ccxx

呼唤第三代网络安全  



市场的发展呼唤第三代网络安全,虚拟化技术让分层安全成为现实，

第三代网络安全呼之欲出

最初，企业网是封闭的，只有员工在内部时才能享用该专用领域。通常采用的安全方法是，通过物理锁防止未授权用户访问资产，这是第一代安全。

后来，公司把网络连接到因特网。防火器设备设在边界的入口点，防止未授权用户访问内部系统和数据。这些所谓的“安全检查站”容易管理，成本也比较低，这就是第二代安全。

不过到了今天，企业网的边界变得模糊不清。安全连接协议使公司企业得以绕开防火墙，利用因特网与远程员工、分部、客户、供应商及合作伙伴在网上交换信息。不过这也为攻击者闯入员工的家用个人电脑、通过安全VPN隧道进入企业网络留下了一道后门。而防火墙无法阻挡电子邮件，这又为佯装成附件的攻击提供了可趁之机。

市场呼唤第三代安全

边界安全策略已经不足以保护漏洞百出的企业网，安全面临的挑战呼唤第三代安全策略。第三代安全有两大特点：深层性和普及性。用多层防火墙和入侵检测与预防系统（IDP）加强边界，从而堵住后门安全漏洞，发现及消除攻击。第三代安全还具有隔离性，把重要资产隔离开，遏制攻击，从而尽量减小损失。

防火墙和IDP放在网络的各个角落——边界周围、应用服务器前面、网段前面以及应用层之间。随着用户不断接近网络中心，安全策略会变得越来越严格。网段和资产划分细化到了采用不同安全技术保护不同的区域。譬如说，LAN网段之间的防火墙可以防止通过电子邮件渗透到网络内部的攻击。

第三代安全即深层防御

分层技术和间隔技术一同提供深层防御（Defence in Depth），这就是第三代安全。不过，这种理想的安全基本上仍然遥不可及，因为深层防御部署起来不仅费力，而且成本也极高。部署第三代安全的惟一办法就是结合使用专用安全设备，将单一安全服务部署在专用设备上，并且，在需要防御的每个地方，部署一台或多台安全设备。部署每个安全设备都要购置并安装，而且，安全设备需要长期的运行成本，一旦设备的数量超过IT人员的管理能力，就要添加人手，除此之外，单单购买、安装、配置及运行一个安全设备就需要几个礼拜，而安全危胁却时时刻刻在变化。

利用安全设备提供分层安全，意味着购买、管理及维护大量的设备。把这些设备与管理界面连在一起，进一步加大了部署与管理难度。基于安全设备的第三代安全实施成了IT人员的恶梦，成本远远超出了预算的承受范围，而且，需要几个月才能推广开来。

虚拟化技术实现第三代安全

幸好，如今出现了一种高效、经济的方法，可以帮助人们迁移到第三代安全。IP安全服务（如VPN、防火墙和入侵检测与预防系统等），合并到一个设备上，这样就可以取代多个不同功能单一“点”的设备。

借助使用虚拟化技术就可以做到这点。虚拟化技术让功能、管理与物理硬件分离开来。这种得到公认的方法为VPN、虚拟机和虚拟局域网（VLAN）等技术所采用，利用数量较少的物理资源就能够满足逻辑资源的需求。由于IP安全服务实现了虚拟化，服务提供完全可以实现自动化—不需要更多的物理布线和配置，不需要更多的物理机架空间。

虚拟化让第三代安全成为可能并按需提供，而且在预算范围之内。虚拟化技术让你可以针对特定的需求，定制及部署多个预先经过测试的安全服务，不必逐步增加成本，只要使用一个简单的管理界面。虚拟化为第三代安全提供了一条实际的迁移道路，已经被实际应用。例如，NEC的系统集成与设计部门有3000多员工，采用虚拟服务交换机后，得以把防火墙和入侵检测与预防系统（IDP）设在每个网络的LAN网段前面。与单独使用NetScreen防火墙和IDP设备相比，新方法的资本和运行成本减少了76%。

所以，如果有人问你：你的企业网络安全吗？请你这么回答：深层防御＋几乎无所不在的分层技术使得网络非常安全。

ccxx

东软网络安全解决方案

hc360慧聪网IT行业频道 2004-06-29 10:02:11

  
东软网络安全技术、产品及渠道

在诸多国内防火墙产品中，东软的NetEye防火墙在这两年中异军突起。据IDC调查，东软NetEye防火墙是国内市场上仅次于Cisco和CheckPoint的用户选择购买最多的第三个品牌，NetEye的知名度则在国内品牌中名列第一。这种成果的取得与东软在技术上的不断创新，以及不断围绕客户价值来构架自己的产品与服务体系有着直接的关系。

