素材-网络安全解决方案(编辑修改稿)

素材-网络安全解决方案(编辑修改稿)内容摘要：

不够用的情况，且对于采用低性能的防火墙于网络将造成很大的网络通信瓶颈，为此我们决定使用六端口的千兆型防火墙来解决这个问题。 天创 半导体公司内部网络安全解决方案 从上图可以看到，由于是暴露在 DMZ 区，所以 MAIL 服务器在应用层安全问题是没有保证的（垃圾邮件、邮件病毒随时都可以通过防火墙传入 MAIL 服务器）；目前内网的拓扑是采用对外全封闭但对内全开放的格局而工作的，换言之对于内网的攻击是完全没有免疫功能的。 (2)客户需求 A 需要有六个端口，支持 VPN。 B 需要能监控员工的上网数据。 例如，我为某位员工开 80 端口让其能上网，他能正常浏览网页，但不能下载某些特定格式的文件，如： *.mp3,*.rm。 C 能够防止员工使用 P2P 软件进行文件传输，能监控员工发送的 EMAIL。 D 因有 MAIL 服务器，防火墙能自动侦测到某个 IP 长时间连接 MAIL 服务器，而自动禁止此 IP 一段时间后自动恢复。 时间及规则可由用户在防火墙上设置的。 （ 3）实施目标 启用防火墙的 VPN 功能通过 PPTP 对网络进行 VPN 服务与管理；在防火墙处启用 URL过滤，禁止员工访问（下载） *.mp *.rm 文件；通过相关的包过滤规则 防止员工在内网使用特定的工具进行文件传输；配置过滤网关的邮件处理规则对客户端进行相应的管理，达到优化 MAIL 服务的效果。 天创 半导体公司内部网络安全解决方案 第五章 产品综述 (1）安氏 LinkTrustTM CyberWall 防火墙 安氏领信防火墙是亚洲最大的信息安全实验室“ ISOne Security Lab”成功推出的最新一代防火墙，产品迅速获得国家认证，被中国人民银行评选为金融系统指定防火墙产品之一，并且在第 21 届世界大学生运动会，上海 APEC 会议上大显身手。 领信防火墙的设计理念从“顶尖技术 +人性化”出发，充分考虑防火 墙的五大要素：功能、性能、管理能力、易用性和配置，体贴用户的真正安全需求。 领信防火墙采用专门设计的安全操作系统 LTOS 和专用搭载平台，提供高度可靠性和可用性。 利用安氏安全实验室申请专利 LinkTrust Polling 技术，提升防火墙的吞吐速度，达到内核级安全代理机制，是国内唯一在线速状态下工作的最新一代防火墙。 安氏安全实验室采用多种先进数据加密算法，最大限度提高 VPN 吞吐量。 领信防火墙具有业界唯一的端口流量镜像功能，实现与世界最先进入侵检测系统互动；并为用户提供友好 Web管理界面、命令行管理界面和 LCD 界面。 领信防火墙的特色包括：状态检测包过滤技术；多种服务的内核级安全代理；全面的网络地址翻译（ NAT）； IPsec VPN 和拨号 VPN；高可靠性（ HA）；支持流量管理；内容安全过滤；多种用户认证方案；完整日志、审计，告警和统计模块； 抗 DOS 攻击能力（支持 SYN Proxy）；内嵌入侵检测能力；支持多个 ISP 接入的负载均衡解决方案；支持诡异木马的抵御；对 ICMP攻击免疫，基于时间的对象访问控制；支持按策略与 IDS 协作。 SmartProtector 的主要功能为： 基于协议分析和攻击特征分析技术， 检测 并阻断 防火墙无法防止的攻击 ，与 防火墙 互动修改相应的防火墙规则 ， 同时通过控制台报警。 SmartProtector可以检测包括：拒绝服务、端口扫描、 Web IIS、 Web Apache、 DNS、 ftp、 snmp 在内的两百 多种攻击。 每个攻击特征 都 符合 CVE 标准，并且支持在线升级。 用户还可以自定义检测策略模板，紧密结合特有安全的领信操作系统 LTOS，拥有超负载保护能力。 用户 还 可以随时从 安氏站点 （ ） 下载 最新的攻击特征。 关于 SmartProtector 的推出， 安氏公司产品市场总监应向荣 强调： “SmartProtector 的产生基于两个层面考虑，融合安氏在入侵检测（ IDS）技术的多年雄厚积累，为 LinkTrustTM CyberWall提供增强功能模块。 增加 SmartProtector 功能的领信防火墙为特定需求用户群提供了业界领先的一站式安全防御系统，特别适合企业上网工程，行业网络广域连接防护等等应用。 