金山公司在相继推出毒霸网络版、毒霸中小企业版、毒霸安全邮件网关等一系列以防毒为主的网络安全产品之后,在前不久再次发布了三款网络安全新品——金山防火墙、金山防毒墙和金山防水墙。从产品定位来看,此次发布的新品不再局限于软件产品及单一的防毒需求,而是面向整个网络安全领域,软硬件同步上市。此次发布的新品种既有防止外部攻击、防止外部病毒入侵的产品——金山防火墙、金山防毒墙,同时还有防止内部信息外泄的内网安全管理产品——金山防水墙,从多角度诠释了网络安全的定义。
接下来就让我们一起来看看金山此次推出的“三墙”产品的具体功能特性。
一、金山防火墙
金山防火墙基于专门设计的硬件平台,以金山安全实验室自行定制的安全操作系统KSOS为核心,高度集成了防火墙、ASIC VPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色,提供高度安全、可信和健壮的安全解决方案,真正实现了单一设备对网络的全方位防护。
由于防火墙产品在业界属于比较成熟的产品类型,我们在这里将侧重介绍金山防火墙的安全功能、VPN功能、日志审计和高可靠性。
安全功能
独特的Anti-DoS网关防御技术
DoS(Denial of Service)和DDoS(Distributed Denial of Service)是未来几年中Internet上黑客最常用的也是最难防御的攻击方式。金山防火墙实现了针对多种DoS或DDoS的攻击防范,在攻击包进入企业网络之前将其堵在门外,系统可以根据用户的设置对访问信息进行检查,从而抵挡住多种类型的DoS或DDoS攻击。
Session Flood攻击防护
Session Flood是目前非常流行的一种攻击手法。攻击者利用手中控制的僵尸机,对目标服务器发起大量的访问连接。这种攻击的特点是,每一个攻击连接实际上都是正常的访问请求,造成洪水般的大规模访问量,耗尽目标服务器的资源,使正常用户被拒绝服务。 由于Session flood攻击的每一个连接实际上都是合法的连接,根本不存在攻击特征,因此一般的IDS检测工具或防火墙对于这种攻击无能为力。金山实验室正是在吸收了大量用户的反馈后,率先推出了Session Flood防护功能。用户可以在防火墙上限制针对某台服务器(目标IP)某项服务(协议)的访问总量(连接总数)和每一个访问源的最大连接数,防止僵尸机消耗大量的服务器资源,保证服务器对正常用户的可用性。
内核级TCP标志位检测
国内外大多数的防火墙都缺少对连接是从哪方主动发起进行判断的能力,这将导致一个潜在的安全隐患使攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。金山防火墙在内核级对数据包的SYN/ACK等标志位进行合法性检测和判断,防止不法攻击者利用常用服务的低端口与内部主机的高端口进行连接从而攻击内部主机。
入侵检测模块
金山防火墙内置的Smart Protector入侵检测模块将防火墙与入侵检测功能有机的结合到一起,在节约用户投资的同时,为特定需求的用户群提供了业界领先的一站式安全防御系统。Smart Protector入侵检测模块具备如下特点:
不影响防火墙的包转发过程:Smart Protector模块既要保证入侵检测的实时性,又要保证防火墙的包转发的速度不受影响,因此系统只是将通过防火墙的流量复制后交给Smart Protector进行检查,包转发的过程不受入侵检测模块的迟延,最大程度的降低了对防火墙性能的影响。
强硬的入侵响应力度:Smart Protector模块虽然检测的是复制流量,但在检测到攻击后能够立即清除防火墙中已建立的状态表信息,实时切断已建立的恶意连接。防火墙还可以根据用户需要,从Smart Protector模块中提取攻击源信息,在系统中建立访问控制黑名单实时封杀攻击源,以实现对攻击行为最强的响应力度。另外,对TCP攻击,Smart Protector还可以向攻击源发送RST包使其复位。
高效的检测能力: 金山防火墙的Smart Protector模块从以下两方面保证了检测流量的实用与精简,保证了高效的检测能力。
多种报警方式:Smart Protector的报警可以通过Syslog,SNMP Trap,Email发送给日志服务器和管理员,或在防火墙的管理控制台上直接显示报警。
超过1500种攻击手法的检测能力:Smart Protector支持超过1500种攻击的检测能力,覆盖当今世界范围内针对各种操作系统平台或网络设备的所有攻击手法。
支持攻击特征库在线升级:Smart Protector特征库的每个Signature都符合CVE标准,配合金山网站每月一次的更新速度,充分保证了攻击特征库的永久先进性。
用户自定义检测模板:用户可根据实际网络环境与安全需求,自行配置检测模板选用适合自己网络的攻击检测项,提供具有高度可定制性的入侵检测解决方案。
超负载保护能力:Smart Protector在工作时紧密结合防火墙内核层(KSOS),智能判断系统负荷是否过载,拥有超负载保护能力。
支持与VPN同时工作。
完整的IDS联动解决方案
金山防火墙在设计中充分考虑了用户系统的实际需求,独特的设计可以使防火墙与IDS系统完全融为一体,即在使用金山防火墙的插件后,RealSecure在特定事件配置其响应策略时,可以选择通过防火墙禁止特定数据包来进行访问控制,达到保护内部网络和IDS系统的双重目的。
多样化身份认证解决方案
金山防火墙支持全面的身份认证方式包括业界先进的认证技术与大量部署的流行认证方式,我们综合多年在网络安全领域的经验在网络用户认证方式上采用主动认证与被动认证相结合的方式,各种认证方式具体应用如下:
用户地址认证
数字证书认证
内置认证数据库提供的用户名、口令认证:
应用于防火墙管理员用户的身份认证
应用于防火墙内网的网络用户或用户组可以使用网络服务的主动认证
RADIUS/RADIUS+远程访问认证协议
LDAP轻量级目录访问协议
Windows域控制器支持
SecureID认证支持
PAP、CHAP、PKI支持
主动认证
在包过滤策略中,管理员可以设置授权规则作为该过滤规则的响应方式。授权规则中的用户或用户组应按此规则的认证方式进行认证,这种方式为主动认证。金山防火墙支持的主动认证方式包括RADIUS认证,LDAP认证、Windows域认证和防火墙自身的认证。
被动认证
此外,为方便用户的认证执行过程,金山防火墙对于HTTP代理策略的认证授权采用了被动认证的方式。用户在进行HTTP通讯之前不需要主动的登陆防火墙进行认证,当用户进行通讯时,防火墙收到HTTP请求,会主动返回一个web页面要求用户进行认证,认证通过后,通讯过程才能继续。
内容安全过滤
金山防火墙提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及用户对网络服务的使用,防火墙提供的过滤控制手段包括:
URL 屏蔽、监控
Java/JavaScript/Active-X 过滤封堵
FTP 命令控制 (内核级实现)
ICMP恶意代码过滤(内核级实现)
电子邮件中的收发信人地址和信件大小的过滤
SMTP 命令的控制
基于时间控制的网络访问黑名单
金山防火墙提供了阻止主机黑名单功能,对那些防火墙以外的Internet上的恶意站点及不希望内部员工在上班期间访问的站点进行按照时间段阻止,同时对内部滥用网络资源的IP进行按时间断阻止其向外访问。
基于IP地址与MAC地址绑定的包过滤
金山防火墙所具有的IP与MAC地址绑定功能,以在防火墙系统上建立IP地址与MAC地址的绑定关系,这样可限定IP地址只能在一台指定的工作站上使用,大大方便了网络的IP地址管理。
