本期导读
·热点关注:NetEye Firewall 3.2版本即将推出
·NetEye IDS 访谈:答U&F关于NetEye问
·NetEye安全聚焦:NetEye VPN产品线
·NetEye论坛:NetEye系列防火墙并发连接数软件限制的解释

交流中心
查阅过往期刊
 

* NetEye防火墙在CCID与中国电子信息产业发展研究院联合举办的“2002年中国IT服务满意度调查”评选活动中,获“防火墙最佳服务承诺兑现奖”
* NetEye资料:如何根据时间控制网络下载
* NetEye电力行业解决方案在中国计算机报社主办的优秀解决方案评选中,成功的被评为电力领域优秀典范奖
* NetEye银行网络安全解决方案被《计算机世界》之《安全产品导购》专刊推荐为成功案例
返回目录

NetEye Firewall 3.2版本即将推出

很高兴告诉NetEye Firewall用户及积极支持NetEye的朋友们,经过我们研发、测试人员辛勤工作,NetEye Firewall 3.2版本将在2002年第三季度推出,3.2版本在原来流过滤构架基础上,进一步满足了用户实际的安全需求,并为用户最大可能的提供一种合理、方便的安全保障。

即将推出的3.2版本主要增加了以下新功能:实现了与防病毒系统的互联,使得通过防火墙的邮件可以自动的进行杀毒;实现了NetEye firewall与NetEye IDS之间的联动,用户可以利用这个特性建立动态的安全防御体系;实现了对最新的SNMPv3的支持,从而可以更安全的支持网管系统;还有,对很多使用NAT的用户来说很重要的一点,3.2版中,NAT模块能够自动的转换DNS信息,这样防火墙的用户都可以透明的用域名访问内部服务器,而不再需要配置双DNS服务器了,在很大程度上降低了网络系统的配置难度和成本。

感兴趣的用户及朋友敬请留意NetEye安全网站信息,并欢迎来信咨询详细情况!



CCID发布《防火墙产品技术研究报告》东软NetEye再次折桂

2002年8月22日,中国电子信息产业发展研究院、中国计算机用户协会在CCID大厦举办了“2002年中国信息安全产业发展高峰论坛《防火墙产品技术研究报告》发布会”。以便进一步加强信息安全企业与政府、行业间的高效沟通与合作,促进信息安全产业的规范发展。

此次高层研讨会聚集了信息安全各主管部门领导、技术产品提供商、重点行业用户及知名专家学者约300余位,会议介绍了信息安全技术发展的最新动态,重点行业的应用需求和当前国内信息安全产业的现状与发展趋势。

会议发布了CCID的《防火墙产品技术研究报告》,是CCID经过长期努力取得重大成果,意义深远,为用户在购买防火墙过程中的重要参考及指南。报告中显示东软的NetEye防火墙以综合实力指标第一的显著优势在众多实力强大防火墙厂商中脱颖而出,同时取得优异成绩的还有联想和安适等安全厂商。

NetEye将更加努力在各个方面提升水平,最大的满足客户需求。

答U&F关于NetEye问(续上)

U&F:相较与市场上的其他IDS产品,NetEye IDS 有什么自己突出的特色?

NetEye SSC:首先最新技术上,NetEye IDS 实现了完整的数据重组,恢复技术。把网络连接作为数据流分析,而不是一个个孤立的数据报。完全处理数据分片和乱序的问(不仅能够发现网络上的碎片,并且能确定碎片包含的内容,重组碎片,价格合理。其他多数IDS产品都不能较好的处理碎片问题,既便是能处理,价格又非常昂贵)。

其次在传统技术方面,NetEye IDS采用基于统计,异常识别及模式匹配识别入侵,拥有入侵事件及入侵模式数据库,可以匹配1000多种网络入侵和攻击行为。系统漏洞、系统后门、CGI漏洞、系统扫描、缓冲区溢出攻击等各种危害系统的入侵和攻击都可轻易识别。并可很容易的升级(目前大多数IDS产品规则集比较有限,而NetEye IDS每隔一段时间就会进行规则库的升级,保证用户的网络安全)。

而且由于地区优势,NetEye IDS 基于WINDOWS系统提供了完全的中文图形化管理工具,使一切信息查看、管理和配置都变得极其方便,简单易学。全部攻击与入侵事件的描述都使用中文,清楚明了。提高网络管理员工作效率。

最重要的是,策划NetEye IDS产品时,我们认为“IDS不应仅仅是单纯的网络安全软件,同时它应该能够监控网络的运行、使用状况,即它应该是一个综合、完整的网络管理工具”。因此NetEye IDS 可以监控网络各层的信息,全面分析网络运行情况,智能判断攻击和异常事件,同时对网络中的应用进行完整的恢复和记录,并且提供强大的辅助工具帮助管理员对网络进行分析和管理。

U&F:NetEye IDS 系统结构如何?如何评价这种结构?

