nvwe技术白皮书第一章存在的威胁

1、NVWE 产品白皮书第一章： 存在的2第二章： 产品介绍4功能概览4产品规格6第三章： 产品特性7第四章： 部署说明9附录：资源12第一章：存在的如今的网络，诸如网络和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络是的，因为它们在网络层，无法通过传统的码文件方法来检测，且通常是利用操作系统和程序的发起。虽然厂商们针对这些发布了补丁程序，但大多数公司通常都无法真正应用这些补丁，因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁，有时还会怀疑厂商提供的补丁是否可靠。此外，这些网络数据包在过程中要使用网络资源，从而造成网络带宽严重拥塞，降低了企业的生产效率。现有传统防理念无法有

2、效抵御当前的网络，因为它们只能对进行而无法及时提供可靠的信息来帮助 IT 管理防御或遏制攻击，或在安全渗透进入网络后采取及时的行动。IT 管理在遏制这些攻击时遇到的共同问题包括：没有足够的信息来确定相关的打补丁的优先顺序无法准确、快速的获得的无法未安装补丁程序和/或被的机器以防止防毒产品的部署率没有达到100%，某些客户机或服务器没有安装防毒代码库的更新速度赶不上的速度很难精确定位源并管理整个公司网络的清除工作无法判断移动（笔记本）用户从外部把带到里来办公用户通过与公司建立的连接（安全或不安全）将带到公司无法对不符合安全策略要求和已设备的网络进行控制的网络蠕虫已经不再需要借助文件系统了，传统的

3、防措施已经不能适应新的需求，再加上防及安全策略的强制实施比较，当进入到企业会发生:的网络流量突然暴长，瞬间到达锋值没有任何办法将这种网络流量降下来，除非找到染毒的机器并把所有病毒的系统都关掉，或将他们从网络中开（把网线拔掉）为了避免到，只有将邮件服务器或者网关服务器停机直到了解了的具体信息才知道该采取什么措施费大量人力去手动一台一台的去清除已经了的系统（采用专杀工具），将/蠕虫程序或木马程序清除出系统如果新的代码或者已知安全的补丁没有被100%部署的话，第二波病毒爆发很有可能会卷土重来Arp的爆发，造成网络性能下降，互联网收到影响上述问题造成目前IT 管理非常与非常没有安全感，如何能够有一个让

4、IT 管理放心、安心的解决方案已经成为越来越重要的课题。针对这些目前传统防产品无法很好解决，趋势科技推出了业界唯一一款在网络层阻挡网络的硬件产品 - 趋势科技网络墙（Trend MicroWall）。第二章：产品介绍2.1 功能概览Trend Micro NetworkWall Enforcer 3500i 是一种爆发设备，用于堵塞网络（ernet 蠕虫）、在爆发期间阻塞高，并利用趋势科技部署在网络层的针对的知识，并清除包括无保护设备（当其进入网络时）在内的传染源。与只监视或提供信息的安全性解决方案不同， NetworkWall Enforcer 3500i 帮助组织机构采取准确的预防爆发的安

5、全性措施，并且前瞻性地检测、预防或包含并排除爆发。通过在网络局域网段中部署 NetworkWall Enforcer 3500i，组织机构可以大大减少其安全风险、网络中断和爆发管理负担。NetworkWall Enforcer 3500i支持趋势科技(TM) 企业安全防护。NetworkWall Enforcer 3500i 监视可能意味着对网络的的网络分组和事件。端点安全可以保护端点不会成为网络爆发的。NetworkWall Enforcer 3500i扫描所有流量以防止安全风险在各个网段之间传递。NetworkWall Enforcer 3500i 采用了巧妙的防技术，该技术主要针对网络。

6、由于其设计目的是用作网段的保护伞，所以它不仅能对已的网络数据包扫描并在其到达端点之前将之丢弃，而且还能易受的或已受的端点对公共网络的连接。的数量和复杂性在不断增加。许多组织采用一种“安全组合” 的方式形成多层防护， “安全组合” 利用几种防毒安装来提供一种拼凑式的防护。这种类型的防护只有在服务器或端点已经检测到后才会有效；换句话说， 当已经了您的网络时才会发挥作用。NetworkWall Enforcer 3500i 配备有趋势科技(TM) 网络扫描引擎和网络码文件，可以实时扫描进出网段的每个数据包趋势科技将NetworkWall Enforcer 3500i 专门设计为用于网络的识别，在受的

7、数据包进入网络之前丢弃它们，并防止网络以后会出现由网络而引起的。除了网络扫描能力， NetworkWall 还使用 PEAgent 执行对端点的评估。PEAgent 可以扫描文件型、防表键以帮助确保端点是安全的。NetworkWallEnforcer 3500i 能够识别数据包的来源，然后确定它是否符合当前防和清除策略。它可以确定数据包来源（生成该数据包的端点）是否安装有防保护、Service Pack、安全修补程序等。它有助于确保发送网段间通信的计算机符合您配置的策略。策略强制通过NetworkWall Enforcer 3500i 设备评估发送通信的端点以确保这些端点：具有活动的防保护计算

