防火墙产品解决方案模板

防火墙产品解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 模板 ****** 网络安全解决方案 2013年4月 目录 第一章 1 2 3 第二章 第三章 1 网络安全现 状 ............................................................................................................... 3 概 述 ................................................................................................................................... 3 新一代的混合型攻击的挑 战 ........................................................................................... 4 ZXSEC US产品优 势 ....................................................................................................... 9 ******需求分 析 ........................................................................................................... 13 网络安全 解决方案 ..................................................................................................... 14 网络构 架 ......................................................................................................................... 14 1.1 路由(NAT)模式 ............................................................................................. 14 1.2 透明(桥)模式 ................................................................................................. 17 1.3 混合模式 ............................................................................................................. 19 2 安全功 能 ......................................................................................................................... 20 2.1 防火墙 ................................................................................................................. 21 2.2 防病毒 ................................................................................................................. 26 2.3 IPS(入侵防御) .............................................................................................. 32 2.4 VPN(虚拟专用网) ......................................................................................... 36 2.5 Web内容过滤 .................................................................................................... 40 2.6 反垃圾邮件 ......................................................................................................... 43 3 安全管 理 ......................................................................................................................... 45 3.1 图形管理 ............................................................................................................. 45 3.2 命令行管理 ......................................................................................................... 47 3.3 日志处理 ............................................................................................................. 47 3.4 集中管理 ............................................................................................................. 48 3.5 高可用性 ............................................................................................................. 49 3.6 安全服务 ............................................................................................................. 49 第四章 附 件 ............................................................................................................................. 51 1 方案优 势 ......................................................................................................................... 