 ·展 望 2003 : NetEye笑傲江湖 ·热 点 关 注: NetEye IDS 2.0获《计算机世界》年度产品奖 NetEye网络密码机通过国家商密办产品检测 ·专 家 建 议: 在吞吐率和安全性之间进行选择 ·NetEye词 典: 网络安全词汇析辨(一) |
| 交流中心 | 查阅过往期刊 |
* 赛迪公布2002年年度精品奖,东软安全产品再度金榜题名
* 东软助力电子政务--协助国家行政学院开展安全知识普及
* NetEye防火墙3.1及NetEye VPN(SJW20网络密码机)获“用户推荐产品”奖
* NetEye Support Team技术文档:“谁来为用户的安全负责--谈客户信息保密”
* NetEye亮相“2002中国大型机构信息化展览会”
* 引领技术发展趋势 护航电子政务安全
* INTEL全国用户巡展,东软携手论安全
* 信息安全决定电子商务发展--“网络安全三人行”之电子商务篇
令人激动的2002年即将过去,满载希望的2003年即将来临,值此新年来临之际,东软软件股份有限公司网络安全事业部和网络安全产品营销中心,首先向一直以来对NetEye的发展给予了持续关注与支持的用户、合作伙伴和公司员工表示衷心的感谢。
回顾2002年,我们在市场上取得了骄人的成绩:
1. 年初,东软把原先的服务部门升级为产品服务中心,加强对全国NetEye产品用户及合作伙伴的全面技术支持和服务。在北京、上海、广州、成都、武汉、西安等30余个分支机构设立NetEye产品服务工程师,提供覆盖全国的支持与服务。针对重点防火墙用户,东软还组织专门的技术支持与服务小组,提供及时优质的技术咨询、技术培训、技术实施、技术支持和维护支持等综合服务。
2. 4月11日,东软股份在北京发布了NetEye Firewall 3.1版、SJW20网络密码机(NetEye Firewall VPN增强版)、NetEye IDS 2.0版及NetEye个人安全平台等系列安全产品,进一步完其业界领先的安全产品系列。新产品在关键技术上的进一步发展为用户的网络安全提供了更高的可靠性,而且使企业在安全管理方面的效率得到了有效的提升。
3. 4月13日,“NetEye防火墙系统”产品通过辽宁省科学技术成果鉴定,鉴定委员会一致认为该系统总体性能达到国内领先水平,其产品达到了国际同类产品的先进水平。建议不断地发展网络安全技术。
4. 5月,NetEye策划部成立。
5. 5月21日-5月31日,NetEye将在全国八大城市开展一年一度的巡展活动,先后在上海、西安、宁波、长沙、武汉、成都、昆明、福州八大城市,向当地行业用户及合伙伙伴推广东软全新的NetEye网络安全产品及相关解决方案。并将与各地合作伙伴进行从技术到销售等全方位的交流,向业界全面介绍东软日趋健全成熟的网络安全服务体系,并启动东软服务质量年。
6. 7月12日,在辽宁省公安厅举办了“防火墙攻防有奖活动”,NetEye防火墙成功的抵抗住了来自Internet 40多万次的攻击,荣获辽宁省公安厅颁发的荣誉证书。
7. 7月,NetEye防火墙CCID与中国电子信息产业发展研究院联合举办的“2002年中国IT服务满意度调查”评选活动中,获得“防火墙最佳服务承诺兑现奖”,与NETSCREEN公司平分了软件类防火墙产品的两项大奖。
8. 7月,NetEye电力行业解决方案在中国计算机报主办的优秀解决方案评选中,被评为电力领域优秀典范奖。
9. 8月22日,NetEye防火墙以强大的综合实力在CCID发布的《防火墙产品技术研究报告东软的排名第一。
10. 8月,网络安全产品营销中心成立,东软股份有限公司总裁王勇峰亲自兼任这个安全产品营销中心的总经理。
11. 8月31日-9月1日,东软网络安全产品营销中心,在沈阳总部的软件园内举办了为期三天的全国网络安全销售人员的培训大会。
12. 9月18日,NetEye IDS 2.0获得由中国计算机用户协会颁发的“用户推荐产品奖”。
13. 10月16日,东软股份在贵阳市举办了题为“技术创新缔造网络安全”的合作伙伴及用户交流大会
14. 10月26日,东软股份在北京成立信息安全实验室。该实验室是东软面向信息安全核心技术的研究机构,研究方向包括入侵与防御技术、信息保密技术、信息安全专用芯片技术等领域。
15. 11月20日,东软股份在京发布了最新研制的NetEye千兆IDS系统,它采用先进的负载均衡技术,能够在千兆环境下对超过256字节的数据包实现100%的分析检测,对于最小的网络数据包也能够在470兆时达到100%不丢包检测。该产品是国内第一个完全自主研制的千兆线速IDS系统,弥补了国内在此类高性能网络安全产品领域的空白。
16. 11月26日,NetEye网络密码机成功通过国家商密办产品检
17. 12月20日,NetEye IDS 2.0获《计算机世界》授予的2002年度IDS产品的年度产品奖,是本次年度产品获奖产品中唯一一款入侵检测类产品。
