yu網絡安全重點圖書信利半導體公司內網安全解決方案權威安全指導yu網絡安全重點圖書信利半導體公司內網安全解決方案權威安全指導

目錄天創半導體公司內部網絡安全解決方案 1第一章引言 2第二章網絡信息安全概況 2(1）網絡安全 2(2）網絡安全的威脅來自哪些方面？ 3(3）不安全造成的危害有多大？ 3(4）系統的安全應具備那些功能？ 4(5）防火墻系統的安全設置問題 5（6）安全隱患 5第三章網絡安全方案總體設計 6（1）安全方案設計原則 6（2）安全服務、機制與技術 7（3）網絡安全體系結構 7第四章天創半導體公司安全需求 13(1）當前網絡現狀分析 13(2)客戶需求 13（3）實施目標 14第五章產品綜述 14(1）安氏LinkTrustTMCyberWall防火墻 14(2）eTrust入侵檢測系統 15（3）KSG郵件過濾網關 18第六章實施方案 24（1）優化方案 24（2）設備安裝 26（3）規則配置 27（4）網絡安全管理員培訓 27（5）網絡安全審核 27第七章產品類別、報價與售后服務 27（1）產品類別 27天創半導體公司內部網絡安全解決方案目錄：第一章引言二十一世紀是信息化世紀，隨著Internet的迅猛發展,信息共享的程度進一步提高,數字信息越來越深入的影響著社會生活的各個方面，而網絡上的信息安全問題也日益突出。目前政府部門、金融部門、醫療、企事業單位和個人都日益重視這一重要問題。大、中型企業如何保護信息安全和網絡安全，最大限度的減少或避免因信息泄密、破壞等安全問題所造成的經濟損失及對企業形象的影響，是擺在我們面前亟需妥善解決的一項具有重大戰略意義的課題。網絡的飛速發展推動社會的發展，大批用戶借助網絡極大地提高了工作效率，創造了一些全新的工作方式，尤其是因特網的出現更給用戶帶來了巨大的方便。但另一方面，網絡，特別是因特網存在著極大的安全隱患。近年來，因特網上的安全事故屢有發生。連入因特網的用戶面臨諸多的安全風險：拒絕服務、信息泄密、信息篡改、資源盜用、聲譽損害等等。類似的風險也存在于其它的互聯網絡中。這些安全風險的存在阻礙了計算機網絡的應用與發展。在網絡化、信息化的進程不可逆轉的形勢下，建立安全可靠的網絡信息系統是一種必然選擇。一個系統的安全性可從三個層次考慮：第一層是存放數據資源的服務器組；第二層是傳輸數據的網絡；第三層是需要訪問數據的客戶機。對于一個與互聯網相連的網絡，首先要防止來自外部的惡意攻擊，同時還要保證系統內部所有計算機的不受病毒侵擾，能夠數據系統正常應用。第二章網絡信息安全概況(1）網絡安全計算機安全事業始于本世紀60年代末期，由于當時計算機的速度和性能較落后，使用的范圍也不廣，再加上美國政府把它當作敏感問題而施加控制，因此，有關計算機安全的研究一直局限在比較小的范圍內。進入80年代后，計算機的性能得到了成百上千倍的提高，應用的范圍也在不斷擴大，計算機已遍及世界各個角落。并且，人們利用通信網絡把孤立的單機系統連接起來，相互通信和共享資源。但是，隨之而來并日益嚴峻的問題就是計算機信息的安全問題。由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。計算機安全的內容應包括兩方面：即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性。一個系統存在的安全問題可能主要來源于兩方面：或者是安全控制機構有故障；或者是系統安全定義有缺陷。(2）網絡安全的威脅來自哪些方面？由于大型網絡系統內運行多種網絡協議（TCP/IP,IPX/SPX,NETBEUI），而這些網絡協議并非專為安全通訊而設計。所以，網絡系統網絡可能存在的安全威脅來自以下方面：操作系統的安全性。目前流行的許多操作系統均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。防火墻的安全性。防火墻產品自身是否安全，是否設置錯誤，需要經過檢驗。來自內部網用戶的安全威脅。缺乏有效的手段監視、評估網絡系統的安全性。采用的TCP/IP協議族軟件，本身缺乏安全性。未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。應用服務的安全，許多應用服務系統在訪問控制及安全通訊方面考慮較少，并且，如果系統設置錯誤，很容易造成損失。(3）不安全造成的危害有多大？根據美國FBI的調查，美國每年因為網絡安全造成的經濟損失超過1,70億美元。75%的公司報告財政損失是由于計算機系統的安全問題造成的。超過50%的安全威脅來自內部；只有17%的公司愿意報告黑客入侵，其他的由于擔心負面影響而未聲張。59%的損失可以定量估算。平均每個組織損失USD$402,000。入侵的來源：首先是內部心懷不滿的員工；其次為黑客；另外還有競爭者。無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、應用數據庫中的重要數據；還可以篡改數據庫內容，偽造用戶身份，信任自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。黑客的威脅見諸報道的已經屢見不鮮，象貴州省城熱線、成都藝術節主頁等都報道有黑客入侵，他們在主頁上發布反動口號，或將主頁修改成黃色畫面。受到此類攻擊對于政府部門，大型企業而言影響是尤為惡劣的。前段時間美國微軟公司遭黑客攻擊事件就是由于它的內外網隔離存在漏洞，使得黑客成功竊取它的軟件源代碼等機密資料，嚴重威脅到企業的聲譽。這樣的例子舉不勝舉，網絡安全建設已經迫在眉睫了。(4）系統的安全應具備那些功能？與其它安全體系（如保安系統）類似，網絡應用系統的安全體系應包含：訪問控制通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。檢查安全漏洞通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。攻擊監控通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認證良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內部信息使攻擊者不能了解系統內的基本情況。(5）防火墻系統的安全設置問題近年來大家如果提到網絡信息安全，可能最為熟識的可能就是防火墻系統。