|
本期导读 |
* 7月18日,NetEye在湖北襄樊召开用户大会,答谢广大用户对NetEye的支持。
* NetEye资料:如何控制网络下载
* 2002年客户满意度调查显示,客户非常满意、信任、支持NetEye产品。
* 进军国际,NetEye英文网站即将开通。
7月12日,作为辽宁省历史上规模最大、最高层次的网络安全会议---辽宁信息网络安全高峰论坛在辽宁大厦隆重召开,东软作为本此会议的钻石赞助商参会并进行了相关的主题演讲。
在举办此次会议之前,辽宁省公安厅举办了"防火墙攻防有奖活动",NETEYE防火墙在此次活动中,成功的抵抗住了来自Internet的40多万次的攻击,并荣获辽宁省公安厅颁发的荣誉证书。如右图 NetEye President曹斌博士表示"东软经过不懈的努力,在过去的两年中创造了国内网络安全产品的发展奇迹。NetEye防火墙等系列产品在技术和服务上的不断进步和完善,必然会在满足客户需求的同时,进一步巩固东软安全产品的竞争优势。我们相信,不断融入创新技术的产品和优质的服务始终是对我们客户的信息安全最为可靠的保障!"详细资料 |
 |
||
许多NetEye产品用户(user)及一直关心、支持NetEye的朋友,来就NetEye新推出的NetEye IDS 2.0,提出了许多疑问。在此,我们选择其中较为普遍被关心的为问题刊登,以便其他也由此疑问的朋友能够了解。由于篇幅所限,其他将在下期刊出。其中U&F指NetEye用户及朋友;NetEye SSC指NetEye高级安全顾问。
U&F:网络为何需要使用IDS系统,IDS究竟能发挥什么样的作用?
NetEye SSC(Senior Security Consultant):目前日益严重的网络信息安全问题主要是因为黑客的攻击,企业网络管理的欠缺,网络天性的缺陷,应用软件的漏洞或"后门",以及网络内部用户的误操作、资源滥用和恶意行为。IDS(入侵检测技术)能主动保护自己免受来自网络的多种攻击。主要表现为:
-识别黑客常用入侵与攻击手段
通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。一般来说,黑客在进行入侵的第一步探测、收集网络及系统信息时,就会被IDS捕获。
-监控网络异常通信
对网络中不正常的通信连接做出反应,保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。
-鉴别对系统漏洞及后门的利用
IDS带有系统漏洞及后门的详细信息,通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络通信中针对系统漏洞进行的非法行为。
-完善网络安全管理
提供监测、统计分析、报表功能,帮助完善网络管理。
U&F:NetEye IDS主要实现的功能有那些,达到了何种水平?
NetEye SSC:实现的主要功能包括:
-多种通信协议内容恢复功能
完全恢复常用的应用协议如HTTP、 FTP、SMTP、POP3、TELNET等的数据连接的内容,并能够完全记录通信的过程与内容,并将其回放。还允许可自定义协议,便于扩充。可用于监控内部网络中的用户是否滥用网络资源,了解攻击者的攻击过程,发现未知的攻击。
-监测各种网络攻击与入侵
智能的数据流重组,完全处理分片和乱序数据包。利用统计与模式匹配,异常分析、检测1000多种攻击与入侵行为。系统提供默认策略,用户也可以自己定制策略。使用数据库存储攻击和入侵信息以便随时检索,并提供详细的攻击与入侵资料,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。管理员可根据这些资料加强系统安全,并追究攻击者责任。
-报表功能
提供灵活方便、图文并茂的报表功能,便于管理员检索及保存信息。
-实时监控网络当前连接情况
实时监控网络当前连接,显示网络用户信息,随时断开可疑连接,利用网络嗅探器对网络中的数据流进行分析、解码,查找网络问题,便于用户发现网络异常,定位网络故障,最大限度地保证网络安全。
-历史连接查看
利用历史连接查看器,察看网络中发生的所有连接事件,提供及其完整的网络审计日志。
-提供网络端口扫描器,主动扫描网络,发现问题。
-提供图形界面配置工具,简化管理员的操作,提高工作效率,能够从本地或远程管理IDS探测主机,所有通讯都经过加密处理,保证管理安全可靠。(待续)
把您的问题提出来,NetEye将及时、详细的予以回复,欢迎来信!
引题: 查阅各个防火墙厂商的产品单,不难发现针对其各个产品型号,都提出了最大并发连接数作为其产品的重要宣传性能。那么,针对某个确定的用户而言,是不是大体价格配置类似的产品型号,其最大连接并发数越大越好呢?一个正常的用户需使用多少并发连接?一般的硬件平台能够承受多少的并发连接?防火墙多少并发连接才比较合理?
