【正文】 中央管理機制：干將入侵檢測系統(tǒng)提供了強大的中央管理和策略分發(fā)機制。強大的報警功能。網(wǎng)絡(luò)病毒流傳檢測功能對網(wǎng)絡(luò)病毒的及時檢測和防護是非常有必要的。這大大有利于提升網(wǎng)絡(luò)策略的規(guī)劃，并且提供了準確的網(wǎng)絡(luò)利用情況報告。高負載網(wǎng)絡(luò)下的高性能。管理員能夠采用該措施對攻擊行為進行自定義。強大的攻擊特征自定義功能。強大的碎片重組能力和抗入侵能力。安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括蠕蟲特征碼、病毒特征碼和入侵特征碼。發(fā)生郵件風暴或大量HTTP并發(fā)鏈接的時候，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。根據(jù)過濾對象的不同，赤霄過濾網(wǎng)關(guān)可以對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保障將安全的數(shù)據(jù)傳送給用戶。支持對關(guān)鍵字、附件文件類型等方式的過濾。CA KSG郵件過濾網(wǎng)關(guān)GXGSS100赤霄過濾網(wǎng)關(guān)從多個層次來過濾蠕蟲，在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應用層過濾利用正常協(xié)議（SMTP、HTTP、POPFTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。（4）網(wǎng)絡(luò)安全管理員培訓A介紹網(wǎng)絡(luò)安全管理知識，常見的攻擊與防護；B培訓墻火防的安裝、規(guī)則配置等；C培訓入侵檢測及報表審核；D培訓郵件過濾網(wǎng)關(guān)的規(guī)則配置；E培訓安全評估的應用。安全優(yōu)化方案②：說明：方案②在核心交換機與入侵檢測系統(tǒng)的排布上與方案①相同，只是在KSG郵件過濾系統(tǒng)的拓撲位置上將其原本的拓撲位置放進DMZ區(qū)、MAIL服務器的前端，優(yōu)點：能保證KSG郵件過濾能保障處于DMZ區(qū)的MAIL服務器能正常運作；缺點：不能保證內(nèi)網(wǎng)的數(shù)據(jù)內(nèi)容安全。第六章 實施方案（1）優(yōu)化方案安全優(yōu)化方案①：說明：將原例圖交換機②外帶的三個網(wǎng)段加入交換機①，通過劃分VLAN的方式連接，這樣既也節(jié)省硬件資源（交換機②），也便于入侵檢測系統(tǒng)的集中管理。如果用戶的RELAY郵件服務器不支持SMTP認證，可以使用KILL Shield Gateway的SMTP認證擴展模塊，將SMTP認證協(xié)議轉(zhuǎn)變?yōu)閷OP3用戶的認證協(xié)議，進行發(fā)信認證。完整的日志記錄，豐富的報表赤霄過濾網(wǎng)關(guān)可提供詳盡、完整的過濾日志報告，還可提供根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計報表并支持數(shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應的過濾策略。用戶可以根據(jù)實際網(wǎng)絡(luò)帶寬配置定義過濾處理的并發(fā)數(shù)以及占用帶寬的限制，以此調(diào)整和優(yōu)化網(wǎng)絡(luò)性能。特征碼自動升級安全是動態(tài)的，赤霄過濾網(wǎng)關(guān)通過不斷地更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步，包括病毒特征碼和入侵特征碼。高性能赤霄過濾網(wǎng)關(guān)構(gòu)建在高性能的服務器硬件平臺上，采用高效過濾算法，具有極高的處理能力。采用貝葉斯技術(shù)進行智能過濾。該引擎還憑借其卓越的病毒查殺能力19次榮獲“Virus Bulletin”（病毒公告牌）授予的“VB 100%”獎，這一成就超過其它任何一個反病毒廠商。在網(wǎng)絡(luò)層和傳輸層阻擋蠕蟲利用系統(tǒng)漏洞發(fā)起的動態(tài)攻擊，在應用層過濾通過正常協(xié)議（SMTP、POPHTTP、FTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。蠕蟲可以利用電子郵件、文件傳輸?shù)确绞綌U散，也可以利用系統(tǒng)漏洞進行主動攻擊。采用非透明模式時，對郵件系統(tǒng)，只需修改 DNS 配置，對代理服務器，只需指定其上一級代理為KILL Shield Gateway，即可進行過濾工作。采用透明模式時，由于 KILL Shield Gateway就是串聯(lián)在網(wǎng)絡(luò)當中，受保護網(wǎng)絡(luò)的所有數(shù)據(jù)均經(jīng)過它，為物理網(wǎng)關(guān)，故配置要簡單的多。