东软的流过滤技术

“流过滤”是东软的首创，是在“状态包过滤”基础上的发展。 “状态包过滤”是检测一个个数据包，而“流过滤”则是把一个个数据包重新整合成数据流，然后再进行过滤检测。“流过滤”防火墙不仅能同时提供应用层和网络层的保护，而且保持了包过滤产品良好的透明性，其性能则远远超过应用代理结构的防火墙产品，能够同时处理几万甚至几十万并发的应用级会话。对于需要一个能够支持数万个并发访问，同时又要相当于代理技术的应用层防护能力的系统，流过滤结构可以说是唯一的选择。

东软的网络安全产品

NetEye Firewall 3.2： “NetEye防火墙3.2是东软最新的防火墙版本。300多人月的研发，1000多万的测试实验室，40%工作量的测试，大量用户的试用，保证了其超强稳定性。围绕 “流过滤”平台构建了完善的开发体系：应急响应团队、应用升级包开发团队、网络安全实验室，动态安全得以持续保障。”


除此之外，NetEye Firewall 3.1还具有很高的可靠性，通过硬件体系结构设计、关键部件冗余、最低一秒的双机热备自动保护切换等功能，能够充分满足网络的可靠性要求。同时，NetEye Firewall 3.1版进一步完善了基于“工程”的系统管理以及实时监控和审计分析工具，使用户的安全管理更加方便和直接。

SJW20网络密码机： SJW20网络密码机是东软NetEye Firewall VPN增强版的商用密码产品的注册型号。该产品采用商用密码管理办公室指定的加密算法芯片，并于2001年12月完成了安全性审查和产品鉴定。

SJW20采用标准的Ipsec协议，具备NAT穿越能力，采用链路级设备映射加密通道，简化用户的管理和配置，使用户能够在复杂的网络环境下构建大规模、高安全强度的虚拟专用网络。SJW20采用了最新的NetEye防火墙核心，在保证安全互联的同时提供了高强度的访问控制和安全管理能力。

NetEye IDS 2.1： “NetEye IDS 2.1是东软股份最新开发的具有自主版权的网络入侵监测系统。不但可判断来自网络内外的入侵企图，进行报警、响应和防范。同时具备强大的网络信息审计功能，可对网络的运行，使用情况进行全面的监控、记录、审计和重放。使用户对网络的运行状况一目了然。并且可用于分析定位网络的故障，保障网络的健康运行。NetEye入侵检测系统可对自身自动维护，学习和使用极其简易，是完整的网络审计、监测、分析和管理系统。全面高效、可靠易用的网络综合健康管理平台是NetEye IDS 的设计理念。”

NetEye个人安全平台： NetEye个人安全平台针对桌面用户的安全问题，为个人用户和企业用户提供了可裁减的个性化的安全解决方案。该产品内嵌了NetEye的状态检测包过滤的核心，集成了安全策略管理和VPN客户端功能，既是方便的个人安全工具包，又是企业进行统一安全管理的平台。集中的安全策略管理是该产品的突出特色，桌面用户几乎不需要任何复杂的操作，即可从集中的安全策略服务器上获得由安全管理人员配置的最新的安全控制规则，它使企业的安全策略深入到了每一台桌面计算机上。VPN客户端功能是该产品的另一个核心功能，采用了IPsec标准和先进的NAT穿越技术，可以使用户方便、安全的随时连接NetEye的VPN网关轻松实现远程办公。

东软网络安全产品的渠道与服务支持

东软在全国30多个中心城市设有分支机构，分支机构下属又有遍布全国的代理商，几乎做到了“在用户身边办公”；而东软对代理商的严格审核制度及一整套完善的服务质量监督及管理体系充分保证了对用户服务的到位。此外，东软还拥有12个研发中心，并拥有自己特色的二层客户服务体系，产品服务中心在北京设立了NetEye技术支持中心，技术支持中心的工程师为二线工程师，由资深的网络安全工程师和网络安全咨询顾问对大区服务工程师提供技术咨询和支持。产品服务中心在全国设大区现场服务部，大区现场服务部对大区所大区所辖区的防火墙用户提供技术支持。各大区现场服务工程师由大区服务经理管理和调度，各大区现场服务部由产品服务中心服务管理部管理和考核。从组织机构上充分保证了用户网络的安全性。