网络安全整体解决方案
支持IPSec,ESP安全隧道模式 支持基于策略的VPN通信
硬件加速加密IPSec,DES,3DES,AES
HMAC MD5 或 HMAC SHA认证和数据完整性。 自动IKE和手工密钥交换
SSH IPSEC客户端软件, 支持动态地址访问,支持IKE Xauth 通过第三方操作系统支持的PPTP建立VPN连接 通过第三方操作系统支持的L2TP建立VPN连接
IPSec和PPTP VPN穿越使你的内部网络的计算机或子网能够连接到互联网上的VPN网关
IPSec NAT在途径NAT设备阻断的情况下建立IPSec隧道
支持HUB-and-Spoke星型VPN,该功能允许在分支机构与总部之间容易的建立VPN隧道,这样减轻了管理员在许多分支机构与总部之间维护需要安全通讯的VPN隧道
4.3.4 WEB 内容过滤
ES产品家族提供了三种中高性能的内容过滤方式,包括URL过滤,关键字阻塞,脚本过滤。这些特性作为网络层服务提供WEB内容过滤(HTTP)。
★ URL过滤
包括基本的 URL 数据库(SquidGuard), 有50多万个URL 用户定制化的数据库
从管理接口上传和下载限制的URL列表 选择URL进行阻塞 可定义的用户反馈信息
★ 关键字阻塞
多个单词或词组过滤 完全用户化的关键字列表
网络安全整体解决方案
单字节和双字节的词语过滤 自动上传和下载限制的词语 可定义的用户反馈信息
★ 脚本过滤
允许或拒绝 Java applets, Active X, Cookies 和Malicious Scripts
网络安全整体解决方案
第五章 病毒防护
目前,计算机病毒的种类与传播媒介日益繁多,病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。计算机病毒防护已经成为计算机系统安全策略中的重要手段。
当前用户计算机系统多具有网络层次多、节点多、等特点,且各级单位对计算机的使用和维护水平也不尽相同,诸多原因致使计算机系统面临传统病毒和新一代病毒的巨大威胁。
计算机病毒是所有单位计算机网络永远的的问题,并且现在已经成为单位竞争的新兴工具,因为计算机病毒的特质便是自我复制及造成计算机系统的当机及破坏。若是以计算机病毒有意地侵入竞争对手的计算机网络内,将造成所有的营运、作业的失灵,并造成巨大的无可估量的损失。
5.1 当今防毒技术的发展趋势
由于操作系统及应用程序的多样性,造就了计算机病毒机理的多样性;随着网络的发展,又为计算机病毒提供了更加简便快捷传播方式。鉴于此,当今防病毒技术必须具有一系列诸如时实监控性、支持多平台及各类服务应用程序之类技术为基础,对于新型病毒进行不间断监控、快速防治与控制为前提,才能为当今互联网时代提供真正的全方位的防毒产品及技术。
另外,随着病毒感染媒介的改变,许多机关团体的防毒工作,却仍然只着眼于个人单机或局域网络服务器 (LAN server) 的阶段,对于电子邮件及Internet 的防毒工作,仍缺乏警觉,或不知从何下手。 事实上,电子邮件及档案下载不仅是病毒的入侵企业网络的来源,更是病毒传播的媒介。尤其是愈来愈多的单位将内部网络连上了Internet,然而,目前大多数的防毒厂商并不具备在Internet/ Intranet上提供解决方案的能力,而仅着重在单机( standalone PC )或局域网络服务器( LAN server )的防毒产品。 当连接 Internet 或建构 Intranet 时,必须从整体来考虑,审慎规划整体网络防毒策略,兼顾网络上每一个节点的防毒,不论是单机联机的 client 计算机,局域网络服务器、Email 系统、或是 HTTP、SMTP、以及FTP,均需要周到的保护。唯有慎选真正具有专业
网络安全整体解决方案
能力,提供 anti-virus total solution的安全伙伴,才能确保计算机使用的安全。
由于对于计算机病毒产生及传播,防毒软件的普通防治明显处于滞后状态,所以单纯选择防毒软件防护已知病毒并不能满足贵单位网络防毒安全的要求,只有在病毒进入网络之前,就将其消灭,提供全方位不间断的防毒服务才能彻底解决这一根本问题。提供以防病毒服务为导向;充分利用Internet所带来的便利和力量;并对单位客户提供长期、持续的择易尚网关防火墙,在\毒\苗扩散前,直接在网络入口消灭骇客程序、垃圾邮件,有效避更优质的服务才是当今乃至未来防病毒技术的发展趋势。因此,选免病毒灾情蔓延网络。
5.2 网络环境下病毒传播和破坏的方式及特点
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括本地工作站和远程工作站)。计算机病毒一般首先感染工作站,通过工作站的软盘和硬盘进入网络,然后开始在网上的传播。
具体地说,其传播方式有:
通过共享资源:病毒先传染网络中一台工作站,在工作站内存驻留,通过查找网络上共享资源来传播病毒;
网页恶意脚本:在网页上附加恶意脚本,当浏览该网页时,该脚本病毒就感染该计算机,然后通过该计算机感染全网络;
ftp方式:当用户从Internet网上下载程序时,病毒趁机感染计算机,再由此感染网络;
邮件感染:把病毒文件附加在邮件里,通过Internet网传播,当用户接受邮件时感染计算机继而感染全网络。
总之,单位在应用网络的便利信息交换特性的同时,病毒也正在充分利用网络的特性来达到它的传播目的。单位在充分地利用网络进行业务处理时,就不得不考虑单位的病毒防范问题,以保证关系单位命运的业务数据完整不被破坏。
在网络环境下,网络病毒除了具有可传播性、可执行性、隐蔽性、破坏性等计算机病毒的共性外,还具有一些新的特点:
网络安全整体解决方案
感染速度快。在单机环境下,病毒只能通过软盘或其他存储介质从一台计算机带到另一台, 而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,针对一台典型的PC网络在正常使用情况下,只要有一台工作站有病毒,就可在几分钟内将网上的数百台计算机全部感染。
扩散面广。病毒在网络中扩散速度快,扩散范围大,不但能迅速传染局域网内所有计算机, 还能通过远程工作站将病毒在一瞬间传播到千里之外。
传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站--服务器--工作站”的途径进行传播的,但传播的形式复杂多样。
难于彻底清除。各个工作站之间病毒具有相互保护性,一台工作站刚清除病毒,另一台染毒工作站可能马上再次感染它。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此,仅对局部工作站进行病毒杀除,并不能解决病毒对全网络的危害。
破坏性大。网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则导致网络崩溃,服务器信息被破坏,使多年工作毁于一旦。
激发性:网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名, 也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上激发并发出攻击。
潜在性:网络一旦感染了病毒,即使病毒已被清除,其潜在的危险也