51 ------------------------------------------------------------------------------------------------------------------------------------------ 2 第一章 网络安全现状 1 概述 近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检 测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的 学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得 越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着 病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得 司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传 播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由 此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用 之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种 被称之为―零小时‖(zero-hour)或―零日‖(zero-day)的新的未知的威胁。为了 对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关 防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统 (IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经 济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过 传统的安全设备，而社会工程(social engineering)陷阱也成为新型攻击的一大 重点。 图:系统漏洞被黑客利用的速度越来越快 ----------------------------------------------------------------------------------------------------- ------------------------------------- 3 带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML、SMTP等)，并伪装为合法应用，因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。 2 新一代的混合型攻击的挑战 混合型攻击通过多种感染和攻击方法来利用操作系统和应用程序中发现的漏洞，如Windows XP、IE和MS SQL Server等。为了使自身更难被发现和阻挡， 如病毒、蠕虫、木马和后门攻击等，这些攻混合型攻击使用多种技术的混合—— 击往往通过Email和被感染的网站发出。随着每一次成功的攻击，知识很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击更难被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 现在针对新漏洞的攻击产生速度比以前要快得多。在最新一代攻击中使用的社会工程陷阱的数量也明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。网络欺诈攻击往往声称自己为某个合法组织，诱骗成千上万的无辜受害者给出他们的财务和私人信息。广告软件、恶意Web站点、Web重定向和其它形式的间谍软件在用户不知情的情况下秘密的向他们的机器上安装跟踪软件、键盘记录工具、文件清除工具和其它恶意软件。通过邮件传播攻击是当前最流行的方法之一。病毒被设计为利用Email客户端软件的地址簿进行广泛传播已经成为新型攻击的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 手段。 图:CSO的Security Sensor VIII研究报告表明: 将近60%的被调查者在2004年4季度遭受过间谍软件的攻击。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 4 这些被调查的组织经历过的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ————————————————————————— 系统宕机 92% 法律曝光 11% 10% 财政损失 8% 员工记录受损 6% 保密记录受损 6% 客户记录受损 6% 知识产权遭窃 5% 股东利益损失 2% 图:CSO的SecuritySensor VIII间谍软件抽样结果(2004/12) 随着攻击和威胁的级别和强度的增加，IT专业人员必须掌握新的安全威胁，并 添置新的探测和安全设备或重新设计网络架构，以减少系统漏洞。多年来，企业 一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件 解决方案来保证企业用户和资源的安全。但是情况在迅速改变，那些传统的单点 防御安全设备作用越来越小，已经不再胜任。为了检测出最新的攻击，安全设备 必须提供多种安全功能。 图:SANS.ORG使用平均―存活时间‖来跟踪攻击之间的间隔 (平均每隔18分钟就会有一次攻击被报告)。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 5 传统的防火墙、IDS、防病毒系统等安全产品在防范新型攻击时已经力不从心。 传统的防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之 间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会 话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络 层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转 发网络流量。 传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方 法包括: 利用端口扫描器的探测可以发现防火墙开放的端口。 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等 IM(即 时通信)工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端 口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther 等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检 测防火墙简直防不胜防。 SoftEther可以很轻易的穿越传统防火墙 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发 起方来 自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权 ------------------------------------------------------------------------------------------------------- ----------------------------------- 6 访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕 虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新 的深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被 感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。 图:被通过知名端口(80端口)攻击的网站数 传统的入侵检测系统(IDS) 正如传统防火墙一样，传统的IDS为了对付越来越复杂的新型攻击也发展了一些新的技术。攻击者发现了IDS的弱点，并采用了新方法来绕过这些监视系统。IDS的弱点包括: 通常放置在关键位置如网络边界和重要节点上。它们不能监视到整个网络。 设备能够检查每一个流过的数据包，但它并不是在线式(‖in-line‖)设备，所 以不能实时的主动阻断攻击。