•政府各级局域网的安全保护
•政府各级局域网之间的访问控制
•应用业务系统的安全
•先进的身份验证机制严格控制用户的访问权限
•关键信息的传输的完整性和机密性
•访问控制和加密传输的完整结合
•全网各种访问行为的监控与审计
•网络安全系统的易用、可靠
东软政府机构的网络安全解决方案由下列产品构成:
•东软NetEye防火墙:实施网络边界防护,保护内部局域网,提供应用级的安全保护和各级局域网之间的访问控制,防止来自外部的入侵核攻击,对用户的各种访问进行身份验证和权限鉴别。
•东软NetEye入侵检测系统:提供内部局域网用户行为的实时监测和跟踪、内部或者外部发起的入侵进行识别、多种应用级内容审计。
•东软NetEye VPN系统:NetEye防火墙和SJW20网络密码机的集成,一方面以防火墙的抗攻击能力保证VPN系统的安全,以防火墙的访问控制限制VPN通道对内部网资源的访问;另一方面以可靠的加密技术,提供异地区域网络之间的安全、私有的互连。
防火墙系统
东软自NetEye防火墙3.0以来以状态检测包过滤为基础实现了一种称之为"流过滤"的结构,其基本的原理是以状态包过滤的形态实现对应用层 的保护。通过内嵌的专门实现的TCP协议栈,在状态检测包过滤的基础上实现了透明的应用信息过滤机制。在这种机制下,从防火墙外部看,仍然是包过滤的形 态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以 "流"的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用 代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对 SMTP协议的各种攻击的防范功能。
流过滤的结构继承了包过滤防火墙和应用代理的特点,因而非常容易部署。并且由于应用层安全策略与网络层安全策略是紧密的,所以在任何一种部署方 式下,都能够起到相同的保护作用。基于状态包过滤的流过滤体系结构,实现了高性能、可扩展、透明的对应用层协议的保护。如果你需要一个能够支持数万个并发 访问,同时又要相当于代理技术的应用层防护能力的系统,流过滤结构将是唯一的选择,甚至在不需要改变网络拓扑的情况下实现。
系统主要功能特点:
基于状态检测包过滤的流过滤:以包过滤的外部形态实现了强大的应用层保护能力,从而提供了路由和透明桥接模式下,网络层和应用层完整的访问控制。对于应用层协议可以进行快速的升级,以抵御新出现的攻击。
•多个网络之间的访问控制。例如:内网、外网、DMZ区域(对外提供服务的服务器)。
•对网络访问的身份认证和权限控制,支持与第三方的标准的Radius协议服务器集成。
•双向网络地址转换(NAT),可以对网络地址进行双向的隐藏。
•支持Vlan Trunk(国际标准协议802.1q)。
•IP与MAC地址绑定,防止内部网IP地址盗用行为的发生。
•攻击识别和报警,报警方式支持日志记录、邮件报警、SNMP Trap事件等。
•灵活的流量管理和实时的流量控制。
•提供了网络实时监控系统,可以实时的监控当前经过防火墙的网络数据包的状态、流量统计,并对数据包进行采集和分析。
•双机热备具有业界最短的时间,不超过1秒钟,保证网络的不间断运行。
•全GUI的、易用的图形管理界面。
•完善的审计功能,包括对网络访问的记录和统计,并生成报表。
•提供审计、管理、安全控制等多种管理角色和工具。
•支持通过SNMP进行监控和接收报警信息。
•支持多播协议、NetMeeting等视频协议。
•双向DNS解析。
•与NetEye IDS联动。
•与第三方防病毒产品联动。
入侵检测系统
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高 了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性 能的情况下能对网络进行监测。
NetEye入侵监测系统是东软集团自主研发成功的具有自主版权的网络入侵监测系统。NetEye IDS利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企 图,进行报警,响应和防范。并可对网络的运行,使用情况进行监控,记录,和重放。使用户对网络的运行状况一目了然。同时提供网络嗅探器和扫描器便于分析网 络的问题,定位网络的故障。NetEye入侵检测系统可对自身的数据库进行自动维护,不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何 干扰,是完整的网络审计,监测,分析系统。配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
