網絡安全產品綜述<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
2003-12-10■Tanker■天極硬件頻道
目前,國內網絡安全產品主要是以硬件爲主,其中包括防火牆、入侵檢測系統、防病毒網關、VPN、物理隔離卡等產品,其中以防火牆、入侵檢測系統、VPN應用得最爲廣泛。對於大多數用戶而言,他們目前需求的已經不再是單一的產品,而是從系統需求分析到產品的專業化整體解決方案。
一、網絡安全體系
2003年企業對網絡安全的投入持續增加,企業從單一的網絡安全產品向網絡安全整體解決方案轉型。網絡安全領域進入了全方位、專業化的發展道路。網絡安全市場開始多樣化,中國的網絡安全體系逐漸形成。下面,我就先來介紹一下當前國內公認的幾大網絡安全技術。
邏輯隔離:根據OSI模型的工作原理,在應用層、會話層與網絡層上對數據的包頭、內容進行檢測、過濾等,而達到一個外網與內網的邏輯隔離效果,通常此種設備都是安裝在內外網的邊界網絡上的。典型的安全產品就是防火牆。通常防火牆都有三個區域:互聯網區、DMZ區(隔離區)和辦公區。
物理隔離 :物理隔離不同於我們常說的邏輯隔離(防火牆一類的)。物理隔離的思路,來源於兩臺不相連的獨立的計算機。典型的安全產品就是隔離卡和隔離集線器。要絕對保證安全,就把網絡斷開。由於沒有網絡連接就不會產生網絡攻擊。
病毒防護:傳統的對網絡病毒的檢測和查殺都是通過終端計算機來實現的,這種方式的最大缺點就是不能達到網絡內整體的防殺病毒,造成重複的病毒感染。典型的安全產品就是網絡版殺毒軟件與防病毒硬件網關。在網關處安裝防病毒硬件產品對互聯網過來的病毒進行查殺,有效的節省了網絡的帶寬與性能。在每臺終端計算機上安裝網絡版的殺毒軟件,對內網的病毒進行整體的檢測與查殺。
身份認證 :針對內部網絡管理提出了AAA系統,AAA爲身份認證(authentication)、授權(authorization)、記帳(accounting)的簡稱,身份認證提供對用戶身份鑑別,授權爲通過身份認證的用戶提供特定的訪問權限,記帳功能對用戶的網絡訪問行爲作出記錄。
加密通信和虛擬專用網 :通過遠端用戶驗證以及隧道數據加密等技術使得通過公用網絡傳輸的私有數據的安全性得到了很好的保證。典型的安全產品就是VPN。充分利用現有網絡資源,提高業務量。
入侵檢測:通常防火牆只能擋住網絡攻擊的80%,仍會有少部分的入侵繞過防火牆直接進入內網,此時就得通過監控系統發現、報告可疑行爲,採取相應措施。典型的安全產品就是IDS。IDS作爲網絡安全整體解決方案的一個必不可少的環節也得到了越來越多的重視。
審計和取證:隨着現在網絡設置越來越複雜,管理網絡的多臺安全設備就比較麻煩,需要用一個平臺把所有的防火牆、IDS、防病毒、VPN等安全設備集中起來進行管理,網絡審計系統孕育而生了。取證系統對網絡或系統中發生的攻擊過程及攻擊行爲進行記錄和分析,並確保記錄信息的真實與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,並解釋入侵的過程,從而確定責任人,並在必要時,採取法律手段維護自己的利益。
通過互聯網多年的發展,網絡安全體系越來越完善,防火牆、IDS、防病毒系統、VPN等安全產品成爲了安全市場的主流。從中反映出了企業網絡安全意識在逐步的增強,網絡安全市場走入穩步發展的道路。在企業走向成熟的同時,衆多的網絡安全廠商也逐漸提出了自己的安全理念,其中以思科的SAFE安全理念和華爲i3安全體系爲典型的代表。
思科SAFE安全理念
思科公司從優化整個網絡系統的角度綜合設計“一體化”的安全解決方案,提出了“思科SAFE(面向企業網絡的安全藍圖)安全理念”。思科將安全機制部署於全程全網的設備,路由器,交換機,無線,IPT以及專業的安全產品,並利用SAFE的理念搭建一個有縱深,可擴展且有彈性的安全的網絡,幫助客戶在網絡應用、網絡安全與網絡投資中找到平衡點,爲客戶提供符合需求的、安全的網絡系統。
在思科的安全理念中,對於企業網絡安全整個防範體系的劃分和一些安全廠商大致相同,也是分爲五個部分:以VPN爲解決方案的網外安全連接;以防火牆爲解決方案的周邊安全;以入侵檢測掃描爲解決方案的安全監視;以認證控制爲解決方案的身份識別和以策略規劃爲解決方案的安全管理。根據目前語音、視頻和數據三網融合的大趨勢,思科的安全理念有個很重要的就是分階段實施部署的模塊化、安全框架具有可擴展性。這在現今應用爲導向、投資保守的大經濟環境無疑是極受歡迎的,思科認爲SAFE適用於所有規模的企業。