18. 12月20日,NetEye 防火墙V3.1及NetEye VPN(SJW20网络密码机),分别获得由中国计算机用户协会颁发的“用户推荐产品奖”。
19. 12月26日,NetEye 防火墙4120及NetEye IDS 2.0分别荣获由赛迪评测颁发的“赛迪评测2002年度精品奖”。
纵观安全市场发展,2002年主要由于以下因素,使得NetEye在各个方向获得了全面的提升:
1、 公司对于网络安全事业的高度重视。公司总裁王勇峰先生直接兼任网络安全产品营销中心总经理,这充分说明了公司对于NetEye网络安全技术的认可及网络安全事业的决心。
今年下半年,公司又将负责研发的网络软件事业部更名为网络安全事业部,这样东软会有一个更加专注于网络安全产品的研发队伍。
继2001年对网络安全大投入后,2002年公司在网络安全产品的研发、测试、服务、维护等方面又投入巨资:继续丰富了公司总部安全实验室的软、硬件配套设施,又投巨资在北京成立了东软网络安全实验室,这标志着东软网络安全解决方案的可用性、可靠性进一步得到保证。
2、 市场竞争更加规范。随着产品、技术的不断成熟,网络安全市场也更加趋于规范,用户选择产品的时候更多的表现了理性的一面:以往完全依赖国外产品的局面被打破,很多重要的行业用户已经开始青睐国内的网络安全产品;项目的运作更加规范,一些项目正规的招、投标流程导致很多以前项目中存在的暗箱操作过程被杜绝;国家相关部门陆续出台一些规定,原来的地方保护主义情况大有好转。
3、 东软NetEye团队的强大的凝聚力。
 |
在激烈的市场竞争中,我们锻炼并培养了一批优秀的销售人员和技术人员,我们团队的带头人--资深的网络安全专家曹斌博士(左图),以追求完美的技术、产品的热情,带动并感染着整个团队不懈努力、"做到最好";他凭借在网络安全领域深厚的底蕴和多年的经验,设计并直接参与了NetEye所有产品的研发和销售,并时刻告诫团队中的所有成员一定要将产品质量的提升、客户满意度的提升做为最高的责任。因此,我们拥有不仅是最多的,而且是最好的专职安全产品研发人员--充满热情、强烈的责任心、追求完美,他们是NetEye系列产品不断发展以及产品性能、稳定性不断提升的有力保证。 NetEye团队时刻牢记“质量是产品的生命,任何对产品不负责任的行为都将产生对用户 |
同时,我们希望安全产品带给用户的不仅仅是一个"单一的产品",更重要的是随着东软安全产品的使用和部署,我们可以为客户带来更多的附加价值:我们的专业的安全服务可以解决用户使用网络和设备的疑难问题,我们的专业的安全培训可以使客户自身的价值得到有利的提升,正所谓"授人与鱼不如授人与渔"。
每一点一滴成绩的取得更离不开广大客户对于我们的理解、支持和信任,在新的一年里,我们全体NetEye人将以更加积极的态度做好为用户及合作伙伴服务的每一项工作,以更加优秀的产品、更加优质的服务为客户提供一个更加安全、洁净的网络空间。我们将秉承"技术创新缔造客户安全"的原则,在新的一年中为客户铸造起一道更加坚固的网络长城!(NetEye策划部部长王虎撰稿)
2002年12月20日,《计算机世界》一年一度的年度产品奖颁奖仪式于在北京隆重举行。东软的NetEye系列安全产品NetEye IDS 2.0不负众望,获得了《计算机世界》授予的2002年度IDS产品的年度产品奖。
《计算机世界》的年度产品评选自1999年创立以来,评选范围逐年扩大,2002年已拓展到7大类、50多个产品领域的100余款产品,同时影响力日隆,已经成为用户采购产品和把握产品发展方向的风向标。此次的评选,涉及信息接入、企业平台(存储+服务器)、外设、数码、网络、配件、软件产品七大类;而评选的依据,更是在首先具备相当的技术水准和较为广泛的应用技术的基础上,综合了产品自身的创新性、性能、品质及市场等诸多方面的因素,从而使本次评奖的结果极具参考价值。
来自IBM、联想、Dell、HP、Sony、东软等数十家厂商参加了此次颁奖典礼。相对竞争激烈的市场环境,东软的IDS产品获得此奖,既证明了NetEye安全产品已经得到了市场的普遍认可;又说明了我们的安全产品线的不断的扩充、完善,推动着东软在安全领域的长足的发展。NetEye IDS 2.0作为本次年度产品获奖产品中唯一一款入侵检测类产品,充分显示了NetEye IDS雄厚的技术实力。
1、2002年度《计算机世界》年度产品奖获奖奖牌--东软NetEye IDS 2.0
2、2002年度《计算机世界》年度产品奖获奖证书--东软NetEye IDS 2.0
互联网应用的不断普及,尤其是在近两年连续发生的安全事件,如"中美黑客大战"及"美国9.11事件"等,更加促成了网络安全产业飞速的进步。我国政府对民族网络安全产业的建设及发展给予了高度的重视与大力支持,尤其是商用密码类产品,由于其本身的特殊性而有特别严格的要求!
