素材-网络安全解决方案

yu网络安全重点图书信利半导体公司内网安全解决方案权威安全指导yu网络安全重点图书信利半导体公司内网安全解决方案权威安全指导

目录天创半导体公司内部网络安全解决方案 1第一章引言 2第二章网络信息安全概况 2(1）网络安全 2(2）网络安全的威胁来自哪些方面？ 3(3）不安全造成的危害有多大？ 3(4）系统的安全应具备那些功能？ 4(5）防火墙系统的安全设置问题 5（6）安全隐患 5第三章网络安全方案总体设计 6（1）安全方案设计原则 6（2）安全服务、机制与技术 7（3）网络安全体系结构 7第四章天创半导体公司安全需求 13(1）当前网络现状分析 13(2)客户需求 13（3）实施目标 14第五章产品综述 14(1）安氏LinkTrustTMCyberWall防火墙 14(2）eTrust入侵检测系统 15（3）KSG邮件过滤网关 18第六章实施方案 24（1）优化方案 24（2）设备安装 26（3）规则配置 27（4）网络安全管理员培训 27（5）网络安全审核 27第七章产品类别、报价与售后服务 27（1）产品类别 27天创半导体公司内部网络安全解决方案目录：第一章引言二十一世纪是信息化世纪，随着Internet的迅猛发展,信息共享的程度进一步提高,数字信息越来越深入的影响着社会生活的各个方面，而网络上的信息安全问题也日益突出。目前政府部门、金融部门、医疗、企事业单位和个人都日益重视这一重要问题。大、中型企业如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但另一方面，网络，特别是因特网存在着极大的安全隐患。近年来，因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险：拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下，建立安全可靠的网络信息系统是一种必然选择。一个系统的安全性可从三个层次考虑：第一层是存放数据资源的服务器组；第二层是传输数据的网络；第三层是需要访问数据的客户机。对于一个与互联网相连的网络，首先要防止来自外部的恶意攻击，同时还要保证系统内部所有计算机的不受病毒侵扰，能够数据系统正常应用。第二章网络信息安全概况(1）网络安全计算机安全事业始于本世纪60年代末期，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题就是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。(2）网络安全的威胁来自哪些方面？由于大型网络系统内运行多种网络协议（TCP/IP,IPX/SPX,NETBEUI），而这些网络协议并非专为安全通讯而设计。所以，网络系统网络可能存在的安全威胁来自以下方面：操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。(3）不安全造成的危害有多大？根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1,70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；只有17%的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失USD$402,000。入侵的来源：首先是内部心怀不满的员工；其次为黑客；另外还有竞争者。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、应用数据库中的重要数据；还可以篡改数据库内容，伪造用户身份，信任自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，象贵州省城热线、成都艺术节主页等都报道有黑客入侵，他们在主页上发布反动口号，或将主页修改成黄色画面。受到此类攻击对于政府部门，大型企业而言影响是尤为恶劣的。前段时间美国微软公司遭黑客攻击事件就是由于它的内外网隔离存在漏洞，使得黑客成功窃取它的软件源代码等机密资料，严重威胁到企业的声誉。这样的例子举不胜举，网络安全建设已经迫在眉睫了。(4）系统的安全应具备那些功能？与其它安全体系（如保安系统）类似，网络应用系统的安全体系应包含：访问控制通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证良好的认证体系可防止攻击者假冒合法用户。备份和恢复良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息使攻击者不能了解系统内的基本情况。(5）防火墙系统的安全设置问题近年来大家如果提到网络信息安全，可能最为熟识的可能就是防火墙系统。它不失为一种在内部网和外部网之间实施的信息安全防范系统，这种计算机网络互联环境下的访问控制技术，通过监测、限制、更改跨越防火墙的数据流，可以有效地对外屏蔽被保护网络的信息，从而对系统结构及其良性运行等实现安全防护。因此，许多管理员认为，计算机网络装上防火墙，就可以“高枕无忧”、“万事大吉”了。其实，这是一种片面的错误认识和十分令人担心的危险想法。因为防火墙并不是万能的，它的技术不可能一劳永逸和真正达到“万无一失”，它的“权力”是有限的，在计算机网络上，它也有“管不着”、“管不了”的地方，或者说也有许多“难言之隐”。A防内不防外。