网络安全解决方案

网络安全解决方案YISHANG江西省易尚网络技术有限公司

二。一三年三月三十日TOC\o"1-5"\h\z\o"CurrentDocument"第一章前言 41.1概述 4\o"CurrentDocument"第二章安全风险分析 5\o"CurrentDocument"2.1网络边界风险分析 5\o"CurrentDocument"2.2主机系统风险分析 5\o"CurrentDocument"2.3数据传输风险分析 5\o"CurrentDocument"2.4网络入侵风险分析 6\o"CurrentDocument"2.5其它安全问题 6\o"CurrentDocument"第三章系统安全需求 7\o"CurrentDocument"3.1访问控制系统 7\o"CurrentDocument"3.2网络安全评估 7\o"CurrentDocument"3.3入侵检测系统 7\o"CurrentDocument"3.4主机访问控制系统 7\o"CurrentDocument"3.5数据加密传输系统 8\o"CurrentDocument"3.6身份认证系统 8\o"CurrentDocument"第四章防火墙系统安全方案 9\o"CurrentDocument"4.1防火墙选型建议 9\o"CurrentDocument"4.2安全网关防火墙介绍 10\o"CurrentDocument"4.3防火墙功能 11\o"CurrentDocument"4.3.1网络入侵检测 13\o"CurrentDocument"4.3.2可升级的网关病毒保护 14\o"CurrentDocument"VPN功能 15\o"CurrentDocument"WEB内容过滤 16\o"CurrentDocument"第五章病毒防护 18\o"CurrentDocument"5.1当今防毒技术的发展趋势 18\o"CurrentDocument"5.2网络环境下病毒传播和破坏的方式及特点 19\o"CurrentDocument"5.3ES网关防火墙网关防病毒功能介绍 21附件1ES800技术参数. .22第一章前言1.1概述随着计算机和网络的普及，原本只有少数人掌握的计算机和网络知识已不再神秘，病毒和黑客攻击层出不穷。据统计70%的网络攻击行为来自与内部，可以说哪里有网络、有重要信息，哪里就有可能遭受攻击、有安全问题。而无论是有意的攻击，还是无意的误操作，都将会给应用系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。另外，在新技术应用的背后隐藏着诸多安全隐患，不管是传统的操作系统、TCP/IP协议还是新的应用软件要作到绝对安全是不可能的。随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已经会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使内部信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是信息化过程中所必须考虑的重要事情之一。本公司依据自己在信息安全领域的经验，从安全角度出发，并结合自己深入了解的当前用户网络实际情况提出一套适合于其网络的整体安全解决方案。为用户系统切实构架高效、安全、实用的信息系统运行环境。第二章安全风险分析2.1网络边界风险分析网络的边界是指两个不同安全级别的网络的接入处，包括同Internet网的接入处，以及内部网不同安全级别的子网之间的连接处。对于用户的信息系统网络边界主要存在于Internet接入与内部网络的接口处，因某些用户内部拥有多台做服务应用的服务器，内部主要用以储存和备份重要的安全数据。一旦数据泄密或破坏将对用户造成十分严重的后果。所以对服务器的安全保障和访问控制因做到重中之重。此外，内部人员的病毒防范意识、网络违规操作和主动与被动的攻击行为也是内部网络安全的重要一个项目。