|
|||||||||||||||
|
《安全月刊》第十五期 |
出刊:2005年9月27日 |
||||||||||||||
|
南京优创科技有限公司 服务电话:025-84808848 |
|
||||||||||||||
 |
|||||||||||||||
|
近日,赛迪顾问最新发布的2005年第二季度中国网络安全产品市场分析报告显示,国内领先的网络安全解决方案提供商东软在防火墙领域,由第一季度的12.9%市场占有率提升到14.9%,高居中国网络安全商之首。在入侵检测领域,东软NetEye
IDS
也得到广泛认可,市场占有率由第一季度的6.5%提升到9.3%,在入侵检测领域继续保持国内第三名的好成绩。东软也成为在防火墙和IDS两个领域均拥有自主知识产权产品且均名列三甲领先地位的安全厂商。
|
|||||||||||||||
 |
|||||||||||||||
|
该产品是东软历时3年,经过600多个人月的研发和测试,向用户奉献的一款精品。NetEye FW 5200采用高性能的NP平台及分布式系统架构,可提供卓越的扩展性和部署灵活性。其高性能NP处理芯片内部集成了多个RISC处理器,专门用于处理高速数据流,可对数据包实施线速的分析、检测和转发等处理。 之所以采用NP技术,东软网络安全事业部产品经理徐松泉介绍说:“以往大多数千兆线速防火墙均采用ASIC技术,但ASIC对数据包的处理局限在2~4层。随着网络的发展,防火墙需要能够对2~7层的数据分组实现复杂的安全控制、QOS保证、负载均衡等处理,ASIC己难以满足要求,而对2~7层数据分组的线速处理恰恰是NP的优势。从技术发展和演进来看,NP是一种更为成熟和先进的硬件平台。”NP平台采用一个可编程的网络处理器就完成了以前由多个ASIC才能完成的端口处理、路由查找、存储器管理、包转发、内容过滤等工作,降低硬件成本的同时,进一步提升了产品的可靠性。而且NP可编程的特性使产品的功能升级更为方便,增强了对网络和安全技术发展的适应性,使得产品具有更长的生命周期。 NetEye FW 5200具有如下主要技术特色: ※ 东软流过滤技术和INTEL先进NP平台的完美结合 NetEye FW 5200采用Intel的IXP2400高性能网络处理芯片, IXP2400芯片具有强大的处理能力,可以用于网络接入、网络骨干设备,支持从第2层到第7层各种业务,包括:防火墙、入侵检测、VPN等安全控制功能;进行分组分类,识别关键业务流,保证QOS;执行协议转换,支持多种传输媒体接入;在OC-48 等高速链路上实现聚合流的分类识别、转发和安全处理。
东软在IXP2400平台下结合NetEye“流过滤”技术所具有的深度防御能力,实现了千兆线速防火墙在检测性能和检测深度方面新的突破:NetEye FW 5200在提供千兆线速全双工的网络数据包处理和过滤能力的同时,可以对HTTP、SMTP等常见应用进行协议级检查和控制;NetEye FW 5200中的TCP/IP协议栈是东软自主知识产权的防火墙专用协议栈,全部采用微码实现,除了可以有效抵御针对协议栈指纹特征的网络扫描外,还具有更高的处理性能和更强的深度检测能力;基于“流过滤”技术,NetEye FW 5200提供了隐藏或改写Banner信息的功能,可以有效防止攻击者对应用系统的扫描和攻击。 ※ 虚拟防火墙 NetEye FW 5200提供了虚拟防火墙功能,管理员可将一台防火墙在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的全部功能。由于电信运营商、电力调度、教育等行业网络应用环境比较复杂,这种方式可以有效降低网络安全防护所需的投资预算,满足用户的某些特殊需要,并使部署和管理维护变得更加容易。 ※ 千兆位以太网通道 NetEye FW 5200支持千兆以太网通道功能,不仅可以起到容错作用,更是链路带宽扩容的一条重要途径。它可在1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这样,多条链路被用于单条高速数据通道,通道中部分线路的故障不会影响其它线路的带宽聚合,从而保证了网络的可靠性。同时,以太网通道技术也提升了防火墙的可扩展性,可以充分利用现有设备实现高速数据传输。 ※ 高可用性 NetEye FW 5200还提供了其它多种方式的高可用特性,包括多机集群备份、负载均衡等。多机集群备份通过专有协议,实现了连接表同步功能,使得互相备份的防火墙都保存网络中的所有连接信息。当网络中部分链路出现故障时,连接不会因为数据包转移到其他防火墙上而导致连接断开,充分保证了应用系统的稳定运行。 ※ 支持策略路由、策略NAT、动态路由 普通防火墙的路由策略只能根据单个IP包中的源地址进行判断,在使用时并不方便。