 ·热 点 关 注: 东软发布千兆线速IDS系统 ·专 家 建 议: 如何区分和鉴别防火墙 ·安 全 聚 焦: NetEye灵巧网关--经济易用、高性价比 ·NetEye关 注: 电力抗“黑” --“网络安全三人行”之电力篇 |
| 交流中心 | 查阅过往期刊 |
* 安全架构需体系化--“网络安全三人行”之金融篇 行业专家 于洪勇;安全专家 王虎;《计算机世界》记者 大永
* 最新下载:技术白皮书--NetEye灵巧网关
* 防火墙产品选型与系统构建
* NetEye灵巧网关精彩Flash下载!
11月20日,东软股份有限公司在北京发布了最新研制的NetEye千兆IDS系统,该系统由东软专门研制的高速IDS负载均衡器和IDS阵列构成,能够达到千兆以太网的线速实时检测能力。系统采用了东软NetEye IDS产品系列的最新版本作为IDS阵列,能够自动识别超过1500种网络入侵,并提供了包括实时攻击报警、网络监控、内容恢复、安全扫描等丰富的安全管理工具。
在高带宽情况下进行实时检测分析一直是IDS产品的主要的难题之一,东软本次发布的千兆IDS系采用了先进的负载均衡技术,能够在千兆环境下对超过256字节的数据包实现100%的分析检测,对于最小的网络数据包也能够在470兆时达到100%不丢包检测。该产品是国内第一个完全自主研制的千兆线速IDS系统,弥补了国内在此类高性能网络安全产品领域的空白。
面对目前国内防火墙产品不胜枚举、鱼龙混杂的安全市场,用户是如何选择所需的防火墙产品的呢?--据赛迪顾问"2001年中国IT产品消费行为调查"中关于消费者获取信息的渠道的数据统计,可以发现绝大多数用户通过报刊、媒体和广告,获得相关的产品信息,比如产品的型号、功能等等,但是对于需要在短期内购买产品的用户来说,这些信息不能提供足够、必要的实例和证据来促使其完成采购的任务。用户如何摆脱这种在产品选择上、在信息获取上的不利地位,看清市场,区分鉴别各个厂家的产品呢?NetEye 资深网络安全咨询顾问王虎为用户精心准备了此文。
选择防火墙产品时,必须首要考虑的是防火墙厂商的技术实力和产品的核心体系架构,这实际体现了产品的本质,并保证产品是否具有良好的品质。
纵观目前国内防火墙市场,直接与防火墙产品有关的200多家安全企业中,90%以上是30人以下的公司!这是一个惊人的数字。而且,这些企业中直接从事与安全产品相关的的人员比例偏低。如此众多的防火墙产品,产生于什么样的环境和土壤中呢?可以设想,一个30人的公司,除去几名行政和管理人员,除去几名后勤和财务人员,除去几名销售人员,除去几名技术支持人员,这个公司还能够有多少名开发人员呢?当然是否还能够有测试人员就更加值得怀疑了。人力和物力资源的不足直接导致的是产品技术形态和体系架构的落后,产品更新、升级速度的停滞和技术支持与响应能力的匮乏。然而,这几方面正是包括防火墙在内的安全产品区别于其他消费品的一个最大特点--安全产品具有极高的技术附加值--它需要厂商提供给用户的不是简单的一台设备,一套软件,而是随着产品一同提供给用户的不断的产品升级和更新能力,及时、准确的应急响应和技术支持能力和优良的产品体系结构。因此除了从一摞摞的产品技术白皮书上了解厂家所罗叙的产品功能、性能数据等,用户必须多渠道的近一步了解厂家的实力。
防火墙所能实现保护作用与防火墙体系结构和运行机制有最大的直接关系,每一次体系结构上的演变都会带来防火墙功能的质的飞跃。目前市场的防火墙产品在核心体系架构方面,不同厂商的产品的确参差不齐,存在着很大的差异性,并且这种差异性直接表现为产品在健壮性、可靠性以及性能上巨大差距。然而由于产品的核心技术架构是一个比较抽象的概念,很多用户并不能真正区分这些技术的差异。
