè)引 擎，就能夠集中在中央管理臺(tái)進(jìn)行管理策略的定義、分發(fā)以及入侵庫(kù)的升級(jí)等工作。