它们仅仅是监视设备，在发现恶意流量时进行报 警。这就使快速传播的攻击得以成功。 会被分段和打乱顺序传送的数据包所蒙蔽。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 7 对多个千兆端口的流量进行镜像或重定向很容易使IDS的性能透支，从而 导致丢 包而漏报。 会产生大量的误报，需要连续的监视和对规则的细致调整使之变得更加有效， 这就导致很高的维护成本。许多IT人员并没有足够的时间来查看IDS的日志，从 而使可疑的流量未被发现而通过。 即使IDS与防火墙进行联动，对于网络蠕虫病毒等快速传播的威胁的响应速度仍 然是很慢的。 为了克服IDS的弱点，一些安全厂商将它们被动的IDS技术转变为主动的IPS(入侵防御系统)。IPS是在线式(‖in-line‖)设备，能够主动的丢弃或重置可疑 ICMP攻击等的协议异常攻击。 和危险的攻击流量以及诸如SYN Flood、 基于主机的防病毒软件 基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点，包括: 需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。 很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的 病毒库，这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加 载以前就将它们关闭 – 这就导致即使有了最新的病毒特征码，事实上它们还是不 能被检测出来。 企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击 ------------------------------------------------------------------------------------------------------- ----------------------------------- 8 方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。 3 ZXSEC US产品优势 专业人士已经意识到传统的、曾红极一时的安全工具现在面对新一代攻击例如混合式攻击、社会工程陷阱和协议受控技术时已不再有效。现今为了成功的保护企业网络，安全防御必须部署在网络的各个层面，并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台，以提供在线(‖in-line‖)检测和防御。 增加统一威胁管理(Unified Threat Management，简称UTM)，结合多项安全技 术，提供更好的管理、攻击关联和降低维护成本。 增加对关键资源的监视。 研究有效的安全策略并培训用户。 解决方案对于每一个公司肯定是不同的，而IT专业人员必须充分分析和理解他们的安全需求，确定究竟什么是他们试图保护的。一个完整有效的安全方案不仅包括最新的安全技术，而且要考虑到公司的预算、社会和文化层面的因素。 关键资源的安全分域管理 随着移动设备的普及，攻击和威胁能够同时从外网和内网发起攻击。不管如何试图保持移动用户的安全，当他们外出离开公司网络总是会遇到更大的风险。移动用户承受更大安全风险的原因如下: 移动设备无法受到与公司网络相同的安全技术的保护。 大多数公司仅仅使用基于主机的防病毒软件来保护移动设备，单机防火墙和IDS 在移动设备上安装的比例很低。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 9 保持基于主机的安全应用不断升级、与公司安全策略同步是很难做到的。 用户会有意无意的关闭或修改基于主机的安全系统。 员工将与其它网络连接来开展业务，而这些外来网络的安全级别完全未知。 员工可能会让公司以外的人使用他们的移动设备。 移动用户往往对他们的设备具有管理员权限，这就意味着他们可以安装各种未经 批准的软件。这些软件常常属于免费软件，可以从Internet上自由下载，很可能 带有木马或者间谍软件。 移动设备包含有公司信息，但可能没有备份，增加了丢失公司有价值财产的风险。 移动设备被盗的概率也要高出许多。 当移动设备离开办公室时，它们更容易感染病毒、木马和蠕虫。当移动用户回来连接到公司网络时，驻留在移动设备里的感染和攻击就会扩散至公司网络，感染其它曾被公司安全防御正常保护的系统。为了防止这种情况的发生，IT专业人员必须重新设计它们的网络，围绕关键部门、服务器群和关键应用系统提供更加安全的区域。建立安全资源的―孤岛‖对于规范访问权限和抑制威胁爆发是有效的手段。安全分区的常用工具包括访问控制列表(ACLs)、防火墙和认证技术。 图:CSO的Security- Sensor VIII对于攻击来源的报告， 64%的安全威胁来自于企业内部可信任用户或合作伙伴。 增加基于网络的安全 基于网络的ZXSEC US产品能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。基于网络的ZXSEC US产品在线(‖in-line‖)部署，阻挡攻 ------------------------------------------------------------------------------------------------------- ----------------------------------- 10 击的能力要比传统的依靠镜像流量的―旁路式‖安全设备强得多。基于网络的ZXSEC US产品包括防火墙、VPN、入侵防御系统(IPS)、防病毒网关、反垃圾邮件网关、Web过滤等功能。ZXSEC US产品是将多种安全特性相结合的统一安全平台。除了实时阻挡攻击之外，基于网络的安全还包括以下优点: 减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机 更新。 升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行—— 不像操作系统和应用程序打补丁那样需要重启系统。 保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、 操作系统补丁和应用程序补丁升级的急迫性，使IT专业人员在发生问题之前有较 充分的时间来测试补丁。 保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。 在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。 不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。 可与已有的安全技术共存并互补。 ZXSEC US产品的其它优点包括: 通过为多种安全功能提供一个统一的管理平台，降低了设备的复杂性，加 快了安装速度。 与购买和使用多个单一功能的单点安全系统相比，降低了总体拥有成本 (TCO)。 下表描述了IDC对于未来几年具备多种安全功能的UTM设备(包括ZXSEC US产品)和单一功能安全设备发展预测的对比。 IDC全球安全设备市场预测，2003-2008(百万美元) ----------------------------------------------------------------------------------------------------- ------------------------------------- 11 来源:IDC, 2004 表:IDC的UTM增长预测 随着网络安全对于消费者和商家都同样变得越来越重要，IDC预测，UTM设备的销量将在未来几年内超过传统防火墙/VPN安全设备。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 12 第二章 ******需求分析 根据实际情况书写，并附上网络拓扑图，此处略。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 13 第三章 中兴通讯网络安全解决方案 根据对网络安全现状及用户需求的分析，我们推荐中兴通讯的网络安全解决方案。 