【正文】 當(dāng)一個網(wǎng)絡(luò)分布于不同的地理位置的時候，管理員僅僅需要在每一個位置安裝相應(yīng)的檢測引擎，就能夠集中在中央管理臺進(jìn)行管理策略的定義、分發(fā)以及入侵庫的升級等工作。在緊急情況下，管理員能夠在家里對干將入侵檢測系統(tǒng)進(jìn)行管理和入侵分析。能夠通過電子郵件、尋呼、NT事件日志、消息框、SNMP Trap、打印機(jī)等等預(yù)定義的功能進(jìn)行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報警。報表擴(kuò)展能力：支持Webtrends、Telemate等專業(yè)報表軟件接口，并且提供豐富的API功能。強(qiáng)大的報表能力：預(yù)置上百種報表模版，提供類似于網(wǎng)絡(luò)入侵?jǐn)?shù)量統(tǒng)計、入侵類型統(tǒng)計、入侵源統(tǒng)計以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細(xì)報表分析等內(nèi)容。特別是在目前的情況下，網(wǎng)絡(luò)病毒已經(jīng)成為一種最流量的病毒，而且最近又出現(xiàn)了新舊的病毒組合，如求職信病毒和CIH病毒的組合，結(jié)合了舊病毒強(qiáng)大的破壞性和新病毒傳播快速的特點(diǎn)，對網(wǎng)絡(luò)安全造成了極大的威脅。入侵記錄和分析：為收集入侵信息并歸納入庫分析提供了一套完整有效的機(jī)制。網(wǎng)絡(luò)利用情況紀(jì)錄：干將入侵檢測系統(tǒng)提供了基于最終用戶明、應(yīng)用程序等進(jìn)行跟蹤和記錄網(wǎng)絡(luò)使用情況的功能。采用專用的數(shù)據(jù)處理機(jī)制讓其即使在高流量下也能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。即干將入侵檢測系統(tǒng)一旦發(fā)現(xiàn)入侵行為，便能夠馬上通知這些防火墻動態(tài)修改安全策略，對外來入侵在第一時間進(jìn)行有效的攔截。強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動能力。干將入侵檢測系統(tǒng)能夠在二進(jìn)制級別對數(shù)據(jù)包進(jìn)行特征定義和匹配，分析隱藏的攻擊手段。管理員能夠隨時利用干將入侵檢測系統(tǒng)提供的正則表達(dá)式對最新出現(xiàn)的攻擊方式進(jìn)行特征定義和方法，非常方便和靈活。干將入侵檢測系統(tǒng)能夠進(jìn)行隱藏IP設(shè)置，保證自身不會受到黑客的攻擊，保證自身的安全性。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和IDS入侵攻擊。入侵升級文件能夠快速及時地進(jìn)行在線升級，讓特征庫隨時保持最新最全。CA eTrust 入侵檢測系統(tǒng)GJMIDSB強(qiáng)大的網(wǎng)絡(luò)訪問控制功能：干將入侵檢測系統(tǒng)采用了一套規(guī)則庫來定義什么用戶能夠訪問什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶才能夠訪問網(wǎng)絡(luò)資源。赤霄過濾網(wǎng)關(guān)支持STP（Spanning Tree Protocol），啟用STP后，當(dāng)網(wǎng)絡(luò)中使用了兩臺赤霄過濾網(wǎng)關(guān)時，如果主機(jī)出了問題，備機(jī)會接管網(wǎng)絡(luò)連接并進(jìn)行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。赤霄過濾網(wǎng)關(guān)可以實(shí)現(xiàn)對網(wǎng)絡(luò)帶寬的保護(hù)。赤霄過濾網(wǎng)關(guān)的接入非常簡單，主要使用透明（Bridge模式）接入用戶網(wǎng)絡(luò)，也支持非透明（Router模式，旁路并聯(lián)）的接入。赤霄過濾網(wǎng)關(guān)實(shí)時過濾蠕蟲、病毒、垃圾郵件，阻止它們進(jìn)入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。這樣，可實(shí)現(xiàn)對垃圾郵件的綜合防范。