对与内部网络的病毒传播和扩散将从网关处彻底解决，并且将制订一个规范化的访问控制策略。力求实现一个整体的安全的网络信息系统架构。2.2主机系统风险分析用户网络中存在大量不同操作系统的主机如Windows98、Windows2000SERVER、WindowsXP等，主要的服务器主机采用双机热备。这些操作系统自身也存在许多安全漏洞。随着黑客的技术手段日益高超，新的攻击手段也不断出现。有的是协议自身的问题，有的是系统自身设计不完善造成的，因此，系统本身的各种安全隐患，注定将带来各种攻击的可能性。基于系统之上的业务也将不同程度的受到威胁。2.3数据传输风险分析数据传输安全性主要涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在用户网络系统中，涉及到很多需要保密的机密信息，这些信息都是通过网络进行传输。信息、数据如果遭到破坏或攻击，将会给用户带来巨大的影响。因此，对于重要信息的通讯必须授权，传输必须加密。必须采用多层次的访问控制与权限控制手段，实现对数据的安全保护，同时采用加密技术，保证网上传输的信息的机密性与完整性。2.4网络入侵风险分析随着互联网技术的发展，基于网络的黑客入侵技术也在飞快的发展，这些攻击具有方式多种多样，破坏性较大，入侵工具简单易用等特点，这些都使用户网络系统面临巨大的安全风险，严重影响业务的进行。2.5其它安全问题安全问题不是单一手段就可解决的，有时是受约于其他因素，如对重要网络设备的访问，以及当新的业务或其他原因开启了新的服务、修改了系统安全的配置，是否能及时恢复和重新配置系统的安全策略。有时只是靠安全产品本身是不能解决动态的安全问题的，这时可以运用网络安全维护策略和安全服务，来弥补动态变化的安全，把安全风险控制在可控的范围内。第三章系统安全需求3.1访问控制系统在用户内部网络同外部网络之间应设置防火墙设备。通过防火墙对进出网络的数据进行病毒过滤和封堵；对进出网络的访问行为进行控制和阻断；对进出的网络攻击行为进行扫描和防护，并对网络攻击的监测到的行为进行告警；对进出网络的流量进行带宽优化，做到有限的带宽高效的运作；封堵某些禁止的访问服务；并记录通过防火墙的信息内容和活动。3.2网络安全评估一些用户网络系统内部主机操作系统比较多，而目前漏洞攻击手法大部分是基于操作系统已有的安全漏洞进行攻击，如果能将系统默认的不安全的配置进行增强，就可以解决大部分的安全问题。通过对网络现状全面的评估，可以得到对网络安全现状的全面了解；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞，将可能的安全风险降低到最低限度。3.3入侵检测系统通过使用防火墙设备可以防范大部分的黑客攻击，但是有些攻击手法是通过防火墙上开启的正常服务来实现的。而且防火墙不能防范内部用户的恶意行为和误操作。通过使用入侵检测系统，可以监视当前内部网络用户系统的运行状态，查找出非法的内部网络用户和合法的内部网络用户的越权操作；检测重要服务器系统配置的正确性和安全漏洞，并提示管理员修补漏洞；对用户非法活动的统计分析，发现攻击行为的规律；检查系统程序和数据的一致性和正确性；并且能够实时对检测到的攻击行为进行响应后的防范处理。3.4主机访问控制系统目前的商用主机操作系统的安全级别大部分是C2级，如WindowsNT，UNIX系统等。要想使操作系统达到一个较高级别如B1级，可以通过安装主机访问控制系统来实现提升系统安全性的目的。达到B1的操作系统可以非常有效的保护系统资源不被非法滥用。3.5数据加密传输系统数据传输加密技术：目的是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏。实现数据传输功能的产品有VPN系统。VPN系统工作在网络协议栈中的IP层，采用IPSec协议提供IP层的安全服务。由于所有使用TCP/IP协议的网络在传输数据时，都必须通过IP层，所以提供了IP层的安全服务，就可以保证端到端传递的所有数据的安全性。