| 本期导读 ·热点关注:东软NetEye IDS荣获技术创新奖 --赛迪评测发布2002年度IDS评测结果 ·新品推荐:NetEye灵巧网关 ·安全聚焦:NetEye Platform 专用TCP/IP协议栈的优越性 NetEye防火墙SP2说明及如何进行SP2升级 NetEye防火墙 3.2之双向DNS解析技术分析 ·安全论坛:如何建立有效的安全保护体系? --NetEye president曹斌博士解析网络安全 |
* 东软出席“中国网络安全系统入侵检测及漏洞扫描用户大会”,NetEye IDS 2.0获“2002年度用户推荐产 品”证书
* 网络安全新星--eNet专访东软股份总裁王勇峰,东软网络事业部部长曹斌博士
* 最新下载NetEye防火墙系统(Ver3.1)升级包SP2及其管理系统升级包、SNMP配置说明
东软NetEye IDS荣获“技术创新奖”
--赛迪评测发布2002年度IDS评测结果
--赛迪评测发布2002年度IDS评测结果
9月13日下午,北京赛迪信息技术评测有限公司在北京赛迪大厦举办了2002年度IDS评测结果发布及推介会。中国电子信息产业发展研究院领导、行业用户、参评厂商以及新闻媒体共100多人参加了发布推介会。
信息技术的不断发展以及网络应用日趋复杂,单纯的防火墙已经无法满足网络安全的需求。只有采用多种类型的安全产品共同协作,多层次进行安全保护,形成整体纵深的安全防护体系,才能达到安全防护的效果。入侵检测系统作为网络安全标准配置的三大安全产品之一,与防火墙、防病毒产品相比起步较晚,在近一年才有了较快的发展,开发入侵检测系统的厂家也如雨后春笋般发展起来。为了帮助用户选购IDS产品,在厂商与用户之间架起沟通的桥梁,赛迪评测组织了此次IDS评测及发布推介会。此次活动涵盖了国内IDS市场的主流产品和厂商,较全面地反映了目前国内IDS市场的现状,同时也为用户选择IDS产品提供了一份客观详实的采购指南。
东软作为此次参评厂商之一,以领先的技术及强大的研发实力,从众多的参评厂商中脱颖而出,荣获了分量很重的"技术创新"奖。东软网络安全产品营销中心策划部部长、网络软件事业部业务总监王虎应邀出席了本次颁奖仪式并接受了记者的提问。此次获奖加深并巩固了NetEye在信息安全领域的领先地位,同时我们将进一步完善我们的产品,保障产品质量与服务并重。
NetEye灵巧网关(NetEye Firewall SG1000)
--专为小型网络及企业分支机构量身打造的小型路由型防火墙
NetEye灵巧网关具备了NetEye 防火墙3.1的基本功能,具有经济易用,适应性强大,部署管理简便的特色,一般定位在小型网络和分支机构,能够方便地和总部或ISP进行连接。系统可以自动通过拨号或ISDN或ADSL或DDN完成到ISP的连接,并在这个连接上建立与总部网关的加密通道,通道建立后自动加载内网到Internet和内网到总部服务器的两个NAT规则,因此客户的本地网络对总部完全隐藏,无需为实现互连而重新部署。其管理界面类似Windows 向导,将艰深难懂的概念和复杂的配置完全屏蔽起来,客户不必具有任何网络和安全方面的知识,即可完成其VPN 网络的配置。
其主要功能特色如下所述:
1. 接入功能:支持ADSL、DDN、电话拨号、以太网等多种接入方式,见下图。用户在向导的帮助下通过管理界面简单配置,灵巧网关即可以自动完成ADSL、ISDN、DDN、电话拨号的过程,连入因特网,并监控网络的连接状况。当网络连接由于故障断开时,灵巧网关会自动重新完成拨号的过程,连入因特网;
2. 边界防火墙功能:其安全策略固化为允许对外访问而禁止外部对灵巧网关内网的访问,即内网用户可以访问因特网,但因特网的用户无法访问灵巧网关的内网,见下页图。采用预置的安全策略,没有了复杂的安全规则配置界面,大大减了轻管理员的负担;
3. VPN功能(可选模块):提供VPN的上连服务,自动完成所有协商与总部的VPN网关建立加密隧道,对信息采用高强度的加密算法和认证算法保护其机密性和完整性,保护敏感信息的传输安全;
4. 采用NetEye的流过滤结构;
5. 提供内到外的NAT功能:灵巧网关所连接的内部网络的用户在通过网关访问网关外部的网络时,系统自动把内部的IP地址转换为灵巧网关外口的IP地址,用户的本地网络对总部完全隐藏,不需要为实现互连而重新部署;
6. 提供DHCP服务,提供给小型网络自动分配 IP 的功能;
7. 提供DNS域名服务代理;
8. 提供SOCKS代理;
9. Flash卡存储方式;
10. 简单易用的图形化管理界面及液晶屏配置功能,所有功能集中在统一的管理器中进行管理;
11. 自动检测并阻止 Ping of Death、SYN Flood、LAND Attack等DoS 攻击;
12. 使用硬件高速加密卡,通过IC卡进行安全地密钥分发;
13. 可以作为PPPOE的客户端;
14. 提供日志功能。
把您的问题提出来,NetEye将及时、详细的予以回复,欢迎来信!
