|
 ·热 点 关 注: 做第一个吃螃蟹的人-NetEye对外开放NAP协议 ·安 全 共 享: Network Alert Protocol 1.0 ·安 全 论 坛: NAP协议推动安全联动 服务要开4S店 -东软防火墙、IDS新品稳定性上做文章 ·服 务 动 态: 打造安全服务新模式-让用户享受品牌服务 ·NetEye团 队: 细节打动用户 |
* 信赖缔造姻缘 安全成就百年--东软NetEye 2003全国春季巡展拉开帷幕
* 信息安全的春天--东软出席“第三届中国信息安全发展趋势与战略”高层研讨会
* NetEye全国销售培训华东站圆满结束
* 开个网全专卖店如何?
在网络安全的受重视程度不断得到提升的今天,网络安全产品之间的联动功能已经越来越受到人们的关注。很多网络安全厂商也都针对自身的产品纷纷推出了联动功能,以满足市场日益增多的需求。
3月27日,NetEye在北京举办了以“信赖缔造姻缘 安全成就百年”为主题的网络安全新品发布会,会上发布的网络安全新产--NetEye 防火墙3.2版本及NetEye IDS 2.1版本在功能上就实现了联动的功能。同时,对外发布了针对这种联动的专用协议NAP(Network Alert Protocol的缩写),引起了与会的媒体记者、来宾及相关政府部门领导的浓厚兴趣。
通常情况下,防火墙采用一种相对被动的方式保护网络安全,即防火墙只能按管理员预先设定的规则控制途经的数据包,使其通过或拒绝,但是却不能主动去发现网络中存在的很多不安全行为。随着网络安全技术的不断更新和网络安全产品分类的进一步细化,专门用于检测网络攻击行为的产品应运而生,如IDS和病毒检测等产品,它们可以随时发现网络中的不安全行为,但是这些产品却不能及时地对这些行为做出反应(如切断、阻止和报警等动作)。如果将两种产品的功能之间实现联动,就可以实现提前发现即将发生的攻击或不安全行为并因此而采取相应的防范措施,从而实现动态保护网络的功能。
NAP(NetEye Alert Protocol的缩写)协议是由东软股份开发的、能够让不同厂商的安全产品实现联动功能的一个协议。它与其他厂商间推出的联动概念有两点不同:
一、它首次以协议的方式来定义联动,这与其他厂商间松散的联盟关系相比,将联动概念更加规范化;
二、它不是以某家厂商的某个产品为核心,NAP协议对于想采用的每个厂商来说都是平等,它是独立于东 软的产品或技术的,也就是说,即使哪个厂商的联动中完全没有东软的影子也是可以的。
因为,联动的目的就是为了让各种产品间可以做到相互配合,共同保卫用户网络中每个关键设备、数据的安全,因此,所有产品、厂商的地位都应该是平等的,而绝对不应该以谁为核心。因此,可以设想联动以开放协议的方式来推进必定会更容易得到厂商们的普遍认可。当然,这也是NetEye努力为网络安全做出的一种尝试。目前,已经有厂商对这个协议表示出了极大的兴趣。
在国内的网络安全厂商中,专门针对安全联动,推出专业的协议,NetEye是第一个“吃螃蟹的”,相信此协议的对外开放将会给东软NetEye系列安全产品用户乃至促进整个网络安全市场的发展都带来非同寻常的意义。
1、NAP:Network Alert Protocol的缩写;
2、IAP:Intrusion Alert Protocol的缩写,该协议是IETF 的一份草案,参见draft-ietf-idwg-iap-05;
3、HMAC-MD5:一种数字签名的算法,参见RFC2104。
简介
NAP协议是由沈阳东软软件股份有限公司(网络安全事业部--研发NetEye系列网络安全产品)推出的,用于实现不同厂商的网络安全产品及不同网络安全产品类型之间相互联动功能的一个协议。NAP的控制目标为以太网帧,包括数据链路层的源MAC、目的MAC地址和以太网帧类型。若以太网帧类型是IP协议时,还包括源IP地址、目的IP 地址以及IP协议号,如果IP协议号为UDP或TCP等,还包括端口号等信息。控制目标的范围可以是单个目标连接或目标连接范围。