NetEye SSC:
目前市场上的IDS产品主要有两种结构,一种基于主机,一种基于网络。二者各有特色:基于主机的IDS准确度较高,但缺点是不同的系统需要不同的引擎,随系统的升级需要升级引擎,安装,维护不便,同时无法发现网络上的攻击事件;基于网络的IDS安装调试简单,不需在系统上安装任何软件,需要的引擎数少,可最早发现网络上的攻击,隐蔽性也更好。缺点是准确度较低,同时随着网络流量的增大,处理峰值流量的难度加大。

目前国内用户的需求主要是基于网络的IDS。NetEye IDS是基于网络的硬件产品。以“满足客户的需求”为目标,基于主机的IDS也在开发研究之中。


U&F:NetEye IDS如何处理误报率与检测速度问题?

NetEye SSC:关于误报率问题,首先NetEye IDS能够在理解网络协议的基础上对网络数据进行重组,完全处理数据报分片和乱序,它以数据流为分析对象而不是单个的数据包,从而能联系协议的上下文,增强了协议的相关性。
其次,其检测规则不仅包括数据的协议、端口,还包括协议的正文和上下文信息及事件发生的网络位置信息,因此能制定精确的规则,进行综合的判断。
再次,用户可以选择规则是否加载和加载的各种选项,便于灵活的制定规则集,最大限度的符合用户网络的实际情况。
第四,利用多种统计,模式识别,字符匹配,协议分析等多种方法进行分析,而不是单独依赖某一种方法的分析结果。
第五,我们在NetEye IDS中实现了应用协议的内容恢复功能,能恢复和重放网络上发生的应用进行。即不但检测攻击事件,还重现攻击的过程。因此不但可发现已知攻击,还可以发现未知攻击。
而且NetEye IDS不但可发现外部攻击,还可以发现内部用户的恶意行为。利用内容恢复,管理员可以准确了解攻击是否发生,有效的减少了误报。

有关检测速度问题,在NetEye IDS 我们实现了在操作系统内核级别进行数据的重组,并对收取数据的驱动进行大量的优化,减少了系统内核到用户空间的数据拷贝,从而极大程度的提高了系统的性能。其次,采用软硬一体的系统结构,选取高性能的专用硬件,并通过大量测试,保证了硬件性能的最优化。而且,我们选择专用的数据库进行高效的索引,极大的提高了存储效率。

U&F:如何选择一个理想的IDS?用户应作哪些准备工作?

NetEye SSC:选择IDS产品时,建议用户主要考虑一下下列几个方面:攻击检测的规则库的大小及准确程度;是否有内容恢复功能;是否有完整网络审计、网络事件记录功能及全面的网络信息收集功能;性能;是否集成网络分析和管理的辅助工具,如:扫描器,嗅探器等;是否自带数据库,不需第三方数据源,数据是否可自动维护;管理维护是否足够便捷;互操作性如何,是否可和防火墙联动;自身安全性、隐蔽性;可升级性。

在购买IDS之前,用户还需弄清楚以下几个关键问题:了解当前自己网络的拓扑;目前使用的交换机是否支持监听及支持的程度;主要想保护的资源,主要防范外网黑客攻击还是内网恶意用户。

把您的问题提出来,NetEye将及时、详细的予以回复,欢迎来信
返回目录

NetEye VPN产品线

为了更好的适应客户具体环境需求,NetEye VPN产品已经发展成为全系列、多层次防护的安全产品,主要产品为:

1、 NetEye VPN中心网关(大网关):是东软主推的NetEye Firewall中,包含VPN模块的产品。集成了强大的防火墙功能,即可以与分支机构建立高强度的加密通信隧道,又可以保护内网中主机和应用的安全。

该产品是硬件形态,主要功能是完成主要节点的VPN接入,具有高处理能力和高安全防护能力。

产品型号称为:响应防火墙型号后加‘V’字母,如NetEye Firewall 4032V 、NetEye Firewall 4120V等等。

需要注意的是,大网关目前只有以太网的网络接口。

2、 NetEye VPN灵巧网关 :具有边界防火墙功能,可以与总部网关建立加密隧道,操作简便,提供了经济的VPN布署选件,能够提供一种小型边界防火墙网关,使其能够完成现有NetEye防火墙的基本功能,同时提供简单易用的配置可以很方便的让防火墙启动起来。可扩充VPN功能,与NetEye3.1VPN中心网关进行加密的数据传输。

