优创月刊

《安全月刊》第十三期

　出刊：2005年7月27日

南京优创科技有限公司
客户服务中心

服务电话：025-84808848

服务邮箱：service@ultratech.com.cn

本期导读：
	\|-优创动态－热烈庆祝南京优创--东软网络安全产品技术培训活动圆满成功！
	\|-业界新闻－NetEye突破传统IDS
	\|-新品介绍－蓝代斯克：简化IT生活
	\|-最新病毒警报
	\|-工程师解疑空间－防火墙在什么情况下会把收到的数据包丢弃
	\|-谭博士专栏－－"间谍"软件已超过病毒成为网民的最大威胁

热烈庆祝

“南京优创――东软网络安全产品技术培训”活动圆满成功！

我司与东软联合举办的“南京优创――东软网络安全产品技术培训”活动于2005年7月22日在南京黄埔大酒店圆满结束了。来自江苏、安徽的40多位用户代表参加了这次培训活动。
    此次培训活动，我们邀请了东软网络安全咨询顾问邰阳和高峰老师与我司谭晓阳博士一道担任主讲。这次培训的重点是围绕加深网络安全意识、提高用户对东软安全产品的使用和维护水平来展开的。内容涉及网络安全概述、常用的网络安全产品、东软NetEye防火墙（VPN）技术的发展及东软NetEye　IDS和安全服务等方面。各位用户对这次培训的热情很高。最后，为了能够更加直观地帮助用户解决产品在使用和操作过程中可能会遇到的问题，高峰老师和我司资深工程师朱颖峰分别对东软防火墙产品和IDS产品进行了操作演示，产品演示将此次培训活动推入高潮，下课后，大家仍在一起讨论课堂上的内容，并互相交流自己单位产品的管理和维护经验。
    这次为期三天的培训活动虽然日程安排紧凑，但因准备充分，加上客户朋友们的大力支持与配合，整个培训气氛紧张而有序。来自各单位的技术精英们聚集一堂，课堂上大家在浓厚的学术氛围下对网络安全进一步加深了理解，课后更是建立起了深厚的友谊。
    我们的培训服务宗旨是“不为所有，但为所用”。我们相信通过这次培训活动，既能提高用户的理论水平，又能够为用户解决很多实际问题。我们希望通过举办类似的培训会、研讨会能成为用户朋友们的“虚拟大学”。

2003年，南京优创科技有限公司通过了东软厂商严格的考察与培训，取得了东软的认证和授权，成为东软首家发展的“4S店服务店”，我们承担着对华东两省（苏、皖）一市（上海）NetEye用户进行全方位服务的重任。

4S的含义即：强调及时的信息反馈（survey）、个性的方案支持（solution）、全线的产品销售（sale）、规范的售后服务（service）四位一体的服务模式。

NetEye突破传统IDS

   IDS不断地更新的根本是，总是在变化的驱动力来自人们对IDS的“漏洞”和“误报”的不满，同时，也来自对IDS仅能报警而不能采取实际阻断攻击的措施的功能局限。于是，一些厂商推出了“防火墙＋IDS”联动的模式，试图改变IDS的形象。然而，经过一段时间的实用，这种模式正在逐渐失去生命力，如果IDS的核心问题——“漏洞”和“误报”不解决，联动只能增加网络管理员的新麻烦，引起网络的新故障，这是谁都不愿意面对的局面。
   于是，IDS如何进行创新，就成为各厂商追逐的目标。
   东软网络入侵检测系统NetEye IDS 2.2，以“网络安全问题是一个完整的过程，而不是一个孤立的事件”为核心设计思想，针对目前蠕虫病毒大规模泛滥、内部人员对网络资源滥用、网络故障引起的网络健康问题等情况，开始倡导“全面关注网络健康”的网络管理理念。

加强攻击检测

攻击检测依然是衡量一个IDS是否有效的关键指标。这一点对所有的IDS都是一样的，其关键点是减少IDS系统的顽症——“漏洞”和“误报”。NetEye IDS 2.2在2.1的基础上进行了进一步优化，利用独特的数据包截取技术对网络进行不间断的监控，采取基于网络数据流的实时智能分析技术，能轻松处理分片和乱序数据包，综合使用包括攻击模式匹配、统计分析、协议分析、行为分析等多种方法，来判断来自网络内部和外部的入侵企图，因此，可以检测1700种以上的攻击与入侵行为。

