面对层出不穷的安全问题,越来越多的网络使用者发现,安全问题既不可能杜绝,也便不存在一个一劳永逸的解决方案,因此,像以往一样,仅仅从某一个方面或者停留于被动的“查杀”已经远远不能满足对安全的需求,如何从根本上提供一种动态的安全机制,并从系统论的角度进行防护,才是所有网络使用者都必须面对的。北京冠群金辰软件有限公司的企业级安全解决方案为企业/机构提供了包括防病毒(KILL系列产品)、企业级防火墙(eTrust FireWall中文版)、入侵检测(eTrust Intrusion Detection中文版) 、服务器核心防护(eTrust Access Control中文版)等在内的网络安全整体解决方案:
KILL网络防病毒解决方案
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略,使网络没有薄弱环节成为病毒入侵的缺口。针对网络中所有可能的病毒攻击设置对应的防毒软件,构建全方位、多层次的整体的防病毒体系。
一、企业局域网防病毒配置方案:
KILL采用服务器/客户端构架,能够实时保护用户的Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器。在企业局域网系统中,可以设置如下KILL网络防病毒解决方案(如图):
服务器防护
在每台NT/UNIX服务器上安装KILL for Windows NT Server/KILL for Unix,实现Windows NT/Unix服务器的实时病毒防护,保护主域服务器、文件服务器或数据服务器上数据的安全。
客户端防护
在联网的Windows 95/98 客户端上安装KILL网络客户端KILL for Windows 95/98产品,在联网的Windows NT Workstation/Windows 2000 Professional工作站上安装KILL网络客户端KILL for Windows NT Workstation/Windows 2000 Professional,实现客户端的实时病毒防护,保护客户机自身不会被病毒感染,并且不会成为病毒源。
邮件服务器防护
在MS Exchange/Lotus Notes服务器上安装KILL for MS Exchange/Lotus Notes ,实时检测邮件系统接收/发送的电子邮件,保证电子邮件系统不会成为病毒的入侵通道。
Internet网关防护
在网关服务器上安装网关防病毒产品(Internet Protector), 在网关机器上扫描进、出Web服务器及内部WWW的内容,对这些文件进行阻止。通过实时检测通过Internet进入到内部网的HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)文件,防止各种病毒、恶意的Java、ActiveX、未标记的Web对象及所有不符合组织安全策略的Web对象对整个企业内部的攻击。
集中管理:
通过KILL域管理器将局域网内所有NT服务器/工作站创建在同一防病毒管理域内,选定一台已安装了KILL的NT服务器(可以不是主域服务器)作为KILL防病毒管理域的主服务器,对整个KILL域进行防病毒管理。通过KILL域管理器,制定统一的防毒策略,设定域扫描作业,安排系统自动查、杀病毒。
设置网络自动下载、更新和分发:
在局域网中选定一台装有KILL并能连接Internet的NT服务器作为自动下载服务器,定时自动从KILL的FTP站点下载最新的KILL的病毒特征文件和搜索引擎,然后自动分发到域中其它NT服务器和联网客户机上,保证防毒软件定期得到最新反病毒文件。
网络病毒报警系统:
KILL具有极为优秀的全球报警系统和各种报警功能。集成在NT服务器上的KILL报警管理器可以收集到网络中任一台计算机上发出的KILL病毒报警消息(Win95/98机器需要相应配置),然后,通过报警管理器提供的网络广播、Lotus Notes/MS Exchange邮件、故障打印、寻呼机等多种报警方式,KILL可以将报警消息发送给用户,网络管理员可以在网中任一台计算机上即时得到KILL的报警消息,甚至通过自动寻呼机在异地也能及时收到KILL的病毒报警信息。
完善的运行日志记录:
KILL的日志包括了从服务器到客户端计算机运行的所有记录。网络管理员可以从日志的内容中掌握网络中所有计算机的运行情况,包括出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况等信息,从而使网络管理更加简单、明了且有针对性。
二、广域网防病毒配置方案:
对于一个跨地区的广域网,KILL系列网络反病毒产品同样可以为您构筑强大的网络防病毒屏障,保护您网络的安全。KILL广域网整体防病毒实施方案如下:整个广域网的病毒防护将以各局域网单元为防护单位,单元与单元之间的病毒防护与单元内部的病毒防护一致,各个单元内部以及单元与单元之间的病毒防护最终形成整个网络的病毒防护体系。
1.在各地区的局域网内
按照局域网的要求分别配置各分部的病毒防护网,在各局域网内选用一台NT Server设立各局域网的防病毒控制中心,同时针对各局域网的具体应用情况,设定本局域网防毒策略,进行有针对性的防毒。
