|
 ·热 点 关 注: FY03 NetEye全国销售培训拉开帷幕 ·安 全 问 答: NetEye问题解答--灵巧网关 ·安 全 论 坛: 喻析VPN技术 有了防火墙,为何还需要IDS? ·NetEye词 典: 网络安全词汇析辨(三) |
全国销售培训拉开帷幕
在各个大区、事业部积极配合和公司领导直接督促、正确领导下,东软的NetEye产品在FY02取得了很好的销售业绩。为了在FY03年中取得更好的成果,东软股份网络安全产品营销中心和网络安全事业部在新年伊始就拉开了对公司八个大区的培训序幕。
本次培训由网络安全产品营销中心组织,主要面对东软八个大区的销售人员和NetEye代理商,其中包括公司各个行业线的销售和各个分支机构专职的NetEye销售经理以及合作伙伴的销售人员。主要内容将对FY02的区域销售进行总结,对FY03销售工作进行部署,同时还有产品经理对产品的培训。本次培训计划覆盖八个大区,计划从华南开始。
2月24日,开始在广州展开对华南大区区域内的专职NetEye销售经理以及各行业线销售经理进行为期三天的NetEye产品培训,届时将发布FY03有关NetEye产品的销售政策和策略。此次NetEye产品销售培训阵容强大,出席培训的包括区域及分支机构的领导及各行业线的销售主管,东软NetEye系列安全产品主设计师、网络安全事业部部长、网络安全产品营销中心副总经理曹斌将亲自前往,与各地销售经理一同展望FY03
NetEye产品的未来。在华南大区培训结束之后的一个月里,网络安全产品营销中心将陆续完成对华东、华中、西南、西北、东北、华北、山东等其他七个大区的销售培训。
网络安全产品营销中心举办此次轮训的目的在于进一步扩大东软网络安全产品在全国范围内的影响,使各个区域内的NetEye专职销售队伍以及其他行业线的相关销售人员更加了解并熟悉我们的自有软件产品,并发挥各行业的优势,充分调动各方面的资源,发掘潜在合作伙伴,拓展东软在网络安全产品领域的渠道,将我们的自有产品做得更好,在各方面真正做到中国的"No.1"
题注:NetEye灵巧网关推出以后,因其经济易用、性价比较好而受到了各界朋友的注目;许多人来信针对自己关心的问题提出疑问。本文节选了几个最常被问起的问题,请NetEye灵巧网关的PSM在此做了回答。
FQA1: NetEye灵巧网关属于那一类安全产品?
PSM:NetEye 灵巧网关是防火墙(NetEye 防火墙系统Ver3.1)的一种型号SG1000。该产品从特性规划到界面、功能的设计,突出的特点就是简单易用。灵巧网关的管理界面将艰深难懂的概念和复杂的配置完全屏蔽起来,用户面对的是一个与Windows向导类似的、直观清楚的操作界面。用户不需要具有任何网络和安全方面的知识,只要按照界面提示逐步操作,即可完成网络的配置。它保留了防火墙和VPN的核心功能,但采用灵巧网关配合NetEye VPN网关来实施VPN系统,整体方案成本会大大地降低。由于该产品支持多种接入方式(以太网口、ADSL、MODEM、ISDN和DDN等),因此能满足行业用户广域网互联的需求,适用于分支机构应用。
FAQ2:那么相对与原来NetEye的此类安全产品,NetEye灵巧网关具有那些独特性?
PSM:灵巧网关是NetEye 防火墙3.1的一种型号,具有其基本的基于流过滤的状态包过滤系统。相对其他型号的产品来说,灵巧网关具有以下功能特点:
1) DHCP服务提供给小型网络自动分配 IP 的功能;
2) 提供VPN上连服务,自动完成密钥协商并启用加密隧道;
3) 支持基本的 NAT 功能;
4) 支持SOCKS代理;
5) 具有DNS代理功能,用户无须再配置一台DNS服务器;
6) 自动检测并阻止 Ping of Death、SYN Flood、LAND Attack等DoS 攻击;
7) 可以自动通过外网卡、Modem拨号、ISDN、ADSL或DDN等设备完成到ISP的连接,并在这个连接上建立与总部网关的加密通道,通道建立后自动实施内网到Internet 和内网到总部服务器的两个NAT规则,由于自动使用了NAT,所以客户的本地网络对总部完全隐藏,不需要为实现互连而重新部署;
8) 采用简单的图形用户界面,所有的功能集中在统一的管理器中进行管理;
9) 具有液晶屏配置功能,可以进行最基本的网关配置操作;
10) 使用硬件高速加密卡,通过IC卡进行安全地密钥分发;
11) 可以作为PPPOE的客户端;
FAQ3. NetEye灵巧网关是否能实现NetEye同类安全产品的所有功能?
