本期导读
·热点关注:NetEye全国巡展实况追踪
·技术创新缔造客户安全--VPN篇
·NetEye安全聚焦:为何VPN网关需要集成防火墙功能
·服务新观念:体验动态安全

交流中心
NEWS!!
 

* NetEye防火墙在人总行选型入围
* 经国家公安部的严格检测,IDS2.0获得销售许可证书
* 经国税总局测试,NetEye4120,4032防火墙获"推荐使用产品"
* NetEye推出防火墙3.1版全部型号的SP1补丁包NEWS!!
返回目录

NetEye全国巡展实况追踪

NetEye网络安全巡展活动历时十余天,历经八大城市,圆满结束。参与的行业客户及代理商近千人,在各地引起了行业的高度关注。

通过巡展此次,各地各行业客户和代理商进一步解了东软新发布的NetEye系列网络安全新产品,众多代理商还对东软2002年网络安全渠道新政策及全新的东软服务体系与东软人员进行了深入交流。

而且,通过全国大范围的宣传NetEye IDS 2.0新产品,标志着东软正在由一个安全产品提供商向一个全面的网络安全解决方案供应商的角色转变。同时,东软还借助此次机会,向业界全面介绍了东软日趋健全成熟的网络安全服务体系,并启动东软服务质量年。more

SJW20网络密码机-构造您的安全通信平台

NetEye新推出的VPN产品-SJW20网络密码机,以安全、可靠、易用、实用的特色,为国内用户提供了高效、经济的VPN解决方案。究竟它是如何做到这一点的呢?

·首先剖析一下其独特的系统结构

主要组成部件包括:密钥管理中心,VPN网关,灵巧网关,VPN移动客户端。
-密钥管理中心负责颁发、更新、删除、系统内VPN设备使用的密钥IC卡和密钥匙文件。
-VPN网关集成强大的防火墙功能,保护内部网络及资源的安全。
-灵巧网关定位于小型分支机构一级,考虑到分支机构往往没有配置专职的安全管理人员,安全策略固化为允许对外访问而禁止外部对内的访问。同时保留了建立安全隧道和数据加密等VPN核心功能,支持ADSL、ISDN、拨号接入等多种接入方式。当分支机构网络规模较小,只需实现与总部的网络互联而无需对外提供服务时,选择灵巧网关,可以大大降低整体VPN方案的成本。
-移动客户端集成个人防火墙功能,移动用户连入因特网后,保护用户电脑免受网络攻击。

·
然后分析一下其系统功能特色

-VPN网关集成了防火墙功能,与单独的VPN产品相比,具有更高的性价比、更强的安全性、更好的可管理性、更佳的可扩展性。
-支持IPSec NAT穿越,可用与ADSL,ISDN电话拨号等多种接入。
-自动链路恢复功能,监控并解决网络潜藏的故障点。
-单键VPN配置技术,根据问题原因自动完成重新拨号、隧道重建等操作。
-支持RADIUS认证协议,可以集成第三方的认证产品,如SECUREID。
-"One-Click"技术,简化操作员的管理。
-自动建立加密隧道,并监控隧道状态。
-按照配置文件自动拨号连入因特网(灵巧网关)。
-支持PPPoE协议(灵巧网关)。
-VPN移动客户端,集成个人防火墙功能。

通过以上的对其结构,实现功能的分析,我们可以发现,SJW20实际上设计的目的就是为用户提供安全、可靠、易用、实用的VPN解决方案。可广泛的应用在证券、保险、银行、工商、地税、财政、企业集团等大型用户。
返回目录


为何VPN网关需要集成防火墙功能

越来越多的商业机构考虑使用VPN技术,由于他们大多数己经购买了防火墙产品,在选择VPN 产品时出于保护原有投资的考虑,往往倾向于选择独立的VPN产品,节省投资。殊不知这样会给网络和信息系统的安全带来极大的安全隐患,而且会在日后的管理、系统扩展、性能上造成一系列问题。