虚拟私有网络允许内部网络之间使用保留IP地址进行通信。为了使采用保留IP地址的IP包能够穿越公共网络到达对端的内部网络，需要对使用保留地址的IP包进行隧道封装，加封新的IP包头。封装后的IP包在公共网络中传输，如果对其不做任何处理，在传递过程中有可能被”第三者”非法察看、伪造或篡改。为了保证数据在传递过程中的机密性、完整性和真实性，有必要对封装后的IP包进行加密和认证处理。通过对原有IP包加密，还可以隐藏实际进行通信的两个主机的真实IP地址，减少了它们受到攻击的可能性。一些用户网络系统要同许多数据点传输大量的保密性要求高的数据，因此使用数据加密传输系统是非常必要的。同时针对重要服务器的数据安全可通过配置SSL来实现。3.6身份认证系统在对用户重要服务器的访问中，对用户的身份认证是非常重要的。认证中心基于公钥基础设施（PKI）技术，向所有访问重要服务器的内部网络用户提供身份认证，保证信息传输过程中的保密性和完整性，提供数字签名功能保证访问行为的不可抵赖性。借助认证中心发放的数字证书实现访问控制、文件加密保存，保证不同的人员在网上应用中具有不同的权限，控制其所浏览的信息。第四章防火墙系统安全方案4.1防火墙选型建议根据前面章节的安全风险分析，可知一些用户的网络是一个多应用连接的高安全级要求的网络，网络安全需求也是不断变化的。所以，基于应用服务的安全威胁已成为用户网络系统当前及未来的主要安全问题。而防火墙系统作为整个安全系统防护的第一到门槛，它的作用是举足轻重的。在选择防火墙时，除了要考虑防火墙能支持的基本功能以外，还要考虑能否更好的支持应用层的安全防护以及高可靠性、高性能。我们知道，软硬件防火墙采用的是工业PC平台+Linux+FirewallSostware结构，国内大部分防火墙均采用此结构，这种结构的最大缺点是会出现性能瓶颈，特别是千兆级防火墙。而硬件防火墙ASIC芯片+专有操作系统+F/W,它的优势是在高性能和高可靠性方面。由于现在业界防火墙产品众多，我们根据当前用户网络系统安全需求，建议选择的防火墙除了基本功能外，还应该重点考虑以下几个方面：硬件防火墙：具备硬件防火墙ASIC芯片+专有操作系统+F/W结构，能够提供高性能和高可靠性的硬件需求。具有IDS（入侵检测）和IPS（入侵防御）功能：能使用IDS对外部网络与内部网络之间的攻击行为进行扫描，并可以通过IPS对扫描到的攻击行为进行应对的防范措施。网关防病毒功能：具备强大的网关病毒扫描的能力，对所有流经防火墙的数据进行病毒过滤，一旦发现病毒坚决予以封堵和隔绝。保证内部网络信息化系统不被病毒破坏。访问控制和流量管理：对用户内部的重要服务器组进行访问控制，保障其服务器中数据的高度安全。对外部流量的管理可以做到收放自如，保证其有限的外部带宽中，高效的数据运作。集中管理：具备所有防火墙集中管理和监控功能。做到只需要一个网管人员就可以全局性观察网络目前的运行状况，对网络可能出现的问题即使的进行解决，以达到集中化安全管理的需求。4.2安全网关防火墙介绍最新的安全网关概念，融合了应用级安全和包状态检测防火墙的优点，集成了防火墙、入侵检测、VPN、流量控制、内容安全、网关病毒过滤等安全技术于一体的硬件安全网关产品。并且解决了数据加密和内容处理时的性能瓶颈，并能实现最高级别的IP安全(Ipsec)，先进的系统级的设计允许产品提供多种功能，并且这些功能都具有无与伦比的性能。该防火墙以全新的体系设计，集成的高性能ASIC技术，提供了完备的安全网关解决方案。分布处理的设计结构和ASIC处理技术使得该产品具有高可靠和高安全的特点，可自动更新其病毒库和最新的攻击漏洞特征库，适应了多变的网络安全需求。ES网关防火墙是新一代全方位的安全网关产品。它具有最高性能的体系结构设计，独特的ASIC芯片技术的协处理器，以及专门研制的BIOS和OS。ES网关防火墙对网络安全问题提供了最完善最高性能的解决方案，如网关病毒检测、入侵检测、网页和邮件的内容过审计、传统的防火墙以及虚拟专用网络(VPN)/IPSEC数据加密等。