赤霄過濾網(wǎng)關(guān)采用多種技術(shù)對垃圾郵件進(jìn)行過濾。SBPH/BCR是一種基于稀疏多項(xiàng)哈希和貝葉斯鏈的評定系統(tǒng)，具有高度準(zhǔn)確的內(nèi)容識別能力（精度高于99%）。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（SMTP、HTTP、POPFTP等）所傳遞的數(shù)據(jù)進(jìn)行病毒過濾，其反病毒引擎獲得了ICSA（國際計算機(jī)安全協(xié)會）實(shí)驗(yàn)室的查殺病毒認(rèn)證，能夠100%地檢測出目前“流行病毒名單”上的病毒。另外，200SP/006自身還集成了ASIC VPN處理器Security Processor 200，它支持處理所有的與安全相關(guān)的協(xié)議包括IPSec, IKE, SSL 和TLS，處理能力相當(dāng)于1000MIPS，等同于12－18顆的Pentium III級微處理器對數(shù)據(jù)加密的處理能力, 賦予了CW200SP/006可怕的數(shù)據(jù)加密處理能力，在IP安全通訊領(lǐng)域中承擔(dān)著VPN中央數(shù)據(jù)加密處理核心節(jié)點(diǎn)的位置。（5）網(wǎng)絡(luò)安全審核對防火墻、入侵檢測系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進(jìn)行審核確保系統(tǒng)當(dāng)前的安全性。（3）規(guī)則配置在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)的應(yīng)用情況，代理及帶寬的使用情況進(jìn)行配置。防火墻同樣是使用安氏的LinkTrust CyberWall200SP/006。防火墻采用安氏中國的防火墻高端產(chǎn)品LinkTrust CyberWall200SP/006。這里需要將交換機(jī)①的某個端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測系統(tǒng)。代理系統(tǒng)的訪問控制KILL Shield Gateway不僅可以對HTTP流量進(jìn)行過濾，還可進(jìn)行訪問控制，設(shè)置可以使用代理系統(tǒng)的客戶端網(wǎng)段，使用它可以訪問的服務(wù)器，或者客戶端需經(jīng)過驗(yàn)證后才可以使用代理系統(tǒng)，確保只有允許的用戶或客戶端才可以使用該代理系統(tǒng)?？蓹z查偽裝郵件KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認(rèn)證信息正確，但發(fā)件人郵件地址和提供的認(rèn)證信息不相符合的情況。它將認(rèn)證過程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認(rèn)證的結(jié)果來決定是否接收用戶的發(fā)信請求。支持SMTP認(rèn)證為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請求前，要求對用戶的身份作認(rèn)證，即SMTP認(rèn)證。同時，系統(tǒng)借助對協(xié)議的深度分析設(shè)置閥值，當(dāng)發(fā)生諸如SYN Flooding類型的攻擊達(dá)到閥值后，赤霄過濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過濾絕大多數(shù)的服務(wù)拒絕攻擊。資源自適應(yīng)控制發(fā)生郵件風(fēng)暴或大量HTTP并發(fā)鏈接時，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。帶寬保護(hù)赤霄過濾網(wǎng)關(guān)可以實(shí)現(xiàn)對網(wǎng)絡(luò)帶寬的保護(hù)。根據(jù)管理員定義的更新頻率與策略，通過HTTP或FTP協(xié)議自動更新特征碼，確保始終使用最新的特征碼進(jìn)行檢查，以免受各種新病毒、蠕蟲的侵害。靈活的過濾策略根據(jù)不同的過濾對象和安全目的，赤霄過濾網(wǎng)關(guān)可以定義靈活的過濾策略，并且對符合過濾條件的對象進(jìn)行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。