·各种部署方式

VPN与防火墙分立的布署方式基本上有四种形式:防火墙在VPN网关之前、防火墙在VPN网关之后、防火墙与VPN网关并列、VPN网关放在防火墙的DMZ区或内网。

单独的VPN网关的主要功能是IPSec数据包的处理和身份认证,没有很强的访问控制功能(状态包过滤、应用级过滤、防DoS攻击等等)。在分立的防火墙和VPN布署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。

-系统安全的脆弱性

以上的任何一种布署方式,通过VPN网关的数据流量都无法保证应用级或者内容的安全性,无法进行恶意代码、病毒过扫描与拦截,因为防火墙对于IPSec引擎处理后的加密数据包无法进行任何操作。

第一种部署方式,VPN布署在防火墙之后,这样VPN网关本身可以受到防火墙的严密保护,但防火墙必须让协议为50、51的IP数据包(IPSec数据包)及500端口(也可能是其它端口)的UDP数据包(IKE协商数据包)透明通过,而不能做任何检查。由于VPN功能的局限性,VPN网关对用户进行身份认证后,难以对不同用户对内网资源的访问做进一步的控制,如果通过VPN接入内网的人员众多,这种功能上的局限性会严重影响到内部网络的安全。假如入侵者直接以访问控制功能最弱的VPN网关为目标,一旦突破VPN网关,防火墙就会形同虚设,严重影响网络和IT运营系统的安全。

第二种布署方式的问题在于,由于VPN网关直接连到因特网上,VPN网关必须工作在路由模式,使用外部的IP地址,当遭到来自外部的攻击时,VPN网关的防护功能极为脆弱,自身往往不具有防DoS攻击的功能,极有可能导致网络瘫痪。更为严重的是,由于访问控制功能薄弱,VPN网关很容易被入侵而导致VPN上的安全策略失效,从而所有机密的通信将处于极为危险的境地。

第三种布署方式的安全弱点与第二种方式类似,即VPN网关也很容易被入侵,存在信息泄密的危险。而且如果VPN网关还连接到内部网络,那么黑客可以绕过防护更为严密的防火墙,转由VPN网关来突破网络的保护屏障。

第四种方式,是由防火墙将IPSec数据包转发给防火墙保护下VPN网关,VPN网关完成处理后,将处理后的数据包发送回防火墙,这样基本可以保证VPN网关免受网络攻击,但由此带来的复杂性使得这种方案难于实施。第一,这种方式下,客户必须采用同一厂商的产品,而实质是将本来可以一体化的VPN模块做成一个独立的设备,投资成本大大增加。第二,IPSec数据包要经过防火墙和VPN网关两次处理,处理的效率会大大降低,极有可能成为系统的瓶颈。第三,由于防火墙与VPN网关之间无法共享用户的认证状态,必须对用户身份进行重复认证,不仅导致性能下降,而且带来维护用户鉴别数据库一致性的问题。第四,对于内网与外网之间同一个VPN连接,防火墙必须同时维护四个连接(外-防火墙、防火墙-VPN、VPN-防火墙、防火墙-内),使得防火墙内核设计与实现的复杂性和难度大大增加,并造成性能的大幅下降。同样防火墙与VPN 网关之间的路由设置也会更复杂,极易导致疏忽或配置上的安全漏洞,致使网络不通或留下难以发觉的安全策略的错误配置。

-管理上的复杂性

以上任何一种布署方式,管理员都必须同时熟悉、配置和管理两套系统,包括管理界面、日志审计系统、鉴别数据库等等。安全规则和鉴别数据库的更新必须保持一致,这是保证系统安全策略被正确实施的前提。然而,保证这种一致性正是网络管理员最头疼的问题之一,给管理员的工作带来巨大压力。如果两者一旦出现不一致的情况,就意味着系统面临着被外部入侵的风险。

-影响网络性能,无法实施带宽管理

这四种方式,每一个IPSec数据包都要经过防火墙和VPN网关的两次处理,大大增加了网络的延迟,降低了整体的网络性能。由于防火墙与VPN网关相互制约,带宽管理也难于实施。