KILL Shield Gateway的POP3過濾模塊的工作原理如下圖所示：啟用POP3過濾前，一般用戶接收郵件的過程為：POP3 clientPOP3 服務器啟用POP3過濾后，郵件客戶端接收郵件的過程為：POP3 clientKSGPOP3 過濾模塊POP3 服務器郵件客戶端向KILL Shield Gateway發(fā)出POP3請求，KILL Shield Gateway根據(jù)其提供的信息，向?qū)嶋H的POP3服務器發(fā)出請求接收郵件后，客戶端直接從KILL Shield Gateway接收郵件。如網(wǎng)絡(luò)中使用了防火墻，可使用防火墻的重定向功能，將80（HTTP），21(FTP)端口的請求直接重定向到KILL Shield Gateway,從而實現(xiàn)透明代理功能，客戶端不需配置任何代理服務器。對于原有系統(tǒng)中沒有代理服務器的用戶環(huán)境，可以使用以下結(jié)構(gòu)：HTTP/FTP ClientsKShield代理模塊Internet在這種使用方式下，為中小型網(wǎng)絡(luò)用戶提供了一個功能完整，性能優(yōu)良的防病毒代理系統(tǒng)。要確保網(wǎng)絡(luò)內(nèi)部用戶下載的內(nèi)容的安全，只要確保它們的代理下載內(nèi)容的安全就可以了。代理過濾模塊工作原理KILL Sheild Gateway的代理模塊相當于一個代理服務器(Proxy Server)。在使用中，KILL Shield Gateway本身就是一個完整的MTA（郵件傳輸單元），我們賦予它最高的優(yōu)先級，這樣所有的郵件將先發(fā)到KILL Shield Gateway，進行過濾處理后，再由它通過SMTP協(xié)議傳給MX郵件服務器。下面根據(jù)KILL Shield Gateway的三大功能模塊：SMTP過濾、代理過濾和POP3過濾，分別講述采用非透明模式接入到網(wǎng)絡(luò)中時，每個模塊的工作原理，由此了解該如何將產(chǎn)品連接到網(wǎng)絡(luò)中。對DMZ區(qū)，主要作用是攔截從外部發(fā)向服務器的攻擊數(shù)據(jù)，確保了公司重要服務器的安全。一般企業(yè)網(wǎng)絡(luò)通過防火墻，劃分為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)，連接到Internet。下面分別介紹其工作原理。KILL Shield Gateway主要使用透明（Bridge模式）接入用戶網(wǎng)絡(luò)。KILL Shield Gateway在企業(yè)網(wǎng)絡(luò)的邊緣，而不是在用戶的郵件和代理服務器上，進行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠遠高于在服務器本機上安裝過濾軟件的方式。KILL Shield Gateway做為先進的新型網(wǎng)關(guān)過濾設(shè)備，除了具有一般網(wǎng)關(guān)過濾設(shè)備的功能外，它的突出特點是可以實現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。它提供給企業(yè)一個易于部署的網(wǎng)絡(luò)保護方案，可以在不會導致任何失敗的情況下加以實施?！　　　∪肭秩罩炯胺治鼍W(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件提供了一個綜合系統(tǒng)來捕捉信息并進行分析。集中監(jiān)視網(wǎng)絡(luò)管理員可以在本地或遠程集中監(jiān)控運行網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件的一臺或多臺工作站。這包括從一個遠程或中央位置的穩(wěn)定控制臺監(jiān)視和響應企業(yè)范圍內(nèi)的事件。這種方式防止了未經(jīng)授權(quán)就通過Email或web發(fā)送敏感數(shù)據(jù)等情況的發(fā)生?！⌒畔崽郊夹g(shù)網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件以秘密方式運行，使攻擊者無法感知到。它可以防止用戶下載被病毒感染的文件。 　網(wǎng)絡(luò)入侵檢測(eTrust Intrusion Detection)軟件還可以大大減少管理和保障網(wǎng)絡(luò)安全所需的培訓時間。通過一個基于WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該SmartProtector的攻擊特征模板，還可以通過提供的鏈接，了解到更多關(guān)于攻擊的資料以及如何配置相應的系統(tǒng)設(shè)備來防御攻擊”。但流探測器SmartProtector不能取代專門的入侵檢測系統(tǒng)，它以不犧牲防火墻和VPN的性能為前提，檢測并響應“嚴重的”攻擊手法，配合防火墻以及專門的IDS系統(tǒng)，為企業(yè)提供更加強大的防護體系。用戶還可以自定義檢測策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng)LTOS，擁有超負載保護能力。