主要安全代理产品白皮书.doc

网络及信息安全代理产品网络及信息安全代理产品 技术白皮书技术白皮书 北京北大青鸟环宇科技股份有限公司 2 / 25 一、引言一、引言 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活 方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别 是 Internet 的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务， 电子现金，数字货币，网络银行，网上证券等新兴业务的兴起，网络安全问题变得越来越 重要。 北大青鸟环宇科技股份有限公司成立与 2000 年 3 月，由北大青鸟软件系统有限公 司、北大宇环微电子系统工程公司、北大青鸟天桥有限公司等 9 家企业和投资基金共同发 起设立的一家高科技公司，注册资本 9640 万元。并于 2000 年 7 月 27 日在香港创业版上市， 是境内第一家在香港创业版上市的高科技企业。公司作为中国首屈一指的嵌入系统开发商 和供应商，依托北京大学信息安全研究室、北京大学软件工程研究所和北京大学微电子学 研究所的科研、人才优势，以嵌入式系统产品为主要发展方向，主要从事网络安全产品、 专用集成电路（ASIC）、IC 卡应用系统、GPS 应用系统和无线火灾报警系统等。 公司依托强有力的技术后盾，在充分发挥自身技术优势的基础上，率先投身网络和 信息安全领域，在国信办、国密办、国家保密局、公安部、总参 58 所、56 所等部门的指 导和支持下，承担了一系列关于网络信息安全的研究课题和项目，并已开发一系列网络及 信息安全产品，形成了产、学、研一体化的格局。目前开展的研究涉及网络与信息安全方 面的理论、技术、产品研发各环节，尤其在 Intranet/Internet、VPN、区域金融网安全体 系、加密及密钥管理体制、密押及数字签名体制、双向身份认证、访问控制、安全电子传 输协议（SET）、信息存储安全、系统日志、支付密码器、数据加密卡、链路加密机、公用 对象代理系统、安全通信平台等方面取得了很好的研究成果。公司作为一家专业从事网络 信息安全技术应用和推广的高科技实体。一直致力于金融、证券、银行、政府上网工程、 公共网/Intranet 网络信息安全等领域的自主安全产品开发和以客户应用为核心的系统集 成项目的整体方案设计和工程实施，并成果显著。 目前，赛门铁克 (Symantec) 公司是全球第一位的互联网络安全解决方案供应商， 也是唯一能够提供最全面的互联网络安全解决方案供应商。成立于 1982 年，现在全球范围 设立的分支机构已超过 33 个国家。于 1989 年在美国上市，全球用户超过六千万，包括 3 / 25 Fortune Top50 家企业的 45 家。拥有全球雇员及专家 3700 多人。公司 2000 财政年度防病 毒与工具类软件销售额销售额 7.45 亿美元，净利润 1.7 亿美元。风险评估与入侵检测等安 全类软件销售额 1.13 亿美元。赛门铁克公司为个人和企业用户提供了一系列网络安全解决 方案。包括病毒防护、风险管理、入侵检测、互联网安全、电子邮件过滤和移动代码侦测 等技术。公司的目标是为用户提供端到端的互联网安全整体解决方案、快捷灵活的超值授 权方案，使用户以最小的投入而获得最大利益。 北大青鸟环宇公司与赛门铁克公司结成战略合作伙伴关系, 作为赛门铁克在中国的全 线产品分销商。成功实现的强强联手旨在共同提高中国网络安全技术水平、丰富国内的安 全手段和产品，以便为用户提供更为全面的网络及信息安全解决方案。 二、产品应用思路二、产品应用思路 北大青鸟环宇公司的一体化的网络安全解决方案能够帮助用户根据网络的实际情况和 应用需求提出合理可行的安全需求；确定要保护的对象（网络设备、企业内部服务器、应 用系统等要素） 、所采用的安全技术和产品；进而设计并建立适合自己的安全机制、安全管 理制度，取得安全风险、成本、安全性三者之间取得最佳平衡点。 公司代理了 Symantec 的所有安全产品，防火墙、入侵检测、漏洞扫描、防病毒等。内 容如下： 1.风险评估与漏洞扫描 Enterprise Security Manager（基于主机的漏洞检测） NetRecon（基于网络的漏洞检测） 2. 网络防护 Intruder Alert(基于主机防黑客入侵侦测) NetProwler(基于网络防黑客入侵侦测) Raptor Firewall（防火墙） 3.身份认证、加密 Defender 、WebDefender VPN Solutions(RaptorMobile 、PowerVPN ) 4 / 25 PassGoInSvnc、PassGo SSO 4.管理 Enterprise Resource Manager Resource Manager for UNIX Privilege Manager for UNIX 5.内容安全 I-Gear（网站和网页内容过滤） Mail-Gear（邮件内容过滤、防邮件泄密） 网络防病毒解决方案（NAVES） 6.桌面防火墙系统（Desktop Firewall ） Desktop Firewall 2.0 7.