-不具有可扩展性

当用户的接入带宽或业务数据量大幅增长时,一般通过集群方案提高性能,这样可以很好地保护原有投资。然而,在防火墙与VPN网关是分立设备的情况下,集群方案的配置、管理、并保证鉴别数据库与安全策略的一致性几乎是一个不可能达到的目标。随着用户业务的飞速发展,布置独立的防火墙和VPN设备最终会导致难以接受的低性能,或者是原有投资的大量浪费。more
返回目录

体验动态安全

以前,安全项目大量资金都投入在集成方面,只有一小部分投入在培训和安全服务上面。客户觉得购买相对有形的网络安全产品比购买“虚相”的安全服务可以少担些风险。

网络安全服务难以量化,却又不容忽视。网络安全问题不是仅仅依靠一个或几个安全产品就能够解决的,它还包括根据用户的网络结构和安全状况发现系统的安全隐患,详细地理解和评估用户的安全需求,制定完整的安全方案和策略,全面地修补系统的安全隐患;并选择合理的安全体系和恰当的安全产品,正确地配置和实施安全设备,分别针对系统管理员及普通用户进行安全培训、培养全面的安全意识和系统的安全知识,安全系统及时的威胁通告和漏洞修补,以及面对攻击的实时响应等。

客户所要求的一个完善的安全服务通常应该包括:网络漏洞扫描和安全审计、网络安全评估、网络安全咨询服务、网络安全策略制定、网络系统安全加固、网络安全产品的配置和应用、网络安全培训、网络安全通告、网络安全紧急响应。

目前越来越多的客户开始认识到服务的重要性,渴望获得从系统需求分析到产品和服务的专业化整体解决方案,以构筑一个基于互联网之上疏而不漏的安全网络体系。有的客户甚至专门招安全服务的标,企业系统风险评估这块单独拿出来,还有的单纯要求进行安全培训。

NetEye团队,基于自己种类丰富、功能强大的安全产品,运用灵活的网络安全策略,为用户全力打造智能高效的网络安全增值服务体系。追求网络应用"防"与"护"的有机统一,即将静态的安全产品与动态的管理相结合,实现智能高效的网络安全管理体系:
·"防"是通过运用防火墙等安全设备、合理配置安全策略来提高系统整体的安全级别,它倚重于对安全技术的深入研究和对各种主流安全产品的熟练掌握;

·"护"则更多地注重及时性和紧急性,一般指实时的安全监控和一系列紧急响应处理流程。

网络安全服务的实施与消费是同时发生的,存在过程管理问题,需要有项目管理体系的配合。项目管理的核心要素是TQC(时间、质量、成本)和Scope/People(项目范围和人力资源)原则。目前市场上主要有两个层次的安全服务,一种是单纯提供安全服务;一种是提供基于产品的服务,是由厂商来做,目前各个厂商都做,但是要把基于产品的服务做好,不是靠3-2个人的服务队伍就能完成的。

东软在全国有32个分支机构,12个研发中心,具有出色的系统集成、网络安全/网管技术,强大的安全维护服务力量和卓有成效的安全管理制度,强大的跨平台开发力量和优秀的开发人员,强大的后勤保障和快速反应机制。并拥有自己特色的二层客户服务体系,产品服务中心在北京设立NETEYE技术支持中心,技术支持中心的工程师为二线工程师,由资深的网络安全工程师和网络安全咨询顾问对大区服务工程师提供技术咨询和支持。产品服务中心在全国设大区现场服务部,大区现场服务部对大区所辖区的防火墙用户提供技术支持。各大区现场服务工程师由大区服务经理管理和调度,各大区现场服务部由产品服务中心服务管理部管理和考核。

NetEye将以先进的安全服务理念、贴心的安全服务技术和专业的安全服务团队为依托,在动态变化的网络世界里,给客户以全面持久的安全保证。

返回目录

NetEye安全月刊推出后,受到了各界朋友的支持,应广大用户的要求,以后NetEye 安全月刊将推出"客户之声" 栏目,希望大家通过这个平台交流neteye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。

如果你在网络安全知识方面有自己的见解、看法;或者对我们的NetEye产品有兴趣;或者你对NetEye安全月刊的改进意见;以及订退本刊;企盼来信给以指正、探讨。欲希望了解更多的网络安全知识,请登录我们的网站
http://neteye.neusoft.com