东软作为我国最大的专业化软件企业之一,从事网络安全产品的研究、生产工作已经有很长的历史,并在国家的863项目、国家九五攻关项目等一系列重要的国家安全项目建设中取得了很好的成绩、得到国家及业界的广泛认可及好评。
对于商用密码产品的研发、销售工作的开展,东软已经取得不错的成绩,这除了需要东软公司自身的实力和努力外,更得到了辽宁省商密办等国家密码管理机构的大力支持。2002年9月17日,国密办王主任一行在辽宁省商密办领导的陪同下到东软的软件园进行工作视察,当国密办领导在辽宁省商密办的介绍中得知东软虽然从事商密产品的研究已经多年、并取得了用户广泛认可,但因自身商密产品NetEye SJW20网络密码机(VPN)一直未拿到相关的测试报告而迟迟不能作为产品对外公开发售时,国密办领导王勇格主任对此非常重视并当即表示“对于东软的商用密码事情,要特事特办”,要保证在最短的时间内让东软的产品进行测试并拿到测试报告,充分体现了国密办对民族商密软件事业发展的重视程度,同时也充分体现出了辽宁省商密办对于东软这个本省的民族软件企业给予的特别重视、大力支持以及辽宁省商密办工作的高时效性。
真是由于国密办及辽宁省商密办的高度重视及大力支持,东软的NetEye SJW20网络密码机(VPN)于2002年11月26日成功通过产品检测并顺利拿到了产品测试报告。
题记:防火墙占据了企业网络中的重要位置,在其众多的评价指标,如安全性、适用性、稳定性、吞吐率、并发连接数、可扩展功能等。客户如何选择最适合实际需要的产品?――本文就安全性与吞吐率的重要性进行比较分析。
本质上,防火墙系统出现是为了给某个需要进行保护的特定网段加上一道安全的闸门。它的任务是严格判断所有流经该防火墙的访问流量,把正常或经授权的访问请求转发至目的网络,而把非法请求予以摒弃并作相应日志记录。这些判断可能依赖于链路层或链路层以上各层报头信息,如Mac地址、IP 地址、协议号、端口号、标志位等;也可能依赖于对报文内容进行匹配过滤审查。如果防火墙的安全性不够好,导致非法访问能够渗入受保护网络区域,那么防火墙整个设备就失去了存在的全部意义。
吞吐率是防火墙另外一个比较重要的参数,它反映了防火墙单位时间内对流量的最大转发能力。现在主流防火墙设备都已经可以支持100M等级链路速度,只是在对于更高速的链路支持上仍然存在着较大的距离,这些高速链路一般指的是GBEthernet、ATM OC-12、POS。现在比较成熟的千兆防火墙,如Netscreen、东软NetEye 等,虽然可以提供多种物理介质的支持,但是在二层上通常只提供GBEthernet一种规程。
相对于安全性而言,吞吐率往往不作为防火墙选型时需要重点考虑的首要问题。这是因为:
1、防火墙通常部署在具有不同安全等级要求的网络分段处,这些部署位置通常是两个或多个网段之间的通道,一般不具备超高速的链路速度,如企业网络的Internet接入链路,常见速度一般在64k~10M 之间。所以这些链路的速度对于防火墙而言完全能够承受。相反的是,这些接入链路具备各种各样的形式,如ADSL、PSTN、DDN、ISDN、Frame-Relay等,所以管理员需要更多考虑的是防火墙对这些链路是否支持,而不是吞吐率的大小;
2、在企业级网络安全方案设计中,一般应回避在高速链路上部署防火墙,这是因为防火墙在这些位置的部署可能会给整个网络性能带来负面影响--比如说,管理员对防火墙做了错误的配置,造成防火墙拒绝特定或全部流量,那么故障影响范围将波及整个企业网络,造成不必要的事故扩大;
3、某些特定的方案中,可能存在将防火墙部署在高速主干链路上的建议,但这些特高端设备通常只是为运营商级网络所特别研制,成本较高,难以适合一般的企业网络需求。