中兴通讯的ZXSEC US安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。中兴通讯的ZXSEC US提供以下功能和好处: 集成关键安全组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 和IPS预置3500个以上的攻击特征，并提供用户定制特征的机制。 (目前支持PPTP、L2TP、IPSec、SSL VPN)。 反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单 (RBL) 等。 内容过滤具有用户可定义的过滤器和全自动的USService过滤服务。 带宽管理防止带宽滥用。 用户认证，防止非授权的网络访问。 动态威胁防御提供先进的威胁关联技术。 加速提供比基于PC工控机的安全方案高出4-6倍的性能。 加固的操作系统，不含第三方组件，保证了物理上的安全。 完整的系列支持服务，包括日志和报告生成器、客户端安全组件。 1 网络构架 ZXSEC US系列安全网关支持路由(NAT)模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境。 1.1 路由(NAT)模式 如果需要用ZXSEC US连接不同IP地址段，则将ZXSEC US置于路由工作模式。 ------------------------------------------------------------------------------------------------------- ----------------------------------- 14 如上图所示，内网使用的是192.168.1.0/24网段，而外网使用的是211.1.1.X网段来连接Internet。此时由于内外网络不在同一IP地址段，因此需将ZXSEC US设置为路由模式。此时ZXSEC US工作在第三层，相当于一台路由器，连接不同的IP地址段。使192.168.1.X和211.1.1.X之间可以互访。 在路由(NAT)模式下，ZXSEC US的每一个接口都有一个IP地址，分别对应不同的网段。 每个接口都支持不同的地址模式，既可以是静态IP，也可以通过DHCP服务器获得动态IP，还能通过PPPOE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入方式。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 15 ZXSEC US在路由模式下支持各种路由方法，包括静态路由、动态路由(可以直接参与到RIP、OSPF、BGP路由运算中，而非仅仅让动态路由协议穿越)、策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关)，可以满足多种网络环境的要求。 ZXSEC US还可以很好的支持双网关的网络环境。如下图所示，内网使用ISP1、ISP2两条链路接入Internet。使用ZXSEC US可以实现两条链路的冗余。通常情况下对Internet的访问请求都通过带宽较高的ISP1链路进行，当ISP1链路出现故障中断时，ZXSEC US会自动将所有的访问请求切换到ISP2链路，保证网络的不间断运行。 在路由(NAT)模式下，ZXSEC US可以实现双向NAT(网络地址转换)和PAT(端 ------------------------------------------------------------------------------------------------------- ----------------------------------- 16 口转换)，包括1:N、N:1、N:N的转换。NAT和PAT可以很好的起到隐藏内网结构，节约IP地址资源的作用。 如下图所示，内网使用的是192.168.1.0/24网段的私有IP地址，无法直接在Internet上通信。通过ZXSEC US的NAT/PAT功能，可以将内网所有私有IP地址转换为ZXSEC US外口的211.1.1.6这个公网IP地址或其它地址池，实现共享上网的目的;还可以通过静态地址映射或端口转发的方式，将ZXSEC US外口的公网IP地址或其他公网IP地址映射到内网的服务器上(如192.168.1.100的Web服务器)，实现私有IP地址的服务器对外发布服务的功能。 1.2 透明(桥)模式 如果ZXSEC US内、外网使用相同网段的IP地址，便无需ZXSEC US担负路由的工作。此时可以将ZXSEC US置于透明模式，ZXSEC US工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。如下图所示: ----------------------------------------------------------------------------------------------------- ------------------------------------- 17 内网已经可以通过路由器的路由和NAT功能连入Internet，内网所有计算机的默认网关均指向路由器的内口192.168.1.1，此时只需加入安全网关设备实现安全功能。为了尽可能的简化配置且不更改现有的网络环境，一般情况下都推荐使用ZXSEC US的透明模式。此时ZXSEC US不像路由模式下需要给每个接口配置一个单独的IP地址，只需直接插入到网络链路中即可。内外网用户并不能感觉到这台安全设备的存在，将ZXSEC US从网络中撤出也不会影响出口的连通性。ZXSEC US存在与否均不会改变网络逻辑结构和可用性，因此称之为透明模式。 在透明模式下，需要给ZXSEC US配置一个管理IP地址，用于管理。 路由模式和透明模式的切换非常的简单，在ZXSEC US的Web图形管理界面下便可实现。 VLAN支持: 无论在透明模式还是路由(NAT)模式下，ZXSEC US都支持802.1Q VLAN环境，对于交换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持;ZXSEC ------------------------------------------------------------------------------------------------------- ----------------------------------- 18 US在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。 虚拟域: 利用VLAN技术实现的虚拟域可以在一台ZXSEC US设备中实现多台逻辑设备，每一个虚拟域拥有独立的接口IP、路由、策略、用户等参数，便于下连多个网段或单位/部门的时候使用。 1.3 混合模式 利用ZXSEC US的虚拟域技术可以很方便的实现路由/透明的混合模式。如下图所示，内网和DMZ区使用同一网段的IP地址，内网使用192.168.1.1-192.168.1.200，DMZ区使用192.168.1.201-192.168.1.250;外网使用 202.1.1.1)。此时单纯的透明模式或者路由(NAT)模式都另一网段的IP地址( 无法满足网络的要求。使用ZXSEC US的虚拟域技术可以实现外网与DMZ/内网之间使用路由(NAT)模式，而内网与DMZ之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 19 2 安全功能 传统防火墙基于状态检测的包过滤技术，只能在网络层针对IP地址、端口等进行简单的过滤，这并非网络安全建设的终极目标，不能满足当前网络安全的要求，黑客一旦伪装成合法IP进行攻击，防火墙将不会阻挡。且当前传播速度最快、危害最严重的并非网络层的攻击，而是应用层的病毒、入侵、垃圾邮件、不良内容等，而传统的网络层防火墙对这些应用层的攻击行为没有防范能力，对于网络的保护作用是极为有限的。信息安全真正需要的是网络层和应用层全面的安全防御体系。ZXSEC US宙斯盾防火墙是一个集防火墙、防病毒、入侵检测/阻断、VPN(虚拟专用网)和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关，利用中兴通讯公司行为加速和内容分析系统技术，包括内容处理器和安全操作系统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。 