防火墙核心体系架构的发展历经了简单包过滤、应用代理和状态检测等技术,这些技术各有其优缺点,具体参阅本站文章《网络防火墙的体系结构 》。当今业界很多优秀的防火墙产品多采用状态检测型的体系结构,比如Check Point的Firewall-1,Cisco的PIX防火墙,NetScreen防火墙等等。另外由于状态检测包过滤和应用代理这两种技术本身的局限,目前市场上出现了一种集成了应用代理的模块和状态检测的模块混合性的防火墙--实际上并没有真正结合两种技术的长处,见本站文章《防火墙“易控”更“易用”--应用“流过滤”技术》。
然而新的攻击手段的不断出现,使得防火墙在用户的核心业务系统中占据的越来越重要的地位,用户对防火墙的要求也越来越高:用户要求防火墙提供更细粒度的访问控制手段;对新出现的漏洞和攻击方式能够迅速提供有效的防御办法;要求防火墙的管理更加容易和方便,减少配置所产生的安全误区;要求在紧急情况下可以做到迅速响应;要求具有很好的性能和稳定性。这种需求必将推动这技术继续向前发展。
NetEye防火墙在其3.0及其后续版本中,突破了状态检测包过滤和应用代理技术,研发实现了全新的“流过滤”结构,以状态包过滤的形态实现应用层的保护能力,见本站文章《“流过滤”技术》。
如何知道你所要购买的产品是采用了什么样的技术呢?
·首先获得产品的技术白皮书。一般,厂商会在他们的技术白皮书中比较靠前的部分对他们采用的技术进行阐述。毕竟,核心技术是一个产品的最大的卖点,任何厂家也不会对采用的技术架构只字不提的,区别仅仅是谈的多和少的问题。
·可以通过厂商的网站、邮件列表等获得一些技术方面的资料。从而辨析该厂商的技术含量。
·可以直接与厂商的技术人员进行交流,获得可靠的信息,进一步确定该产品的质量,厂商所能提供的服务能力。
除了以上提到的产品的核心技术架构外,经常令用户感到困惑是:在产品的功能上,各家的描述十分雷同,更有"后起之秀"的厂家的产品功能描述与一些知名品牌的产品极其相似,甚至有个别段落完全相同。面对这种情况,用户该如何办呢?因此用户明白注意,即使是描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,不同厂商的防火墙产品的个体差异是十分巨大的。
总之,用户在选购防火墙时,必须多了解相关的知识,注意提升自己鉴别能力,只有用户自己具有“一双慧眼”,才能真正做到“去粗存精,择优录用”,购买到价格合理,性能可靠,适用自己的产品。
--针对目前各个行业用户广域网互联的需求,东软专门推出了适用于分支机构应用的灵巧网关产品。该产品突出的特点是经济易用--既大幅度的降低了企业网络部署维护成本,又为企业网络提供了可靠稳定的安全性,可允许企业根据自身的特点,部署最适用的网络系统!
NetEye灵巧网关的管理界面将艰深难懂的概念和复杂的配置完全屏蔽起来,用户面对的是一个与Windows向导类似的、直观清楚操作界面。客户不需要具有任何网络安全知识,只要按照界面提示逐步操作,即可完成VPN网络的配置。它保留了防火墙和VPN的基本功能,但整体方案成本则大大地降低。此外,还可以节省路由器的投资,特别适合大规模VPN方案的部署。因此作为东软VPN解决方案的经济易用的VPN组件,NetEye灵网关具有即插即用,高性价比,维护管理费用极其低的特色!
