金山公司在相继推出毒霸网络版、毒霸中小企业版、毒霸安全邮件网关等一系列以防毒为主的网络安全产品之后,在前不久再次发布了三款网络安全新品——金山防火墙、金山防毒墙和金山防水墙。从产品定位来看,此次发布的新品不再局限于软件产品及单一的防毒需求,而是面向整个网络安全领域,软硬件同步上市。此次发布的新品种既有防止外部攻击、防止外部病毒入侵的产品——金山防火墙、金山防毒墙,同时还有防止内部信息外泄的内网安全管理产品——金山防水墙,从多角度诠释了网络安全的定义。
接下来就让我们一起来看看金山此次推出的“三墙”产品的具体功能特性。
一、金山防火墙
金山防火墙基于专门设计的硬件平台,以金山安全实验室自行定制的安全操作系统KSOS为核心,高度集成了防火墙、ASIC VPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色,提供高度安全、可信和健壮的安全解决方案,真正实现了单一设备对网络的全方位防护。
由于防火墙产品在业界属于比较成熟的产品类型,我们在这里将侧重介绍金山防火墙的安全功能、VPN功能、日志审计和高可靠性。
安全功能
独特的Anti-DoS网关防御技术
DoS(Denial of Service)和DDoS(Distributed Denial of Service)是未来几年中Internet上黑客最常用的也是最难防御的攻击方式。金山防火墙实现了针对多种DoS或DDoS的攻击防范,在攻击包进入企业网络之前将其堵在门外,系统可以根据用户的设置对访问信息进行检查,从而抵挡住多种类型的DoS或DDoS攻击。
Session Flood攻击防护
Session Flood是目前非常流行的一种攻击手法。攻击者利用手中控制的僵尸机,对目标服务器发起大量的访问连接。这种攻击的特点是,每一个攻击连接实际上都是正常的访问请求,造成洪水般的大规模访问量,耗尽目标服务器的资源,使正常用户被拒绝服务。 由于Session flood攻击的每一个连接实际上都是合法的连接,根本不存在攻击特征,因此一般的IDS检测工具或防火墙对于这种攻击无能为力。金山实验室正是在吸收了大量用户的反馈后,率先推出了Session Flood防护功能。用户可以在防火墙上限制针对某台服务器(目标IP)某项服务(协议)的访问总量(连接总数)和每一个访问源的最大连接数,防止僵尸机消耗大量的服务器资源,保证服务器对正常用户的可用性。
内核级TCP标志位检测
国内外大多数的防火墙都缺少对连接是从哪方主动发起进行判断的能力,这将导致一个潜在的安全隐患使攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。金山防火墙在内核级对数据包的SYN/ACK等标志位进行合法性检测和判断,防止不法攻击者利用常用服务的低端口与内部主机的高端口进行连接从而攻击内部主机。
入侵检测模块
金山防火墙内置的Smart Protector入侵检测模块将防火墙与入侵检测功能有机的结合到一起,在节约用户投资的同时,为特定需求的用户群提供了业界领先的一站式安全防御系统。Smart Protector入侵检测模块具备如下特点:
不影响防火墙的包转发过程:Smart Protector模块既要保证入侵检测的实时性,又要保证防火墙的包转发的速度不受影响,因此系统只是将通过防火墙的流量复制后交给Smart Protector进行检查,包转发的过程不受入侵检测模块的迟延,最大程度的降低了对防火墙性能的影响。
强硬的入侵响应力度:Smart Protector模块虽然检测的是复制流量,但在检测到攻击后能够立即清除防火墙中已建立的状态表信息,实时切断已建立的恶意连接。防火墙还可以根据用户需要,从Smart Protector模块中提取攻击源信息,在系统中建立访问控制黑名单实时封杀攻击源,以实现对攻击行为最强的响应力度。另外,对TCP攻击,Smart Protector还可以向攻击源发送RST包使其复位。
高效的检测能力: 金山防火墙的Smart Protector模块从以下两方面保证了检测流量的实用与精简,保证了高效的检测能力。
多种报警方式:Smart Protector的报警可以通过Syslog,SNMP Trap,Email发送给日志服务器和管理员,或在防火墙的管理控制台上直接显示报警。
超过1500种攻击手法的检测能力:Smart Protector支持超过1500种攻击的检测能力,覆盖当今世界范围内针对各种操作系统平台或网络设备的所有攻击手法。
支持攻击特征库在线升级:Smart Protector特征库的每个Signature都符合CVE标准,配合金山网站每月一次的更新速度,充分保证了攻击特征库的永久先进性。
用户自定义检测模板:用户可根据实际网络环境与安全需求,自行配置检测模板选用适合自己网络的攻击检测项,提供具有高度可定制性的入侵检测解决方案。