系统提供完善的安全日志，有效地监控网络的安全运行状态，进行安全日志审计。能够为企业、单位和商业用户提供高水准的网络安全服务和产品价值。ES网关防火墙是应用级安全硬件产品的代表，利用高性能的ASIC芯片技术提供了业界最高级别的安全防卫体系，具备百兆、千兆级甚至更高的性能。具备非常强的抗攻击力，保护网络免于各种恶意攻击，包括抵抗各种当前最常见的网络攻击方式，如分布式的拒绝服务(DDOS)攻击(SYNFLOOD,ICMPFLOOD,UDPFLOOD等)、IP碎片攻击(PINGOFDEATH,TEARDROP,LAND)>IP地址欺骗攻击、端口扫描攻击、WINNUKE攻击等。利用ES网关防火墙ASIC高性能的处理结构，大量的网络攻击被拒绝在网关外，安全网关防火墙高容量的数据会话支持和快速的查询技术使得其性能不会因处理额外的攻击包而下降。把IP地址和接口关联起来，这样当黑客用单位内

部服务器的地址作为源地址发起攻击时，安全网关防火墙会在外部端口处判别出攻击包特性，从而进行拒绝。透明方式的工作模式使得对方无法对安全网关发起攻击，每个接口上服务可以根据安全要进行屏蔽，其全新的安全体系为单位关口的安全部署提供了完善的解决方案。总之，ES网关防火墙能够提供全面的安全策略。如下图：VPN全面的■YISHANG.ManagementDefiiaTofService安全策略VPN全面的■YISHANG.ManagementDefiiaTofService安全策略'NATAccelerateIIntrusion 司DwamidRoutineUs^rAutheriticcitionDetectionDwamidRoutineUs^rAutheriticcitioniA/ir坎 ▲.Web：GontentFilterHiahAvailabilitv4.3防火墙功能ES系列产品防火墙都是基于状态检测技术的，保护你的计算机网络免遭来自Internet的攻击。防火墙通过仔细地设置接口提供了安全控制策略，甚至在复杂的情况下还允许做详细的控制。★ES产品安全策略包括下列范围：通过网络分段和细粒度的策略到达多个区域控制输入、输出流量对所有策略选项支持阻止、允许、加密、认证访问基于时间的策略控制接收或拒绝单个地址到达或发送的流量控制个别组标准的和用户自定义的网络服务对用户授权认证，支持基于用户的策略控制对每个策略可以进行基本带宽、保障带宽以及优先级设置的流量控制支持动态小地址池，允许配置使用地址池的NAT灵活策略基于策略的日志记录★网络地址转换：在NAT模式，易尚产品系列在内部网和Internet之间设置了一个秘密的屏障，防火墙提供了网络地址转换来保护私有网络。NAT模式下，你能够添加DMZ网络来提供内部服务器给Internet用户访问，DMZ区是在防火墙的后面不同于内部网的独立网络。你还可以配置8个用户自定义接口给用户提供多安全区域管理。★NAT模式下的防火墙功能：防火墙防御，按照源/目的地址、服务和时间来允许/拒绝流量；VPN，反病毒和Web内容过滤；IP/MAC绑定；高可用性（HA），在主ES工作失败后做备份的ES产品能够接替它继续工作；用户自定义的接口提供了多区域安全管理；记录到WebTrend的Syslog服务器的详细日志；支持基于策略的NAT配置★透明模式：当一个预先设置好使用公共地址的网络需要防火墙保护时，透明模式提供了更快捷更简易的安装，防火墙的内部网接口和外部网接口能够共存于两个相同的网络中，因而，防火墙可以在不需要对已有网络进行任何改动的前提下将其接入到网络中的任何一点。数据包到达ES防火墙后，会快速转发到正确的网络端口，同时防火墙策略防止对网络的未授权访问。