吞吐率与安全性孰轻孰重的争论,很大程度上促使了目前防火墙两种流派的诞生:RISC派和CISC派。(1) RISC 派,采用RISC指令集处理器并大量采用了分布式的ASIC芯片,通过独特的总线控制机制和存储机制,获得较高的报文处理速度,提高系统吞吐率。但是由于大量固化代码的存在和过长的硬件设计周期决定了RISC 防火墙只能对报文进行模式比较固定死板的处理,使RISC 派防火墙无法形成对应用层协议指令或内在内容的灵活控制,也无法针对不断出现的新的攻击方式提供方面、快速的升级方式,在安全性上差强人意;(2) 而CISC派则采用了目前较为普及的CISC处理器,如Intel x86 系列,通过在软件设计开发方面的专注而获得较好的安全性和灵活扩展能力。
由于针对应用层协议漏洞的攻击种类在全部漏洞中占据了绝对优势,所以目前防火墙设备的研发或选型更多的关注设备在安全性尤其是应用层安全方面的表现。而且目前国内防火墙设备基本上都是采用CISC处理器,省却了在硬件设计上的大量投资,更多的投资和精力投入在软件设计上,在安全性方面普遍起点很高。NetEye 防火墙作为东软公司的主打产品,在安全性方面尤为出色,不仅功能齐备、完善,而且由于独创“流过滤”技术及强大的日志审计系统,使其对应用层访问控制力度达到前所未有的强度。其安全性优势主要表现为以下几点:
1、在不放弃低层安全防护的前提下,特别突出对应用层的保护:NetEye防火墙能够对应用层多个协议进行命令级和目录级的访问控制,并且能够同时与底层其他基本控制方式相结合,从而形成一体化的访问控制机制。在目前常见应用协议中,NetEye防火墙支持的命令最多,对目录的控制非常灵活、严谨。而且这一切都可以跟IP、端口、用户帐号等方式结合起来使用;
2、对应用层协议支持的扩展能力:企业的应用日益增多,防火墙在缺省条件下很难对所有应用协议提供严谨、贴切的支持,除非防火墙应当能够灵活的、无缝的容纳不同应用层协议包的嵌入。NetEye 防火墙通过其独创的“流过滤”技术,完全能满足企业对这方面的需求--支持各种应用协议支持包的嵌入,比如,NetEye防火墙先后提供了对Netmeeting、H.323协议、Multicast、双向DNS 解析等多种协议的支持,并且还会有更多的应用协议包陆续推出,甚至允许用户可以通过“定制”获得对自己独特应用协议的支持。对某种应用协议实现“支持”意味着防火墙能对该协议进行粒度更细的访问控制、透明代理(对于某些应用而言)、动态规则适应、以及内容过滤功能,从而能够避免单纯基于端口的控制方式所固有的漏洞;
3、内容安全性:NetEye 防火墙不仅关注网络上可能发生的攻击行为,还关注链路上所承载的业务流量内容。这些内容一般来说都是不可执行的、完全文本化的,但是这些流量却有可能携带了危害性更大的信息,如企事业单位、国家机关失窃的机密信息、国家明令禁止的反动言论、不健康内容、邮件病毒的特征名称等等。所有这一切都可以通过NetEye防火墙的内容过滤来解决。NetEye 防火墙可以对HTTP、SMTP、FTP等多种协议进行内容过滤,而且对于Email 的主题、附件同样可以进行检查处理,任何违反管理员规则设定的流量或常见的Email 病毒都无法通过NetEye防火墙流经过去。
4、收集证据:NetEye 防火墙的存储空间非常大,网络访问日志和事件日志等日志系统均可选存储在防火墙本地或网络日志服务器上。网络访问日志能够详细记录下每段流量的细节信息,如发生时间、持续时间、IP 地址、端口信息、流量统计等,这些信息不仅可供记录网络访问行为,还可提供给计费使用。事件日志系统则记录了所有有关安全的事件,如管理用户登录、验证失败、配置文件变动、重要进程状态变化和网络进攻的发生,管理员可以从这个日志系统中获得所有的网络安全信息。每一条信息都会被归于某个安全敏感等级,如Emergency、Critical 或Notify等很多种类别,分别标以不同的、用户可用定制的颜色进行直观式的区分。另外,声光、Email、SNMP Trap等构成了NetEye 防火墙丰富多样、无处不达的报警机制,保证管理员能够在第一时间获知网络最新状况。
