互联网为企业带来便利和效率的同时，如果缺乏有效的管理措施，也会给企业带来意想不到的损失。调查显示：通常50%以上的网络流量与工作无关，不仅造成宝贵的互联网带宽的浪费，还可能导致更为严重的后果。根据调查结果，色情网站和求职网站的浏览80%发生在上班时间，这种违规行为如果没有得到有效控制，无疑会极大地降低员工工作效率，造成员工流失率的增加。更有甚者，一些消极的员工利用网络散布公司负面的消息与言论，通过电子邮件或聊天工具散播不健康甚至违法的信息，甚至泄漏企业内部的机密信息!

　　因此，上网行为管理己经日益成为企业信息安全管理以及风险控制不可缺少的一部分，企业需要制定严格的控制策略，以便员工能够合理有效地利用互联网资源，提高工作效率，规避法律风险，保障公司信息资产安全。

　　NetEye IPS为企业实现上网行为管理提供了有力武器。 NetEye IPS一大技术特色就在于它在具备强大的攻击防御功能的同时，又可以提供全面完备的上网行为管理功能。由于其采用的NEL平台具有强大的协议分析能力，因此它可以有效控制数十种流行网络娱乐应用，主要以网络游戏和流媒体为主，包括各种网络电视，如PPlive、QQ直播、沸点、UUsee等等。具体的控制策略可以由用户根据自己的业务需要自行定义。例如：为财务、销售、开发、技术等部门制定不同的规则策略，在市场部门开放QQ和浏览权限，但是在技术部门禁止使用QQ聊天，使得单位内不同用途的计算机根据不同的规则行事，避免出现公网私用的情况。另外，NetEye IPS提供根据时间段设置控制策略的功能，企业可以设置工作时间或非工作时间，根据时间段设置上网时间，或者限制游戏、网络电视等程序的执行，为企业实施更灵活更人性化的管理提供了技术上的保证。

　　员工在Web冲浪上浪费了太多时间也是企业头疼的问题之一。NetEye IPS可以记录用户访问Internet 的频度，包括访问淘宝等购物类网站、金融界等财经类网站、彩票信息类、球赛赛事类等网站的次数和时间，形成详细的报表，从而约束互联网滥用行为的发生。

　　在外发信息监控方面， NetEye IPS的内容恢复功能能够完整记录符合条件有内容的应用协议的会话过程与会话内容，并能将其回放。内容恢复可用于监控内部网络中的用户是否滥用网络资源，记录攻击者的攻击过程，发现未知的攻击等。可对HTTP、FTP、POP3、SMTP、TELNET、MSN、DNS、YAHOO Messager、Rlogin、Rsh十几种常见的应用协议进行恢复。从而确保企业的机密不会通过网络被泄露到外部。

　　一个员工进入到企业，就必须遵守企业所制定的员工行为准则。同时，为了确保这些行为准则得到严格的执行，企业也需要相应的技术手段保证行为准则得到落实。NetEye IPS为企业加强员工的上网行为管理提供了强大灵活的工具，是强化企业内部管理的好帮手。

　　众所周知，防火墙支持负载均衡的部署方式不仅可以增强网络冗余性，更可以提高网络资源的利用率。但通过防火墙实现负载均衡的同时，也会因为防火墙间频繁交互连接表信息、决策分流等动作导致耗费防火墙资源过多，使得防火墙性能降低。在实际的性能测试中，我们发现，启用防火墙负载均衡功能，通常会降低防火墙20％的性能，而这种损失的降低，完全可以通过合理配置交换机来规避。下面，介绍一种通过实际测试证明有效的负载均衡方法――通过STP实现防火墙间的负载均衡。

　　一、负载均衡配置方法

　　STP（Sspanning-Tree Protocol）即生成树协议，通过STP结合Trunk并利用STP端口权值进行合理的设置，可以实现防火墙间的流量负载均衡。如图1所示，FW_A和FW_B的内网口、外网口分别连接在两台交换机上的TRUNK口上。

图1

　　在此基础上我们进行如下的操作：

　　1、 为了识别trunk数据，两台防火墙需要把接口均设置为trunk模式，并通过设置，保证来自于交换机中相应VLAN的流量正常通过；

　　2、 在两台交换机上执行如下操作：

　　通过上述操作，我们实现了对交换机中不同VLAN流量的分流。

　　二、网络正常情况下的流量负载说明

　　通过上述的配置，我们实现了对防火墙间的负载均衡，数据流的走向如图2所示：

图2

　　图2中，来自于VLAN2的数据流①会始终根据端口权值，从FW_A传输数据流，而来自于VLAN3的数据流②会始终根据端口权值，从FW_B传输数据流。

　　在此期间，两台负载均衡的防火墙之间通过芯跳线来保持连接表的同步。

　　【注意】本例只是通过划分两个VLAN来进行说明，在实际环境中，可以划分多个VLAN，例如说，将VLAN1—VLAN5的数据流分流到FW_A而VLAN6—VLAN8的数据流分流到FW_B。

　　三、网络异常情况下的流量负载说明

　　网络中存在很多不稳定的因素，上述防火墙负载均衡的部署，一旦由于链路原因导致一条网络链路中断，会怎么样呢？回答是肯定的网络仍能保持畅通。如图3所示：

　　举例来说，当右边链路中断的时候，FW_B将收不到来自VLAN3的数据流②。VLAN3的数据流②会自动切换到端口权值低的Trunk接口上，通过FW_A传输到互联网上。此时，数据流①和数据流②都将通过左边的链路通信。

　　同时，由于两台防火墙连接表信息实时同步，所有TCP的连接将继续保持而不会因为切换而中断。

　　综上所述，通过防火墙与交换机的配合，可以很好的实现网络流量的负载均衡。当然，在我们进行配置之前，首先要了解用户网络中VLAN间的流量，根据具体流量进行配置，这样才能确保将网络流量均摊到两条链路中，真正实现网络流量的负载均衡。

发布日期：2007年11月 东软NetEye攻防小组 整理

摘要

2007年11月14日，微软发布11月份安全公告，包括2个漏洞公告，描述并修复了2个安全问题，其中1个属于“紧急”风险级别，攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (4)

　　　…详细内容请访问NetEye网站：2007年11月安全漏洞汇编

　　11月8日，“金土工程”一期建设展览会在福建省福州市隆重召开。会上主要总结了“金土工程”一期建设进展情况，交流各地建设成果和经验。东软作为“金土工程”一期项目承建单位出席了本次会议，并在展台上展示了在国土资源领域的安全解决方案及NetEye系列网络安全产品。

　　“金土工程”是面向保护资源、维护权益、支持发展、服务社会的国土资源信息化建设工程。在安全性成为至关重要问题的今天，“金土工程”的信息安全保障建设更是备受关注。由于在国土资源行业中的多年积累，东软十分熟悉用户的系统、网络架构，从而提供的网络安全解决方案也是更加贴近用户需求，东软已经成为金土用户最重要的合作伙伴之一。

　　据悉，在中国目前有众多国土资源领域的用户正在应用着东软NetEye系列网络安全产品，为保障国土资源监测、预警和应急及国土资源管理运行体系的稳定运行，东软NetEye将不断努力，在“金土工程”未来建设中提供更加优质的网络安全产品及信息安全保障服务。