NetEye Platform 专用TCP/IP协议栈的优越性
TCP/IP协议当初是为多厂商设备之间的协同通信而制定的,其协议栈充分考虑了实现简易性和开放性,其向上层提交服务的标准化接口是定义在功能模块等级的,在函数级别上呈现出各种各样的形态,为了支持第三方应用程序进行网络通信或进程之间的协作,操作系统提供一个比较稳定、标准的网络编程接口,如BSD Socket、TLI和Winsocks等,被软件工程师统称为Sockets。Sockets秉承了模块化编程的精髓,将网络通讯所涉及的各基本功能元素进行了良好的隔离和封装,大大加速了各种网络应用的开发和使用。由于Sockets的这些优点,目前的网络通信软件大都过于依赖Sockets,很多网络设备都通过简单调用Sockets以使用操作系统内部所实现的TCP/IP协议栈进行网络通信,从而降低开发强度,缩短开发周期,但与此同时也带来了许多的致命缺点。
NetEye的“流过滤”体系采用专门实现的TCP/IP协议栈,一改国内防火墙行业陈旧的Sockets编程方式,投入巨大的人力物力,严格按照国际标准重新设计、实现了全新的一整套TCP/IP协议栈,为网络安全产业提供了一种新的技术思路,可为用户具体实现以下的好处:
1. NetEye专用TCP/IP协议栈面向网络高速通信专门设计,重新设计各功能模块的内部代码实现及接口调用方式,废止了旧式TCP/IP协议栈的不合理、不必要的冗枝繁节,直接覆盖从低层到高层的各部分功能,采用独有的报文处理、数据传递技术,有力保证了信息流的线速转发能力;
2. NetEye专用TCP/IP协议栈消除了旧式TCP/IP协议栈对底层通信流的"中断"和"二次连接"现象,实现了防火墙设备在网络拓扑中最大程度的"透明性";
3. NetEye Platform保持对其专用协议栈技术细节的保密性,避免系统漏洞的外泄;
4. NetEye Platform不向业务网段开放任何服务端口,对各种扫描和其他服务请求采用沉默方式,消除了系统服务被扫描的可能性;
5. NetEye专用TCP/IP协议栈对各层协议的交互流程进行了全面、慎重的设计,每字段、每比特的取值都严格按照相关标准进行,避免产生任何"指纹"特征,在网络通信的底层实现了对网络扫描的抵御能力;
6. NetEye流过滤技术是NetEye防火墙最亮丽的特色,但是通常TCP/IP协议栈无法满足该技术对性能和功能的要求。NetEye专用TCP/IP协议栈经过精心设计和整合,能够全面支持NetEye流过滤技术,保证NetEye流过滤对"包过滤线速处理速度"和"应用级代理访问控制力”完美组合的实现。
NetEye防火墙拥有出色的线速处理能力和突出的访问控制力度,能够在路由模式和交换模式下实现对企业网络良好的防攻击服务,是国内新一代防火墙之翘楚。这一切,在很大程度上可以归功于NetEye专用TCP/IP协议栈对NetEye Platform和NetEye"流过滤"技术强有力的支持。经过对NetEye用户数年来使用情况的跟踪反馈,NetEye专用TCP/IP协议栈已被证明是业内最出色的网络通信协议栈之一,也是NetEye网络安全产品取得如今辉煌成就的坚实基础。More...