产品定位在一般的小型网络、分支机构企业和办事处,能够方便的和总部或者ISP联系起来。 经济实用,灵活部署,配置简单,该产品是硬件形态,不但比传统的防火墙价格定位要低,而且支持ADSL、ISDN、MODEM、DDN、网卡等多种接入方式,可以作为小型企业或者分支机构的防火墙直接来使用,也可以配合NetEye3.1VPN中心网关进行逻辑上点对点的数据传输。

产品型号称为:NetEye Firewall SG。

3、NetEye VPN移动客户端 :可使移动用户安全可以方便地连入总部或分支机构,及方便安全地进行远程移动办公,提升机构或企业的运营效率。

该产品是软件形态,可以安装到需要与用户关键部件进行安全互联的PC、笔记本电脑中。

VPN产品线之间的互联互通关系如下图:

这一系列产品是东软主推的NetEye VPN产品线,其中,中心网关集成了强大的防火墙功能,既可以与分支机构建立高强度的加密通信隧道,又可以保护内网中主机和应用的安全,灵巧网关的特色是集成了各种接入设备接口,移动客户端可以安装在PC 和笔记本上,便于出差人员使用时进行安全接入。

它们相互之间的互联性和互通性如下所示:

·中心网关可以与中心网关互联;
·中心网关可以与灵巧网关互联;
·中心网关可以与移动客户端互联;
·灵巧网关可以与中心网关互联;
·灵巧网关不支持与灵巧网关和移动客户端互联;
·移动客户端可以与中心网关互联;
·移动客户端不支持与灵巧网关和移动客户端互联。

返回目录

NetEye系列防火墙并发连接数软件限制的解释

并发连接数是衡量防火墙产品对终端客户支持数目的一个重要技术指标,现在市面上主流防火墙产品的此参数从一开始的512、1024并发连接一路飙升到现在的数万甚至数十万之巨。但是,并发连接数并不是决定一台防火墙产品性能的决定性因素,也就是说并不是并发连接数越大就意味着该防火墙性能越佳,但由于一些厂商有意无意间的炒作误导却造成了业界对并发连接数的此类常见误解。那么究竟多大的并发连接数更为合适呢?防火墙并发连接数的大小应当取决于对用户实际网络环境和真正应用需求以及设备实际承载能力的综合考虑并从中找到一个平衡点。

根据对用户实际网络的长期调查的统计数据,我们了解到:一个客户在访问网络时可能会在瞬间达到数十条并发连接的峰值,但从统计角度上来看,每个客户拥有10.3 条并发连接就已经可以完全满足需要了(具体请参见《防火墙的最大并发连接数》)。过少的并发连接数势必会影响客户访问请求连接的建立;而过大的并发连接数同样会不可避免的影响系统的整体性能--如对系统内存空间的占用浪费以及对并发连接表漫长的搜索时间等。

NetEye防火墙产品在进行系统设计时已经充分考虑到了以上提到的各种因素,在系统平台、硬件环境各项指标均保留了大幅度富余空间的同时,采用了软件License对NetEye防火墙所支持的并发连接数进行了主动控制,既保障了产品的整体性能,又可以充分满足客户的实际需要,而且在此基础上结合系统软硬件配置实现了产品线的高中低档位的细化。

近来客户和市场都已经出现了新的需求变化:由于某些原因的存在,一部分客户对并发连接数提出更高的要求。在此形势下,NetEye良好的系统结构设计表现出极大的可扩展性和灵活性。由于从一开始的硬件设计就预留了大幅度的升级空间,加之NetEye系统平台采用了License作为并发连接表限制因素,因此,市面上所有已销售的NetEye系列防火墙产品都可以通过简单升级相应License并可实现自身并发连接表的大幅度提高,从而满足部分客户的特殊需求。

升级前后的指标变化见下表。具体升级费用请与当地销售经理联系。

*表格 1 NetEye防火墙通过升级License提供系统并发连接数

所适用设备型号
升级前并发链接数
升级前并发链接数
3032~7032
32,000
64,000~120,000
3120~7120
120,000
200,000~500,000
3200~7200
200,000
500,000~无限制

返回目录

NetEye安全月刊是NetEye安全网站推出地网络安全刊物,希望大家通过这个平台交流neteye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.

如果您有对NetEye安全月刊的改进意见;以及订阅退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。

欲希望了解更多的网络安全知识,请登录我们的网站
http://neteye.neusoft.com