網(wǎng)絡安全整體解決方案.doc

廣播電視廳辦公大樓計算機網(wǎng)絡網(wǎng)絡安全整體解決方案計算機網(wǎng)絡的安全概述一、概述 計算機安全事業(yè)始于本世紀60年代。當時，計算機系統(tǒng)的脆弱性已日益為美國政府和私營的一些機構(gòu)所認識。但是，由于當時計算機的速度和性能較落后，使用的范圍也不廣，再加上美國政府把它當作敏感問題而施加控制，因此，有關計算機安全的研究一直局限在比較小的范圍內(nèi)。 進入80年代后，計算機的性能得到了成百上千倍的提高，應用的范圍也在不斷擴大，計算機已遍及世界各個角落。并且，人們利用通信網(wǎng)絡把孤立的單機系統(tǒng)連接起來，相互通信和共享資源。但是，隨之而來并日益嚴峻的問題是計算機信息的安全問題。人們在這方面所做的研究與計算機性能和應用的飛速發(fā)展不相適應，因此，它已成為未來信息技術中的主要問題之一。 由于計算機信息有共享和易擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。 根據(jù)美國FBI的調(diào)查，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過1.70億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部；入侵的來源首先是內(nèi)部心懷不滿的員工，其次為黑客，另外是競爭者等。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。黑客威脅的報到如今已經(jīng)屢見不鮮了，國內(nèi)外甚至美國國防部的計算機網(wǎng)絡也都常被黑客們光顧。 國內(nèi)由于計算機及網(wǎng)絡的普及較低，加知黑客們的攻擊技術和手段都相應較為落后，因此，前幾年計算機安全問題暴露得不是太明顯，但隨著計算機的飛速發(fā)展、普及、攻擊技術和手段的不斷提高，對我們本就十分脆弱的系統(tǒng)帶來了嚴重的威脅。據(jù)調(diào)查，國內(nèi)考慮并實施完整安全措施的機構(gòu)寥寥無幾，很多機構(gòu)僅僅簡陋的用了一點點安全策略或根本無任何安全防范。我們不能總是亡羊補牢。 在計算機網(wǎng)絡和系統(tǒng)安全問題中，常有的攻擊手段和方式有：利用系統(tǒng)管理的漏洞直接進入系統(tǒng)；利用操作系統(tǒng)和應用系統(tǒng)的漏洞進行攻擊；進行網(wǎng)絡竊聽，獲取用戶信息及更改網(wǎng)絡數(shù)據(jù)；偽造用戶身份、否認自己的簽名；傳輸釋放病毒和如Java/ActiveX控件來對系統(tǒng)進行有效控制；IP欺騙；摧毀網(wǎng)絡節(jié)點；消耗主機資源致使主機癱瘓和死機等等。二、計算機網(wǎng)絡系統(tǒng)安全問題 由于大型網(wǎng)絡系統(tǒng)內(nèi)運行多種網(wǎng)絡協(xié)議（TCP/IP、IPX/SPX、NETBEUA等），而這些網(wǎng)絡協(xié)議并非專為安全通訊設計。因此，網(wǎng)絡系統(tǒng)可能存在的安全威脅主要來自以下方面：操作系統(tǒng)的安全性：目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如：UNIX服務器、NT服務器及Windows桌面PC等。 來自內(nèi)部網(wǎng)用戶的安全威脅。 缺乏有效的手段監(jiān)視和評估網(wǎng)絡系統(tǒng)的安全性。 采用TCP/IP協(xié)議族軟件，本身缺乏安全性。 未能對來自外部的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/Active控件等進行有效控制。 應用服務的安全，許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。 防火墻的安全性，防火墻自身是否安全，是否設置錯誤，需要經(jīng)過檢驗。 從網(wǎng)絡協(xié)議體系來看，網(wǎng)絡系統(tǒng)安全則可從物理層、鏈路層、網(wǎng)絡層、操作系統(tǒng)、應用平臺、應用系統(tǒng)幾方面來分別討論。 物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊如干擾等。 鏈路層的網(wǎng)絡安全需要保證通過網(wǎng)絡鏈路的數(shù)據(jù)不被竊聽。 網(wǎng)絡層的安全需要保證網(wǎng)絡只給授權的用戶使用授權的服務，保證網(wǎng)絡路由正確，避免被攔截或監(jiān)聽。 操作系統(tǒng)安全要求保證用戶資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)υ摬僮飨到y(tǒng)上的應用進行審計。 應用平臺指建立在網(wǎng)絡系統(tǒng)之上的應用軟件服務，如數(shù)據(jù)庫服務器、電子郵件服務器、Web服務器等。由于應用平臺的系統(tǒng)非常復雜，通常采用多種技術（如SSL等）來增強應用平臺的安全性。 應用系統(tǒng)完成網(wǎng)絡系統(tǒng)的最終目的為用戶服務，應用系統(tǒng)的安全與系統(tǒng)設計和實現(xiàn)關系密切。 因此，對于網(wǎng)絡系統(tǒng)安全問題需解決好如下問題：在中心的局域網(wǎng)中如何在網(wǎng)絡層實現(xiàn)安全性？如何控制遠程用戶訪問的安全性？ 在廣域網(wǎng)上的數(shù)據(jù)傳輸實現(xiàn)安全加密傳輸和用戶的認證？ 在連接外部網(wǎng)絡時，如何保證系統(tǒng)的安全性？ 如何在整個網(wǎng)絡中防止病毒的入侵，包括Internet、服務器、工作站和電子郵件等各個部分？ 如何防止黑客的入侵？即使黑客入侵，如何降低系統(tǒng)的損失？ 系統(tǒng)軟件如何保證其系統(tǒng)安全？ 應用系統(tǒng)如何保證其系統(tǒng)安全？ 如何保證電子郵件系統(tǒng)的安全性？ 如何主動的檢查和查找網(wǎng)絡系統(tǒng)的安全漏洞，并及時的防范和解決？ 如何評估系統(tǒng)的整體安全性？ 如何規(guī)劃整個網(wǎng)絡的安全系統(tǒng)方案？ 三、解決網(wǎng)絡安全問題的一些技術和方法 劃分網(wǎng)段、局域網(wǎng)交換技術和VLAN實現(xiàn)： 劃分網(wǎng)段、局域網(wǎng)交換技術和VLAN實現(xiàn)主要解決局域網(wǎng)絡的安全問題。 由于局域網(wǎng)是廣播型網(wǎng)絡，因此，若在廣播域中進行監(jiān)聽，就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露無遺。 劃分網(wǎng)段，其本質(zhì)就是限制廣播域，將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。其方式可分為物理分段和邏輯分段兩種。物理分段通常是將網(wǎng)絡從物理層和數(shù)據(jù)鏈路層上分開網(wǎng)段，各網(wǎng)段相互間無法進行直接通訊；邏輯分段是指將整個系統(tǒng)在網(wǎng)絡層上進行分段。 局域網(wǎng)交換和VLAN技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術，從廣播網(wǎng)絡轉(zhuǎn)變?yōu)辄c到點的通訊，除非設置監(jiān)聽口，信息交換也不會存在監(jiān)聽和篡改等問題。 但是，用了局域網(wǎng)交換和VLAN技術仍然有一定的安全問題：如局域網(wǎng)設備成為了新的攻擊對象、基于網(wǎng)絡廣播原理的入侵監(jiān)測技術在交換網(wǎng)絡中的運用問題、基于MAC的VLAN不能防止MAC欺騙攻擊等。加密技術、數(shù)字簽名和認證、VPN技術： 加密型網(wǎng)絡安全技術的基本思想是不依賴于網(wǎng)絡中數(shù)據(jù)路徑的安全性來實現(xiàn)網(wǎng)絡系統(tǒng)的安全，而是通過對網(wǎng)絡數(shù)據(jù)的加密來保障網(wǎng)絡的安全可靠性，因而這一類安全保障技術的基石是適用的數(shù)據(jù)加密技術極其在分布式系統(tǒng)中的應用。防火墻 防火墻通常是網(wǎng)絡互連中的第一道屏障。防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網(wǎng)絡入口點檢查網(wǎng)絡通訊，根據(jù)設定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡安全的前提下，提供內(nèi)外網(wǎng)絡通訊。如今的防火墻功能越來越強大，從應用上分為包過濾和代理服務器兩類；從實現(xiàn)上分為軟件防火墻和硬件防火墻兩類，通過防火墻能解決如下問題：保護脆弱服務：通過過濾不安全的服務，防火墻可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。如，防火墻可以禁止NIS、NFS、TELNET服務通過，同時可以拒絕源路由和ICMP重定向封包。 控制對系統(tǒng)的訪問：防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機同時禁止訪問某些主機。 集中的安全管理：防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設定安全策略。 增強的保密性：使用防火墻可以阻止攻擊者攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger、DNS等。 記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)：防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測。 策略執(zhí)行：防火墻提供了制定和執(zhí)行網(wǎng)絡安全策略的手段，未設置防火墻時，網(wǎng)絡安全僅取決于每臺主機的用戶。 防火墻還提供許多的流量控制、防攻擊檢測等手段，直接將攻擊擋在外面，充分的保障了網(wǎng)絡安全 入侵檢測技術 利用防火墻技術，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護，降低網(wǎng)絡的安全風險。但是，僅僅利用防火墻，網(wǎng)絡安全還遠遠不夠：入侵者可尋找防火墻背后可能敞開的后門、入侵者可能就在防火墻內(nèi)等等。 入侵檢測系統(tǒng)是新型的網(wǎng)絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，實時入侵檢測的能力重要點在于它能夠?qū)Ω秮碜詢?nèi)部的攻擊，能夠阻止hacker的入侵。入侵檢測系統(tǒng)常分為基于主機和網(wǎng)絡兩類。網(wǎng)絡安全掃描技術 網(wǎng)絡安全掃描技術可對網(wǎng)絡系統(tǒng)的安全作預先的檢測，查找安全漏洞，提供解決方案等。 除上述技術和方法外，對于網(wǎng)絡系統(tǒng)還需解決好病毒、系統(tǒng)軟件、應用軟件方面的安全問題。 總之對于網(wǎng)絡系統(tǒng)的安全，需做好網(wǎng)絡系統(tǒng)的安全評估方案，綜合利用安全掃描技術、防火墻、安全監(jiān)聽系統(tǒng)、加密技術、防病毒軟件等來互相配合，加強管理，綜合提高網(wǎng)絡的安全性。McAfee Total Virus Defense (TVD)綜合的企業(yè)反病毒安全與管理方案1、概述及組成 保護當今各種網(wǎng)絡免受愈演愈烈的計算機病毒威脅已不是一件簡單的事情。目前已知的計算機病毒超過20,000種，并且每月發(fā)現(xiàn)的新病毒超過300種，即每天都有10余種新病毒出現(xiàn)。研究表明，病毒比其他安全威脅造成的經(jīng)濟損失都大的多。因此迫切需要單一、集中的解決方案。 NAI是全球反病毒解決方案的領導者，它提供了一套現(xiàn)成的解決方案，即McAfee Total Virus Defense 套件（簡稱TVD或全無敵）。作為全面管理和維護網(wǎng)絡安全方案的重要組件，TVD在一個集中控制的軟件包里為您提供一套反病毒解決方案，使企業(yè)范圍的防病毒管理成為現(xiàn)實。具體說，TVD可以在每個進入點抵御病毒和惡意小程序的入侵，保護網(wǎng)絡中的PC機、服務器和Internet網(wǎng)關。同時它也是一個功能強大的管理工具，可以自動進行文件更新，使管理和服務作業(yè)合理化，并可用來從控制中心管理企業(yè)范圍的反病毒安全機制。TVD的目標是：從桌面到整個企業(yè)系統(tǒng)，優(yōu)化系統(tǒng)性能、解決及預防問題、處理管理事物和執(zhí)行正常的管理工作、保護公司資產(chǎn)免受攻擊和危害、降低企業(yè)成本并提高用戶和企業(yè)生產(chǎn)率。2、功能與特點 最廣泛的多級進入點保護 隨著分布式網(wǎng)絡計算、文檔駐留宏、群件等新技術的出現(xiàn)以及Internet 的廣泛采用，網(wǎng)絡的脆弱性成倍增加，保護計算機網(wǎng)絡已不再是簡單的在客戶機上安裝桌面病毒掃描程序就可以解決的問題了，建立一套完善多級的病毒防護系統(tǒng)非常必要。TVD提供了桌面、服務器和Internet網(wǎng)關的單一集成的防病毒系統(tǒng) ，對所有潛在的病毒進入點實行全面保護。TVD由三種安全產(chǎn)品套件組成：（1）.VirusScan Security Suite (VSS) 套件，提供對所有桌面客戶機的多平臺保護。（2）.Netshield Security Suite (Nss)套件，保護所有文件、應用程序和群件服務器。（3）.Internet Security Suite (ISS) 套件，在網(wǎng)關上鎖住病毒和有敵意的Java、ActiveX程序。100的病毒檢測率 包括多達15，000種的病毒樣本特征庫加上獲獎產(chǎn)品Hunter掃描引擎使得TVD及其組件在VSUM、 Virus Bulletin 、Secure Computing 、NCSA等多所獨立測試機構(gòu)的重復檢測中獲得100測試率，啟發(fā)式技術迅速檢測新病毒。3、強有力的服務與研究支持 NAI的VERT（防病毒快速反應小組）擁有分布在六大洲的近百名病毒研究人員，為用戶提供全天候?qū)I(yè)服務與支持。當新病毒出現(xiàn)時，Web上每小時（敏感期每10分鐘）都會更新該病毒特征文件，讓用戶及時將其清除。4、市場領導者 TVD是世界上應用最廣泛的防病毒和安全軟件，全球3千萬用戶，包括在財富前100名80的公司，比其他所有解決方案的用戶還多。5、完善的企業(yè)級管理能力中央控制臺集中配置與管理模式，使您的企業(yè)更加高效，更易管理。6、獨特的病毒更新技術 當更新信息從實驗室發(fā)布時，NAI驚人的企業(yè)“推送”（SecureCast）技術立即將其送達系統(tǒng)管理員。通過自動更新（AutoUpdate），桌面PC和服務器按計劃從指定的中央服務器上提取更新信息使自己保持為更新狀態(tài)。管理員也可使用“中央控制臺”（Net Tools Console）將軟件升級版和更新信息迅速傳遞到企業(yè)內(nèi)部的所有客戶機及服務器。7、McAfee TVD系列產(chǎn)品結(jié)構(gòu)及功能描述桌面保護產(chǎn)品：VirusScan Security Suite(VSS) 簡述 在防病毒策略的注意力大部分集中在保護服務器和網(wǎng)關上的同時，NAI注意到50的病毒仍是通過軟盤進入企業(yè)網(wǎng)絡的。VirusScan Security Suite (VSS)為所有的桌面計算機提供所能獲得的、最為全面的跨平臺病毒保護。VSS還集成了一些功能強大的輔助技術，可以自動地保護系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟失。組成VSS套件由以下產(chǎn)品構(gòu)成：VirusScanVirusScan是全球桌面病毒保護領域內(nèi)的領先產(chǎn)品，可以殺滅超過15，000種的病毒。