中小企業在選擇資安設備時,面對琳琅滿目的產品常會無所適從,甚至在搞不清楚目 己所面臨的威脅之下,購買了不必要或無法解決問題的設備。要避免發生這種情形, 企業必須暸解現有的架構及問題,才能知道從哪個方向加以改進。多花點心思選擇, 才能發揮設備的真正效益,進而保護企業資訊安全。
隨著個人電腦安全意識的抬頭,除了防毒軟體之外,防火牆的重要性也逐漸被重視。 但即使已經安裝使用,許多人仍然無法分辨其與防毒軟體的差異,或是從未正視其所 警示的訊息,使得防護效果大打折扣。簡易來說,防火牆是一個軟體或硬體裝置,會 檢視每一個經過的網路內容(封包),並依據事先定義好的規則決定放行與否。和防毒 軟體的區別在於,防火牆如同把守國境的海關,而防毒軟體則是機場內的安檢人員, 兩者相輔相成。
強固的網站安全,有賴於設計階段的縝密規劃。在開發者的腦海中,除了目標的功能 性,也必須將安全的考量納入其設計藍圖。網站本身雖然不是個高深的技術,卻逐漸 發展的越來越複雜,也因此,必須得從各個環節加以重視,方能取得整體的安全。
託管,是指企業將核心業務以外的業務流程託管出去,以使企業專注於核心業務, 進而達到提高運營效益的一種模式。隨著市場競爭日趨激烈,社會分工日漸精細, 企業已逐漸認識到核心競爭力的重要性。IT服務託管早已不是什麼新聞,從最早的呼 叫中心託管、到桌面維護託管一直走到網路基礎架構的託管、業務系統開發和維護的託管, 更甚至於業務流程託管。在託管的過程中,企業獲取了競爭優勢,提升了運營效率並且有效地削減了開支。 而網際網路網管安全的託管,則是網路基礎架構中的託管中最重要的一塊,一方面的原因是企業的運作越來越依賴架構於 網際網路基礎之上的訊息系統,市場競爭及產業供應鏈的變化使得承載訊息系統的網路連接變得比以往任何時候都要復雜, 業務數據的可用性、機密性等等要求也日漸提高;另一方面,來自網際網路的安全威脅如各種病毒、木馬、間諜軟體、惡意程式、 垃圾郵件、惡意站點的危害正在不斷變化與加強,要應對它們,企業面臨著網路設備、技術培訓與人員保持等等的投資壓力。
儘管網際網路擁有無限的優勢,但 Web 訪問也常常會給企業帶來意想不到的風險和成本。各種規模的企業,其訊息資產與關鍵 任務資源都面臨持續而日益增加的網路安全威脅。無論企業規模如何,其面臨的安全威脅基本都一樣,且消除這種威脅所需的工具與 技能正變得越來越複雜與昂貴。這些挑戰給企業帶來了經濟及預算上的壓力,以及日益增加的技術複雜性與多樣性。隨著企業繼續將 有價值的訊息置於其網路上,它們在來自內部或外部的網路安全危險面前變得越來越脆弱。為有效消除這些危險,企業必須實施一種 可實時更新與管理的綜合、分層安全架構。網路安全管理是必要的,但也常常會給許多缺乏 IT 專家與資源的中小型企業帶來繁重的 工作壓力。因此,企業越來越傾向於將網路安全管理託管給經驗豐富的可管理安全服務提供商。實際上已經有不少企業成功地將網際 網路網關安全管理進行託管,也有不少的安全設備廠商和安全管理服務提供商正在積極進入這一領域。
Network Box從2000年成立便一直提供統一威脅管理(UTM)服務,原因是Network Box的前身做電腦服務時就意識到網路和系統的正確配置及日後保持對大多數客戶是一個挑戰,另外,要真正的知道進出網際網路出入口的數據也是不少客戶發愁的地方。同時由於Network Box即是UTM服務商,也是Network Box品牌UTM的設備研發和提供商,雙重的身份使Network Box具有無比強大的優勢,幾年來成千上萬的客戶服務歷練也使其在這一領域得到了穩健的成長。
首先是網路安全管理體系的建立,網路安全管理的最好戰略是託管。 安全體系的建立其實涉及到了管理和技術兩個層面,而管理層面的體系建設是首當其衝。保障業務流程的網路安全,從而進一步促進IT在企業應用層面的拓展,這才我們應用安全技術最根本的目的。因此,"三分技術、七分管理"建構一個健全的網路安全管理體系是擺在企業面前的重要一環。技術上的建設和加強只是網路安全的一方面,由於單純的實現技術不是目的,技術只是圍繞企業具體的工作業務來開展應用,但也常常會給許多缺乏 IT 專家與資源的中小型企業帶來繁重的工作壓力。因此,企業CIO的戰略越來越傾向於將網路安全日常的工作託管給經驗豐富的可管理安全服務提供商。這樣CIO 可以將工作重點放在其核心業務上,專注於客戶服務而非IT安全環境維護。其次是網路行為規範化管理,細化和督導安全維運流程的執行。網路行為的根本立足點,不是對設備的保護,也不是對數據的看守,而是規範企業員工網路行為,這已經上升到了對人的管理的階段,通過技術設備和規章制度的結合來指導、規範員工正確使用單位的網路資源。網路安全的根本政策,一定要包含內部的安全管理規範。許多企業花大成本買最好的防火牆,駭客或是熟悉該企業網路環境的離職員工,還是有辦法繞過從牆外進來,這是因為沒有一套整體的威脅防範系統可以在沒有網路安全管理策略之下發揮作用。防火牆、防毒牆都是提供服務的工具之一,人,才是網路安全最大的關鍵。 CIO必須為網路安全建立一套監督與使用的管理程序,並且徹底實行。專業的安全服務商有一個網路服務團隊,人才不是問題。其也有著專業的技術和高質量的標準服務,可以幫助企業一同建立和維護相關的安全管理流程。 了解以上的話,企業CIO便可將工作重點放在其核心業務上,進而創造出更大的價值,而不必擔心IT安全環境的日常維護。
