 ·热 点 关 注: 东软信息安全实验室在北京成立 东软NetEye,贵阳再掀安全风 ·专 家 建 议: 安全要专人专管 ·安 全 聚 焦: 防火墙与H.323协议 ·NetEye关 注: 东软NetEye的市场张力 ----访东软信息安全策划部部长王虎 |
| 交流中心 | 查阅过往期刊 |
* 精彩网络安全“三人行”之社保篇-东软社保行业专家徐洪利、安全专家曹斌、《计算机世界》记者大海-“社会保障的安全保障”
* 最新下载:NetEye防火墙系统(Ver3.1)Oracle数据库升级包 New!
* NetEye Support Team(NetEye技术支持组)技术文档:如何选择防火墙的存储器
10月26日,东软软件股份有限公司宣布在北京成立信息安全实验室。该实验室是东软面向信息安全核心技术的研究机构,研究方向包括入侵与防御技术、信息保密技术、信息安全专用芯片技术等领域。为一个产品方向成立专门的研究机构,对于东软来说还是首次,其负责人在解释建立实验室的意图时提到,这意味着东软在信息安全的领域建立了多层次的研发体系,一方面,要使东软在信息安全核心技术方面保持长期的竞争优势,另一方面也是东软在这个领域吸收高水平人才的窗口。
东软目前已经是国内领先的网络安全产品(NetEye系列安全产品)供应商,在网络安全领域做出了突出的贡献。其NetEye防火墙、VPN、IDS等产品,凭借先进的核心技术和稳定可靠的品质赢得了用户的普遍认可,特别是其首创的以透明的应用层防御为特征的"流过滤"技术正在成为防火墙产品发展的新的趋势。信息安全实验室的成立将会进一步推进东软在网络安全技术的快速发展。
10月16日东软股份在贵阳市举办了题为“技术创新缔造网络安全”的合作伙伴及用户交流大会,此次活动是NetEye继4月11日在京举办的以“技术创新缔造客户安全”为主题的NetEye系列新品发布会、5月底全国8大城市网络安全巡展以及8-9月份湖北5城市网络安全巡展后,专门在贵阳举办的又一重大推广活动,旨在提高贵州地区的网络安全意识、推动贵州地区的网络安全建设的进程。
东软西南大区总经理刑波表示,今年是电子政务年,对于网络安全产品来说,贵州和全国其他地区一样存在着巨大市场商机。为了在贵州地区深入推广东软NetEye的网络安全理念、并最终让所有人都能享受安全的无忧办公,东软在会上与各地合作伙伴及广大用户分别在技术、销售及服务等各方面进行了全方位的交流,并适时地发展了一些新的合作伙伴,拓展东软在贵州地区网络安全产品领域的业务渠道。 同时借助此次机会,向与会者发布,东软在年初就已经将今年定位为东软的服务质量年,并详细介绍了东软日趋健全成熟的网络安全服务体系。今年1月,东软将原先的服务部门升级为产品服务中心,旨在加强对全国NetEye产品用户及合作伙伴的全面技术支持和服务。产品服务中心在北京、上海、广州、成都、武汉、西安等三十余个分支机构设立NETEYE产品服务工程师,提供覆盖全国的支持与服务。利用遍布全国的分支机构,东软可以提供全国范围内的一周七天、一天二十四小时的现场支持。针对重点防火墙用户,东软股份还可以组织专门的技术支持与服务小组,提供及时优质的技术咨询、技术培训、技术实施、技术支持、维护支持等综合服务。
此次会议展出了NetEye Firewall 3.1版、SJW20网络密码机(NetEye Firewall VPN增强版)、NetEye IDS 2.0版等新品,这些新产品不但为用户的安全网络提供了更高的可靠性,而且使企业在安全管理方面的效率得到了有效的提升……
--针对目前各大企事业单位所存在各种的网络安全状况,NetEye资深安全咨询顾问兼网络软件事业部业务总监王虎谈了存在这些问题的主要原因,郑重建议用户“安全要专人专管”。详细如下:
从国外情况看,一般安全的资金投入在整个系统份额中到占10%-15%,在中国,这个数字要小得多,主要投入在基础设施建设上,在安全方面只有一些防病毒软件,绝大多数还是盗版的。安全在企业信息化中应该起一个大门的作用,非常重要。随着IT的发展,企业的许多数据都需要保护,尤其是加入WTO以后,我们与国外有更多的交流、竞争,信息数据非常重要。
