|
|
--打造NetEye国际化品牌
在2003年4月份赛迪顾问(CCID CONSULTING)发布的《2003年第一季度中国网络安全产品 市场分析报告》中,在国内市场,东软NetEye略逊于Netscreen的市场占有率,占据所有国内外品牌第二的市场份额。特别是在金融、电信等高端领域取得了突破性地进展。
多年来,东软NetEye始终以“世界上最顶尖的厂商和产品”为首要竞争对手,励精图治,在技术、服务上以客户的需求为中心不断的创新,推出更好的产品、更贴切的服务。今年推出的NetEye防火墙3.2,大幅度地优化了“流过滤”内核,因此在性能、稳定性、可靠性表现出了卓越的品质,完全满足了关键业务领域的长期稳定运行的要求。在服务上,NetEye更是针对客户需求,推出了“4S 网络安全产品专买店”的有力举措,彻底解除用户的后顾之忧。
2003年,在国内防火墙领域,NetEye将以用更加优秀的技术、产品和服务为中国用户提供更加全面的安全解决方案,挑战国际知名品牌,为打造中国网络安全产品-NetEye国际化品牌,进行一场真正的较量!
文:NetEye网络安全专家 曹斌博士
今年,NetEye在发布网络安全新产品的同时,向业界发布了以安全产品联动为目的的NAP协议,以协议的形式来规范的诠释“联动”。针对目前的“联动”雷声大、雨点小的现状,希望以协议这种公共语言来推动安全产品间的联合行动,从而让“联动”能真正地动起来,最终给用户带来真正的好处。
※“联动”需要公共语言
“联动”目前是网络安全界中的一个很时髦的概念,虽然已经有三四年的历史,但是到目前为止,还远远没有得到充分的发展。联动本质上是安全产品之间一种信息互通的机制,它的理论基础是:安全事件的意义不是局部的,将安全事件及时通告给相关的安全系统,有助于从全局范围评估安全事件的威胁,并在适当的位置采取动作。它应该不仅局限于防火墙与入侵检测之间,还应该涉及很多其他的安全部件,如报警与审计系统、需要安全保护的主机系统、业务系统,甚至网络设备等等,只要在某个节点发生了安全事件,无论是一个简单系统捕捉到的原始事件,还是一些具有分析能力的系“判断”出来的,它都可能需要将这个事件通过某种机制传递给相关的系统。因“联动”是安全产品间实现互操作的的一种表现,它需要的也是一种“公共语言”作为基础,即一种使产品间互相传递信息的协议。
联动系统示意图
这种协议不应该也不需要以某个商业联盟为依托,否则很难保证它是完全开放的。而现在产业中现有的商业联盟往往以某个厂家为核心,其他厂家的产品在一些半公开的SDK的支持下实现与核心厂家的某个产品实现互联。用户很容易发现,在这样的联盟中往往不会存在与发起者有竞争关系的产品。这种状况使得联动技术在实际使用中并没有得到很好的发展,以“联动”的名义建立起的商业联盟反使业内形成了若干个孤岛,“联动”无法发展成为泛支持的产品特性。而现有产品之间的联动缺少实际效果的验证,大多数有联动功能的产品停留在仅仅是“有联动功能”这样的程度,而很多用户也没有在其实际的系统中使用联动的功能。出现这样问题的原因,一方面是由于用户可选择的空间比较少,另一方面,由于对于商业联盟缺少长远的信心,很多厂家在联动技术方面并没有投入多少研发力量。
任何一项技术,从概念的提出到充分发展,需要很多的厂家进行投入和创新,而这个前提就是有一个完全开放的基础。联动技术恰恰缺少这样一个开放的基础,缺少一个完全对等的开放的联动协议。这样的协议的实现要足够简单、有效;它对于安全信息要有充分的描述能力;同时它能够允许扩展,并且当协议发展时,它可以很容易地实现对老系统的兼容。
※ 协议是沟通的公共语言
当存在一个需要多个系统互动的应用的时候,必然会存在一个或一组协议来确保多个系统间存在互操作的基础。协议是多个系统间互相沟通的“公共语言”,没有这种公共语言的存在,广泛的互操作性就不可能。
让我们看一看历史上的例子。例如著名的TCP/IP就是一组协议,它们构成了现在网络互联的基础,可以说,没有TCP/IP就没有Internet的今天。TCP/IP是开放的,所以,如果你需要把你的局域网与其他的网络连接起来,你需要一个实现了IP协议的路由器,它可以来自Cisco、3Com,也可以来自华为、港湾,这些设备只要配置正确,都可以互相通信,因为他们都实现了标准的IP协议。也正是由于这个协议的存在,各个厂家都清楚如何与其他厂家的设备“交流”,厂家之间不需要为了能够实现互通而达成商业上的同盟,或进行共同开发测试,或者非得由某个厂家提供SDK之类的开发工具,他们需要的只是一个开放的协议,于是路由器市场欣欣向荣,各种优秀的产品层出不穷。
类似的例子有很多。我们每天都在使用的网络信息系统没有一个不是依赖于这些公开的协议而存在,没有一个不是因为这些公开的协议而得到了充分的发展。对于需要互联的系统来说,有一个公开的协议至关重要,而且足够了。
※ NAP协议让联动动起来
正是因为有了以上的想法,因此,东软才做了这样一个第一个“吃螃蟹的人”,提出了NAP(Network Alert Protocol)协议,它是一种完全开放的协议,描述协议的文本完全公开。因此任何需要实现联动的产品,无论是IDS还是防火墙,或是其他的安全产品,都可以按照该协议文本实现对该协议的支持。按照该协议开发的产品,无论是不是东软的产品,都可以实现相互间的联动。
NAP采用TCP作为传输手段,采用简单可靠的认证和加密方法,可以保证系统间通信的可靠性和安全性。NAP中传输的安全事件是使用XML进行描述的,由于XML是一种非常强的描述性文法,因此可以传递非常丰富的信息。同时基于XML的系统可以很容易扩展,并保持向后兼容。NAP协议的正式文档可以在东软网络安全网站上下载(http://neteye.neusoft.com)。
目前,NAP是业界第一个完全公开的实现安全产品间互联的协议,它将成为联动技术充分发展的一个重要基础。东软新发布的NetEye防火墙3.2和网络入侵检测系统NetEye IDS 2.1已经能够很好地支持NAP协议实现互动。以后,东软还会继续发展支持NAP协议的产品,如网络审计中心等。任何网络安全的厂家都可以在自己的产品上增加对NAP的支持,他们不需要得到东软的授权,公开的协议文档中包含了实现NAP所必需的一切技术细节,因此,这些厂家甚至不需要得到东软的技术支持。东软也会提供针对NAP的SDK,以使其他厂家的产品可以更快速地实现对NAP的支持,这些开发工具也都是NAP的标准实现,并可以免费使用。需要明确的是,协议并不是技术的全部,它只是创造了一个更有利于技术发展的环境,所以它不会很快改变联动技术“好听不好用”的现实。但是,一个有机互动的智能的安全体系无论对于用户还是厂家来说,都是一个有足够吸引力的梦想。相信不久的将来,当支持NAP这样的公开协议成为大多数产品的缺省配置时,这样的梦想会成为现实。
※ 点 评
联动技术的诞生,的确给了用户一种“眼前一亮”的感觉。但是,“好听不好用”的确是目前联动的应用现状。显然,这种现状是发起它的人们所不愿看到的。缺乏一种大家都认可的沟通语言应该说是联动应用路上的一个最大的拦路虎。作为一种公共语言,协议自然是铲除这种拦路虎的有效手段。因为,任何一种技术能够发扬光大,都离不开这样一种手段。有关这个事实的实例可以说俯拾皆是。协议的诞生是需要有领头者的,主流厂商自然当仁不让,东软现在已经挺身而出,是否还会有其他的厂商来加入这个“协议”队伍,我们还需要拭目以待。第一个吃螃蟹的人当然是勇士,不过,勇士不一定就是成功者,即使是联动协议,NAP也不一定就得到最终的广泛认可。不过,这种“协议思路”应该是值得借鉴联动方式。
最新NetEye防火墙系统3.2版,已经正式为用户提供在线下载系列系统升级包。
300多人月的研发,1000多万的实验室测试,40%工作量的测试,大量用户的试用,保证了NetEye防火墙3.2版超强的稳定性。同时围绕 "流过滤"平台构建了完善的开发体系:应急响应团队、应用升级包开发团队、网络安全实验室,动态安全得以持续保障。
经过近两年的不断完善和实际使用中的磨合,在Ver3.2中,"流过滤"引擎已经展现出相当成熟和完善的品质,特别是在性能和稳定性方面得到了大幅度的提升,使其能够满足关键业务领域的长期稳定运行的要求,而这些领域长期以来一直由国外的厂商所占据。
新的NetEye防火墙3.2版主要在一下的几个方面进行了大幅度的改进和提高,包括:
1.产品可靠性的提高,满足关键业务领域的运行要求;
2.优化了"流过滤"内核,提高了性能和可靠性,特别是在大规模并发下的处理效率;
3.改进了VPN功能,支持大规模的安全客户端的VPN接入,实现按角色的分权管理,提供了完善的通道监 测和自诊断功能;
4.在开放性上的增强:通过NAP协议,实现与其他安全产品的互动,支持通过SNMPv3与网管系统互联;
5.在应用保护模块方面,增加了DNS检测与转换模块,实现NAT下的自动DNS转换功能;集成了 NetMeeting模块、VOIP模块、ORACLE数据库模块;采用新的算法提高了HTTP模块和SMTP模块的内容检 查速度。
欢迎NetEye防火墙系统用户登录NetEye安全网站,下载系列系统升级包进行系统升级。 敬请用户特别注意请详细阅读Ver3.2升级安装使用说明,以保证正确的进行系统升级。
题注:最近一段时间,媒体上经常可以看到关于另外一种VPN技术的文章--SSL VPN技术。NetEye Support Team 徐松泉 王虎两位安全专家协力完成本文,就IPSec VPN与SSL VPN技术进行详细的比较,以便各界用户能够更好的了解VPN的技术,选择合适的VPN产品。
有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。由于讨论IPSec VPN的文章比较多,所以笔者在此就不再赘述,只是阐述SSL VPN的工作原理和两种技术的对比。
一、SSL VPN如何工作
SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。两种技术提供的安全通道区别如下图所示:
SSL VPN(左)与IPSec VPN(右)安全通道工作示意图
二、SSL VPN的劣势
由于是一种相对来说还没有大量应用的技术,目前能够提供相应产品和服务的厂商也不多,那么SSL VPN这种技术与IPSec VPN相比,究竟有什么劣势呢?笔者在这里做一个简要的分析。
1、 概述
SSL VPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多,这也是SSL VPN市场有限的原因之一。
另外,具体到我们国家,国家商用密码管理部门有明确的规定(比如国务院273号令),表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。
2、SSL VPN两个最大的问题
一是SSL VPN的认证方式比较单一,只能采用证书,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
二是SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
4、应用层局限性
SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。
5、SSL VPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
6、性能
SSL VPN是应用层加密,性能比较差。目前,VPN可以达到千兆甚至接近10G,而SSL VPN由于是应用层加密,即使使用加速卡,通常只能达到300M左右的性能。
三、总结
基于以上分析,SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中,SSL VPN远远不能解决用户的需求,所以希望用户在选择产品的时候能够认真的考虑并仔细选择。
东软NetEye--您可信赖的网络信息安全专家
====================================================
东软NetEye服务,辐射中国香港及国内其他30多个中心城市,同时在海外设有多个分支机构,并由经过严格考核的东软认证网络安全工程师(NCNA),为客户量身定做集咨询、培训、售后支持等为一体的全方位服务方案,切实免去客户后顾之忧;全方位的7*24热线服务及服务响应、严格的质量管理与考核流程,充分保证了客户能享受到满意、到位的服务。
================
信赖源于这样的团队
=======================
编者日日处于NetEye这个团队中,对这个整体的喜欢也日益增加。原因很简单:
首先,编者能感觉到团队里每一个人的真诚和包容。真诚、包容让人感动,让人放心,让人可以无所顾忌的去实现自己的价值,而且能得到别人的帮助。我想,真诚、包容是团队精神的精髓,也应该是一个团队能够进行良好协作的先决条件。
正是有了上面的条件,也必然地有了NetEye团队“技术创新缔造客户安全”的理念。NetEye团队是一个富有战斗力的团队,这里的每一个队员都年青、充满理想、饱含热情、不惧艰难。
--研发人员们通宵达旦,只为了对技术桂冠上那颗最亮的明珠的执着追求。
--我们的销售人员、技术支持工程师、安全咨询专家风尘仆仆、奔波操劳,只为让我们的结晶--NetEye系列安全产品--获得用户的认可、信任。因为我们对自己的队员有信心,对自己的产品有信心。
还有……
还有太多,编者不知道该用如何的语言如何的形容。
其实这些本来是无法、也无需用语言来说明的,因为语言又怎能够描绘出这样的一群人?他们努力着,努力的用热忱的青春去实现自己的价值。这样的团队编者如何能够不喜欢、不信赖、不放心呢?
=============================================================================
NetEye团队影掠
====================
这里节录编者所见的两个片断,望读者可从中窥其一斑。
片断一:角色是和我非常熟识的很恬静的女孩,编者知道其加班久矣,感其劳累,因问:“累否?”,安然答曰:“还好,希望能按时完成……”笔者暗惊,后悟此乃一种责任心、一种认真;细思量,何尝又不是缘于一种热情、一份理想。
片断二:角色似乎漫漫不经(好像不会与热忱、执着等字眼有什么关系),同行于路,闲聊问之:“近日忙否?”“昨天忙到凌晨3:00。”“太累了!”编者感叹。反曰:“打算把***搞定的,可是还不好。再想想……”编者编者方悟其深溺工作而全忘旁骛之境而已!
===================================================
“信赖缔造姻缘 安全成就百年”。这绝不是一个口号,而是一种承诺、真诚期盼与您协作的承诺!
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com