它不失為一種在內部網和外部網之間實施的信息安全防范系統，這種計算機網絡互聯環境下的訪問控制技術，通過監測、限制、更改跨越防火墻的數據流，可以有效地對外屏蔽被保護網絡的信息，從而對系統結構及其良性運行等實現安全防護。因此，許多管理員認為，計算機網絡裝上防火墻，就可以“高枕無憂”、“萬事大吉”了。其實，這是一種片面的錯誤認識和十分令人擔心的危險想法。因為防火墻并不是萬能的，它的技術不可能一勞永逸和真正達到“萬無一失”，它的“權力”是有限的，在計算機網絡上，它也有“管不著”、“管不了”的地方，或者說也有許多“難言之隱”。A防內不防外。現在在市面上比較流行的防火墻大都是邊界防火墻，它們在網絡的邊界上進行外部網絡和內部網絡的劃分，并進行一定程度的安全防范。而這些防火墻一般只對來自外部網絡進行防范。如果入侵者繞過了防火墻或內部攻擊者將能在內部網絡暢行無阻，肆意攻擊。B不能防止數據驅動式攻擊防火墻不能防止數據驅動式的攻擊。當有些表面看起來無害的數據通過郵寄或拷貝到內部網的主機上并被執行時，就會發生數據驅動式的攻擊。C不能防止非法通道的出現防火墻不能防止非法通道的出現，如果在內部網絡有人使用貓或其他設備通過其他的方法接入互聯網，那么防火墻將不能防止此類問題的出現。D不能防止DD.o.S攻擊防火墻本身就是一種網絡設備，當超大流量的數據通過它的時候，它同樣有可能來不及處理各種數據而造成拒絕服務攻擊。而且安全策略越多，造成拒絕服務的可能性就越大。E防火墻自身漏洞防火墻同樣是一種運行在硬件上的軟件產品（不管是硬件防火墻還是軟件防火墻），而軟件就一定不可避免的出現一些問題，也會帶來安全問題。世界上最出名的各種防火墻本身都出現過安全問題。（6）安全隱患對于計算數據而言存在眾多的隱患，如病毒的破壞，計算機存儲設備損壞造成的數據丟失，人為操作造成的誤刪除，外來及內部人員的攻擊等；給企業數據信息安全造成了重大的威脅。第三章網絡安全方案總體設計（1）安全方案設計原則在對這個企業局域網網絡系統安全方案設計、規劃時，應遵循以下原則：綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好后再考慮安全措施，不但容易，且花費也小得多。易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統的正常運行。分步實施原則：由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。可評價性原則：如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。（2）安全服務、機制與技術安全服務：安全服務主要有：控制服務、對象認證服務、可靠性服務等；安全機制：訪問控制機制、認證機制等；安全技術：防火墻技術、鑒別技術、審計監控技術、病毒防治技術等；在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機制或安全技術來實現的。應當指出，同一安全機制有時也可以用于實現不同的安全服務。（3）網絡安全體系結構通過對網絡的全面了解，按照安全策略的要求、風險分析的結果及整個網絡的安全目標，整個網絡措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成：物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理物理安全保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提，物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：環境安全對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設計規范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；媒體安全包括媒體數據的安全及媒體本身的安全。在網絡的安全方面，主要考慮兩個大的層次，一是整個網絡結構成熟化，主要是優化網絡結構，二是整個網絡系統的安全。網絡結構安全系統是建立在網絡系統之上的，網絡結構的安全是安全系統成功建立的基礎。在整個網絡結構的安全方面，主要考慮網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網絡維護管理、網絡應用與業務定位等因素。成熟的網絡結構應具有開放性、標準化、可靠性、先進性和實用性，并且應該有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完善的安全保障體系。網絡結構采用分層的體系結構，利于維護管理，利于更高的安全控制和業務發展。網絡結構的優化，在網絡拓撲上主要考慮到冗余鏈路；防火墻的設置和入侵檢測的實時監控等。網絡系統安全訪問控制及內外網的隔離訪問控制訪問控制可以通過如下幾個方面來實現：制訂嚴格的管理制度:可制定的相應：《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》。配備相應的安全設備在內部網與外部網之間，設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。防火墻主要的種類是包過濾型，包過濾防火墻一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，能根據企業的安全政策來控制（允許、拒絕、監測）出入網絡的信息流。同時可實現網絡地址轉換（NAT）、審記與實時告警等功能。由于這種防火墻安裝在被保護網絡與路由器之間的通道上，因此也對被保護網絡和外部網絡起到隔離作用。防火墻具有以下五大基本功能：過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。內部網不同網絡安全域的隔離及訪問控制在這里，主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內，就可以限制局部網絡安全問題對全局網絡造成的影響。網絡安全檢測網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節？如何最大限度地保證網絡系統的安全？最有效的方法是定期對網絡系統進行安全性分析，及時發現并修正存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。