系统支持与维护（eSupport） Symantec Ghost 6.5 pcANYWHERE 9.2 安全产品实现的主要功能和应用层次如下： 防病防病防病防病 毒毒毒毒 自身安全自身安全 授权授权 安全管理安全管理安全管理安全管理 ( ( ( (ERM,ERM,ERM,ERM, PassGoPassGoPassGoPassGo Insync,Insync,Insync,Insync, PassGoPassGoPassGoPassGo SSOSSOSSOSSO) ) ) ) 增强的用戶認證增强的用戶認證增强的用戶認證增强的用戶認證 ( ( ( (Defender,Defender,Defender,Defender, WebWebWebWeb DefenderDefenderDefenderDefender) ) ) ) 入侵检测入侵检测入侵检测入侵检测 ( ( ( (IntruderIntruderIntruderIntruder Alert,Alert,Alert,Alert, NetNetNetNet ProwlerProwlerProwlerProwler) ) ) ) 评估评估评估评估 ( ( ( (ESMESMESMESM , , , , NetReconNetReconNetReconNetRecon) ) ) ) 安安安安 全全全全 管管管管 理理理理 (U(U(U(U PMPMPMPM , , , , ERERERER M M M M) ) ) ) 加密加密加密加密 ( ( ( (PowerPowerPowerPower VPNVPNVPNVPN) ) ) ) 访问控制访问控制访问控制访问控制 ( ( ( (DesktopDesktopDesktopDesktop Firewall,Firewall,Firewall,Firewall, SecuritySecuritySecuritySecurity BriefcaseBriefcaseBriefcaseBriefcase) ) ) ) 安安安安 全全全全 顾顾顾顾 问问问问 防火墻防火墻防火墻防火墻 ( ( ( (RaptorRaptorRaptorRaptor FirewallFirewallFirewallFirewall) ) ) ) 内容过滤（内容过滤（内容过滤（内容过滤（I-Gear,I-Gear,I-Gear,I-Gear, Mail-Gear,NAVESMail-Gear,NAVESMail-Gear,NAVESMail-Gear,NAVES） 5 / 25 三、三、NetProwler 3.1 NetProwler 产品概述产品概述 NetProwler 是基于网络的入侵检测工具，通过监视服务器、工作站和其他网络设备间 的网络通讯，能够检测出类似 IP Spoofs 和 SYN Floods 这样的网络攻击。它能够将许多 严重的攻击在危及网络安全之前检查出来，对内部破坏者和外部黑客非法访问计算机系统 能够立即做出响应，记录日志和终止非法访问。 NetProwler 在专门的 NT 工作站上部署一个数据包监视方案来检查网络攻击，NT 工作 站的网卡接口模式设置为混杂模式，NetProwler 检查所有经过网卡端口的数据包，对检测 出的安全攻击进行响应。 NetProwler 采用具有专利技术的 SDSI（Stateful Dynamic Signature Inspection 状 态化的动态特征检测）入侵检测技术,而不是将信号同数据库中预定义的攻击信号进行简单 的比较。每个攻击特征都是一组指令集，这些指令是由 SDSI 虚处理器通过使用一个高速缓 存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络 服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所 支持的应用而建立的。一旦 NetProwler 被安装，它将扫描所在网段，进而发现危及主机和 应用系统安全的攻击。在 NetProwler 进行网络扫描、提交报告后，系统管理员对每个系统 的配置进行修改，对攻击进行响应。 3.2 NetProwler 的体系结构的体系结构 NetProwler 具有多层体系结构，由 Agent、Console 和 Manager 三部分组成。 Agent 负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管 理器。安装时应与企业的网络结构和安全策略相结合。NetProwler 需要在每个网段中部署 一个或一个以上 Agent，根据不同的网络结构，Agent 有多种不同的连接形式。 Console 负责从代理处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某 6 / 25 个管理器的代理。 Manager 对配置和攻击警告信息响应，执行控制台发布的命令，将代理发出的攻击警 告传递给控制台。 当 NetProwler 发现攻击时，可采取的响应措施包括：把事件记入日志、中断连接、 加强防火墙、创建一个报告、通过文件或 EMAIL 通知系统管理员、启动另一个程序、记录 连接、将事件通知主机入侵检测管理器和控制台。 