首先,我們會派工程師上門去了解客戶的網路背景及一些需求,並通過書面文件與客戶確認,跟客戶一起去作做。首先我們會花三四天的時間去作設置,作好後放進箱子裡面,通過長達一周的高速運轉後。並徵求客戶意見,然後送到客戶那裡安裝繼而培訓。
不會,每個Network Box是客戶網路的一道牆,抵禦外來的攻擊。NOC管理模式就是把重要的安全配置工作授權給NOC網路工程師處理,可避免了客戶因繁瑣的配置使設備出現安全漏洞,也減少了網管們因出差或休假而延誤了修正設備的時間。Network Box放置的位置正是網路的出口處,和一般ISP提供的路由器一樣,NOC只會對Network Box本身進行配置及監測,並不需要伺服器和客戶端的登入名稱及密碼。
Box交由客戶"自主管理"的模式目前已經不再採用,這和市場的需求及Network Box的業務定位有關,企業越來越傾向於將網路安全管理託管給經驗豐富的可管理安全服務提供商。一方面的原因是企業的運作越來越依賴架構於網際網路基礎之上的訊息系統,市場競爭及產業供應鏈的變化使得承載訊息系統的網路連接變得比以往任何時候都要複雜,業務數據的可用性、機密性等等要求也日漸提高;另一方面,來自網際網路的安全威脅如各種病毒、木馬、間諜軟體、惡意程式、垃圾郵件、惡意站點的危害正在不斷變化與加強,要應對它們,企業面臨著網路設備、技術培訓與人員保持等等的投資壓力。目前標準的Network Box管理模式包括"遠端服務8 x 5" 和"遠端服務24 x 7"。
Network設備內的一些規則設定及內容的改動都是由網路管理員來完成的。廠商只是根據事先設定好的規則來幫助網路管理員作一些煩瑣的操作性工作。由於客戶企業的網路管理員人員及時間有限在一些操作工程中難免會出現一些失誤,如果交給廠商來操作,就相當於有一個團隊共同來幫助客戶完成。並且對於某一個功能根據客戶的需求 Network Box也會先測試好後再交給客戶,並且告訴客戶應該如何去作,從而就減低了風險,提高了效率。
Network Box是放在外圍的,所有的升級更新,存取都在箱子的外圍進行。事先會把一些規則定義及數據放在1G的CF卡裡,加密一個包傳送,由箱子接收後作更新,不會碰到內圍,包括內部ERP系統的登錄名和密碼。
在回答這個問題之前,讓我們先講一下如何做機密訊息的處理。訊息數據需要分級,安全保護級別要求比較高的訊息如機密訊息需要與之相對應的安全保護,包括生成、存取、傳輸、讀寫及銷毀都需要嚴格的控制。我們建議客戶在傳輸機密訊息時進行數據加密,Network的VPN可以幫助客戶加密數據在網際網路上的傳輸。
Network Box需要病毒、垃圾郵件、入侵特徵定義更新,否則新的病毒和垃圾郵件就無法防範。同時Network Box還要接受全球的安全操作中心的服務,提供隨時更改設置等各種服務,年費就是提供這些服務的服務費。
請聯系NOC進行密碼的重置,當您重新使用已經重置的密碼進行登錄後,請立即更新密碼。如果您是集團用戶,您也可以找上一級管理員進行帳號密碼的重置。
IDC對統一威脅管理(UTM)安全設備的定義的是: 由硬體、軟體和網路技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,它將多種安全特性集成於一個硬設備裡, 構成一個標準的統一管理平台。簡單來說,它就好比是辦公設備中的多功能一體機,設備集合了多個功能於一身,從而達到易管理的優點。其中功能包含有防火牆、防病毒、IDP、反垃圾郵件、 VPN、內容過濾等等,一大堆的安全應用功能。
Network Box統一威脅管理系統,將傳統的防火牆、VPN、入侵檢測與防護、網關防病毒、防垃圾郵件及上網內容過濾管理整合到一個系統中,相比分開購置各個獨立系統來講可以大大節省採購成本。同時,做為網路安全託管服務提供商,Network Box可以幫企業減少網路安全運維方面的日常開支,並且更有效率和競爭力。
BOX支持多種身份驗證方式,可在BOX上建立用戶名及密碼,或在BOX創建CA認證體系,也可使用企業已有的認證系統,如LDAP、 Active Directory和Radius驗證。內容過濾及上網行為管理,郵件和VPN等都支持多種方式的身份驗證。
主動網路監視通過提供對網路與系統的實時主動監視,可降低維護成本、減少網路與系統待機時間並改善客戶服務。網路監視包括用於 GMS 管理的設備在線 / 離線狀態、延時監視、應用監視、 VPN 監視與統計、正常工作時間計算及安全事件等。防火牆與網路活動的集中圖形化報告 ,可提供對BOX的使用情況與安全事件的洞察。提供有關 GMS 安全管理部署的詳細圖形化視圖,從而加速並簡化對大型 GMS 部署的檢查與了解。分佈式安全管理可在一組設備間劃分及分配管理責任以及並分配優先等級。
現在的攻擊速度非常快,以至於有不少零星攻擊或者臨時攻擊,就是在軟體的安全弱點被公佈出來的同一天甚至於一個小時內,利用其安全漏洞。一個典型網路蠕蟲在公元2000年擴散在網際網路上需約20小時,但在公元2005年,擴散的時間範圍已縮短在135秒,並且越來越肆虐。傳統的PULL下拉更新技術往往會使系統不能被及時更新,而造成在空窗期內的成功攻擊。Network Box的PUSH更新技術使得一旦有升級,則可以在45秒之內完成。