檢測工具應具備以下功能：具備網絡監控、分析和自動響應功能找出經常發生問題的根源所在；建立必要的循環過程確保隱患時刻被糾正；控制各種網絡安全危險。漏洞分析和響應配置分析和響應漏洞形勢分析和響應認證和趨勢分析具體體現在以下方面：防火墻得到合理配置內外WEB站點的安全漏洞減為最低網絡體系達到強壯的耐攻擊性各種服務器操作系統，如E_MIAL服務器、WEB服務器、應用服務器、，將受黑客攻擊的可能降為最低對網絡訪問做出有效響應，保護重要應用系統（如財務系統）數據安全不受黑客攻擊和內部人員誤操作的侵害審計與監控審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能看出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于去定問題和攻擊源很重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發現或可能產生的破壞性行為提供有力的證據。因此，除使用一般的網管軟件和系統監控管理系統外，還應使用目前較為成熟的網絡監控設備或實時入侵檢測設備，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。網絡防病毒由于在網絡環境下，計算機病毒有不可估量的威脅性和破壞力，一次計算機病毒的防范是網絡安全性建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術：A預防病毒技術：它通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有，加密可執行程序、引導區保護、系統監控與讀寫控制（如防病毒軟件等）。B檢測病毒技術：它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。C清除病毒技術：它通過對計算機病毒的分析，開發出具有刪除病毒程序并恢復原文件的軟件。網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測；在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。所選的防毒軟件應該構造全網統一的防病毒體系。主要面向MAIL、Web服務器，以及辦公網段的PC服務器和PC機等。支持對網絡、服務器、和工作站的實時病毒監控；能夠在中心控制臺向多個目標分發新版殺毒軟件，并監視多個目標的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對Internet/Intranet服務器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，重新命名等；支持病毒隔離，當客戶機試圖上載一個染毒文件時，服務器可自動關閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。網絡備份系統備份系統為一個目的而存在：盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：場點內高速度、大容量自動的數據存儲、備份與恢復；場點外的數據存儲、備份與恢復；對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用，同時亦是系統災難恢復的前提之一。在確定備份的指導思想和備份方案之后，就要選擇安全的存儲媒介和技術進行數據備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數據還在整個計算機系統和網絡中，只不過傳到令一個非工作的分區或是另一個非實時處理的業務系統中存放。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系，在系統恢復時重新安裝，有一部分原始的數據長期保存并作為查詢使用。熱備份的優點是投資大，但調用快，使用方便，在系統恢復中需要反復調試時更顯優勢。熱備份的具體做法是：可以在主機系統開辟一塊非工作運行空間，專門存放備份數據，即分區備份；另一種方法是，將數據備份到另一個子系統中，通過主機系統與子系統之間的傳輸，同樣具有速度快和調用方便的特點，但投資比較昂貴。冷備份彌補了熱備份的一些不足，二者優勢互補，相輔相成，因為冷備份在回避風險中還具有便于保管的特殊優點。系統安全系統的安全主要是指操作系統、應用系統的安全性以及網絡硬件平臺的可靠性。對于操作系統的安全防范可以采取如下策略：對操作系統進行安全配置，提高系統的安全性；系統內部調用不對Internet公開；關鍵性信息不直接公開，盡可能采用安全性高的操作系統。應用系統在開發時，采用規范化的開發過程，盡可能的減少應用系統的漏洞；網絡上的服務器和網絡設備盡可能不采取同一家的產品；通過專業的安全工具（安全檢測系統）定期對網絡進行安全評估。信息安全在這個企業的局域網內，信息主要在內部傳遞，因此信息被竊聽、篡改的可能性很小，是比較安全的。應用安全在應用安全上，主要考慮通信的授權，傳輸的加密和審計記錄。這必須加強登錄過程的認證（特別使在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。另外，在加強主機的管理上，除了上面談的訪問控制和系統漏洞檢測外，還可以采用訪問存取控制，對權限進行分割和管理。應用安全平臺要加強資源目錄管理和授權管理、傳輸加密、審計記錄和安全管理。對應用安全，主要考慮確定不同服務的應用軟件并緊密注視其Bug；對掃描軟件不斷升級。安全管理為了保護網絡的安全性，除了在網絡設計上增加安全服務功能，完善系統的安全保密措施外，安全管理規范也是網絡安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規范來實現，另一方面從技術上建立高效的管理平臺（包括網絡管理和安全管理）。安全管理策略主要有：定義完善的安全管理模型；建立長遠的并且可實施的安全策略；徹底貫徹規范的安全防范措施；建立恰當的安全評估尺度，并且進行經常性的規則審核。當然，還需要建立高效的管理平臺。安全管理規范面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡安全管理規范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題，所以應引起各計算機網絡應用部門領導的重視。