3.4 NetProwler 产品特点产品特点 运用了 SDSI 技术，能够动态装载新的更新，同时赛门铁克的信息安全小组 SWAT 随时研究新的入侵技术和安全威胁，并且在实验室中对它们进行测试，以便用户能 够以最快的速度实施新的入侵检测方案。 采用了黑客反跟踪技术，可以对 TCP/IP 欺骗信号进行核查。通常状态下，攻击 者使用假 IP 地址有可能会被注意到，因为在建立连接时往往要检验 IP 地址以判断通讯双 方是否有信任关系。黑客的做法是截获一个已经获得信任的连接，盗用合法 IP，同通信另 一方取得联系。NetProwler 不是进行简单的域名检查，而是将攻击信号同保留的 IP 和 MAC 地址对进行比较，并且可以对攻击者在进行序列号猜测过程中发生的极其微小的错误 也能检测到。这项功能是一般的网络入侵检测系统不具备的。 NetProwler 具有优秀的报表输出功能，有三种不同的输出方式：快速报表、自定 义格式报表和使用 Crystal 报表设计工具生成报表。生成的报表存储在 NetProwler 管理器 中，可以从控制台系统的浏览器中观看生成的报表。 NetProwler 允许将攻击特征作为一组指令集来实现，所以还为用户提供过滤器编 程语言，使入侵检测系统在必要的时候可以编译过滤器。 自动报告丢包情况：当网络流量非常繁重致使一个 NetProwler Agent 不能处理时， Agent 可以详细的记录下相关信息，并生成报表。 遵循 OPSEC 协议，具有良好的互操作性。很多企业为了便于管理，均使用一个 网管软件对网络中的所有设备和应用系统进行管理，例如 TIVOLI、HP-OPENVIEW 等等。 NetProwler 在产品整合过程中，对外提供标准插件，使网管软件对其实施管理。 加固防火墙的安全性：将入侵检测产品和其他网络安全产品（如防火墙、网络防 病毒产品等）配合使用，能够使网络更加坚固、安全，使各种安全产品充分发挥自身的特 7 / 25 性。NetProwler 在响应攻击事件时，可以修改 Raptor Firewall、 Checkpoint Firewall 等的安 全策略和访问控制规则。 被动网络监测：NetProwler 可以把在本系统中安装的网卡置于混杂模式 (Promiscuous)实时检测各种攻击。由于它采用数据缓冲技术而不是采用存储/转发技术，因 此不会影响网络或应用的性能。 用户自定义攻击定义（特征）：攻击特征可以检测并防止黑客通过命令尝试来探 测或挖掘已知系统和应用的漏洞。同时管理员可以根据企业的资源和应用情况制定相应的 攻击特征。因此可以保护企业特定的资源和应用。 动态装载新的攻击特征：IDS 系统只有能够及时更新攻击特征库才能够最强的监 测和防护能力，其他的 IDS 系统在更新攻击特征库是需要停止 IDS 服务，NetProwler 由于 采用了 SDSI 专利技术，他把会话处理和分析功能从攻击特征库中分离开来，NetProwler 可 以在无需停止任何服务的情况下装载最新的攻击特征。 网络 Profiler：NetProwler 通过自动发现网络主机、应用以及自动实施攻击特征， 提供无缝的安装和配置功能。同时他允许在监测不同网段的数据包时只采用跟本网段安全 有关的的攻击特征。从而大大提高了监测效 率和优化了性能。 全企业范围内可扩展的管理结构：可以为多个 NetProwler Agent 提供一个直观、 方便的集中的管理、配置和监测平台。为管理员提供一个基于目标驱动的一步一步的安装、 配置、监测和维护，同时 NetProwler 的三级结构（Console, Manager, Agent）具有极好的可 扩展性。因此在分布式网络中极易管理。 基于 WEB 的特征更新和和自动下载：NetProwler 对大多数攻击响应的配置都非 常容易。系统不需要离线就可以直接从 WEB 站点下载升级程序和用户定义的攻击信号， 并进行配置。NetProwler 还带有攻击信号定义工具，系统管理员可以针对公司的特殊应用 程序和策略创建自定义攻击信号。 攻击字典：提供详细的有关攻击描述包括 CVE（Common Vulnerability） ，同时有 相应的联接直接连接到 SWAT 网站。 支持 SMP 和双网卡：NetProwler Agent 通过多个硬件来提高性能，同时支持双网 卡在 DMZ 区运行于秘密的模式。从而大大提高了性能和安全性。 攻击特征定义向导：NetProwler 直观的攻击特征定义用户接口和向导帮助用户方 便快速地定制用户自定义攻击特征。 8 / 25 可以和 Intruder Alert 相集成，提供一个完整的防黑客安全解决方案。 实时的会话监测：NetProwler 的“talker”特点为常见的应用提供扩展的会话监测， 如 HTTP、FTP、TELNET、Email、chat、rshell、rlogin 等。使管理员实时记录、中断恶意 的会话，同时记录下来的数据也可以为用户自定义攻击特征提供参考。 可以通过 NetProwler Console 实时地、定时地、自动地把最新的攻击特征分发到 远程的 Agent 上。 四、四、Intruder Alert 4.1 Intruder Alert 产品概述产品概述 Intruder Alert 是基于主机的入侵检测工具，通过监视企业重要服务器和各种应用以 避免企业资源被攻击、滥用和误用，如果这些系统遭到攻击或威胁，Intruder Alert 可以 立即通知管理员或采取预先设置好的响应措施以避免信息的丢失或破坏。 