透明模式下同样提供了完善的防火墙保护功能(NAT地址翻译和VPN加密功能除外)4・3・1网络入侵检测ES安全产品内置的NIDS系统，可以防护包括以下内容的超过1300多种方式的攻击：分布式拒绝服务攻击(DDoS)SYN攻击ICMPFloodUDPFloodIP碎片攻击死Ping攻击泪滴攻击LandAttack端口扫描攻击IP源路由IP欺骗攻击AddressSweepAttackWinNuke攻击CGI脚本漏洞，包括Phf,EWS,info2www,TextCounter,GuestBook,Count.cgi,handler,webdist.cgi,php.cgi,files.pl,nph-test-cgi,nph-publish,AnyForm,FormMail等WebServer攻击WebBrowser攻击，包括URL,HTTP,HTML,JavaScript,Frames,Java,ActiveXSMTP(SendMail)攻击IMAP/POP攻击BufferOverflowDNS攻击，包括Bind和CacheTrojanHorse攻击，包括BackOrifice2K,IniKiller,Netbus,NetSpy,Priority,Ripper,Striker,SubSeven一旦ES防火墙发现其中一种攻击，该攻击就会被记录到攻击日志中，包括攻击主机地址和端口、时间以及攻击方式，并就防火墙所了解到的攻击行为进行对应的防护操作。用户还可以有选择性的开启或关闭相应的入侵检测选项，来灵活的运用入侵检测功能。同时可以通过日志信息连接到相关网站资源了解攻击说明。4・3・2可升级的网关病毒保护病毒和蠕虫防御在网络边界处提供，在web流量(HTTP),email流量(SMTP,POP3,和IMAP)和安全域之间对以下的类型文件进行信息检查。执行文件Executablefiles(exe,bat,andcom)Visuanbasic文件Visualbasicfiles(vbs)压缩文件Compressedfiles(zip,gzip,tar,hta,andrar)屏幕保护文件Screensaverfiles(scr)动态链接库Dynamiclinklibraries(dll)MSOffice文件MSOfficefiles过滤可定义的附件文件类型，支持通配符配置可定义的用户化反馈信息

在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁，使系统管理员从繁重的工作中解脱出来，在传统的方式下，管理员必须检查每个主机的病毒软件是否更新，如果有一个主机被感染，整个网络都会面临崩溃的危险。病毒扫描同样在所有的VPN解密数据流根据协议进行扫描，网关-网关和客户-网关病毒保护在通道终结后进行检测。ES系列是利用硬件加速的(ASIC)技术进行病毒扫描的产品，保证了网络的性能。这对于象HTTP这种实时应用是非常重要的。4.3.3VPN功能ES网关防火墙产品系列采用工业标准的VPN在两个ES保护的网络或ES与支持IPSec、PPTP或L2TP的第三方VPN保护的网络之间建立加密流量传输隧道。VPN隧道终止后，ES自动地加密VPN流量，并发送内容穿过反病毒引擎。VPN功能包括：支持IPSec,ESP安全隧道模式支持基于策略的VPN通信硬件加速加密IPSec,DES,3DES,AESHMACMD5或HMACSHA认证和数据完整性。自动13£和手工密钥交换SSHIPSEC客户端软件，支持动态地址访问，支持IKEXauth通过第三方操作系统支持的PPTP建立VPN连接通过第三方操作系统支持的L2TP建立VPN连接IPSec和PPTPVPN穿越使你的内部网络的计算机或子网能够连接到互联网上的VPN网关IPSecNAT在途径NAT设备阻断的情况下建立IPSec隧道支持HUB-and-Spoke星型VPN，该功能允许在分支机构与总部之间容易的建立VPN隧道，这样减轻了管理员在许多分支机构与总部之间维护需要安全通讯的VPN隧道4.3.4WEB内容过滤ES产品家族提供了三种中高性能的内容过滤方式，包括URL过滤，关键字阻塞，脚本过滤。这些特性作为网络层服务提供WEB内容过滤(HTTP)。