UTM产品应用 发布: 2008.12.30
打印 AG系列流控墙使用的SSPPTM是超过3千万逻辑门的网络安全专用集成电路芯片,具有卓越的性能,最高可以达到10Gbps的处理能力,每秒最大新建连接率为240K个,包的延时为0.022ms。在确保提升网络整体安全的时候,不会成为网络的瓶颈,完全满足中大型企业和电信级别的网络安全和流控制管理需求。
AG系列产品中的SSPPTM中的多层次流量控制,L4-L7的深层次报文分析,线速级的链路负载均衡,以及高性能状态防火墙等功能。
多层次流量控制
AceNet将网络数据流优化归纳为三个要素进行管理控制,带宽、Qos和并发连接数。带宽和QoS是应用数据 流优化的主要数据,可以采用L4-L7的DPI来精确的识别数据流和控制;并发连接数是基于行为对网络数据进行正常和异常的识别和控制。AceNet的多层次流量优化管理是通过这三个要素进行策略化的组合控制,包括:
• 基于IP的策略化控制带宽、Qos和并发连接数
• 基于子网和子网组策略化控制带宽、Qos和并发连接数
• 基于用户和用户组策略化控制带宽、Qos和并发连接数
• 基于时间的策略化控制带宽、Qos和并发连接数
基于IP和子网的控制,可以针对希望控制的网络部分区域进行流量优化和管控,对某些IP或子网执行控制策略,如学校的学生区网段,企业的某个部门子网等。基于用户和用户组的策略化控制可以精确的控制用户和用户群体的流量策略,而与用户和用户组在某个子网无关。基于用户和用户组的策略化控制需要跟用户认证管理相结合,如LDAP,Radius认证,POP3认证等等。基于时间的策略化控制是根据时间段去自动的执行不通的优化控制策略,如在8:00-18:00一种控制策略,18:00-8:00另外一种控制策略,便于企业和学校在不同的工作和休息时间进行不同的优化控制。
多层次的流量控制,能够有效识别已知的应用和基于行为侦测未知的异常数据流,并加以控制优化。对已知应用的数据流可以进行带宽控制,Qos措施等,对异常的数据流可以进行总会话数控制,突发带宽控制等方式,从而提高网络的有效利用率,优化网络环境,更好的为正常业务开展服务。
AceNet DPI
AceNet的SSPPTM中的DPI模块包括L7的分析和控制执行,其中分析模块通过应用层识别来判别流量的类别,然后由控制模块执行相应的策略。如下图,DPI的分析模块将流量中的BT,Emule等P2P下载应用、IM应用和P2P媒体播放PPlive等做出识别。在DPI的控制模块执行已经配置好的策略,如对于P2P下载进行禁止,IM允许通过,P2P流媒体进行流量控制等不同的控制。
多出口策略
AG产品的流量优化管理还包含了多链路的流量出口策略管理。AceNet的AG系列能够实现多条出口链路的线速级策略路由。目前多数网络有多个ISP出口,以提高网络的整体可靠性,AceNet产品能够用单台设备在对多个网络出口P2P流量进行优化控制,同时还可以解决多个链路之间的流量策略。
高性能状态防火墙
AG中还嵌有高性能的硬件防火墙模块,在进行流量管理的同时,还提供多层次的安全保护。
AceNet AG系列的部署
AceNet的AG系列通常部署在网络的出口和关键链接处,对网络进行组合式优化管理和流量控制。
AceNet产品可以工作在透明模式、路由模式和地址转换模式。工作在透明模式时,对现有网络不需做任何改动,可以将网络优化和组合控制无缝的融合到现网中。
部署在网内的AceNet设备,不间断的管理和优化网络流量,保障网络的正常运转。其中包括:
• 对网段和用户的P2P等流量管理;
• 基于行为流量分析和安全控制;
• 网络流量的分析和记录;
• Session级的网络访问记录;
• 多条链路的出口策略;
查看评论 (0)
电子邮件安全 发布: 2008.12.30
打印 一、概述
电子邮件已经成为现代人最重要和最不可缺少的个人生活和工作的通信工具之一,从而使得目前的电子邮件服务市场非常激烈,要想在此激烈的市场中取胜,突出自己的竞争优势,电子邮件市场有两个发展方向值得电子邮件服务提供商关注:一个是安全电子邮件服务,人们已经不满足于电子邮件系统仅仅是增加空间容量、增加查毒杀毒功能等,用户需要能确保电子邮件端到端 ( 全程 ) 的邮件内容安全保密的电子邮件服务;二是移动电子邮件服务,也就是使用移动终端随时随地可以收发电子邮件,“黑莓 ( BlackBerry ) ”在欧美的流行足以证明其市场需求旺盛。
电子邮件安全问题最重要的主要包括两个方面:一是电子邮件服务器的安全,包括网络安全以及如何从服务器端防范和杜绝垃圾邮件、病毒邮件和钓鱼邮件等,这些是电子邮件服务的基本要求;而另一个更重要的问题但还没有引起人们高度重视是如何确保电子邮件用户的电子邮件内容不会被非法窃取、非法篡改和如何防止非法用户登录合法用户的电子邮件帐号。我们认为后者更重要。