从特性规划到界面、功能的设计,NetEye灵巧网关以“经济易用”做为核心思想。用户按照界面提示逐步操作,即可完成VPN网络的配置。作为一个精巧的安全接入设备,NetEye灵巧网关具有防火墙与VPN的核心功能,支持多种接入方式。其吞吐量100M;支持50000个并发连接;实现NetEye防火墙3.1内核与流过滤技术;实现了防DoS攻击、安全事件日志功能;采用高速硬件加密卡,45M加密性能(最高加密强度)。
实际上,NetEye灵巧网关将需要管理员配置的东西定制封装起来,即插即用,无须用户进行任何设置。作为东软VPN解决方案的一部分,作用是方便地建立与集中系统的互联,把在维护和管理的费用降到很低。而且,灵巧网关带有广域网接口,可以代替边界路由器,还可以自动维护用户端的网络,性价比很高。灵巧网关里面使用的是国家专用的密码算法,同时保证了安全性。最方便的是,它是一种星型连接的结构,在这个系统里,连进来的网络被缩成了一个点。它屏蔽了接入单位与总部之间的网络相关性,所以总部可以支持相当多数量的网络连进来,而在拓扑结构上仍能保持简单形态,使总部的维护变得非常容易。这种方式也非常适合企业与分支机构互联的模式。
技术特点:是一种边界防火墙和VPN网关,定位在中小型分支机构用户,安装简单、配置容易,用户无需具备任何网络或安全方面的专门技能即可将该设备接入因特网,并与总部网关建立安全隧道。由于这一产品支持ADSL、ISDN、拨号接入等多种接入方式,因此,使用灵巧网关构建的VPN网络可以随着企业组织规模的扩大方便地扩充。主要技术特性包括:DHCP服务提供给小型网络自动分配 IP 的功能;提供VPN上连服务,自动完成密钥协商并启用加密隧道;支持基本的 NAT 功能;支持SOCKS代理;自动检测并阻止 Ping of Death、SYN Flood、LAND Attack等DoS 攻击;可以自动通过外网卡、Modem 拨号、ISDN、ADSL 或 DDN 等设备完成到 ISP 的连接,在这个连接上建立与总部网关的加密通道, 通道建立后自动实施内网到 Internet 和内网到总部服务器的两个 NAT 规则,由于自动使用了 NAT ,所以客户的本地网络对总部完全隐藏, 不需要为实现互连而重新部署;采用简单的图形用户界面,所有的功能集中在统一的管理器中进行管理;使用硬件高速加密卡,通过IC卡进行安全地密钥分发;系统有足够的并发处理能力,可以支持500个用户同时上网;可以作为PPPOE的客户端;提供日志功能。
销售联系:
Tel: 010-82024567
Tel: 024-83662055
--“网络安全三人行”之电力篇
安全专家:东软股份信息安全产品策划部部长王虎
主 持 人:《计算机世界》报编辑记者 宋乐永
挑战来自联网
宋乐永:网络的复杂性和行业的特殊性,带来了多样化的网络安全需求。东软在电力行业已耕耘多年,能否谈谈在实施电力信息化项目,尤其是开发电力营销系统和客户服务系统的时候,主要遇到了哪些安全难题?
马玉成:电力系统目前最关注的安全问题是调度运行系统与办公及营销系统等联网后的安全问题,其中最担心的是对调度控制的影响,如电网调度的误操作等。
王虎:电力安全关乎百姓生活、社会稳定。国家对电力系统的调度、运行都有极高的安全要求,比电信的安全和可靠性要求还要高,因为电信出问题只是不能联络和通讯,而电力调度出问题会影响企业生产、人们生活甚至社会安定。
电力行业的特点是,信息化程度高,而且高度依赖信息化,一旦有不法分子进行破坏活动,造成的危害程度将很难估量;另外就是电力系统的实时性,电力是不能存储的,要求高度的实时性。所以任何国家都把电力系统的安全性、可靠性要求放在非常重要的位置。
宋乐永: 电力的这种行业特点,对安全产品提出了哪些要求?