现在在市面上比较流行的防火墙大都是边界防火墙，它们在网络的边界上进行外部网络和内部网络的划分，并进行一定程度的安全防范。而这些防火墙一般只对来自外部网络进行防范。如果入侵者绕过了防火墙或内部攻击者将能在内部网络畅行无阻，肆意攻击。B不能防止数据驱动式攻击防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时，就会发生数据驱动式的攻击。C不能防止非法通道的出现防火墙不能防止非法通道的出现，如果在内部网络有人使用猫或其他设备通过其他的方法接入互联网，那么防火墙将不能防止此类问题的出现。D不能防止DD.o.S攻击防火墙本身就是一种网络设备，当超大流量的数据通过它的时候，它同样有可能来不及处理各种数据而造成拒绝服务攻击。而且安全策略越多，造成拒绝服务的可能性就越大。E防火墙自身漏洞防火墙同样是一种运行在硬件上的软件产品（不管是硬件防火墙还是软件防火墙），而软件就一定不可避免的出现一些问题，也会带来安全问题。世界上最出名的各种防火墙本身都出现过安全问题。（6）安全隐患对于计算数据而言存在众多的隐患，如病毒的破坏，计算机存储设备损坏造成的数据丢失，人为操作造成的误删除，外来及内部人员的攻击等；给企业数据信息安全造成了重大的威胁。第三章网络安全方案总体设计（1）安全方案设计原则在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。（2）安全服务、机制与技术安全服务：安全服务主要有：控制服务、对象认证服务、可靠性服务等；安全机制：访问控制机制、认证机制等；安全技术：防火墙技术、鉴别技术、审计监控技术、病毒防治技术等；在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。（3）网络安全体系结构通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全、网络安全、系统安全、信息安全、应用安全和安全管理物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全包括媒体数据的安全及媒体本身的安全。在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。网络结构安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。网络系统安全访问控制及内外网的隔离访问控制访问控制可以通过如下几个方面来实现：制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。配备相应的安全设备在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。内部网不同网络安全域的隔离及访问控制在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。网络安全检测网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。检测工具应具备以下功能：具备网络监控、分析和自动响应功能找出经常发生问题的根源所在；建立必要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。漏洞分析和响应配置分析和响应漏洞形势分析和响应认证和趋势分析具体体现在以下方面：防火墙得到合理配置内外WEB站点的安全漏洞减为最低网络体系达到强壮的耐攻击性各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受黑客攻击和内部人员误操作的侵害审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于去定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。网络防病毒由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：A预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。B检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。C清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。所选的防毒软件应该构造全网统一的防病毒体系。主要面向MAIL、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对Internet/Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、电子邮件等）等。网络备份系统备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。系统安全系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略：对操作系统进行安全配置，提高系统的安全性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能采用安全性高的操作系统。应用系统在开发时，采用规范化的开发过程，尽可能的减少应用系统的漏洞；网络上的服务器和网络设备尽可能不采取同一家的产品；通过专业的安全工具（安全检测系统）定期对网络进行安全评估。