支持對關(guān)鍵字（正則表達(dá)式）、附件文件類型、URL等方式的過濾。支持靈活的過濾策略—依據(jù)IP地址過濾；依據(jù)郵件地址過濾；基于HELO標(biāo)志過濾；限制郵件的大?。幌拗仆秽]件的發(fā)件數(shù)量；對附件文件類型和文件名過濾；根據(jù)郵件主題、發(fā)件人、收件人、正文及附件關(guān)鍵字進(jìn)行過濾；對郵件頭、郵件體進(jìn)行關(guān)鍵字過濾；支持域名過濾；自動禁止郵件服務(wù)的Open relay功能；智能識別垃圾文本等。支持實(shí)時黑名單（RBL）技術(shù)的過濾。垃圾郵件過濾赤霄過濾網(wǎng)關(guān)采用多種技術(shù)過濾垃圾郵件，實(shí)現(xiàn)對垃圾郵件的綜合防范。其反病毒引擎獲得了ICSA（國際計算機(jī)安全協(xié)會）的認(rèn)證，能夠100%地檢測出目前“流行病毒名單”上的病毒。病毒過濾全面實(shí)現(xiàn)對普通病毒（如CIH）、郵件病毒（如求職信、美麗殺手、Mydoom）、木馬活動、惡意網(wǎng)頁代碼的過濾。赤霄過濾網(wǎng)關(guān)獨(dú)有的抗蠕蟲動態(tài)攻擊技術(shù)屬國內(nèi)首創(chuàng)，能夠全面抵御目前危害最大的蠕蟲威脅。由于蠕蟲能夠從網(wǎng)絡(luò)上發(fā)起動態(tài)攻擊，因而防范難度非常大。蠕蟲過濾 嚴(yán)格來講，蠕蟲與病毒是有區(qū)別的，它比病毒的危害性更大。采用透明模式時，用戶不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)，安裝工作更加簡單。接入方式簡單易行KILL Shield Gateway的配置非常簡單，支持透明和非透明兩種接入方式。KILL Shield Gateway的功能特點(diǎn)友好的系統(tǒng)管理界面對郵件系統(tǒng)的管理采用B/S方式，供HTTPS、SSH等方式的安全管理。因此，必須采用指向的方式確保SMTP，POP3，HTTP，F(xiàn)TP流量經(jīng)過KILL Shield Gateway。要使用POP3過濾功能，郵件客戶端需作相應(yīng)更改，則郵件客戶端需做的更改示例如下：收件服務(wù)器帳戶名啟用POP3過濾前username啟用POP3過濾后username即，在郵件客戶端將POP3服務(wù)器改為指向KILL Shield Gateway，但同時在賬號后面加入 原pop3郵件服務(wù)器名，告知KILL Shield Gateway去哪個服務(wù)器接收郵件。使用KILL Shield Gateway的POP3過濾功能，郵件客戶端可通過KILL Shield Gateway連接Internet上的POP3服務(wù)器收取，同時可確保接收郵件的安全性。POP3過濾模塊工作原理KILL Shield Gateway可以作為一個POP3代理，進(jìn)行POP3流量的過濾。如系統(tǒng)中沒有代理服務(wù)器，可配置瀏覽客戶端，使用KILL Shield Gateway這個代理。這種方式同樣具有很好的伸縮性和擴(kuò)展性。在上面的典型配置中，用戶網(wǎng)絡(luò)中本來就有代理服務(wù)器，這時只須修改該代理服務(wù)器的缺省上一級代理設(shè)置，使之指向KILL Shield Gateway即可，無須修改用戶原有的用戶認(rèn)證等其他代理服務(wù)器配置，也無須修改客戶端瀏覽器的配置。KILL Shield Gateway代理模塊典型應(yīng)用的邏輯示意圖如下：HTTP/FTP ClientsKShield代理模塊系統(tǒng)原有ProxyInternetKILL Shield Gateway代理模塊的過濾就是利用前面講到的原理， KILL Shield Gateway的主機(jī)本身就是一個代理服務(wù)器，首先將接收的遠(yuǎn)程服務(wù)器的數(shù)據(jù)保存在自己的硬盤上，在傳送給客戶端前先進(jìn)行病毒掃描。也就是說，客戶機(jī)訪問因特網(wǎng)時所發(fā)出的請求不再直接發(fā)送到遠(yuǎn)程服務(wù)器，而是被送到了代理服務(wù)器上，代理服務(wù)器再向遠(yuǎn)程的服務(wù)器提出相應(yīng)的申請，接收遠(yuǎn)程服務(wù)器提供的數(shù)據(jù)并保存在自己的硬盤上，然后用這些數(shù)據(jù)對客戶機(jī)提供相應(yīng)的服務(wù)。