增加内容恢复和应用审计

过去，攻击检测是IDS功能的全部。而今天，东软网络入侵检测系统NetEye IDS 2.2突破了传统常规，它只是IDS的一个重要方面，而不是全部，IDS要实现全面关注网络健康问题，还应该能对检测的内容进行有效管理。

NetEye IDS 2.2新增加了内容恢复和应用审计功能。它能针对常用的多种应用协议，比如HTTP、FTP、SMTP、POP3、TelNet、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等进行内容恢复，能完全记录通信的全波过程与内容、监控内部网络中的用户是否滥用网络资源，发现未知的攻击具有很大的作用。例如，在恢复Http的通信内容时，可恢复文本、图形等。而应用内容的审计则可发现内部的攻击，了解哪些人员查看了哪些不该查看的内容。东软网络入侵检测系统NetEye IDS 2.2的功能包括了目前的专业安全审计产品的大部分内容，用户购买了IDS后，可以完全不必再购买专业的审计产品。

融合网管

网络管理和网络安全二者殊途同归，都是为了保障用户网络的健康运转。为了方便网络管理人员，NetEye IDS 2.2的网络安全管理平台除了提供IDS的用户输入输出界面外，还集成了网管员最常用到的一部分管理功能。它可以收集网络用户信息，包括IP地址、MAC地址、用户名等，帮助网管解决IP地址冲突等网络故障。它还可以收集网络中主机的操作系统版本号信息。帮助网管员确定网络中的补丁升级情况。NetEye IDS 2.2的网络安全管理平台集成了嗅探器和扫描工具，免去了网管员想分析数据包时还要再启Sniffer等等诸如此类的麻烦。此外，管理平台还可实时监控网络的当前流量状况，便于用户发现网络异常，定位网络故障。总之，通过集成这些网管功能，NetEye IDS 2.2将极大地提高网管员的工作效率。

对网络实时监控

对于想Sniffer这样的网络检测工具，一般的网络管理人员并不陌生，因为，它在检查网络故障方面，具有非常重要的作用。而实时检测网络流量异常，并及时发现攻击行为，应该是IDS基本特征，为此，东软特在NetEye IDS 2.2中增加了对网络实时监控和诊断的功能，能对全网络进行主动扫描，实时发现网络中的异常，并给出详细的检测报告。

增加了内容回放和网络实时监控的IDS已经完全超越了以往简单进行攻击检测和IDS概念，它增加的强大功能，无疑将使IDS成为全面的网络故障分析仪、网络安全探测仪。东软认为“IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充，入侵检测技术应该能够帮助系统对付网络攻击，扩展系统管理员的安全基础结构。因此，IDS应该能够识别黑客常用的入侵与攻击手段、监控网络的异常通信、鉴别对系统漏洞及后门的利用，完善网络安全管理。”

提供务实有效安全保障

东软NetEye IDS产品的上马，能够有效监控内部网络中的用户是否滥用了网络资源，并通过审计及时发现未知攻击，从而扩大了网络防御的纵深，构成了防火墙之后的第二道安全闸门。