NetEye防火墙SP2说明及如何进行SP2升级
NetEye3.1 SP2在以前版本的基础之上增加了对SNMP v3的支持,提供了对内容过滤规则的升级(从3.0的规则升级到3.1的规则)功能,增强了VPN的稳定性,同时进一步提升了整个系统的稳定性。
NetEye SP2完全支持SNMPv3标准的安全机制:SNMP v3增加了安全性的考虑,使开放的管理标准更加适合现在网络对安全的需求。SNMPv3在原有版本的基础上增加了三个新的安全机制:身份认证,加密和访问控制。SNMP v3把HMAC-MD5-96和HMAC-SHA-96的使用定义为鉴别协议,把CBC-DES定义为私有协议。MD5和SHA鉴别协议都要求私有密钥。同时同以前的版本一样,不支持SNMP的Set操作,只允许进行查询,避免不正确操作带来的安全隐患。请用户特别注意:对SNMP进行设置不要参考Neteye防火墙使用指南手册中的事件配置里的SNMP的连接,请参阅SNMP补充说明文档。
内容过滤规则的升级:系统升级至SP2后,用户进行防火墙的升级,内容过滤规则就可以直接上载,升级。降低了升级带来的潜在故障,简化了升级操作。
对VPN稳定性的改进:包括VPN整体解决的互操作性和稳定,增加了VPN的平均无故障运行时间,减少VPN部署后的维护和运营成本。SP2在VPN的速度上有了非常大的提升,其带宽最高可达到40Mbps,在目前国内厂商中占有绝对的竞争优势。
敬请注意:系统升级到SP2后,管理器也必须升级。见NetEye防火墙系统升级包(Ver3.1)sp2管理系统。
NetEye防火墙 3.2之双向DNS解析技术分析
编者按:即将推出的NetEye Firewall 3.2中,特别针对使用NAT的用户,实现了双向DNS解析功能。这样用户就可以透明的用域名访问内部服务器,勿需配置双DNS服务器,显然这将大幅度的降低网络系统的配置难度以及成本!
由于NAT技术实现的过程,导致了NAT(网络地址转换)与DNS解析在经过防火墙转发的时候会发生冲突。比如某公司的域名服务器位于防火墙的内部,并且在防火墙上设置了网络地址转换规则(NAT),转换内网的部分IP地址到外网的IP地址,并设置了域名与IP地址(内部)的对应关系。问题出现了,内网的用户和外网的用户不能同时使用域名来访问进行过NAT的主机。
对于这种问题有如下常用解决方案:1、安装双DNS服务器(内部网部署一台专门用户内网用户使用的DNS服务器);2、用户直接通过IP地址来访问(这对于比较专业的用户还可以接受);3、可以通过在hosts文件中添加域名与IP地址的对应关系,但是如果域名与IP地址变化了,就无法访问了。
但是这三种方式都有比较明显的缺点:第一种方法需要新的设备投资和软件部署,需要用户增加新的投资;第二种方法要求内部用户必须通过IP地址访问,这种方式用户往往很难接受;第三种方式即麻烦有缺乏扩展性和适应性,同时配置比较繁琐。
NETEYE的双向DNS解析功能就是为了解决该问题而推出的,该功能具有如下特性:1、支持NAT规则的多种形式,NetEye的双DNS技术可以支持目前防火墙中普遍采用的单对单、多对单、多对多、单对多的转换;2、支持NAT规则对应关系,对于NAT规则中的服务列表,NetEye防火墙提供域名和IP地址的唯一对应关系;3、一些特殊技术,NetEye防火墙采用了一些具有自主知识版权的特殊技术,支持多个区域之间的多次NAT转换,即如果防火墙配置了多个区之间的NAT规则,通过一个区域设置另一个区域的域名服务器解析第三个区的主机的域名,防火墙会进行两次转换,更贴近用户的需要。More...
如何建立有效的安全保护体系
--NetEye President曹斌博士解析网络安全
--NetEye President曹斌博士解析网络安全
习惯上,一个基本的安全防御体系可以用三个"G"来表述:即你需要有门(Gate)、警卫(Guard)、并且给警卫配上必要的武器(Gun)。这个比喻清楚的说明了一个安全防御体系的基本要素:1.要有明确的出入路径,并且在出入口部署了具有一定拦截作用的设施;2.安全防御的关键是人,具有经过良好训练的素质优良的安全管理人员几乎是一个安全体系中最为重要的方面;3.安全管理人员需要一些工具才能够发挥作用,工具是否先进和好用对于一个防御体系来说也非常关键,从另一个方面讲,安全产品应该是为人服务的。
现阶段,一些基本的安全技术已经逐渐被用户所了解,如基本的防火墙的部署、及时更新的防病毒产品、以及使用入侵检测与安全评估来保护重点设施等。我们要探讨的是如何使这些安全措施或产品形成一个体系,更有效的的发挥作用,尤其是当遇到安全威胁时它们要能够有效的保护用户的资源。这些观点往往是用户最经常忽略的方面。