Network Box強大的查詢功能使客戶可以查詢幾乎所有的功能模塊配置、運行狀態、工作日誌及報表,這可以使客戶不必有BOX技術管理員的權限,仍可以掌控BOX的所有配置。可自行進行配置及控制的項目有:基本的網路配置;設備關機和重啟操作;WEB內容過濾的策略、規則、群組、分類等的操作;垃圾郵件黑白名單的設置;用戶及權限的管理;配置的備份及恢復;其它的配置均需通過 Network Box集中的安全控管中心實現,客戶只需提交一個Ticket、一封請求郵件或一通電話即可。
採用Network Box不需要麻煩的授權方式,一個按BOX進行的許可證可以涵蓋所有的安全功能和所有的用戶。在許可證的管理上您只需花很少的時間,便大可放心您的網路是受到全方位保護的。Network Box適用於各種類型的企業機構,規模從小到大,在經濟上都能夠承受。產品不以用戶數量收費,使他成為目前成本效益最高的網際網路安全解決方案。
Network Box每一個模塊均會產生log日誌,並儲存在適當的檔案中,Network Box有一個經常運行的程序,會把log日誌按個別的分類放入SQL數據庫中,以便日後作my.network.com的統計數字使用。另外, Network Box也支持一些標準的日誌協議如syslog進行外部存取,對有專門的日誌服務器,需集中管理大量日誌的用戶非常方便。
S50的日誌、緩存及隔離文件等存取在內存中,但是內存中的數據容易丟失,比如停電或Box重新啟動。我們推薦有日誌記錄需要的中小型企業客戶採用 S80,另外的方法是通過標準的日誌協議如syslog進行外部存取。
強大的Traffic Control功能使眾多昂貴的流量整形或流量管理產品相形見絀;而Network Box的專業安全服務和靈活的配置又使複雜而繁鎖的配置管理任務對於客戶來講變得輕鬆簡便; 前段時間,員工上網管理方案供應商Websence發佈的"全球網路安全調查"結果讓人深感意外:8個國家和地區內有83%的受訪員工在辦公時間內流覽與工作無關的網站。中國員工每週多花7.6小時來使用IM、玩遊戲、P2P或流動媒體;員工上網下載音樂方面比拉美高16%;上網進入聊天室和玩線上遊戲兩方面分別比其他國家高約8%和12%;在同為發展中國家的印度,只有26%員工上網流覽個人信件,而在中國,這個數字是60%! 在我們的實際工作中P2P、QQ、MSN、Skype等應用,它同時是工作的工具,也可能造成對工作的影響。譬如,由於P2P的設計思想使其形成了對網路資源的搶奪,使得區域網中的其他應用無法得到應有的頻寬,造成了網路擁塞、重要服務無法得到保證的狀況。在實際工作中,我們有時通過P2P下載最熱門的影片,但同時,很多工作相關的文件檔案資料都需要P2P軟體來下載。 在QQ、MSN、P2P、股票等應用中,最需要管理的是P2P應用。因為,P2P下載導致網路頻寬的擁擠,這是侵害了其他員工的上網利益,這造成了對大家的影響。相反,對於QQ、MSN等軟體從目前的企業情況看,媒體行業、廣告公司、網路銷售公司、傳統企業的銷售部、市場宣傳部門等,對及時通訊工具的依賴性的確比較強。只要不進行大檔案傳輸,一般只會影響到自己的工作效率問題。 所以,Network Box真正做的是,對員工QQ、MSN、P2P、網站訪問、股票等上網行為的合理控制,不是一刀切式的封堵,而是分人、分時間、分不同的應用進行管理。
頻寬管理就是能夠按照一系列標準區分用戶流量,然後為每種資料封包或者會話指定不同的優先順序的策略和方法。對網路應用來說,每個企業都有一些優先順序比較高的應用,如企業內部的業務訂單系統。但網路中的頻寬是有限的,頻寬管理能夠在網路流量大的情況下,有效保證高優先順序的應用率先運行,以達到優化網路的目的。 頻寬管理會對特定網段中的電腦或特定網路服務做流量限制,從而大大提高網路系統管理員的控制權力。Network Box具備深度內容分析和檢測能力,可以支援層次化分級頻寬管理功能,可以深度分析HTTP/SMTP等協定的內容並進行過濾;也可以有效的識別網路中的 BT、Edonkey、Emule等各種P2P模式的應用,並且對這些應用採取阻斷、限流等控制措施,有效保護正常網路頻寬。
負載均衡根據一定的機制,合理地將網路請求分發到各個防火牆上進行處理,整個過程對使用者和網路請求透明,使用者無須知曉網路請求是在哪個防火牆上進行處理的。 負載均衡的核心在於採用一定的機制,即時地搜集後端各個防火牆的負載情況,以此作為分發用戶請求的依據。這樣既能充分利用所有防火牆的處理能力,又能充分保障用戶請求得到及時、有效地處理,從而最大限度地滿足使用者的需要,並保障企業的業務能夠可靠、穩定地運行。 在技術實現上,負載均衡採用的機制很多,比如輪詢策略、最小連接數策略和雜湊表等,無論基於何種策略,防火牆只能實現靜態的、相對的負載均衡。如何即時地搜集防火牆節點的真正的負載情況,並根據負載來自動地調整負載分發策略和各個防火牆節點的權重,才是實現真正動態的負載均衡。這樣就可以使所有防火牆節點的負載穩定在一個水平面上,並可以不斷進行自我調整。 付諸應用的負載均衡有2種方式,一種是防火牆自身帶的(自身支持,在防火牆內部實現對流經防火牆的資料包的負載均衡),但應用案例很少,主要考慮到在關鍵應用中具有不可靠的弊端,而且利用這種負載均衡技術不如選用一台帶硬體處理晶片的高處理能力防火牆穩定、可靠。還有一種方式是通過負載等化器將多台高性能防火牆負載均衡,以檢測和處理流經閘道的超大流量的資料。從這一點,反映出防火牆技術與網路技術逐漸融合的一個趨勢。Network Box支援完備的雙機熱備和負載均衡機制,提供輪詢、加權輪叫、最少連接、加權最少連結等多種負載均衡方式。支援鏈路備份功能,提高網路可靠性。
