从东软高层传出的信号

　　今年以来外界发现，在东软春季的战略发布会和秋天的桂林解决方案论坛上，东软高层频频高调谈安全。迹象表明，网络安全在东软的地位逐步升格，开始发力和加速。

　　这其中有着什么样的战略蕴含？东软软件股份公司总裁王勇峰给出了明确回答：“东软网络安全的力度加大和战略调整，是在一个有计划、有节奏的情况下进行的，不是一个突发性的举动。在网络安全发展的前期，东软做了很多的工作，整体上说是在积蓄能量，包括产品研发和市场销售方面，可以认为是初步试水。有舆论称安全在前几年已是高峰了，一些厂商发现情况并不像预想的那样好，持续的投入渐渐减弱了。但我们认为今后发展的机会更大，随着网络安全快速成长和发展期的到来，东软对网络安全投入的力度开始加大。”

　　从东软发展的策略来说这是一个连续性和持续性的过程。为什么这么说呢？第一，安全产业自身有一个从小到大、从盲目到理性的过程；第二，从整个IT和软件的大背景来考虑，虽然国内安全市场这些年每年保持百分之二十几的增长速度，但五年前的形势和安全的需求与现在相比还是有相当的距离，信息化建设从无到有，从小到大，渐趋成熟，对安全方面的需求越来越多；第三，东软做了很多的行业应用系统，从行业应用的角度来看，现在对安全的要求也越来越多。正是基于这个判断，东软在今年确实是加大了安全的投入和发展力度。

　　从具体的操作层面看，东软的举措确实不虚此言。首先是投入资源，加强领导，把原来公司事业部的一员大将贾彦生调到安全一线，从财务、人力资源、经营和整个平台的建设等方面投入很大的力度向这个业务单元倾斜。从资源整合的角度来说得到了加强，把服务队伍跟销售队伍很好地整合在一起，把研发和生产很好地整合在一起。在人员方面，持续的研发投入是东软坚持的一贯策略，研发队伍现在已近三百人，每年以百分之三十到五十的速度增长，这使东软专业积累地内涵越来越丰富；在销售队伍方面到年底将达到百分之百的增长，明年还要继续增加百分之五十。除人员和资源上的大规模投入以外，还有一点就是更加强化东软的国际联盟和合作伙伴的策略，比如和诺基亚的合作，东软将从全球的视野去看待产业的发展，这将使东软的产品具有更高的品质。此外还会在技术的融合和互动等方面，做一些探索。

　　王勇峰指出，东软最近正在做明年的规划，除上面所说的工作以外，东软内部进一步发挥在区域和行业上的优势将，加强内部的合作，把安全技术更好地、更深层次跟应用结合在一起。东软把它称为是“基于安全的应用支撑技术”。

　　从这些调整来看，目前所表现出来的效果应该说与东软的预期是比较匹配的。但现在它更多地还是基于内涵性的变化，外在的效果还不很明显，真正的效果还需要一个过程。

　　王勇峰评价说，东软安全的研发和销售两部分总体上协调得还不错。东软正在考虑下一步建立一个针对软件产品，尤其是针对安全产品的公司级的策略委员会，从更高的层面去审视研发和市场的配合或者融合。

　　把安全作为东软的眼珠子

　　东软高层从刘积仁老师起就一直高度重视安全，王勇峰总裁还一度亲自兼认过东软网络安全产品营销中心总经理。王勇峰强调，从策略上讲，东软做安全是一个非常正确的选择。这是因为，安全在很多方面所表现出来的是一个产品的形态，产品形态的东西对做软件的公司很有吸引力，从这个角度考虑东软选择了安全的方向。从目前达到的态势来看，我们觉得还是不错的……

　　　…详细内容请访问NetEye网站：东软股份总裁王勇峰畅谈东软安全产业发展

　　众所周知，硬件防火墙是网络中进行安全防护的必备设备，通过防火墙的安全检测，能够有效的将网络中常见的DDos攻击阻断或者削弱。但防火墙同时是一把双刃剑，由于防火墙是串行联入网络中，在进行安全防护的同时，也有可能成为网络性能的瓶颈点。如果防火墙的稳定性差，将会造成全网带宽资源的大幅波动，所以，如今很多用户在进行防火墙采购前，都要对防火墙进行性能测试，以验证防火墙产品的性能。然而，在产品测试过程中，很多用户存在一个误区――过分注重小包的性能，而忽略了防火墙自身的抗攻击能力。用户过份注重小包的性能，甚至于超过了对防火墙稳定性的重视。殊不知，防火墙自身的稳定性才是实际应用中最为关键因素。对于防火墙来说，小包吞吐能力再高，如果自身抗攻击能力差，也是无法对网络进行稳定可靠的安全防护的。

　　有的读者会问，上文提到的小包是指什么呢？在这里，我们简单介绍一下。在测评单位进行性能测试的过程中，通常会采用64字节、128字节、256字节、512字节、1024字节、1280字节、1518字节这几种不同大小的数据包来测试防火墙系统的性能，其中将64字节的包看作为最小的数据包即常说的小包。小包的吞吐量高，并不能代表防火墙产品抗攻击能力强。业内人士都知道，小包线速和大包线速对防火墙系统的性能造成影响是不同的。由于I/O读取等硬件原因，防火墙对小包的处理将会更加耗费系统资源。举例来说，在一个千兆网络环境中，如果小包达到了1000Mbps线速，那么防火墙有可能无法正常响应其它请求；而如果换作网络中的大包达到1000Mbps线速，防火墙肯定是可以正常工作的。事实上，互联网中的数据包是以混合形式存在的，各种正常的应用，绝大多数是以中包、大包的形式在网络中传输的，小包仅仅占用很小一部分带宽资源。我们在某个互联网出口处用Ehtereal工具抓包，结果如下图所示：