NetEye IDS 2.1采用客户/服务器结构,由检测引擎和管理主机组成:
•检测引擎:一个高性能的专用硬件,运行安全的操作系统,对网络中的所有数据包进行记录和分析。在重组网络数据流的基础上,根据规则判断,统计分析是否有异常事件发生,并及时报警和响应。同时记录网络中发生的所有事件,以便事后重放和分析。
•NetEye IDS管理主机:运行于Windows操作系统的中文图形化管理软件。使用加密通道和检测引擎安全通信,可以查看分析一个或多个检测引擎,进行策略配置, 系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。
系统主要功能特点
•的反对法快速识别黑客入侵与攻击,入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。
•对网络中不正常的通信连接做出反应,保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被IDS侦测,并警告、阻断。
•通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络通信中针对系统漏洞进行的非法行为。
•NetEye IDS不仅能提供面向网络攻击方法的缺省策略,还允许用户根据系统的安全需求自定义策略,有效的提高了入侵检测的针对性和有效性。
•入侵监测系统针对多种常用的应用协议(HTTP、FTP、SMTP、POP3、TELNET)数据连接的内容恢复的功能,能够完全记录通信的 过程与内容,并将其回放。并可自定义协议,便于扩充。此功能可用于监控内部网络中的用户是否滥用网络资源,了解攻击者的攻击过程,发现未知的攻击具有很大 的作用。
•实时监视系统活动,寻找敏感的或可疑的连接进行阻断,对数据流进行解码、分析。
•主动探测、扫描网络、发现网络问题。
•自动响应网络安全事件,对网络上异常事件或连接进行控制台、电子邮件等报警,并记录日志进行分析。
•采用图文并茂的形式对网络攻击事件或者网络上的访问进行报表生成,对于主要的攻击和入侵进行集中的分析,便于制定各种策略。
VPN系统
NetEye VPN系统是NetEye防火墙模块和VPN模块的完整结合,其中VPN模块己经通过国家密码管理委员会组织的专家审查,项目名称SJW20网络密码机,系统的安全性与技术的先进性均得到了权威机构的认可。
NetEye VPN是为组织机构实现安全网络互联而全新设计的虚拟专用网方案。它将IPSec隧道加密技术与流过滤防火墙技术相结合,在具有高强度的信息加密功能的同 时,拥有强大的防火墙和用户身份认证功能,可以在因特网或客户已有的骨干网之上构建一个安全、可信、稳定、高速的网络通信环境。
NetEye VPN可以应用于ADSL、ISDN、拨号、DDN等多种网络环境。基于PKI的密钥管理架构使得整个系统部署灵活、易于管理和扩展。独具的流过滤防火墙 技术可以快速地进行应用级插件的开发,以保证对各种攻击方式的及时应对。提供丰富的应用级协议保护功能,如垃圾邮件过滤、URL阻断和FTP命令级控制 等。线速的防火墙处理能力并集成高速硬件加密卡,使得它更加适合对性能和稳定性要求严格的应用环境。
系统功能特点
•采用国家政策许可的高强度的加密算法,实现数据传输的机密性和完整性保护。
•具有强大的防火墙功能,可防范多种DOS攻击,保证VPN系统本身的安全性。
•防火墙的访问控制功能,可有效地控制经过VPN通道对内部资源的各种访问。
•与防火墙一致的身份验证机制,支持与第三方标准的Radius协议服务器集成。
•严密的、基于PKI/KMC架构的密钥管理方案,采用基于PKI/KMC架构的密钥管理方案,整体密钥管理方案设计与实现的安全性经国家密码管理委员会的专家审定。密钥管理中心是离线的,使密钥管理系统免受外部攻击的威胁。
•完善的会话密钥管理,会话密钥是按照IKE协议,采用Deffie-Hellman算法自动协商生成,没有在公网上传输因而不会泄漏。会话密钥定期自动更新,从而有效抵抗密码分析攻击。
•支持隧道自动恢复,当隧道建立成功以后,VPN会每隔一定的时间间隔探测隧道另一端的VPN工作是否正常。在对探测没有正常响应的情况下, VPN会停掉本方的隧道,并每隔一定的间隔试图去重建,一旦对方VPN或网络恢复正常,隧道就能够马上自动重新建立,减少认为的干预。
•多种产品形态,产品包括:NetEye VPN网关、NetEye VPN灵巧网关、NetEye VPN移动客户端。
•支持多种接入方式提供广泛的适用性。NetEye VPN个人客户端支持ADSL、ISDN、DDN、拨号接入等多种接入方式;NetEye VPN灵巧网关支持ADSL、ISDN、DDN、拨号、以太网等多种接入方式;NetEye VPN网关也支持DDN接入和100M/1000M光纤接入。