信息安全在这个企业的局域网内，信息主要在内部传递，因此信息被窃听、篡改的可能性很小，是比较安全的。应用安全在应用安全上，主要考虑通信的授权，传输的加密和审计记录。这必须加强登录过程的认证（特别使在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，除了上面谈的访问控制和系统漏洞检测外，还可以采用访问存取控制，对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全，主要考虑确定不同服务的应用软件并紧密注视其Bug；对扫描软件不断升级。安全管理为了保护网络的安全性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现，另一方面从技术上建立高效的管理平台（包括网络管理和安全管理）。安全管理策略主要有：定义完善的安全管理模型；建立长远的并且可实施的安全策略；彻底贯彻规范的安全防范措施；建立恰当的安全评估尺度，并且进行经常性的规则审核。当然，还需要建立高效的管理平台。安全管理规范面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全管理规范的建立，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。A安全管理原则网络信息系统的安全管理主要基于三个原则。多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。具体的活动有：访问控制使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等；任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。职责分离原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息处理系统使用媒介的保管等。B安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。具体工作是：根据工作的重要程度，确定该系统的安全等级根据确定的安全等级，确定安全管理的范围制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理制订严格的操作规程操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。制订完备的系统维护制度对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。制订应急措施要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整响应的授权。网络管理管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理，同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描，分析他们的安全漏洞，并采取相应的措施。安全管理安全管理的主要功能指对安全设备的管理；监视网络危险情况，对危险进行隔离，并把危险控制在最小范围内；身份认证，权限设置；对资源的存取权限的管理；对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；口令管理（如操作员的口令鉴权），对无权操作人员进行控制；密钥管理：对于与密钥相关的服务器，应对其设置密钥生命期、密钥备份等管理功能；冗余备份：为增加网络的安全系数，对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。第四章天创半导体公司安全需求(1）当前网络现状分析当前天创公司已经实施了INTERNET入口的防火墙隔离，MAIL服务器通过DMZ区与内网隔离，但由于单位的网络需要扩展问题，存在着防火墙端口不够用的情况，且对于采用低性能的防火墙于网络将造成很大的网络通信瓶颈，为此我们决定使用六端口的千兆型防火墙来解决这个问题。从上图可以看到，由于是暴露在DMZ区，所以MAIL服务器在应用层安全问题是没有保证的（垃圾邮件、邮件病毒随时都可以通过防火墙传入MAIL服务器）；目前内网的拓扑是采用对外全封闭但对内全开放的格局而工作的，换言之对于内网的攻击是完全没有免疫功能的。(2)客户需求A需要有六个端口，支持VPN。B需要能监控员工的上网数据。例如，我为某位员工开80端口让其能上网，他能正常浏览网页，但不能下载某些特定格式的文件，如：*.mp3,*.rm。C能够防止员工使用P2P软件进行文件传输，能监控员工发送的E-MAIL。D因有MAIL服务器，防火墙能自动侦测到某个IP长时间连接MAIL服务器，而自动禁止此IP一段时间后自动恢复。时间及规则可由用户在防火墙上设置的。（3）实施目标启用防火墙的VPN功能通过PPTP对网络进行VPN服务与管理；在防火墙处启用URL过滤，禁止员工访问（下载）*.mp3、*.rm文件；通过相关的包过滤规则防止员工在内网使用特定的工具进行文件传输；配置过滤网关的邮件处理规则对客户端进行相应的管理，达到优化MAIL服务的效果。