【正文】 主機(jī)、路由器等）和所有計算機(jī)的配置 (包括 IP 地址和網(wǎng)關(guān) )，只須將 KILL Shield Gateway 串聯(lián)到需重點保護(hù)的網(wǎng)絡(luò)中，例如，要保護(hù)郵件服務(wù)器，可將 KILL Sheild Gateway 連在用戶郵件服務(wù)器之前；要 保護(hù)內(nèi)部網(wǎng)的主機(jī)，可把 KSG 部署在主交換機(jī)和路由器（防火墻）之間，從而大大 增強(qiáng)網(wǎng)絡(luò)的安全性。這種情況下，主要用于對用戶的郵件系統(tǒng)進(jìn)行病毒過濾。用戶基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置。 KILL Shield Gateway 的工作原理 根據(jù) KILL Shield Gateway 接入方式的不同，其過濾的工作原理也不同。而且即使用戶更換了新的代理和郵件服務(wù)器，也無需改變 KILL Shield Gateway，保護(hù)了用戶的已有投資。 KILL Shield Gateway 做為獨立的硬件產(chǎn)品，其過濾與具體的郵件、代理系統(tǒng)無關(guān)，其工作不需更改用戶原有系統(tǒng)的任何配置。 KILL Shield 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 Gateway 獨有的抗蠕蟲攻擊技術(shù)（ AntiWorm）能夠全方位 抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、 DoS/DDoS 等動態(tài)入侵攻擊行為。三管齊下， KILL Shield Gateway 可對用戶網(wǎng)絡(luò)實現(xiàn)立體式的全面保護(hù)，有效保護(hù)用戶的網(wǎng)絡(luò)免受侵害，確保用戶內(nèi)部網(wǎng)絡(luò)的信息安全。 支持環(huán)境 服務(wù)器 /PC 網(wǎng)絡(luò) Windows 95/98 Windows NT/20xx TCP/IP 網(wǎng) （ 3） KSG 郵件過濾網(wǎng)關(guān) 赤霄過濾網(wǎng)關(guān)（ KILL Shield Gateway）是冠群金辰公司新一代網(wǎng)絡(luò)過濾專用設(shè)備，能夠同時在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對病毒、蠕蟲、垃圾郵件、非法內(nèi)容分別進(jìn)行過濾。 網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)代表了最新一代企業(yè)網(wǎng)絡(luò)保護(hù)技術(shù)，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應(yīng)性及易用性等。軟件安裝完畢并指定一個存檔位置后，用戶定義一個可以在檔案文件中記錄任務(wù)數(shù)據(jù)的規(guī)則。一旦連接成功，用戶就可以按照網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件管理員定義的許可內(nèi)容，查看和監(jiān)視網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)數(shù)據(jù)、修改規(guī)則和生成報告。通過在不同網(wǎng)段 (本地或遠(yuǎn)程 )上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)代理，管理員可以根據(jù)收集的綜合信息查看警告并生成報表。這是通過允許每一個網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)實例全面發(fā)揮其功能并單獨運行實現(xiàn)的，避免了對網(wǎng)絡(luò)可用性或響應(yīng)時間的依賴。網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件還包含一個中央事件數(shù)據(jù)庫、附加報表以及一個分布式的內(nèi)容查看器。 保護(hù)企業(yè)網(wǎng)絡(luò) 通過在企業(yè)內(nèi)多處位置部署網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)解決方案，用戶可以利用其強(qiáng)大的功能來保護(hù)整個企業(yè)網(wǎng)絡(luò)。 網(wǎng)絡(luò)使用日志 網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件使網(wǎng)絡(luò)管理員可以跟蹤最終用戶，應(yīng)用程序等對網(wǎng)絡(luò)的使用情況。 字匹配掃描 利用網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件，管理員可以定義表明可能會違反策略的字符模式。黑客常常在沒有察覺的情況下被抓獲，因為他們不知道他們一直受到密切監(jiān)視。定期更新的攻擊特征文件可以從冠群金辰站點獲得，從而保證了網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)總是最新。新的和升級的病毒特征文件可以從冠群金辰站點獲得。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 高級防病毒引擎 病毒掃描引擎可以檢測和阻止包含了計算機(jī)病毒的網(wǎng)絡(luò)數(shù)據(jù)流。