目前,成熟的端到端的全程的安全电子邮件技术标准主要有: PGP 和 S/MIME 。 PGP 是 Pretty Good Privacy 的简称,是一种长期一直在学术圈和技术圈内得到广泛使用的安全邮件标准,其特点是通过单向散列算法对邮件内容进行签名,以保证信件内容无法修改,使用公钥和私钥技术保证邮件内容保密且不可否认。而更加应用广泛的得到所有电子邮件客户端软件如 OUTLOOK 支持的是 S/MIME( Secure Multipurpose Internet Mail Extensions ) ,它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。 S/MIME 也利用单向散列算法和公钥与私钥的加密体系。与 PGP 不同的主要有两点:首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。 S/MIME 的证书格式也采用 PKI 技术的 X.509 ,但与一般浏览器使用的服务器端SSL证书有些不同,属于客户端数字证书,也称为 S/MIME 电子邮件证书、安全电子邮件证书或安全 Email 证书。 WoSign 提供的客户端数字证书支持 S/MIME ,不仅可以用于安全电子邮件通信,还可以用于各种网上应用的客户端身份认证。
二、解决方案
我们提供的安全电子邮件系统解决方案是采用 WoSign 全球通用的服务器 SSL证书和客户端数字证书相结合的全程端到端的安全电子邮件解决方案。,电子邮件的邮件内容在互联网上是明文传输的,其发送过程为:发件人把要发送给收件人的电子邮件提交给自己的电子邮件服务器即可,由自己的电子邮件服务器负责发送到收件人的电子邮件服务器中,收件人只要到自己的电子邮件服务器收取电子邮件即可。 我们推荐采用 PKI 技术的服务器端SSL证书和客户端数字证书来确保电子邮件的全程端到端安全。包括:
(1) 电子邮件服务器部署SSL证书确保用户 Web 登录邮箱时的邮件信息安全;
(2) 使用客户端证书用于 Web 方式登录的强身份认证;
(3) 邮件接收服务器(POP3) 和发送服务器(SMTP) 部署SSL证书;
(4) 使用客户端证书实现 Web 方式或 OUTLOOK 方式的电子邮件加密和数字签名。
以上技术措施 (1)(3) 保证了从发件人电脑到发件人电子邮件服务器之间的传输链路上以 Web 方式和 OUTLOOK 方式收发电子邮件时是 SSL 安全加密电子邮件内容的,是不可能被非法窃取和篡改的;而措施 (2) 则是采用客户端证书实现身份认证,从而保证了是合法用户在使用此电子邮件帐号;而措施 (4) 则保证了电子邮件从发件人电脑到收件人的电脑的逐个传输链路上是加密传输的,是不可能被非法窃取和篡改的。只有采取了以上 4 个方面的技术措施才能确保电子邮件通信的全程安全,才能变现在的 “明信片”式电子邮件服务为把用户的信装进厚厚的结实的信封的“特快专递”式电子邮件服务。
查看评论 (0)
网上银行信息安全 发布: 2008.12.30
打印 我国的银行信息系统也是比较先进的系统,银行的信息系统信息安全涉及到方方面面,本解决方案仅针对网上银行部分。网上银行可以让银行充分利用互联网来弥补网点设置的不足和为用户提供方便的银行服务,是银行的发展重点之一。但是,由于网上银行中涉及到资金的转移,也不免引起了一些犯罪分子利用网络安全和信息安全漏洞来盗窃银行帐号和密码来从事犯罪活动。为了防范此类犯罪,仅仅提醒用户注意保护好密码是不够的,因为现在的技术手段完全可以不在用户使用的电脑旁边就可以窃获用户的帐号和密码,即使是使用仅个人才能使用的专用电脑。
中国人民银行颁布的《网上银行业务管理暂行办法》规定: " 银行应采用合适的加密技术和措施,以确认网上银行业务用户身份和授权,保证网上交易数据传输的保密性、真实性,保证通过网络传输信息的完整性和交易的不可否认性 " ,可以看出网上银行信息安全问题的严重性,特别是近期不断出现的假冒银行网站和假冒银行的安全通知电子邮件的问题,使得网上银行信息安全问题非常突出,主要总结如下:
。。1、 机密性问题 :银行用户在使用网上银行系统时要求用户输入用户帐号和密码等机密信息后,客户端电脑就把此机密数据通过 互联网传到网上银行的服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得用户网上银行的登录帐号和密码,这就可以解释为何用户没有“泄露”密码,但银行帐户上的钱还是不翼而飞了。