所有Network Box型號都採用了高效能且穩定耐用的工業級固態儲存﹝Industrial Compact Flash﹞裝置作為存取作業系統之用。固態儲存的優點是沒有任何機械結構,不易受到震盪或長時間的使用而導致損耗的影響,有效提高設備的壽命。除S50 不配硬碟外,其它所有型號的日誌、緩存和隔離區檔等採用硬碟進行記錄和存取。
雙機熱備,所有系列的BOX都支援活動-活動的雙機熱備功能,並支援標準VRRP協定,能最大化網路的執行時間並確保網路訪問不會發生中斷。雙電源,多硬碟冗餘設計,E系列高端產品配置雙重電源變壓器和磁碟陣列以確保由於配件的失效而造成的損失降為最小。配置備份/恢復定期自動地備份所有BOX的配置並發送郵件給管理員,即使只購買一台低端S系列的設備的客戶也能享有網路故障得以快速恢復的便利服務。
雙機熱備是在網路中使用兩個同樣的設備,兩個設備用心跳程式連接。這兩個設備可以同時工作,也可以一台工作,另一台不工作。當一台設備出故障時,另一台設備的心跳程式會發現並及時把工作承擔過來。因此只要不是兩台設備同時出故障,就能保證網路的正常工作。 帶有這個功能的設備,主要是添加了心跳檢測功能,能發現另一台設備是否出故障。另外還增添了切換功能,可及時把工作承擔起來。兩台設備都接在內外網之間,兩台設備之間連接起來檢測心跳。
Network Box是基於X86的架構,由於Network Box屬於每天24小時必須運行的網路設備,所以Network Box都是由優質的配件組合而成。能夠保持長期穩定的運行。並且Network Box高端型號都有容錯和冗餘方面的設計,這些設計目的也是為了使Network Box保證網路不中斷和維持良好的穩定性。
選擇Linux作為平臺是開發人員從系統安全性、系統可靠性、系統可擴展性綜合考慮最終決定的。幾年的市場使用情況證明,這個平臺的安全性、可靠性及靈活性是值得信賴的。
網路存取控制NAC主要的目的是通過一些安全技術措施限制內部網路訪問以應對病毒、蠕蟲和訊息失竊等安全威脅,有些廠商如網路設備製造商Cisco 推出了NAC(Network Admission Control),軟體大佬Microsoft推出了NAP(Network Admission Protection),這些技術措施往往過於複雜,需要新型網路和系統設備的支援,及在使用者桌面電腦上安裝引擎,這會造成初始投入和後期維護成本過高,超過其可獲得的利益回報。Network Box的統一威脅管理系統技術和服務可以用更有效和更低成本的方式?明客戶實現其相關的控管目標。此外,儘管NAC目前尚無泛的應用,我們也一直會跟進相關的技術創新及市場變化情況,以便在未來必要時靈活地添加相關的支援功能。
如果您在Box所保護的內網,可以通過 https://my.network-box.com 連接到管理介面,如果您在遠端,需要從Box office中選擇相應的Box再連接過去;另一種方法是您也可以指定BOX的IP位址,再通過 https://BOX_IP:4243 連接,前提是您的網路可達到Box並且有在Box上開放給您遠端系統管理的許可權。
封包過濾防火牆是對進出內部網路的所有訊息進行分析,並按照一定的安全性原則(訊息過濾規則)對進出內部網路的去處進行限制,允許授權訊息通過,拒絕非授權訊息通過。訊息過濾規則是以其所收到的資料包頭訊息為基礎,比如IP 資料封包源位址IP資料包目的地址、封裝協議類型(TCP、UDP、ICMP等)、TCP/IP源埠號、TCP/IP目的埠號、ICMP報文類型等。當一個資料包滿足過濾規則,則允許此資料包通過,否則拒絕此封包通過,相當於此資料包所要到達的網路物理上被斷開,起到了保護內部網路的作用。包過濾的核心就是安全性原則即封包過濾演算法的設計。採用這種技術的防火牆優點在於速度快、實現方便,但安全性能差,且由於不同作業系統環境下TCP和UDP埠號所代表的應用服務協定類型有所不同,故相容性差。狀態檢測防火牆克服了封包過濾防火牆和應用代理伺服器的局限性,能夠根據協定、埠及源位址、目的地址的具體情況決定資料封包是否可以通過。對於每個安全性原則允許的請求,狀態檢測防火牆啟動相應的進程,可以快速地確認符合授權流通標準的資料封包,這使得本身的運行非常快速。狀態檢測防火牆克服了包過濾防火牆和應用代理伺服器的局限性,能夠根據協定、埠及源位址、目的地址的具體情況決定資料封包是否可以通過。對於每個安全性原則允許的請求,狀態檢測防火牆啟動相應的進程,可以快速地確認符合授權流通標準的資料封包,這使得本身的運行非常快速,因此狀態檢測防火牆已經在國內外得到廣泛應用。應用代理服務技術能夠將所有跨越防火牆的網路通信鏈路分為兩段,使得網路內部的客戶不直接與外部的伺服器通信。防火牆內外電腦系統間應用層的連接由兩個代理伺服器之間的連接來實現。外部電腦的網路鏈路只能到達代理伺服器,從而起到隔離防火牆內外電腦系統的作用。Network Box的防火牆功能集成了封包過濾,狀態檢測和應用代理。