通過以上措施，網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件可以幫助用戶深入了解整體安全性以及網(wǎng)絡(luò)內(nèi)部的運行情況 (例如，它可以給出違反策略的數(shù)量及其來源的詳細(xì)統(tǒng)計報表。例如，網(wǎng)絡(luò)入侵檢測 (eTrust Intrusion Detection)軟件可以檢測到 拒絕服務(wù) 型攻擊，并且在服務(wù)器及業(yè)務(wù)受到影響前按照預(yù)先定義的策略采取相應(yīng)的行動。每個檢測到的攻擊，將會通過日志告警與郵件告警方式通知管理員，同時為 SmartProtector 定制了專門的審計日志數(shù)據(jù)結(jié)構(gòu)包含：攻擊時間、源地址、目的地址、源端口、目的端口、攻擊名稱。安氏公司防火墻產(chǎn)品經(jīng)理張強(qiáng)進(jìn)一步解釋，“當(dāng) SmartProtector 檢測到攻擊時，可 以阻斷并且傳遞給領(lǐng)信防火墻，修改防火墻的安全規(guī)則，同時領(lǐng)信防火墻阻斷已經(jīng)建立的攻擊連接。用戶在購買 LinkTrustTM CyberWall 時可以選擇是否增加 SmartProtector 功能 ”。 增加 SmartProtector 功能的領(lǐng)信防火墻為特定需求用戶群提供了業(yè)界領(lǐng)先的一站式安全防御系統(tǒng)，特別適合企業(yè)上網(wǎng)工程，行業(yè)網(wǎng)絡(luò)廣域連接防護(hù)等等應(yīng)用。 用戶 還 可以隨時從 安氏站點 （ ） 下載 最新的攻擊特征 。每個攻擊特征 都 符合 CVE 標(biāo)準(zhǔn)，并且支持在線升級。 SmartProtector 的主要功能為： 基于協(xié)議分析和攻擊特征分析技術(shù)， 檢測 并阻斷 防火墻無法防止的攻擊 ，與 防火墻 互動修改相應(yīng)的防火墻規(guī)則 ， 同時通過控制臺報警。領(lǐng)信防火墻具有業(yè)界唯一的端口流量鏡像功能，實現(xiàn)與世界最先進(jìn)入侵檢測系統(tǒng)互動；并為用戶提供友好 Web管理界面、命令行管理界面和 LCD 界面。利用安氏安全實驗室申請專利 LinkTrust Polling 技術(shù)，提升防火墻的吞吐速度，達(dá)到內(nèi)核級安全代理機(jī)制，是國內(nèi)唯一在線速狀態(tài)下工作的最新一代防火墻。 領(lǐng)信防火墻的設(shè)計理念從“頂尖技術(shù) +人性化”出發(fā)，充分考慮防火 墻的五大要素：功能、性能、管理能力、易用性和配置，體貼用戶的真正安全需求。 （ 3）實施目標(biāo) 啟用防火墻的 VPN 功能通過 PPTP 對網(wǎng)絡(luò)進(jìn)行 VPN 服務(wù)與管理；在防火墻處啟用 URL過濾，禁止員工訪問（下載） *.mp *.rm 文件；通過相關(guān)的包過濾規(guī)則 防止員工在內(nèi)網(wǎng)使用特定的工具進(jìn)行文件傳輸；配置過濾網(wǎng)關(guān)的郵件處理規(guī)則對客戶端進(jìn)行相應(yīng)的管理，達(dá)到優(yōu)化 MAIL 服務(wù)的效果。 D 因有 MAIL 服務(wù)器，防火墻能自動偵測到某個 IP 長時間連接 MAIL 服務(wù)器，而自動禁止此 IP 一段時間后自動恢復(fù)。例如，我為某位員工開 80 端口讓其能上網(wǎng)，他能正常瀏覽網(wǎng)頁，但不能下載某些特定格式的文件，如： *.mp3,*.rm。 (2)客戶需求 A 需要有六個端口，支持 VPN。 第四章 天創(chuàng) 半導(dǎo)體公司安全需求 (1）當(dāng)前網(wǎng)絡(luò)現(xiàn)狀分析 當(dāng)前 天創(chuàng) 公司已經(jīng)實施了 INTERNET 入口的防火墻隔離， MAIL 服務(wù)器通過 DMZ 區(qū)與內(nèi)網(wǎng)隔離，但由于單位的網(wǎng)絡(luò)需要擴(kuò)展問題，存在著防火墻端口不夠用的情況，且對于采用低性能的防火墻于網(wǎng)絡(luò)將造成很大的網(wǎng)絡(luò)通信瓶頸，為此我們決定使用六端口的千兆型防火墻來解決這個問題。安全管理應(yīng)該從管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來實現(xiàn)。 網(wǎng)絡(luò)管理 管理員可以在管理機(jī)器上對整個內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測探測器進(jìn)行綜合管理，同時利用安全分析軟件可以從不同角度對所有的設(shè)備、天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 服務(wù)器、工作站進(jìn)行安全掃描，分析他們的安全漏洞，并采取相應(yīng)的措施。 制訂應(yīng)急措施 要制定系統(tǒng)在緊急情 況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。 制訂完備的系統(tǒng)維護(hù)制度 對系統(tǒng)進(jìn)行維護(hù)時，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。具體工作是： 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級 根據(jù)確定的安全等級，確定安全管理的范圍 制訂相應(yīng)的機(jī)房出入管理制度對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。 計算機(jī)操作與計算機(jī)編程； 機(jī)密資料的接收和傳送； 安全管理和系統(tǒng)管理； 應(yīng)用程序和系統(tǒng)程序的編制； 訪問證件的管理與其它工作； 計算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。 