領(lǐng)信防火墻的特色包括：狀態(tài)檢測包過濾技術(shù)；多種服務的內(nèi)核級安全代理；全面的網(wǎng)絡(luò)地址翻譯（NAT）；IPsec VPN和撥號VPN；高可靠性（HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認證方案；完整日志、審計，告警和統(tǒng)計模塊；抗DOS攻擊能力（支持SYN Proxy）；內(nèi)嵌入侵檢測能力；支持多個ISP接入的負載均衡解決方案；支持詭異木馬的抵御；對ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與IDS協(xié)作。領(lǐng)信防火墻采用專門設(shè)計的安全操作系統(tǒng)LTOS和專用搭載平臺，提供高度可靠性和可用性。時間及規(guī)則可由用戶在防火墻上設(shè)置的。B需要能監(jiān)控員工的上網(wǎng)數(shù)據(jù)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整響應的授權(quán)。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理制訂嚴格的操作規(guī)程 操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開。這些人應是系統(tǒng)主管領(lǐng)導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。當然，還需要建立高效的管理平臺。對應用安全，主要考慮確定不同服務的應用軟件并緊密注視其Bug ；對掃描軟件不斷升級。 應用安全 在應用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲嬘涗洝?系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性?！袄鋫浞荨笔侵浮安辉诰€”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；場點外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設(shè)備的備份。 所選的防毒軟件應該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。這類技術(shù)有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。漏洞分析和響應配置分析和響應漏洞形勢分析和響應認證和趨勢分析具體體現(xiàn)在以下方面：防火墻得到合理配置內(nèi)外WEB站點的安全漏洞減為最低網(wǎng)絡(luò)體系達到強壯的耐攻擊性 各種服務器操作系統(tǒng)，如E_MIAL服務器、WEB服務器、應用服務器、將受黑客攻擊的可能降為最低對網(wǎng)絡(luò)訪問做出有效響應，保護重要應用系統(tǒng)（如財務系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害 審計與監(jiān)控 審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。 網(wǎng)絡(luò)安全檢測 網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。通過在交換機上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實時告警等功能。 網(wǎng)絡(luò)系統(tǒng)安全 訪問控制及內(nèi)外網(wǎng)的隔離 訪問控制 訪問控制可以通過如下幾個方面來實現(xiàn)：制訂嚴格的管理制度:可制定的相應：《用戶授權(quán)實施細則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。 網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應用情況、遠程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護管理、網(wǎng)絡(luò)應用與業(yè)務定位等因素。 它主要包括三個方面： 環(huán)境安全對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設(shè)計規(guī)范》、國標GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》 設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等； 媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。安全應用由一些安全服務來實現(xiàn)；而安全服務又是由各種安全機制或安全技術(shù)來實現(xiàn)的。 多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。 分步實施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。第三章 網(wǎng)絡(luò)安全方案總體設(shè)計（1）安全方案設(shè)計原則