NAT-網路位址轉譯,是通過將專用網路位址(如企業內部網Intranet)轉換為公用位址(如網際網路Internet),從而對外隱藏了內部管理的 IP 位址。這樣,通過在內部使用非註冊的 IP 位址,並將它們轉換為一小部分外部註冊的 IP 位址,從而減少了IP 位址註冊的費用以及節省了目前越來越缺乏的位址空間(即IPV4)。同時,這也隱藏了內部網路結構,從而降低了內部網路受到攻擊的風險。Network Box的位址轉換功能可實現一一映射、多對一映射等不同方式的位址轉換。支援包括正向、反向NAT以及PAT等多種位址轉換方式,能為使用者提供完整的位址轉換解決方案。
代理伺服器英文全稱是Proxy Server,其功能就是代理網路使用者去取得網路訊息。形象的說:它是網路訊息的中繼站。在一般情況下,我們使用網路瀏覽器直接去連接其他 Internet網站取得網路訊息時,需送出請求信號來得到回答,然後對方再把訊息傳送回來。代理伺服器是介於瀏覽器和Web伺服器之間的一台伺服器,有了它之後,瀏覽器不是直接到Web伺服器去取回網頁而是向代理伺服器發出請求,請求信號會先送到代理伺服器,由代理伺服器來取回瀏覽器所需要的訊息並傳送給你的瀏覽器。 所有的 Network Box都具有緩衝的功能,就好像一個大的緩存,它有很大的存儲空間,它不斷將新取得資料儲存到它本機的記憶體上,如果瀏覽器所請求的資料在它本機的記憶體上已經存在而且是最新的,那麼它就不重新從Web伺服器取資料,而直接將記憶體上的資料傳送給使用者的瀏覽器,這樣就能顯著提高網頁流覽下載速度,減少連線時間花費;並且能提升網路使用效率,減少網路塞車。 另外, Network Box也支援常見的郵件加速即POP3協定加速,BOX在代替使用者在閒置時間將郵件接收到它本機的記憶體上,然後當用戶接收郵件時可以飛快地從BOX進行郵件的下載,這個功能對於郵件量非常大或者郵件接入速度太慢的客戶尤其有用。
Network Box支援橋接Bridge模式和透明Proxy ARP模式的部署,可以使您不用更改目前的網路架構進行透明部署。
可在BOX上部署IP與電腦MAC位址綁定,使用者身份和電腦網路安全性原則結合,並在交換機上進行基於埠的安全控制。即使在DHCP、無線網路環境也可以預防某些用戶通過盜用他人身份或更改IP來。
可在BOX上部署IP與電腦MAC位址綁定,使用者身份和電腦網路安全性原則結合,即使在DHCP、無線網路環境也可以預防某些用戶通過盜用他人身份或更改IP來掩蓋他們的網路行為。
VLAN是應用於大型的網路上,把大網段分為各小網段,方便IT網管監控網路,以及增加內部網路安全,Network Box已正式支持802.1Q VLAN、支援CISCO ISL欄位的解讀及VLAN間的存取控制。
所有型號的標準配置都是4個介面,另外M380可擴充至8個介面,E系列可擴充至12個介面,E系列支援光纖介面擴充。對於有很多網段的大型客戶, Network Box的VLAN支援功能可以虛擬地擴充足夠的介面以備需求之用。
BOX 支援常用的各類路由式通訊協定,除了靜態路由外,它支持RIP,OSPF,IS-IS,EGP,BGP等動態路由式通訊協定,這些對於大型企業或電信運營商確保廣域網路的可用性非常有用。另外,BOX也支持增強性的路由選擇功能,可以根據TCP/IP協定的各個專案設置路由靈活選擇。
Network Box支援DHCP服務,可同時作為DHCP伺服器和用戶端,對於中小型企業不需額外建立DHCP伺服器便可實現IP地址的嚴格管理。
IDS:入侵偵測系統 (Intrusion Detection System) IDS 只有 【偵測】 的功能,它是傾聽 (Sniffer) 網路的封包,是否有不正常或攻擊性質的行為發生,一但發現有這樣的行為,例如,對你的系統進行通訊連接埠掃描 (Port Scan),它會發出訊息,警告管理者,但是卻無力阻止攻擊者的一切掃描和攻擊的行為,只能被動的警告防禦的一方:有人已經對你的系統進行掃描和攻擊。 IPS:入侵防禦系統 (Intrusion Prevention System) IPS 它會檢查對應到OSI 模型第4 到7 層的內容,是否有惡意的攻擊程式、病毒,隱藏在 TCP/IP 的通信協定中。IPS 必須是閘道器模式,透過詳細的內容檢查後,一但發現後能夠即時地將封包阻止,讓這些穿過防火牆的封包無所遁形。 IDP:入侵偵測與即時防禦 (Intrusion Detection and Prevention) IDP 它兼具入侵偵測系統 (IDS)、入侵防禦系統 (IPS) 兩種功能,它和IDS不同的是,它對於所偵測到的攻擊和掃描的行為,具有主動和自動的阻擋功能,並且在阻擋完成後,會告訴防禦的一方有人曾經試圖對你的系統進行掃描和攻擊,但是已經被我 (IDP) 成功阻擋了,所以攻擊者沒有得逞,並且 IDP 也會告訴你 (防禦者) 它所知道的關於這個攻擊者的訊息,常見的包括 IP 地址、DNS 名稱,用哪個 port 連進來的,連到你 (防禦者) 的哪個port,發動攻擊的日期和時間,攻擊者的電腦名稱 ,甚至於攻擊者的網卡物理位址 (這是全世界獨一無二的你想賴都賴不掉)。不過也有專家認為IDP和IPS只是名稱或叫法的不同,實際的作用是相同的。
