领先企业纵论网络安全解决之道

来源：通讯世界作者：出处：巧巧读书 2006-05-25 进入讨论组

　　三星：企业网络如何防患于未然

　　当企业网络与互联网连接之后，来自企业网络外围、经由网关入侵的各种威胁向企业IT提供发起了一轮又一轮攻击，让许多企业蒙受了重大损失。要想遏制病毒传播减少其企业损失，企业需要一个能够提供防病毒、防火墙、入侵检测等技术支持的整合安全防护产品。但是为了让这些技术充分发挥功效、易于管理维护，同时又节约成本，企业就不能只对这些防护功能进行简单堆砌，而且需要一种能够将其全部集成的安全解决方案来检测、防御、响应每种威胁。

　　随着近两年网络攻击事件频繁出现，并且基本上多数都是来自应用层的攻击较多。三星安全就以现今信息安全发展动态，将新产品的开发重点放到了对应用层的攻击防范和应用服务上。

　　NXG150百兆防火墙增加了SMTP代理、反向SMTP代理、POP3代理、防邮件炸弹、邮件滥用保护系统、与防病毒服务器的联动等，同时NXG150防火墙还能对邮件的内容进行有效地过滤和限制，如邮件内容中的关键字、邮件地址、邮件的大小、携带附件的大小、邮件的转发、拒绝与内部域不符的邮件、限制每个原地址的会话数等应用层的邮件过滤功能。

　　为了能够有效防范DOS、DDOS对网站的攻击以及多种应用服务的安全保护，NXG150在应用层安全HTTP代理和FTP代理上，增加了HTTP反向代理功能：功能包括HTTP-Web服务器的负载均衡、反向HTTP代理的内容分发功能，并提供了多种调度算法供用户使用，同时还增加了FTP代理服务器设置的用户认证功能。

　　NXG150高可靠性功能支持Active-standby、无需L4交换机的情况下实现Active-Active Load Balancing的功能、并且可以防止xDSL故障构成Dual Line方式，可以实现Active-Active ADSL Load-Balancing VPN功能，真正意义上实现了基于Packet的Load-Balancing，在出现线路(一条)故障时能够继续维护会话。

　　北电网络：网络安全要对症下药

　　当今的电信网络，其显著特点是设备种类多，业务种类多，网络流量大，网络结构开放，因此造成了它的许多潜在的安全性和稳定性的隐患。北电网络大中国区首席运营官徐成达认为可以从网络设备及网络集成，多种业务的融合共存，病毒及蓄意网络攻击等方面来探讨新形势下电信网络发展中所面临的网络安全稳定的问题，并针对具体情况对症下药。

　　网络设备及网络集成：由于互联网及三网合一的迅猛发展，网络设备的发展非常迅速，新的设备和新的功能不断涌现。这些都极大地增加了新一代网络设备的软硬件复杂性，大大增加了电信网络系统集成的复杂性，并且同时也大大地增加了电信网络管理的难度，因而大大地增加了电信网络整体发生网络和设备故障的概率。因此，在进行网络规划设计和设备选型时，从网络安全稳定的角度，应该就设备功能的大而全以及小而精这两个方面作适当的平衡考虑。

　　多种业务的融合共存：目前电信网络承载的业务越来越多，从宽带上网，文件下载到IP电话、IPTV、再到网上购物、网上银行、网上炒股等，几乎渗透到人民日常生活的每一个角落。但这些种类繁多的业务对网络的要求是千差万别的，比如文件下载非常消耗网络的带宽，但对时延不敏感；IP电话对带宽要求不高但对时延和抖动要求很高；而IPTV对带宽和时延的要求都很高。这些不同种类的业务在同一个电信网络上传送，如果设计和管理得不好，很可能造成相互影响，甚至造成某些业务的中断甚至整个网络的阻塞。