★URL过滤包括基本的URL数据库(SquidGuard)，有50多万个URL用户定制化的数据库从管理接口上传和下载限制的URL列表选择URL进行阻塞可定义的用户反馈信息★关键字阻塞多个单词或词组过滤完全用户化的关键字列表单字节和双字节的词语过滤自动上传和下载限制的词语可定义的用户反馈信息★脚本过滤允许或拒绝Javaapplets,ActiveX,Cookies和MaliciousScripts第五章病毒防护目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。计算机病毒防护已经成为计算机系统安全策略中的重要手段。当前用户计算机系统多具有网络层次多、节点多、等特点，且各级单位对计算机的使用和维护水平也不尽相同，诸多原因致使计算机系统面临传统病毒和新一代病毒的巨大威胁。计算机病毒是所有单位计算机网络永远的的问题，并且现在已经成为单位竞争的新兴工具，因为计算机病毒的特质便是自我复制及造成计算机系统的当机及破坏。若是以计算机病毒有意地侵入竞争对手的计算机网络内，将造成所有的营运、作业的失灵，并造成巨大的无可估量的损失。5.1当今防毒技术的发展趋势由于操作系统及应用程序的多样性，造就了计算机病毒机理的多样性；随着网络的发展，又为计算机病毒提供了更加简便快捷传播方式。鉴于此，当今防病毒技术必须具有一系列诸如时实监控性、支持多平台及各类服务应用程序之类技术为基础，对于新型病毒进行不间断监控、快速防治与控制为前提，才能为当今互联网时代提供真正的全方位的防毒产品及技术。另外，随着病毒感染媒介的改变，许多机关团体的防毒工作，却仍然只着眼于个人单机或局域网络服务器(LANserver)的阶段，对于电子邮件及Internet的防毒工作，仍缺乏警觉，或不知从何下手。事实上，电子邮件及档案下载不仅是病毒的入侵企业网络的来源，更是病毒传播的媒介。尤其是愈来愈多的单位将内部网络连上了 Internet，然而，目前大多数的防毒厂商并不具备在Internet/Intranet上提供解决方案的能力，而仅着重在单机(standalonePC)或局域网络服务器(LANserver)的防毒产品。 当连接Internet或建构Intranet时，必须从整体来考虑，审慎规划整体网络防毒策略，兼顾网络上每一个节点的防毒，不论是单机联机的client计算机，局域网络服务器、Email系统、或是HTTP、SMTP、以及FTP，均需要周到的保护。唯有慎选真正具有专业能力，提供anti-virustotalsolution的安全伙伴，才能确保计算机使用的安全。由于对于计算机病毒产生及传播，防毒软件的普通防治明显处于滞后状态，所以单纯选择防毒软件防护已知病毒并不能满足贵单位网络防毒安全的要求，只有在病毒进入网络之前，就将其消灭，提供全方位不间断的防毒服务才能彻底解决这一根本问题。提供以防病毒服务为导向；充分利用Internet所带来的便利和力量；并对单位客户提供长期、持续的择易尚网关防火墙，在〃毒〃苗扩散前，直接在网络入口消灭骇客程序、垃圾邮件，有效避更优质的服务才是当今乃至未来防病毒技术的发展趋势。因此，选免病毒灾情蔓延网络。5.2网络环境下病毒传播和破坏的方式及特点一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括本地工作站和远程工作站）。计算机病毒一般首先感染工作站，通过工作站的软盘和硬盘进入网络，然后开始在网上的传播。具体地说，其传播方式有：通过共享资源：病毒先传染网络中一台工作站，在工作站内存驻留，通过查找网络上共享资源来传播病毒；网页恶意脚本：在网页上附加恶意脚本，当浏览该网页时，该脚本病毒就感染该计算机，然后通过该计算机感染全网络；ftp方式：当用户从Internet网上下载程序时，病毒趁机感染计算机，再由此感染网络；邮件感染：把病毒文件附加在邮件里，通过Internet网传播，当用户接受邮件时感染计算机继而感染全网络。总之，单位在应用网络的便利信息交换特性的同时，病毒也正在充分利用网络的特性来达到它的传播目的。