Intruder Alert 代理被安装在服务器或工作站中。这些代理可以监视该系统中的所有 行为包括和操作系统的交互通信以及特定的应用，从而可以主动保护企业资源和业务免 受非法使用和破坏。 Intruder Alert 可以：1）不停地监视用户（user）对操作系统和应用所做的任何行 为。2）不断地对系统、应用、数据的完整性进行评估和主动地进行维护。3）创建新的安 全监视策略并实时的进行更新。4）检测未经授权的行为，同时发出相应的警报也可以执行 预设的响应措施。2）收集并保护所有日志以便日后分析。4）与 NetProwler 无缝集合。 4.2 Intruder Alert 体系结构体系结构 Intruder Alertr 采用三层体系结构，具体包括：Intruder Alert Administrator、Intruder Alert Event Viewer、Intruder Alert Manager、Intruder Alert Agent。 Intruder Alert Administrator：是一个 NT 和 UNIX 平台下的图形化的用户接口（GUI） ， 主要起管理维护工作，包括：建立和断开和 Manager 的连接、组织和配置代理（Agent） 、 创建和管理域、创建和管理各种类型策略、管理 Intruder Alert 用户和用户优先级、在需要 9 / 25 的时候更新 Manager 的许可证优先级。 Intruder Alert Event Viewer：是一个独立的 NT 和 UNIX 平台下的图形化的用户接口， 用于查看从 Agent 中获取的各种事件数据，从而可以查看选定的刚刚发生的或已经发生的 各种事件，还可以给代理（Agent）发送各种 ITA 指令,以及生成并查看各种在线或历史报 告。 Intruder Alert Manager：是一个运行在后台的应用软件，Manager 没有图形化界面， 其主要功能是：维护与所有注册代理（Agent）的安全通讯，维护域的主列表和把相应的策 略分发到每一个代理（Agent） ，把有关域和策略的变化通知给相应的代理（Agent） ，接收 和存储来自于代理的事件数据，作为 Intruder Alert Administrator，Intruder Alert Event Viewer，和 Agent 之间通讯的桥梁，维护策略列表和所属域。 Intruder Alert Agent：主要起如下作用：监视时间收集器，在发现攻击时，执行相应 的行为（如：通知用户、发送 E-mail、通知管理员、终止会话、关闭机器等） ，从 Manager 中接受安全升级（Security Update） ，建立与 Manager 的安全连接，同时加密数据以便数据 可以在网络中安全传送。 4.3 Intruder Alert 产品特点产品特点 基于策略的入侵检测：管理员可以非常方便地把基于策略的 IDS 防护实施到系统 中。通过基于策略的监测，管理员可以完全控制如何监测系统，定义要监测什么系统、 监测系统中何种行为，同时在发现攻击时采取什么行为。 动态地、实时地更新安全策略：可以动态地、实时地更新入侵检测策略。Intruder Alert 提供一套完整的工具来创建新的入侵检测策略，同时实时地应用到系统中。 Intruder Alert Agent 支持 50 多种操作系统平台，几乎包含了所有的商用操作系统 平台。如；Windows NT(Alpha in Spring 98) 、NetWare 、UNIX: 、AIX 3.2.5 & 4.1 on RS/6000 、AT&T GIS (NCR) 2.3 on x86 、Digital UNIX/OSF1 3.0 or later on DEC Alpha-AXP、Digital UNIX 3.2 on Alpha 、Digital/ULTRIX 4.3 or later on MIPS 、DYNIX/ptx 4.1.3 or later on Sequent Single & Multiprocessor x86 、HP-UX 9.05 & 10.01 or later (11.0 being verified)on HP 9000/7xx & 8xx 、IRIX 5.3 & 6.2 on SGI (Indy) 、NCR SVR4 2.3 & 3.0 or later on Intel 、Solaris 2.4 & 2.5 or later on Sun SPARC 、SunOS 4.1.3_U1 & 4.1.4 or later on Sun SPARC 、SVR4 、Motorola 88000 等。 10 / 25 Intruder Alert Administrator：支持 Windows NT, HP-UX, Sun Solaris。 Intruder Alert Manager：支持 AIX, Digital UNIX, HP-UX, IRIX, NCR, Solaris, SunOS, Windows NT, NetWare。 