5、系统及时更新:所有NetEye防火墙的客户都可以从NetEye 网站上获得最新的升级包,通过管理端简单的点击便可以完成系统内核的全面升级,使防火墙能够安全、快速的形成对最新形势的适应能力,确保客户网络不受侵犯。
选择防火墙,是为了选择它的安全性。如果追求片面的吞吐率的话,那么作为进行高负荷统计特征匹配的防火墙设备,它的吞吐率永远也赶不上交换机甚至是路由器,但是我们肯定无法选购一台交换机来取代防火墙。所以,防火墙设备选型中最重要的是要考虑它的安全性,其他各类指标应该在安全性能指标能够得到有效保证的前提下再进行考虑。
·NAT: 既Network Address Translation,我们常称为网络地址转换,它通过将写在IP报头上的未经注册的地址替换为合法的、已经注册的IP地址来解决地址匮乏问题,允许将多台没有合法IP地址的机器通过NAT转换为合法的地址连接到Internet。NAT功能通常是内建在路由器、ISDN路由器、防火墙或独立的专门的NAT设备之上的。这些NAT设备负责维护一个静态地址列表,该地址列表可以将位于NAT设备一侧的非法地址映射为位于NAT设备另一侧的合法IP地址。
·DHCP: 既Dynamic Host Configuration Protocol-动态主机配置协议,是一种简化主机IP配置管理的TCP/IP标准,提供了在局域网内为主机动态指定IP地址的方法。系统管理员划分一定范围的IP地址,DHCP客户端通过相应的TCP/IP软件从DHCP服务器获得TCP/IP配置信息,这个过程就是常说的“租用”。用户租用IP地址有时间限制(即租约期限),当租期到了的时候,服务器可以把这个IP地址分配给别的机器使用。而且,客户也可以请求使用自己喜欢的网络地址及相应的配置参数。DHCP标准提供了使用DHCP服务器的有效方法:管理IP地址的动态分配以及网络上启用DHCP的其他相关配置信息。TCP/IP网络上的每一台计算机都有唯一的计算机名称和IP地址。即IP地址(及相关的子网掩码)标志了主机及其连接的子网。将计算机移动到不同的子网时,必须更改IP地址。DHCP允许从本地网络上DHCP服务器IP地址数据库中为客户机动态指派IP地址,对于基于TCP/IP的网络,DHCP减少了重新配置及计算机所涉及的管理员的工作量和复杂性。
·IPSec: 既因特网协议安全性(Internet Protocol Security),是一个第三层的VPN协议标准,支持信息通过IP公网的安全传输。自1995年开始,已经得到了公认的支持。除了定义IP传输的加密机制外,IPSec还定义了IP over IP隧道模式。一个IPSec隧道由隧道客户和隧道服务器组成,它们IPSec隧道来协商加密机IPSec兼容设备在网络层(OSI模型的第三层)提供加密、验证、授权、管理等服务,这些对于用户来说是透明的(既在应用层不作任何事情),因此用户使用起来和平常没有区别,密钥交换、核对数字签名、加密等都在后台自动进行。
·SOCKS,是一种网络代理协议,它使在SOCKS服务器一端的主机可以获得对SOCKS服务器另一端主机的完全访问权限,不需要主机间直接的IP。经常用于防火墙重新定位从SOCKS服务器到另一端主机的连接请求。SOCKS服务器验证、批准连接请求、建立一条代理连接在主机间转发数据。它由两个版本:SOCKS4、SOCKS5,SOCKS5支持UDP协议,是一种透明的代理协议,很好的解决了认证、保密已经代理接力等问题。Netscape,IE都课直接使用该代理。而且,SOCKS5的客户端软件,使不支持SOCKS5代理的网络软件可以通过代理访问Internet。而由于它支持UDP,是防火墙后的人使用ICQ比不可少的。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com