蓝代斯克：简化IT生活

   在LANDesk所有产品中，LANDesk管理套件是最重要的组成部分。使用LANDesk管理套件的管理员就好像长了“千里眼”、“顺风耳”，能对企业复杂而宜变的桌面设备资产进行高效跟踪和统计，远程安装和配置操作系统和应用程序，快速帮助客户定位并解决问题。
“企业有多少台电脑？都装了什么操作系统？哪些系统该升级了？”……，IT管理员们常常被这些问题困扰，希望能有一种机制可以将所有的IT设备相关信息动态地展现在面前。
   LANDesk管理套件的IT资源管理功能可以圆管理员这个梦。管理员通过控制界面就能将所有设备的相关信息一览无余，可远程直接确定系统升级方案而无须到现场打开机箱后再做决定。
   IT资产管理的第二个重要功能是统计和报告。IT管理员可定期对企业的IT资产进行统计并生产报表，并以文本或图表输出。
   IT资产管理的另一个功能是报警，能对管理员关注的资产属性进行动态监控。LANDesk管理套件的保健功能支持8种报警方式以及对几千种资产中的任意一种设置报警。
   在企业中统一部署或者升级应用，往往需要花费管理员大量的体力、精力和时间。这时候，LANDesk的软件分发功能将帮助管理员们通过网络将配置好的软件包统一传送到所有需要安装的客户端，在后台自动运行并完成安装过程。
   对用户软件分发功能“静默”安装和网络带宽控制的要求，LANDesk管理套件有很好的解决方案，尤其是在带宽控制上，其“有目标的多址广播”、“对等下载”和“动态带宽调整”技术一直走在业界的前列。
   现在业界有一种被称为ASP的销售模式，该模式根据用户使用的时间和内容进行收费。这种模式的兴起也反映了用户对公共资源更愿意按照实际使用两付费的价值模式。LANDesk软件授权监视功能，可以让管理员对企业内用户的应用了若指掌，并针对不同使用率的用户采取不同的管理策略。LANDesk软件授权监视功能还能禁止违规软件的运行。
   LANDesk操作系统分发功能能有效解决管理员反复安装操作系统工作，可以在一个任务中实现批量的安装，从而几倍、十几倍地提升操作系统安装的效率。
　

未来一周病毒预警

据国家信息管理中心及internet病毒防治权威机构的统计，以下为未来一周可能出现的病毒，请大家在日常工作中注意防范。
1.病毒名称：TROJ_UCF.A
病毒类型：Worm病毒
传播方式：特洛伊木马
病毒特征：该变种通过电子邮件进行传播，利用系统漏洞，打开后门，请用户及时更新系统补丁，建议安装个人防火墙。
危害程度：病毒会覆盖硬盘的部分扇区。(严重)
中毒特征：中毒计算机会自动发送带有病毒体附件的邮件、系统很慢，数据丢失
2.病毒名称：W32.Rants.C@mm及变种
病毒类型：Worm
传播方式：邮件传播
病毒特征：邮件附件名称是使用 .exe 作为扩展名的随机字母字符串。
危害程度：导致系统不稳定甚至会导致系统崩溃。
中毒特征：病毒会自动终止系统杀毒软件的运行，耗尽系统资源
3.病毒名称：Worm.Mail.Vagan及变种
病毒类型：Worm
传播方式：邮件传播
病毒特征：病毒附件为*.doc的word文件，文件名随机。
危害程度：病毒会修改用户的浏览器首页，还会造成电脑频繁重启，影响正常工作。(严重)
中毒特征：中毒计算机的运行速度会变得很慢、频繁重启，IE主页被修改为http://www.indonesia.go.id/
4.病毒名称：W32.Sober.F@mm及变种
病毒类型：Worm
传播方式：邮件传播
病毒特征：它通过使用自己的 SMTP 引擎将自身作为电子邮件附件发送进行传播，改变系統注册表。
危害程度：导致系统不稳定甚至会导致系统崩溃。(严重)
中毒特征：中毒计算机的运行速度会变得很慢、不断的进行网络连接，发送大量垃圾邮件
我们在此提醒您：
1、 对系统和重要数据做好备份，而且在本机备份外，最好同时做异地备份，如备份在其它机器、光盘或移动硬盘上，并确保备份的安全性。
2、现在，很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。
3、在收到带附件的邮件时不要轻易的打开附件，而应当首先使用已更新过最新病毒库的杀毒软件检查，在确认附件无毒后再打开附件。
4、计算机最好能够安装防火墙软件，这样不仅能够防范外部网络对本机的攻击，而且还可以防止一旦本机被运行了一些非法程序后，防止非法程序对外的连接。
5、了解基本的病毒知识，关注流行病毒的特征，学习应对病毒发作的基本操作。通过学习就可以及时发现新病毒并采取相应措施，保护的计算机系统的安全免受病毒侵害。