一般情況下，當(dāng)用戶的本地機(jī)與因特網(wǎng)連接時，通過本地機(jī)的客戶程序如IE瀏覽器發(fā)出請求，遠(yuǎn)端的服務(wù)器在接到請求之后響應(yīng)請求并提供相應(yīng)的服務(wù)。就可以了。KILL Shield Gateway在網(wǎng)絡(luò)中與原郵件服務(wù)器的關(guān)系如下圖：注：郵件服務(wù)器的優(yōu)先級在DNS服務(wù)器中設(shè)置。因此一封具有一個收件人地址的Email可以有多個MX郵件服務(wù)器目標(biāo)，每臺MX郵件服務(wù)器可以設(shè)置成不同的優(yōu)先級，高優(yōu)先級的郵件服務(wù)器將先進(jìn)行處理，如果高優(yōu)先級的郵件服務(wù)器出現(xiàn)意外，郵件會自動發(fā)向第二優(yōu)先服務(wù)器，依次直到最低優(yōu)先級服務(wù)器。SMTP郵件過濾模塊工作原理KILL Shield Gateway的SMTP過濾主要是利用郵件路由協(xié)議的特點(diǎn)進(jìn)行工作。但是在有些情況下，也可能采用非透明模式。從用戶的角度看，使用KILL Shield Gateway無需更改任何配置，因而對用戶來說是完全透明的，易于管理，同時保證了信息系統(tǒng)的安全。這樣，對內(nèi)部網(wǎng)絡(luò)，KSG可以攔截內(nèi)部主機(jī)從Internet下載的有害數(shù)據(jù)，同時也能攔截內(nèi)部主機(jī)發(fā)向Internet的攻擊數(shù)據(jù)。其中DMZ區(qū)中為重要的服務(wù)器，如FTP 服務(wù)器，Web服務(wù)器，郵件服務(wù)器等。如圖所示。透明模式接入采用透明模式時，無須改變用戶網(wǎng)絡(luò)環(huán)境中的所有網(wǎng)絡(luò)設(shè)備（包括主機(jī)、路由器等）和所有計算機(jī)的配置(包括IP地址和網(wǎng)關(guān))，只須將KILL Shield Gateway串聯(lián)到需重點(diǎn)保護(hù)的網(wǎng)絡(luò)中，例如，要保護(hù)郵件服務(wù)器，可將KILL Sheild Gateway連在用戶郵件服務(wù)器之前；要保護(hù)內(nèi)部網(wǎng)的主機(jī)，可把KSG部署在主交換機(jī)和路由器（防火墻）之間，從而大大增強(qiáng)網(wǎng)絡(luò)的安全性。這種情況下，主要用于對用戶的郵件系統(tǒng)進(jìn)行病毒過濾。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。KILL Shield Gateway的工作原理根據(jù)KILL Shield Gateway接入方式的不同，其過濾的工作原理也不同。而且即使用戶更換了新的代理和郵件服務(wù)器，也無需改變KILL Shield Gateway，保護(hù)了用戶的已有投資。KILL Shield Gateway做為獨(dú)立的硬件產(chǎn)品，其過濾與具體的郵件、代理系統(tǒng)無關(guān)，其工作不需更改用戶原有系統(tǒng)的任何配置。KILL Shield Gateway獨(dú)有的抗蠕蟲攻擊技術(shù)（AntiWorm）能夠全方位抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、DoS/DDoS等動態(tài)入侵攻擊行為。三管齊下，KILL Shield Gateway可對用戶網(wǎng)絡(luò)實(shí)現(xiàn)立體式的全面保護(hù)，有效保護(hù)用戶的網(wǎng)絡(luò)免受侵害，確保用戶內(nèi)部網(wǎng)絡(luò)的信息安全?！　≈С汁h(huán)境服務(wù)器/PC網(wǎng)絡(luò)Windows 95/98Windows NT/2000TCP/IP網(wǎng) （3）KSG郵件過濾網(wǎng)關(guān)赤霄過濾網(wǎng)關(guān)（KILL Shield Gateway）是冠群金辰公司新一代網(wǎng)絡(luò)過濾專用設(shè)備，能夠同時在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對病毒、蠕蟲、垃圾郵件、非法內(nèi)容分別進(jìn)