第五章产品综述(1）安氏LinkTrustTMCyberWall防火墙安氏领信防火墙是亚洲最大的信息安全实验室“IS-OneSecurityLab”成功推出的最新一代防火墙，产品迅速获得国家认证，被中国人民银行评选为金融系统指定防火墙产品之一，并且在第21届世界大学生运动会，上海APEC会议上大显身手。领信防火墙的设计理念从“顶尖技术+人性化”出发，充分考虑防火墙的五大要素：功能、性能、管理能力、易用性和配置，体贴用户的真正安全需求。领信防火墙采用专门设计的安全操作系统LTOS和专用搭载平台，提供高度可靠性和可用性。利用安氏安全实验室申请专利LinkTrustPolling技术，提升防火墙的吞吐速度，达到内核级安全代理机制，是国内唯一在线速状态下工作的最新一代防火墙。安氏安全实验室采用多种先进数据加密算法，最大限度提高VPN吞吐量。领信防火墙具有业界唯一的端口流量镜像功能，实现与世界最先进入侵检测系统互动；并为用户提供友好Web管理界面、命令行管理界面和LCD界面。领信防火墙的特色包括：状态检测包过滤技术；多种服务的内核级安全代理；全面的网络地址翻译（NAT）；IPsecVPN和拨号VPN；高可靠性（HA）；支持流量管理；内容安全过滤；多种用户认证方案；完整日志、审计，告警和统计模块；抗DOS攻击能力（支持SYNProxy）；内嵌入侵检测能力；支持多个ISP接入的负载均衡解决方案；支持诡异木马的抵御；对ICMP攻击免疫，基于时间的对象访问控制；支持按策略与IDS协作。SmartProtector的主要功能为：基于协议分析和攻击特征分析技术，检测并阻断防火墙无法防止的攻击，与防火墙互动修改相应的防火墙规则，同时通过控制台报警。SmartProtector可以检测包括：拒绝服务、端口扫描、WebIIS、WebApache、DNS、ftp、snmp在内的两百多种攻击。每个攻击特征都符合CVE标准，并且支持在线升级。用户还可以自定义检测策略模板，紧密结合特有安全的领信操作系统LTOS，拥有超负载保护能力。用户还可以随时从安氏站点（）下载最新的攻击特征。关于SmartProtector的推出，安氏公司产品市场总监应向荣强调：“SmartProtector的产生基于两个层面考虑，融合安氏在入侵检测（IDS）技术的多年雄厚积累，为LinkTrustTMCyberWall提供增强功能模块。增加SmartProtector功能的领信防火墙为特定需求用户群提供了业界领先的一站式安全防御系统，特别适合企业上网工程，行业网络广域连接防护等等应用。但流探测器SmartProtector不能取代专门的入侵检测系统，它以不牺牲防火墙和VPN的性能为前提，检测并响应“严重的”攻击手法，配合防火墙以及专门的IDS系统，为企业提供更加强大的防护体系。用户在购买LinkTrustTMCyberWall时可以选择是否增加SmartProtector功能”。“现在安全问题变得越来越复杂，攻击手法层出不穷，而且更新很快，这要求安全管理员作出防范反应越来越迅速，在防火墙上增加入侵检测模块，就是为了增强响应时间，特别是在解决类似“红色代码”，“尼姆达”这类突发性极大的将网络蠕虫、计算机病毒、木马程序合为一体的攻击手法时，将发挥相当大的作用”。安氏公司防火墙产品经理张强进一步解释，“当SmartProtector检测到攻击时，可以阻断并且传递给领信防火墙，修改防火墙的安全规则，同时领信防火墙阻断已经建立的攻击连接。通过一个基于WEB的友好、简洁明了的用户界面，安全管理员不仅可以配置该SmartProtector的攻击特征模板，还可以通过提供的链接，了解到更多关于攻击的资料以及如何配置相应的系统设备来防御攻击”。每个检测到的攻击，将会通过日志告警与邮件告警方式通知管理员，同时为SmartProtector定制了专门的审计日志数据结构包含：攻击时间、源地址、目的地址、源端口、目的端口、攻击名称。(2）eTrust入侵检测系统解决方案－网络入侵检测(eTrustIntrusionDetection)网络入侵检测(eTrustIntrusionDetection)解决方案通过自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了先进的网络保护功能。例如，网络入侵检测(eTrustIntrusionDetection)软件可以检测到"拒绝服务"型攻击，并且在服务器及业务受到影响前按照预先定义的策略采取相应的行动。网络入侵检测(eTrustIntrusionDetection)软件还可以大大减少管理和保障网络安全所需的培训时间。通过以上措施，网络入侵检测(eTrustIntrusionDetection)软件可以帮助用户深入了解整体安全性以及网络内部的运行情况(例如，它可以给出违反策略的数量及其来源的详细统计报表。)网络访问控制网络入侵检测(eTrustIntrusionDetection)软件以规则为基础，定义哪些用户可以访问网络上的特定资源，保证只有授权用户才可以访问网络资源。高级防病毒引擎病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。它可以防止用户下载被病毒感染的文件。新的和升级的病毒特征文件可以从冠群金辰站点获得。全面的攻击方式库网络入侵检测(eTrustIntrusionDetection)软件可以自动检测网络数据流中的攻击方式，即使正在进行之中的攻击也能检测。定期更新的攻击特征文件可以从冠群金辰站点获得，从而保证了网络入侵检测(eTrustIntrusionDetection)总是最新。信息包嗅探技术网络入侵检测(eTrustIntrusionDetection)软件以秘密方式运行，使攻击者无法感知到。