一般IDS所採取的方法是對主交換機做監聽,當偵測到網路攻擊時,再發命令給防火牆或路由器改變配置;但在這個時間期間已經有攻擊進入。Network Box放在網路的出入口,配合高效能硬體,能即時檢測資料並對攻擊立即處置,達到最佳的防禦效果。如果你要購買有效的安全設備,如果你使用IDP而不是使用IDS,你的網路通常會更安全。
傳統防火牆可以檢視對應OSI 模型第2 到第4 層通訊協定的內容,它可以隔離大部分的攻擊,但是它是不全面的,尤其對於OSI 模型第7層即應用層面的攻擊防範功能較弱,所以仍然會有小部分攻擊通過正常的訪問滲透到內部網路;另外,在企業內部部署IDS/IPS/IDP用於發現內部網路上的入侵企圖,以保護內部的重要資料。
您所講的“大量訊息淹沒了真正的攻擊”並不是獨特的體驗,這是IDS的一個配置優化的問題,往往廠商的產品銷售給客戶之後,需要一段時間進行運行環境的學習和適應,在這個過程中,網路安全管理員需要對IDS的規則和策略進行調整,以符合自己的IT環境。這對廠商的培訓和技術支援服務以及客戶網路安全管理人員都是一些挑戰。Network Box很早都認識到網路安全不是一個或多個產品,而是一個不斷變化的過程,需要持續不斷的專業服務,IDP的安裝、部署及之後的策略調整及運維微調工作都由Network Box NOC專業團隊來完成,客戶的網路安全管理人員不需要熟悉煩瑣的配置即會得到即時和定期的安全攻擊報告以便做出想對應的安全回應。
常見的誤判造成的原因主要是由於IDS的異常檢測功能,異常檢測的一個問題在於當今最好的研究工具也只有大約75%的成功率。因此,幾乎沒有客戶能清楚地瞭解其網路運作情況,所以傳統的IDS真正起到的保護功能很有限,更像一個事後的安全審計產品。Network Box通過將協議分析技術與和傳統的基於特徵的技術相結合來降低誤判,對於這類可以精確判斷的攻擊採取阻斷措施,對於那些基於異常檢測的攻擊,則採取發送報警到預先設定的管理員如NOC進行人工分析後再採取相應的安全控管措施。這樣通過技術和服務的結合,既降低了系統被攻擊的概率,又可以保障正常的業務不會受到IDP系統的過敏反應而中斷。 漏判形成的一個原因是IDS的部署多以旁聽方式,這容易造成鏡相接口形成網路瓶頸,進而網路資料丟失;第二個原因是IDS的性能問題,大量的分片攻擊或偽造攻擊容易造成系統處理性能下降;還有第三個原因是IDS的攻擊庫更新問題,沒有能及時更新的IDS系統是無法準確發現新出現的攻擊的,尤其是對於需要手工從網際網路進行下載更新包的系統。Network Box以閘道穿透方式部署的IDP,所有流經它的流量都會被檢測,不會有網路資料丟失的情況;另外隨著硬體性能的不斷提升和系統的優化以及Network Box獨特的PUSH更新技術,目前IDP的漏判幾乎接近為零。
Network Box提供的IDP(入侵偵查與防護)模組功能,可以起到很強的防止DDOS(分散式拒絕服務攻擊)作用,對於這種分散式DOS攻擊,採用對訪問源位址在相同時限內的連接數設置上限來防止駭客此類的攻擊。同時,也請認識到DDOS的防禦是一項社會工程,它需要眾多安全企業、安全性群組織、電信運營商、政府執法機關及眾多終端使用者的協同合作。Network Box還能做的是在網際網路閘道處幫助內部電腦抵擋惡意駭客遙控代碼的植入、發現並協助清除內部網路中被駭客遙控的僵屍電腦終端、當拒絕服務攻擊發生時?明客戶抵禦以及提供審計日誌以便追蹤攻擊者。
VPN:虛擬私人網路(Virtual Private Network)被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接,是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬私人網路是對企業內部網的擴展。 虛擬私人網路可以幫助遠端用戶、公司分支機搆、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證資料的安全傳輸。由於VPN是在 Internet上臨時建立的安全專用虛擬網路,使用者就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。這就是VPN價格低廉且頗受歡迎的原因。
SSL VPN早已是IT界的新貴,它可以很方便地應用在安裝有Web Proxy的網路裡面進行VPN連接。Network Box在所有系列上已支援SSL VPN。
Network Box的VPN支持PPTP、L2TP、GRE、IPSEC和SSL協定,支援遠端使用者、伺服器以及筆記本用戶使用。大部分其它主要的VPN伺服器(例如:Microsoft、Juniper Netscreen、Cisco、Checkpoint和Symantec)均能與Network Box建立VPN連接。
現在很多公司通過使用IPSec VPN來保證公司總部和分支機搆以及移動工作人員之間安全連接。對於閘道到閘道的VPN連接,我們建議使用IPSec,它是很成熟、很穩定、相容性好的技術;也可以使用新的SSL技術,它的穩定性、和性能會更好,部署簡單且功能強大,但是它是新的技術,到目前為止,SSL的相容性尚不如IPSec好。對於遠端移動用戶來講,我們推薦使用PP2P或SSL,因為IPSec VPN用戶端的安裝配置和管理比較複雜,問題較多,維護量大;市面上Microsoft的作業系統已經內置了PP2P的支持,對於大多數對加密要求不是非常苛刻的用戶來講它是個很好的選擇;另外我們推薦要求比較高的客戶使用SSL VPN用戶端,它的安全性、功能及性能都要比其它的要好。