A安全管理原則網絡信息系統的安全管理主要基于三個原則。多人負責原則：每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有：訪問控制使用證件的發放與回收；信息處理系統使用的媒介發放與回收；處理保密信息；硬件和軟件的維護；系統軟件的設計、實現和修改；重要程序和數據的刪除和銷毀等；任期有限原則：一般地講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環任職，強制實行休假制度，并規定對工作人員進行輪流培訓，以使任期有限制度切實可行。職責分離原則：在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統主管領導批準。出于對安全的考慮，下面每組內的兩項信息處理工作應當分開。計算機操作與計算機編程；機密資料的接收和傳送；安全管理和系統管理；應用程序和系統程序的編制；訪問證件的管理與其它工作；計算機操作與信息處理系統使用媒介的保管等。B安全管理的實現信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制定相應的管理制度或采用相應的規范。具體工作是：根據工作的重要程度，確定該系統的安全等級根據確定的安全等級，確定安全管理的范圍制訂相應的機房出入管理制度對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記系統，采用磁卡、身份卡等手段，對人員進行識別、登記管理制訂嚴格的操作規程操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。制訂完備的系統維護制度對系統進行維護時，應采取數據保護措施，如數據備份等。維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。制訂應急措施要制定系統在緊急情況下，如何盡快恢復的應急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調動和離職人員要及時調整響應的授權。網絡管理管理員可以在管理機器上對整個內部網絡上的網絡設備、安全設備、網絡上的防病毒軟件、入侵檢測探測器進行綜合管理，同時利用安全分析軟件可以從不同角度對所有的設備、服務器、工作站進行安全掃描，分析他們的安全漏洞，并采取相應的措施。安全管理安全管理的主要功能指對安全設備的管理；監視網絡危險情況，對危險進行隔離，并把危險控制在最小范圍內；身份認證，權限設置；對資源的存取權限的管理；對資源或用戶動態的或靜態的審計；對違規事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權），對無權操作人員進行控制；密鑰管理：對于與密鑰相關的服務器，應對其設置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網絡的安全系數，對于關鍵的服務器應冗余備份。安全管理應該從管理制度和管理平臺技術實現兩個方面來實現。安全管理產品盡可能的支持統一的中心控制平臺。第四章天創半導體公司安全需求(1）當前網絡現狀分析當前天創公司已經實施了INTERNET入口的防火墻隔離，MAIL服務器通過DMZ區與內網隔離，但由于單位的網絡需要擴展問題，存在著防火墻端口不夠用的情況，且對于采用低性能的防火墻于網絡將造成很大的網絡通信瓶頸，為此我們決定使用六端口的千兆型防火墻來解決這個問題。從上圖可以看到，由于是暴露在DMZ區，所以MAIL服務器在應用層安全問題是沒有保證的（垃圾郵件、郵件病毒隨時都可以通過防火墻傳入MAIL服務器）；目前內網的拓撲是采用對外全封閉但對內全開放的格局而工作的，換言之對于內網的攻擊是完全沒有免疫功能的。(2)客戶需求A需要有六個端口，支持VPN。B需要能監控員工的上網數據。例如，我為某位員工開80端口讓其能上網，他能正常瀏覽網頁，但不能下載某些特定格式的文件，如：*.mp3,*.rm。C能夠防止員工使用P2P軟件進行文件傳輸，能監控員工發送的E-MAIL。D因有MAIL服務器，防火墻能自動偵測到某個IP長時間連接MAIL服務器，而自動禁止此IP一段時間后自動恢復。時間及規則可由用戶在防火墻上設置的。（3）實施目標啟用防火墻的VPN功能通過PPTP對網絡進行VPN服務與管理；在防火墻處啟用URL過濾，禁止員工訪問（下載）*.mp3、*.rm文件；通過相關的包過濾規則防止員工在內網使用特定的工具進行文件傳輸；配置過濾網關的郵件處理規則對客戶端進行相應的管理，達到優化MAIL服務的效果。第五章產品綜述(1）安氏LinkTrustTMCyberWall防火墻安氏領信防火墻是亞洲最大的信息安全實驗室“IS-OneSecurityLab”成功推出的最新一代防火墻，產品迅速獲得國家認證，被中國人民銀行評選為金融系統指定防火墻產品之一，并且在第21屆世界大學生運動會，上海APEC會議上大顯身手。領信防火墻的設計理念從“頂尖技術+人性化”出發，充分考慮防火墻的五大要素：功能、性能、管理能力、易用性和配置，體貼用戶的真正安全需求。領信防火墻采用專門設計的安全操作系統LTOS和專用搭載平臺，提供高度可靠性和可用性。利用安氏安全實驗室申請專利LinkTrustPolling技術，提升防火墻的吞吐速度，達到內核級安全代理機制，是國內唯一在線速狀態下工作的最新一代防火墻。安氏安全實驗室采用多種先進數據加密算法，最大限度提高VPN吞吐量。領信防火墻具有業界唯一的端口流量鏡像功能，實現與世界最先進入侵檢測系統互動；并為用戶提供友好Web管理界面、命令行管理界面和LCD界面。領信防火墻的特色包括：狀態檢測包過濾技術；多種服務的內核級安全代理；全面的網絡地址翻譯（NAT）；IPsecVPN和撥號VPN；高可靠性（HA）；支持流量管理；內容安全過濾；多種用戶認證方案；完整日志、審計，告警和統計模塊；抗DOS攻擊能力（支持SYNProxy）；內嵌入侵檢測能力；支持多個ISP接入的負載均衡解決方案；支持詭異木馬的抵御；對ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與IDS協作。SmartProtector的主要功能為：基于協議分析和攻擊特征分析技術，檢測并阻斷防火墻無法防止的攻擊，與防火墻互動修改相應的防火墻規則，同時通過控制臺報警。