特别是目前许多企业不重视在人才方面的积累和分配,很多企业信息中心(网络中心、科技处)有一个网管,一个人兼几项业务,把安全管理作为所管理的若干事情中的一件来做,没有专人专职。更不用说分角色管理。国家新的防火墙标准要求分角色管理,即安全员、管理员和审计员,三种角色是相互制约的。一个人管理安全产品,就有可能有潜在的危险。但是在国内,根本不可能一台防火墙有三个人或三个部门管理。另外安全管理人员的专业知识也比较欠缺,因为基本上是厂商给灌输的,所以不是特别连贯、系统。王部长强调,企业要尽快落实管理制度和相关的组织机构,提高人员素质。如果有两个专业的人员关注安全,企业会省很多的钱,有许多安全产品可能不需要。
而且目前在应用中还有一种误会,本身产品很好,但由于用户不会用,用不好,就以为是产品的问题。安全产品如果应用不好的话,它比没有安全产品造成的危害更大。因为规则多了,很多应用不宽松,规则少了又起不到保护的作用,或者因为有了安全产品,放松了警惕,把安全管理完全寄托给安全产品。所以有一个非常专业的人非常负责地关注安全是非常重要的。
非常诚挚的建议企业的信息安全建设要根据企业的具体情况由专人负责,总体规划,分步实施。安全包涵的东西很多,防病毒、防火墙、入侵检测、风险评估、身份识别、访问控制、灾难恢复,都有相应的产品和技术来支持,要根据实际能力、资金情况、业务需求分步实施,但至少防病毒和防火墙在第一期是应该实施的,企业要头脑清醒,不能好高骛远。
把您的问题提出来,NetEye将及时、详细的予以回复,欢迎来信!
--随着在网上进行多媒体通信,如网络会议,网络电话等应用迅速普及,相关技术的大规模应用,一些现存网络的冲突也突显了出来。比如当前一些网络实体限制端到端的分组(包)通过,这些实体指的就是防火墙和网络地址转换器。 NetEye Support Team (NetEye技术支持)在本文中为你详细讲解防火墙及目前网络会议软件和网络电话软件常用的,由国际电信联盟(ITU-T)制定的H.323协议。
一、H.323简介
H.323标准定义了一个在基于分组的网络上进行灵活的,实时的,可交互的多媒体通信协议集。个人计算机能在包交换网络(网际网和内部网)和电路交换网络上传输音频,视频和数据。
H.323网络包括终端,网关,网守(gatekeeper)和多点控制单元(MCU)。其中,网守在局域网上监视所有在其区域内的H.323呼叫,它提供两个主要的服务:呼叫准入和地址解析,所有在此区内的H.323客户端必须在网守的协助下开始一个呼叫,另外网守还可以根据当前可用带宽决定是否允许客户呼叫;网关提供在异种网络之间操作的能力,例如在包交换网络和电话网之间就需要有一个网关进行协议和数据的转换;MCU(多点控制单元)提供多方的多媒体会议能力。它协调所有参与者的媒体通信能力,为端点提供音频混合和视频选择(端点本身不能完成这个功能)。
假设以Alice和Bob作为H.323通信的两个端点(Alice在防火墙的外侧,Bob在防火墙的内侧),说来明点到点的H.323通信过程:
首先,Alice向Bob的H.323知名端口1720建立了一条连接。然后,Bob和Alice在此连接上发送Q.931包,在这些交换的数据包中,Bob和Alice发送动态的端口用于建立H.245连接。
随后,呼叫者根据在Q.931流中协商的临时端口建立H.245连接。H.245处理所有的呼叫参数协商,例如所要用的编码解码算法等。一旦这些参数协商完毕,H.245会话开始执行OpenLogicalChannel,这个过程为特定的媒体流(如:音频或视频)发送传输者和发送者的RTP和RTCP地址和端口,然后,这些媒体流就可以在两个端点之间进行传输,直到会话结束。
二、H.323通过防火墙的难点
1、大量应用动态端口