PSM:NetEye 灵巧网关具备了防火墙3.1的核心功能,相对于防火墙3.1其他型号的产品来说,由于主要定位于小型网络和分支机构,灵巧网关不支持以下功能:
1) 不支持HTTP、SMTP内容过滤功能,基于管理简单方面考虑,没有该功能,但后续版本会支持对HTTP的过滤,对用户访问WWW站点加以限制;
2) 不提供永久性日志,由于灵巧网关采用Flash卡存储,存储空间有限,后续版本会支持网络日志的存储; 3) 不提供审计功能;
4) 不支持实时监控;
5) 没有双机热备份功能;
6) 不支持基于帐号的流量管理;
7) 无桥接模式和相关其他的功能(代理路由,没有非IP控制,没有Trunk的支持),后续版本支持桥模式; 8) 无SNMP功能;
上述功能的裁减主要是根据小型用户的特点,从实际需要出发,以经济、简单、实用为主要目的,方便用户使用和管理。
FAQ4. NetEye灵巧网关与NetEye同类产品相比,区别在哪里?
PSM:主要区别是:配置简单,方便实用,支持丰富的广域网接口,是防火墙VPN解决方案的一部分。灵巧网关外部用户不能主动发起连接,而只允许内部用户访问外部网络。
FAQ5. 相对与NetEye同类产品,NetEye灵巧网关性能如何?
PSM:由以上FAQ3便能推知,相对NetEye 其他同类产品,NetEye灵巧网关在某些性能略有下降。然而它专们为小型用户给企业的分支机构量身打造,对这类用户来说灵巧网关以较合理的价位,满足了他们的安全性需求,而且易于管理维护,具有极高的性价比。
题记:本文用一个比喻简明的分析、描述了VPN如何运作、及其为何在通信中实现安全性、可靠性保障。
VPN(Virtual Private Network),即虚拟专用网是指通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。通常可分为两类:
·远程访问VPN(即Remote-access VPN)--又称为虚拟专用拨号网,即用户到局域网的链接,往往是公司的职员在各地出差远程连接到内部专用网。一般情况下,如果一个企业想要建立远程连接VPN,首先它要对ESP(enterprise serviec provider)开放资源,然后ESP为企业建立网络访问服务器(NAS,network access server),并为远程用户提供客户端软件。这样远程办公者通过免费拨号连接NAS,然后同行NAS的VPN客户端软件访问公司网络。使用远程访问VPN的往往是一些具有几百个外地销售人员的大型企业。远程访问VPN通过第三方的服务提供商保证远程用户与公司的专用网连接的安全性和保密性。
·站点到站点VPN(Site-to-site VPN),即利用专用设备及大范围加密术,企业在公用网(例如因特网)连接多个固定点。点到点VPN可以:
--基于内网。假设企业有一个或者多个距离很远的地址(比如沃尔玛在沈阳、深圳等都有),这些分支希望能加入到一个整体的专用网,这种情况下,他们可以建立这种基于内网的VPN,完成LAN到LAN的链接。
--基于外网。假设某企业与另外一个企业有着友好、紧密的关系(比如合作伙伴、供应商或者客户关系等),他们可以利用基于外网的VPN完成LAN到LAN之间的链接。这将使得各个不同的公司公用共享环境。
下面用一个简单的比喻,简单明了的描述一下VPN如何保证安全的通信。假设把每一个LAN比作一个岛岛屿:
设想,你生活在大海中的一座岛上,海中散布着其他的岛屿距离你的岛或远或近。到其他岛屿最常用的方法是乘船,这种情况下你不可能保密,你做的任何事情都可以被船上的其他人看见,除非你能保证在你到达你的目的地之前该船不会搭载其他人。这里把每一座岛代表一个企业私有LAN,海就是因特网,乘船指连接到网站服务器或者类似的其他网络设备,你不能掌控因特网各个连接上的其他用户,就象你不能控制同一条船上的其他人。很显然,仅仅借助公用资源(比如因特网)链接两个专用网络,他们双方通信的安全性问题得不到任何保障。
依次类推,你所在的岛屿可以建桥连接其他岛屿,这样双方的通信将比较容易、安全、直接。但问题是:即使两座岛屿之间的距离较近,建立、维修这座桥的费用也非常的昂贵,当然这可以满足你在可靠性、安全性方面得要求。有时,你所在的岛屿与另一个岛屿相互非常乐意建立这种可靠、安全的连接,可往往会因为相互距离太远,费用高的难以接受而不得不作罢。这里类比得是租赁线(leased