防火墙在什么情况下会把收到的数据包丢弃

  通常情况下，在防火墙规则允许的情况下，数据包都会正常通过防火墙，但是有几种特殊的情况下，防火墙会把收到的数据包丢弃：
1.        正常情况下，防火墙会把不符合规则的数据包丢弃，这里指包过滤规则、非IP规则、本地访问控制规则等规则相应没有制定的情况下，默认的情况下（没有添加允许），这样的数据包不会通过防火墙，会被其丢弃。解决的办法是在防火墙安全控制台上制定相应的规则文件。
2.        火墙对于已经建立连接的数据包，在一段时间没响应的情况下，会断开这个连接，默认的保持时间是3600秒，即一个小时。解决的办法是在安全控制台工程配置文件中，EST时间设置成需要的时间，最大为999999999。
3.        在数据包封装非常小的情况下，防火墙因为无法处理，故丢弃。有些服务器，比如游戏服务器等，他们封装的数据包非常的小。解决的办法是把这些服务器放在防火墙的外面，是外部访问不通过防火墙。或者在防火墙的链路上做旁路，然后在路由器上做访问控制列表或不给其他的访问添加路由。补充：对于超小包，比如小于64字节，事实上在进行CSMA/CD检测的时候，就会被网卡丢弃，而对于超大包，比如一些视频信息，我们的防火墙有时候也会丢弃。
4.        对于一个数据包要经过防火墙两次，并且这两次经过防火墙不同的区域（INSIDE 和 OUTSIDE），这样的数据包在NETEYE3.0以后的所有版本不会被通过，我们把它称之为IP欺骗机制。在NETEYE2.0版本中，可以使用防火墙方向检测开关，是其通过防火墙的数据包不做方向检测。解决的方法是如果不在同一网段在防火墙上可以设置三层交换，也就是代理路由，如果在同一网段，解决的办法是修改主机路由，即本机的网关。
5.         第五种问题是我们的防火墙是基于状态检测包过滤防火墙基础上的流过滤型防火墙，从根本上来说，仍旧是状态检测机制，这样就存在状态控制的问题。如果一个请求的数据包没有经过防火墙，而应答的数据包需要经过防火墙。当应答的数据包经过防火墙的时候，没有与其匹配的请求数据包，这时防火墙会将这个应答数据包丢弃。这样的问题会出现在IP数据包访问往返路由选路不同的时候。

　　　　　工程师信箱：service@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。

"间谍"软件已超过病毒成为网民的最大威胁

　　东方网7月25日消息：随着网民数量的急剧增长和宽带网络的普及，网民在电脑设备上存储的账号、密码等机密信息也越来越多，以窃取用户机密文件和个人隐私为目的的“间谍”软件已经超过传统意义上的病毒成为网民的最大威胁。业内人士分析，如何防范“间谍”病毒，将成为下一阶段反病毒研究的重点。
    中国互联网络信息中心２２日发布的《第十六次中国互联网发展状况统计报告》显示，我国上网用户总人数达到１.０３亿人，而且宽带上网用户数已达５４００万。
    专家指出，“间谍”软件是指那些能通过电子邮件或聊天工具等途径入侵网民个人电脑，能长期驻留电脑硬盘，并能随操作系统一同启动或定时自动启动的软件程序，又称为“木马”病毒。这些程序可以记录用户的键盘信息，搜索用户硬盘上的机密文件资料，然后通过互联网发送给特定的黑客组织和个人。与“震荡波”等占用系统资源的蠕虫病毒相比，这些病毒的破坏力和影响力有过之而无不及，成为网络世界的最大杀手。
    据国内知名反病毒公司公布的上半年１０大电脑病毒排行中，“木马”已经超越蠕虫成为新霸主。排在前十位者多为“木马”病毒，如：“ＱＱ龟”、“高波”、“ＱＱ大盗”、“ＱＱ爱虫”、“ＭＳＮ性感鸡”等。“其中排名第一的“ＱＱ龟”是一个典型的“木马”程序，通过向ＱＱ好友群发送病毒程序文件进行传播。
    中国互联网络信息中心的报告显示，在一亿多网民中，有４４．９％网民经常使用即时通讯工具。网民们利用ＱＱ、ＭＳＮ等工具与网友联系、发送文件，并可进行语音、视频通话。其中进行视频聊天的网民占到聊天网民的近一半。一个值得注意的动向是，电脑病毒通过即时通讯工具进行传播已经取代电子邮件成为病毒传播的主流途径。在上半年十大恶性病毒排行榜中，与ＱＱ等即时通讯软件有关的病毒占据了一半。来源:新华网

谭博士信箱：txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题