黑客常常在没有察觉的情况下被抓获，因为他们不知道他们一直受到密切监视。URL限制管理员可以指定禁止用户访问的URL，防止毫无效率的网上冲浪。字匹配扫描利用网络入侵检测(eTrustIntrusionDetection)软件，管理员可以定义表明可能会违反策略的字符模式。这种方式防止了未经授权就通过E-mail或web发送敏感数据等情况的发生。网络使用日志网络入侵检测(eTrustIntrusionDetection)软件使网络管理员可以跟踪最终用户，应用程序等对网络的使用情况。它可以帮助改进网络策略的规划，并提供精确的网络控制。保护企业网络通过在企业内多处位置部署网络入侵检测(eTrustIntrusionDetection)解决方案，用户可以利用其强大的功能来保护整个企业网络。这包括从一个远程或中央位置的稳定控制台监视和响应企业范围内的事件。网络入侵检测(eTrustIntrusionDetection)软件还包含一个中央事件数据库、附加报表以及一个分布式的内容查看器。入侵检测网络入侵检测(eTrustIntrusionDetection)软件可以提供网络范围内可靠的、分布式实时网络保护。这是通过允许每一个网络入侵检测(eTrustIntrusionDetection)实例全面发挥其功能并单独运行实现的，避免了对网络可用性或响应时间的依赖。集中监视网络管理员可以在本地或远程集中监控运行网络入侵检测(eTrustIntrusionDetection)软件的一台或多台工作站。通过在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测(eTrustIntrusionDetection)代理，管理员可以根据收集的综合信息查看警告并生成报表。远程管理远程用户可以通过TCP/IP或调制解调器连接访问运行网络入侵检测(eTrustIntrusionDetection)软件的工作站。一旦连接成功，用户就可以按照网络入侵检测(eTrustIntrusionDetection)软件管理员定义的许可内容，查看和监视网络入侵检测(eTrustIntrusionDetection)数据、修改规则和生成报告。入侵日志及分析网络入侵检测(eTrustIntrusionDetection)软件提供了一个综合系统来捕捉信息并进行分析。软件安装完毕并指定一个存档位置后，用户定义一个可以在档案文件中记录任务数据的规则。用户可以使用浏览器过滤、排序和查看归档信息并创建详细报表。网络入侵检测(eTrustIntrusionDetection)代表了最新一代企业网络保护技术，具有前所未有的访问控制、用户透明性、高性能、灵活性、适应性及易用性等。它提供给企业一个易于部署的网络保护方案，可以在不会导致任何失败的情况下加以实施。支持环境服务器/PC网络Windows95/98WindowsNT/2000TCP/IP网（3）KSG邮件过滤网关赤霄过滤网关（KILLShieldGateway）是冠群金辰公司新一代网络过滤专用设备，能够同时在网络层、传输层、应用层对病毒、蠕虫、垃圾邮件、非法内容分别进行过滤。在网络层，KILLShieldGateway实现基于IP地址、端口号等网络层特征的过滤；在传输层，实现基于HTTP、SMTP等协议特征的过滤，有效识别和拦截蠕虫攻击；在应用层，对多种常用协议（SMTP、POP3、HTTP、FTP等）进行深度分析并还原出原始数据，进行病毒检查、蠕虫检查、垃圾邮件检查和内容检查。三管齐下，KILLShieldGateway可对用户网络实现立体式的全面保护，有效保护用户的网络免受侵害，确保用户内部网络的信息安全。KILLShieldGateway做为先进的新型网关过滤设备，除了具有一般网关过滤设备的功能外，它的突出特点是可以实现蠕虫过滤（过滤静态蠕虫扩散、阻断蠕虫动态攻击）。KILLShieldGateway独有的抗蠕虫攻击技术（Anti-Worm）能够全方位抵御所有已知蠕虫病毒的攻击和传播，可以阻断后门程序、DoS/DDoS等动态入侵攻击行为。KILLShieldGateway采用冠群金辰备受赞誉的反病毒引擎，该扫描引擎经ICSA（国际计算机安全协会）认证可“100%查杀流行病毒”，并获得全球18家重要测评机构的认证，使用安全可靠，是KILLShieldGateway强大反病毒功能的基础。KILLShieldGateway做为独立的硬件产品，其过滤与具体的邮件、代理系统无关，其工作不需更改用户原有系统的任何配置。KILLShieldGateway在企业网络的边缘，而不是在用户的邮件和代理服务器上，进行过滤工作，确保了原有系统的稳定性，并在效率方面远远高于在服务器本机上安装过滤软件的方式。而且即使用户更换了新的代理和邮件服务器，也无需改变KILLShieldGateway，保护了用户的已有投资。KILLShieldGateway通过Web页面进行系统配置，管理界面友好，易于配置，而且使用简便，一旦配置完成，可自动完成病毒查杀、特征码下载、日志记录、报表生成等工作，大大减轻了网络安全管理员的负担，是一款技术极为先进的网关过滤产品。KILLShieldGateway的工作原理根据KILLShieldGateway接入方式的不同，其过滤的工作原理也不同。KILLShieldGateway主要使用透明（Bridge模式）接入用户网络。用户基本不需要修改其它网络设备的配置。此外，赤霄过滤网关也支持非透明（Router模式）的接入。这种情况下，主要用于对用户的邮件系统进行病毒过滤。下面分别介绍其工作原理。透明模式接入采用透明模式时，无须改变用户网络环境中的所有网络设备（包括主机、路由器等）和所有计算机的配置(包括IP地址和网关)，只须将KILLShieldGateway串联到需重点保护的网络中，例如，要保护邮件服务器，可将KILLSheildGateway连在用户邮件服务器之前；要保护内部网的主机，可把KSG部署在主交换机和路由器（防火墙）之间，从而大大增强网络的安全性。下面举例说明根据用户的典型网络情况部署KILLShieldGateway。如图所示。一般企业网络通过防火墙，划分为内部网络和DMZ区，连接到Internet。其中DMZ区中为重要的服务器，如FTP服务器，Web服务器，邮件服务器等。为确保内部网络和DMZ区的安全，建议如上图所示部署过滤网关。这样，对内部网络，KSG可以拦截内部主机从Internet下载的有害数据，同时也能拦截内部主机发向Internet的攻击数据。对DMZ区，主要作用是拦截从外部发向服务器的攻击数据，确保了公司重要服务器的安全。从用户的角度看，使用KILLShieldGateway无需更改任何配置，因而对用户来说是完全透明的，易于管理，同时保证了信息系统的安全。非透明模式接入由于非透明模式的实施相比透明模式来说较为复杂，所以一般建议用户采用透明模式。但是在有些情况下，也可能采用非透明模式。下面根据KILLShieldGateway的三大功能模块：SMTP过滤、代理过滤和POP3过滤，分别讲述采用非透明模式接入到网络中时，每个模块的工作原理，由此了解该如何将产品连接到网络中。SMTP邮件过滤模块工作原理KILLShieldGateway的SMTP过滤主要是利用邮件路由协议的特点进行工作。出于容错和扩展方面的考虑，简单邮件传输协议(SMTP)在设计时引入了邮件路由的思想，邮件总是首先试图传递给优先级值相对较高的MX邮件服务器，失败后才试图传递给优先级值稍大的MX邮件服务器；同时邮件总是在同一优先级的MX邮件服务器都尝试失败后，才试图传递给优先级稍低的MX邮件服务器。因此一封具有一个收件人地址的Email可以有多个MX邮件服务器目标，每台MX邮件服务器可以设置成不同的优先级，高优先级的邮件服务器将先进行处理，如果高优先级的邮件服务器出现意外，邮件会自动发向第二优先服务器，依次直到最低优先级服务器。在使用中，KILLShieldGateway本身就是一个完整的MTA（邮件传输单元），我们赋予它最高的优先级，这样所有的邮件将先发到KILLShieldGateway，进行过滤处理后，再由它通过SMTP协议传给MX邮件服务器。KILLShieldGateway在网络中与原邮件服务器的关系如下图：注：邮件服务器的优先级在DNS服务器中设置。对于发出去的邮件，可以在DNS中修改RELAY服务器(即发件服务器)的IP指向，或者用户直接修改自己所用的邮件客户端软件的RELAY服务器以指向KILLShieldGateway

就可以了。代理过滤模块工作原理KILLSheildGateway的代理模块相当于一个代理服务器(ProxyServer)。一般情况下，当用户的本地机与因特网连接时，通过本地机的客户程序如IE浏览器发出请求，远端的服务器在接到请求之后响应请求并提供相应的服务。使用代理服务器后，它处在客户机和服务器之间，对于远程服务器而言，它是客户机，可向服务器提出各种服务申请；对于客户机而言，它则是服务器，它接受客户机提出的申请并提供相应的服务。也就是说，客户机访问因特网时所发出的请求不再直接发送到远程服务器，而是被送到了代理服务器上，代理服务器再向远程的服务器提出相应的申请，接收远程服务器提供的数据并保存在自己的硬盘上，然后用这些数据对客户机提供相应的服务。要确保网络内部用户下载的内容的安全，只要确保它们的代理下载内容的安全就可以了。KILLShieldGateway代理模块典型应用的逻辑示意图如下：HTTP/FTPClientsKShield代理模块HTTP/FTPClientsKShield代理模块系统原有ProxyInternetKILLShieldGateway代理模块的过滤就是利用前面讲到的原理，KILLShieldGateway的主机本身就是一个代理服务器，首先将接收的远程服务器的数据保存在自己的硬盘上，在传送给客户端前先进行病毒扫描。如果不含病毒，则传送，否则根据用户设定的规则进行拦截或清除病毒，并通知客户端。在上面的典型配置中，用户网络中本来就有代理服务器，这时只须修改该代理服务器的缺省上一级代理设置，使之指向KILLShieldGateway即可，无须修改用户原有的用户认证等其他代理服务器配置，也无须修改客户端浏览器的配置。对于原有系统中没有代理服务器的用户环境，可以使用以下结构：HTTP/FTPClientsKShield代理模块HTTP/FTPClientsKShield代理模块Internet在这种使用方式下，为中小型网络用户提供了一个功能完整，性能优良的防病毒代理系统。这种方式同样具有很好的伸缩性和扩展性。综上所述，要达到如上所示的过滤效果，主要有三种配置方式：如系统原有代理服务器时，可配置该代理服务器的代理为KILLShieldGateway，这样一方面可达到过滤效果，一方面客户端不需对原有配置做任何更改。如系统中没有代理服务器，可配置浏览客户端，使用KILLShieldGateway这个代理。