lines)的方式。桥(租用专线)是分离与海(因特网)得,但是能够连接各个岛屿(LANs)。许多企业出于安全性、可靠性考虑,选用该连接方式。不过如果链接的两处之间距离较远,费用可能会达到很高的极限--正象建立一座跨跃很长距离的桥。
那么VPN又如何呢?依上类推,假设我们给岛屿上的每个居民一艘很小的潜水艇,该潜水艇具有一下特点:
·速度很快
·可以很方便的大带你到任何你想去的地方
·而且能够使你隐蔽,不被其他船只或潜水艇发现。
·很可靠
·只要两个岛屿购买了第一艘,每额外增加一艘潜水艇,只需要很少的费用。
虽然和其他的旅行方式一样借助海(因特网)通行,但是两岛的居民可以随时在他们乐意的时候安全而又不受干扰的相互往来。这就是VPN运行的实质。远程端用户能够以因特网为介质,以安全可靠的方式连接入专用LAN。相对传统的租赁专线,VPN可以适用于更多的用户及各个不同的场所。实际上可扩展性是VPNs最主要的优势。另外它不像租赁线,费用随着距离的曾长而成比例的增加,地理位置对VPN几乎没有任何影响。
通常一个设计优秀VPN能使企业受益匪浅,主要体现为:
·扩展区域的连通性
·提高安全性
·相对传统的WAN,大大减少运作费用
·为远程用户减少传输时间及传输费用
·提供通信效率
·简化企业网络拓扑结构
·为企业提供了全球化的网络机遇
·支持远距离工作
·具备良好的宽带网络兼容能力
·相对于传统的WAN,保证了更快的ROI(return on investent--投资回报)。
很多人认为防火墙能够辨认并阻止网络攻击。这实际并不完全准确,防火墙仅仅是一个用于关闭一切连接,只打开几个允许的选项的设备。在理想的情况下,网络系统应该是确定的、安全的,不需要防火墙。正是因为系统中总是遗留着各种各样的安全漏洞,因此我们必须使用防火墙。
因此,系统安装的防火墙所做的第一件事就是停止所有的通信。然后,防火墙管理员仔细的添加一些规则,规定允许那些特定类型的通信可以穿过防火墙。例如,一个典型的公共的与因特网连接的防火墙,一般要禁止所有的UDP和ICMP数据的通信,禁止对内的TCP连接,允许对外的TCP连接。这样禁止了所有因特网黑客的对内连接,而仍然允许内部用户对外的各种连接。
也就是说防火墙仅仅是一道环绕网络的防御设备,带有几个经过精心选定的门口。它不能检测是否有人企图闯入(比如在下面挖一个洞),它也不能完全确定从门口进来的那个人是否是被允许进入的,合法的。它仅仅能限制对某一个特定点的访问权限。
总之,防火墙并不像某些人认为那样,是一个powerful的动态防御体系。相对而言,IDS更贴切于这种称呼--强大的动态防御系统。IDS能够辨认出防火墙未能辨别出来的针对您的网络系统的各种攻击。例如,1999年4月,很多网站因为ColdFusion的一个bug被黑。这些站点虽然已经在防火墙上限定了只允许在网络服务器的80端口的访问,可是这里是网络服务器本身被黑,因此防火墙不能够采取任何的防御措施。然而IDS通过系统配置的特征匹配,从而能将攻击辨别出来。
防火墙的另一个问题是它仅仅位于网络的边界.然而据统计,自于网络的内部的攻击所带来的经济损失,大约占了总数的80%。防火墙作为网络的边界防御系统,不能看到内部发生的任何连接,也就是说它仅仅能监视从因特网道内部网络之间的通信状况。
由此可见,虽然有了防火墙,网络系统仍然需要IDS的主要原因是:
·是防火墙错误配置的双保险
·识别出防火墙认为是合法的允许进入的攻击企图(例如针对网络服务器的攻击)
·识别并记录各种失败的攻击企图
·识别出来自网络内部的攻击企图
“IDS提供更深层的防护,杀死所有的攻击企图,是网络比不可少的朋友”,Bennett Todd认为黑客可能比你所认为的更难以对付。因此尽可能多的采用各种防御措施,即使不能完全消灭所有的黑客的攻击企图,至少让他们的攻击企图更难以实现。
PS:具体防火墙与IDS系统二者的区别,参见本站文章《防火墙与入侵检测系统的区别》