SmartProtector可以檢測包括：拒絕服務、端口掃描、WebIIS、WebApache、DNS、ftp、snmp在內的兩百多種攻擊。每個攻擊特征都符合CVE標準，并且支持在線升級。用戶還可以自定義檢測策略模板，緊密結合特有安全的領信操作系統LTOS，擁有超負載保護能力。用戶還可以隨時從安氏站點（）下載最新的攻擊特征。關于SmartProtector的推出，安氏公司產品市場總監應向榮強調：“SmartProtector的產生基于兩個層面考慮，融合安氏在入侵檢測（IDS）技術的多年雄厚積累，為LinkTrustTMCyberWall提供增強功能模塊。增加SmartProtector功能的領信防火墻為特定需求用戶群提供了業界領先的一站式安全防御系統，特別適合企業上網工程，行業網絡廣域連接防護等等應用。但流探測器SmartProtector不能取代專門的入侵檢測系統，它以不犧牲防火墻和VPN的性能為前提，檢測并響應“嚴重的”攻擊手法，配合防火墻以及專門的IDS系統，為企業提供更加強大的防護體系。用戶在購買LinkTrustTMCyberWall時可以選擇是否增加SmartProtector功能”。“現在安全問題變得越來越復雜，攻擊手法層出不窮，而且更新很快，這要求安全管理員作出防范反應越來越迅速，在防火墻上增加入侵檢測模塊，就是為了增強響應時間，特別是在解決類似“紅色代碼”，“尼姆達”這類突發性極大的將網絡蠕蟲、計算機病毒、木馬程序合為一體的攻擊手法時，將發揮相當大的作用”。安氏公司防火墻產品經理張強進一步解釋，“當SmartProtector檢測到攻擊時，可以阻斷并且傳遞給領信防火墻，修改防火墻的安全規則，同時領信防火墻阻斷已經建立的攻擊連接。通過一個基于WEB的友好、簡潔明了的用戶界面，安全管理員不僅可以配置該SmartProtector的攻擊特征模板，還可以通過提供的鏈接，了解到更多關于攻擊的資料以及如何配置相應的系統設備來防御攻擊”。每個檢測到的攻擊，將會通過日志告警與郵件告警方式通知管理員，同時為SmartProtector定制了專門的審計日志數據結構包含：攻擊時間、源地址、目的地址、源端口、目的端口、攻擊名稱。(2）eTrust入侵檢測系統解決方案－網絡入侵檢測(eTrustIntrusionDetection)網絡入侵檢測(eTrustIntrusionDetection)解決方案通過自動檢測網絡數據流中潛在入侵、攻擊和濫用方式，提供了先進的網絡保護功能。例如，網絡入侵檢測(eTrustIntrusionDetection)軟件可以檢測到"拒絕服務"型攻擊，并且在服務器及業務受到影響前按照預先定義的策略采取相應的行動。網絡入侵檢測(eTrustIntrusionDetection)軟件還可以大大減少管理和保障網絡安全所需的培訓時間。通過以上措施，網絡入侵檢測(eTrustIntrusionDetection)軟件可以幫助用戶深入了解整體安全性以及網絡內部的運行情況(例如，它可以給出違反策略的數量及其來源的詳細統計報表。)網絡訪問控制網絡入侵檢測(eTrustIntrusionDetection)軟件以規則為基礎，定義哪些用戶可以訪問網絡上的特定資源，保證只有授權用戶才可以訪問網絡資源。高級防病毒引擎病毒掃描引擎可以檢測和阻止包含了計算機病毒的網絡數據流。它可以防止用戶下載被病毒感染的文件。新的和升級的病毒特征文件可以從冠群金辰站點獲得。全面的攻擊方式庫網絡入侵檢測(eTrustIntrusionDetection)軟件可以自動檢測網絡數據流中的攻擊方式，即使正在進行之中的攻擊也能檢測。定期更新的攻擊特征文件可以從冠群金辰站點獲得，從而保證了網絡入侵檢測(eTrustIntrusionDetection)總是最新。信息包嗅探技術網絡入侵檢測(eTrustIntrusionDetection)軟件以秘密方式運行，使攻擊者無法感知到。黑客常常在沒有察覺的情況下被抓獲，因為他們不知道他們一直受到密切監視。URL限制管理員可以指定禁止用戶訪問的URL，防止毫無效率的網上沖浪。字匹配掃描利用網絡入侵檢測(eTrustIntrusionDetection)軟件，管理員可以定義表明可能會違反策略的字符模式。這種方式防止了未經授權就通過E-mail或web發送敏感數據等情況的發生。網絡使用日志網絡入侵檢測(eTrustIntrusionDetection)軟件使網絡管理員可以跟蹤最終用戶，應用程序等對網絡的使用情況。它可以幫助改進網絡策略的規劃，并提供精確的網絡控制。保護企業網絡通過在企業內多處位置部署網絡入侵檢測(eTrustIntrusionDetection)解決方案，用戶可以利用其強大的功能來保護整個企業網絡。這包括從一個遠程或中央位置的穩定控制臺監視和響應企業范圍內的事件。網絡入侵檢測(eTrustIntrusionDetection)軟件還包含一個中央事件數據庫、附加報表以及一個分布式的內容查看器。入侵檢測網絡入侵檢測(eTrustIntrusionDetection)軟件可以提供網絡范圍內可靠的、分布式實時網絡保護。這是通過允許每一個網絡入侵檢測(eTrustIntrusionDetection)實例全面發揮其功能并單獨運行實現的，避免了對網絡可用性或響應時間的依賴。集中監視網絡管理員可以在本地或遠程集中監控運行網絡入侵檢測(eTrustIntrusionDetection)軟件的一臺或多臺工作站。通過在不同網段(本地或遠程)上安裝由中央工作站控制的網絡入侵檢測(eTrustIntrusionDetection)代理，管理員可以根據收集的綜合信息查看警告并生成報表。遠程管理遠程用戶可以通過TCP/IP或調制解調器連接訪問運行網絡入侵檢測(eTrustIntrusionDetection)軟件的工作站。一旦連接成功，用戶就可以按照網絡入侵檢測(eTrustIntrusionDetection)軟件管理員定義的許可內容，查看和監視網絡入侵檢測(eTrustIntrusionDetection)數據、修改規則和生成報告。入侵日志及分析網絡入侵檢測(eTrustIntrusionDetection)軟件提供了一個綜合系統來捕捉信息并進行分析。軟件安裝完畢并指定一個存檔位置后，用戶定義一個可以在檔案文件中記錄任務數據的規則。用戶可以使用瀏覽器過濾、排序和查看歸檔信息并創建詳細報表。網絡入侵檢測(eTrustIntrusionDetection)代表了最新一代企業網絡保護技術，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應性及易用性等。