Intruder Alert 还可以根据企业的具体情况配置成监测企业的各种应用，如：Web 应用、数据库应用以及其他的运行在服务器中的重要应用。 精简审计日志：通过 Intruder Alert Event Viewer 可以对繁杂的审计日志进行分类、 集中管理、同时也为管理员提供一个更加有效的、容易的安全的日志查看和分析方法 和手段。 企业范围内的管理：Intruder Alert 可以和各种主要的企业管理工具集成使用，从 而为用户提供一个强大的管理控制平台，它支持：、用户自定义的安全目的。、 提供管理向导，使得日常维护工作更加容易。、当发现安全冲突事件时，可以实时 监测和显示安全事件。、可以远程静默安装和调整，从而易于软件的实施和维护。 、提供和 Tivoli、BMC Patrol、HP OpenView 的集成模块。 可以完全和 NetProwler 事件集成：可以和 Intruder Alert 相结合，巩固安全事件报 告。NetProwler 监测网络数据包，并提前警告来自 Internet 的攻击，为整个企业的网络 和重要的商业服务器和应用提供一个集成的 IDS 安全点，同时在 NetProwler 发现攻击 时，可以和 Intruder Alert 连动。 强大的报告和事件响应指南：可以有效地管理安全风险。Intruder Alert 可以为管 理员提供独特的报告，帮助管理员了解安全趋势和经常出现的安全问题。可以根据系 统、用户、时间等九项指标分类提供报告。 可以收集并提供多个系统中发生的相关的攻击报告。 提供实时的监测功能：可以根据当前情况实时提供图表、图形报告并可以对历史 事件查询和分析。 提供 UNIX 平台下的图形化用户接口（GUI） 。 用户自定义攻击定义（特征）：攻击特征可以检测并防止黑客通过命令尝试来探 测或挖掘已知系统和应用的漏洞。管理员可以根据企业的资源和应用的具体情况制定 相应的攻击特征。因此可以保护企业特定的资源和应用。 同时可以有多个安全策略起作用。 11 / 25 五、五、EnterpriseEnterprise SecuritySecurity ManagerManager 5.1 ESM 产品概述产品概述 ESM（Enterprise Security Manager）是一种基于主机的安全漏洞扫描和风险评估工具, 主要用于评估多种操作系统平台的系统安全性和应用安全，包括不同种类的 UNIX 平台， Windows 平台，Netware 和 OpenVMS。在这些环境中，ESM 对数据安全提供有效的管理、 检查和保证。ESM 5.1 在 55 个以上的平台上共执行超过 1500 种安全检查，根据 IDC 99 报 告，ESM 占有 68% 的市场份额，50 top Fortune 的 40 家使用 ESM。 使用 ESM 评估速度更快，网络影响更小。由于 ESM 代理被安装在每一个需要评估的 主机上，每个系统独立与其它系统（并行）工作，因此执行一个系统范围内的评估非常快。 当每个代理完成自己的评估，只把违反安全策略的信息作为报告安全地传送到 ESM 管理器。 ESM 包括三个主要组成部分：ESM 管理器，ESM 代理和 ESM 企业控制台（GUI） 。 ESM 的管理器/代理结构有以下优点： 深度的更精确的扫描，, 可扩展性和权限分离。因 为 ESM 代理拥有全部的系统运行权限，所以可以精确评估安全配置和应用的所有方面。另 一方面，基于网络的扫描器没有访问系统的权限，因而不能象 ESM 那样执行深度评估，获 得精确的结果。同时 ESM 通过安全管理员定义任务，执行任务需要的登录 ID 号，口令和 被赋予的权限，实现权限分离。 ESM 的结构分为内核和模块。这种结构可以独立于内核为操作系统开发和发布新的 安全检查。安全升级就是下载包含新的和增强的安全检查的模块。 5.2 ESM 基本功能基本功能 用于管理敏感数据和加强整个客户端/服务器平台的安全策略。包括 Windows 2000/NT，UNIX，Novell NetWare，OpenVMS。同时 ESM 也可以保证信息和资源的 机密性、完整性和可用性。 管理安全策略。 监测安全设置和文件的变化。 评估并报告系统是否符合安全策略，如未经许可的特权，错误的文件访问和错误的 12 / 25 系统配置等。 为实现企业安全策略提供一种机制和方法。 管理并确保企业内部服从规定的安全策略。 对数据和数据访问提供完整的检查。检测安全设置和文件的改变。 5.3 ESM 体系结构体系结构 ESM 采用三层体系结构，由 Agent、Console 和 Manager 三部分组成,同时 ESM 也带有 命令行接口(CLI)以提供运行安全功能的另一种方式。 ESM Agent:安装在企业重要服务器上，可以是 UNIX、Windows、Netware 等。它由一 个模块服务器和一个负责与服务器通讯的组件组成。当 ESM Manager 发出策略运行请求时， Agent 将立即做出响应并负责收集和解释属于系统安全方面的数据。Agent 在策略中的安全 模块分析 Agent 所运行的工作站、服务器、或机器节点中或者 Agent 作为 Proxy 的系统的 配置，Agent 服务器收集所有这些数据结果并把它们返回到初始化请求的 Manager 中去。 