2.在中央企业的局域网内
除了按照中央级局域网的要求配置局域网内的病毒防护网之外(KILL配置方案与地区局域网类似),其承担防病毒控制中心的NT Server还应负责对整个广域网的控制,在必要的时候,通过KILL的点对点的管理手段,直接对下级网络的Server进行控管。
3.对整个广域网的管理
可以由中央级网络系统管理员统一负责,集中管理;对各局域网的管理可以由局域网网络管理员负责,这样能减少广域网远程访问操作,提高系统效率,而且所有的安装、更新和管理工作完全由局域网系统管理员控制,同样可以做到实时、安全有效,且针对性更高。
eTrust Firewall中文版企业级网络防火墙解决方案
如果您的企业/机构正在将因特网作为企业内部计算机网络的一个延伸,那么您就会关注全球连网对机构运作的积极影响。然而,若没有合适的网络防火墙解决方案,您的系统就会成为网络黑客们的众矢之的。除了日趋严重的外部威胁之外,机构/企业内部对系统安全构成危害的行为也在不断增加。因此,在企业决策中包含对用户网络访问的控制就变的远比以往更为重要。
eTrust FireWall中文版(以下简称eFW)是专门为在企业范围内部署而设计的,是新一代防火墙保护产品。这一富于创新的防火墙产品为保护企业/机构系统的安全提供了一种综合的、规则驱动的解决方案。它使用户可以放心地允许授权用户通过Internet/Intranet访问任务关键型应用,同时将未授权用户拒之门外。eFW融合了最新技术,可以提供坚固的安全性和企业级可管理性。
eFW可以在所有敏感的网关和任务关键型主机上进行部署。其单一规则模式保证了整个企业的一致安全性。
一.eTrust FireWall中文版的技术特点
TCP状态感知包过滤技术:通过跟踪TCP对话及过滤基于对话状态的IP包,可在保持包过滤效率的情况下,用应用级的智能分析功能对数据包进行分析。
强大的侦测及保护功能:eFW防火墙可避免攻击者连接到防火墙之后的任何主机,避免大部分的TCP/IP 堆叠攻击:Ping of Death、Sync Attack、Land Attack、Teardrop等。
网络地址转换:隐藏敏感服务器以免被入侵者窥测到。它可以使专用服务器用户在不暴露该服务器IP地址的情况下,对外部系统和服务进行访问。并且隐藏内部网络地址以强化网络安全,让黑客几乎不可能找到内部计算机的网络地址。
扩展服务类型支持:eFW对大多数流行的网络服务提供全面的过滤支持,这些服务包括FTP、RealAudio的简单TCP/IP协议及复杂协议等。
二.eTrust Firewall中文版的产品特性
管理员权限的授权方式与范围:采用分层控制方式使企业可以在不削弱网络安全性的情况下,为不同业务流程配置不同的规则。
企业范围的用户鉴别。自动将鉴别信息传播给用户与资源间的所有防火墙,使授权用户在尽量不影响生产效率的情况下,无缝隙地访问其所有资源。
安全可视化。用户界面非常直观,可轻松执行针对各种资源的规则任务。
集中管理。可以从一个控制台对多个防火墙引擎进行集中安全地管理,实现企业范围内一致的安全性。
用于其它应用程序的安全接口。提供其它应用(如入侵检测产品)设置动态规则。
NT域和RADIUS支持,避免建立单独用户数据库的要求。
因特网防火墙引导程序,用户可快速部属防火墙。
防火墙规则的逻辑网络实体定义。为清楚、安全起见,所有规则基于主机、子网、IP等定义好的网络实体进行创建。
三.eTrust FireWall中文版配置方案
1.全面保护网络系统
eFW可以在Windows NT Workstation、Windows NT Server3.51以上版本执行,所有位于eFW之后的机器皆受到保护,包括Unix、Win95/98等。任何与Internet连接且需要防火墙保护的组织,都应该安装eFW进行即时的安全保护。此外,如果您的服务器储存着敏感的资料且需要额外的安全防护,eFW能够与这些服务器建置于网络区段中,作为内部的防火墙使用。
2.安装快捷方便
利用eFW实施防火墙保护变得更加快捷方便。简单的界面可引导您完成整个安装和设置过程。eFW将自动检测网络接口卡,从而提供对企业系统的全面保护。如果您的系统上还没有兼容的数据库作为驱动,eFW将自动侦测必要的驱动程序,并引导您进行必要的安装过程。
3.管理简单灵活
为了简化管理,eFW还提供可用于大多数流行接口服务类型(例如:WWW、FTP、STMP、DNS和Telnet)的预定义过滤器;并可利用eFW为公共配置自动生成防火墙制度。在需要时,还可对这些制度进行进一步定制,依照服务的形式、主机的来源及目的地址、网络、子网络及网络卡设定网络存取规则,或使用工作表依照不同的日期及时间触发不同的规则,使eFW能按照工作特性及日程智能地分析数据包。eFW可简化防火墙管理。用户可对安装和添加新策略进行远程管理,而无须进行重新引导、初始化、或丢失现有会话。
4.多样的报警机制及日志记录。
eTrust FireWall中文版使用CA 公司的报警管理器来通知您问题的发生,它包括寻呼机、网络广播、电子邮件、打印机等方式,使网络管理员可以即时接收到报警消息。eFW还提供广泛的日志记录,将所有网络相关事件记录在正规化的资料库中。