它提供給企業一個易于部署的網絡保護方案，可以在不會導致任何失敗的情況下加以實施。支持環境服務器/PC網絡Windows95/98WindowsNT/2000TCP/IP網（3）KSG郵件過濾網關赤霄過濾網關（KILLShieldGateway）是冠群金辰公司新一代網絡過濾專用設備，能夠同時在網絡層、傳輸層、應用層對病毒、蠕蟲、垃圾郵件、非法內容分別進行過濾。在網絡層，KILLShieldGateway實現基于IP地址、端口號等網絡層特征的過濾；在傳輸層，實現基于HTTP、SMTP等協議特征的過濾，有效識別和攔截蠕蟲攻擊；在應用層，對多種常用協議（SMTP、POP3、HTTP、FTP等）進行深度分析并還原出原始數據，進行病毒檢查、蠕蟲檢查、垃圾郵件檢查和內容檢查。三管齊下，KILLShieldGateway可對用戶網絡實現立體式的全面保護，有效保護用戶的網絡免受侵害，確保用戶內部網絡的信息安全。KILLShieldGateway做為先進的新型網關過濾設備，除了具有一般網關過濾設備的功能外，它的突出特點是可以實現蠕蟲過濾（過濾靜態蠕蟲擴散、阻斷蠕蟲動態攻擊）。KILLShieldGateway獨有的抗蠕蟲攻擊技術（Anti-Worm）能夠全方位抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、DoS/DDoS等動態入侵攻擊行為。KILLShieldGateway采用冠群金辰備受贊譽的反病毒引擎，該掃描引擎經ICSA（國際計算機安全協會）認證可“100%查殺流行病毒”，并獲得全球18家重要測評機構的認證，使用安全可靠，是KILLShieldGateway強大反病毒功能的基礎。KILLShieldGateway做為獨立的硬件產品，其過濾與具體的郵件、代理系統無關，其工作不需更改用戶原有系統的任何配置。KILLShieldGateway在企業網絡的邊緣，而不是在用戶的郵件和代理服務器上，進行過濾工作，確保了原有系統的穩定性，并在效率方面遠遠高于在服務器本機上安裝過濾軟件的方式。而且即使用戶更換了新的代理和郵件服務器，也無需改變KILLShieldGateway，保護了用戶的已有投資。KILLShieldGateway通過Web頁面進行系統配置，管理界面友好，易于配置，而且使用簡便，一旦配置完成，可自動完成病毒查殺、特征碼下載、日志記錄、報表生成等工作，大大減輕了網絡安全管理員的負擔，是一款技術極為先進的網關過濾產品。KILLShieldGateway的工作原理根據KILLShieldGateway接入方式的不同，其過濾的工作原理也不同。KILLShieldGateway主要使用透明（Bridge模式）接入用戶網絡。用戶基本不需要修改其它網絡設備的配置。此外，赤霄過濾網關也支持非透明（Router模式）的接入。這種情況下，主要用于對用戶的郵件系統進行病毒過濾。下面分別介紹其工作原理。透明模式接入采用透明模式時，無須改變用戶網絡環境中的所有網絡設備（包括主機、路由器等）和所有計算機的配置(包括IP地址和網關)，只須將KILLShieldGateway串聯到需重點保護的網絡中，例如，要保護郵件服務器，可將KILLSheildGateway連在用戶郵件服務器之前；要保護內部網的主機，可把KSG部署在主交換機和路由器（防火墻）之間，從而大大增強網絡的安全性。下面舉例說明根據用戶的典型網絡情況部署KILLShieldGateway。如圖所示。一般企業網絡通過防火墻，劃分為內部網絡和DMZ區，連接到Internet。其中DMZ區中為重要的服務器，如FTP服務器，Web服務器，郵件服務器等。為確保內部網絡和DMZ區的安全，建議如上圖所示部署過濾網關。這樣，對內部網絡，KSG可以攔截內部主機從Internet下載的有害數據，同時也能攔截內部主機發向Internet的攻擊數據。對DMZ區，主要作用是攔截從外部發向服務器的攻擊數據，確保了公司重要服務器的安全。從用戶的角度看，使用KILLShieldGateway無需更改任何配置，因而對用戶來說是完全透明的，易于管理，同時保證了信息系統的安全。非透明模式接入由于非透明模式的實施相比透明模式來說較為復雜，所以一般建議用戶采用透明模式。但是在有些情況下，也可能采用非透明模式。下面根據KILLShieldGateway的三大功能模塊：SMTP過濾、代理過濾和POP3過濾，分別講述采用非透明模式接入到網絡中時，每個模塊的工作原理，由此了解該如何將產品連接到網絡中。SMTP郵件過濾模塊工作原理KILLShieldGateway的SMTP過濾主要是利用郵件路由協議的特點進行工作。出于容錯和擴展方面的考慮，簡單郵件傳輸協議(SMTP)在設計時引入了郵件路由的思想，郵件總是首先試圖傳遞給優先級值相對較高的MX郵件服務器，失敗后才試圖傳遞給優先級值稍大的MX郵件服務器；同時郵件總是在同一優先級的MX郵件服務器都嘗試失敗后，才試圖傳遞給優先級稍低的MX郵件服務器。因此一封具有一個收件人地址的Email可以有多個MX郵件服務器目標，每臺MX郵件服務器可以設置成不同的優先級，高優先級的郵件服務器將先進行處理，如果高優先級的郵件服務器出現意外，郵件會自動發向第二優先服務器，依次直到最低優先級服務器。在使用中，KILLShieldGateway本身就是一個完整的MTA（郵件傳輸單元），我們賦予它最高的優先級，這樣所有的郵件將先發到KILLShieldGateway，進行過濾處理后，再由它通過SMTP協議傳給MX郵件服務器。KILLShieldGateway在網絡中與原郵件服務器的關系如下圖：注：郵件服務器的優先級在DNS服務器中設置。對于發出去的郵件，可以在DNS中修改RELAY服務器(即發件服務器)的IP指向，或者用戶直接修改自己所用的郵件客戶端軟件的RELAY服務器以指向KILLShieldGateway