通过防火墙可以限定进入网内的数据包类型和流量(这种限定可以基于源IP地址、目的IP地址或端口号等简单的规则)。对于H.323协议,需要开放的端口为1718或1719(发向网守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。但是这样的设定并不能完整地解决H.323应用穿越防火墙的问题,主要原因是媒体流需要通过RTP协议来传输,而传输所需要的源端口和目的端口是动态确定的,这些端口可能是大于1024的任意端口,因此要使H.323数据流通过防火墙,需要在防火墙规则中打开所有大于1024的端口,这显然是非常不安全的。
2、防火墙的网络地址转换
NAT(网络地址转换)置于两网间的边界,其功能是将外网可见的IP地址与内网所用的地址相映射,这样,每一受保护的内网可重用特定范围的IP地址(192.168.x.x),而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT,NAT使用预设好的规则(其组元包含源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接受点。对于流出内网的数据包也须经过这样的转换处理。网络地址转换分为传统的网络地址转换和网络地址端口转换。传统的网络地址转换就是将通过防火墙的地址进行转换,允许一个组织在内部通信时使用一定范围内的私有地址,当与外部通信时使用一个小的公共IP地址池。另一种网络地址转换是网络地址和端口转换,这种转换形式有一块内部地址,一个或多个外部地址,然后用端口号进行区分。
从安全性上来看NAT提供了对外隐藏内网拓扑的一个手段,但也给H.323应用带来巨大的麻烦。协议消息包一般是在特定区段中内嵌IP地址和端口号,而不是放置在IP包头,这样如果仅仅使用NAT,协议里的IP和端口号不能指向正确的地方,从而导致通信不能正常进行。
3、ASN.1编码
H.323的大部分控制信息用ASN.1进行编码,这是一种非常复杂的编码模式,相同版本的相同应用在连接相同的目的时,会使用不同的选项,从而使相同成员在数据流中的偏移量不同。为了在提取其中的有用信息,需要对用ASN.1编码过的数据包进行仔细的解码。
三、东软NetEye防火墙解决方案
基于以上H.323的特性,目前绝大多数的防火墙是不支持H.323协议的,尤其是经过网络地址转换(NAT)后的应用,即使支持,也不是很彻底。
为了使用户的H.323数据流能顺利的通过NetEye防火墙,东软公司的研究人员通过解析H.323控制信息数据,获得其中的IP地址和端口,并根据当前NAT的设置情况对其中的IP地址进行修改。这样,在防火墙的规则中只需打开几个H.323的知名的端口(如1718,1719,1720等),其它端口在需要时动态打开,在不需要时关闭。这样就不用打开所有大于1024的端口,增加了防火墙的安全性,而且也不受防火墙网络地址转换的影响。体现了基于状态检测的信息“流过滤”防火墙所具有的先天的优势和特性……
--访东软信息安全策划部部长王虎
题记:前不久在赛迪大厦举办的2002年中国信息安全产业发展高峰论坛·《防火墙产品技术研究报告》发布会上,由CCID发布的《防火墙产品技术研究报告》,显示东软的NetEye防火墙以综合实力指标第一的显著优势在众多实力强大防火墙厂商中脱颖而出。这是东软继2000、2001年在权威咨询机构IDC的报告中连续两年以国内防火墙市场占有率和知名度位据榜首以后,东软在信息安全领域获得的又一殊荣。为此,[
信息安全与通信保密 ] 记者崔光耀,就NetEye系列网络安全产品的市场策划和营销战略等方面的问题,在东软网络安全产品(NetEye系列)营销中心采访了该中心策划部部长王虎。
记者:在CCID《防火墙产品技术研究报告》中,东软以综合实力第一的优势占得先机。在目前信息安全市场竞争日趋白热化的情况下,东软NetEye品牌却直线上扬,是什么力量在支撑这种强劲的上升之势?