通信协议
本协议采用Client-Server方式,使用TCP协议进行通信,服务端开放50428端口,客户端与服务端建立连接后,客户端即可向服务端发送报文信息,且一条连接可以连续发送多个报文信息,直至该连接被关闭;客户端向服务端发送报文信息时,不需服务端应答。服务端应该在收到校验错误或不能正确解码的报文时断开连接;并可以在经过一定时间没有收到新的报文时断开连接。
报文格式
客户端与服务端建立TCP连接后,客户端将向服务端发送报文信息,报告客户端应用程序发现的不安全连接的相关信息。NAP的报文分为报文头部和报文正文两部分,报文格式如下:
报文头部使用IAP[1](Intrusion Alert Protocol)协议的报文头格式。
报文正文部分描述的是传输协议的相关信息和目标连接的相关信息,该部分采用XML格式描述,它包括NAP Message和NAP Report 两部分:NAP Message描述的是报文传输协议的相关信息,它包括报文的信息类型、协议名称、版本号、发送者的标识信息、校验和以及NAP Report的长度等;NAP Report描述的是目标连接的相关信息,包括报警事件类型、事件标识号、事件等级、要采取的动作、目标连接类型、采取阻止动作时的期限、事件描述、目标连接信息(源MAC、目的MAC、源地址、目的地址、源端口、目的端口)等。一个报文中可以包括多个NAP Report,所以在一条报文信息中可以包括多个目标连接信息,而且协议规定对报文正文进行加密和认证处理,从而保护数据在网络传输过程中的安全性和完整性。
报文安全性
NAP协议对传输的报文信息进行加密和认证处理,目的是为了保证数据在传输过程中的机密性和完整性,其处理过程如下:
1) 准备:服务端和客户端要共同协商客户端的标识和预共享密钥,在后面的处理过程中将会使用到它们;
2) 客户端处理过程:
--使用协商好的预共享密钥对报文数据的NAP Report部分进行RC4加密;
--用HMAC-MD5[1]算法对预共享密钥和NAP报文正文部分进行校验和计算。注意:计算时NAP Message 中的校验和置为空字符串;
--将计算的校验和存放到NAP Message中cksum中;
--将报文发送到服务端;
3) 服务端处理过程:
--服务端收到NAP报文后,从NAP Message得到ID值,根据客户端的标识提取该客户端对应的预共享密钥;
--将接收到的NAP Message中的校验和保存起来,并把报文中的chksum一项置为空字符串;
--对NAP报文正文和该客户端对应的预共享密钥做HMAC-MD5校验和计算,计算结果和接收报文中的校验和比较,如果两者相同,表示接收到的报文是可信的;否则该报文无效,将其丢弃并报警;
--使用该预共享密钥对NAP Report部分用RC4算法解密,获取NAP Report 加密前的信息,即目标连接的信息;
--根据报文中的信息在服务器上对目标连接进行相应的控制。
·更详细资料请之NetEye安全网站下载NAP技术白皮书
-东软防火墙、IDS新品稳定性上做文章
从2000年开始,东软一直保持了每年都有网络安全新品发布。今年3月27日,东软软件股份在北京隆重发布NetEye防火墙和入侵检测新品--NetEye Firewall 3.2版和NetEye IDS 2.1版。同时,针对东软的安全咨询和服务体系的建设也是本次发布会的一个亮点。
与已往不同,今年,NetEye防火墙没有对过滤技术进行更新换代,而是在原来的基础上,更深层的优化了产品的稳定性。NetEye负责人曹斌博士强调:NetEye Firewall 3.2版仍然采用流过滤技术,不过相较前一版本,它特别优化了流过滤的内核,大幅度的提高了大规模并发数据的工作效率,并进一步改进完善了其VPN功能。对于3.2版本防火墙为什么没有像很多人期望的那样,采用换代的新技术的问题,曹斌认为:“做网络安全产品就像是爬坡,越前进,道路越难走。防火墙、IDS等安全产品技术发展到现在,已经超越了最初的快速增长期,用户所追求的不再是简单跟风式的频繁换代产品,他们变得更实际了,开始关注产品的性能和可靠性。因为,如果说前几年,网络安全产品充当的还只是个锦上添花的角色的话,而现在,它已经成为不可或缺的部分,任何短暂的系统停顿用户都不能忍受。因此,今年,配合客户的实际需求,NetEye产品特别注重了在综合性能和高可用性上的改进。这种实用性进步,相信用户在实际使用中必然会深有体会。”
值得关注的是,针对现在厂商们热衷推动的网络安全产品“联动”概念,NetEye表现“另类”: 不是单纯的附和其他产品的联动路线,而是独树一帜、创新地开发出了一个专用协议--NAP(Network Alert Protocol),来阐述对联动的理解。通过NAP协议,可以实现包括东软在内的各个厂家的安全产品间的功能上的互相配合,并且支持SNMPV3与网管系统的互联。曹斌强调:这个协议绝对是开放的,它并不以东软的产品为核心,东软推出这个协议的目的就是创造一种“平等”,所有的安全产品的平等,所有厂商间合作的平等。通过这个协议,东软希望能够在业界进一步推动“联动”概念向实用技术的发展。这也是迄今为止,业内第一个针对产品联动的开放协议。这也标志着NetEye安全产品向标准化进程迈出了重要的一步。
服务作为NetEye同时提供的重点保障,NetEye团队一直在不断的探索如何为客户提供更好的、更及时的服务。NetEye策划部部长王虎公布:今年,东软将在全国推出安全服务的4S店。王虎说:4S的概念来自于汽车服务行业,它所强调的及时与贴心的服务理念给了NetEye灵感。在安全产品竞争白热化的今天,要想真正的保障客户的安全利益,产品服务是其中分量极重的一个砝码。只有真正为客户的利益着想,才能获得客户对厂家的信任,对产品的信赖。NetEye计划,在已有的合作伙伴中,通过严格认证,选出合作伙伴,进行授牌。成为4S合作伙伴要具备3个条件:一、对东软的企业发展理念有认同感;二、和东软至少有两年以上的合作经验;三、有两名以上的东软认证的培训工程师。只有满足了这3个条件,才有可能成为东软4S合作伙伴。不过,对于这个新计划,东软显得非常谨慎,王虎介绍,他们的计划是,到今年年底为止,在东软的8个销售大区中,平均每个大区发展一家这样的合作伙伴。
--让用户享受品牌服务
为对网络安全产品用户提供更有效、完善的服务,东软NetEye率先在网络安全市场引入汽车行业的“4S品牌店”销售、服务一条龙的模式。目前NetEye已经开始积极在渠道内推广“4S品牌加盟店”计划,以保证东软NetEye系列网络安全产品用户尽快享受到“4S品牌店”出色的服务。
东软股份总裁兼东软NetEye网络安全产品营销中心总经理王勇峰声明:“东软NetEye 4S品牌服务加盟店”(后面简称“4S”店)是指东软将按照一定条件,筛选出一批出色网络安全领域渠道伙伴,通过东软系统规范的培训,参照汽车行“4S品牌店”服务模式为国内网络安全用户提供销售、服务一条龙服务。
业内人士认为,由于网络安全产品市场存在高技术性、高可靠性、售后服务的复杂性及用户对渠道不信任等诸多因素,国内众多网络安全供应商针对用户提供的服务通常由供应商自己承担,很少交给渠道合作伙伴做。NetEye 此举将打破国内网络安全市场传统服务模式,通过对其合作伙伴服务流程的规范,保证针对产品用户提供的各种服务在时间和空间都得到有效拓展。
“东软NetEye 4S 品牌服务加盟店”与汽车行业“4S品牌店”的核心内容都是重在“服务”。不过,与汽车行“4S品牌店”代表的Sale(整车销售)、Spare part(零配件供应)、Service(售后服务)和Survey(信息反馈)不同,“东软NetEye 4S 品牌服务加盟店”包含的是两层的含义:
第一层的含义:在服务实体方面,指的是集信息反馈(survey)、方案支持(solution)、产品销售(sale)、售后服务(service)四位于一体的服务模式,为“4S店”的服务内容及服 务素质划定出了最低标准;
第二层的含义: 在虚拟服务上,指的是方式自助(self-support)、响应及时(speed)、流程简单( simple)、服务标准(standard),以此来确保对用户的服务质量。
“4S店”的发展对象主要是那些与NetEye有着很好合作而且具备服务能力及服务实力的优秀合作伙伴及代理商。根据规定,只有通过东软对其的实力评估、培训及严格的考核与认证之后才有资格成为“4S店”的正式成员。东软自身的分支机构也可以申请加盟,但是不会享受到区别于合作伙伴及代理商的任何优先待遇或照顾,也就是说东软对于任何申请加盟的实体,无论其是内部的还是外部的都将一视同仁。以充分保证服务的质量及该项服务体系的可信度。
影响用户采购的因素很多,比如:产品的价格和性能、售后服务、公司信誉度等。但对于销售一些象网络安全产品一类的特殊产品,需要的还远不止这些。无论什么最重要的是要打动你的用户,特别是在产品同质化趋势日趋严重的今天。怎样才能打动您的用户呢?下面这个在NetEye发生的小事或许会值的我们思考。
事情发生在1999年,当时某部计划搭建网络安全系统。该部办公室负责人刘先生(化名)负责这个项目,有了曾经使用东软某软件管理系统并一直感觉合作很好的经历后,刘先生也同意东软参与搭建网络安全试验环境的项目。但当时东软在网络安全领域还是刚刚起步,在该系统更是没有先例,刘先生本人心里也没有很大的把握。特别是在同一时刻,另一家当时名气很大的网络安全公司就在该部的上级网管中心搭建网络安全试验环境。而该部信息中心在搭建网络安全试验环境时又需要上级网管中心的技术指导。那么后来是什么因素导致张先生决定采购东软防火墙产品呢?其实当时连我们也没想到,打动张先生的仅仅是我们的一名普通技术人员的几句话。
刘先生对当时的情形记忆深刻,他讲述道,一次他和负责搭建环境的东软技术人员一起去食堂吃饭,完毕后有事情,就把信息中心的钥匙交给这名技术人,要他先回去工作,自己随后就到。但这名技术人员却对他说,这样不好,还是等你回来再一起去信息中心。按照张先生的想法,和这位技术人员相处这么久,大家都已经达成信任了,单独让他先回去几分钟不会有什么问题,尽管本部机房属于高度保密的地方。但东软员工的回答和做法却大大出乎他的意外,刘先生就这样被打动了。
随后的事情进展很顺利,虽然东软当时在网络安全领域还默默无闻,虽东软网络安全产品在该系统没有应用的经历,但刘先生还是决定采购东软的产品,并且在随后的三年里一直和东软保持紧密合作。确切地说,在当时打动刘先生的除了东软的技术,更关键的是东软员工对用户安全细微处的表现,正是这些对客户细心、真诚的呵护令刘先生感觉到东软的可靠,进而对延伸到对东软产品的信赖。
韩朝晖-东软网络安全产品营销中心大客户部部长-把这件事定位到战略高度。他说,虽然当时东软包括首席专家的多名技术人员进该部搭建试验环境,虽然当时只是一台防火墙的单子,但正是这台防火墙把东软的网络安全产品带入了该系统,东软也得以深层次的了解该系统对网络安全领域的需求。
韩朝晖认为:实际这就是对用户的理解。东软的口号是“软件创造客户价值!”理解用户不光是销售人员,应该包括所有跟客户打交道的环节,销售、技术、研发、客服等,缺一不可。在网络安全领域,许多客户都属于特殊行业,对保密性有着特殊要求,为客户提供的每一环节的服务都要理解客户,从客户的角度思考,从细微处着手,真正为客户着想。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com