就可以了。代理過濾模塊工作原理KILLSheildGateway的代理模塊相當于一個代理服務器(ProxyServer)。一般情況下，當用戶的本地機與因特網連接時，通過本地機的客戶程序如IE瀏覽器發出請求，遠端的服務器在接到請求之后響應請求并提供相應的服務。使用代理服務器后，它處在客戶機和服務器之間，對于遠程服務器而言，它是客戶機，可向服務器提出各種服務申請；對于客戶機而言，它則是服務器，它接受客戶機提出的申請并提供相應的服務。也就是說，客戶機訪問因特網時所發出的請求不再直接發送到遠程服務器，而是被送到了代理服務器上，代理服務器再向遠程的服務器提出相應的申請，接收遠程服務器提供的數據并保存在自己的硬盤上，然后用這些數據對客戶機提供相應的服務。要確保網絡內部用戶下載的內容的安全，只要確保它們的代理下載內容的安全就可以了。KILLShieldGateway代理模塊典型應用的邏輯示意圖如下：HTTP/FTPClientsKShield代理模塊HTTP/FTPClientsKShield代理模塊系統原有ProxyInternetKILLShieldGateway代理模塊的過濾就是利用前面講到的原理，KILLShieldGateway的主機本身就是一個代理服務器，首先將接收的遠程服務器的數據保存在自己的硬盤上，在傳送給客戶端前先進行病毒掃描。如果不含病毒，則傳送，否則根據用戶設定的規則進行攔截或清除病毒，并通知客戶端。在上面的典型配置中，用戶網絡中本來就有代理服務器，這時只須修改該代理服務器的缺省上一級代理設置，使之指向KILLShieldGateway即可，無須修改用戶原有的用戶認證等其他代理服務器配置，也無須修改客戶端瀏覽器的配置。對于原有系統中沒有代理服務器的用戶環境，可以使用以下結構：HTTP/FTPClientsKShield代理模塊HTTP/FTPClientsKShield代理模塊Internet在這種使用方式下，為中小型網絡用戶提供了一個功能完整，性能優良的防病毒代理系統。這種方式同樣具有很好的伸縮性和擴展性。綜上所述，要達到如上所示的過濾效果，主要有三種配置方式：如系統原有代理服務器時，可配置該代理服務器的代理為KILLShieldGateway，這樣一方面可達到過濾效果，一方面客戶端不需對原有配置做任何更改。如系統中沒有代理服務器，可配置瀏覽客戶端，使用KILLShieldGateway這個代理。如網絡中使用了防火墻，可使用防火墻的重定向功能，將80（HTTP），21(FTP)端口的請求直接重定向到KILLShieldGateway,從而實現透明代理功能，客戶端不需配置任何代理服務器。POP3過濾模塊工作原理KILLShieldGateway可以作為一個POP3代理，進行POP3流量的過濾。很多用戶的郵件客戶端除接收自己單位域的郵件外，還接收一些公共郵箱的郵件，這些郵件如果不進行過濾，也將帶來安全隱患。使用KILLShieldGateway的POP3過濾功能，郵件客戶端可通過KILLShieldGateway連接Internet上的POP3服務器收取email，同時可確保接收郵件的安全性。KILLShieldGateway的POP3過濾模塊的工作原理如下圖所示：啟用POP3過濾前，一般用戶接收郵件的過程為：POP3clientPOP3clientPOP3服務器啟用POP3過濾后，郵件客戶端接收郵件的過程為：POP3clientPOP3clientKSGPOP3過濾模塊POP3服務器郵件客戶端向KILLShieldGateway發出POP3請求，KILLShieldGateway根據其提供的信息，向實際的POP3服務器發出請求接收郵件后，客戶端直接從KILLShieldGateway接收郵件。要使用POP3過濾功能，郵件客戶端需作相應更改，假設過濾網關名為，則郵件客戶端需做的更改示例如下：收件服務器帳戶名啟用POP3過濾前username啟用POP3過濾后username@即，在郵件客戶端將POP3服務器改為指向KILLShieldGateway，但同時在賬號后面加入@原pop3郵件服務器名，告知KILLShieldGateway去哪個服務器接收郵件。總結：采用非透明模式將KILLShieldGateway連接到網絡中時，它相當于一個邏輯過濾網關。因此，必須采用指向的方式確保SMTP，POP3，HTTP，FTP流量經過KILLShieldGateway。采用透明模式時，由于KILLShieldGateway就是串聯在網絡當中，受保護網絡的所有數據均經過它，為物理網關，故配置要簡單的多。KILLShieldGateway的功能特點友好的系統管理界面對郵件系統的管理采用B/S方式，供HTTPS、SSH等方式的安全管理。用戶可使用瀏覽器本地或遠程修改KILLShieldGateway系統配置及過濾策略，用戶界面友好，操作簡單。接入方式簡單易行KILLShieldGateway的配置非常簡單，支持透明和非透明兩種接入方式。采用非透明模式時，對郵件系統，只需修改DNS配置，對代理服務器，只需指定其上一級代理為KILLShieldGateway，即可進行過濾工作。采用透明模式時，用戶不需要修改任何網絡結構，安裝工作更加簡單。此外，由于其工作與使用的郵件和代理服務器具體類型無關，即使用戶更換了新的郵件和代理服務器，也無需修改KILLShieldGateway，從而保護用戶的已有投資。蠕蟲過濾嚴格來講，蠕蟲與病毒是有區別的，它比病毒的危害性更大。蠕蟲可以利用電子郵件、文件傳輸等方式擴散，也可以利用系統漏洞進行主動攻擊。由于蠕蟲能夠從網絡上發起動態攻擊，因而防范難度非常大。近幾年爆發流行的一些主要破壞事件，如尼姆達（Nimda）、紅色代碼（CodeRed）、蠕蟲王（Slammer）、沖擊波（Blaster）等，都屬于蠕蟲攻擊，這些事件普遍導致了大面積的網絡癱瘓。赤霄過濾網關獨有的抗蠕蟲動態攻擊技術屬國內首創，能夠全面抵御目前危害最大的蠕蟲威脅。在網絡層和傳輸層阻擋蠕蟲利用系統漏洞發起的動態攻擊，在應用層過濾通過正常協議（SMTP、POP3、HTTP、FTP等）傳輸的靜態蠕蟲代碼。病毒過濾全面實現對普通病毒（如CIH）、郵件病毒（如求職信、美麗殺手、Mydoom）、木馬活動、惡意網頁代碼的過濾。赤霄過濾網關具有卓越的病毒查殺能力，能夠對多種常用協議（SMTP、POP3、HTTP、FTP等）傳輸的數據進行病毒過濾。其反病毒引擎獲得了ICSA（國際計算機安全協會）的認證，能夠100%地檢測出目前“流行病毒名單”上的病毒。該引擎還憑借其卓越的病毒查殺能力19次榮獲“VirusBulletin”（病毒公告牌）授予的“VB100%”獎，這一成就超過其它任何一個反病毒廠商。垃圾郵件過濾赤霄過濾網關采用多種技術過濾垃圾郵件，實現對垃圾郵件的綜合防范。可通過自帶的垃圾郵件列表庫過濾當前絕大多數廣告、宣傳性質的郵件。支持實時黑名單（RBL）技術的過濾。采用貝葉斯技術進行智能過濾。支持靈活的過濾策略—依據IP地址過濾；依據郵件地址過濾；基于HELO標志過濾；限制郵件的大小；限制同一郵件的發件數量；對附件文件類型和文件名過濾；根據郵件主題、發件人、收件人、正文及附件關鍵字進行過濾；對郵件頭、郵件體進行關鍵字過濾；支持域名過濾；自動禁止郵件服務的Openrelay功能；智能識別垃圾文本等。