王虎: 电力行业高安全性、可靠性的要求,导致电力行业对网络和信息安全产品的需求较其他行业有着比较特殊的地方:既要高度依赖于现有信息系统,又要保障该系统和应用的安全,因此对于网络安全产品、安全解决方案的选择达到了近乎苛刻的程度。
马玉成:电力调度运行的安全问题是具有行业特点的,前些时间国家电力公司提出了《关于调度与其他信息系统联网后的安全要求》,就《关于调度与其他信息系统联网后的安全要求》本身看,绝不低于国防安全的要求,甚至一些西方国家的电力安全系统也没有达到国家电力公司的要求水平。
电力安全“三保险”
宋乐永:东软在实施电力信息化项目方面,目前遇到的难题是什么?
马玉成: 东软正在开展的电力移动收费业务以及移动受理变更业务有可能会给营销系统的安全带来一些问题。对于电力的移动收费和移动变更受理,移动局虽然承诺保证安全问题,但还是存在移动局内部的隐患,需要东软提供一种手段让电力局放心。这样的应用模式带来的安全挑战将更加严峻,如何保障联入的人员就是供电公司认可的人?如何保障通过移动的GSM、GPRS传输过来的信息就是可靠的、没有被窃听和修改过的信息?
宋乐永: 对这种收费方式中的安全难题,你们有什么高招?
王虎: 首先要求网络服务提供商(比如中国移动)本身的安全措施,同时还要靠电力系统自身的高“免疫力”。一般情况下,软件系统供应商控制不了ISP方面的安全措施,但对于电力系统本身,强大的安全保障是必须的。
根据多年电力行业应用的经验,东软为电力系统的网络安全提供了一套“内外兼顾、稳定可靠”的安全保障体系。这套安全保障体系的框架是依托东软的NetEye Platform,结合全套的NetEye系列的安全产品,在东软遍布全国32个分支机构、100多名经过严格培训的安全专家、工程师的专业安全服务下,为用户构筑了一道有“三层保险”的安全防线。最外层是东软的NetEye防火墙,具有基于状态检测的应用级流过滤的防火墙体系架构,也是迄今为止在国内应用最为广泛的防火墙产品之一,连续两年被IDC评为占据市场份额第一的国内防火墙产品。在电力行业,东软在国内的10多个省大规模部署这种防火墙产品,其中有三个省是全省范围所有的省、市级节点全部部署,个别省份的电力行业达到几百套的部署量。在防火墙之后的第二道安全闸门是NetEye IDS,东软的IDS与其他产品相比更加适合在电力系统部署,因为电力系统是国家重要的命脉部门,一般不使用国外的IDS产品;同时,东软的NetEye IDS产品独有的应用层信息恢复的功能很好地解决了内部人员的攻击、滥用和误操作的问题。
最近,一位信息中心主任向我反映,东软防火墙和IDS强大的日志、审计功能为他们提供了细粒度的审计能力。目前许多部门正在对于网上各种入侵信息进行处理和监控,如何保证电力企业内部不出现类似情况以及出现了类似情况如何迅速地找到问题的源头,东软的NetEye系列的防火墙和IDS产品很好地完成了这个功能。在很好地对Internet入口进行保护,并成功地进行了网络分割之后,IDS产品又对于内、外网的攻击、误用进行了很好的监控,下面需要的就是安全的网络互联和信息传递。比如有时候,电力系统的员工出差时要对内网的服务器进行操作、省局要与市局进行安全的数据传递等,NetEye VPN很好地解决了这个问题:VPN对于利用公网传输重要的数据是非常有效的安全手段。这也符合目前电力系统的普遍的接入方式。
除了第一层防火墙、第二层IDS保护外,第三层的VPN的保护更加重要。对于需要保护的终端,可以安装NetEye 移动客户端软件,与总部的VPN大网关进行安全互联,这样就可以保证所传输的数据的安全、保密和可靠性。
宋乐永: 您刚才说的这三层安全保护网现在东软的电力案例中有没有得到应用?
王虎: 我前面提到的电力系统用户中,至少有两个省(华东一个、华南一个)使用了这种安全架构。
马玉成: 用VPN对应用软件会不会有影响,因为目前GPRS的带宽本来就不高?