支持DOS、Windows3.x、Windows95/98、Windows NT、Macintosh OS/2。其主要功能為：掃描所有子系統(tǒng)區(qū)域（包括軟盤、引導區(qū)、文件分配表和區(qū)分表、文件夾、文件和壓縮文件）以提供廣泛的安全保護。 精確清除文件、文件引導區(qū)、分區(qū)表和內(nèi)存中的病毒。 實時掃描技術可在磁盤訪問、文件復制、文件創(chuàng)建、文件重命名、程序執(zhí)行、系統(tǒng)啟動和關閉時捕獲病毒。 按需掃描可由用戶自主選擇，掃描位于文件、驅(qū)動器和軟盤內(nèi)的已知病毒。 WebScanXWebScanX的目的在于保護惡意Java和ActiveX小程序?qū)W(wǎng)絡用戶的損害，除了檢測和阻止毒通過Internet下載的途徑傳播之外，WebScanX還有以下功能：阻止黑客利用Java、ActiveX小程序攻擊、損壞和竊取用戶的系統(tǒng)或資源。 檢測和防止通過電子郵件貼件發(fā)送給用戶的病毒（檢測率達到100），包括檢測Word和Excel中的宏病毒。 根據(jù)用戶需求，拒絕某些特定Web站點的訪問。 WebScanX可以和目前最流行的瀏覽器如Netscape 3.x、4.x；IE3.x、4.x兼容，具有友好的用戶圖形界面和自動更新病毒樣本文件的功能。PC Medic通過防止操作系統(tǒng)和應用程序崩潰使用戶免于浪費寶貴的時間和丟失珍貴的數(shù)據(jù)，防止用戶級的崩潰，可以使員工保持更高的效率并減少不必要的電話咨詢求助次數(shù)。PGP MedicPGP加密技術是業(yè)內(nèi)默認的工業(yè)標準，全球用戶超過四百萬，用戶對PGP加密算法的信賴程度超過任何其它解決方案。PGP File使用戶輕松地保護機密信息，極大的增強了數(shù)據(jù)安全性。Quick Backup該產(chǎn)品曾以其優(yōu)良性能獲PC Magazine的Editors choice獎。Quick Backup直觀的拖放界面通過鼓勵定期用戶防止丟失珍貴的終端數(shù)據(jù)和資源。SecureCast和Net Tools Console獨特的SecureCast推送技術每天自動向系統(tǒng)管理員發(fā)送更新過的病毒保護程序，以防御每月新發(fā)現(xiàn)的300多種病毒。Net Tools Console具有集中管理、分發(fā)和警告功能，與SceureCast緊密配合，完成對終端用戶軟件及信息的自動更新與升級。NetShield Security Suite (NSS) 服務器保護套件 簡述 ： 一臺桌面PC感染病毒會造成一些麻煩，但若是一臺服務器感染病毒，損失就會多幾倍以上。被感染的服務器文件成為病毒感染的源頭，會迅速從桌面發(fā)展到整個網(wǎng)絡的病毒爆發(fā)，尤其象Microsoft Exchange 或Lotus Notes這樣的群件更會加快病毒的傳播速度。網(wǎng)絡病毒感染造成的員工勞動損失、數(shù)據(jù)丟失帶來的成本增加以及清除病毒感染需要的費用是驚人的。因此，提供基于服務器的病毒保護已成為當務之急。 NAI作為企業(yè)網(wǎng)絡安全專家的首選公司，提供了基于全球領先的反病毒技術的NSS套件。它從一個直觀的控制臺保護整個企業(yè)的文件、應用程序和群件服務器。NSS支持NT、Netware、UNIX 、Lotus Notes、Microsoft Exchange等多種服務器的保護，可以方便地從本地服務器或工作站監(jiān)測、配置和執(zhí)行遠程服務。集中化管理可以實現(xiàn)對警告?zhèn)魉偷目刂啤栴}票卷的生成和活動日志的自主選擇。組成： NSS套件提供了所能獲得的最為全面的基于服務器的病毒防護，單個的許可協(xié)議就可以保證獲得對所有服務器平臺的完善保護。它主要由以下幾部分組成。Netshield 高效、實時的檢測發(fā)送給或來自于服務器的病毒感染文件，以避免它在整個網(wǎng)絡中擴散。同時可以按需要選擇立刻或定時檢測，掃描貯留在文件服務器中的病毒。一旦發(fā)現(xiàn)，則根據(jù)管理員的需求，記錄日志、刪除、隔離或擯棄在防火墻以外。NetShield支持NT、Netware、UNIX、Solaris、AIX、NCR等多種平臺，具有管理簡便（本地監(jiān)控）、檢測率優(yōu)異、自動保護、響應快速的特點。GroupShield 基于Microsoft Exchange 和 Lotus Notes 群件服務器的防病毒保護解決方案。同Netshield 一樣，GroupShield 提供了強大的管理功能，控制所有文件、應用程序并執(zhí)行遠程服務、安裝與配置。強大的集中警告功能可以通過電子郵件、打印機、尋呼機、DMI警告或網(wǎng)絡消息，傳送各種上下文相關的病毒警告給消息的寄件人、收件人和系統(tǒng)管理員。利用可選的SNMP警告功能，可以自動地在流行的桌面幫助應用程序生成問題票卷。一旦發(fā)現(xiàn)病毒，可以在本地或遠程的事件日志里記錄活動日志，或?qū)⑺鼈儽４嬖趯ｉT的病毒日志中。SecureCast 與Net Tools Console 集中管理與快速有效的分發(fā)、警告功能、可快速地更新病毒特征文件，實現(xiàn)軟件的自動升級。Internet Security Suite (ISS) 網(wǎng)關保護套件概述 據(jù)國際計算機安全委員會（ICSA）統(tǒng)計，去年企業(yè)用戶感染的病毒中，有超過20的病毒與從Internet上下載文件有關。此外還有26的病毒是通過電子郵件附件進入企業(yè)網(wǎng)絡的。Internet大大加快了病毒在世界范圍內(nèi)的傳播速度并使很多公司陷于癱瘓。組成 Internet Security Suite 在Internet 網(wǎng)關上對任何一個可能的病毒進入點提供全面的病毒保護。它主要由以下產(chǎn)品組成：WebShield SMTP 該產(chǎn)品掃描所有入站和出站的電子郵件?；贘ava的控制臺，可從任一NT服務器或工作站上執(zhí)行全部操作。WebShield Proxy 該產(chǎn)品為HTTP、FTP等多個Internet協(xié)議在內(nèi)的通信提供病毒保護，同時掃描有惡意的Java和 ActiveX 小程序。Webshield Proxy 和 Windows NT 上的 Microsoft Proxy Server 或 Solaris 上的 Netscape Proxy Server 一起運行，通過一個可從任何一個標準的 Web 瀏覽器操作的HTML控制臺對其進行遠程管理。WebScanX 惡意的Java和 ActiveX 程序可以迅速的影響到很多用戶，造成用戶硬盤格式化或盜取Web 站點上的數(shù)據(jù)，而編寫惡意程序的人卻不需要太高超的技巧。WebScanX的出現(xiàn)，彌補了這一漏洞，它提供了對客戶端的電子郵件、Java和 ActiveX的全面保護。SecureCast和 Net Tools Console 自動將病毒更新信息發(fā)送給系統(tǒng)管理員，并提供集中的管理、分發(fā)和警告功能。東大阿爾派防火墻NetEye系統(tǒng)防火墻NetEye系統(tǒng)簡介 防火墻技術的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的內(nèi)部網(wǎng)絡環(huán)境。由于防火墻技術的針對性很強，它已成為實現(xiàn)Internet網(wǎng)絡安全的重要保障之一。具有信息分析功能的防火墻系統(tǒng)NetEye是基于我國的實際情況開發(fā)的，除了實現(xiàn)傳統(tǒng)的包過濾功能外，還可以對網(wǎng)上流動的信息進行過濾、分析和控制。NetEye系統(tǒng)是基于數(shù)據(jù)鏈路層進行設計的，具有透明性好和安全度高等特點，內(nèi)嵌了一個IP過濾器，并具有信息記錄、信息分析、網(wǎng)絡連接實時監(jiān)控等功能，它是一個適合中國國情的防火墻系統(tǒng)，在安全思想和技術設計都處于領先水平。NetEye硬件配置 NetEye在硬件上采用一個可選顯示器的PC機，并在其上插了三塊以太網(wǎng)卡，在軟件上自行開發(fā)出更安全的專用于防火墻的操作系統(tǒng)，NetEye的三塊網(wǎng)卡均無IP地址，可實現(xiàn)兩路透明的橋接過濾功能，因此它相當于一個黑盒子，用戶無法檢測到它的存在，同時NetEye又是一個具有硬件加密功能的設備，可實現(xiàn)安全的私有網(wǎng)絡SVPN； NetEye 防火墻系統(tǒng)的硬件設備由監(jiān)控主機和管理主機構(gòu)成。 系統(tǒng)特點本系統(tǒng)具有高度的安全性和透明性 本系統(tǒng)是基于網(wǎng)絡的低層-數(shù)據(jù)鏈路層進行設計的，采用無IP的工作方式，用戶感覺不到該防火墻系統(tǒng)的存在，系統(tǒng)具有很好的隱蔽性，從而也降低了黑客的攻擊，增強了防火墻系統(tǒng)自身的安全性。本系統(tǒng)的所有部分均有源碼，保證了源碼級的安全性及防火墻本身的可論證性和可鑒定性。內(nèi)嵌IP過濾器 本系統(tǒng)內(nèi)嵌IP過濾器， IP過濾器可以根據(jù)IP包的源或目標IP地址、TCP或UDP端口等信息進行過濾，系統(tǒng)提供了方便、靈活、圖形化的過濾規(guī)則管理工具，能夠?qū)_突規(guī)則進行自動檢測，從而很好地保障了IP過濾的效率。詳盡的網(wǎng)絡數(shù)據(jù)跟蹤、信息分析 通過對網(wǎng)絡協(xié)議http、smtp、ftp、telnet、rlogin等的分析，本系統(tǒng)能夠任意捕取WWW、EMAIL、FTP、BBS等網(wǎng)絡數(shù)據(jù)，并且輔以有力的查找規(guī)則，使得網(wǎng)絡信息跟蹤變得得心應手。本系統(tǒng)提供了信息實時檢查和信息事后分析兩種工作方式，實時的關鍵字檢查更是捕捉網(wǎng)絡數(shù)據(jù)于瞬間。網(wǎng)絡實時監(jiān)控 系統(tǒng)提供了對當前網(wǎng)絡連接的實時監(jiān)控功能，可以及時地發(fā)現(xiàn)可疑的連接，及時彌補網(wǎng)絡系統(tǒng)的漏洞或進行責任追究。友好的網(wǎng)絡管理界面 友好的界面使管理和維護更簡單、更形象。智能化的規(guī)則處理保障了系統(tǒng)運行的正確性和高效性。減少了人為不安全性。 NetEye系統(tǒng)功能介紹IP 過濾器的管理1) 過濾規(guī)則處理 NetEye是具有信息分析功能的防火墻系統(tǒng)，提供了基于IP包的包過濾功能，它是通過過濾規(guī)則來實現(xiàn)的。對過濾規(guī)則的管理是包過濾型防火墻的一個很重要的部分，NetEye系統(tǒng)提供了圖形化的規(guī)則管理工具，使得過濾規(guī)則的管理工作更加簡單、方便。對過濾規(guī)則的管理是以文件方式維護的，即多個規(guī)則組成一個文件。用戶可以根據(jù)實際環(huán)境的需要建立新的規(guī)則文件，修改或刪除已有的規(guī)則文件。 規(guī)則維護提供了對每個規(guī)則文件中的規(guī)則的維護功能，可以在規(guī)則文件中增加新規(guī)則、修改或刪除已有規(guī)則。另外，可以對規(guī)則文件中的規(guī)則進行歸類查找，可以按需要調(diào)整規(guī)則的先后順序。NetEye系統(tǒng)為用戶提供了矛盾規(guī)則和沖突規(guī)則的自動檢測功能，從而保證了過濾規(guī)則制定的準確性，減少了人為的不安全因素，間接地提高了IP過濾器的過濾效率。2) IP過濾器配置 用戶可以按照實際情況的需要方便、靈活的配置IP過濾器：如過濾主機收到IP包時，發(fā)現(xiàn)規(guī)則表內(nèi)沒有適用于它的過濾規(guī)則，過濾主機可以采取允許或拒絕其通過。這可由系統(tǒng)的缺省配置文件進行設定。缺省配置文件還包括如何記錄IP過濾的日志，可選擇記錄允許或拒絕通過的情況等。