超负载保护能力:Smart Protector在工作时紧密结合防火墙内核层(KSOS),智能判断系统负荷是否过载,拥有超负载保护能力。
支持与VPN同时工作。
完整的IDS联动解决方案
金山防火墙在设计中充分考虑了用户系统的实际需求,独特的设计可以使防火墙与IDS系统完全融为一体,即在使用金山防火墙的插件后,RealSecure在特定事件配置其响应策略时,可以选择通过防火墙禁止特定数据包来进行访问控制,达到保护内部网络和IDS系统的双重目的。
多样化身份认证解决方案
金山防火墙支持全面的身份认证方式包括业界先进的认证技术与大量部署的流行认证方式,我们综合多年在网络安全领域的经验在网络用户认证方式上采用主动认证与被动认证相结合的方式,各种认证方式具体应用如下:
用户地址认证
数字证书认证
内置认证数据库提供的用户名、口令认证:
应用于防火墙管理员用户的身份认证
应用于防火墙内网的网络用户或用户组可以使用网络服务的主动认证
RADIUS/RADIUS+远程访问认证协议
LDAP轻量级目录访问协议
Windows域控制器支持
SecureID认证支持
PAP、CHAP、PKI支持
主动认证
在包过滤策略中,管理员可以设置授权规则作为该过滤规则的响应方式。授权规则中的用户或用户组应按此规则的认证方式进行认证,这种方式为主动认证。金山防火墙支持的主动认证方式包括RADIUS认证,LDAP认证、Windows域认证和防火墙自身的认证。
被动认证
此外,为方便用户的认证执行过程,金山防火墙对于HTTP代理策略的认证授权采用了被动认证的方式。用户在进行HTTP通讯之前不需要主动的登陆防火墙进行认证,当用户进行通讯时,防火墙收到HTTP请求,会主动返回一个web页面要求用户进行认证,认证通过后,通讯过程才能继续。
内容安全过滤
金山防火墙提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及用户对网络服务的使用,防火墙提供的过滤控制手段包括:
URL 屏蔽、监控
Java/JavaScript/Active-X 过滤封堵
FTP 命令控制 (内核级实现)
ICMP恶意代码过滤(内核级实现)
电子邮件中的收发信人地址和信件大小的过滤
SMTP 命令的控制
基于时间控制的网络访问黑名单
金山防火墙提供了阻止主机黑名单功能,对那些防火墙以外的Internet上的恶意站点及不希望内部员工在上班期间访问的站点进行按照时间段阻止,同时对内部滥用网络资源的IP进行按时间断阻止其向外访问。
基于IP地址与MAC地址绑定的包过滤
金山防火墙所具有的IP与MAC地址绑定功能,以在防火墙系统上建立IP地址与MAC地址的绑定关系,这样可限定IP地址只能在一台指定的工作站上使用,大大方便了网络的IP地址管理。
2、VPN功能
无缝虚拟专网支持
金山防火墙可以扩展VPN模块支持,既可以利用因特网(Internet)IP通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。
VPN的NAT穿越
经过IPSec的封装协议封装后的数据包,如果经过NAT网关设备,封装包头的地址被替换,封装包的完整性就会遭到破坏,导致认证失败,VPN隧道无法建立。所以如果VPN隧道之间有NAT网关设备存在,VPN隧道将无法建立,目前市场上除国际领先的几家防火墙外,都无法解决此问题。金山防火墙通过独特的IPSec代理技术,解决了这一技术难题,使VPN隧道可以在NAT环境中自由穿越。
多端口并发VPN隧道功能
由于对FSGA结构的增强,金山防火墙支持多端口并发VPN隧道的功能。即不但防火墙的所有的接口都支持IPSec和PPTP VPN终结点,而且这些接口可以同时建立VPN隧道。例如在多个ISP接入的企业网环境中,每一个ISP接入点的防火墙接口都可以启用IPSec或PPTP VPN终结功能,与外界建立VPN隧道,而一般的防火墙只能在单个特定接口建立VPN。
动态IP VPN 网关
金山防火墙支持一端为动态IP,另一端为固定IP的VPN自动组网方式。动态端通过加密的数据传输,把接入后分配到的IP信息通知固定端,固定端对此信息进行身份认证后,根据传来的信息自动调整VPN隧道策略,重新与动态端完成VPN的组建。对于用户来讲,根本不必关心每次接入时分配到的IP地址,整个过程不需要任何的人工参与,完全由防火墙自动完成,动态端在每一次接入后,自动完成与固定端VPN通道的建立。
3、日志审计功能
丰富的日志与强大审计分析能力
金山防火墙提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、系统日志、访问控制策略日志、应用层协议日志、应用层内容日志、VPN日志、HA日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性,金山防火墙支持SNMP Trap、标准Syslog、重点日志Email的传送方式,用户可以直接将防火墙产生的日志利用Syslog方式输送给WebTrends,利用WebTrends提供的强大的日志分析和报表功能处理日志信息。
