内网安全专家——宝信网络巡警eCop

    宝信网络巡警eCop是一款内网安全管理产品，它能够按照客户需要提供完整的内网安全管理解决方案。
    宝信网络巡警eCop是由宝信软件根据广大客户的实际需求，结合多年产品研发的丰富经验，精心研制的一套功能全面的安全管理产品。eCop产品分别从网络接入、计算机终端、服务器和应用等四个方面实现对网络安全行为的管理，为客户构建多层次、可信并可控的安全体系。
    eCop产品在接入安全方面，对IP地址进行管理，解决了内网中计算机设备非法接入、IP地址违规表更的问题，提高网络的安全性和可靠性。
    eCop产品在终端安全方面，对计算机外设、非法外联、系统补丁、应用进程、文件和打印操作以及软硬件资源进行监控和管理，规范了终端的操作行为，提高了终端的安全等级。
    eCop产品在服务器安全方面，实时监控的重要服务的工作状态，解决了服务器异常难以及时发现的问题，提高了服务器的安全等级。
    eCop产品在应用安全方面，实现单点登录，解决了用户统一身份认证和权限管理的问题，提高了应用系统的安全性。

产品功能：
网络接入管理
    eCop可对网络接入进行授权与认证。它实现了在线计算机IP地址和MAC地址的实时检测，IP地址和MAC地址信息的合法性判定，警告并自动阻断非法接入的计算机，并能记录非法IP地址的使用历史，发送报警通知。
非法外联监控
    客户端程序定周期检测计算机的网络连接情况，及时发现终端连接其他外部网络的行为，记录下其违规外联的信息并向中央控制器发送违规记录和报警。对于发生非法外联行为的计算机，客户端可自动断开其各种网络连接，包括网卡连接、拨号连接、无线连接等。
计算机外围设备管理
    管理人员可在中央控制器设定启用或禁用各终端计算机的外设和端口；外设和端口包括软驱、光驱、U盘、MODEM、串口、并口、红外接口、1394口等外围设备和接口。
资产信息管理
    eCop可按组织结构管理计算机资产，实现设备信息的注册和审批；自动扫描未安装客户端的终端；它自动收集终端的系统、硬件、软件信息；信息变更时，自动记录，并可根据策略向管理员发送报警；信息可搜索查询。
系统补丁管理
    eCop系统补丁管理在网内计算机上实现系统补丁的更新管理。补丁管理可帮助管理员按组织机构制定补丁安装策略，不仅可查询某台计算机安装了哪些补丁，还可按组织机构查询某补丁的安装情况，并形成详细的报表。
打印管理
    eCop可以记录完整的打印日志，对打印行为和打印内容进行监控，实现对打印资源的有限管理控制，降低打印成本，杜绝通过打印途径的信息泄密。
文件审计
    记录从半价拷贝文件倒其他存储设备或网络共享目录的操作。审计内容包括文件操作类型和文件信息，可以防范通过文件拷贝造成的信息泄密行为。
服务器监控
    定期检测和记录指定服务器及相关服务的运行状态和性能指标，可以对常见的Web应用服务、数据库服务、FTP等多种服务进行监视。当服务器或相关服务器状态、性能指标异常时，发送报警通知。
身份认证和权限管理
    实现基于面向服务架构的异构系统的统一身份认证和授权管理。可以集成并提供各种身份认证服务，如：Windows域认证、动态令牌认证、LDAP等。提供门户整合功能，向用户提供进入各应用系统的统一入口，实现单点登录。提供多级授权管理模式。可以方便地实现基于角色、应用系统资源、对象行为地授权。