信息檢查功能 傳統(tǒng)的基于包過濾的防火墻都是基于IP包的源地址、目的地址和端口號等內(nèi)容進行過濾，一般沒有對IP包的信息內(nèi)容進行過濾的，這就限制了包過濾的應用范圍。NetEye防火墻系統(tǒng)在通常的基于IP包的地址、端口等內(nèi)容的過濾基礎上又提供了基于信息內(nèi)容的過濾，即對信息內(nèi)容的檢查功能。這是NetEye系統(tǒng)與傳統(tǒng)防火墻一個顯著不同之處。 NetEye系統(tǒng)不僅可以對當前網(wǎng)上流動的分組的數(shù)據(jù)內(nèi)容進行實時檢查，而且可以對經(jīng)過網(wǎng)絡上當前流動的信息文件的內(nèi)容進行分析。在信息檢查后，信息檢查功能模塊可以根據(jù)檢查結(jié)果按照用戶的需要自動生成過濾規(guī)則，對網(wǎng)絡信包進行更好的控制。另外，信息檢查模塊在對信息內(nèi)容檢查之后，可以按照用戶的需要進行檢查結(jié)果的記錄，將檢查情況存入信息檢查日志文件，用戶可以在日志管理模塊中對信息檢查結(jié)果進行進一步的分析。1)網(wǎng)絡信息包實時檢查 網(wǎng)絡信息包實時檢查是在包一級對信息內(nèi)容進行關鍵字的匹配分析。 信息實時檢查為用戶提供了圖形化的信息實時檢查界面，用戶輸入所要查找的關鍵字組合（與、或、非等組合），防火墻過濾主機對當前網(wǎng)上流動的分組進行實時檢查，最后將信息檢查結(jié)果返給用戶，系統(tǒng)將顯示該分組的源地址、目的地址、源端口號、目的端口號、協(xié)議、分組方向和信息檢查時間以及包的信息內(nèi)容，根據(jù)以上信息還為用戶提供了過濾規(guī)則自動生成功能。2)網(wǎng)絡文件分析功能 信息分析模塊還提供了對當前網(wǎng)上流動的網(wǎng)絡文件進行分析的功能，目前所能分析的網(wǎng)絡文件有TELNET、RLOGIN、FTP、EMAIL和WWW等幾種協(xié)議網(wǎng)絡文件。對當前網(wǎng)絡文件的分析功能如下： 瀏覽文件目錄-用戶可以選擇所要分析的網(wǎng)絡文件的文件類型和網(wǎng)絡文件的地址范圍，系統(tǒng)將顯示當前該范圍內(nèi)的網(wǎng)絡文件的目錄。 分析文件-用戶可以選擇所要分析的網(wǎng)絡文件，利用系統(tǒng)的分析工具對網(wǎng)絡文件進行分析。目前系統(tǒng)提供了文本文件分析器和瀏覽器兩種文件分析工具，對于FTP 和WWW可以選擇此兩種工具進行分析。 為了減輕防火墻主機的負荷，也是為了進行更完整和更詳細的信息檢查，NetEye系統(tǒng)為用戶提供了網(wǎng)絡文件的離線分析功能。目前所提供的分析工具是關鍵字檢索分析，可以在所有的網(wǎng)絡文件中定位關鍵字，也可以對文件進行單獨分析。狀態(tài)監(jiān)控狀態(tài)監(jiān)控模塊為用戶提供了對網(wǎng)絡的狀態(tài)監(jiān)視功能，通過圖形化的監(jiān)控工具，系統(tǒng)為用戶提供了系統(tǒng)監(jiān)視和報警功能。 狀態(tài)監(jiān)控提供動態(tài)跟蹤功能，它能夠根據(jù)用戶的要求跟蹤某特定服務的執(zhí)行情況，或跟蹤某特定的主機的運行等。用戶輸入所要監(jiān)控的連接的客戶地址和服務器地址，選擇所要監(jiān)控的連接的類型及刷新時間。 系統(tǒng)對當前網(wǎng)絡上的連接進行監(jiān)控，返回連接的名稱和客戶、服務器地址，當前連接的狀態(tài)（連接或已斷開），對已有的連接進行分類統(tǒng)計。日志、審計 系統(tǒng)的每一功能幾乎都有詳盡的日志、審計等功能。 信息實時檢查日志為用戶提供了方便的記錄功能，用戶可以將檢查結(jié)果詳細記錄下來，存入信息實時檢查日志文件，供進一步分析時需要，也使信息檢查有據(jù)可查。 文件分析的日志詳細記錄了網(wǎng)絡文件分析的結(jié)果。IP過濾情況日志對IP過濾器的過濾情況進行記錄，可以隨時查看這些過濾情況，掌握IP過濾器的過濾情況。系統(tǒng)配置管理 涉及NetEye系統(tǒng)本身的一些管理工作，包