王虎:能够排名综合实力第一,应该说是东软的一个荣誉。作为国内比较权威的机构,CCID搞这个报告,事先并没有告诉厂商。据我了解,这次报告考查了国内所能见到的所有防火墙厂商,其中比较重要的有17家。CCID负责国内一些大机构的防火墙选型,他们对厂商的东西摸得很多,对防火墙各方面的安全性、性能的测试是很充分的。这个报告的内容不仅涉及到防火墙的功能和性能,还涉及厂商的综合实力,较多地考虑了技术层面的因素。我觉得,东软在信息安全方面能够取得如此成绩,应该有两个主要方面的原因:
一是凭借很强的研发团队,说到底是东软的综合实力。东软的研发实力在国内信息安全行业中是比较少见的。像安全测试实验室的投入就达上千万元,另外,一支专业、稳定、有规模的研发团队是保证东软信息安全产品不断发展的有力保证。负责东软网络安全研发的网络软件事业部部长曹斌是一个非常有头脑、非常聪明的人,也是整个团队中非常具有忘我工作精神的核心力量,他为了工作几次推迟了婚期,付出了很多。这对整个团队是一个极大的鼓舞,大家有了一种很好的、积极向上的工作氛围。第二是公司的重视程度高。东软是个很大的公司,公司最高决策层准确地把握软件行业的发展趋势,看准了信息安全市场的巨大潜力,下决心进入这个行业。从1995年就开始了信息安全的研发,承担了国家九五攻关项目--“具有信息分析功能的防火墙”,进而逐步打出了NetEye的综合品牌,在NetEye下面,形成了防火墙、IDS、VPN等信息安全产品大类,同时还是国家密码产品定点研制、生产、销售单位。
为做好东软的信息安全产品的推广,我们东软股份的总裁王勇峰亲自担任网络安全产品营销中心总经理。王勇峰总裁曾经说过一句话:只有能看到五年、十年发展的产品我们东软才会考虑去做,如果一个产品在短期内能赚到可观的利润,但只能看到三年的卖点,我们是不会去做的。东软是把网络安全产品当作一个长线来做的。不管是对员工也好,对股东也好,对社会也好,东软要给予他们一个长期的回报。
记者:今年组建的东软网络安全产品营销中心是如何定位的?它对东软NetEye的推广能够起到哪些积极作用?
王虎:为适应信息安全发展战略的需要,东软将过去北京营销中心网络安全这一块独立出来,成立了东软网络安全产品营销中心,就是要加大在网络安全方面的投入力度。中心主要是负责东软所有网络安全产品的销售、市场策划、售前售后的支持,以及对各个行业线的支持。东软的产品线是纵横两条线,像社保、电力、电信等八大事业部都有防火墙的需求,营销中心支持公司各个行业线的安全产品的推广。营销中心分为策划和销售两个部分,在王勇峰总裁的领导下独立开展工作。销售部主要负责一些大项目的入围等工作,策划部主要负责中心的销售管理、渠道建设、渠道维护、价格体系的制定、市场等方面的工作。营销中心应该是一个大脑,一个指挥中枢。而具体面向市场销售的,是东软全国各个分支机构,销售网络的专职经理,专职工程师,售前售后工程师。他们是我们中心的真正触角。营销中心制定策略(价格策略、渠道策略等),各地区域经理把这些策略贯彻下去,真正执行。这个中枢还起到服务和支持平台的作用。主要体现在售前、售后等方面。比如遇到一些重要的项目,重要的单子,我们的售前工程师就会给予最直接的支持,帮助做方案的标书、准备答辩,与用户的交流等。现在策划部有8个专职的、水平很高的网络安全咨询顾问,各地分支机构也有售前和售后工程师,他们主要负责一线的支持。
记者:伴随着国内信息安全的快速发展,近年来东软的网络安全产品也一直保持着很高的增长速度。网络安全产品营销中心成立以后,东软的市场发展出现了哪些新的变化,今年的形势如何?
王虎:关注东软信息安全的人可以发现,近年来东软的信息安全产品是以成倍的速度增长,今年达到100%的增长率同样不成问题。但100%的增长速度,与我们的目标还是有差距的,我们的目标是应该把竞争对手远远地甩在后面。这是我们在信息安全行业的战略所在。对此公司决策层充满信心,各级部门也同样信心十足。东软网络安全产品营销中心成立以后,在今明两年将会采取一系列的策略,以较大的动作去达到这样的目标,以拉大与竞争对手的差距。估计在明年一年内,这种差别将明显地表现出来。
谈到现在市场出现的新情况,那就是东软的品牌优势已经为用户所认可,现在我们已不用再谈东软如何有实力了,NetEye如何好了,有些用户甚至求着我们赶快去替他们部署安全防范的架构,这种变化应该说是东软在市场方面进行拓展的有利契机。但是,现在市场的一个变化是“同质化”,它导致了用户选择难度的提高。大家技术白皮书上的东西都差不多,如何让用户根据自身的需要选择合适的产品,正是东软在市场上重点要做的事情。我们现在就是要让用户知道,如何适合他们的实际需求,并根据这种需求去为他们进行部署。这是我们的优势所在,我们有全国的分支机构,有一个庞大的营销网络,每个分支机构都有安全方面的专职工程师,通过售前和售后上的服务,去满足用户的需求。同时我还要加大宣传的力度,通过各种渠道有效地宣传,让用户更多地、充分地认识东软,了解东软网络安全产品的与众不同之处。
记者:现在不少企业反映市场并不好做,因此出现了"贫富不匀"的局面。您怎么看待这种情况,其发展趋势将会如何?