可以,這對於監控和存取控制管理很有好處,請提交Ticket給NOC。
可以利用Windows AD進行集中驗證,Box也支援Radius和LDAP協議進行身份驗證的授權,集中的用戶帳號管理可以增強安全性並降低工作量,提升IT服務品質,適合大型企業使用者。
您可以通過Network Box的WEB管理介面進行了PPTP使用者帳號的添加/刪除和密碼變更等工作,若要添加SSL VPN用戶帳號,請聯繫NOC進行操作,我們建議做用戶帳號的集中/集成管理方便日後維護。
企業對於網路特別是網際網路的依賴程度越來越高,各種病毒、木馬、間諜軟體、惡意程式、垃圾郵件、惡意網站的危害正在不斷變化與加強,大量著名的門戶網站、購物網站和社區論壇等成為攻擊者的利用工具,這使得我們在進行正常的網際網路使用和流覽時,很有可能會在不經意間給企業的安全帶來風險。對網路基礎架構的威脅也與日俱增。傳統的防火牆、入侵偵測並不能很好的應對WEB應用層面的這些威脅。調查顯示,“目前95%以上的病毒都是web訪問引起的。使用者流覽了有問題的網頁而感染病毒,之後病毒在區域網中通過作業系統漏洞、USB存放裝置、共用目錄等方式傳播。因此,把好web流覽安全防禦這一道關口,是降低病毒傳播機率、提升內網整體安全最必要而且最有效的措施。不能指望單獨的桌面防毒產品獲得100%的Web安全防護,網關防病毒的好處在於只需在閘道層面部署一套,便可保護整個網路,即使失效的桌面防毒電腦也能得到免受網際網路威脅的保護。
Network Box採用俄羅斯知名防毒公司Kaspersky及ClamAV的防毒引擎,使用Network Box的防病毒閘道能現在提供16層、多引擎方案,可以有效地防止已知及未知的病毒傳播。病毒定義資料庫即時更新使用高速“PUSH”推進更新技術,能確認多達1,300,000個已知的病毒、蠕蟲、間諜軟體、木馬程式及一般惡性軟體的威脅。可以成為桌面防毒和伺服器防毒的最佳組合,形成立體的多層病毒保護體系。它可以實現:阻止間諜軟體的下載,防止病毒下載,阻止登錄間諜軟體網站,監測和阻止間諜軟體訪問網際網路,促進內網間諜軟體清除等功能。
它可以實現:阻止間諜軟體的下載,防止病毒下載,阻止登錄間諜軟體網站,監測和阻止間諜軟體訪問網際網路,促進內網間諜軟體清除等功能。Network Box的內容過濾引擎採用了SurfControl(WebSense)和Google Safe Browsing的即時更新資料庫,每天自動掃描並評估超過6 億個Web 網站的信譽,在惡意軟體攻擊之前就發現它並將其中加入到Network Box的過濾黑名單中,以切斷這些訪問或攻擊,消除或減少可能帶來的業務損失。
因為QQ等P2P軟體在進行資料傳輸過程中資料是加密的,作為閘道的Network Box不會對加密的傳輸內容進行檢查,但是Network Box可以對使用QQ等P2P軟體進行限制使用來達到阻止病毒傳播。另外我們也建議使用者安裝桌上出版的防毒軟體進行病毒掃描以形成立體的病毒防禦系統。
相信每個有郵箱的用戶都有接收到垃圾郵件的經歷。“垃圾郵件”多指未經請求而發送的電子郵件,也可以是發送給與信件主題不相關的新聞群組或者列表伺服器的同一信件的重複郵件。國內外的技術專家和反垃圾郵件組織對“垃圾郵件”的定義如出一轍:批量發送的未征得收信人同意的電子郵件。這些電子郵件雖然每封的訊息量不一定很大,但是郵件內容不是大多數使用者需要甚至是令大多數使用者討厭的。鋪天蓋地的宣傳郵件不僅侵犯了用戶的私人空間,而且干擾了大多數使用者正常使用電子郵件功能,同時給用戶帶來了上網時間和上網資金上的浪費,因此被稱為“垃圾郵件”。
可以。Network Box可部署為透明郵件掃描模式,進行SMTP流量的截取、垃圾郵件、病毒掃描及轉發;也可靈活地根據源IP,發送者,發送量等要求進行不同的郵件發送限制。
Network Box分別採用Signatrue Database(SurfControl提供的定義資料庫),Heuristic(啟發式引擎),Customized white/black list(自訂黑白名單)。通過定義庫內垃圾郵寄地址對比;對郵件主題,寄發件位址,郵件內容,附件大小進行判斷;客戶自訂黑白名單等方式來防止垃圾郵件。Network Box新的打擊垃圾郵件的工作辦法是跟蹤個人回復其收到的郵件的關係即挑戰/響應技術。通過跟蹤和管理這些關係,Network Box已能夠通過系統自動地將某些電子信箱位址加入到某些人的白名單裡。
Network Box防垃圾郵件閘道對垃圾郵件的識別率平均可達95%,近乎零誤報,對於太過優化配置的系統,可以實現98.9%的識別率。另外,如啟用Network Box的關係管理技術,可獲得更高的識別率。
大多數的病毒傳播會使用郵件中夾帶可執行檔的方式,如果您懷疑郵件被過濾掉,您可以通過my.network-box系統查詢,也可以聯繫NOC查詢,確認必要時可要求NOC進行郵件的釋放。另外,Network Box的郵件管理介面Mail Portal系統也允許郵件使用者自行管理垃圾郵件,用戶確認必要時也可自行釋放隔離郵件。