。。2、 完整性问题: 如果在用户端电脑到网上银行服务器之间的转帐信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,把转帐给甲的银行帐号篡改为转帐给乙的银行帐号,而用户还不知晓,因为用户提交时是填写正确的。
。。3、 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是网上银行用户的真实身份,另一个是网上银行网站的真实身份。非法用户可以伪造、假冒网上银行网站和银行用户的身份,因此用户无法知道他们所登录的网站是否是可信的真实的网上银行网站,而银行也无法验证登录到网上银行的用户是否就是合法身份,仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。而有些银行声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法,建议用户不要使用有此类声明的网上银行。银行应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是真正的网上银行网站还是假冒的网上银行网站,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的银行网站的域名往往与真实银行网站只差 1 个字母。
。。4、 交易的不可否认性问题: 银行用户有可能会否认其在线转帐交易行为,这里有许多原因,可能是用户本身的原因,也可能是银行的原因,每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。
。。针对以上安全隐患和可能出现的问题, WoTrust推出了基于 PKI 技术外包服务的网上银行 信息安全解决方案,完全解决解决了以上 4 大问题:
。。(1) 为网上银行服务器 (Web 服务和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书,确保用户在任何地方都可以使用任何浏览器从事网上银行服务,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了银行卡信息、网上银行帐号、密码和交易数据的机密性和完整性。
( 请广大网上银行铭记:从事网上银行业务时一定要看看浏览器右下方是否有“安全锁 ” 标志”或一定要使用单位数字证书登录,如果没有,请一定不要使用网上银行,因为输入的您的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )
。。(2) 银行应该为每个网上银行用户颁发一个全球通用的 ( 在任何地方,即使在国外也可以使用 ) 单位数字证书用于登录网上银行网站的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐用户使用 USB 移动数字证书来确保是真实的您在从事网上银行业务 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口,交易完毕就拔下 ) 。
。。(3) 在网上银行网站的的显著位置显示安全认证签章,让用户一眼就看出他 / 她正准备联上的网站确实是该银行的网上银行网站, 不是假冒银行网站。现在假冒一个一模一样的网站只需几秒钟时间,而安全认证签章在假冒网站上是不能显示的。
查看评论 (0)
企业应用信息安全 发布: 2008.12.30
打印 现在,许多大中企业都部署了 ERP( 企业资源规划 ) 、 CRM( 客户关系管理 ) 、 SCM( 供应链管理 ) 、 OA( 办公自动化 ) 、 MIS( 管理信息系统 ) 和 CAD( 计算机辅助设计 ) 等信息系统,为企业的管理和科学决策起到了非常大的作用,而这些系统基本上涉及到了企业的所有核心机密数据如财务账目、凭证、采购销售、资金使用 ) 、生产计划、客户、在线报销和在线转帐等,而访问方式涉及到内部网访问、通过外部互联网访问和通过 VPN 外联网访问,访问人员涉及到企业员工、合作伙伴、供应商、代理商、客户等,可以说,这些对于企业的信息主管绝对是一个不小的挑战,因为这些访问人员会通过各种访问方式获得了企业的机密信息,一旦数据失真或被内部人员、黑客和商业间谍窃取将有可能导致严重的后果,甚至破产。因此,采取强有力的信息安全措施来保障企业的信息安全将变得尤为重要。目前企业的信息安全出现的主要问题总结如下:
(1) 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是访问企业信息系统的用户的真实身份认证,另一个是企业网站的真实身份认证。而前者对于企业来讲最重要,因为访问者可能在世界各地通过各种方式访问,而仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性可言,而有些大企业 ( 如神州数码 ) 采用昂贵的能产生动态口令的令牌卡也是不安全的,除了有可能遗失令牌卡、电池没电甚至不按规定借给其他人使用等不安全因素外,如果没有考虑输入密码通过认证后的所有从客户端到服务器的数据交换在不安全的网络上明文传输的话,则仍然是不安全的,但令牌卡会麻痹用户认为非常安全。
(2) 信息的机密性问题 :企业的各种用户在访问企业的信息系统时要求用户输入用户帐号和密码以及其他机密信息和通过身份认证后从服务器传来的机密信息,用户端电脑与服务器之间的机密数据的传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而泄密,这是非常危险的,但企业往往只重视了身份认证问题。
(3) 信息的完整性问题: 如果在用户端电脑到企业数据库服务器之间的所有信息交换在传输过程中不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,使得企业蒙受巨大的经济损失,而用户还不知晓。
(4) 不可否认性问题: 不管是上游供应商还是下游分销商以及员工,所有用户有可能会否认其在线操作行为,这里有许多原因,可能是用户本身的原因,也可能是其他方面的原因,每笔在线操作一定要有可靠的签名记录用于纠纷仲裁的法律依据。
针对以上安全隐患和可能出现的问题, 推出了基于 PKI 技术的企业信息化应用信息安全解决方案,完全解决了以上 4 大问题:
(1) 为企业的服务器 (Web 服务器和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的 SSL证书,确保全球用户在任何地方都可以使用任何浏览器访问企业的服务器,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了信息的机密信息、帐号、密码和交易数据的机密性和完整性。
(2) 为每个访问企业信息系统的用户 ( 员工、合作伙伴和客户 ) 颁发一个全球通用的 ( 在任何地方,即使在国外也可以使用 ) 单位数字证书用于登录企业信息系统的真实身份认证和用于每个在线操作的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐用户使用 USB 型移动数字证书来确保是真实的合法用户安全地登录企业信息系统 ( 需要登录和在线处理业务时就把移动数字证书插入电脑的 USB 口,用完就拔下 ) 。此证书不仅可以用于强身份认证,还可以用于电子邮件数字签名和加密,也可以用于数字签名PDF文件,从而真正实现全程无纸化。
(3) 在企业网站的显著位置显示安全认证签章,让用户一眼就看出他 / 她正准备联上的网站确实是该用户计划登录的企业网站,而不是假冒的企业网站。现在假冒一个一模一样的网站只需几秒钟时间,而网站身份认证签章在假冒网站上是不能显示的。
查看评论 (0)
智能DNS 发布: 2008.12.30
打印 随着国内互联网运营商之间互连互通问题的出现, 越来越多的网站经营者开始使用智能DNS来解决这个问题。众所周知我们要访问一个网站都预先知道该网站的域名, 而且这个域名需要利用DNS服务器解析成相应的IP地址后才可以被我们访问到。对一个域名( 或子域名) 解析来说普通DNS服务器仅仅是把一个域名( 或子域名) 解析成一个IP地址, 即域名( 或子域名) 与IP地址是一对一的关系。Dnsmaster扩充了普通DNS服务器的功能, 它可以把一个域名按一定的规则解析成多个不同的IP地址。这样以来我们帱可以利用Dnsmaster的这个特性人为的让使用不同ISP线路( 国内主要是网通, 电信, 教育网等) 的上网用户分别解析成相应不同IP地址, 从而实现加速网站访问速度的功能。比如一个网站分别在网通、电信、教育网和国外都设有服务器, 这时我们可以使用Dnsmaster来解析这个域名实现分别解析为不同的IP地址, 从而解决各个ISP之间互通的问题。
Dnsmaster整合健康检查功能,分PING,TCP,HTTP三种检查方式,用户可以在添加某台记录服务器IP之后填写相应的检查项目,系统会根据设置的参数进行相应形式的健康检查,并显示检查结果。
查看评论 (0) 
对不起, 您所在的用户组无权发表评论!