NetEye FW 5200提供了更加灵活的策略路由实现方案,可以根据更多属性设定路由策略。比如在高校应用中,如果是由内部访问外网,可以根据预先制定的策略,访问免费地址使用教育网出口,访问非免费地址使用电信出口,而外网的访问,则通过教育网出口返回数据包。这种方案既有效地避免了不必要的国际流量,又能使外网正常访问校园网内资源,保证网络资源得到有效利用的同时,降低了网络的日常运行费用。 另外,NetEye FW 5200具有丰富的网络特性,包括策略NAT,对动态路由协议RIP、OSPF、BGP的支持等,可以充分适应复杂网络环境部署的要求。 ※ 强大的深度检测和攻击防御能力 NetEye FW 5200可以对数据包进行深层检测和协议级控制,提供对HTTP、SMTP等常见协议的过滤和控制能力,保证基于H.323、SIP等协议的视频语音应用的安全。它采用先进的队列调度算法,使得QoS队列调度效率与队列数目的无关,有效保障多业务条件下的服务质量(QoS)。 东软此次率先推出的基于IXP2400架构的NetEye FW 5200,在国内同类产品中处于领先位置,是我国自主知识产权信息安全产品的又一硕果。自1996年东软成立网络安全实验室开始,东软NetEye品牌一直稳健发展,9年里东软在网络安全行业不断创新,致力于为用户提供先进的安全技术和周到满意的服务,东软NetEye千兆NP防火墙5200再次体现了东软在信息安全领域强大的技术实力和深厚的行业积累。 |
|||||||||||||||
 |
|||||||||||||||
|
中国国家计算机病毒应急处理中心26日发布9月27日至10月3日一周内将要发作的计算机病毒预报如下:
病毒名称:欢乐时光(Vbs_Happytime.A)
病毒类型:脚本语言病毒
专家提醒: 1、国庆节前,各单位要对计算机系统进行全面的检查,做好病毒的预防工作。同时,要建立网络安全及病毒事件出现后的应急机制和处置方案,有专人负责事件处理工作。确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理,防止病毒感染,遏制病毒扩散,最大程度降低病毒发作带来的损失。 2、国家计算机病毒应急处理中心还提醒,“贝革热”病毒和变种近期传播广泛,病毒主要以电子邮件附件的形式到达,附件大小在几十K到一百多K不等,有些邮件没有内容只有附件,有的有简单的文字作为内容。请用户留意处理此类邮件,谨防病毒的感染,遏制病毒的传播。 |
|||||||||||||||
 |
|||||||||||||||
|
步骤2. 遵循域控制器方面的最佳做法 在确信遵循了与管理员有关的最佳做法后,我们将注意力转移到域控制器(Domain Controller,以下简称DC)上面来,因为它们是许多AD实现中最容易受到攻击的目标。如果某个攻击者成功进入DC,那么整个森林将受到威胁。因此,您需要遵循如下最佳做法: 确保DC的物理安全性。DC的物理安全性是部署AD时需要考虑的最重要问题之一。如果某个攻击者获得了DC的物理访问权,他将有可能对几乎所有其它的安全措施进行破坏。当您将DC放置在数据中心时,DC的安全性并不存在问题;当在分支机构部署DC时,DC的物理安全性很可能存在问题。在分支机构中,DC经常存放在可以被非IT人员访问的带锁房间内。在一些情况下,这种方式不可避免,但是不管情况如何,只有被充分信任的人员才能够对DC进行访问。 自动化安装的过程。通常自动化任务的执行要比手工执行的安全性高。当安装或升级DC时尤其如此。安装和配置操作系统过程的自动化程度越高,DC的不确定因素就越少。当手工安装服务器时,对每台服务器人们的操作均存在细微的差别。即使完整地记录下所有过程,每台服务器的配置仍然会有所区别。通过安装和配置过程的自动化,您有理由确信所有DC均以同样的方式被配置并设置安全性。对于已经安装好的DC,您可以使用组策略这类工具来确保它们之间配置的一致性。 迅速安装重要的更新。在Windows NT时代,除非绝对需要,绝大多数管理员不会安装热修复程序(hotfix)或安全更新。更新经常存在缺陷并会导致进一步的问题。今天,我们就没有那么奢侈了。幸运的是微软提供的更新程序质量有了很大提高。因为DC是非常显眼的目标,所以您需要密切关注出现的每一个安全更新。您可以通过访问地http://www.microsoft.com/security /bulletins/alerts.mspx来订阅并收到有关最新安全更新的Email通知。您可以通过自动更新(Automatic Updates)迅速地对安全更新进行安装,或者通过微软的Software Update Services(SUS)在测试后有选择地对其进行安装。 创建一个保留文件。在Windows