但流探测器 SmartProtector 不能取代专门的入侵检测系统，它以不牺牲防火墙和 VPN 的性能为前提，检测并响应“严重的”攻击手法，配合防火墙以及专门的 IDS 系统 ，为企业提供更加强大的天创 半导体公司内部网络安全解决方案 防护体系。 用户在购买 LinkTrustTM CyberWall 时可以选择是否增加 SmartProtector 功能 ”。 “现在安全问题变得越来越复杂，攻击手法层出不穷，而且更新很快，这要求安全管理员作出防范反应越来越迅速，在防火墙上增加入侵检测模块，就是为了增强响应时间，特别是在解决类似“红色代码”，“尼姆达”这类突发性极大的 将网络蠕虫、计算机病毒、木马程序合为一体 的攻击手法时，将发挥相当大的作用 ”。 安氏公司防火墙产品经理张强进一步解释，“当 SmartProtector 检测到攻击时，可 以阻断并且传递给领信防火墙，修改防火墙的安全规则，同时领信防火墙阻断已经建立的攻击连接。 通过一个基于 WEB的友好、简洁明了的用户界面，安全管理员不仅可以配置该 SmartProtector 的攻击特征模板，还可以通过提供的链接，了解到更多关于攻击的资料以及如何配置相应的系统设备来防御攻击 ”。 每个检测到的攻击，将会通过日志告警与邮件告警方式通知管理员，同时为 SmartProtector 定制了专门的审计日志数据结构包含：攻击时间、源地址、目的地址、源端口、目的端口、攻击名称。 (2） eTrust 入侵检测系统 解 决方案－网络入侵检测 (eTrust Intrusion Detection) 网络入侵检测 (eTrust Intrusion Detection)解决方案通过自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了先进的网络保护功能。 例如，网络入侵检测 (eTrust Intrusion Detection)软件可以检测到 拒绝服务 型攻击，并且在服务器及业务受到影响前按照预先定义的策略采取相应的行动。 网络入侵检测 (eTrust Intrusion Detection)软件还可以大大减少管理和保障网络安全所需的培训时间。 通过以上措施，网络入侵检测 (eTrust Intrusion Detection)软件可以帮助用户深入了解整体安全性以及网络内部的运行情况 (例如，它可以给出违反策略的数量及其来源的详细统计报表。 ) 网络访问控制 网络入侵检测 (eTrust Intrusion Detection)软件以规则为基础，定义哪些用户可以访问网络上的特定资源，保证只有授权用户才可以访问网络资源。 天创 半导体公司内部网络安全解决方案 高级防病毒引擎 病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。 它可以防止用户下载被病毒感染的文件。 新的和升级的病毒特征文件可以从冠群金辰站点获得。 全面的攻击方式库 网络入侵检测 (eTrust Intrusion Detection)软件可以自动检测网络数据流中的攻击方式，即使正在进行之中的攻击也能检测。 定期更新的攻击特征文件可以从冠群金辰站点获得，从而保证了网络入侵检测 (eTrust Intrusion Detection)总是最新。 信息包嗅探技术 网络入侵检测 (eTrust Intrusion Detection)软件以秘密方式运行，使攻击者无法感知到。 黑客常常在没有察觉的情况下被抓获，因为他们不知道他们一直受到密切监视。 URL 限制 管理员可以指定禁止用户访问的 URL，防止毫无效率的网上冲浪。 字匹配扫描 利用网络入侵检测 (eTrust Intrusion Detection)软件，管理员可以定义表明可能会违反策略的字符模式。 这种方式防止了未经授权就通过 Email 或 web 发送敏感数据等情况的发生。 网络使用日志 网络入侵检测 (eTrust Intrusion Detection)软件使网络管理员可以跟踪最终用户，应用程序等对网络的使用情况。 它可以帮助改进网络策略的规划，并提供精确的网络控制。 保护企业网络 通过在企业内多处位置部署网络入侵检测 (eTrust Intrusion Detection)解决方案，用户可以利用其强大的功能来保护整个企业网络。 