如网络中使用了防火墙，可使用防火墙的重定向功能，将80（HTTP），21(FTP)端口的请求直接重定向到KILLShieldGateway,从而实现透明代理功能，客户端不需配置任何代理服务器。POP3过滤模块工作原理KILLShieldGateway可以作为一个POP3代理，进行POP3流量的过滤。很多用户的邮件客户端除接收自己单位域的邮件外，还接收一些公共邮箱的邮件，这些邮件如果不进行过滤，也将带来安全隐患。使用KILLShieldGateway的POP3过滤功能，邮件客户端可通过KILLShieldGateway连接Internet上的POP3服务器收取email，同时可确保接收邮件的安全性。KILLShieldGateway的POP3过滤模块的工作原理如下图所示：启用POP3过滤前，一般用户接收邮件的过程为：POP3clientPOP3clientPOP3服务器启用POP3过滤后，邮件客户端接收邮件的过程为：POP3clientPOP3clientKSGPOP3过滤模块POP3服务器邮件客户端向KILLShieldGateway发出POP3请求，KILLShieldGateway根据其提供的信息，向实际的POP3服务器发出请求接收邮件后，客户端直接从KILLShieldGateway接收邮件。要使用POP3过滤功能，邮件客户端需作相应更改，假设过滤网关名为，则邮件客户端需做的更改示例如下：收件服务器帐户名启用POP3过滤前username启用POP3过滤后username@即，在邮件客户端将POP3服务器改为指向KILLShieldGateway，但同时在账号后面加入@原pop3邮件服务器名，告知KILLShieldGateway去哪个服务器接收邮件。总结：采用非透明模式将KILLShieldGateway连接到网络中时，它相当于一个逻辑过滤网关。因此，必须采用指向的方式确保SMTP，POP3，HTTP，FTP流量经过KILLShieldGateway。采用透明模式时，由于KILLShieldGateway就是串联在网络当中，受保护网络的所有数据均经过它，为物理网关，故配置要简单的多。KILLShieldGateway的功能特点友好的系统管理界面对邮件系统的管理采用B/S方式，供HTTPS、SSH等方式的安全管理。用户可使用浏览器本地或远程修改KILLShieldGateway系统配置及过滤策略，用户界面友好，操作简单。接入方式简单易行KILLShieldGateway的配置非常简单，支持透明和非透明两种接入方式。采用非透明模式时，对邮件系统，只需修改DNS配置，对代理服务器，只需指定其上一级代理为KILLShieldGateway，即可进行过滤工作。采用透明模式时，用户不需要修改任何网络结构，安装工作更加简单。此外，由于其工作与使用的邮件和代理服务器具体类型无关，即使用户更换了新的邮件和代理服务器，也无需修改KILLShieldGateway，从而保护用户的已有投资。蠕虫过滤严格来讲，蠕虫与病毒是有区别的，它比病毒的危害性更大。蠕虫可以利用电子邮件、文件传输等方式扩散，也可以利用系统漏洞进行主动攻击。由于蠕虫能够从网络上发起动态攻击，因而防范难度非常大。近几年爆发流行的一些主要破坏事件，如尼姆达（Nimda）、红色代码（CodeRed）、蠕虫王（Slammer）、冲击波（Blaster）等，都属于蠕虫攻击，这些事件普遍导致了大面积的网络瘫痪。赤霄过滤网关独有的抗蠕虫动态攻击技术属国内首创，能够全面抵御目前危害最大的蠕虫威胁。在网络层和传输层阻挡蠕虫利用系统漏洞发起的动态攻击，在应用层过滤通过正常协议（SMTP、POP3、HTTP、FTP等）传输的静态蠕虫代码。病毒过滤全面实现对普通病毒（如CIH）、邮件病毒（如求职信、美丽杀手、Mydoom）、木马活动、恶意网页代码的过滤。赤霄过滤网关具有卓越的病毒查杀能力，能够对多种常用协议（SMTP、POP3、HTTP、FTP等）传输的数据进行病毒过滤。其反病毒引擎获得了ICSA（国际计算机安全协会）的认证，能够100%地检测出目前“流行病毒名单”上的病毒。该引擎还凭借其卓越的病毒查杀能力19次荣获“VirusBulletin”（病毒公告牌）授予的“VB100%”奖，这一成就超过其它任何一个反病毒厂商。垃圾邮件过滤赤霄过滤网关采用多种技术过滤垃圾邮件，实现对垃圾邮件的综合防范。可通过自带的垃圾邮件列表库过滤当前绝大多数广告、宣传性质的邮件。支持实时黑名单（RBL）技术的过滤。采用贝叶斯技术进行智能过滤。支持灵活的过滤策略—依据IP地址过滤；依据邮件地址过滤；基于HELO标志过滤；限制邮件的大小；限制同一邮件的发件数量；对附件文件类型和文件名过滤；根据邮件主题、发件人、收件人、正文及附件关键字进行过滤；对邮件头、邮件体进行关键字过滤；支持域名过滤；自动禁止邮件服务的Openrelay功能；智能识别垃圾文本等。内容过滤赤霄过滤网关采用SBPH/BCR（SparseBinaryPolynomialHashing/BayesianChainRule）这一稀疏多项哈希/贝叶斯链技术进行内容检查，具有高度准确的内容识别能力（精度高于99%）。支持对关键字（正则表达式）、附件文件类型、URL等方式的过滤。高性能赤霄过滤网关构建在高性能的服务器硬件平台上，采用高效过滤算法，具有极高的处理能力。支持百兆和千兆网络环境。实时过滤及报警赤霄过滤网关实时过滤蠕虫、病毒、垃圾邮件、非法内容，阻止它们进入到用户的网络，并可根据系统安全管理策略记录日志并发出报警，帮助管理员及时了解安全事件，掌握安全状态。