·IKE(Internet Key Exchange,Internet密钥交换):用于动态建立SA 。IKE 代表IPSec对SA(Security Association 安全关联)进行协商,并对SADB 数据库进行填充。由RFC2409文档描述的IKE属于一种混合型协议。它沿用了ISAKMP的基础、Oakley的模式以及SKEME的共享和密钥更新技术,从而定义出自己独一无二的验证加密材料生成技术,以及协商共享策略。此外,IKE还定义了它自己的两种密钥交换方式。IKE使用了两个阶段的ISAKMP。在第一阶段,通信各方彼此间建立了一个已通过身份验证和安全保护的通道,即建立IKE安全关联。在第二阶段,利用这个既定的安全关联作为IPSec协商具体的安全联盟。IKE定义了两个阶段,阶段1交换、阶段2交换以及两个额外的交换(用于对SA进行正确的维护)。对阶段1交换,IKE采用的是身份保护交换“主模式(Main Exchange)”交换,以及根据基本ISAKMP(Internet Security Association and Key Management Protocol,因特网安全关联联及密钥管理协议)文档制订的激进法“激进模式(Aggressive Exchange )”交换;对阶段2,IKE则定义了一种快速模式交换。IKE定义的另外两种交换均属信息方面的交换。保证了如何动态地建立安全关联和建立过程的安全。
·SA(Security Association,安全联盟):是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。SA由安全参数索引(SPI)、目的IP地址和安全协议标识符唯一确定,用于实现安全策略。SA可用IKE自动协商或手工设置,其有效性根据序号和生存期等来判断,所规定的安全服务通过使用AH和ESP得以体现。可以包含认证算法、加密算法、用于认证和加密的密钥。SA是一个单向的逻辑连接,也就是说,两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。IPSec使用一种密钥分配和交换协议如Internet安全关联和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP)来创建和维护SA。IPSec定义了两种类型的SA:传输模式SA和隧道模式SA。传输模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头,隧道模式SA是将整个原始的IP数据报放入一个新的IP数据报中。在采用隧道模式SA时,每一个IP数据报都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据报进行IPSec处理的目的地址,内部IP包头指定原始IP数据报最终的目的地址。传输模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。
·AH(Authentication Header,验证头):是一个安全协议头,可在传输模式下使用,为IP包提供数据完整性和验证服务。通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通
过使用验证机制,终端系统或网络设备可对用户或应用进行验证,过滤通信流;验证机制还可防止地址欺骗攻击及重播攻击。AH头插在IP头和上层协议头(如TCP或UDP头之间)。
·ESP(Encapsulating Security Payload,封装安全载荷)也是一个安全协议头,采用加密和验证机制,为IP数据报提供数据源验证、数据完整性、抗重播和机密性安全服务,可在传输模式和隧道模式下使用。ESP头插在IP头和上层协议头(如TCP或UDP头之间);隧道模式下,要对整个IP包封装,ESP头位于内外IP头之间。
·L2TP(kayer Two Tunneling Protocol,第二层隧道协议)综合L2F和PPTP优点,可以让用户从客户端或服务器发起VPN连接。它定义了利用公共网络设施(如IP网络、ATM和帧中继网络)封装传输链路层PPP帧的方法。现在,Internet中的拨号网络只支持IP协议,必须使用注册的IP地址,而L2TP可以让拨号用户支持多种协议,从而使得企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。
L2TP主要是由LAC(L2TP Access Concentrator,访问集中器)和LNS(L2TP Network Server,网络服务器)构成,LAC支持客户端的L2TP,它用于发起呼叫、接受呼叫和建立隧道;LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接终点是LAC,而L2TP把PPP协议的终点延伸到LNS。为了安全起见,L2TP必须和IPSec结合使用。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com