　　病毒及蓄意网络攻击：由于互联网的开放性，造成了现在网络病毒和木马程序的泛滥，并且，还存在大量网络黑客不断地对网络上的主机及网络设备进行拒绝服务攻击，对关键应用例如网上银行业务进行入侵或欺诈等。这些，都可能造成网络设备或应用服务器设备的阻塞甚至瘫痪，造成关键网络应用的混乱甚至中断。因此，新一代的电信网络应该充分考虑网络安全的问题，引入入侵防范式网络防火墙以及网络病毒过滤设备，把网络病毒和攻击屏蔽在电信网络之外。

　　凤凰科技：企业安全系统分三层

　　如何确保进入企业网络内部的ID是安全和不被盗用的，已经成为企业安全问题的最大困扰。传统的认证方式大部分是基于对用户身份验证的角度出发的，例如加密、U/P验证以及USB Key结合数字证书等认证方式。然而种种迹象表明，传统的基于身份验证的认证方式，已难以应对企业日益提高的安全系数要求。如何进一步为企业网络安全实施有效的保护措施成为市场关注的焦点。

　　设想一下，如果能够使企业将访问控制水平扩展到用户名和密码之外，对进行连接的计算机也同时进行验证，在将这些电脑连接到网络之前，保证他们是已知的、可管理的设备，并且已经下载了最新的防病毒软件和补丁程序，那么企业的网络安全系数将会大大提高。

　　占全球BIOS系统软件70%以上的市场份额的凤凰科技认为，企业安全系统应分成三个层次，包括企业内部不同等级的安全防范、网络当中不同等级的安全防范以及在终端设备进行的安全防范。对于不同层次的安全需求，企业应该采取对应的安全防护手段。对于一些对安全系数要求较低的部门和系统，采用普通的身份验证方式即可应对安全问题，而对于一些对安全有高敏感性的领域，如：金融系统、商业机密、客户及人事纪录、个人数据及受管制的数据等，企业应从设备层面着手，保护网络资产。针对这种情况凤凰科技公司推出了一款工具软件—TrustConnector，使“用户的硬件设备”成为企业安全系统认证中的一个核心环节，确保只有使用“可信赖设备”的授权用户才能够访问企业网络。

　　SonicWALL：网关防毒提供额外防护

　　传统的病毒防护解决方案通常是在主机上安装防病毒软件。最初，这种防护是完全够用的。然而，在过去的几年时间里，由于出现了一类攻击主机防御系统的病毒，因此这一方法的有效性在某种程度上正在降低。基于主机的防病毒仍然有方法来对付这类威胁，但用户却会发现处境不妙：特别是主机能否在病毒入侵前或者漏洞被利用前就获得最新的病毒库文件。基于主机的防病毒保护方式实际上已经有点力不从心了。

　　另外，传统上，操作系统和CPU对用户态进行了限制，权限较低，主要用于运行大多数非核心代码，避免了程序对存储器和处理器进行完全的直接的未经检查的访问。只要恶意进程还是运行在用户态，运行在内核态的“好”进程就有机会检测并禁止掉恶意代码。对于内核态，操作系统提供了所有的权限和控制能力。然而，最近的root-kits病毒开始利用漏洞来获得内核态的权限。这意味着他们拥有对整个OS的全面直接控制，可以操纵最核心的数据，如运行进程的显示、文件和目录列表、注册表键值等。

　　SonicWALL工程总监Joe Levy认为，除了采用基于主机的防病毒系统以外，为防病毒解决方案增加一个网关防病毒(GAV)设备可以提供一层额外的防护，从而可以大大增强总的病毒防护能力。网关防病毒设备是专用设备，与PC机不同，通常不能够任意运行代码。因此，由于这种加固的封闭式系统所具有的优点，网关防病毒设备能够避免病毒攻击。换句话来说，他们的设计目标就是要坚不可摧，始终警惕且忠诚，永远不会背叛您的信任。

　　尽管并非所有网关防病毒解决方案都是一样的，在现有以及未来的病毒威胁面前，这一额外的防护层仍然能够提供一种最忠实的防护能力。作为一种不会被攻占的外部守护设备，网关防病毒设备是您目前与病毒进行战斗最好也最值得依赖的解决方案。

文字：http://www.qqread.com/erp/12/l569155004.html