灵活的过滤策略根据不同的过滤对象和安全目的，赤霄过滤网关可以定义灵活的过滤策略，并且对符合过滤条件的对象进行拒绝、丢弃、拦截、清除、延时等多种过滤操作，最大限度地保证将安全的数据传送给用户。特征码自动升级安全是动态的，赤霄过滤网关通过不断地更新过滤特征码来保持与攻击数据特征的同步，包括病毒特征码和入侵特征码。根据管理员定义的更新频率与策略，通过HTTP或FTP协议自动更新特征码，确保始终使用最新的特征码进行检查，以免受各种新病毒、蠕虫的侵害。双机容错赤霄过滤网关支持STP（SpanningTreeProtocol），启用STP后，当网络中使用了两台赤霄过滤网关时，如果主机出了问题，备机会接管网络连接并进行过滤，满足高可靠性的网络对健壮性的要求。带宽保护赤霄过滤网关可以实现对网络带宽的保护。用户可以根据实际网络带宽配置定义过滤处理的并发数以及占用带宽的限制，以此调整和优化网络性能。资源自适应控制发生邮件风暴或大量HTTP并发链接时，赤霄过滤网关会检测系统资源的消耗情况。当达到处理极限后，进行缓冲处理，避免资源超载造成网络中断的现象。同时，系统借助对协议的深度分析设置阀值，当发生诸如SYNFlooding类型的攻击达到阀值后，赤霄过滤网关将拒绝接收，这一技术可过滤绝大多数的服务拒绝攻击。完整的日志记录，丰富的报表赤霄过滤网关可提供详尽、完整的过滤日志报告，还可提供根据这些数据生成图形化统计报表并支持数据挖掘，形象直观，帮助管理员查看，调整相应的过滤策略。支持SMTP认证为防止垃圾邮件泛滥等滥用邮件系统的行为，许多邮件系统在接受用户的发信请求前，要求对用户的身份作认证，即SMTP认证。如果原有邮件服务器进行SMTP认证，在引入了KILLShieldGateway之后，该认证过程将由KILLShieldGateway来进行。它将认证过程的数据流重定向给原邮件服务器，并根据认证的结果来决定是否接收用户的发信请求。如果用户的RELAY邮件服务器不支持SMTP认证，可以使用KILLShieldGateway的SMTP认证扩展模块，将SMTP认证协议转变为对POP3用户的认证协议，进行发信认证。可检查伪装邮件KILLShieldGateway可检查发件人伪装，即提供的发件认证信息正确，但发件人邮件地址和提供的认证信息不相符合的情况。KILLShieldGateway通过将邮件地址和SMTP认证用户进行绑定来识别伪装邮件，从而确保邮件信息系统不被滥用和误用。代理系统的访问控制KILLShieldGateway不仅可以对HTTP流量进行过滤，还可进行访问控制，设置可以使用代理系统的客户端网段，使用它可以访问的服务器，或者客户端需经过验证后才可以使用代理系统，确保只有允许的用户或客户端才可以使用该代理系统。第六章实施方案（1）优化方案安全优化方案①：说明：将原例图交换机②外带的三个网段加入交换机①，通过划分VLAN的方式连接，这样既也节省硬件资源（交换机②），也便于入侵检测系统的集中管理。这里需要将交换机①的某个端口设置监听状态，并使用该端口联入侵检测系统。使用KSG邮件过滤系统放在ISP提供商的线路上，使用这种配置手法的优点是：能同时过滤内网（核心交换机①）与DMZ区的通信数据，起到全面保护的作用；缺点：暴露在网闸（企业型防火墙）的前端，存在被攻击的危险。防火墙采用安氏中国的防火墙高端产品LinkTrustCyberWall-200SP/006。安全优化方案②：说明：方案②在核心交换机与入侵检测系统的排布上与方案①相同，只是在KSG邮件过滤系统的拓扑位置上将其原本的拓扑位置放进DMZ区、MAIL服务器的前端，优点：能保证KSG邮件过滤能保障处于DMZ区的MAIL服务器能正常运作；缺点：不能保证内网的数据内容安全。防火墙同样是使用安氏的LinkTrustCyberWall-200SP/006。（2）设备安装IS-ONEFW防火墙具有“防火墙（Firewall）+非军事区（DMZ）+网络地址转换（NAT）+带宽管理+代理服务器（Proxy）+双机热备+简单入侵检测+用户认证”的功能；必须考虑DMZ区的应用所涉及的安装接法，建议对DMZ区进行应用，将数据服务器、WEB服务器联接到此区中；配合企业的需要，在邮件过滤网关与入侵检测系统加载适合管理者需要的、符合安全基准的安全策略。（3）规则配置在此必须考虑的规则有，内网、外网、DMZ区的应用情况，代理及带宽的使用情况进行配置。（4）网络安全管理员培训A介绍网络安全管理知识，常见的攻击与防护；B培训墙火防的安装、规则配置等；C培训入侵检测及报表审核；D培训邮件过滤网关的规则配置；E培训安全评估的应用。（5）网络安全审核对防火墙、入侵检测系统、邮件过滤系统的各种规则设置结果进行审核确保系统当前的安全性。第七章产品类别、报价与售后服务（1）产品类别安氏CyberWall200SP/006专为具有复杂网络结构及严密安全需求的大中型企业用户而设计，配备6个10/100M自感应端口，采用先进的安全域（SecurityZone）概念结构，提供了复杂网络多子网之间的安全控制方案，防火墙上的每个物理网口可以挂接任意多个逻辑子网，通过划分安全级别域和设置访问控制规则来实现各端口、子网、安全域之间的数据包转发，高度集成了防火墙、ASICVPN（仅用于200SP/006型号）、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色，提供高度安全、可信和健壮的安全解决方案。另外，200SP/006自身还集成了ASICVPN处理器SecurityProcessor200，它支持处理所有的与安全相关的协议包括IPSec,I