Server 2003以前的操作系统中,如果用户具备在某个容器中创建对象的权限,那么将无法限制用户创建对象的数量。缺乏限制可以导致攻击者不断地创建对象以至耗尽DC硬盘空间。您可以通过在每个DC的硬盘上创建一个10M至20M的保留文件,以便在某种程度上降低这类风险的发生。如果DC的空间用完了,您可以删除上述保留文件,并在找到解决方案前留下一些解决问题的空间。 |
|||||||||||||||
 |
|||||||||||||||
|
在东软防火墙安全控制台工具选项中有防火墙调试工具选项,该工具内包含几个常用的命令,可以帮助我们更好的了解防火墙工作情况和排除网络故障。下面我就介绍一下这几个常用命令: 1. ping 用于确定防火墙是否能与另一台主机交换数据报(网桥模式只有管理口可以ping)。 2. route 察看当前防火墙的路由信息 3. netstat 用于显示与IP、TCP、UDP和ICMP协议相关的统计数据 - a参数 本参数显示一个所有的有效连接信息列表 - s参数 本参数能够按照各个协议分别显示其统计数据 4. ifconfig 用于察看各网卡当前状态详细信息 5. arp 用于查看防火墙的arp表 6. kmsg 用于防火墙查看相应数据包 [run] [run] # 防火墙注册管理,区域管理,时间管理,双机热备,系统信息(proc),网卡管理等功能相关信息 [nip] # 防火墙转发非IP协议包的信息 [tcp] # 防火墙转发TCP包的信息 [icmp] # 防火墙转发ICMP包的信息 [udp] # 防火墙转发UDP包的信息 [eip] # 防火墙转发EIP包的信息 [cnt] [cnt] # 内容过滤模块、审计模块、认证模块,在线监空控模块、用户信息收集等模块信息 [nat] # 输出NAT模块的运行信息 [dyn] # 输出动态连接表信息 [vpn_vtun] # VPN通道所有数据包括xmit,rcv [vpn_xmit] # VPN通道里面发送的数据包 [vpn_rcv] # VPN通道里面收到的数据包 [vpn_other] # VPN更详细的一些通道信息
[other]
[other]
# 地址绑定信息,动态规则模块信息,本地访问控制模块信息,代理路由信息,option模块信 |
|||||||||||||||
 |
|||||||||||||||
|
电子邮件是个人、企业、组织之间进行交流、沟通的重要手段。实际应用中,电子邮件系统在安全性和管理方面却存在诸多隐患。 日前,安全研究机构———美国系统网络安全协会(SANS Institute)发布了2004年度“全球20大互联网安全隐患”。其中,电子邮件客户端成为10项最重大的Windows安全隐患之一。 该协会的报告称,在互联网应用中,商业机构、企业用户对网络安全要求较高。然而,这些用户大多采用了建立防火墙、购置防病毒软件等防御方法,但却忽视了电子邮件环节的防御。而事实上,大部分电脑病毒都是依附于垃圾邮件攻击用户的网络系统。 中国互联网协会的专家表示,这个问题在中国也广泛存在。据了解,目前中国大部分企业允许员工使用个人邮箱进行商务往来,而大多数个人邮箱对垃圾邮件的过滤能力不能满足商业机构和企业用户的要求。这一现象被互联网安全专家称为“极大的安全漏洞”。事实上,企业中的个人邮箱正在成为非法获取企业内部信息的“绿色”通道。据报道,某对外贸易公司的一位职员非法侵入公司老板的个人电子邮箱,离职后通过该公司老板的个人电子邮箱,盗取大量的公司机密信息,给公司造成了数百万美元的贸易损失。 中国互联网协会常务理事、35互联(中国频道)总经理龚少晖在接受记者采访时表示,具有更高安全性、更强管理性的企业邮箱是阻止不怀好意者借电子邮件系统盗取商业机密的有效方式。 据了解,企业邮箱服务商采用了包括“智能模拟识别系统”在内的多种识别方式对垃圾邮件进行过滤。据了解,“智能模拟识别系统”对垃圾邮件的识别率可高达98%。此外,对于企业管理者来说,企业邮箱系统具有更高可管理性,企业只需一次购进一定的容量,无论新员工入职分配新邮箱,还是老员工离职收回旧邮箱,企业的网络管理员只要增删员工电子邮箱账号即可。这样可以有效防止员工在离职之后继续使用个人邮箱进行主动或被动的商务往来。
然而,根据中国互联网协会的统计,中国1500万企业中,目前仅有10.6%的企业使用企业邮箱,而在企业信息化程度较高的北美,企业邮箱的普及率高达64%。专家认为,中国企业邮箱市场需要加速发展。(转自互联网) |
|||||||||||||||
 |
|||||||||||||||
|
|
|||||||||||||||
本期导读: