++++++++++++

·E-MAIL:neteye@neusoft.com

·http://neteye.neusoft.com

·交流中心

·查阅过往期刊
   退订   

  
 
·NetEye快 讯: 网站发布 NetEye灵巧网关3.2 SG1000升级包
·安 全 公 告: MS03-043:Messenger 服务缓冲区溢出漏洞
    ·NetEye荣 誉: 东软NetEye防火墙获得辽宁省优秀软件产品称号
 ·安 全 论 坛: 基金行业网络安全 解决方案
 ·安 全 专 家: 技术与人结合

网站发布 NetEye灵巧网关3.2 SG1000升级包

NetEye灵巧网关升级包(Ver3.2)—SG1000,适用于3.1到3.2的升级。增加了访问控制、服务输出、远程协助等功能,允许灵巧网关外部的网络通过网关访问网关内部网络的某些服务(如WWW、FTP等),支持Oracle、NetMeeting数据通过灵巧网关,使管理和应用更加灵活和方便。升级前请阅读readme文件。请注意从3.1升级,需重新制作license。

下载地址:http://neteye.neusoft.com/download/index.jsp?lmid=0.7.1
返回目录

东软NetEye安全公告
 ——MS03-043:Messenger 服务缓冲区溢出漏洞
摘要

 详细技术资料

 修补程序

 常见问题解答

摘要

发布日期:2003年10月15日

漏洞标识符:CAN-2003-0717

漏洞的影响:执行远程代码

最高严重等级:严重

建议:客户应尽早安装该修补程序。

受影响的软件:
        · Microsoft Windows NT Workstation 4.0,Service Pack 6a
        · Microsoft Windows NT Server 4.0,Service Pack 6a
        · Microsoft Windows NT Server 4.0,终端服务器版,Service Pack 6
        · Microsoft Windows 2000,Service Pack 2
        · Microsoft Windows 2000,Service Pack 3,Service Pack 4
        · Microsoft Windows XP Gold,Service Pack 1
        · Microsoft Windows XP 64-bit Edition
        · Microsoft Windows XP 64-bit Edition Version 2003
        · Microsoft Windows Server 2003
        · Microsoft Windows Server 2003 64-bit Edition
不受影响的软件:
        · Microsoft Windows Millennium

详细技术资料

 技术说明:
  
  在 Messenger 服务中存在一个安全漏洞,该漏洞会允许在受影响的系统中执行任意代码。导致该漏洞的原因为 Messenger 服务未能在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度。
  
  成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。然后攻击者将能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。

安全修补程序:

· Microsoft Windows NT Workstation 4.0, Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7597FCF4-6615-4074-9E46-A17D808ED38D

· Microsoft Windows NT Server 4.0, Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B1949456-996A-485A-9A28-79FD79F26A1B

· Microsoft Windows NT Server 4.0, 终端服务器版, Service Pack 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=en

· Microsoft Windows 2000, Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=99F1B40D-906A-4945-A021-4B494CCCBDE0

· Microsoft Windows XP Gold, Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F02DA309-4B0A-4438-A0B9-5B67414C3833

· Microsoft Windows XP 64-bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en

· Microsoft Windows XP 64-bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en

· Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=1DF106F3-7EC4-4EB0-9143-C1E3C9E2F5F8

· Microsoft Windows Server 2003 64-bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en

变通办法:

· 消息是通过 NetBIOS 或 RPC 传送到 Messenger 服务的。如果用户已使用防火墙封堵 NetBIOS 端口(端口 137-139)和 UDP 广播包,则其他人将无法通过这些端口向该用户发送消息。大多数防火墙(如 Windows XP 中的“Internet 连接防火墙”)在默认情况下会封堵 NetBIOS。

· 在防火墙中封堵 UDP 端口 135 可以防止可能的攻击。

· 禁用 Messenger 服务可以防止可能的攻击。

· 在 Windows Server 2003 系统中,在默认情况下会禁用 Messenger 服务。

变通办法的影响:
 
  如果禁用 Messenger 服务,来自警报服务(例如来自备份软件或不间断电源的通知)的消息将不会被传送。如果禁用 Messenger 服务,所有显式地依赖于 Messenger 服务的服务将不会启动,并且将错误消息记录到系统事件日志中。

常见问题解答

问:该漏洞的影响范围有多大?
答:这是一种缓冲区溢出漏洞。成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。攻击者于是能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。

问:什么是 Windows Messenger 服务?
答:Messenger 服务是一个 Windows 服务,它传送 net send 消息和通过警报服务在客户计算机和服务器之间发送的消息。例如,网络管理员可使用 Messenger 服务向网络用户发送管理警报。Messenger 服务也可被 Windows 和其他软件程序所使用。例如,Windows 可能会当打印作业完成或当计算机断电而切换到不间断电源 (UPS) 时使用该服务来通知用户。Messenger 服务与 Web 浏览器、电子邮件程序、Windows Messenger 和 MSN Messenger 无关。

问:此漏洞因何而起?
答:此漏洞的原因是,Messenger 服务中存在未经检查的缓冲区。如果该漏洞被利用,攻击者可获得受影响的系统的本地系统权限,或者使服务失败。

问:Messenger 服务与 Windows Messenger 或 MSN Messenger 相同么?
答:不,需要格外注意的是,Messenger 服务与 Windows Messenger 和 MSN Messenger 是不同的。Windows Messenger 和 MSN Messenger 是允许用户交谈、共享图片和视频等的即时消息服务。而Messenger 服务只是一个简单的只允许使用文本的广播服务,该服务通常由管理员使用,用来向用户发送警报,或者对系统断电和服务器维护等情况向用户发出警告。

问:Messenger 服务存在什么问题?
答:导致该漏洞的原因为 Messenger 服务未能在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度。

问:攻击者可利用此漏洞做什么?
答:成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。然后攻击者将能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。

问:攻击者可能如何利用此漏洞?
答:攻击者可以通过创建特制的消息并将其发送到受影响系统的 Messenger 服务来设法利用此漏洞。

问:此修补程序有何作用?
答:此修补程序通过确保 Messenger 服务在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度来消除该漏洞。

问:此修补程序是否包含其他修订?
答:是的。除了修订本文所讨论的漏洞,该修补程序还包含一个用于更正 Microsoft 知识库文章:330904(出现包含 Internet 广告的 Messenger 服务窗口)中所描述的问题的修订程序。应用此修补程序将禁用 Messenger 服务对 UDP 请求的监听。在安装该修补程序后,Messenger 服务将只监听传入的 NETBIOS 通信。

返回目录

东软NetEye防火墙获得辽宁省优秀软件产品称号

  9月26日,在2003中国(大连)国际软件和信息服务交易会上,由辽宁省信息产业厅举办的首届软件产业领军人物、优秀软件企业及2002年度优秀软件产品的颁奖仪式在大连会展中心隆重举行。在这次辽宁软件三优评选中,东软获得了数项荣誉,其中包括NetEye防火墙获得的辽宁省优秀软件产品称号。


返回目录

东软NetEye网络安全论坛
基金行业网络安全 解决方案

  随着基金行业网络规模的逐渐扩大,网上基金、代理缴款等新业务的开通,大批信息管理系统正在陆续投入运行,计算机系统在基金行业工作中的应用将日益广泛。与此同时,网络的安全问题也越来越显得重要起来。

  基金行业信息网现状及需求

  基金行业信息网络现状

信息网以基金公司总部为主节点,现已通过DDN专线与当地电信局相连、通过电信局以帧中继(X.25备份)方式与全国各地分部相连。总部及每个分部各有几个相对独立的局域网,分别处理人民币与外币业务及办公自动化系统;每个分部都有DDN出口与代理业务客户信息系统相连。目前有的基金行业系统已与Internet连接,开通了网上基金行业。基金行业在安全方面主要采取的措施有:对数据主机的访问控制通过系统本身的如数据库提供的身份认证机制,管理上的权限控制等,在数据传输上采用DES算法的加密方式,密钥认证。

  网络安全的工作目标

  使基金行业应用系统与国际互联网之间安全访问控制。

  使基金行业内部业务网络系统与代理业务客户之间安全访问控制。

  网络安全策略分析

  基金行业信息网络分为总部与各地分部部分。总部作为一个网络整体目前与分部进行信息交流存在一个出口,接入电信主干网,有的还要连接到Internet;分部作为一个网络整体与当地电信也有一个出口连接,同时还通过一些其他连接出口,与代理业务客户信息系统相连。防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择,因此东软公司建议基金行业信息网的对外出口设置NetEye防火墙加以防护。通过这种防火墙设置有效保证了基金行业信息网络系统免遭来自外部广域网非法的入侵、攻击。

  基金行业总部分为内部应用网和供外部访问的WWW服务器、邮件服务器等两个部分,这种网络体系结构存在一个重要的问题:内部应用网是基金行业的核心网络,在网络安全性上要求非常高,只允许内部应用网的使用者对外部网进行访问,同时必须严格禁止任何外部网在不经允许的情况下对内部应用网进行访问。由于WWW、邮件服务器需要与外部网络进行双向的信息交流,内部网的使用者可以通过他们向外部发送信息,同时需要他们能够为外部提供合法的信息。针对这种客观的情况采取分别保护、多级防护、互不影响的防护策略。因此东软公司建议将WWW、邮件服务器等网络应用服务器单独放置在一个网络区域内,称之为DMZ非军事化区,通过NetEye防火墙提供的网络地址转换功能(NAT)实现对外提供网络服务,将其与基金行业内部应用网分离开。这种结构有明显的好处,即使DMZ区由于与外部进行信息交流而遭到破坏也不会影响内部网的安全,因此是一种理想的安全结构。

  基金行业分部只有内部应用网部分,因此可选用不带DMZ区型号的NetEye防火墙,以控制代理业务客户对应用网的安全访问。

总体技术要求

  1.将基金行业信息网总部部分分别设置为内部应用网与DMZ区,有效地保护了网络的安全。外部访问者只能对DMZ的网络服务器实现有限访问,严格禁止访问内部应用网。对于供各地分部使用的内部应用网信息的安全可以通过防火墙的安全策略实现,比如指定IP、指定服务及用户一次性口令认证等方法。同时,内部网用户可以通过防火墙对外部网进行有限访问或禁止访问。对于DMZ区的WWW、邮件服务器等利用防火墙的网络地址转换功能正常对外提供服务。

 2.基金行业信息网各地分部选用不带DMZ区型号的NetEye防火墙,通过设置有效的安全策略及用户一次性口令认证方法,控制外部访问者对内部应用网的访问。  

 3.基金行业信息网使用的NetEye防火墙可以进行统一的集中控制管理。NetEye防火墙是一种针对具体的网络对象进行访问控制的防火墙系统,因此通过NetEye防火墙可以灵活地设置在基金行业信息网的各个关键位置的访问控制,例如可以针对信息网内部的不同设备进行个性化的管理控制。

4.NetEye防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等网络协议,NetEye同时是国内支持多媒体数据进行实时点播最好的防火墙系统之一,支持CISCO、SGI等多媒体点播协议,例如OSPF、IGMP等广播协议。对各种常用应用系统例如Oracle、Notes、SQL Server等完全支持。

  5.NetEye防火墙对远程接入用户提供先进的一次性口令身份认证过程,可以使用防火墙自身的认证系统也支持第三方采用协议为RADIUS TACACS/TACACS+等认证服务器。

  6. 网络地址转换NAT功能是NetEye防火墙完备的功能之一,在大量的实际应用中证明稳定可靠。在基金行业信息网络中通过NAT功能实现内部网用户访问外Internet 资源,实现透明应用代理,为内部网提供对外的安全通道。通过NAT功能保证DMZ区的各种网络服务器对外提供各种服务,NetEye防火墙的NAT功能作为DMZ区与外部访问者之间的桥梁,保证外部访问者不能直接连接应用服务器,从而保证信息网的安全。

  7.NetEye防火墙如同网络上的监视器,可以轻松记录基金行业信息网内部每一位用户的访问情况,同时可以对网络的各种使用情况进行统计生成各种报表、统计图、趋势图等。NetEye具有实时入侵检测系统,完全实现防患于未然。能够对各种网络攻击方式进行识别例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,同时以邮件方式对系统管理员进行报警。 NetEye防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与攻击的详细信息。

  8.NetEye防火墙具有一个优秀的功能,就是能够将一台基金行业信息网终端设备的网卡MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。当信息网内部有人私自篡改IP地址妄图盗用他人上网费用时,由于其IP地址与MAC地址不匹配,NetEye防火墙拒绝其通过,禁止其访问,同时向系统管理员进行邮件报警。

应用功能描述

NetEye防火墙在基金行业信息网中的安全防护原则:

  ·任何外部网络对基金行业信息网的内部情况“看不见”

  ·外部非法入侵者及特殊信息“进不来”

  ·机要敏感信息“拿不走”

  ·任何的非法对外访问“出不去”

  1、保证基金行业信息网的安全

  ·防止来自外部的黑客攻击

  ·防止来自内部的恶意攻击

  ·实现内部应用网与外部网之间的网络通讯

  ·双向的访问控制

  ·网络通讯的实时监控

  ·强大的安全审计

  ·基于事件分析与告警服务

  2、保证NetEye防火墙系统自身的安全性

  软件方面——基于交换模式下的隐形防火墙、路由模式下的网关防火墙

  NetEye防火墙软件在设计结构上可以是基于数据链路层的防火墙软件,在网络应用中不存在网络IP地址,因此防火墙系统自身不会成为攻击者攻击的目标,从而保证网络的安全。当设置为路由模式下时是基于网络层的网关防火墙,只能通过管理端口实现对NetEye防火墙的管理,其他N个通讯端口均不能对防火墙进行管理,因此NetEye防火墙是一种N+1结构的全黑洞式防火墙。

  硬件方面——具有工控机性能的“黑匣子”

  工控机从硬件设备的运行稳定性、安全性同其他的设备相比是非常优秀的,NetEye防火墙采用工控机性能的“黑匣子”作为防火墙系统的硬件平台,从而在硬件设备方面保证了防火墙极大的安全性。

  监控主机与管理主机的物理分离

  通过将防火墙的安全防范功能与管理功能分别放置于不同的主机设备中,有效地避免了人为因素对防火墙系统安全性的影响。

  3、实现内网和外网之间的网络通讯

  NetEye防火墙是一种复合型的防火墙系统,不仅能够对信息进行基于包过滤的安全防护,同时能够实现透明的应用代理服务。NetEye防火墙是唯一提供全面双向NAT地址转换功能,不仅实现内部网用户访问外部网,同时还可对外部提供各种应用服务。

  NetEye防火墙支持在内部网和DMZ区的用户使用保留的IP地址,通过动态的NAT地址转换功能实现对外部网的访问。

  NetEye防火墙还以两种方式支持反向的NAT:一是静态地址映射,即提供外部地址和内部地址的一对一转换,使内部使用保留IP地址的主机既可以访问外部网络,也可以对外部提供服务。另一种是更灵活的方式,可以支持针对服务端口的一对多映射,即内部的多个机器可以通过一个外部有效地址访问外部网络或者对外提供网络服务,同时内部的多台机器可以分别映射到该地址的若干个端口,通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性。

  随着Internet的发展,有效的IP地址一定会成为越来越宝贵的资源,如果没有此功能,就无法保证内部网络每个用户对外访问,也无法对外提供正常的服务。

  4、防止来自外部网黑客对内部网的攻击

  智能身份识别   

NetEye防火墙具有严格的一次性口令身份认证功能,是国内可以实现一次性口令身份认证的防火墙之一。能够有效解决以下几种情况对基金行业信息网络安全所带来的安全隐患:

  ·窥探网络传输中用户名称、口令

·扫描网络传输中用户信息

  ·截取网络传输中用户名称、口令

  ·侦听网络传输中用户名称、口令

  以上几种盗取用户名称、口令的方式广泛存在,例如各种扫描工具、侦听软件等随处可以得到。NetEye防火墙严格的一次性口令身份认证保证用户名称、口令的绝对安全。

  它的特性是用户口令唯一,一次性有效。在防火墙认证服务器中建立用户信息库,当用户希望通过防火墙建立网络连接时,防火墙认证服务器向用户提出认证请求同时生成一个随机数,与服务请求捆绑在一起加密发送给用户,用户输入用户名称、口令后与认证请求、随机数捆绑后加密传输给防火墙的认证服务器。认证服务器解密后分离出用户名称与口令,并判断其是否合法性,如果合法NetEye防火墙允许其进行正常的网络通讯,否则拒绝服务。由于用户名称、口令与服务请求、随机数一同加密,以密文方式传输,加密后的信息在网络传输中即使被攻击者盗取也无法获得用户真正的名称与口令。即使将盗取的密文信息发送给认证服务器进行认证,由于密文信息与认证请求是一一对应的、对密文信息的认证一次有效,认证服务器根本不会对这种盗取的密文信息进行认证。NetEye防火墙一次性口令认证过程准确、有效,由于整个认证环节都由系统本身完成,因而确保认证过程的绝对可信性。另外NetEye防火墙系统还支持遵守RADIUS协议第三方认证系统,从而使系统的认证能力具有很强的可扩展性。

  通过NetEye防火墙一次性口令身份认证保证基金行业信息用户名称、口令安全性,防止盗用用户名称、口令。

  NetEye防火墙是实现一次性口令身份认证的少数防火墙之一。对于不具有此功能的防火墙就不能够防止用户身份、口令盗用,后果将会不堪设想。

  基于应用层的包过滤

  NetEye防火墙具有基于应用层的包过滤功能,对各种网络服务进行访问控制,是唯一基于应用层访问控制的防火墙。能够有效地对以下几种情况进行访问控制管理:

  ·利用“黑名单”指定不允许访问的网络地址,“未被禁止的就是允许的”。

  ·利用“白名单”指定允许访问的网络地址,“未被允许的就是禁止的”。

  ·利用“禁止URL”指定不允许访问的WWW网址。

  有些网络地址提供非法信息,是严格禁止访问的,利用黑名单来明确禁止对这些地址的访问。通过“白名单”来指定只允许访问有限的几个网络地址,其他地址均不允许访问。对于提供如色情、反动等非法信息的网络站点,通过“禁止URL”来禁止对这些站点的访问,另外通过对内部网的WWW服务器的某些URL屏蔽,可以消除服务器本身的安全漏洞,从而对WWW服务器进行保护。因此NetEye防火墙是一种基于应用层访问控制的包过滤防火墙。

  这一功能的特性是使访问控制具有高度的针对性。防火墙按照安全规则对每一个数据包的包头信息进行过滤,将获得数据包网络地址与“黑、白名单”中指定的网络地址进行比较,以判断其合法性。如果合法允许通过,否则拒绝通过。

  此功能可以使用户对指定的网络地址进行有针对性的访问控制,使网络安全规则更加方便灵活、安全可靠。根据我国国情如果没有这种基于应用层的访问控制就不能够明确禁止对某些非法网络地址、网络站点的访问,就有可能成为传播非法信息的途径,给社会造成严重的危害。NetEye防火墙能够根据应用层不同的网络服务进行安全检测,并具有网络访问控制的功能,从而实现对各种网络应用服务进行管理。

  基于TCP/IP协议的包过滤

  能够对信息包的端口、源地址、目的地址、网络协议、通讯服务、信息传输方向等多种信息进行基于TCP/IP网络协议的包过滤操作。

  实时入侵检测与防范端口扫描

  NetEye防火墙具有强大的实时入侵检测功能,能够有效防止多种DOS(服务拒绝)攻击对基金行业的攻击,同时能够识别大量对基金行业进行端口扫描入侵活动。

  5、防止内部网用户对信息网络安全的破坏

  NetEye防火墙是一种防内又防外的防火墙。

  IP地址与MAC地址的绑定

  每一块网卡都具有一个唯一标识号码,也就是指网卡的MAC地址,每一个网卡的MAC地址都是同网卡一一对应。对于网络协议为TCP/IP的基金行业两台设备进行通讯时,网络接口具有网络IP地址,NetEye防火墙提供将内部网络用户IP地址同它的MAC地址进行绑定的功能,这样在防火墙内部就建立了网卡的IP地址同网卡的MAC地址一一对应的关系,因此通过防火墙就实现了IP地址同网卡的MAC地址即网卡的绑定。

  通过绑定功能即使盗用基金行业的IP地址,也因IP地址与MAC地址不匹配而盗用失败。在网络管理中IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。防火墙的IP/MAC地址绑定功能可以很好地解决这一问题,通过与硬件物理地址的绑定,使盗用的IP地址无法通过防火墙系统。每一个网络终端设备均具有物理MAC地址,NetEye防火墙通过将设备的MAC地址与IP地址绑定,有效防止了基金行业内部用户非法盗用IP地址。

  完备的安全审计

  NetEye防火墙提高了强大的安全审计功能,是具有国内极全面的安全审计功能的防火墙。 可以根据以下多种方式进行安全审计:

  · 根据时间范围进行安全审计

  · 根据IP网络地址进行安全审计

  · 根据信息包传输方向进行安全审计

  · 根据信息包处理方式进行安全审计

  · 根据信息包MAC地址进行安全审计

  · 根据信息包数量进行安全审计

  · 根据信息包字节数量进行安全审计

  · 根据网络服务进行安全审计

  NetEye防火墙具有专用的安全审计数据库,能够根据审计原则进行单项统计、复合统计,生成各种统计图、统计表等。通过NetEye防火墙强大的安全审计功能,可以对网络中所有的信息记录分析,发现潜在的安全隐患,使管理员对所有网络活动了如指掌。根据出现的不同情况制定相应的策略,对攻击者的入侵提前做好防御措施。

  很多防火墙不具这样全面的安全审计功能,就无法对各种网络活动进行记录、分析,就无法制定更加安全的网络策略。

  一次性的口令身份认证

  通过一次性的口令认证有效保护了使用者的权限,保证了使用者的合法性,用户口令的安全就可有效防止非法使用者的盗用,就可保护网络的安全。

  6、实现网络访问控制

  ·面向对象的安全规则编辑 基金行业在NetEye防火墙安全规则上可以针对单独的主机、一组主机、一个网段进行设置,是一种面向对象的安全规则编辑方式。

  ·网络通讯端口 可以根据网络通讯端口设置安全规则,可以针对基金行业保护对象开放某些服务端口,这样其他的通讯端口均对外关闭。

  ·网络协议 NetEye防火墙支持多种网络协议如TCP、UDP、ICMP等,在安全规则中可按照网络协议进行设置。

  ·信息传输方向、操作方式 一个网络通讯连接的建立,信息必有来源,同时有目的地。NetEye防火墙在设置安全规则时均可以进行明确的指定,有效地保证了基金行业通讯连接的合法化。因此可以根据信息传输方向设置安全规则,同时可以在安全规则中设置允许、拒绝等操作方式。

  ·通讯时间 在安全规则中可以按照星期几、每一天具体的时间设置,实现基金行业的网络访问控制。

  ·网络服务 可以根据网络服务设置安全规则。

  7、物理上的冗灾系统

  NetEye防火墙能够实现双机热备,具有灾难冗余的能力。 要保护网络的安全,防火墙本身首先要保证安全,由于防火墙系统供电、硬件故障、异常死机等特殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证。对于需要高度可靠性的用户如金融、证券、电信、电力、政府、能源等部门,一定要选用具有双机热备功能的防火墙。NetEye防火墙的双机热备功能即在同一个网络节点使用两个配置相同的防火墙,正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,并保证网络的正常使用。备用防火墙系统能够在一秒钟的时间内完成整个切换过程,切换过程不需要人为操作和除两个防火墙以外的其他系统的参与,真正做到有备无患。

  对使用者最关键的好处是整个切换过程不影响网络上的任何通讯连接,不会对信息传输有任何影响。市场上有些防火墙不具有双机热备的功能,即使能够做到双机热备,一旦出现故障时,备用防火墙需要10秒钟以上才能替代主用防火墙正常工作,网络上的所有服务连接均需要重新建立,费时费力而且损失无法估量。对于每日访问量超过300万次、峰值网络流量超过50Mbps的大型用户,这10秒会使多少用户无法访问?造成多少损失?可想而知,而NetEye防火墙有效地避免了这种可怕情况的出现。
返回目录

技术与人结合

访东软网络安全事业部总经理 曹斌

  说到“安全与管理”东软网络安全事业部总经理曹斌的感触颇深:随着网络的安全问题越来越突出,越来越多的公司设立了CSO这一职位,主要负责公司的信息安全管理。但是实际的工作效果却往往差强人意,本来应该是公司内部安全管理制度执行者的CSO们,很多情况下只是一个负责安全产品采购的采购组长。而具体的安全问题仍然没有得到有效的解决,安全隐患继续存在,这是很多用户面临的问题。如何处理好安全与管理的关系,成为整个网络体系安全与否的重中之重。   

  网络的安全不是靠一两个安全产品就能解决的问题,同样,管理也不是一两个人就能完成的事情。全网的安全不仅需要正确的全网安全解决方案,同时也需要正确执行有效的安全管理制度。


东软网络安全事业部总经理 曹斌

  对于安全管理平台这一概念,东软也有自己的想法。曹斌说:安全管理平台为了是整合现有的网络安全设备与技术、协调不同的网络设备之间的接口。但是目前,安全管理平台还处于概念级,真正的产品还不成熟。这里,曹斌提到了一个业界熟知的“平台不平”现象。安全管理平台事实上是一个老概念,但是,将现有的网络安全产品统一到一个平台之上并非易事,各个产品之间的接口会带来很多新的问题。同一个生产厂家的产品互联尚且不易,更不用说是不同厂家、不同国家之间的产品在一个平台上互联。实际上,每一个单独拿出来很好用的产品结合到一个平台上,往往就会出现“平台不平”的现象。虽然如此,曹斌认为,统一的安全管理平台还是未来安全产品的发展方向,技术上的瓶颈最终会被打通,安全产品会向所有最终用户提供更加简单易用的管理手段,而不只是提供给少数的安全专家使用。
  
  曹斌还谈到了几个容易被大家混淆的概念:人们通常认为,越是复杂的东西越难用,在使用过程中更容易出现问题,但实际的情况并非如此。在东软的产品中,包括防火墙、入侵检测系统等,每一代新的产品都会比上一代产品功能更多,但是同时也更完善,它克服了上一代产品的漏洞。而实际情况也证明,面对挑剔的用户,功能更加完善可靠的产品确实可以赢得用户的信赖。

  另一方面,这些功能日益完善的产品并没有排斥管理制度的执行。而是给了管理人员更多的机会去查看、监视网络的动态。在这里,就充分体现了安全与管理之间相辅相成的关系。东软的每款安全产品都具有简单易用的管理功能,而管理人员的有效操作进一步提升了这些产品对网络安全的贡献。   

  在产品的设计上,东软也充分体现了人性化的一面,注重产品细节与人机交互,使得每一款产品都具有实用、互动功能。
  
  这种互动功能也体现在东软的产品需求分析过程中。不同于其它产品,东软的产品功能半数是根据用户的需求自己设计出来的,另外半数是用户根据自己的需求提出来的。东软正在结合自己的产品与用户的需求为客户设计功能更加完善的产品。正是由于这种为用户服务的观念,东软软件股份有限公司的信息安全软件产品获得信息安全软件产品20年用户信赖品牌的荣誉称号。

  东软的产品不仅是优良品质的保证,也是优良服务的象征。目前,东软在全国30多个中心城市设有分支机构,分支机构下属遍布全国的代理商,几乎做到了“在用户身边办公”;而东软对代理商的严格审核制度及一整套完善的服务质量监督及管理体系,充分保证了对用户服务的到位。

返回目录

NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.

如果您有对NetEye安全月刊的改进意见;以及订阅退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。

欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com