一、认识并发连接数
(最大)并发连接数指的是防火墙或代理服务器对业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映的是防火墙设备对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。
二、有关并发连接表
并发连接表是防火墙用以存放并发连接信息的地方,其大小就是防火墙所能支持的最大并发连接数。一般的状态包过滤型防火墙的并发连接表的每一个表项都要至少包含:源IP地址,源端口号,目的IP地址,目的端口号,协议类型,连接状态,流量统计和时间戳信息,NAT转换信息,连接许可信息,身份认证信息,VPN通道相关信息(如果支持VPN的话)…… 每个表项可能占用20-400字节的内存空间,这对防火墙系统的整个内存资源来说是一个不容忽视的消耗。
大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支持更多的客户终端;但是过大的并发连接表会带来负面影响:过大的并发连接表会造成大量内存空间的消耗和浪费;在相同的数据结构和检索方式情况下,大的并发连接表会增大防火墙系统对表项的搜索时间,增加防火墙对报文处理的转发延迟;不考虑网络客观情况而盲目增大系统并发连接表,会造成表空间闲置及内存资源的大量浪费;由于并发连接表对内存的占用,会造成防火墙系统本身得不到足够的内存资源。尽管虚拟内存可以解决内存的紧张问题,但是虚拟内存依赖于硬盘与内存页之间的数据映射切换,在读写速度上难以与物理真实内存相提并论。
三、防火墙并发连接数所受的限制
-并发连接数的增大意味着对系统内存资源的消耗
-并发连接数的增大应当充分考虑CPU的处理能力
-并发连接数应与物理链路的实际承载能力相匹配
四、实际应用产生的并发连接峰值
不同规模的网络会产生不同大小的并发连接;用户习惯于何种网络服务以及如何使用,同样也会产生不同的并发连接。不能简单的以一个协议或应用产生的最大并发连接数来断言它对防火墙并发连接表的占用率。这是因为并发连接表的占用率决定于两个因素:其一是产生的并发连接表项,其二是该并发连接表项在表中维持存在的时间,即该连接存活的时间。
五、实际应用对并发连接表的占用率计算
公式一:
应用程序对并发连接表的占用率 = ∮t2 t1n(t)*(t-t1) (公式一);
其中,n是在某个时间段[t1,t2]内该应用程序产生的并发连接数目实时统计数目,它是t的函数;t是位于此时间段[t1,t2]内的一个时间点。可简化为:
应用程序对并发连接表的占用率 = 并发连接数 * 连接维持时间 (公式二);
连接维持时间会被防火墙按照不同的协议(TCP、UDP、IP)而进行不同的计算。虽然网络客户端程序(如IE浏览器、OUTLOOK)可能会在用户PC窗口桌面上长时间运行,但是其所产生的连接却只存活很短的时间根据不同的链路状况和服务器的响应时间IE所产生的http连接维持时间大约在0~10秒钟之间。过长的连接维持时间通常意味着服务器响应延迟或传输延迟太大,往往会令用户难以忍受从而放弃此次连接请求。
每个用户所需要的比较合理、科学的并发连接数大约维持在10.5个。(详细请下载文档,见下面"详细资料"连接)
六、寻求投资和实际需求之间的平衡点
并发连接数牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。高并发连接数的防火墙设备通常需要客户更多的设备投资。如何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点呢?
按照并发连接数来衡量方案的合理性是一个值得推荐的办法。以每个用户需要10.5个并发连接来计算,一个中小型企业网络(1,000个信息点以下,容纳4个C类地址空间)大概需要10.5
* 1000 = 10500个并发连接,因此支持20,000~30,000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(比如信息点数在1,000~10,000之间)大概会需要10.5
* 10000 = 105000个并发连接,所以支持100,000~120,000最大并发连接的防火墙就可以满足企业的实际需要;而对于大型电信运营商和ISP来说,电信级的千兆防火墙(支持120,000~200,000个并发连接)则是恰当的选择。
为此NetEye防火墙,特别实施通过软件控制并发连接数,按照客户实际网络环境,为其量身合适的并发连接数。
人们总是避免说自己,即使必须谈起自己时,也总是小心翼翼,谦虚以至卑微恭敬,以免被指评为吹嘘。然而这种做法本身已经是“假”,岂不违背了“说自己本来是让别人了解自己”的初衷。为了答谢广大用户、朋友一直以来对NetEye的支持、信任,也出于诚心的结交更多的朋友,NetEye选择坦率和真实。
1996年,东软开始了网络安全的研究;1999年,完成NetEye防火墙研发,投向市场,NetEye团队成立。此时NetEye仅有一个防火墙产品;2000年,NetEye产品线丰富至NetEye防火墙、NetEye VPN、NetEye IDS、NetEye Universial CA以及NetEye Secure Express等在内的一系列网络安全产品,并迅速在包括军队、政府、公安、电信、金融、证券、社保及中小企业中得到了广泛的应用与充分认可。在2000年度及2001年度IDC的网络安全市场中国区市场调查报告及CCID顾问2002年度第一季度中国区网络安全市场的调查报告显示,与国内防火墙厂商相比东软NetEye的营业额均名列第一。同时NetEye还保持着每年都对网络安全产品至少一次的版本升级、更新的记录,随时跟进新技术的发展速度,识别最新的攻击手段,为用户提供及时、全面的保护。比如,去年我们在NetEye Firewall 3.0中,继当时先进的状态包检测技术(stateful -inspection packet filtering),研究并开发新的防火墙技术-流过滤技术(flow filtering),结合了状态包检测技术与应用代理技术优点,实现了技术上创新。我们还有一支遍布全国30多个中心城市、集雄厚的技术支持、销售、服务等实力为一体的庞大的专业化队伍-NetEye Support Team。
东软人都知道这样一句话“软件是一种态度”。这是一句非常实在的话,生活、工作……我们所做的每一件事(有意识的,无意识的)体现着我们所采取的态度。看看NetEye团队的每一个人,也许他们是博士,或者硕士,或者只是学士,或者他们具有极高的聪明才智,或者他们是天才、经验丰富的老手……然而这些都不是最值得去关心,注意的。令人体会最深的是“认真、努力”的态度,或者这已经能够诠释一切?!
NetEye安全月刊是NetEye安全网站推出地网络安全刊物,希望大家通过这个平台交流neteye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
声明:NetEye安全网站为私用非盈利网站,由于有些文章较长无法在期刊中全部刊出,而且NetEye网站提供了更详实、完整的数据资料可供下载。因此在本期刊中的许多连接,实希望能为您提供方便、全面的资料。
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com