華爲i3安全體系
華爲公司對傳統的狹義網絡安全理念進行了重大變革,基於對當前網絡發展需求的研究,開拓性地提出“i3安全”解決方案。“i”-intelligence(智能),integrated(集成),individuality(個性化);“3”-時間、空間及網絡層次三個維度的端到端( End to End);“安全”-所有IP信息網絡的安全架構。
時間、空間、網絡層次三個維度端到端集成安全體系架構,給產業界和用戶一個完整清晰的網絡安全導航圖,全面滿足運營商、政府、行業及企業客戶化安全的需要。在網絡層保障網絡路由、網絡地址等基礎網絡的安全;在用戶接入層確保合法的用戶接入、訪問合法的網絡範圍,並保障用戶信息的隔離等用戶接入網絡的安全;在業務層保證用戶訪問內容的合法性與安全性。通過對用戶上網端口、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而爲後期的分析提供第一手的資料。在外網,通過VPN、加密等保證信息安全,通過網絡防火牆、病毒防火牆等防範網絡攻擊;在內網,通過對用戶的識別,保證合法的用戶訪問合法的網絡範圍,並做好訪問記錄。
二、目前國內市場的主要網絡安全產品廠商
以下是專業的網絡安全公司的介紹
Netscreen網絡安全技術公司
NetScreen公司總部設在美國SantaClara市,是一家專業開發基於ASIC的互聯網安全系統的公司,它向互聯網數據中心、電子商務網址、寬帶接入服務提供商和應用服務提供商提供的高性能防火牆、VPN和流量管理功能,其基於ASIC的安全防衛技術使得數據包的處理過程更加快捷,有效地抑制了其它老式安全產品導致的流量瓶頸,充分利用了全部帶寬的潛力。NetScreen的產品包括一系列應用程序,從爲互聯網數據中心和服務提供商準備的高端千兆級安全系統到爲家庭辦公者量身定造的低端解決方案。
北京天融信網絡安全技術有限公司
北京天融信網絡安全技術有限公司是中國網絡安全的行業的領先企業,成立於1995年,是專業從事網絡安全技術研究、產品開發和安全服務的高科技企業。天融信公司於1996年推出了填補國內空白的中國第一套自主版權的防火牆產品,隨後幾年,天融信公司相繼推出了五個NGFW系列適合不同客戶需求的技術領先的防火牆產品。同時,天融信公司推出了和國際同步的VPN解決方案,先進的審計類產品,安全管理類等產品。天融信公司結合安全系統的需求特點,綜合“聯動、管理”技術,在2002年底推出了TOPSECMANAGER綜合安全管理系統,更好的拓展了TOPSEC解決方案的可擴展性和可管理性;在2003年初,推出了SAS綜合安全審計系統,實現對網絡中安全設備的集中綜合審計,更好的提高了安全系統的可用性,使得TOPSEC解決方案得到進一步完善;2003年初,天融信公司在以“聯動”爲核心安全理念指導下,在TOPSEC核心技術基礎上,推出集多類安全產品、集中管理、集中審計爲一體的業界優秀的TOPSEC網絡安全整體解決方案,保障客戶網絡從邊界到桌面、從局域網到廣域網高安全性。
東軟集團有限公司
東軟集團有限公司創立於1991年,總部位於瀋陽,是以爲社會和企業信息化提供全面解決方案爲核心業務,集基礎軟件技術研究、產品開發、軟件風險企業投資、顧問諮詢和服務爲一體的高科技企業集團。東軟目前已經是國內領先的網絡安全產品(NetEye系列安全產品)供應商,在網絡安全領域做出了突出的貢獻。東軟集團不斷圍繞客戶價值來構架自己的產品與服務體系有着直接的關係,到現在已推出了一系列的網絡安全產品:NetEye防火牆、SJW20網絡密碼機、NetEye入侵檢測系統、NetEye個人安全平臺。這些產品憑藉先進的核心技術和穩定可靠的品質贏得了用戶的普遍認可。不但爲用戶的安全網絡提供了更高的可靠性,而且使企業在安全管理方面的效率得到了有效的提升。特別是其首創的以透明的應用層防禦爲特徵的“流過濾”技術正在成爲防火牆產品發展的新的趨勢。
北京中聯綠盟信息技術有限公司
北京中聯綠盟信息技術有限公司成立於2000年3月,是國內專業從事網絡安全服務的高科技企業,致力於網絡安全技術研究、網絡安全產品開發,提供由網絡系統入侵檢測、操作系統安全、網絡服務安全、程序安全爲重點的整體網絡安全方案,並協助建立嚴密的網絡安全制度,提高國內的網絡安全水平,爲客戶提供強有力的安全保障。綠盟科技成立後,其安全技術研究部門對國內外最新的網絡系統安全漏洞進行最及時和最緊密的跟蹤,對重大安全問題更成立專項研究小組進行技術攻關,迄今爲止已完成分佈式拒絕服務攻擊(DDoS)、SUN RPC遠程溢出、Windows NetBIOS安全問題、Windows IIS安全問題、緩衝區溢出防護、網絡入侵主動監測等安全技術研究,取得了一系列在國內、甚至是國外處於領先水平的優秀成果。安全產品開發部門具有開發網絡安全評估系統、網絡/系統防火牆、入侵監測系統、內容過濾系統等高技術含量網絡安全產品的技術實力和經驗,已經推出了具有國際領先水平的安全產品系列。