这包括从一个远程或中央位置的稳定控制台监视和响应企业范围内的事件。 网络入侵检测 (eTrust Intrusion Detection)软件还包含一个中央事件数据库、附加报表以及一个分布式的内容查看器。 入侵检 测 网络入侵检测 (eTrust Intrusion Detection)软件可以提供网络范围内可靠的、分布式实时网络保护。 这是通过允许每一个网络入侵检测 (eTrust Intrusion Detection)实例全面发挥其功能并单独运行实现的，避免了对网络可用性或响应时间的依赖。 集中监视 网络管理员可以在本地或远程集中监控运行网络入侵检测 (eTrust Intrusion Detection)软件的一台或多台工作站。 通过在不同网段 (本地或远程 )上安装由中央工作站控制的网络入侵检测 (eTrust Intrusion Detection)代理，管理员可以根据收集的综合信息查看警告并生成报表。 远程管理 天创 半导体公司内部网络安全解决方案 远程用户可以通过 TCP/IP 或调制解调器连接访问运行网络入侵检测 (eTrust Intrusion Detection)软件的工作站。 一旦连接成功，用户就可以按照网络入侵检测 (eTrust Intrusion Detection)软件管理员定义的许可内容，查看和监视网络入侵检测 (eTrust Intrusion Detection)数据、修改规则和生成报告。 入侵日志及分析 网络入侵检测 (eTrust Intrusion Detection)软件提供了一个综合系统来捕捉信息并进行分析。 软件安装完毕并指定一个存档位置后，用户定义一个可以在档案文件中记录任务数据的规则。 用户可以使用浏览器过滤、排序和查看归档信息并创建详细报表。 网络入侵检测 (eTrust Intrusion Detection)代表了最新一代企业网络保护技术，具有前所未有的访问控制、用户透明性、高性能、灵活性、适应性及易用性等。 它提供给企业一个易于部署的网络保护方案，可以在不会导致任何失败的情况下加以实施。 支持环境 服务器 /PC 网络 Windows 95/98 Windows NT/20xx TCP/IP 网 （ 3） KSG 邮件过滤网关 赤霄过滤网关（ KILL Shield Gateway）是冠群金辰公司新一代网络过滤专用设备，能够同时在网络层、传输层、应用层对病毒、蠕虫、垃圾邮件、非法内容分别进行过滤。 在网络层，KILL Shield Gateway 实现基于 IP 地址、端口号等网络层特征的过滤；在传输层，实现基于 HTTP、SMTP 等协议特征的过滤，有效识别和拦截蠕虫攻击；在应用层，对多种常用协议（ SMTP、POP HTTP、 FTP 等）进行深度分析并还原出原始数据，进行病毒检查、蠕虫检查、垃圾邮件检查和内容检查。 三管齐下， KILL Shield Gateway 可对用户网络实现立体式的全面保护，有效保护用户的网络免受侵害，确保用户内部网络的信息安全。 KILL Shield Gateway 做为先进的新型网关过滤设备，除了具有一般网关过滤设备的功能外，它的突出特点是可以实现蠕虫过滤（过滤静态蠕虫扩散、阻断蠕虫动态攻击）。 KILL Shield 天创 半导体公司内部网络安全解决方案 Gateway 独有的抗蠕虫攻击技术（ AntiWorm）能够全方位 抵御所有已知蠕虫病毒的攻击和传播，可以阻断后门程序、 DoS/DDoS 等动态入侵攻击行为。 KILL Shield Gateway 采用冠群金辰备受赞誉的反病毒引擎，该扫描引擎经 ICSA（国际计算机安全协会）认证可“ 100%查杀流行病毒”，并获得全球 18 家重要测评机构的认证，使用安全可靠，是 KILL Shield Gateway 强大反病毒功能的基础。 KILL Shield Gateway 做为独立的硬件产品，其过滤与具体的邮件、代理系统无关，其工作不需更改用户原有系统的任何配置。 KILL Shield Gateway 在企业网络的边缘，而不是在用户的邮件和代理服务器上，进行过滤工作，确保了原有系统的稳定性，并在效率方面远远高于在服务器本机上安装过滤软件的方式。 而且即使用户更换了新的代理和邮件服务器，也无需改变 KIL。