ESM Manager：可运行在 UNIX、Windows、Netware。ESM Manager 主要有两个部分 组成CIF Server 和 Net Server，其主要作用是控制并存储策略数据，同时在需要的时候把 这些数据传送给 ESM Agent 和 ESM Console，以及负责从 ESM Agent 中收集和存储安全数 据，并把这些数据传送到 ESM Console 中。 ESM Console 运行在 WIN95/NT/2000 上，负责接受输入数据并向其他 ESM 组件发送 请求，当数据结果返回时，ESM Console 对这些信息进行格式化输出、创建电子数据表格、 饼图、柱状图和其他的可视对象。它可以跨平台和网络中的 Manager 进行通讯，ESM Console 通过 CSP(Client Server Protocol)和其他组件进行通讯。 5.4 ESM 产品特点产品特点 能够智能地跨平台评估安全 (UNIX, NT, NetWare)并产生完整的报告。 利用独一无二的三层结构，可以并行检查多个被评估的系统。由于所有的安全评估只 发生在安装了代理的系统上，只有评估报告通过网络传送，占用网络带宽非常小。 运行安全评估报告的用户不需要具有运行代理的系统的管理员权限。 支持数据库 (Oracle), Web Servers (Microsoft 和 Netscape)和附加的平台 (AS/400)。通 过软件开发工具包(SDK)可以使其它平台和应用与 ESM 的中央报告器集成在一个界面 13 / 25 与其它系统管理架构如 Tivoli, BMC, and HP Openview 集成，可以在这些管理控制台上 执行策略，运行和显示数据。企业可以在单一的界面下管理网络和安全。 支持远程安装，在一个地理分散的企业里可以在总部完成 ESM 安装。 支持远程升级和调整软件包，允许管理员在企业里迅速分发新的版本或调整软件包。 ESM 提供安全状态饼图，可以帮助用户快速评估现有的安全状态和最终确定问题所在。 全面的、基于策略的安全评估：ESM 的评估基于安全标准。安全管理员可以通过一 个或多个 ESM 策略在线应用这些标准。在评估关键服务器、工作站和应用的安全程度 时，ESM 利用策略作为基准，它告知 ESM 是如何设置，认证和给予权限。ESM 策略 包括一系列评价计算机安全特定领域的安全模块。Symantec 为不同版本的操作系统或 应用单独制订安全模块。安全模块依次包含安全检查，日常评估，这些评估表明了系 统配置的情况。 强大的全企业范围内的安全管理：通过 ESM，企业安全管理员可以：在线创建和管 理安全策略、创建和管理用户自定义的安全域、7 x24 自动调度管理器可以非常容易地执行 日常安全评估、通过强大的交互式报告快速识别违规的系统、通过用户自定义安全任务准 许在全面的审核下安全管理各个任务的授权、软件分发和管理工具使安全管理员可以在企 业全面部署 ESM，从而快速精确地评估整个企业信息资产的安全性。 。 可扩展的结构：ESM 支持主要的商用 UNIX 版本, Windows NT, NetWare and VMS. ESM 也支持 Web Servers 和 Oracle Database Servers。 ESM 提供大范围跨多平台执行并报告重要安全信息。 六、六、NetRecon 6.1 NetRecon 产品概述产品概述 NetRecon 是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。与其他 漏洞扫描工具不同是，NetRecon 不仅仅能够检测和报告漏洞而且还可以证明漏洞发生在什 么地方以及发生的原因。它就询问网络和系统；在系统间分享信息并继续探测各种漏洞直 到发现所有的安全漏洞。NetRecon 还可以通过发掘漏洞以提供更高的可信度以确保被检测 出的漏洞是真正的漏洞。这就使得风险分析更加精确并确保管理员可以把风险程度最高的 14 / 25 漏洞放在优先考虑的位置。另外，NetRecon 独有的路径分析技术可以帮助发现漏洞的根本 原因。NetRecon 可以一步一步证明用于获取信息或评估系统的各种技术。通过分析漏洞的 根本原因，任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题或被确定 到网络中的系统并且迅速被排除。 NetRecon 在对网络和系统进行扫描时，采用了具有专利 UltraScan 技术，当一个对 象获取相关的数据后，数据会作为输入提供给其他的一个或多个工作对象，多个对象同时 探测多个目标，并连续地工作。相反，其他的扫描器在某一时刻只能扫描一个目标的漏洞， NetRecon 使用在给定时间点找到的数据来查找其他系统上的相关漏洞。并且检测的同时动 态地图形化地显示探测结果，明确指出修复漏洞的特定方法，建议弥补方案。 不同与普通的网络探测技术，NetRecon 不仅仅基于 IP 协议，他可以利用多种协议和 技术来探测各种敏感的网络资源，如 NOVELL 系统。 6.2 NetRecon 基本功能基本功能 发现资源-发现那些黑客看不到，但能利用的资源。NetRecon 可以帮助确认系统或 设备中具有的未列出的数据。 启动 Exec 服务 - EXEC 服务（也称为 REXEC）提供一个具有基于用户名和密码授权 的远程命令执行工具。黑客发现这个服务是一个极具魅力的口令猜测工具，因为它很 少保存使用日志。 启动 SMTP 译码别名 - 它使利用 EMAIL 发送和接收二进制文件变得更容易。不幸 的是，解码的 EMAIL 别名可能被用来生成或覆盖系统文件。如黑客可能利用这种程序 用远程系统中它们自己的代码来覆盖系统文件。 获得空的会话访问 - 空的会话连接允许远程的攻击者搜集系统中有关帐号和资源 的信息，获得对 WINDOWS 系统及其资源的访问能力。 获得用户级的访问能力 - 如果 NetRecon 能象一个有效用户一样登录到网络资源， 那么黑客也可以。NetRecon 获取各种试图登录到 Windows NT, UNIX, NetWare 和其它 系统的资源，并用它们来作为登录名和密码。 发现系统类型 - 假如黑客能检测到系统运行 WINDOWS NT 4。0 而有不带服务包 SP3，那么它们可以利用大量众所周知的系统漏洞。 获取 NIS 加密口令 - 许多用户使用一个普通的单词或名字作为口令。NetRecon 15 / 25 会象黑客一样试图猜测口令，决定网络的安全漏洞。 使用小/大的词典破译口令 - 如果黑客能从系统中获得加密后的密码，它们可以 从词典中找出单词当作密码进行加密，并把结果与从受侵对象获得的口令进行比较。 猜出口令即为所匹配的字典中的单词。 NetWare 通知口令跟踪可能 - 缺省情况下，没有 SP3 的 WINDOWS NT 4。0 的注册 表中包含一个指向活动端口的条目。在特定系统中知道了正在使用哪种服务有助于黑 客知道使用哪种攻击有效，哪些系统是脆弱的。 通过 SMB 可以 Mount 的本地磁盘 - SMB（服务器信息块）是许多操作系统都使用 的用于文件共享的标准格式。攻击者可能利用它检索文件。 6.3 NetRecon 产品特点产品特点 灵活可变的扫描范围：通过 NetRecon，用户可以限制扫描的范围，如：扫描特定的 IP 范围、特定的网络或其他网络资源如：域名或 Windows 网络邻居名称。另外，如果不 选择某个特定的资源范围，NetRecon 可以“发现”它们并且为用户建立建立一个可用 的资源列表。 提供图形化的用户接口：可以在任何时候从各方面查看扫描的状态。在 NetRecon 中有 对象、数据和图形方格图形化或文本化显示产品行为的功能。从而使得判别安全级别 一目了然。 自动地、跨平台地发现和评估：NetRecon 可以自动发现网络中的资源，这种功能不仅 仅支持分析基于 TCP/IP 的网络，同样支持 IPX 和 NetBEUI。NetRecon 还拥有一个知 识库，用于发现和发掘在特定系统中的漏洞如：UNIX, NetWare 3.x and 4.x (with bindery and NDS), Windows 95 and Windows NT 3.51 and 4.0 Workstation and Server。 渐渐式扫描技术：这是 Symantec 的专利技术，在这种技术中，一个扫描的信息可以用 于另一个扫描。它可以收集漏洞和信息用于另一个扫描以发现更深层次的扫描。 路径分析功能：NetRecon 不仅仅报告漏洞，还能证实发现漏洞的步骤。同时还能发现 产生漏洞的真正原因，并且可以证明黑客突破该漏洞的每一步。NetRecon 可以一步一 步证明用于获取信息或评估系统的步骤。 通过 Web 更新服务：NetRecon 采用模块化解决方案，这使得它可以更加容易扩展漏洞 知识库和评估模块。这些模块可以通过 Web 站点来获得，从而使得当威胁出现时，很 16 / 25 容易获得更新，而无需重新安装整个软件。 七、七、Raptor Firewall 7.1 Raptor Firewall 产品概述产品概述 Raptor 防火墙和 VPN 服务器是 Symantec 公司推出的多次获奖的网络安全产品， Raptor 防火墙可以在不影响性能的前提下，提供企业级的最大边界安全解决方案。适用于 NT, Solaris, HP-UX, and Tru64 Unix 平台。Raptor 防火墙通过在网络边界安全体系中集成了 应用代理、网络链路和包过滤技术，为企业提供整体的网络保护。它的数据检测技术确保 进出企业网络的信息在协议栈每一层都得到检验。除了提供协议保护，Raptor 防火墙还提 供智能管理、高性能和多线程支持，为企业 Internet 和 Intranet 安全提供最大安全的、可管 理的和可扩展的安全解决方案。目前，世界上的许多组织都在使用 Raptor 防火墙产品，其 独一无二的体系结构和强大的功能为网络提供了强有力的边界保护。 Raptor 防火墙是 1996 年初期推出的，世界上第一个基于 Windows NT 的防火墙。是目 前防火墙市场上基于 NT 的最稳定的、功能最齐全的和最安全的防火墙之一。 Raptor 防火墙采用应用层安全代理，实现对连入防火墙的网络物理和逻辑隔离，提供 多级保护和“无懈可击”的安全性。物理隔离通过使用 Raptor 防火墙的不同网卡隔离不同 网络来实现；逻辑隔离通过完全禁止对网络层流量的路由来实现。使用双重隔离和智能代 理保证 Raptor 防火墙fail-safe 意味着即使在操作系统或防火墙软件中出现重大问题时， 也不会有非法流量通过防火墙。