单位在充分地利用网络进行业务处理时，就不得不考虑单位的病毒防范问题，以保证关系单位命运的业务数据完整不被破坏。在网络环境下，网络病毒除了具有可传播性、可执行性、隐蔽性、破坏性等计算机病毒的共性外，还具有一些新的特点：感染速度快。在单机环境下，病毒只能通过软盘或其他存储介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，针对一台典型的PC网络在正常使用情况下，只要有一台工作站有病毒，就可在几分钟内将网上的数百台计算机全部感染。扩散面广。病毒在网络中扩散速度快，扩散范围大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站一服务器一工作站”的途径进行传播的，但传播的形式复杂多样。难于彻底清除。各个工作站之间病毒具有相互保护性，一台工作站刚清除病毒，另一台染毒工作站可能马上再次感染它。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此，仅对局部工作站进行病毒杀除，并不能解决病毒对全网络的危害。破坏性大。网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则导致网络崩溃，服务器信息被破坏，使多年工作毁于一旦。激发性：网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。潜在性：网络一旦感染了病毒，即使病毒已被清除，其潜在的危险也是巨大的。根据统计，病毒在网络上被清除后，85%的网络在30天内会再次感染。5.3ES网关防火墙网关防病毒功能介绍ES网关防火墙是利用硬件加速的(ASIC)技术进行病毒扫描的产品，保证了网络的性能。这对于象HTTP这种实时应用是非常重要的。易尚网关防火墙病毒网关已经获得了ICSA的权威认证，ICSA是世界上最知名的网络安全产品认证组织，世界上只有5家厂商获得了这样的荣誉。图ES系列网关防病毒功能病毒和蠕虫防御在网络边界处提供，在web流量(HTTP),email流量(SMTP,POP3,和IMAP)和安全域之间对以下的类型文件进行信息检查。执行文件Executablefiles(exe,bat,andcom)Visuanbasic文件Visualbasicfiles(vbs)压缩文件Compressedfiles(zip,gzip,tar,hta,andrar)屏幕保护文件Screensaverfiles(scr)动态链接库Dynamiclinklibraries(dll)MSOffice文件MSOfficefilesES网关防火墙产品上的病毒检查可以配置成过滤特定目标文件，检测特定病毒代码或不做病毒检测。用户可以选择先进行特征扫描，然后进行特定文件过滤。在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁，使系统管理员从繁重的工作中解脱出来，在传统的方式下，管理员必须检查每一个主机的病毒软件是否更新，如果有一个主机被感染，整个网络都会面临崩溃的危险。病毒扫描同样在所有的VPN解密数据流根据协议进行扫描，网关-网关和客户-网关病毒保护在通道终结后进行检测。在所有的ES网关防火墙中的基本的特征数据库，是由完全的WildList病毒码和变种组成。WildList组织的网站为,集中了全世界的病毒专家和著名的病毒产品厂商病毒资源，是最权威的病毒和蠕虫的列表。除了WildList的病毒和蠕虫列表，大部分基于主机的病毒产品，主要扫描传统的病毒和少有的变种，这些病毒不会散播到Internet上。在网关处扫描这些少见的病毒没有很大的应用价值，因为这些病毒主要是通过软盘或非IP写传播。附件1ES800技术参数技术规格系统性能防火墙性能:120Mbps3DES:60Mbps•并发会话数:400,000•每秒新建会话数：5,000•策略：2,000•时间表：256工作模式•透明模式：是•路由模式：是NAT：是•PAT（端口地址转换）：