王虎:VPN的速度影响在现有的网络带宽下,比如一般GPRS也就不到100k,是可以忽略不计的。在安全深入各个市电力系统、县电力系统的过程中,东软的另外一款安全产品—灵巧网关将越来越显示强大的生命力。它更加适合部署于中小企业、分支机构,因为它具有灵活的广域网接入方式,具有非常“傻瓜式”的规则配置方式以及基本免维护的特性,具有非常高的安全性和性价比。同时灵巧网关还具有VPN模块,是一款灵活、低价、方便的安全接入产品。
宋乐永:东软的安全产品给客户带来的安全可靠,表现在哪些方面?
王虎: 东软的安全解决方案和产品带给用户的是非常灵活的部署、可靠的保障和细致的安全策略。具体表现为以下几个方面:
1. 网络管理人员可以随心所欲地配置安全产品、安全策略,可以非常容易地体现其安全意旨。例如某网管员,部署一台防火墙限制某个人不许上网,可有一天,领导要求允许这个人上网,但是不允许工作时间上网,这就需要进行规则的调整,但如果防火墙不支持基于时间的规则配置,就达不到领导的要求。
2. 要求安全产品具有高度的可靠性。这里面有两层含义: 一是要求防火墙本身安全、可靠,如果安全产品本身不安全、可靠,总是死机,如何保障网络的安全可靠?二是要求防火墙对于网络环境具有高度适应性,用户的网络和应用千差万别,有的跑动态路由协议,有的有特殊的网络设备,安全产品必须适合这些要求,而东软的安全产品非常好地满足了这些要求。
宋乐永: 能否介绍一下东软的流过滤技术在电力行业的应用中,给客户带来的实实在在的好处?
王虎: 东北某电力公司部署东软的安全产品的时候,正值红色代码病毒攻击,由于NetEye防火墙和IDS的成功部署,有效拦截并进行了报警,避免了病毒在该公司内部的大面积爆发。这是一个简单的例子,这样的例子还有很多。 流过滤防火墙提供了在透明模式下防火墙细粒度的应用层的访问控制。这一点是业界非常先进的,防火墙工作于透明模式,没有IP地址,但是基于流过滤的技术架构的防火墙,可以完全控制应用层的信息,进行详细的访问控制和日志审计。
电力改革为东软开路
宋乐永: 目前正在进行的电力体制改革倍受业界瞩目,近期的电力体制改革将给电力安全产品带来怎样的市场机会?
马玉成:总体来说,电力体制改革会使核算单位细分,基层的独立性会更强,基层单位与当地的横向联系会更多,必然打破原来行业封闭的现象; 对信息安全产品的需求必然急剧上升,同时对安全产品的性能要求也会非常苛刻。改革以后,基层企业独立性增强,信息的安全就是企业的生命--它们将不会轻易相信安全产品,但对于好的安全产品也会不惜代价。
王虎:我想这些改革和调整一定会对那些质量差、服务差的企业有重大冲击,对于东软这样的规范、有规模、服务好的企业一定有益处: 因为一直以来人们认为安全的门槛太低,进入的企业太多。有报道说,全国有1300多家与网络安全产品有关的企业,但是98%的企业是30人以下的小公司。这样的公司的产品很难满足电力企业的苛刻要求。
宋乐永: 改革对安全产品需求更加苛刻表现在哪些方面,东软对抢占改革带来的新市场做了什么准备?
王虎: 东软在产品质量、产品线和服务方面都做了充分准备,迎接电力系统的改革。在产品质量方面,东软更加注重产品的日志、丰富的审计功能,并且在产品的可靠性方面下了大力气;在产品线方面,丰富了防火墙产品线,增加了灵巧网关;在服务方面,东软重新整合了服务资源,成立了产品服务中心,统一调配东软安全服务资源;在销售方面,东软今年整合了销售资源和部门,成立了网络安全产品营销中心,由东软股份有限公司总裁王勇峰亲自兼任这个安全产品营销中心的总经理。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com