內容過濾赤霄過濾網關采用SBPH/BCR（SparseBinaryPolynomialHashing/BayesianChainRule）這一稀疏多項哈希/貝葉斯鏈技術進行內容檢查，具有高度準確的內容識別能力（精度高于99%）。支持對關鍵字（正則表達式）、附件文件類型、URL等方式的過濾。高性能赤霄過濾網關構建在高性能的服務器硬件平臺上，采用高效過濾算法，具有極高的處理能力。支持百兆和千兆網絡環境。實時過濾及報警赤霄過濾網關實時過濾蠕蟲、病毒、垃圾郵件、非法內容，阻止它們進入到用戶的網絡，并可根據系統安全管理策略記錄日志并發出報警，幫助管理員及時了解安全事件，掌握安全狀態。靈活的過濾策略根據不同的過濾對象和安全目的，赤霄過濾網關可以定義靈活的過濾策略，并且對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保證將安全的數據傳送給用戶。特征碼自動升級安全是動態的，赤霄過濾網關通過不斷地更新過濾特征碼來保持與攻擊數據特征的同步，包括病毒特征碼和入侵特征碼。根據管理員定義的更新頻率與策略，通過HTTP或FTP協議自動更新特征碼，確保始終使用最新的特征碼進行檢查，以免受各種新病毒、蠕蟲的侵害。雙機容錯赤霄過濾網關支持STP（SpanningTreeProtocol），啟用STP后，當網絡中使用了兩臺赤霄過濾網關時，如果主機出了問題，備機會接管網絡連接并進行過濾，滿足高可靠性的網絡對健壯性的要求。帶寬保護赤霄過濾網關可以實現對網絡帶寬的保護。用戶可以根據實際網絡帶寬配置定義過濾處理的并發數以及占用帶寬的限制，以此調整和優化網絡性能。資源自適應控制發生郵件風暴或大量HTTP并發鏈接時，赤霄過濾網關會檢測系統資源的消耗情況。當達到處理極限后，進行緩沖處理，避免資源超載造成網絡中斷的現象。同時，系統借助對協議的深度分析設置閥值，當發生諸如SYNFlooding類型的攻擊達到閥值后，赤霄過濾網關將拒絕接收，這一技術可過濾絕大多數的服務拒絕攻擊。完整的日志記錄，豐富的報表赤霄過濾網關可提供詳盡、完整的過濾日志報告，還可提供根據這些數據生成圖形化統計報表并支持數據挖掘，形象直觀，幫助管理員查看，調整相應的過濾策略。支持SMTP認證為防止垃圾郵件泛濫等濫用郵件系統的行為，許多郵件系統在接受用戶的發信請求前，要求對用戶的身份作認證，即SMTP認證。如果原有郵件服務器進行SMTP認證，在引入了KILLShieldGateway之后，該認證過程將由KILLShieldGateway來進行。它將認證過程的數據流重定向給原郵件服務器，并根據認證的結果來決定是否接收用戶的發信請求。如果用戶的RELAY郵件服務器不支持SMTP認證，可以使用KILLShieldGateway的SMTP認證擴展模塊，將SMTP認證協議轉變為對POP3用戶的認證協議，進行發信認證。可檢查偽裝郵件KILLShieldGateway可檢查發件人偽裝，即提供的發件認證信息正確，但發件人郵件地址和提供的認證信息不相符合的情況。KILLShieldGateway通過將郵件地址和SMTP認證用戶進行綁定來識別偽裝郵件，從而確保郵件信息系統不被濫用和誤用。代理系統的訪問控制KILLShieldGateway不僅可以對HTTP流量進行過濾，還可進行訪問控制，設置可以使用代理系統的客戶端網段，使用它可以訪問的服務器，或者客戶端需經過驗證后才可以使用代理系統，確保只有允許的用戶或客戶端才可以使用該代理系統。第六章實施方案（1）優化方案安全優化方案①：說明：將原例圖交換機②外帶的三個網段加入交換機①，通過劃分VLAN的方式連接，這樣既也節省硬件資源（交換機②），也便于入侵檢測系統的集中管理。這里需要將交換機①的某個端口設置監聽狀態，并使用該端口聯入侵檢測系統。使用KSG郵件過濾系統放在ISP提供商的線路上，使用這種配置手法的優點是：能同時過濾內網（核心交換機①）與DMZ區的通信數據，起到全面保護的作用；缺點：暴露在網閘（企業型防火墻）的前端，存在被攻擊的危險。防火墻采用安氏中國的防火墻高端產品LinkTrustCyberWall-200SP/006。安全優化方案②：說明：方案②在核心交換機與入侵檢測系統的排布上與方案①相同，只是在KSG郵件過濾系統的拓撲位置上將其原本的拓撲位置放進DMZ區、MAIL服務器的前端，優點：能保證KSG郵件過濾能保障處于DMZ區的MAIL服務器能正常運作；缺點：不能保證內網的數據內容安全。防火墻同樣是使用安氏的LinkTrustCyberWall-200SP/006。（2）設備安裝IS-ONEFW防火墻具有“防火墻（Firewall）+非軍事區（DMZ）+網絡地址轉換（NAT）+帶寬管理+代理服務器（Proxy）+雙機熱備+簡單入侵檢測+用戶認證”的功能；必須考慮DMZ區的應用所涉及的安裝接法，建議對DMZ區進行應用，將數據服務器、WEB服務器聯接到此區中；配合企業的需要，在郵件過濾網關與入侵檢測系統加載適合管理者需要的、符合安全基準的安全策略。（3）規則配置在此必須考慮的規則有，內網、外網、DMZ區的應用情況，代理及帶寬的使用情況進行配置。（4）網絡安全管理員培訓A介紹網絡安全管理知識，常見的攻擊與防護；B培訓墻火防的安裝、規則配置等；C培訓入侵檢測及報表審核；D培訓郵件過濾網關的規則配置；E培訓安全評估的應用。（5）網絡安全審核對防火墻、入侵檢測系統、郵件過濾系統的各種規則設置結果進行審核確保系統當前的安全性。第七章產品類別、報價與售后服務（1）產品類別安氏CyberWall200SP/006專為具有復雜網絡結構及嚴密安全需求的大中型企業用戶而設計，配備6個10/100M自感應端口，采用先進的安全域（SecurityZone）概念結構，提供了復雜網絡多子網之間的安全控制方案，防火墻上的每個物理網口可以掛接任意多個邏輯子網，通過劃分安全級別域和設置訪問控制規則來實現各端口、子網、安全域之間的數據包轉發，高度集成了防火墻、ASICVPN（僅用于200SP/006型號）、入侵檢測、帶寬管理、防拒絕服務網關、多媒體通信安全、認證授權、內容安全控制、ADSL/ISDN接入安全、高可用性配置能力等眾多安全角色，提供高度安全、可信和健壯的安全解決方案。另外，200SP/006自身還集成了ASICVPN處理器SecurityProcessor200，它支持處理所有的與安全相關的協議包括IPSec,I