這是Network Box掃描您的郵件進行判斷發現在垃圾郵件之後添加到郵件標題的,您可以在郵件用戶端添加一個過濾設置,過濾掉這些含有***SPAM***的郵件。一般在Network Box部署的初期會這樣設置,系統運行一段時間後我們會設置讓Box直接在閘道隔離或刪除掉這些郵件。
Network Box的郵件管理介面Mail Portal系統也允許郵件使用者自行管理垃圾郵件,用戶確認必要時也可自行釋放隔離郵件,並設定過濾條件,大大減輕管理人員的工作量也有很大的靈活性。如果有需要,請提交相關的用戶的郵寄地址給NOC開通些功能。
首先需要加強郵件伺服器的管理,如果不對網管登陸郵件伺服器和進行的操作進行嚴格管理,網管便可以讀取到所有郵件,許可權分離和最小特權原則也可以在這裡使用。其次,郵件加密,有不少方法可以加密郵件的內容和郵件的通訊,確保傳輸和存儲的機密性。Network Box的Mail Portal功能也可以幫助用戶自行管理郵件,而不用網管參與。
完全可以。Network Box可以設定某些員工的收發郵件自動轉發給公司領導或指定的其它某個人,這樣這些員工的收發郵件內容都可以得到監控,不過我們不建議使用此功能,因為這樣可能領導或指定的其它某個人的郵箱內容過多而撐爆郵箱。另外,公司需注意法律上關於侵犯員工隱私的風險,我們建議公司事前要告知員工會進行監控。當然,公司也可以在郵件伺服器上進行設置郵件別名/轉發功能來實現監控的目的。
內容過濾的好處包括:減少無效的網路使用和法律風險,在感染網路之前,從源頭上阻止各種威脅,保護客戶訊息的機密性,控制垃圾郵件與郵件病毒,對新的威脅實現無漏洞保護,?明防止敏感內容和附件的意外洩密。
當然可以!Network Box的身份識別方式和認證方式可配對Windows AD 控制器,就可以用獨特的方式將Web、內容和使用者智慧結合起來,並精確地控制和瞭解網路安全中的“何人、何事、何地及如何”,並對協力廠商訪問企業網路資源的管理起到幫助作用。
上網行為管理是企業或組織機構內部管理的一部分,它是在企業或組織機構的網際網路訪問政策Internet Usage Policy的指導下,通過一些安全技術手段如監視和過濾訪問內容進而強迫執行網際網路策略的一種管理。不同的企業或組織會有不同上網行為管理需求,而內容過濾是實現上網行為管理的技術手段。當然,您也可以把內容過濾系統當成上網行為管理系統,它的功能從最初的Web和郵件訪問控管擴展到今天的即時通訊、點對點下載和社交網路控管等等。
Network Box的內容過濾引擎採用了SurfControl(WebSense)和Google Safe Browsing/Google Safe Search的即時更新資料庫,也可以說是集結了它們的核心功能,它們每天自動掃描並評估超過6 億個Web 網站的信譽,在惡意軟體攻擊之前就發現它並將其中加入到Network Box的過濾黑名單中,以切斷這些訪問或攻擊,消除或減少可能帶來的業務損失。身份識別方式和認證方式可配對Windows AD 控制器,就可以用獨特的方式將 Web、內容和使用者智慧結合起來,並精確地控制和瞭解網路安全中的“何人、何事、何地及如何”,並對協力廠商訪問企業網路資源的管理起到幫助作用。
內容過濾的價值對於這類企業體現在防止惡意網站代碼,企業對於網路特別是網際網路的依賴程度越來越高,各種病毒、木馬、間諜軟體、惡意程式、垃圾郵件、惡意網站的危害正在不斷變化與加強,大量著名的門戶網站、購物網站和社區論壇等成為攻擊者的利用工具,這使得我們在進行正常的網際網路使用和流覽時,很有可能會在不經意間給企業的安全帶來風險。調查顯示,“目前95%以上的病毒都是web訪問引起的。使用者流覽了有問題的網頁而感染病毒,之後病毒在區域網中通過作業系統漏洞、USB存放裝置、共用目錄等方式傳播。因此,把好web流覽安全防禦這一道關口,是降低病毒傳播機率、提升內網整體安全最必要而且最有效的措施。” 我們推薦Network Box的基本配置開啟nb-malware過濾規則,它可以做到:阻止間諜軟體的下載,防止病毒下載,阻止登錄間諜軟體網站,監測和阻止間諜軟體訪問網際網路,促進內網間諜軟體清除等功能。
這是Network Box掃描您的郵件進行判斷發現在垃圾郵件之後添加到郵件標題的,您可以在郵件用戶端添加一個過濾設置,過濾掉這些含有***SPAM***的郵件。一般在Network Box部署的初期會這樣設置,系統運行一段時間後我們會設置讓Box直接在閘道隔離或刪除掉這些郵件。
可以有所區別,可以根據網際網路訪問的需求,將員工分為不同的組,設置相對應的訪問規則給這些組。對於預設的配置,我們的前兩行定義為記錄所有訪問日誌及防止所有惡意程式碼。客戶可以根據需求定義比如允許普通員工訪問所有生產力相關的網站,而經理們可以訪問所有網站。特殊部門有些研究的需求需要訪問某些不良網站的可以特殊添加。
可以,P2P(點對點通訊如BT,eMule等)的不當應用會耗費大量網路資源,造成嚴重的網路堵塞以至影響到業務的正常運行;IM(即時通訊如QQ,MSN等)的不當使用對於員工的生產力和企業的訊息安全也有一定的影響。 Network Box可以根據客戶的實際控管需求進行靈活設定,保證P2P和IM的使用安全。