依靠基于包检测的安全解决方案对于使用分段技术的新型安全威胁是无能为力的。它们使用一些巧妙的手段能绕过传统的防火墙、IDS和防病毒系统。中兴 通讯先进的完全内容检测(CCI)技术能够扫描和检测整个OSI堆栈模型中最新的安全威胁。与其它单纯检查包头或―深度包检测‖的安全技术不同，中兴通讯的CCI技术重组文件和会话信息，以提供强大的扫描和检测能力。 只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟，中兴通讯使用硬件芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。 ------------------------------------------------------------------------------------------------------- ----------------------------------- 20 中兴通讯采用硬件加速芯片，提供比基于PC工控机的安全设备高4-6倍的性能。通过很巧妙的设计，总能帮助用户在威胁到达之前完成更新，而不会停留在过期的阶段。正如图形加速卡能加速复杂图形的显示一样，专用硬件芯片能对病毒和攻击检测进行特征和模板匹配进行加速。 中兴通讯的完全内容检测和重组技术与硬件加速检测引擎一起，提供了当今最先进的ASIC加速安全产品。 在设备自身安全性方面，ZXSEC US宙斯盾防火墙基于状态检测的技术可以有力的防止外部黑客对内网的攻击，且基于ASIC芯片技术可以提供非常高的网络性能，专用的安全操作系统杜绝了所有通用操作系统的安全隐患，因此ZXSEC US宙斯盾防火墙的安全性、稳定性和效率都远远高于其它CPU+Linux构架、软硬一体化的工控机式防火墙。 通过在ZXSEC US宙斯盾防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置，便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。 2.1 防火墙 ZXSEC US的防火墙功能基于状态检测包过滤技术，可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层(网络层)和第四层(传输层)及第七层(应用层)进行数据过滤。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 21 如上图所示，防火墙功能可以对访问的源和目标的IP地址进行过滤，例如可以允许或拒绝内网的部分IP地址访问外网，也可以允许或拒绝外网的部分IP地址访问内网。IP地址对象可以是单个IP(如202.1.1.1)，也可以是IP地址段(如192.168.1.0/255.255.255.0)，还可以是IP地址范围(如172.16.1.100-172.16.2.200)。 /段，还可以将它们加入到一个地址组中，在对拥有同一访问权限的不同IP地址 防火墙策略中统一调用。 ZXSEC US预置了常用网络服务的端口信息，如HTTP使用的TCP80端口、FTP使用的TCP21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务和端口加入组，在策略中统一调用。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 22 除了传统防火墙都具备的根据IP地址、端口进行过滤的功能，ZXSEC US也可以针对不同的时间段制定不同的安全策略。例如工作时间(如周一至周五每天9:00-18:00)不允许内网用户使用QQ、MSN等工具聊天，而其它时间则允许使用，便可通过ZXSEC US基于时间的策略自动实现。 ZXSEC US还可以实现方便的用户身份认证，在用户试图访问网络资源时自动弹出认证对话框，输入正确的用户名和密码才能继续访问，没有相关用户权限的访问将被ZXSEC US阻止。ZXSEC US也可以为不同用户赋予不同级别的访问权限，如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作，其他用户只能通过Web方式访问管理员发布出来的信息。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 23 ZXSEC US支持多种用户身份认证方式，既可以在ZXSEC US建立本地用户帐号，也可以直接调用其它用户认证服务器上的用户信息，实现全网统一身份验证策略。ZXSEC US支持Radius、LDAP、SecurID、Windows域等多种用户身份认证。对于具有同样权限的用户，可以将他们加入用户组中，在策略里统一调用。 通过对IP地址、端口、用户、时间等参数的灵活组合，便可制定出各种适合实际网络安全需求的防火墙策略来，使得用户的安全策略可以得到切实的执行。 ZXSEC US的防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。 ------------------------------------------------------------------------------------------------------- ----------------------------------- 24 所有的会话都会维持在ZXSEC US的会话表中，还可以供管理员分析和排错使用。 ZXSEC US宙斯盾防火墙能够对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，并通过DSCP值对流量进行控制，使网络效率达到最优化。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 25 2.2 防病毒 计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展，网络速度越来越快， ------------------------------------------------------------------------------------------------------- ----------------------------------- 26 网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计，目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发E-mail，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击(DoS)。 因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起特别重视。 ICSA统计数据:90%以上是通过Internet传播的 ----------------------------------------------------------------------------------------------------- ------------------------------------- 27 ICSA统计数据:Internet防病毒网关需求正逐年增加 不同于市场上其他基于软件处理的防病毒网关，ZXSEC US是使用ICSA芯片加速的硬件防病毒网关，可以提供高于同类产品4-6倍的防病毒性能，对于Web浏览这样的实时应用的性能影响也微乎其微。ZXSEC US采用基于特征的病毒扫 描技术，正确率达到99.5%以上。ZXSEC US的病毒库100%覆盖业界权威的WildList病毒库，确保网络的安全性。病毒特征库可以通过Internet每日自动在线更新，确保用户处的ZXSEC US设备在第一时间获得过滤最新病毒的能力。另外，ZXSEC US还可以针对病毒的行为特征进行启发式扫描，对未知病毒也具备一定的防御能力。 