8、机上没有安全安装了必需的安全修补程序计算机上有必需和的策略强制通过使用以下组件评估端点防安装和的状态：A.例外列表NetworkWall Enforcer 3500i 不属于策略强制例外列表的端点中的策略违例。NetworkWall Enforcer3500i 基于通信量和连接规则不属于例外列表的端点。B. 端点安全NetworkWallEnforcer 3500i 可以扫描端点以帮助确保安全风险不会进入网络。NetworkWall Enforcer 3500i 使用 PEAgent 执行端点评估。它部署PEAgent，该程序会将自己为 Windows 服务并在运行。可以配置策略执行以下操作：

9、扫描端点以确保安装了防扫描网络数据包以防止安全进入网络允许网络之前先确保得到更新指定必需和的表键以要求或端点计算机上的C. 网络应用策略将网络管理服务配置为评估特定协议、即时通讯和文件传输通信。、或丢弃 NetworkWall Enforcer 3500i 检测到的数据包。如果将处理措施配置为数据包，则根据协议还是第 7 层服务，处理措施会不同。本设备对TCP协议相关的数据包发送 TCP RESET，对 ICMP 和 UDP 数据包发送 ICMPPortUnreachable。丢弃措施会过滤掉选定的网络类型数据包。2.2 产品规格设备规格NVWE 3500i性能最大吞吐量1.5 Gbps最大并

10、发会话350,000最大用户数（策略强制）8192内存4G硬盘250G可扩展性网络接口10/100/1000 Mbps可选光纤接口2 个端口(1000BaseLX/SX)端口数量8 个(最多 12 个)VLAN 支持是管理接口是高可用性设备故障检测是端口冗余是链路故障检测是(SNMP)双机热备是(Active-Active) LAN Bypass (故障直通)是硬件状态是电源单电源管理控管中心 (TMCM)TMCM 5.0Web 控制台是自动更新是损害清除服务是物理操作参数形状系数1U 机架 可安装高度1.68 英寸宽度18.99 英寸深度30.39 英寸功率消耗最大 717 瓦第三章：产品特

11、性3.1网络数据滤NVWE配置网络策略以扫描网络和帮助防止网络爆发。如果检测到一个网络， NetworkWall Enforcer 3500i 可以（允许数据包到达其目的地）、丢弃数据包或端点计算机。使用损害清除修复对端点计算机造成的损害。3.2网络应用的管理控制NVWE可以配置网络应用策略,分别对以下的应用和协议进行控制和管理IP地址阻挡：能够阻挡特定的IP地址或者是单一的IP地址或者是一个IP地址段；各种协议的阻挡：Networkwall可以阻挡TCP/UDP/ICMP协议。除此之外，Networkwall还可以阻挡特定的端口：或者是一个端口，或者是一个端口范围；即时通讯工具的阻挡：Net

12、workwall可以阻挡MSN/Yahoo/ICQ/AIM,可以对及时通讯所传输的文字或文件进行进行阻挡,保护客户免受MSN病毒的影响；文件传输的阻挡：Networkwall可以阻挡FTP/HTTP/NetBIOS-，可以根据文件名字，也可以根据文件扩展名；3.3强制执行安全管理策略当一个设备登录到网络中时，网络墙会检查该设备，确保它符合公司的安全策略。网络墙具体检查设备是否运行了以下内容：防(包括20多个品牌超过100种防)的码文件和扫描引擎对IT 管理有域管理权限的设备检查是否安装了的操作系统补丁程序表信息是否满足要求该设备不必要一定安装趋势科技的防。网络墙可以检测来自20多个品牌超过10

13、0种防的客户端产品。只有符合企业安全策略的设备才被允许接入网络。因此，网络墙能够消除公司的最大安全- 未受保护的、未安装补丁文件的设备，某些情况下是与网络连接的被的机器。同时NVWE还能够对客户机的表信息做出判断,可以设定策略,当客户机的表中含有可以键值时,客户机联入网络或是当客户的表中必须含有某个键值,才可以联入网络.如果设备不遵循企业的安全策略，网络墙将该用户登录企业网络。第四章：部署说明部署情形 I： 标准网络在此样例部署情形中， NetworkWall Enforcer 3500i：保护公共服务器 网络策略 (NetworkPolicy) 功能扫描所有通信，策略强制 (Policy E

14、nforcement) 应用到端点。将补救措施应用到策略的端点。保护服务器 网络策略 (NetworkPolicy) 功能扫描所有通信。位于交换机和 WAN 模块之间 网络策略(NetworkPolicy) 功能扫描所有通信，成对设备支持故障转移。位于分发交换机和交换机之间 网络策略 (NetworkPolicy)功能扫描所有通信，策略强制 (Policy Enforcement) 应用到所有主机。保护小的分支办事处 网络策略 (NetworkPolicy) 功能扫描所有通信，策略强制 (Policy Enforcement) 应用到所有主机。在此样例部署情形中， NetworkWall Enforcer 3500i：保护数据中心 网络策略 (NetworkPolicy) 功能扫描所有通信，策略强制 (Policy