                      管理员的防火墙日志向导   

Windows网络总是成为黑客及其他破坏者的攻击目标。但是一旦管理员通过防火墙日志定期了解网络状态信息，破坏者就很难得逞了。
    每周或每月查看一次防火墙日志，了解安全漏洞，浏览器速度及网络性能情况，能够保障网络安全。这些日志反应了攻击者不断攻击网络的记录，显示遭到恶意软件影响的内部系统，并且能帮助你识别与你有生意往来的公司里错误配置或遭破坏的系统。
    从防火墙得到的信息与软件活动或设备监视器的类型有关。在选择防火墙时，要考虑使用能监控入站、出站连接和入侵企图的类型。配置防火墙日志文件大小时，注意其大小要能保存几周的有用数据；只有两天追踪信息的日志并不能提供足够数据应对可能出现的安全问题。
    注意不断攻击的入侵者
    最近的研究表明，新连接上网的系统在连接的头10分钟内最容易被攻击。你的防火墙也不例外。平均每20分钟所有注册的地址都会进行端口扫描。这时你会发现总有人企图连接某个端口或一组端口。多数防火墙在默认情况下会阻止端口扫描。在潜在入侵者对10个或15个以上的端口依次进行扫描后，部分防火墙能在一段时间内锁住某个特定地址。
    来自不同地址的端口扫描不是警报的原因。但如果发现在几周或几个月内有同个地址企图对端口依次进行扫描，你可能就要通过封包监听器验证源地址，确定它不是欺骗行为，并对注册该地址的雇员，承包人或有商业往来的人进行调查。
    监控内部系统中的恶意软件
    尽管努力阻止，但有时仍未将Trojans，蠕虫及间谍软件等下载到桌面系统里。有些桌面恶意软件会利用一些包冲击防火墙。（我记得最近有一个端口80中的HTTP和端口7中的Echo结合）当发现内部网中系统与防火墙之间连接不恰当，就要立即查看计算机情况，确认是否安装了恶意软件，并即刻采取措施进行修复。
    误配置伙伴合作系统只会浪费空间
    由于商业往来，许多公司要求通过第三方进行服务器对服务器或服务器对客户端的交流。我其中一名客户有独立的承包人，改承包人通过外部代理处理公共关系。在承包人安装了代理机构的软件后，防火墙遭到来自代理服务器的非方验证请求破坏－－每天平均20分钟就有15至20次试图连接。对这种行为至少有两种解释，服务器配置错误，或者遭到破坏。无论哪种情况都需要解决该问题，因为阻止企图的记录无疑会占去日志文件一定的空间和带宽，而这些空间和带宽最好是能用到合法的商业行为中。
    拒绝服务器攻击
    防火墙每天都记录了成百或成千的阻止连接信息。除了你指定的端口，如果防火墙阻止所有输入信息，这些企图攻入你网络的尝试虽然恼人，但相对没有什么害处。在一定时期内，恶意用户每一百毫秒就企图连接一个注册地址。这就产生了大家熟知的拒绝服务器（DoS）攻击的“lite”版本。这种类型的攻击会间歇性减缓网络访问速度，尤其是容量周围的链接。阻止记录能确认出你是或曾是“lite”或DoS的攻击对象。
    网络中有些网站可以实时监控网络中存在的威胁。一个公认的权威网站是isc.sans.org的因特网风暴中心。该网页显示出全球的网络数据地图，这些数据都是基于对全球防火墙日志的分析－－数据库包括了每日3600万条记录及每月2.4亿条记录。
    如想将你的网络数据与当地网络的实时状态进行比较，就在ISC地图上点击你所在的国家，显示有关统计数据。主页www.dshield.org中还有彩色地图，显出全球范围中攻击关联引擎。
    如果定期查看防火墙日志，你就能发现以上提到的一些问题，或者其他干扰网络操作或性能的异常情况。除了保持对网络威胁的警惕，你也能利用防火墙日志中的数据成功说服老板增加安全预算。

                             本周病毒警报

继新的木马程序“敲诈者”（Trojan_Agent.BQ）出现之后，近期它的新变种相继出现，新变种和之前出现的“敲诈者”木马程序在传播方式和隐藏计算机用户系统中数据文件的方法上有很多的相似之处，进而再一次借机向计算机用户敲诈勒索钱财。
    这变种会像之前出现的“敲诈者”木马程序基本一样。所不同的是，“敲诈者”木马程序新变种伪装成数据库演示文档，诱导用户点击“打开”，点击后立即从指定网页下载一压缩文件包，解压后出现一名为“点击这里打开”的可执行文件，运行后弹出一文本文档，内容为“由于受到电磁流干扰，网络下载无法运行”，而实际上木马变种已经在计算机系统内开始执行，之后出现的隐藏系统内用户数据文件的情况和“敲诈者”（Trojan_Agent.BQ）完全相同。
    值得提醒计算机用户的是，新出现的变种是在一些网站中下载数据文件的时候感染了木马程序的，这种往往是在用户不察觉的情况下，木马程序悄悄地被植入计算机系统中，具有一定的隐蔽性，给计算机用户的防范带来一定的困难。
    目前北京江民公司、瑞星公司和趋势科技公司的杀病毒软件都已经能够查杀此木马程序的新变种。对感染新变种的计算机用户，可以使用手工方法找回丢失的文件，具体方式和之前的“敲诈者”木马程序是一样的，也是通过RAR压缩软件将隐藏属性“控制面板”文件夹进行压缩，然后，在压缩软件中将这个文件夹的名字修改为“文档”，再将其解压缩到硬盘中，即可在“文档”文件夹下找到丢失的文件。
专家提醒：
    用户针对新出现的变种要加强自我防范意识，很有可能会继续出现新变种，同时新变种也会在一些网站中进行传播，因此提醒计算机用户在日后上互联网的时候，提高警惕，不要随意浏览一些不熟悉的网站，也不要随意下载运行任何网站中的不明文件，这些都有可能是木马变种传播感染的途径。
    另外，如果遇到利用病毒、木马进行网络攻击、破坏或者敲诈勒索犯罪活动，请及时向警方报警，并与应急中心联系求助。
    同时，再次提醒广大计算机用户注意微软在6月份发布的安全公告，在公告中公布的安全漏洞具有极高的安全威胁，可导致对系统的远程攻击。请用户注意升级，防止遭到入侵破坏。

                         小议防火墙中的地址转换     

                   东软防火墙内容过滤与时间控制的配置