ZXSEC US的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，ZXSEC US都可以对电子邮 ------------------------------------------------------------------------------------------------------- ----------------------------------- 28 件中的病毒进行过滤，防止病毒通过邮件传播。ZXSEC US还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口)，ZXSEC US同样可以对其中的病毒进行过滤。 对于一段内容，如果既包含正常部分，又含有病毒代码，则ZXSEC US会将病毒代码过滤掉，正常部分仍然会继续传输，这样便可有效防止信息的丢失。例如，一封附件染毒的Email被发往内网某用户处，经过ZXSEC US扫描后，带有病毒的附件会被拦截，而―干净‖的正文仍然会正确的发送到收件人的邮箱里，不会因为病毒扫描导致信件的丢失。 ------------------------------------------------------------------------------------------------------- ----------------------------------- 29 这封邮件中还会自动插入提醒信息，通知收件人由于附件带毒，所以被ZXSEC US删除。提示信息可以由管理员自己来设置。 除了可以过滤已知特征病毒之外，ZXSEC US还可以对管理员指定的文件名类型进行过滤。例如，通过过滤*.mp3文件可以有效阻止内网用户上网下载mp3歌曲;过滤avserver.exe文件也可以对震荡波(Sasser)病毒进行阻挡。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 30 管理员还可以使用ZXSEC US对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽，便可在ZXSEC US上设置，超过50M大小的文件一律阻止。 对于染毒文件，除了直接丢弃之外，还可以采取隔离的方法。ZXSEC US可选的硬盘便可用来存放被隔离的染毒文件。如果染毒文件中有极为重要的文档必须使用的话，可以从隔离区中下载。 Grayware(灰色软件)是针对具有扰人的行为模式、令人排斥或一般人难以察觉的应用程序的通称。灰色软件通常在用户浏览网页、下载文件、收取Email时偷偷潜入计算机，用户很难察觉。灰色软件通常都对计算机产生各种不良作用和安全威胁，它包括间谍软件(扫描计算机内的信息，泄漏用户机密)、键盘记录软件(产生用户敲击键盘的记录，可能窃取 ------------------------------------------------------------------------------------------------------- ----------------------------------- 31 用户的各种帐号密码等信息)、拨号软件(自动拨打国际长途或者信息服务号码，产生高额话费)、广告软件(随时弹出各种广告内容，影响用户对计算机的正常使用)等。ZXSEC US的防病毒功能同样可以检测并阻挡各种Grayware(灰色软件)，进一步提高网络的安全性。Grayware检测库同样可以不断在线更新。 2.3 IPS(入侵防御) 传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。 特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征(字符串等)来进行判断。例如前面提过的SoftEther的通信数据中都会包括―SoftEther Protocol‖ 字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。(因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。)而使用IPS的特征匹配方法，通过查找―SoftEther Protocol‖字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。 而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析， ------------------------------------------------------------------------------------------------------- ----------------------------------- 32 认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻ZXSEC US检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS(拒绝服务)攻击。 ZXSEC US内置的IPS同时使用特征和异常分析两种检测方法，能够检测2500种以上攻击和入侵行为，包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击。ZXSEC US的IPS是在线式的，部署方式如下图所示，直接部署在可信任 网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS(入侵检测系统)对绝大多数的攻击行为只能记录日志，而不能进行阻断。 如下图所示，所有基于特征检测的攻击都是按照应用分类排序的，可以很容易的选择策略的开启。例如需要保护的网段中有MS SQL Server，则将sql类别开启;网段中没有邮件服务，则可以将smtp、pop3等类别关闭。每一类别甚至每一种攻击行为都可以独立的选择开启或关闭，可以定制非常灵活的策略。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 33 对于当前流行的P2P应用(BT、电驴、Skype等)和IM应用(QQ、MSN等)，传统防火墙无法使用通过屏蔽IP或端口的方法阻断，而ZXSEC US的IPS功能可以很好的识别它们的应用层特征并进行阻断和限速。 ZXSEC US的IPS特征库可以自动通过Internet更新，确保用户在第一时间实现对最新攻击方式的防御。 除了系统自带的入侵特征，ZXSEC US也支持用户自定义特征。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 34 支持蠕虫攻击、木马攻击、间谍软件检测和阻断;网络病毒攻击检测;钓鱼诱骗检测和防护; 支持VoIP系统保护 (SIP、H.323协议异常、特定DoS攻击等); 支持抵御零时差攻击 ，并提供最近三个月对零时差攻击预警和攻击特征库更新的报告; 支持漏洞/弱点防护技术。 ZXSEC US内置的IPS还可以对SYN flood、ICMP flood、Tear Drop等DoS/DDoS攻击进行防御。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 35 对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率。ZXSEC US的IPS功能还能对网络当中的异常流量进行处理，例如对特定源或目的的会话进行限制。 对于所有的攻击、入侵或可以网络行为都可以选择多种方法直接阻断，而不仅仅是简单的记录日志。 2.4 VPN(虚拟专用网) Internet应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器(如 ------------------------------------------------------------------------------------------------------- ----------------------------------- 36 Sniffer、NIDS等)中途窃取信息，造成泄密;黑客也可以伪装成内部用户登录到内网中进行破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过Internet进行的远程访问进行严格的认证和加密，使Internet上的VPN成为经过加密和认证的安全链路，保证各节点之间远程访问的安全。 采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性，同时使用鉴别对通过Internet进行的数据传输进行确认。可以看出，这是一种广义的访问控制，即通过加密实现的访问控制(只有具有某种权力和知道密码的主体才能访问相应的客体)。 单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的访问控制功能(状态包过滤、网络内容过滤、防DoS攻击等)。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁;提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。ZXSEC US便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。 ZXSEC US 的VPN功能支持PPTP、L2TP、IPSec和SSL等VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件， 也可以使用IPSec客户端软件和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。 由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。 内容处理器以独特的设计方式， 解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设------------------------------------------------------------------------------------------------------- ----------------------------------- 37 备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。 总部与分公司之间的VPN通信 企业Intranet网络建设的VPN连接方案， 利用IPSec安全协议的VPN和加密 能力，实现两个或多个企业之间跨越Internet的企业内部网络连接，实现了安全的企业内部的数据通信。通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。 移动办公的VPN通信 对于移动的办公室、出差用户、及采用ADSL上网的分支办公室， 网关都提供了完善的解决方案。特别支持PPTP/L2TP/IPSec/SSL多种协议体系，对于用户来讲，配置和使用都非常方便。 下属单位动态地址方式、移动办公用户、出差用户和总部的VPN连接解决方案，如下图示: ----------------------------------------------------------------------------------------------------- ------------------------------------- 38 ，实现简单灵活的安 客户端既可以使用Windows自带的PPTP/L2TP拨号VPN 全访问;也可以使用客户端软件进行高强度的IPSec通信，AES加密算法可以实现256位加密强度，极大的提高访问的安全性。客户端软件还内置了单机防病毒、个人防火墙以及Windows注册表监控功能，可以为移动办公的计算机提供全方位的保护，防止黑客、病毒入侵该计算机使之成为整个网络的突破口。 另外，ZXSEC US还支持SSL VPN，客户端可以直接使用IE浏览器登录ZXSEC US VPN网关，提供更加方便的VPN通信方式。 NAT环境下的VPN应用 一项简单易用的 NAT Traversal 技术，称为VPN下的NAT穿越。应用方式是在NAT情况下， 保证远程VPN管理数据的正常应用。 当前在国内IP地址紧张的情况下,很多的分支企业都是通过服务商提供的私有网络地址连接公网的，在服务商的网络出口处统一进行地址转换。这种情况下，当企业总部需要对分支企业或分部进行统一的远程 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 时，VPN无法正常建立， PPTP、IPSec协议协商不能成功建立。 如果VPN产品能够支持NAT Traversal技术，则可以忽略服务商的NAT过程，保证企业远程管理VPN的正常应用。 ------------------------------------------------------------------------------------------------------- ----------------------------------- 39 在VPN设计中，网关可以支持双向的NAT处理，使远程办公室的主机以本地IP地址的方式出现，增强了网络兼容性。VPN的策略控制设计，使管理员可以灵活控制使用VPN通道的IP地址、服务、时间等参数，增强了VPN安全控制。 利用 NAT Traversal技术，在两个网关设备建立VPN的时候，中间任何的NAT转换的发生都不会影响VPN的建立，完全解决了NAT情况下的VPN连接问题，对VPN设备的应用具有深远的影响。同时各企业分部可以统一在总部进行通道的交换，利用Hub-and-Spoke技术实现星型VPN的设计结构，这样及大减少了VPN通道的数量，降低了管理成本。 ZXSEC US支持DDNS(动态域名解析)，对于VPN隧道两端都是动态IP地址的情况，也可以通过域名的方式互访，很好的满足这种网络环境。 2.5 Web内容过滤 ZXSEC US内置Web内容过滤功能，可以通过3种方式过滤Internet上的非法、有害的Web内容。 1) URL地址:只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。例 如:可以通过ZXSEC US阻挡www.sex.com这一网站。URL过滤也支持地址模版，可以使用通配符批量过滤URL域名地址。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 40 2) 不良关键字:所有包含用户自定义不良关键字(如―法轮功‖)的网页将被屏蔽。 3) 网页分类:可将上千万个网页分成了几十个类别(如政治、经济、色情、暴力等)， 用户只需要在ZXSEC US上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 41 中兴通讯公司的安全团队每日通过人工和自动程序的方式来检索新内容并对Web分类库进行更新，加入新的条目，删除已关闭的网站，调整网页的分类等。用户使用的ZXSEC US会自动访问服务器来更新这些内容，确保分类过滤的准确性。 对于可以信任的网站，如政府官方网站、大型门户网站等，可以加入ZXSEC US内容过滤的白名单。ZXSEC US在进行内容过滤时会对白名单里的URL地址直接放行。例如，虽然在关键字过滤中过滤了―法轮功‖这个词，但是白名单里的网站中(如新华网www.xinhuanet.com)含有―法轮功‖关键字的网页仍然可以被访问，用户能够访问到官方网站发布的揭批法轮功的文章。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 42 ZXSEC US还具有有害脚本的过滤功能，能保护网络不受有害脚本(如Java、ActiveX等)的侵袭。 2.6 反垃圾邮件 ZXSEC US还内置了强大的反垃圾邮件功能，可以通过如下几种方法来过滤垃圾邮件: 1)IP地址:屏蔽某一IP地址的服务器发过来的所有Email。例如:已知IP地址219.238.204.100是专门发垃圾邮件的服务器，便可在ZXSEC US的垃圾邮件IP黑名单中加入该IP地址，使得今后所有来自该服务器的邮件全被都被拒收。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 43 2)Email地址:根据邮件地址屏蔽垃圾邮件。既可以拒收来自单一用户(如spamsender@email.com)的邮件，也可以拒收整个域(如@spamsender.com)的邮件。 3)MIME头信息:根据邮件MIME头中的特征来进行过滤。如Return-Path、Content-Type等。 4)禁忌词汇:拒收包含某一关键字(如―法轮功‖)的邮件。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 44 5)实时黑名单(DNSBL/ORDBL):按照IP来屏蔽垃圾邮件的方法，需要管理员掌握IP黑名单。但是作为企业的管理员来说，很难获得所有发送垃圾邮件的服务器的IP地址列表。互联网上有很多第三方机构维护了垃圾邮件IP实时黑名单，只需将ZXSEC US指向这些DNSBL/ORDBL服务器，便可获得大量的垃圾邮件IP黑名单列表并实时更新，大幅度提高垃圾邮件的过滤能力。 6)反垃圾邮件:使用―双重过滤‖技术，使用基于连接和基于内容两种方法过滤垃圾邮件。 第一重——实时黑名单:利用垃圾邮件探测器来引诱垃圾邮件。这些信息持续更新以确保正确的垃圾邮件发送者名单，提高垃圾邮件检测率。垃圾邮件服务器IP列表动态实时更新。 第二重——URI过滤:除了垃圾邮件发送者IP地址匹配，对检测功能还进行 了扩展，使用了统一资源标识(URI)扫描。URI扫描深入检查每一封邮件中是否具有已知垃圾邮件内容(如垃圾邮件URL链接)。随着垃圾邮件发送者越来越狡猾，并使用被感染的PC来传播垃圾邮件，只使用IP地址来进行鉴别的RBL服务的作用将越来越小。 3 安全管理 有了好的安全产品和技术，还需要专业的管理和服务才能使之发挥最好的效果。 3.1 图形管理 ZXSEC US基于Web图形化管理界面。只需要IE浏览器中输入ZXSEC US设备的IP地址即可进行管理。出于安全考虑，ZXSEC US也提供基于SSL加密的HTTPS管理方式，对Web管理的所有信息都进行了加密。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 45 所有功能的排列非常的清晰直观，管理十分方便。还提供了配置向导简化用户的设置工作。 首页上显示防火墙的工作状态(CPU、内存等的占用率，OS、病毒库、攻击库的升级状态等)及最近发生的事件(攻击、病毒等)，管理员可以很直观的监控ZXSEC US的状况。 ZXSEC US支持多用户管理，并可给不同的管理员分配不同的权限。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 46 3.2 命令行管理 ZXSEC US也支持命令行方式的管理，可以通过串口、Telnet等方式登录命令行管理界面。基于安全考虑，也提供SSH加密的命令行管理，所有管理信息都以密文传输。 3.3 日志处理 ZXSEC US拥有强大的日志功能，可以对管理事件、病毒、攻击、Web过滤、反垃圾邮件、流量等进行全面的记录。 所有的病毒、攻击等行为都会记录在日志当中，包括时间、攻击源、攻击目的、攻击方式等，并给出了参考网址，可以直接访问中兴通讯相应网站寻求最佳解决方案。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 47 ZXSEC US的日志可以记录在内存中，也可以记录在硬盘上(ZXSEC US 200以上型号均有可选择的硬盘。)，还可以使用标准的Syslog协议，通过网络实时输出到专门的日志服务器上。 3.4 集中管理 ZXSEC US支持远程管理和集中管理。由于是基于Web方式的管理，管理员只需要任 ------------------------------------------------------------------------------------------------------- ----------------------------------- 48 何一台带有IE浏览器的计算机，可以访问到ZXSEC US的IP地址，并且拥有相应的访问权限，便可随时对广域网中的任意一台ZXSEC US进行管理和监控。还可以选择通过USM集中管理系统对多台ZXSEC US 安全网关进行集中统一的管理，包括统一分发策略，收集日志等。USM支持分级管理，可以将ZXSEC US划入不同的安全域进行管理。USM与ZXSEC US之间的管理信息同样是加密传输的，没有泄密风险。 3.5 高可用性 ZXSEC US支持完善的HA(高可用性)模式，包括A-P(热备式)HA和A-A(负载均衡式)HA，并且最高可以支持32台ZXSEC US的HA集群，对网络的高可用性提供了最高级别的保证。使用热备式HA时，ZXSEC US可以在3秒钟之内完成主从设备的切换，且会话状态可以保持;使用负载均衡式HA时，多台ZXSEC US同时工作，分担流量，可以大幅度提高网络过滤的性能。 ZXSEC US在透明模式和路由(NAT)模式下均支持HA，HA心跳口可以和其他通信口共用，也支持HA口的冗余。当主HA口失败时，备份HA口还可以继续传输心跳信息。 3.6 安全服务 信息安全是一个动态的过程，每天在世界各地都会产生新的病毒和攻击方式，不良Web内容和垃圾邮件的地址和内容也在不断变换当中，静态的安全防护很难适应瞬息万变的安全 ------------------------------------------------------------------------------------------------------- ----------------------------------- 49 需求。 中兴通讯的USService安全更新服务为用户提供新的安全技术和特征的动态更新，由防病毒、入侵防御、Web内容过滤、反垃圾邮件四个部分组成，分别包括: 1)病毒特征库和病毒扫描引擎 2)入侵特征库和入侵防御引擎 3)Web内容分类数据库 4)垃圾邮件IP黑名单库和URI内容库 中兴通讯的更新网络具备5分钟内更新所有市场上ZXSEC US设备的能力。用户的ZXSEC US会自动连接到最近的一台更新服务器来完成上述的更新工作。 管理员只需定制一个 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 任务，ZXSEC US便会每日自动进行更新尝试，完全无需手工操作。还可以使用―推送式更新方式‖，当更新服务器有新的内容之后，会在第一时间推送给用户的ZXSEC US设备，使安全响应的时间更短。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 50 第四章 附件 1 方案优势 中兴通讯的统一安全解决方案提供更全面的安全性。ZXSEC US产品集防火墙、 防病毒、入侵防御、VPN、Web内容过滤、反垃圾邮件等多项安全功能于一身， 能够从网络层到应用层进行全方位的安全保护。 XSEC US基于ASIC芯片的安全加速能极大的提高整个安全系统的性能，真正 实现实时内容保护。 产品内置六大安全功能，均无需单独购买及安装，且所有型号都 没有 用户数限制，不但降低了购买成本，还降低了售后的集成、维护的花销，提供最低的TCO(总体拥有成本)和最高的性价比。 提供的多种工作模式、动态路由、策略路由、链路冗余等机制能 灵活 的适应各种网络环境。 服务提供对防病毒、入侵防御、Web内容过滤和反垃圾邮件等的特征 自动在线更新，使用户的安全防御体系能不断升级，第一时间防御瞬息万变的安全威胁。 便捷的管理界面、图形化日志分析处理系统、集中管理系统等提供专业易用的管理 工具，最大程度的发挥安全产品的保护能力。 ----------------------------------------------------------------------------------------------------- ------------------------------------- 51 产品技术参数 根据具体型号插入内容，此处略 ----------------------------------------------------------------------------------------------------- ------------------------------------- 52