网络和信息系统的结构是安全体系的基础,在建设信息系统时请充分考虑其结构是否有利于采取防御措施,或者在实施安全方案时,重新调整信息系统的结构。这一点在我国的用户中尤其明显,很多用户在一两年前就已经建设好了网络系统,那时很少考虑安全问题,因此在部署安全措施时,我们发现系统中往往存在一些问题对于安全建设很不利,比如可能存在了很多的出入口、关键的需要保护的设施过于分散、角色定义有很多“孤岛”以至于难以进行统一的访问控制,等等。这些问题对于用户来说,调整起来确实有一定的代价,但是从长远角度看,重新进行调整使其更有利于安全防范是非常必要的,否则系统中极有可能存在大量安全隐患。
其次,一个安全体系不应该完全依赖于所部署的产品,使用和维护这些产品的人也非常重要,甚至更为重要。用户应该在设计安全方案之前组建自己的安全管理员队伍,好的安全管理人员的作用胜过花重金购买却无人维护的安全产品,并且好的安全管理人员能够使安全产品真正的发挥作用。安全队伍如何能够及时更新知识和技能,并在安全危险来临之前能够及时得到信息。除了必要的培训和自我学习以外,成熟的客户通常采取的办法是与安全研究机构和安全产品厂商建立紧密的联系,安全机构可以通过他们建立的信息传递系统及时的向客户传输新的安全知识,以及当新的危险出现时能够及时通报,这样的机制有时可以使客户在危险来临前有几天甚至多达一周的准备时间,从而将损失降到最低的程度。
另外就是不仅要考虑当前的静态的安全防御体系,还要考虑安全系统在长期的运行过程中是否能够有效的对不断出现的各种威胁采取有效的防御措施。安全管理人员平时的工作就是要“防微杜渐”,对系统中的异常保持足够的警惕,并定期的审查自己的安全体系。安全产品要不断的更新,这也是管理人员经常要做的工作,忽略了更新就意味着系统处于危险状态。近两年攻击手段的不断演变,新的安全威胁层出不穷,安全人员遇到的挑战也在发生变化,其中比较有代表性的是所谓的“危机窗口”。
什么是危机窗口呢?危机窗口是指用户的网络或系统由于系统固有的缺陷,在一个特定的时间段内处于高度的危险状态,这段时间称为危机窗口。在系统安全领域,我们经常能看到这样一个不断往复的循环过程:主机系统中的软件被发现存在新的漏洞;漏洞的描述在Internet上散发;不久出现了利用该漏洞进行攻击的工具;继而工具大量扩散甚至出现利用该漏洞进行扩散的蠕虫病毒;系统软件厂家发布针对该漏洞的补丁或新版本。由于软件系统的规模越来越大,比如微软的新的操作系统的代码规模达到了几千万的量级,软件厂家发布补丁的速度在不断降低,现阶段,通常从一个漏洞被发现到厂家发布补丁之间存在2到3个月的时间间隔,在这个时间段内,用户的系统非常脆弱,极易被入侵。而一旦出现大规模扩散的病毒,则大量用户的系统都无法幸免。这个时间段就是典型的“危机窗口”。
安全产品应该在用户遇到危险时发挥作用,这是勿庸置疑的。但是遗憾的是,大多安全产品并不能在这个阶段发挥作用。以防火墙产品为例,目前市场上的主流产品是采用状态检测的包过滤技术作为核心安全部件,优秀的状态检测包过滤产品可以精确的对TCP会话进行控制,但是对于建立在TCP层之上的应用协议部分则无法控制:它可以完美的执行类似"只开放对某个服务器的某个端口的访,却不能防止透过该端口的具有攻击企图的数据通过防火墙对目标系统产生破坏作用。这种情况下,用户要么关闭服务,要么坐等攻击的发生。
如何使用户在"危机窗口"阶段即能够阻挡攻击,又能保持正常服务数据的畅通呢?简单的说,类似防火墙这样在关键节点实施访问控制的安全产品应该提供针对应用协议的细粒度的访问控制能力,而且这个控制能力要求是可以快速部署、迅速升级的,甚至是用户可以自己定制的。
NetEye的流过滤是针对"危机窗口"的利器,流过滤的明确定位是:针对应用层协议的细粒度访问控制、具备包过滤的对应用透明的特性,可以快速部署、用户可以定制专门的安全防御策略。流过滤隔绝了防火墙两侧的直接的TCP数据包的传输,因此对应用层具备完全的控制能力,可以作为两侧的代理分别与另一侧交换应用层数据,但是由于其特殊的内部结构,系统又能够保持完全的透明特性,在部署时不需要改变应用逻辑结构,这使得应用层的安全策略具备了“即插即用”的特性。从而使安全管理人员可以对安全威胁进行快速响应。
经过这些年的努力,NetEye不仅在防火墙、VPN、入侵检测等关键技术领域不断创新和改进,推出了一批技术先进、发展成熟的的安全产品,同时也培育了一批高素质的安全服务队伍,这些产品和服务队伍正在成为用户可以信赖的防御力量。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com