網(wǎng)絡(luò)平安設(shè)計(jì)方案2009-03-2723:02:39標(biāo)簽：IDC網(wǎng)絡(luò)系統(tǒng)平安實(shí)施方案

1吉通上海IDC網(wǎng)絡(luò)平安功能需求

1.1吉通上海公司對于網(wǎng)絡(luò)平安和系統(tǒng)牢靠性的總體設(shè)想

（1）網(wǎng)絡(luò)要求有充分的平安措施，以保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。要把網(wǎng)絡(luò)平安層，信息服務(wù)器平安層，數(shù)據(jù)庫平安層，信息傳輸平安層作為一個系統(tǒng)工程來考慮。網(wǎng)絡(luò)系統(tǒng)牢靠性：為削減單點(diǎn)失效，要分析交換機(jī)和路由器應(yīng)采納負(fù)荷或流量分擔(dān)方式，對服務(wù)器、計(jì)費(fèi)服務(wù)器和DB服務(wù)器，WWW服務(wù)器，分別采納的策略。說明對服務(wù)器硬件、操作系統(tǒng)及應(yīng)用軟件的平安運(yùn)行保障、故障自動檢測/報警/解除的措施。對業(yè)務(wù)系統(tǒng)牢靠性，要求滿意實(shí)現(xiàn)對硬件的冗余設(shè)計(jì)和對軟件牢靠性的分析。網(wǎng)絡(luò)平安應(yīng)包含：數(shù)據(jù)平安；

預(yù)防病毒；

網(wǎng)絡(luò)平安層；

操作系統(tǒng)平安；

平安系統(tǒng)等；

（2）要求賣方提出完善的系統(tǒng)平安政策及其實(shí)施方案，其中至少覆蓋以下幾個方面：l

對路由器、服務(wù)器等的配置要求充分考慮平安因素l

制定妥當(dāng)?shù)钠桨补芾碚撸缈诹罟芾?、用戶帳號管理等。l

在系統(tǒng)中安裝、設(shè)置平安工具。要求賣方具體列出所供應(yīng)的平安工具清單及說明。l

制定對黑客入侵的防范策略。l

對不同的業(yè)務(wù)設(shè)立不同的平安級別。（3）賣方可提出自己建議的網(wǎng)絡(luò)平安方案。1.2整體需求

l

平安解決方案應(yīng)具有防火墻,入侵檢測,平安掃描三項(xiàng)基本功能。l

針對IDC網(wǎng)絡(luò)管理部分和IDC服務(wù)部分應(yīng)提出不同的平安級別解決方案。l

全部的IDC平安產(chǎn)品要求廠家穩(wěn)定的服務(wù)保障和技術(shù)支持隊(duì)伍。服務(wù)包括產(chǎn)品的定時升級，培訓(xùn)，入侵檢測,平安掃描系統(tǒng)報告分析以及對平安事故的快速響應(yīng)。l

平安產(chǎn)品應(yīng)能與集成商方案的網(wǎng)管產(chǎn)品，路由，交換等網(wǎng)絡(luò)設(shè)備功能兼容并有效整合。l

全部的平安產(chǎn)品應(yīng)具有公安部的銷售許可和國家信息化辦公室的平安認(rèn)證。l

全部平安產(chǎn)品要求界面友好，易于安裝，配置和管理，并有詳盡的技術(shù)文檔。l

全部平安產(chǎn)品要求自身高度平安性和穩(wěn)定性。l

平安產(chǎn)品要求功能模塊配置敏捷，并具有良好的可擴(kuò)展性。

1.3防火墻部分的功能需求

l

網(wǎng)絡(luò)特性：防火墻所能愛護(hù)的網(wǎng)絡(luò)類型應(yīng)包括以太網(wǎng)、快速以太網(wǎng)、(千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI可選)。支持的最大LAN接口數(shù)：軟、硬件防火墻應(yīng)能供應(yīng)至少4個端口。l

服務(wù)器平臺：軟件防火墻所運(yùn)行的操作系統(tǒng)平臺應(yīng)包括Solaris2.5/2.6、Linux、WinNT4.0(HP-UX、IBM-AIX、Win2000可選)。l

加密特性：應(yīng)供應(yīng)加密功能，最好為基于硬件的加密。l

認(rèn)證類型：應(yīng)具有一個或多個認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數(shù)字證書等。l

訪問限制：包過濾防火墻應(yīng)支持基于協(xié)議、端口、日期、源/目的IP和MAC地址過濾；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一樣性檢測機(jī)制，防止沖突；在傳輸層、應(yīng)用層(、FTP、TELNET、SNMP、STMP、POP)供應(yīng)代理支持；支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。l

防衛(wèi)功能：支持病毒掃描，供應(yīng)內(nèi)容過濾，能防衛(wèi)PingofDeath,TCPSYNFloods及其它類型DoS攻擊。l

平安特性：支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP代理）；供應(yīng)入侵實(shí)時警告；供應(yīng)實(shí)時入侵防范；識別/記錄/防止企圖進(jìn)行IP地址欺瞞。l

管理功能：支持本地管理、遠(yuǎn)程管理和集中管理；支持SNMP監(jiān)視和配置；負(fù)載均衡特性；支持容錯技術(shù)，如雙機(jī)熱備份、故障復(fù)原，雙電源備份等。l

記錄和報表功能：防火墻應(yīng)當(dāng)供應(yīng)日志信息管理和存儲方法；防火墻應(yīng)具有日志的自動分析和掃描功能；防火墻應(yīng)供應(yīng)告警機(jī)制，在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異樣狀況時，通過告警來通知管理員實(shí)行必要的措施，包括E－mail、呼機(jī)、手機(jī)等；供應(yīng)簡要報表（依據(jù)用戶ID或IP地址供應(yīng)報表分類打?。还?yīng)實(shí)時統(tǒng)計(jì)。

2惠普公司在吉通上海IDC中的網(wǎng)絡(luò)平安管理的設(shè)計(jì)思想

2.1網(wǎng)絡(luò)信息平安設(shè)計(jì)宗旨

惠普公司在為客戶IDC項(xiàng)目的信息平安供應(yīng)建設(shè)和服務(wù)的宗旨可以表述為：l

依據(jù)最新、最先進(jìn)的國際信息平安標(biāo)準(zhǔn)l

采納國際上最先進(jìn)的平安技術(shù)和平安產(chǎn)品l

參照國際標(biāo)準(zhǔn)ISO9000系列質(zhì)量保證體系來規(guī)范惠普公司供應(yīng)的信息平安產(chǎn)品和服務(wù)l

嚴(yán)格遵守中華人民共和國相關(guān)的法律和法規(guī)2.2網(wǎng)絡(luò)信息平安的目標(biāo)

網(wǎng)絡(luò)平安的最終目標(biāo)是愛護(hù)網(wǎng)絡(luò)上信息資源的平安，信息平安具有以下特征：l

保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息；l

完整性：愛護(hù)信息和信息的處理方法精確而完整；l

可用性：確保經(jīng)過授權(quán)的用戶在須要時可以訪問信息并運(yùn)用相關(guān)信息資產(chǎn)。信息平安是通過實(shí)施一整套適當(dāng)?shù)南拗拼胧?shí)現(xiàn)的。限制措施包括策略、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。必需建立起一整套的限制措施，確保滿意組織特定的平安目標(biāo)。2.3網(wǎng)絡(luò)信息平安要素

惠普公司的信息平安理念突出地表現(xiàn)在三個方面--平安策略、管理和技術(shù)。l

平安策略--包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是信息平安的最核心問題，是整個信息平安建設(shè)的依據(jù)；l

平安管理--主要是人員、組織和流程的管理，是實(shí)現(xiàn)信息平安的落實(shí)手段；l

平安技術(shù)--包含工具、產(chǎn)品和服務(wù)等，是實(shí)現(xiàn)信息平安的有力保證。依據(jù)上述三個方面，惠普公司可以為客戶供應(yīng)的信息平安完全解決方案不僅僅包含各種平安產(chǎn)品和技術(shù)，更重要的就是要建立一個一樣的信息平安體系，也就是建立平安策略體系、平安管理體系和平安技術(shù)體系。2.4網(wǎng)絡(luò)信息平安標(biāo)準(zhǔn)與規(guī)范

在平安方案設(shè)計(jì)過程和方案的實(shí)施中，惠普公司將遵循和參照最新的、最權(quán)威的、最具有代表性的信息平安標(biāo)準(zhǔn)。這些平安標(biāo)準(zhǔn)包括：l

ISO/IEC17799Informationtechnology–Codeofpracticeforinformationsecuritymanagementl

ISO/IEC13335Informationtechnology–GuidelinesforTheManagementofITSecurityl

ISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurityl

我國的國家標(biāo)準(zhǔn)GB、國家軍用標(biāo)準(zhǔn)GJB、公共平安行業(yè)標(biāo)準(zhǔn)GA、行業(yè)標(biāo)準(zhǔn)SJ等標(biāo)準(zhǔn)作為本項(xiàng)目的參考標(biāo)準(zhǔn)。2.5網(wǎng)絡(luò)信息平安周期

任何網(wǎng)絡(luò)的平安過程都是一個不斷重復(fù)改進(jìn)的循環(huán)過程，它主要包含風(fēng)險管理、平安策略、方案設(shè)計(jì)、平安要素實(shí)施。這也是惠普公司提倡的網(wǎng)絡(luò)信息平安周期。l

風(fēng)險評估管理：對企業(yè)網(wǎng)絡(luò)中的資產(chǎn)、威逼、漏洞等內(nèi)容進(jìn)行評估，獲得平安風(fēng)險的客觀數(shù)據(jù)；l

平安策略：指導(dǎo)企業(yè)進(jìn)行平安行為的規(guī)范，明確信息平安的尺度；l

方案設(shè)計(jì)：參照風(fēng)險評估結(jié)果，依據(jù)平安策略及網(wǎng)絡(luò)實(shí)際的業(yè)務(wù)狀況，進(jìn)行平安方案設(shè)計(jì)；l

平安要素實(shí)施：包括方案設(shè)計(jì)中的平安產(chǎn)品及平安服務(wù)各項(xiàng)要素的有效執(zhí)行。l

平安管理與維護(hù)：依據(jù)平安策略以及平安方案進(jìn)行日常的平安管理與維護(hù)，包括變更管理、事務(wù)管理、風(fēng)險管理和配置管理。l

平安意識培育：幫助企業(yè)培訓(xùn)員工樹立必要的平安觀念。

3吉通上海IDC信息系統(tǒng)平安產(chǎn)品解決方案

3.1層次性平安需求分析和設(shè)計(jì)

網(wǎng)絡(luò)平安方案必需架構(gòu)在科學(xué)的平安體系和平安框架之上。平安框架是平安方案設(shè)計(jì)和分析的基礎(chǔ)。為了系統(tǒng)地描述和分析平安問題，本節(jié)將從系統(tǒng)層次結(jié)構(gòu)的角度綻開，分析吉通IDC各個層次可能存在的平安漏洞和平安風(fēng)險，并提出解決方案。3.2層次模型描述

針對吉通IDC的狀況，結(jié)合《吉通上海IDC技術(shù)需求書》的要求，惠普公司把吉通上海IDC的信息系統(tǒng)平安劃分為六個層次，環(huán)境和硬件、網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫層、應(yīng)用層及操作層。

環(huán)境和硬件

為愛護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞，應(yīng)實(shí)行適當(dāng)?shù)膼圩o(hù)措施、過程。具體內(nèi)容請參照機(jī)房建設(shè)部分的建議書。網(wǎng)絡(luò)層平安

平安的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。很多平安問題都集中體現(xiàn)在網(wǎng)絡(luò)的平安方面。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TPC/IP協(xié)議并非專為平安通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量平安隱患和威逼。網(wǎng)絡(luò)入侵者一般采納預(yù)攻擊探測、竊聽等搜集信息，然后利用IP欺瞞、重放或重演、拒絕服務(wù)攻擊（SYNFLOOD，PINGFLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。保證網(wǎng)絡(luò)平安的首要問題就是要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的平安機(jī)制限制各網(wǎng)絡(luò)間的訪問。在對吉通IDC網(wǎng)絡(luò)設(shè)計(jì)時，惠普公司已經(jīng)考慮了網(wǎng)段的劃分的平安性問題。其中網(wǎng)絡(luò)具體的拓?fù)浣Y(jié)構(gòu)好要依據(jù)吉通IDC所供應(yīng)的服務(wù)和客戶的具體要求做出最終設(shè)計(jì)。.2網(wǎng)絡(luò)掃描技術(shù)

解決網(wǎng)絡(luò)層平安問題，首先要清晰網(wǎng)絡(luò)中存在哪些平安隱患、脆弱點(diǎn)。面對大型網(wǎng)絡(luò)的困難性和不斷變更的狀況，依靠網(wǎng)絡(luò)管理員的技術(shù)和閱歷找尋平安漏洞、做出風(fēng)險評估，明顯是不現(xiàn)實(shí)的。解決的方案是，找尋一種能找尋網(wǎng)絡(luò)平安漏洞、評估并提出修改建議的網(wǎng)絡(luò)平安掃描工具。解決方案：ISS網(wǎng)絡(luò)掃描器InternetScanner配置方法：在上海IDC中運(yùn)用一臺高配置的筆記本電腦安裝InternetScanner，定期對本IDC進(jìn)行全面的網(wǎng)絡(luò)平安評估，包括全部重要的服務(wù)器、防火墻、路由設(shè)備等。掃描的時間間隔請參照平安策略的要求。ISS網(wǎng)絡(luò)掃描器InternetScanner是全球網(wǎng)絡(luò)平安市場的頂尖產(chǎn)品。它通過對網(wǎng)絡(luò)平安弱點(diǎn)全面和自主地檢測與分析，能夠快速找到并修復(fù)平安漏洞。網(wǎng)絡(luò)掃描儀對全部附屬在網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)，將風(fēng)險分為高，中，低三個等級并且生成大范圍的有意義的報表。從以企業(yè)管理者角度來分析的報告到為消退風(fēng)險而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報表中。該產(chǎn)品的時間策略是定時操作，掃描對象是整個網(wǎng)絡(luò)。它可在一臺單機(jī)上對已知的網(wǎng)絡(luò)平安漏洞進(jìn)行掃描。截止InternetScanner6.01版本，InternetScanner已能對900種以上的來自通訊、服務(wù)、防火墻、WEB應(yīng)用等的漏洞進(jìn)行掃描。它采納模擬攻擊的手段去檢測網(wǎng)絡(luò)上每一個IP隱藏的漏洞，其掃描對網(wǎng)絡(luò)不會做任何修改和造成任何危害。InternetScanner每次掃描的結(jié)果可生成具體報告，報告對掃描到的漏洞按高、中、低三個風(fēng)險級別分類，每個漏洞的危害及補(bǔ)救方法都有具體說明。用戶可依據(jù)報告提出的建議修改網(wǎng)絡(luò)配置，填補(bǔ)漏洞。可檢測漏洞分類表：BruteForcePassword-Guessing

為常常變更的帳號、口令和服務(wù)測試其平安性

Daemons

檢測UNIX進(jìn)程（Windows服務(wù)）

Network

檢測SNMP和路由器及交換設(shè)備漏洞

DenialofService

檢測中斷操作系統(tǒng)和程序的漏洞，一些檢測將暫停相應(yīng)的服務(wù)

NFS/XWindows

檢測網(wǎng)絡(luò)網(wǎng)絡(luò)文件系統(tǒng)和X-Windows的漏洞

RPC

檢測特定的遠(yuǎn)程過程調(diào)用

SMTP/FTP

檢測SMTP和FTP的漏洞

WebServerScanandCGI-Bin

檢測Web服務(wù)器的文件和程序（如IIS,CGI腳本和）

NTUsers,Groups,andPasswords

檢測NT用戶，包括用戶、口令策略、解鎖策略

BrowserPolicy

檢測IE和Netscape閱讀器漏洞

SecurityZones

檢測用于訪問互聯(lián)網(wǎng)平安區(qū)域的權(quán)限漏洞

PortScans

檢測標(biāo)準(zhǔn)的網(wǎng)絡(luò)端口和服務(wù)

Firewalls

檢測防火墻設(shè)備，確定平安和協(xié)議漏洞

Proxy/DNS

檢測代理服務(wù)或域名系統(tǒng)的漏洞

IPSpoofing

檢測是否計(jì)算機(jī)接收到可疑信息

CriticalNTIssues

包含NT操作系統(tǒng)強(qiáng)壯性平安測試和與其相關(guān)的活動

NTGroups/Networking

檢測用戶組成員資格和NT網(wǎng)絡(luò)平安漏洞

NetBIOSMisc

檢測操作系統(tǒng)版本和補(bǔ)丁包、確認(rèn)日志存取，列舉、顯示NetBIOS供應(yīng)的信息

Shares/DCOM

檢測NetBIOS共享和DCOM對象。運(yùn)用DCOM可以測試注冊碼、權(quán)限和缺省平安級別

NTRegistry

包括檢測主機(jī)注冊信息的平安性，愛護(hù)SNMP子網(wǎng)的密匙

NTServices

包括檢測NT正在運(yùn)行的服務(wù)和與之相關(guān)平安漏洞

.3防火墻技術(shù)

防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個平安限制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和限制。具體地說，設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)和外部網(wǎng)，愛護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊，實(shí)現(xiàn)以下基本功能：·

禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部機(jī)器；·

保證外部用戶可以且只能訪問到某些指定的公開信息；·

限制內(nèi)部用戶只能訪問到某些特定的Internet資源，如WWW服務(wù)、FTP服務(wù)、TELNET服務(wù)等；解決方案：CheckPointFirewall-1防火墻和CiscoPIX防火墻防火墻除了部署在IDC的私有網(wǎng)（即網(wǎng)管網(wǎng)段等由IDC負(fù)責(zé)日常維護(hù)的網(wǎng)絡(luò)部分）以外，還可以依據(jù)不同的用戶的需求進(jìn)行防火墻的部署，我們建議對于獨(dú)享主機(jī)和共享主機(jī)都進(jìn)行防火墻的配置，而對于托管的主機(jī)可以依據(jù)用戶的實(shí)際狀況供應(yīng)防火墻服務(wù)。無論是虛擬主機(jī)還是托管主機(jī)，IDC都須要為這些用戶供應(yīng)不同程度的遠(yuǎn)程維護(hù)手段，因此我們也可以采納VPN的技術(shù)手段來保證遠(yuǎn)程維護(hù)的平安性，VPN同時也可以滿意IDC為某些企業(yè)供應(yīng)遠(yuǎn)程移動用戶和合作企業(yè)之間的平安訪問的需求。依據(jù)吉通上海IDC的平安要求以及平安產(chǎn)品的配置原則，我們建議運(yùn)用的產(chǎn)品包括CiscoPIX和CheckPointFirewall－1在內(nèi)的兩種防火墻，其中：l

CiscoPIX防火墻配置在對網(wǎng)絡(luò)訪問速度要求較高但平安要求相對較低的網(wǎng)站托管區(qū)和主機(jī)托管區(qū)；l

CheckPoint防火墻配置在對網(wǎng)絡(luò)速度較低但平安要求相對較高的IDC維護(hù)網(wǎng)段。這兩種防火墻分別是硬件防火墻和軟件防火墻的典型代表產(chǎn)品，并在今年4月剛剛結(jié)束的平安產(chǎn)品的年度評比中，并列最佳防火墻產(chǎn)品的首位。這里只對CheckPoint的Firewall－1進(jìn)行說明。Checkpoint公司是一家特地從事網(wǎng)絡(luò)平安產(chǎn)品開發(fā)的公司，是軟件防火墻領(lǐng)域的佼佼者，其旗艦產(chǎn)品CheckPointFirewall-1在全球軟件防火墻產(chǎn)品中位居第一（52％），在亞太地區(qū)甚至高達(dá)百分之七十以上，遠(yuǎn)遠(yuǎn)領(lǐng)先同類產(chǎn)品。在中國電信、銀行等行業(yè)都有了廣泛的應(yīng)用。CheckPointFirewall-1是一個綜合的、模塊化的平安套件，它是一個基于策略的解決方案，供應(yīng)集中管理、訪問限制、授權(quán)、加密、網(wǎng)絡(luò)地址傳輸、內(nèi)容顯示服務(wù)和服務(wù)器負(fù)載平衡等功能。主要用在愛護(hù)內(nèi)部網(wǎng)絡(luò)資源、愛護(hù)內(nèi)部進(jìn)程資源和內(nèi)部網(wǎng)絡(luò)訪問者驗(yàn)證等領(lǐng)域。CheckPointFirewall-1套件供應(yīng)單一的、集中的分布式平安的策略，跨越Unix、NT、路由器、交換機(jī)和其他外圍設(shè)備，供應(yīng)大量的API，有150多個解決方案和OEM廠商的支持。CPFirewall-1由3個交互操作的組件構(gòu)成：限制組件、加強(qiáng)組件和可選組件。這些組件即可以運(yùn)行在單機(jī)上，也可以部署在跨平臺系統(tǒng)上。其中，限制組件包括Firewall-1管理服務(wù)器和圖形化的客戶端；加強(qiáng)組件包含F(xiàn)irewall-1檢測模塊和Firewall-1防火墻模塊；可選組件包括Firewall-1EncryptionModule（主要用于愛護(hù)VPN）、Firewall-1ConnectControlModule(執(zhí)行服務(wù)器負(fù)載平衡)RouterSecurityModule（管理路由器訪問限制列表）。CheckpointFirewall-1防火墻的操作在操作系統(tǒng)的核心層進(jìn)行，而不是在應(yīng)用程序?qū)?，這樣可以使系統(tǒng)達(dá)到最高性能的擴(kuò)展和升級。此外CheckpointFirewall-1支持基于Web的多媒體和基于UDP的應(yīng)用程序，并采納多重驗(yàn)證模板和方法，使網(wǎng)絡(luò)管理員簡潔驗(yàn)證客戶端、會話和用戶對網(wǎng)絡(luò)的訪問。CHECKPOINT防火墻功能要求：1)

支持透亮接入和透亮連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置：CheckPointFireWall-1是一款軟件防火墻，是安裝在現(xiàn)有的網(wǎng)關(guān)或服務(wù)器計(jì)算機(jī)上，對接入和連接都是透亮的，不會影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置。2)

帶有DMZ的連接方式：CheckPointFireWall-1可以支持多個網(wǎng)絡(luò)接口，所以客戶可以很簡潔的依據(jù)須要設(shè)置DMZ分區(qū)。3)

支持本地和遠(yuǎn)程管理兩種管理方式：CheckPointFireWall-1中的EnterpriseManagementConsole模塊功能特別強(qiáng)大，支持本地和遠(yuǎn)程兩種管理方式，減輕了網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的管理負(fù)擔(dān)。4)

支持吩咐行和GUI方式的管理與配置：CheckPointFireWall-1中的管理限制臺支持吩咐行和GUI方式的管理與配置；可以在Windows95/98/NT上安裝WindowsGUI界面，在Unix操作系統(tǒng)下可以安裝MotifGUI圖形用戶界面進(jìn)行管理與配置。5)

對分布式的防火墻支持集中統(tǒng)一狀態(tài)管理：CheckPointFireWall-1中的管理限制臺支持對分布式防火墻的集中統(tǒng)一狀態(tài)管理。它可以同時管理多個防火墻模塊。6)

規(guī)則測試功能，支持規(guī)則一樣性測試：CheckPointFireWall-1中的策略編輯器中有一吩咐，可以對已經(jīng)配置好的規(guī)則進(jìn)行測試，可以檢測其一樣性。7)

透亮代理功能：CheckPointFireWall-1支持代理功能，而且功能強(qiáng)大，可以支持本身自帶的預(yù)定義的超過150多種的常用協(xié)議。8)

地址轉(zhuǎn)換功能，支持靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換以及IP地址與TCP/UDP端口的轉(zhuǎn)換：CheckPointFireWall-1支持NAT地址轉(zhuǎn)換功能，支持StaticMode(靜態(tài)轉(zhuǎn)換)和HideMode(動態(tài)轉(zhuǎn)換)兩種方式；目前不支持IP地址與TCP/UDP端口的轉(zhuǎn)換。9)

訪問限制，包括對、FTP、SMTP、TELNET、NNTP等服務(wù)類型的訪問限制；CheckPointFireWall-1可以通過制定策略來進(jìn)行訪問限制，可以支持超過150多種的常用協(xié)議，并可以自定義各種不常用的協(xié)議。10)

用戶級權(quán)限限制：CheckPointFireWall-1可以指定用戶對象，在其屬性中有各種認(rèn)證方式可供選擇，加強(qiáng)了用戶級的權(quán)限限制。11)

防止IP地址欺瞞功能：CheckPointFireWall-1供應(yīng)了防止IP地址欺瞞的功能，可以在設(shè)定防火墻網(wǎng)關(guān)的網(wǎng)卡屬性時激活該功能。12)

包過濾，支持IP層以上的全部數(shù)據(jù)包的過濾：CheckPointFireWall-1中的對象以IP地址或TCP/UDP端口號來識別，所以可以對IP層以上的全部數(shù)據(jù)包進(jìn)行過濾。13)

信息過濾，包括、FTP、SMTP、NNTP等協(xié)議的信息過濾：CheckPointFireWall-1可以通過OPSEC接口，與第三方廠商的軟件或硬件產(chǎn)品無縫結(jié)合起來對、FTP、SMTP等協(xié)議進(jìn)行信息過濾。14)

地址綁定功能，實(shí)現(xiàn)MAC地址與固定IP地址的綁定，防止IP地址盜用：CheckPointFireWall-1目前為止不能實(shí)現(xiàn)MAC地址與固定IP地址的綁定。但是可以利用各節(jié)點(diǎn)處的路由器來進(jìn)行MAC地址與固定IP地址的綁定。15)

抗攻擊性要求，包括對防火墻本身和受愛護(hù)網(wǎng)段的攻擊反抗：防火墻本身的抗攻擊實(shí)力與其所運(yùn)行的操作系統(tǒng)的平安級別有關(guān)。操作系統(tǒng)的平安級別越高，防火墻本身的抗攻擊的實(shí)力也越高。16)

審計(jì)日志功能，支持對日志的統(tǒng)計(jì)分析功能：CheckPointFireWall-1中自帶有日志功能，可以對符合預(yù)定規(guī)則的網(wǎng)絡(luò)流量事先規(guī)定的方式進(jìn)行記錄；在CheckPointFireWall-14.1產(chǎn)品中帶有ReportingModule，可以對日志進(jìn)行分析統(tǒng)計(jì)。17)

實(shí)時告警功能，對防火墻本身或受愛護(hù)網(wǎng)段的非法攻擊支持多種告警方式（聲光告警、EMAIL告警、日志告警等）以及多種級別的告警：CheckPointFireWall-1的策略中有報警功能，其中包括了E-mail告警，日志告警等多種告警方式。

CheckPoint防火墻技術(shù)性能指標(biāo)：1)

時延：在每個包大小平均為512字節(jié)的狀況下，在3DES加密方式下Unix的時延是1.8msec，NT是1.2msec；在DES加密下Unix的時延是1.3msec，NT是1msec。2)

吞吐量：在沒有數(shù)據(jù)加密狀況下，不同的操作系統(tǒng)可以分別達(dá)到152M~246Mbps；在數(shù)據(jù)加密狀況下，可以達(dá)到約55Mbps。3)

最小規(guī)則數(shù)：在防火墻概念中無此提法。依據(jù)我們的理解，此概念假如是指策略中的規(guī)則數(shù)的話，則無限制。4)

包轉(zhuǎn)發(fā)率：10~15Mbps。5)

最大位轉(zhuǎn)發(fā)率：在防火墻概念中無此提法。依據(jù)我們的理解，此概念類似吞吐量。6)

并發(fā)連接數(shù)：理論上沒有限制。

Firewall-1防火墻是一種應(yīng)用級防火墻，它的監(jiān)測模塊能監(jiān)測和分析網(wǎng)絡(luò)通信全部七層協(xié)議的內(nèi)容。事實(shí)上路由器本身就可以實(shí)現(xiàn)包過濾防火墻的功能，對吉通上海IDC的各個路由器的配置進(jìn)行檢查和調(diào)整。保證整個網(wǎng)絡(luò)中各個路由器的配置相互一樣，并擔(dān)當(dāng)包過濾檢查的功能。因?yàn)榉阑饓υ诤诵木W(wǎng)上起著平安管理的“警察”的重要作用,它的牢靠性往往代表著整個網(wǎng)絡(luò)的牢靠性。假如一臺防火墻發(fā)生故障，那么全部經(jīng)過它的網(wǎng)絡(luò)連接都中斷了，防火墻就成為一個“單點(diǎn)故障”，這在一個及其關(guān)鍵的網(wǎng)絡(luò)環(huán)境中是不允許的。建議方案:CheckpointFireWall-1防火墻產(chǎn)品可以通過兩臺防火墻之間建立主備份關(guān)系而大大增加防火墻的牢靠性。CheckpointFireWall-1是基于先進(jìn)的“狀態(tài)檢測”（StatefulInspection)技術(shù)的防火墻,它從經(jīng)過它的網(wǎng)絡(luò)連接的各個層次抽取信息，以得到每個連接的狀態(tài)。這些狀態(tài)存放在一個動態(tài)的狀態(tài)表中，并隨著數(shù)據(jù)的傳輸而刷新。要在兩臺防火墻之間切換，必需在這兩臺防火墻之間共享這些狀態(tài)信息，以保證切換時最大可能地保留已建立的連接。利用QualixGroup的QualixHA+ModuleforFireWall-1軟件可以很好地做到這一點(diǎn)。兩臺相同配置的FireWall-1防火墻，一臺為主防火墻，一臺為熱備份防火墻。在熱備份防火墻上安裝QualixHA+，它能自動地監(jiān)測主防火墻的狀態(tài)，并在一旦主防火墻故障時快速地把主防火墻切換到熱備份防火墻上，而不須要人工干預(yù)。由于QualixHA+能把熱備份防火墻的配置設(shè)置成與主防火墻一樣，所以切換后不會損失任何防火墻功能。而QualixHA+所在的熱備份防火墻可以與主備份防火墻共有同一個IP地址，所以切換后也無需修改路由器的設(shè)置。.4網(wǎng)絡(luò)實(shí)時入侵檢測技術(shù)

防火墻雖然能抵擋網(wǎng)絡(luò)外部平安威逼，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出剛好的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時入侵監(jiān)測技術(shù)。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給與響應(yīng)和處理。實(shí)時入侵監(jiān)測技術(shù)還能檢測到繞過防火墻的攻擊。解決方案：ISS網(wǎng)絡(luò)入侵檢測RealSecureNetworkSensor配置方法：參見“監(jiān)控和防衛(wèi)”。ISS實(shí)時網(wǎng)絡(luò)傳感器(RealSecureNetworkSensor)對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時地攻擊檢測與響應(yīng)。這種領(lǐng)先產(chǎn)品對網(wǎng)絡(luò)平安輪回監(jiān)控，運(yùn)用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)平安漏洞和誤操作。實(shí)時監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對平安威逼的自主響應(yīng)為企業(yè)供應(yīng)了最大限度的平安保障。ISS網(wǎng)絡(luò)入侵檢測RealSecureNetworkSensor在檢測到網(wǎng)絡(luò)入侵后，除了可以剛好切斷攻擊行為之外，還可以動態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個動態(tài)的智能的的防護(hù)體系。

操作系統(tǒng)層平安

操作系統(tǒng)平安也稱主機(jī)平安，由于現(xiàn)代操作系統(tǒng)的代碼浩大，從而不同程度上都存在一些平安漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix，WindowNT，其平安漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或運(yùn)用人員對困難的操作系統(tǒng)和其自身的平安機(jī)制了解不夠，配置不當(dāng)也會造成的平安隱患。.1系統(tǒng)掃描技術(shù)

對操作系統(tǒng)這一層次須要功能全面、智能化的檢測，以幫助網(wǎng)絡(luò)管理員高效地完成定期檢測和修復(fù)操作系統(tǒng)平安漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布，剛好下載補(bǔ)丁來進(jìn)行防范，同時要常常對關(guān)鍵數(shù)據(jù)和文件進(jìn)行備份和妥當(dāng)保存，隨時留意系統(tǒng)文件的變更。解決方案：ISS系統(tǒng)掃描器(SystemScanner)配置方法：System

ScannerConsole可以與InternetScanner安裝在同一臺筆記本上，也可以單獨(dú)安裝在一臺NT工作站上。在IDC中各重要服務(wù)器（網(wǎng)管工作站、數(shù)據(jù)采集工作站、計(jì)費(fèi)服務(wù)器、網(wǎng)站托管服務(wù)器等）內(nèi)安裝System

ScannerAgent。Console管理各個Agent。定期（時間間隔參照平安策略的要求）對重要服務(wù)器進(jìn)行全面的操作系統(tǒng)平安評估。ISS系統(tǒng)掃描器(SystemScanner)是基于主機(jī)的一種領(lǐng)先的平安評估系統(tǒng)。系統(tǒng)掃描器通過對內(nèi)部網(wǎng)絡(luò)平安弱點(diǎn)的全面分析，幫助企業(yè)進(jìn)行平安風(fēng)險管理。區(qū)分于靜態(tài)的平安策略，系統(tǒng)掃描工具對主機(jī)進(jìn)行預(yù)防潛在平安風(fēng)險的設(shè)置。其中包括易猜出的密碼，用戶權(quán)限，文件系統(tǒng)訪問權(quán)，服務(wù)器設(shè)置以及其它含有攻擊隱患的可疑點(diǎn)。該產(chǎn)品的時間策略是定時操作，掃描對象是操作系統(tǒng)。SystemScanner包括引擎和限制臺兩個部分。引擎必需分別裝在被掃描的服務(wù)器內(nèi)部，在一臺集中的服務(wù)器上安裝限制臺。限制臺集中對各引擎管理，引擎負(fù)責(zé)對各操作系統(tǒng)的文件、口令、帳戶、組等的配置進(jìn)行檢查，并對操作系統(tǒng)中是否有黑客特征進(jìn)行檢測。其掃描結(jié)果同樣可生成報告。并對擔(dān)心全的文件屬性生成可執(zhí)行的修改腳本。.2系統(tǒng)實(shí)時入侵探測技術(shù)

為了加強(qiáng)主機(jī)的平安，還應(yīng)采納基于操作系統(tǒng)的入侵探測技術(shù)。系統(tǒng)入侵探測技術(shù)監(jiān)控主機(jī)的系統(tǒng)事務(wù)，從中檢測出攻擊的可疑特征，并給與響應(yīng)和處理。解決方案：ISS網(wǎng)絡(luò)入侵檢測RealSecureOSSensor以及ServerSensor配置方法：參見“監(jiān)控和防衛(wèi)”。ISS實(shí)時系統(tǒng)傳感器(RealSecureOSSensor)對計(jì)算機(jī)主機(jī)操作系統(tǒng)進(jìn)行自主地，實(shí)時地攻擊檢測與響應(yīng)。一旦發(fā)覺對主機(jī)的入侵，RealSecure可以立刻可以切斷系統(tǒng)用戶進(jìn)程通信，和做出各種平安反應(yīng)。ISS實(shí)時系統(tǒng)傳感器(RealSecureOSSensor)還具有偽裝功能，可以將服務(wù)器不開放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統(tǒng)的防護(hù)時間。數(shù)據(jù)庫層平安

很多關(guān)鍵的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺上，假如數(shù)據(jù)庫平安無法保證，其上的應(yīng)用系統(tǒng)也會被非法訪問或破壞。數(shù)據(jù)庫平安隱患集中在：·

系統(tǒng)認(rèn)證：口令強(qiáng)度不夠，過期帳號，登錄攻擊等。·

系統(tǒng)授權(quán)：帳號權(quán)限，登錄時間超時等?！?/p>

系統(tǒng)完整性：Y2K兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序等。解決方案：ISS數(shù)據(jù)庫掃描器（DataBaseScanner）配置方法：DatabaseScanner可以與InternetScanner安裝在同一臺筆記本上，也可以單獨(dú)安裝在一臺NT工作站上。定期對IDC內(nèi)的數(shù)據(jù)庫服務(wù)器軟件進(jìn)行漏洞評估，并將軟件生成的漏洞報告分發(fā)給數(shù)據(jù)庫管理員，對數(shù)據(jù)庫系統(tǒng)中的平安問題剛好修復(fù)。掃描的時間間隔請參照平安策略的要求。該產(chǎn)品可愛護(hù)存儲在數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)的平安。用戶可通過該產(chǎn)品自動生成數(shù)據(jù)庫服務(wù)器的平安策略，這是全面的企業(yè)平安管理的一個新的重要的領(lǐng)域。ISS數(shù)據(jù)庫掃描器（DataBaseScanner）是世界上第一個也是目前唯一的一個針對數(shù)據(jù)庫管理系統(tǒng)風(fēng)險評估的檢測工具。該產(chǎn)品可愛護(hù)存儲在數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)的平安。目前ISS是唯一供應(yīng)數(shù)據(jù)庫平安管理解決方案的廠商。用戶可通過該產(chǎn)品自動生成數(shù)據(jù)庫服務(wù)器的平安策略，這是全面的企業(yè)平安管理的一個新的重要的領(lǐng)域。DatabaseScanner具有敏捷的體系結(jié)構(gòu)，允許客戶定制數(shù)據(jù)庫平安策略并強(qiáng)制實(shí)施，限制數(shù)據(jù)庫的平安。用戶在統(tǒng)一網(wǎng)絡(luò)環(huán)境可為不同數(shù)據(jù)庫服務(wù)器制定相應(yīng)的平安策略。一旦制定出平安策略，DatabaseScanner將全面考察數(shù)據(jù)庫，對平安漏洞級別加以度量的限制，并持續(xù)改善數(shù)據(jù)庫的平安狀況。DatabaseScanner能通過網(wǎng)絡(luò)快速、便利地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的平安漏洞，全面評估全部的平安漏洞和認(rèn)證、授權(quán)、完整性方面的問題。DatabaseScanner漏洞檢測的主要范圍包括：·

2000年問題--據(jù)環(huán)境并報告數(shù)據(jù)和過程中存在的2000年問題?！?/p>

口令，登錄和用戶--口令長度，檢查有登錄權(quán)限的過去用戶，檢查用戶名的信任度?！?/p>

配置--否具有潛在破壞力的功能被允許，并建議是否須要修改配置，如回信，發(fā)信，干脆修改，登錄認(rèn)證，一些系統(tǒng)啟動時存儲的過程，報警和預(yù)支配的任務(wù)，WEB任務(wù)，跟蹤標(biāo)識和不同的網(wǎng)絡(luò)協(xié)議?！?/p>

安裝檢查--要客戶打補(bǔ)丁及補(bǔ)丁的熱鏈接?！?/p>

權(quán)限限制--些用戶有權(quán)限得到存儲的過程及何時用戶能未授權(quán)存取WindowsNT文件和數(shù)據(jù)資源。它還能檢查“特洛伊木馬”程序的存在。平安管理層（人，組織）

層次系統(tǒng)平安架構(gòu)的最頂層就是對吉通上海IDC進(jìn)行操作、維護(hù)和運(yùn)用的內(nèi)部人員。人員有各種層次，對人員的管理和平安制度的制訂是否有效，影響由這一層次所引發(fā)的平安問題。除按業(yè)務(wù)劃分的組織結(jié)構(gòu)以外，必需成立特地平安組織結(jié)構(gòu)。這個平安組織應(yīng)當(dāng)由各級行政負(fù)責(zé)人、平安技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人及負(fù)責(zé)具體實(shí)施的平安技術(shù)人員組成。有關(guān)具體的平安管理請參照第4節(jié)的信息平安策略解決方案。3.3監(jiān)控和防衛(wèi)

入侵檢測技術(shù)

大多數(shù)傳統(tǒng)入侵檢測系統(tǒng)（IDS）實(shí)行基于網(wǎng)絡(luò)或基于主機(jī)的方法來辯認(rèn)并躲避攻擊。在任何一種狀況下，該產(chǎn)品都要找尋“攻擊標(biāo)記”，即一種代表惡意或可疑意圖攻擊的模式。當(dāng)IDS在網(wǎng)絡(luò)中找尋這些模式時，它是基于網(wǎng)絡(luò)的。而當(dāng)IDS在記錄文件中找尋攻擊標(biāo)記時，它是基于主機(jī)的。每種方法都有其優(yōu)勢和劣勢，兩種方法互為補(bǔ)充。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。本節(jié)探討了基于主機(jī)和基于網(wǎng)絡(luò)入侵檢測技術(shù)的不同之處，以說明如何將這二種方式融合在一起，以供應(yīng)更加有效的入侵檢測和愛護(hù)措施。

.1基于網(wǎng)絡(luò)的入侵檢測：

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)運(yùn)用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的全部通信業(yè)務(wù)。它的攻擊辯識模塊通常運(yùn)用四種常用技術(shù)來識別攻擊標(biāo)記：·

模式、表達(dá)式或字節(jié)匹配·

頻率或穿越閥值·

低級事務(wù)的相關(guān)性·

規(guī)統(tǒng)學(xué)意義上的特別規(guī)現(xiàn)象檢測一旦檢測到了攻擊行為，IDS的響應(yīng)模塊就供應(yīng)多種選項(xiàng)以通知、報警并對攻擊實(shí)行相應(yīng)的反應(yīng)。反應(yīng)因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且/或?yàn)榉ㄍシ治龊妥C據(jù)收集而做的會話記錄。.2基于主機(jī)的入侵檢測：

基于主機(jī)的入侵檢測出現(xiàn)在80年頭初期，那時網(wǎng)絡(luò)還沒有今日這樣普遍、困難，且網(wǎng)絡(luò)之間也沒有完全連通。在這一較為簡潔的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。由于入侵在當(dāng)時是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊?，F(xiàn)在的基于主機(jī)的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵擋將來的攻擊。基于主機(jī)的IDS仍運(yùn)用驗(yàn)證記錄，但自動化程度大大提高，并發(fā)展了精密的可快速做出響應(yīng)的檢測技術(shù)。通常，基于主機(jī)的IDS可監(jiān)探系統(tǒng)、事務(wù)和WindowNT下的平安記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變更時，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。假如匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以實(shí)行措施?；谥鳈C(jī)的IDS在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)覺意外的變更。反應(yīng)的快慢與輪詢間隔的頻率有干脆的關(guān)系。最終，很多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。.3將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測結(jié)合起來：

基于網(wǎng)絡(luò)和基于主機(jī)的IDS方案都有各自特有的優(yōu)點(diǎn)，并且互為補(bǔ)充。因此，下一代的IDS必需包括集成的主機(jī)和網(wǎng)絡(luò)組件。將這兩項(xiàng)技術(shù)結(jié)合，必將大幅度提高網(wǎng)絡(luò)對攻擊和錯誤運(yùn)用的反抗力，使平安策略的實(shí)施更加有效，并使設(shè)置選項(xiàng)更加敏捷。有些事務(wù)只能用網(wǎng)絡(luò)方法檢測到，另外一些只能用主機(jī)方式檢測到，有一些則須要二者共同發(fā)揮作用，才能檢測到。舉薦的平安產(chǎn)品—ISS的入侵檢測產(chǎn)品RealSecure

ISS實(shí)時網(wǎng)絡(luò)傳感器(RealSecureNetworkSensor)對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時地攻擊檢測與響應(yīng)。這種領(lǐng)先產(chǎn)品對網(wǎng)絡(luò)平安輪回監(jiān)控，運(yùn)用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)平安漏洞和誤操作。實(shí)時監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對平安威逼的自主響應(yīng)為企業(yè)供應(yīng)了最大限度的平安保障。ISS網(wǎng)絡(luò)入侵檢測(RealSecureNetworkSensor)在檢測到網(wǎng)絡(luò)入侵后，除了可以剛好切斷攻擊行為之外，還可以動態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個動態(tài)的智能的的防護(hù)體系。ISS實(shí)時系統(tǒng)傳感器(RealSecureOSSensor)對計(jì)算機(jī)主機(jī)操作系統(tǒng)進(jìn)行自主地，實(shí)時地攻擊檢測與響應(yīng)。一旦發(fā)覺對主機(jī)的入侵，RealSecure可以立刻切斷的用戶進(jìn)程，和做出各種平安反應(yīng)。ISS實(shí)時服務(wù)器傳感器(RealSecureServerSensor)包括了全部的OSSensor功能，也具備部分NetworkSensor的功能，為敏捷的平安配置供應(yīng)了必要的手段。RealSecureWorkgroupManager是RealSecure系統(tǒng)的限制臺。可以對多臺RealSecure網(wǎng)絡(luò)引擎和系統(tǒng)傳感器進(jìn)行管理。對被管理監(jiān)控器進(jìn)行遠(yuǎn)程的配置和限制，各個監(jiān)控器發(fā)覺的平安事務(wù)都實(shí)時地報告限制臺。ISSRealSecure是一個完整的，一樣的實(shí)時入侵監(jiān)控體系。ISSRealsecure對來自內(nèi)部和外部的非法入侵行為做到剛好響應(yīng)、告警和記錄日志，并可采取肯定的防衛(wèi)和反入侵措施。它能完全滿意《吉通上海IDC技術(shù)需求書》所提要求：支持統(tǒng)一的管理平臺，可實(shí)現(xiàn)集中式的平安監(jiān)控管理:

①

④

③

②

⑤

RealSecureWorkgroupManager是RealSecure系統(tǒng)的限制臺。可以對多臺RealSecure網(wǎng)絡(luò)Sensor和系統(tǒng)Sensor進(jìn)行管理。對被管理監(jiān)控器進(jìn)行遠(yuǎn)程的配置和限制，各個監(jiān)控器發(fā)覺的平安事務(wù)都實(shí)時地報告限制臺。在吉通IDC項(xiàng)目中可以利用這一特點(diǎn)，實(shí)現(xiàn)對各結(jié)點(diǎn)的集中監(jiān)控管理。例如，從上海IDC的RealSecureWorkgroupManager，對其下其它城市的IDC進(jìn)行統(tǒng)一的Sensor監(jiān)控策略配置，Sensor所發(fā)覺的平安事務(wù)將實(shí)時地報告給Manager；對各個Sensor平安特征庫的升級也可以從Manager統(tǒng)一分發(fā)完成。

圖RS-1RealSecureWorkgroupManager的工作界面①主菜單和工具欄②監(jiān)控平安事務(wù)的綜合窗口③按平安級別分成高、中、低三個事務(wù)窗口④列出全部被管理的網(wǎng)絡(luò)Sensor和系統(tǒng)Sensor⑤對被管理的網(wǎng)絡(luò)傳感器和系統(tǒng)傳感器進(jìn)行配置的彈出窗口自動識別類型廣泛的攻擊:網(wǎng)絡(luò)Sensor能夠識別以下種類的攻擊和誤用行為：類型

說明

拒絕服務(wù)攻擊

通過消耗系統(tǒng)資源使目標(biāo)主機(jī)的部分或全部服務(wù)功能丟失。例如，SYNFLOOD攻擊，PINGFLOOD攻擊，WINNUK攻擊等。

分布式拒絕服務(wù)攻擊

檢查分布拒絕服務(wù)攻擊的主控程序和代理之間的通訊和通訊企圖。例如，TFN、Trinoo和Stacheldraht等。

未授權(quán)訪問攻擊

攻擊者企圖讀取、寫或執(zhí)行被愛護(hù)的資源。如FTPROOT攻擊，EMAILWIZ攻擊等。

預(yù)攻擊探測

攻擊者試圖從網(wǎng)絡(luò)中獲得用戶名、口令等敏感信息。如SATAN掃描、端口掃描、IPHALF掃描等。

可疑行為

非“正?！钡木W(wǎng)絡(luò)訪問，很可能是須要留意的擔(dān)心全事務(wù)。如IP地址復(fù)用，無法識別IP協(xié)議的事務(wù)。

協(xié)議解碼

對協(xié)議進(jìn)行解析，幫助管理員發(fā)覺可能的危急事務(wù)。如FTP口令解析，EMAIL主題解析等。

一般網(wǎng)絡(luò)事務(wù)

識別各種網(wǎng)絡(luò)協(xié)議包的源、目的IP地址，源、目的端口號，協(xié)議類型等。

系統(tǒng)Sensor能夠監(jiān)控并識別的攻擊類型有：類型

說明

平安事務(wù)

監(jiān)控NT或Unix系統(tǒng)事務(wù)login勝利/失敗，logout，管理員行為異樣，系統(tǒng)重啟動等；監(jiān)控特殊的系統(tǒng)事務(wù)，包括對重要文件的讀寫、刪除行為，系統(tǒng)資源狀況異樣現(xiàn)象等；監(jiān)控Windows環(huán)境下的未授權(quán)事務(wù)，如企圖訪問未授權(quán)文件，訪問特權(quán)服務(wù)，企圖變更登錄權(quán)限等。

對未用端口監(jiān)控

監(jiān)控對未供應(yīng)服務(wù)端口的連接企圖，這種連接企圖應(yīng)視為可疑行為。例如，對未供應(yīng)FTP服務(wù)的主機(jī)嘗試FTP連接被認(rèn)為是可疑的。

遠(yuǎn)程UNIXSyslog事務(wù)

對遠(yuǎn)程的UNIX主機(jī)進(jìn)行監(jiān)控。監(jiān)控用戶的login勝利/失敗，logout，管理員行為異樣等；監(jiān)控的服務(wù)包括IMAP2bis，IPOP3，Qpopper，Sendmail和SSH等。

自定義事務(wù)

用戶自定義的基于系統(tǒng)審計(jì)事務(wù)的監(jiān)控

支持按行為特征的入侵檢測:

圖RS-2RealSecureSensor工作過程示意圖

如圖所示，Realsecure的入侵檢測主要是依據(jù)用戶事先定義的監(jiān)控策略，將發(fā)生的入侵事務(wù)與已有的平安事務(wù)特征庫進(jìn)行特征匹配，匹配勝利，則認(rèn)為是有威逼事務(wù)發(fā)生，實(shí)行適當(dāng)?shù)捻憫?yīng)動作。具體分析過程的輸入包括：·

用戶或者平安管理人員定義的配置規(guī)則；·

以及作為事務(wù)檢測的原始數(shù)據(jù)。對于NetworkSensor來講原始數(shù)據(jù)是原始網(wǎng)絡(luò)包；對于OSSensor來講原始數(shù)據(jù)是操作系統(tǒng)日志項(xiàng)。具體分析過程的輸出包括：·

系統(tǒng)發(fā)起的對平安事務(wù)的響應(yīng)過程；·

監(jiān)控器在收到數(shù)據(jù)后，將數(shù)據(jù)和特征庫進(jìn)行對比，假如匹配會發(fā)出對應(yīng)的響應(yīng)。特征數(shù)據(jù)庫主要來源于ISS的Xforce探討開發(fā)小組，而且是目前業(yè)界最全面的攻擊特征數(shù)據(jù)庫。另外，NetworkSensor和SystemSensor都支持用戶自定義特征?！?/p>

NetworkSensor檢測過程--安裝RealsecureNetworkSensor主機(jī)的網(wǎng)絡(luò)適配卡連接到被監(jiān)控的網(wǎng)段上。Realsecure將網(wǎng)絡(luò)適配卡設(shè)成promiscuous模式，可收到本地網(wǎng)段上的全部數(shù)據(jù)流。當(dāng)一個包符合了當(dāng)前有效的過濾規(guī)則時，會被解碼并進(jìn)行攻擊特征識別分析。每個活動的過程都被保持和跟蹤，這樣跨越了很多包的攻擊特征就可以被檢測出來。因此，當(dāng)一個“感愛好事務(wù)”被檢測到時，Realsecure會實(shí)行合適的動作?！?/p>

OSSensor檢測過程--RealSecureOSSensor在被愛護(hù)服務(wù)器上運(yùn)行一個進(jìn)程。每當(dāng)操作系統(tǒng)產(chǎn)生一個新的日志記錄項(xiàng)，操作系統(tǒng)會向OSSensor發(fā)出中斷。OSSensor讀取新的日志記錄項(xiàng)，與監(jiān)控特征進(jìn)行對比，假如匹配會發(fā)起適當(dāng)?shù)捻憫?yīng)。由一些特征會涉及多個日志記錄項(xiàng)，因此OSSensor會同時維護(hù)和監(jiān)控一些用戶活動流的狀態(tài)。供應(yīng)對特定網(wǎng)段的實(shí)時愛護(hù)，支持高速交換網(wǎng)絡(luò)的監(jiān)控:對重要網(wǎng)段的愛護(hù)，如公共服務(wù)器群，為了避開來自網(wǎng)絡(luò)其它邊界的入侵，須要在該子網(wǎng)的入口處安裝RealsecureNetworkSensor，并在各個服務(wù)器內(nèi)配置RealsecureOSSensor，由集中的RealsecureWorkgroupManager統(tǒng)一管理。能夠在檢測到入侵事務(wù)時，自動執(zhí)行預(yù)定義的動作，包括切斷服務(wù)、重起服務(wù)進(jìn)程，記錄入侵過程信息等：1.

當(dāng)一個攻擊或事務(wù)被檢測到，RealSecure可以做出以下幾種響應(yīng)：·

自動終止攻擊·

終止用戶連接·

禁止用戶賬號·

重新配置CheckPoint?Firewall-1?防火墻堵塞攻擊的源地址·

向管理限制臺發(fā)出警告指出事務(wù)的發(fā)生·

向網(wǎng)絡(luò)管理平臺（off-the-shelf）發(fā)出SNMPtrap·

記錄事務(wù)的日志，包括日期、時間、源地址、目的地址、描述以及事務(wù)相關(guān)的原始數(shù)據(jù)?！?/p>

實(shí)時觀看事務(wù)中的原始記錄（或者記錄下來過后再回放）·

向平安管理人員發(fā)出提示性的電子郵件·

執(zhí)行一個用戶自定義程序

2.

可以為RealSecureOSSensor自定義一些特征。OSSensor允許用戶指定一個關(guān)鍵字或正則表達(dá)式，在發(fā)覺操作系統(tǒng)日志文件項(xiàng)對應(yīng)特征時，會做出相應(yīng)的響應(yīng)。

3.

用戶可以為RealSecureNetworkSensor自定義連接事務(wù)。一個連接事務(wù)可以定義為基于IP的連接，可以對下面信息進(jìn)行匹配：·

協(xié)議·

源IP地址·

目的IP地址·

源端口·

目的端口

4.

一些RealSecure預(yù)定以攻擊特征可以依據(jù)網(wǎng)絡(luò)的具體狀況進(jìn)行參數(shù)調(diào)整。比如，有些網(wǎng)絡(luò)中PointCast下載會引發(fā)SYNFlood特征，此時可以通過調(diào)整SYNFlood的閥值來削減誤報。

5.

用戶可以定義RealSecureNetworkSensor過濾規(guī)則來忽視某些類型的數(shù)據(jù)流。可以通過指定協(xié)議、源IP地址、目的IP地址、源端口、目的端口定義忽視的數(shù)據(jù)流。對于規(guī)則匹配的數(shù)據(jù)流不進(jìn)行預(yù)定義或用戶定義特征分析。通過這種方式，可以將RealSecure配置得更適合用戶的網(wǎng)絡(luò)。

6.

最終，用戶可以建立自己的響應(yīng)選項(xiàng)。任何可以從吩咐行發(fā)起的動作（如：可執(zhí)行程序、批處理文件、ShellScript等），都可以作為RealSecureNetworkSensor或者OSSensor對攻擊的響應(yīng)。

支持集中的攻擊特征和攻擊取證數(shù)據(jù)庫管理：Realsecure真正實(shí)現(xiàn)集中管理，也體現(xiàn)在對攻擊特征和攻擊事務(wù)的數(shù)據(jù)庫管理?！?/p>

RealsecureWorkgroupManager運(yùn)行在MSNT或Win2000平臺上，在默認(rèn)狀況下，其管理數(shù)據(jù)庫格式為MSAccess文件格式。Realsecure的數(shù)據(jù)庫接口支持標(biāo)準(zhǔn)的ODBC，因此可以敏捷選擇其后臺管理數(shù)據(jù)庫類型?！?/p>

在Realsecure的管理數(shù)據(jù)庫中，有一組數(shù)據(jù)庫表格式，分別用于記錄全部最新版本能夠識別的攻擊特征，及從各個遠(yuǎn)程的Sensor匯總來的攻擊事務(wù)的記錄。

支持攻擊特征信息的集中式發(fā)布和攻擊取證信息的分布式上載：Realsecure中包含升級組件X-pressUpdates，利用這一組件，可以從WorkgroupManager集中分發(fā)攻擊特征信息。當(dāng)分布在網(wǎng)絡(luò)中的各個Sensor監(jiān)控到攻擊事務(wù)時，依據(jù)Sensor的策略定制，Sensor將執(zhí)行一系列的動作，包括實(shí)時在WorkgroupManager的屏幕上顯示，并執(zhí)行切斷連接或重新配置防火墻等動作，為了便利管理員查詢并記錄犯罪證據(jù)，Sensor必需將監(jiān)控的事務(wù)記錄到日志中。在WorkgroupManager可以實(shí)行手工干預(yù)或自動兩種方式對Sensor的日志進(jìn)行上載和匯總。上傳后的日志將統(tǒng)一以數(shù)據(jù)庫形式保存。

供應(yīng)對監(jiān)視引擎和檢測特征的定期更新服務(wù)，更新方式可有多種，包括廠家的干脆服務(wù)和聯(lián)網(wǎng)更新操作：ISS擁有實(shí)力雄后的X-Force小組，該小組特地探討和發(fā)覺新的攻擊手段，是業(yè)界獨(dú)一無二的平安小組。作為入侵檢測產(chǎn)品，其Sensor和攻擊特征庫的升級實(shí)力干脆反映了產(chǎn)品的功能，而ISS的系列平安產(chǎn)品包括Realsecure的升級速度都是其它廠商無法比擬的。ISS承諾對用戶的升級服務(wù)，詳見ISS服務(wù)承諾。從產(chǎn)品本身供應(yīng)的功能看，Realsecure中供應(yīng)了

X-pressUpdates，利用這一組件，可以干脆從ISS站點(diǎn)下載升級包，并可以從WorkgroupManager集中分發(fā)攻擊特征信息至所管理的每個Sensor。

網(wǎng)絡(luò)訪問限制：Realsecure的主要功能用于對惡意入侵事務(wù)和誤用行為的監(jiān)控報警?？梢砸罁?jù)實(shí)際須要，對Sensor進(jìn)行策略配置，用于特殊的網(wǎng)絡(luò)訪問限制。如可以用NetworkSensor對辦公環(huán)境員工上網(wǎng)閱讀Web頁面進(jìn)行限制；可以對某個重要的服務(wù)器進(jìn)行特殊愛護(hù)，限制某個地址或某個范圍的地址段對該服務(wù)器指定端口的訪問；通過對E-mail主題或內(nèi)容的特殊字符串的監(jiān)控，限制某些E-mail的非法傳送等等。

可疑網(wǎng)絡(luò)活動的檢測，對帶有ActiveX、Java、JavaScript、VBScript的WEB頁面、電子郵件的附件、帶宏的Office文檔中的一些可以執(zhí)行的程序（包括通過SSL協(xié)議或者加密傳輸?shù)目梢赡繕?biāo)）進(jìn)行檢測，隔離未知應(yīng)用，建立平安資源區(qū)域：RealsecureNetworkSensor除了對惡意的入侵行為進(jìn)行識別以外，還能夠?qū)梢傻膿?dān)心全事件報警和阻擋，包括對帶有ActiveX、Java、JavaScript、VBScript的WEB頁面，可疑的Arp事務(wù)，IP地址復(fù)用事務(wù)等報警。

支持與防火墻的協(xié)作監(jiān)控：Realsecure與防火墻功能互補(bǔ)：適當(dāng)配置的防火墻可以將非預(yù)期的信息屏蔽在外。然而防火墻為供應(yīng)一些級別的獲得權(quán)的通道可能被偽裝的攻擊者利用。防火墻不能制止這種類型的攻擊，RealSecure卻能夠制止。RealSecure對防火墻后面的網(wǎng)絡(luò)的信息流監(jiān)控，能夠檢測到并終止獲得權(quán)限的企圖。

另外防火墻的錯誤配置也有可能發(fā)生。盡管防火墻的錯誤配置能夠快速更正，網(wǎng)絡(luò)內(nèi)有了RealSecure則能捕獲很多溜進(jìn)來的未預(yù)料的信息。即便不選擇切斷這些連接，RealSecure所發(fā)出的警告的數(shù)量仍能快速表明防火墻沒有起到作用。

·

Realsecure與CheckPoint協(xié)同工作：CheckPoint公司通過它供應(yīng)的OPSEC（OpenPlatformForSecureEnterpriseConnectivity，平安企業(yè)連通性開放平臺）向第三方供應(yīng)API，使得其它廠商可以運(yùn)用這些API開發(fā)能集成到FW-1防火墻中的產(chǎn)品。由于ISS是CheckPoint的OEM廠商，所以Realsecure能夠?qū)W-1進(jìn)行平安操作?！?/p>

Realsecure重新配置FW-1有兩種響應(yīng)方式：凍結(jié)指定的時間長度和完全關(guān)閉。每種響應(yīng)方式依據(jù)須要又細(xì)分四種模式：針對源地址操作，針對目的地址操作，針對源和目的同時操作，針對服務(wù)操作。

RealSecureNetworkSensor可以完全透亮：RealSecurenetworkSensor可以配置為完全透亮的方式。一個RealSecureNetworkSensor可以采納Out-of-band方式和管理限制臺進(jìn)行通訊。這種狀況須要配置兩塊網(wǎng)絡(luò)適配卡：一塊網(wǎng)絡(luò)適配卡用來監(jiān)控本地網(wǎng)段，另一塊用來和限制臺通信。由于這種方式使得RealSecureNetworkSensor采納了特地的通信通道和限制臺通信，會大大加強(qiáng)RealSecure的平安性。

另外，用來監(jiān)控本地網(wǎng)段的網(wǎng)絡(luò)適配卡并不須要一個協(xié)議棧。因此，RealSecureNetworkSensor并不須要一個外部可見的IP地址或者外部可見的IP服務(wù)。這樣RealSecureNetworkSensor可以做到從被監(jiān)控網(wǎng)絡(luò)上不行見。

當(dāng)然，RealSecureNetworkSensor須要TCP/IP協(xié)議與管理限制臺通訊。因此，與管理限制臺通訊的接口卡須要IP地址。

RealsecureOSSensor可疑連接監(jiān)控：一個攻擊者首先會刺探主機(jī)供應(yīng)了什么服務(wù)?！翱梢蛇B接監(jiān)控”使得一個沒有服務(wù)的端口看起來是活動的，這樣入侵者可能會誤以為系統(tǒng)開啟了某種服務(wù)，在刺探中奢侈時間而一無所獲。這個功能對防范一些自動攻擊工具特別有效。

對不存在服務(wù)的連接企圖或者是一個錯誤，或者是有意的攻擊。OSSensor將這些連接作為入侵檢測推斷的數(shù)據(jù)。持續(xù)的對不存在服務(wù)的連接企圖會產(chǎn)生高風(fēng)險報警。

平安管理人員可以對這種連接企圖設(shè)置響應(yīng)提示?？梢栽O(shè)置為法律警告指出入侵是非法的，或者可以設(shè)置成欺瞞性連接提示（比如，登錄提示）。

可疑連接監(jiān)控的功能能延長攻擊者發(fā)覺可攻擊端口的時間，為防護(hù)者抓住他爭取更多的時間。

支持HPOpenView的RealSecure管理器支持HPOpenView的RealSecure管理器為運(yùn)用HPOpenView網(wǎng)絡(luò)結(jié)點(diǎn)管理器的網(wǎng)絡(luò)管理員提供實(shí)時入侵檢測。支持HPOpenView的RealSecure管理器供應(yīng)完全的RealSecure可適應(yīng)性網(wǎng)絡(luò)平安功能，包括：

主導(dǎo)市場的入侵檢測和響應(yīng)--支持HPOpenView的RealSecure管理器在OpenView網(wǎng)絡(luò)管理框架中供應(yīng)對企業(yè)網(wǎng)中可疑行為的實(shí)時監(jiān)控，如企業(yè)網(wǎng)絡(luò)外部和內(nèi)部的攻擊或內(nèi)部濫用。

實(shí)時警報管理--網(wǎng)絡(luò)平安行為的連續(xù)顯示，完整清晰的學(xué)問限制，RealSecure對事務(wù)響應(yīng)的在線幫助，以及對事務(wù)的具體信息，包括源和目的、端口、風(fēng)險級別和其它的信息。

統(tǒng)一的數(shù)據(jù)管理--入侵事務(wù)和RealSecure引擎狀態(tài)被記錄在OpenView的事務(wù)閱讀器中。OpenView地圖反映了實(shí)時的攻擊。顏色編碼的符號反映出被攻擊結(jié)點(diǎn)的攻擊名稱、級別、每一個攻擊進(jìn)行的次數(shù)。

集中配置--RealSecure引擎的配置和策略能夠通過OpenView的主控臺配置和修改。

平安的通信--OpenView和RealSecure之間限制信息的傳輸是完全平安的。限制功能有認(rèn)證、校驗(yàn)和加密，加密算法運(yùn)用RSA、CerticomEllipticalCurve、或用戶自己選擇的算法。

管理功能·

引擎限制：啟動、停止、暫停、重新啟動、ping連接·

實(shí)時警報管理：接收、持續(xù)、統(tǒng)一、清除·

對事務(wù)響應(yīng)的詳在線幫助·

編輯RealSecure引擎的配置·

發(fā)送和接收配置到遠(yuǎn)程RealSecure引擎·

上傳和/或清除RealSecure引擎數(shù)據(jù)庫·

啟動ISSRealSecure管理器

配置方法

Realsecure是一個真正的集中管理的入侵檢測系統(tǒng)。它由一個或多個（可選）管理限制臺，即WorkgroupManager，統(tǒng)一、集中管理分布在網(wǎng)絡(luò)中的Sensor。建議在吉通上海IDC安裝一套WorkgroupManager，用于對不同的傳感器。RealSecure運(yùn)行在交換式網(wǎng)絡(luò)中，有以下三個解決方案：

·

RealSecureNetworkSensor連接在這個點(diǎn)上。這樣就可以防護(hù)來自Internet的攻擊，而不處理網(wǎng)絡(luò)的其它部分?！?/p>

另外，還可以運(yùn)用交換機(jī)的管理端口甚至一個VLAN。一些交換機(jī)（比如，CiscoCatalyst）有一個管理端口（有時稱為span端口）可以鏡像一個或多個指定端口的數(shù)據(jù)流?？梢詫ealSecureNetworkSensor配置在這樣的管理端口上，通過鏡像的方式獲得多個端口的數(shù)據(jù)流。假如交換機(jī)的一個端口里連接Internet路由器，則可以鏡像連接路由器的這個端口。假如交換機(jī)連接多臺重要內(nèi)聯(lián)網(wǎng)服務(wù)器，則可以鏡像連接服務(wù)器的這幾個端口?，F(xiàn)在，已經(jīng)有很多交換機(jī)支持這種功能?！?/p>

運(yùn)用RealSecureOSSensor--由于OSSensor是基于主機(jī)的工作方式，因此完全不會受到交換方式的影響。在連接交換環(huán)境的服務(wù)器上安裝OSSensor，對每個服務(wù)器進(jìn)行愛護(hù)。OSSensor特殊適合于平安需求高的服務(wù)器，與NetworkSensor協(xié)作運(yùn)用，須要配置的服務(wù)器包括網(wǎng)管工作站、數(shù)據(jù)采集工作站、計(jì)費(fèi)服務(wù)器等?！?/p>

運(yùn)用RealSecureServerSensor--由于ServerSensor是基于主機(jī)的工作方式，因此完全不會受到交換方式的影響。又由于ServerSensor具備了部分NetworkSensor的功能，因此特殊適合于網(wǎng)絡(luò)流量大的相對獨(dú)立的服務(wù)器上，例如網(wǎng)站托管主機(jī)上。3.5防病毒

舉薦平安產(chǎn)品--TrendMicro防病毒產(chǎn)品

支持對網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時病毒監(jiān)控:對于Internet類型的網(wǎng)絡(luò)，包括Extranet和Intranet，趨勢科技供應(yīng)基于網(wǎng)關(guān)處的防毒產(chǎn)品：InterScan系列。產(chǎn)品都含有純web方式的管理界面。1.

因特網(wǎng)病毒防火墻--InterScanVirusWall：在網(wǎng)關(guān)處實(shí)時監(jiān)控通過SMTP、和FTP協(xié)議傳輸?shù)男畔?nèi)容，檢查其是否存在病毒或惡意程序，并依據(jù)管理員的設(shè)定實(shí)行相關(guān)的處理方式，以保證通過網(wǎng)關(guān)出入企業(yè)的信息的平安性。支持對16種以上的壓縮類型、壓縮深度最多達(dá)20級的文件進(jìn)行病毒掃描工作。支持的平臺：WindowsNT(2000)、Solaris、HP-UX、Linux。2.

電子郵件平安管理--InterScaneManager：基于InterScanVirusWallNT版和Solaris版的外加﹝Plug-in﹞的電子郵件管理工具，屬于InterScanVirusWall的因特網(wǎng)平安﹝InternetSecurity﹞系列產(chǎn)品之一。eManager電子郵件平安管理軟件可以過濾垃圾郵件及大量推銷性質(zhì)的電子郵件，并可掃描由內(nèi)部運(yùn)用者寄出的郵件內(nèi)容，若有敏感性內(nèi)容可就進(jìn)行攔阻；此外也能夠自定郵件傳遞時間，延遲遞送較大的郵件、國際信件或其它自定規(guī)則范圍內(nèi)的郵件，避開在網(wǎng)絡(luò)帶寬運(yùn)用高峰時段造成郵件堵塞。支持的平臺：WindowsNT(2000)。3.

網(wǎng)站平安管理軟件--InterScanWebManager：集web訪問的管理限定和防病毒與一身。除了對傳入的web頁面進(jìn)行防毒之外，還可以對訪問的內(nèi)容及帶寬進(jìn)行管理?？蓮椥栽O(shè)定對14種不同類型的網(wǎng)站內(nèi)容進(jìn)行過濾。WebManager應(yīng)用CyberPatrol所開發(fā)出全球數(shù)十萬個網(wǎng)站的數(shù)據(jù)庫，阻擋內(nèi)部運(yùn)用者通過因特網(wǎng)進(jìn)入色情或其它的不良網(wǎng)站?？梢罁?jù)個人及部門的特殊需求，過濾不良網(wǎng)站和設(shè)定下載文件的大小限制。管理員可依每日、每周或每月，設(shè)定個人或部門對于Web下載文件的最大流量，從而限制網(wǎng)絡(luò)的運(yùn)用帶寬。支持的平臺：WindowsNT(2000)。4.

大規(guī)模郵件防毒--·

對于企業(yè)內(nèi)部的電子郵件和群件系統(tǒng)，如LotusNotes和MicrosoftExchange，由于企業(yè)內(nèi)部用戶間的通訊可能并不通過Internet網(wǎng)關(guān)，因此光靠在網(wǎng)關(guān)處防毒并不能限制病毒在企業(yè)內(nèi)部的傳播。趨勢科技針對此類系統(tǒng)供應(yīng)了相應(yīng)的防毒產(chǎn)品：ScanMail系列?！?/p>

ScanMail系列在對郵件系統(tǒng)內(nèi)的郵件和公用文件夾內(nèi)的文件進(jìn)行病防護(hù)的同時，還可以對含有敏感性內(nèi)容的郵件進(jìn)行隔離等處理，以愛護(hù)企業(yè)內(nèi)部信息流的平安。產(chǎn)品都含有純web方式的管理界面。·

ScanMail支持對19種壓縮類型、壓縮深度最多達(dá)20級的文件進(jìn)行病毒掃描工作?！?/p>

ScanMailfroMicrosoftExchange：真正支持微軟建議的AVAPI接口，以獲得更高的工作效率，削減對系統(tǒng)資源的占用。完全支持Exchange的群集技術(shù)。支持的平臺：WindowsNT(2000)?！?/p>

ScanMailforHPOpenMail·

其它很多大規(guī)模的郵件服務(wù)器,例如：Software的Intermail及AsiaInfo的AIMC和Microsoft的MCIS及Netscape的MessageServer及Sendmail等5.

防毒工作中心監(jiān)控系統(tǒng)：TVCS——TrendVirusControlSystem。為了讓企業(yè)能對全部的防毒產(chǎn)品和工作進(jìn)行集中管理，趨勢科技供應(yīng)了產(chǎn)品TVCS。上述的趨勢科技的防毒軟件產(chǎn)品都可集成TVCS的客戶端組件—TVCSAgent。當(dāng)企業(yè)安裝了TVCS系統(tǒng)后，即可實(shí)現(xiàn)對上述產(chǎn)品的集中限制和管理。同時，TVCS也可以顯示出其他一些防毒軟件產(chǎn)品的信息，以便讓管理員統(tǒng)一監(jiān)控。

TVCS采納純web的管理界面，管理員不論在何時何地，只需有Web閱讀器即可實(shí)現(xiàn)整個企業(yè)的防毒管理工作。完善的日志記錄和統(tǒng)計(jì)信息功能。支持彈出窗口、e-mail、尋呼機(jī)等報警方式。能夠在中心限制臺上向多個目標(biāo)系統(tǒng)分發(fā)新版殺毒軟件:

防毒工作中心監(jiān)控系統(tǒng)TVCS供應(yīng)統(tǒng)一而且自動的產(chǎn)品組件更新功能，通過它實(shí)現(xiàn)趨勢科技全部防毒產(chǎn)品的掃描引擎及病毒碼更新功能。

能夠在中心限制臺上對多個目標(biāo)系統(tǒng)監(jiān)視病毒防治狀況:

防毒工作中心監(jiān)控系統(tǒng)TVCS使管理員通過閱讀器即可實(shí)時監(jiān)視趨勢科技全部防毒產(chǎn)品的工作狀況，以及病毒防治狀況。由于采納了客戶/服務(wù)器的時間驅(qū)動模式進(jìn)行工作，因此有效的避開了對網(wǎng)絡(luò)帶寬的過多占用。支持多種平臺的病毒防范:趨勢科技是一家專注于企業(yè)平安的產(chǎn)品供應(yīng)商，具有特別完善的產(chǎn)品系列，考慮了企業(yè)內(nèi)從工作站到因特網(wǎng)網(wǎng)關(guān)，幾乎全部須要防病毒的平臺和網(wǎng)絡(luò)連接點(diǎn)。能夠識別廣泛的已知和未知病毒，包括宏病毒:作為作早進(jìn)入計(jì)算機(jī)防毒領(lǐng)域的廠商之一，趨勢科技在防毒技術(shù)上始終保持著領(lǐng)先的優(yōu)勢。早在1995年趨勢科技即開發(fā)出了基于人工智能（Rule-based）的掃描引擎，采納陷阱方式探測惡意程序可能出現(xiàn)的破環(huán)動作，以及探測出變形病毒的真面目，從而實(shí)現(xiàn)對未知病毒的攔截。經(jīng)過不斷地完善，目前的引擎中已設(shè)下了多達(dá)12道以上的陷阱，依據(jù)傳統(tǒng)方式制作的各類新病毒根本逃不過被檢測出的命運(yùn)。1996年趨勢科技又領(lǐng)先推出了自己的專利技術(shù)——MacroTrap?，解決了對已知或未知的宏病毒的探測問題。支持對Internet/Intranet服務(wù)器的病毒防治，能夠阻擋惡意的Java或ActiveX小程序的破壞；趨勢科技的因特網(wǎng)網(wǎng)關(guān)病毒防護(hù)產(chǎn)品--InterScan系列，能夠有效阻擋惡意的Java、ActiveX程序以及一些黑客程序通過因特網(wǎng)對企業(yè)進(jìn)行的入侵。InterScan在網(wǎng)關(guān)處實(shí)時監(jiān)控通過SMTP、和FTP協(xié)議傳輸?shù)男畔?nèi)容，檢查其是否存在病毒或惡意程序，并依據(jù)管理員的設(shè)定實(shí)行相關(guān)的處理方式，以保證通過網(wǎng)關(guān)出入企業(yè)的信息的平安性。支持對電子郵件附件的病毒防治，包括WORD/EXCEL中的宏病毒:趨勢科技的產(chǎn)品系列中，InterScan、OfficeScan、ScanMail等都支持對電子郵件附件的病毒防護(hù)。趨勢科技的掃描引擎中含有自己的專利技術(shù)—MacroTrap?，由于采納了人工智能的陷阱技術(shù)，還可以檢測出部分未知的宏病毒。支持對壓縮文件的病毒檢測:趨勢科技的產(chǎn)品對壓縮文件的掃毒支持是同類產(chǎn)品中最為完善的。其中的InterScan和ScanMail更是支持16種以上的壓縮格式和20級的壓縮深度。支持廣泛的病毒處理選項(xiàng)，如對染毒文件進(jìn)行實(shí)時殺毒、移出、刪除、重新命名等:針對企業(yè)和個人用戶的須要，趨勢科技供應(yīng)了敏捷的處理選項(xiàng)。如對于網(wǎng)絡(luò)防毒，一般供應(yīng)：帶警告通過（pass）、隔離轉(zhuǎn)移（moveorquarantine）、刪除（delete）、清除病毒（autoclean）等選項(xiàng)。其中對于autoclean方式，由于有些文件本身即是病毒或黑客程序，或者帶有不能隨意刪除的病毒類型，因此當(dāng)選擇autoclean方式時，將會針對不能清除病毒的文件供應(yīng)應(yīng)用戶額外的選項(xiàng)，其中又包括：pass，move，delete方式。支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個染毒文件時，服務(wù)器可自動關(guān)閉對該工作站的連接:趨勢科技的產(chǎn)品都支持文件隔離方式，讓管理員可以對染毒文件進(jìn)行分析，或是發(fā)往趨勢科技的支持中心以得到針對新型病毒的最新解藥?？紤]到應(yīng)盡量簡化企業(yè)的防毒管理工作，以降低TCO，趨勢科技不主見實(shí)行關(guān)閉客戶連接的做法。假如采納這種方式，企業(yè)將須要有專職的防病毒管理員來處理每次的連接中斷，用戶也會覺得特別麻煩。供應(yīng)對病毒特征信息和檢測引擎的定期在線更新服務(wù):趨勢科技的全線防毒產(chǎn)品都供應(yīng)此類功能。其中大多數(shù)產(chǎn)品更是能自動通過因特網(wǎng)更新其病毒碼、掃描引擎和產(chǎn)品升級包。通過運(yùn)用TVCS，全部的防毒產(chǎn)品更新工作都可從中心進(jìn)行集中管理，并只需建立TVCS和趨勢科技間的Internet連接，而不須要各個產(chǎn)品各自去連接因特網(wǎng)。支持日志記錄功能:趨勢科技的全線產(chǎn)品都供應(yīng)日志記錄功能。通過運(yùn)用TVCS，全部的防毒產(chǎn)品的日志可以從單點(diǎn)進(jìn)行管理和閱讀，并可通過TVCS得到企業(yè)全部防毒工作的各類統(tǒng)計(jì)信息和日志。支持多種方式的告警功能（聲音、圖像、e-mail等）:趨勢科技的全線產(chǎn)品都供應(yīng)告警功能。通過運(yùn)用TVCS，對企業(yè)內(nèi)全部的中毒狀況都會有綜合的報警提示，包括彈出窗口、e-mail和尋呼機(jī)報警。其中的ServerProtect更是供應(yīng)了包括：訊息信箱、尋呼機(jī)、打印機(jī)、Internet電子郵件、SNMP通知或?qū)懭氲絎indowsNT事務(wù)日志的多種報警方式。Interscan與FireWall的集成:TrendMicro是OPSEC的成員之一，Interscan透過CVP(ContentVectoringProtocal)的方式與Check