　　从抓包结果看，互联网出口的绝大多数包都是1200字节以上的大包，小包数量很少很少。但是，黑客作DDos攻击会利用小包来进行以达到快速耗费防火墙系统资源的目的，通常，我们可以利用防火墙所提供的阀值来限制，但使用这种方法阻抗网络攻击的能力有限，因为阀值只能限制数据包的数量，却不能限制数据包的大小。而且利用阀值限制的方法，防火墙还必须要处理瞬间到达的Flooding攻击流量，一旦这种小包的流量达到自身处理的极限值，防火墙将不得不耗尽自身所有的资源，从而无法对正常请求进行响应。说到这里，在整机吞吐能力有限的前提下，对小包DDos攻击的抵御能力差，似乎成为防火墙的一个致命弱点，我们希望能够通过某种方法弥补防火墙的不足，从而提高自身的稳定性。那通过什么方法可以保证防火墙能够从容面对小包DDos攻击呢？我们认为最好的方法是在防火墙硬件芯片中对小包吞吐量进行限制。通过芯片级的限制，可以避免防火墙因为处理大量小包而导致自身性能耗尽的后果。另外，通过对小包吞吐量的限制，也避免了由于防火墙系统性能达到极限所带来的不稳定隐患。

　　　…详细内容请访问NetEye网站：保护网络 首先要自身安全

• 一次难忘的SNIFFER PRO解决酒店网络故障案例

　　我不知道该怎么用语言来描述SNIFFER这个软件强大功能的美妙，那我们还是老规矩从一次难忘的经历中开始本章节的介绍，前年我到成都出差住在公司旁边的马瑞卡商务酒店里，这家酒店的房间宽敞干净，最重要的是每个房间都提供了免费的宽带接口可以直接上网冲浪。我入住的那天很晚，进入房间后发现不能上网DHCP总是无法获取到自己的IP地址，由于实在很晚了我不忍心麻烦酒店的服务人员。第二天下午回来，我用电脑接入网络后发现还是无法获取IP地址上网，这次我很及时的请了酒店的IT维护人员来到我的房间帮我处理这个问题，一个年轻的小伙子一会来到我的房间，很显然他也无法成功的完成配置，通过交谈我知道酒店其实从昨天开始就一直有用户在不停的投诉他们的网络服务不可用了，突然我想到了或许我笔记本里的SNIFFER可以帮帮我，我马上启动了它，结果不出几秒钟我的SNIFFER就显示出了下面的界面。

　　通过显示截面我们可以很快发现，原来一个内部IP地址正在疯狂的向外部发包，我推断整个网络采用的是一个HUB方式的共享连接，很显然这个HUB已经被一个恶意的攻击者给完全搞瘫痪了，全部的精力都在帮它在转发这些垃圾数据。

　　利用自动分析统计的功能，我们很快找到了原始IP地址，然后再继续分析发现原来垃圾数据采用的是ICMP方式的发包，很明显这是一个蠕虫病毒的“杰作”，“找到这台IP地址的主机拔掉它的网线就可以了”我回过头告诉那个年轻的IT管理员……

• 利用SNIFFER来分析一次拒绝服务攻击事件

　　下面这个真实的案例是在一次东软安全培训课程中，有个参加培训的学员提供给我了他所遭受前后两次真实拒绝服务攻击的SNIFFER抓包记录。

　　第一次攻击数据包全部都是UDP结构的数据包，从分析来看攻击者构造的数据包结构都是统一的，应该是攻击软件自动发送的……

• 利用SNIFFER来分析一次网络广播风暴

　　继续为读者介绍另外一个案例，来自东软在用户现场实施一个安全服务的项目。一天早上用户反映网络速度突然大幅度减慢，全部厂区网络到INTERNET的速度基本陷入了瘫痪状态，用户用了一些交换设备的命令没有在网络设备上发现明显异常状况，于是我用SNIFFER接入到网络核心交换设备6509上进行抓包分析。在1秒多的时间中一共抓到了60383个IP包，经过进一步分析，我发现几乎所有的数据包都是来自两个MAC地址的，由于发送的目标MAC地址不在局域网中所以造成了网络设备的网络风暴……

　　　…详细内容请访问NetEye网站：利用SNIFFER演绎TCP/IP的美妙

发布日期：2007年12月 东软NetEye攻防小组 整理

摘要

2007年12月11日，微软发布12月份安全公告，包括7个漏洞公告，描述并修复了11个安全问题，其中4个属于“紧急”风险级别，攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (4)

　　　…详细内容请访问NetEye网站：2007年12月安全漏洞汇编

　　12月7日（北京）－中国领先的软件和解决方案提供商东软软件股份有限公司和移动通信的全球领先者诺基亚携手举办东软-诺基亚“吹响2008集结号”媒体沟通会，东软软件股份有限公司副总裁兼网络安全产品营销中心总经理贾彦生、诺基亚（中国）投资有限公司企业解决方案事业部中国区总经理刘强共同出席了此次会议。

　　会上，双方领导对合作进行了阶段性总结。从2005年东软-诺基亚联合产品在中国市场落地生根，到2007年茁壮成长，再到根深叶茂，通过不断的努力，双方网络安全产品线不仅得到有效延展，同时应用潜力也得以充分挖掘。无论从时间还是合作领域，双方均达到了前所未有的高度，未来也会有更多的应用、技术、产品补充进来。对于未来的发展，双方均表示，东软-诺基亚仍将整合更多的优势力量，全面进军国内市场，并适时扩大在亚太市场的份额。

　　2007年岁末东软-诺基亚双方再次集结，蓄势待发，即将吹响新年冲锋的号角。