而一般的防火墙对数据包进行路由（fail-open） ，允许未 经授权流量通过。 7.2 Raptor Firewall 主要功能主要功能 Raptor 防火墙主要具有以下方面的安全功能 对网络的基本保护对网络的基本保护 保护内部网免受基本的和已知的网络攻击是任何防火墙系统的基本功能。Raptor 防火墙同时提供 IP 层和应用层的保护，可以抵制 IP 分段攻击、源路由攻击、IP 地址 欺骗、TCP SYN Flood、TCP FIN Scan、泪滴攻击（Teardrop）以及其他类似攻击。 17 / 25 应用代理体系结构可以抵制大多数类似攻击- 象 Cheswick 和 Bellovin 这样的安全专 家均推荐使用该体系结构。 应用控制应用控制 基本网络保护并不能够充分满足安全需求。多数具有较强破坏力的复杂攻击是针 对应用数据流的攻击，而不是在 IP 层，所以对应用数据和协议命令的控制是非常必要 的。Raptor 防火墙使用智能安全代理，对 IP 应用（例如 FTP，SMTP，SQL*NET）进行 独立控制，保证只有合法的协议命令和数据才能通过。例如 Raptor 防火墙可以抵制 SMTP 后门命令和 FTP、 SMTP 和 HTTP 数据流中存在的缓冲区溢出攻击。Raptor 防火 墙还可以验证所有的 HTTP 1.1 命令，确保过滤掉所有非法攻击或后门攻击。 访问控制访问控制 Raptor 防火墙允许用户根据以下参数分别设置每条规则，控制并监控连入 Internet 的用户和计算机系统： 源和目的 IP 地址和/或域名 TCP 和 UDP 应用 (HTTP, FTP, SMTP, Telnet 等) 时间/日期范围 用户名和口令 (强和弱的多种认证方式) 这些控制规则可以根据需求简化或细化。根据安全策略设置的不同，可以控制到 独立的用户和系统或一组实体。Raptor 防火墙独到之处在于采用“最佳适配”规则系 统。管理员可以按任意顺序创建访问控制规则（顺序无关） ，Raptor 防火墙会自动按 照最安全的策略排序并解释规则。Raptor 防火墙另一个独到之处在于在一个图形窗口 中可以定义与所有代理及服务相关的规则。 其他防火墙或（1）不支持通过一个管理 界面管理所有规则或（2）要求按照“顺序相关”顺序创建规则 Raptor 防火墙的“最 佳适配”访问控制规则允许管理员专注于对安全策略的管理而不是对于防火墙本身的 管理。 可以无缝集成遵循可以无缝集成遵循 IPSec 标准的标准的 VPN 通过与 Symantec 公司的 ProxySecured PowerVPN无缝集成，Raptor 防火墙的 周边安全保护得到了进一步加强，可以保护企业免受 IP 探测（IP snooping）以及变 种攻击。 攻击者在恰当的位置和恰当的时间可以拦截（hijack）完整的经过认证的会 话。目前唯一抵制该种攻击的方法是在 IP 层加密会话。 与 PowerVPN 集成的 Raptor 防火墙支持不同系统之间的 IP 加密。管理员使用单 一产品就能够满足企业安全策略中同时支持加密和不加密网络流量的要求。 18 / 25 7.3 Raptor Firewall 技术特点技术特点 获得了广泛的安全认证获得了广泛的安全认证：ICSA 防火墙认证、ICSA IPSEC VPN 认证、ICSA VPN 密码算法认证、Checkmark 防火墙认证。 第三代应用级安全代理第三代应用级安全代理：Raptor 防火墙的智能代理可以控制和保护所有通过防火 墙的会话，支持 HTTP, FTP, SMTP, CIFS (NT 文件和打印共享), SQL*Net, Telnet, Gopher, NNTP, NTP, DNS 和基于 UDP 和 TCP 的通用代理 。与其他防火墙的代理想比， Raptor 防火墙代理可以抵挡所有基于应用的流行攻击，支持内容过滤和阻塞，双向用 户透明， “最佳适配”规则顺序，可选择性的记录日志，多种强、弱用户认证方法，采 用多线程和支持 SMP。 支持多端口和端口域支持多端口和端口域 Generic Service Passers (GSPs)安全特性安全特性：Raptor 防火墙是 业界第一个提供对所有应用或协议进行基于代理扫描的，高安全性的防火墙解决方 案。应用包括私有应用(例如 Bloomberg, Reuters 终端数据)和下一代、瘦客户端和 Internet 应用(例如 X-Windows, Corba 等)。使用 Raptor 防火墙的这一特性能够对任 何 e-business 通讯进行基于代理的安全扫描，使管理员的配置工作最小。在此以前，许 多公司不得不使用低安全性的状态检测型防火墙。 支持新的支持新的 GSP 协议和包过滤：协议和包过滤：Raptor 防火墙能够实现新的 GSPs, 允许所有基于 TCP/UDP 或 IP 的协议通过防火墙。对于无法通过防火墙的流量，过滤器能够被创建 并应用到防火墙的主要配置中。无论是使用规则还是过滤器，防火墙都进行常规的语 法检查，决定数据包是允许通过， 还是被拒绝。 支持支持 Out of Band 认证：认证：在与新的多端口 GSP 结合使用时（或者是使用了私有的 或非标准认证协议）