職責(zé)分離原則：在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。具體的活動有： 訪問控制使用證件的發(fā)放與回收； 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 處理保密信息 ； 硬件和軟件的維護(hù)； 系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改； 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限原則：一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久性的。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 多人負(fù)責(zé)原則：每一項與安全有關(guān)的活動，都必須有兩人或多人在場。 安全管理規(guī)范 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣 加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。安全管理策略主要有：定義完善的安全管理模型；建立長遠(yuǎn)的并且可實施的安全策略；徹底貫徹規(guī)范的安全防范措施；建立恰當(dāng)?shù)陌踩u估尺度，并且進(jìn)行經(jīng)常性的規(guī)則審核。 安全管理 為了保護(hù)網(wǎng)絡(luò)的安全性，除 了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。應(yīng)用安全平臺要加強(qiáng)資源目錄管理和授權(quán)管理、傳輸加密、審計記錄和安全管理。這必須加強(qiáng)登錄過程的認(rèn)證（特別使在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 信息安全 在這個企業(yè)的局域網(wǎng)內(nèi)，信息主要在內(nèi)部傳遞，因此信息被竊聽、篡改的可能性很小，是比較安全的。對于操作系統(tǒng)的安全防范可以采取如下策略： 對操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對 Inter 公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。冷備份彌補(bǔ)了熱備份的一些不足，二者優(yōu)勢互補(bǔ)，相輔相成，因為冷備份在回避風(fēng)險中還具有便于保管的特殊優(yōu)點。熱備份的 優(yōu)點是投資大，但調(diào)用快，使用方便，在系統(tǒng)恢復(fù)中需要反復(fù)調(diào)試時更顯優(yōu)勢。熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到令一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊 及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。 網(wǎng)絡(luò)備份系統(tǒng) 備份系統(tǒng)為一個目的而存在：盡可能快地全盤恢復(fù)運行計算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。主要面向 MAIL 、 Web 服務(wù)器，以及辦公網(wǎng)段的 PC 服務(wù)器和 PC 機(jī)等。 網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。 B 檢測病毒技術(shù)：它是通過對計算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)： A 預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計算機(jī)病毒進(jìn)入計算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。 因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為成熟的網(wǎng)絡(luò) 監(jiān)天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 控設(shè)備或?qū)崟r入侵檢測設(shè)備，以便對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。檢測工具應(yīng)具備以下功能：具備網(wǎng)絡(luò) 監(jiān)控、分析和自動響應(yīng)功能 找出經(jīng)常發(fā)生問題的根源所在； 建立必要的循環(huán)過程確保隱患時刻被糾正；控制各種網(wǎng)絡(luò)安全危險。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。通過將信 任網(wǎng)段與不信任網(wǎng)段劃分在不同的 VLAN 段內(nèi)，就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。這樣，就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制 在這里，主要利用 VLAN 技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上，因此也對被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。 防火墻主要的種類是包過濾型，包過濾防火墻一般利用 IP 和 TCP 包