北京啓明星辰信息技術有限公司
北京啓明星辰信息技術有限公司成立於1996年,是一家由中國留學生創立的、在中國本土註冊的、擁有網絡安全自主知識產權產品的、提供整體安全解決方案與服務的專業網絡安全公司。擁有國內最大規模的網絡安全研發隊伍,率先研製開發出了國內第一套千兆入侵檢測系統,並推出了入侵檢測系列化產品。啓明星辰公司在網絡安全業內率先提出並實施了客戶化安全保障服務--CSAS(Customized Security Assurance Service),開創了國內網絡安全服務的先河。啓明星辰公司具有自主知識產權的網絡安全產品包括:天闐黑客入侵檢測與預警系統系列產品、天鏡網絡漏洞掃描系統、天恆安防網絡防病毒系統系列產品、WEBKEEPER網站監測與修復系統、安星個人主機防護系統、天珣非法外聯監控系統、網絡安全資源管理平臺。
金諾網絡安全技術發展股份有限公司
金諾網絡安全技術發展股份有限公司2000年成立於上海,是上海市首批通過軟件企業認定的高新技術企業。金諾網安金諾網安秉承不斷提升客戶價值的目標,本着與客戶共同成長的目的,向企事業單位提供高標準的信息安全整體解決方案、信息安全服務和信息安全產品。針對日益繁多的網絡入侵事件,基於多年對網絡安全技術和黑客入侵技術的研究。自主開發的擁有知識產權的部分產品有:金諾網安入侵檢測系統KIDS、金諾網安外聯監控系統KNCS、金諾網安介質取證系統DISKFOREN。
兼營網絡安全產品的其它領域廠商
思科系統公司
思科系統公司是全球領先的互聯網設備供應商。思科的總部位於美國加利福尼亞州的聖何塞,在馬薩諸塞州的Chelmsford和北卡羅來納州研究三角園(Research Triangle Park)的分部負責思科公司部分重要的業務運作。從1986年生產第一臺路由器以來,思科公司在其進入的每一個領域都佔有第一或第二的市場份額,成爲市場的領導者。它的主要安全產品是集成硬件/軟件Cisco Secure PIX系列防火牆。
聯想集團有限公司
聯想集團成立於1984年,到今天已經發展成爲一家在信息產業內多元化發展的大型企業集團。聯想信息安全服務事業部是聯想集團精心打造的IT服務團隊,專業從事信息安全產品的研發、生產與銷售,爲用戶網絡系統提供整體安全解決方案及安全諮詢服務。目前,聯想信息安全服務事業部已擁有防火牆、VPN、入侵檢測、安全隔離、統一安全管理平臺等五個系列的信息安全產品及專業安全諮詢服務,並在此基礎上向用戶提供整體的安全解決方案。
此外如華爲,諾基亞,曙光等多家著名IT廠商也都有自己的安全領域產品。
三、網絡安全市場態勢
2003年,國內網絡安全的重視程度大幅提高,網絡安全產品的採購將持續快速增長。市場整體形勢比較樂觀,總體呈現以下發展趨勢:防火牆產品持續發展,其它產品有所突破,整體解決方案更受歡迎。用戶主動安全防範意識的提高,使得加密產品、IDS等將有更大的發展空間。綜合的網絡安全整體解決方案應用更加廣泛,並將越來越受歡迎。渠道商銷售額的比重將加大,安全廠商強化支持職能,弱化銷售職能。
防火牆產品在網絡安全產品中依然佔據絕對的市場份額,國內市場防火牆品牌之爭中,國產防火牆與國外品牌基本持平,國內以天融信、聯想、東軟三大品牌爲主,國外的Netscreen、Checkpoint和思科已經逐漸吞噬了國內55%的市場份額。
IDS產品在國內網絡安全市場的普及與認知程度僅次於防火牆產品,目前在國內佔有較高市場份額的產商主要有啓明星辰、金諾網安等。
我國VPN市場發展速度比較快,一些廠商已經推出單獨的VPN產品,另有一些廠商在防火牆中集成了VPN模塊,能夠實現VPN的部分功能。目前在國內佔有較高市場份額的產商主要有天融信、東軟等。
安全服務已成爲網絡安全整體解決方案的重要組成部分。各網絡安全廠商正在向“產品+服務”的綜合提供商的方向上發展。安全服務從一開始就貫穿在整個的安全體系中,從售前的安全諮詢、安全風險評估,到安全產品項目實施,一直延續到售後的安全培訓、技術支持、系統維護、產品更新等項目週期的全過程。國內的金融行業、電信行業與政府部門開始逐步成爲網絡安全服務的服務對象,持續性的爲企事業的網絡提供安全保障。
?
?