王虎:其实在市场经济条件下,这种情况是很正常的。东软提出要系统地规模化地做软件,并有资金、人才、技术方面的实力,利用现有的平台,就会在市场竞争中朝更好的方向发展。从长远的眼光看,网络安全产品拼的就是实力和规模。试图投机取巧而自身在技术、资金、人才等方面准备不足的企业,是很难立足的。最后,必然是大浪淘沙,经过剧烈的市场波动,富的更富,穷的更穷,有些不可避免地要死掉,最后只剩下少数几家。现在世界上比较知名的信息安全企业也就10多家吧。
但中国的信息安全市场至少不会在短期内死掉一大批,因为中国的市场太大了,没有开辟的地方太多了,只要你有一些特殊的因素,也许都能活下来。所以现在一看,信息安全企业呼啦啦一大片,而且还在往上冒。这种局面导致了竞争的加剧。现在市场上有一些不规范的行为,有些厂商打价格战,甚至采取更为极端的作法,这对整个行业是有一些冲击的。
记者:我们注意到,现在有不少市场炒作的现象。东软在市场策划和市场宣传方面将采取什么的策略,有何打算?据说您过去是搞研发出身的,现在您负责策划部的事情,如何进入角色呢?
王虎:我以前做过NetEye1.0和2.0版本的研发工作,出来以后做了一些技术支持的工作,与市场接触很多,与销售经理,与用户、代理商的沟通也很多。由技术转到市场这块,比较顺的是对产品技术有深刻的了解,也可以说对产品有一种很深的感情在里面。而只有对自己的产品具有这种真正的感受和热爱,才好进入自己的角色。曹斌部长曾说过:防火墙就像是自己的孩子一样,绝对听不得别人说他不好。当然别人会说你不好,你就得把它做好,让别人说出你的好来。--我们这个团队基本上都是这样的,真心希望我们的产品越来越好,没有人说我投入多少,应该有多少回报。
在市场宣传方面,东软一贯的作风就是多做实事。我们策划部也是以做实事的态度,做些实实在在的事情。纯粹炒作的事我们是不会去做的。下半年,会在相关的媒体上看到我们的声音。比如在网站上提供丰富的资料,安全的技术解决方案,还有产品的新特性,有关信息安全方面的知识等等。今年五月下旬,我们在全国八大城市开展了一年一度的巡展活动,我们的主题很明确:"技术创新缔造客户安全"。今年初,东软把原先的服务部门升级为产品服务中心,旨在加强对全国NetEye产品用户及合作伙伴的全面技术支持和服务。产品服务中心在北京、上海、广州、成都、武汉、西安等30余个分支机构设立NetEye产品服务工程师,提供覆盖全国的支持与服务。针对重点防火墙用户,东软还组织专门的技术支持与服务小组,提供及时优质的技术咨询、技术培训、技术实施、技术支持和维护支持等综合服务。下半年,我们还计划在海南举办一个用户大会,这是与用户沟通、交流,了解客户需求,帮助用户解决实际问题的很好机会。
策划部就是为市场推广制定适宜的发展策略,为全国各地的销售工作搭建出一个良好的服务与支持的平台。同时网络安全产品营销中心还肩负着协调各区域、协调公司各行业线与合作伙伴关系的重任,以确保东软网络安全产品线的工作能够顺利进行。
结题:目前东软在信息安全方面的投入和积淀正在转化为稳步上升的市场效益,显示出不断外化的市场张力。上自董事长、总裁,下自产品研发、市场策划、销售等部门的年轻团队,都显示着严谨、活力、努力、创新。由东软股份总裁王勇峰亲自挂帅的NetEye网络安全产品营销中心正担负着“把技术变成钱的实践”的使命,负任前行。如果说,信息安全产业的发展在进入新世纪以后,海域更宽,波涛更烈,我们定会看到一些巨舰在破浪引航,而这正是中国信息安全产业的希望所在。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com