金山防火墙具有日志审计功能,并有专门的日志接收与管理审计软件(Kingsoft GSM),提供给用户方便的过滤筛选、相关性分析、日志备份等丰富功能。
多样化的告警方式
金山防火墙支持丰富的告警方式,提供给管理员多种的手段了解网络运行安全情况及防火墙系统自身运行情况。包括控制台方式、SNMP TRAP(V2)、Syslog和电子邮件,上述的告警方式管理员可以依据管理的方便性灵活定制哪一类警报信息使用哪种方式。
网络与系统状态监控
网络流量统计
金山防火墙提供对于流经防火墙的数据流的字节数的统计功能,根据用户定义的统计规则分段采样数据并进行保留,用户可以随时通过生成的直观的统计图了解防火墙的各个时段的工作负荷和数据类型。
网络连接数统计
网络连接数与状态检测类防火墙的动态状态表资源密不可分,金山防火墙能够通过远程管理Web界面或本地液晶显示屏实时统计当前活动连接数,曾达到的最大连接数与TCP,UDP,ICMP的连接次数。
CPU负载与流量实时监视
金山防火墙通过前端的液晶显示屏可以让用户以图形的方式实时的了解防火墙的CPU负载与通过防火墙的流量变化与峰值情况。
电子邮件发送统计图
金山防火墙支持Email发送统计图功能,使网络管理员能方便的进行日常的流量监控。
4、高可靠性
全面的自身安全与高可靠性设计
金山防火墙从软、硬件的角度多方位的保证系统的自身安全性与高可靠性,防火墙的软件系统:
通过了世界权威的安全平估工具ISS Internet Scanner的强力扫描测试
采用专门设计,根据各种攻击测试结果不断加固的操作系统(KSOS核心)
系统双内核与系统配置、安全策略的备份,在最大程度上确保系统的可靠性
双机热备功能,确保系统7X24小时不间断运转
金山防火墙的硬件系统:
采用专门硬件搭载平台,具有高可靠性、安全性、环境适应性等特点。结构设计上充分考虑通风、散热及电磁兼容等特性的要求,具备过压和短路保护,辐射和噪声符合EN55022、EN55011的B级标准,通过了UL、VDE及CSA等安规认证,符合CE标准,MTBF指标高达100000小时。
VRRP双机热备份功能
金山防火墙加强了HA主备防火墙的同步机制,可以实现主备防火墙的策略配置同步,并可以选择主备同步的方向,选择是否备份同步前的配置策略,是否立即应用同步过来的策略。
金山防火墙的HA架构设计,通过加强的VRRP协议,为用户提供了最高可用性的产品,金山防火墙的HA功能具备以下特性:
设备发生故障时自动切换
链路发生故障时自动切换
手工宣告切换
切换时间小于1秒
二、金山防毒墙
金山防毒墙采用专有的易于管理的安全操作平台,包括了全套的安全服务——防火 墙、VPN、入侵检测/阻断同时还具有高效的应用层服务,如反病毒、内容过滤,垃圾邮件检测等多种功能,是一款All-in-One产品的国内代表。
网络及应用环境适应能力
支持众多网络通信协议和应用协议,如802.1Q VLAN、PPPoE、802.1Q、Spanning tree、IPSec、H.323、MMS、RTSP、ORACLE SQL*NET、SIP等协议,适用网络的范围更加广泛,保证了用户的网络应用。当金山防毒墙处于透明模式工作时,相当于一个二层交换机。这种特性使金山防毒墙具有了较好的环境适应能力,使用户无需改变网络拓扑结构,就可以实现全方面的安全解决方案,降低因为增加网络安全设备而导致的管理开销。
基于安全区段概念的安全策略
金山防毒墙基于安全区段进行安全策略的定制和部署,将从接口层面的访问控制上升到安全区段层面。从体系结构上继承了传统防火墙的网络安全区段划分概念,也做了很多突破,它默认各个安全区段间的安全级别是一样的,它们之间的安全差异由用户来定制,为安全策略的定制和部署提供了很大的灵活性,同时也避免了僵硬的将网络划分为内部,外部和DMZ区的传统方式,使得用户能够进一步控制内部不同网络之间的安全区段。金山防毒墙通过在这些安全区段间部署独立的安全策略,可以限制不同网络间的访问行为。
功能强大的网络控制描述语言
采用了基于对象的网络流量控制和描述语言,用户可以自行定义地址对象、服务对象、时间对象和访问控制行为,并且可以将已定义的对象分组;安全策略的描述基于对象元素,使之更加接近自然语言的描述方式,大大减少了维护和运营成本,让网络安全技术更加平易近人。
深度数据检测功能
金山防毒墙采用了深度数据检测功能,以状态检测技术为核心,提供从链路层到应用层信息安全的全面控制。在链路层提供基于MAC地址的过滤控制功能。在网络层和传输层提供基于状态检测的IP分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析。
DoS防护
金山防毒墙系统的网络协议栈能够自动屏蔽掉分片攻击,如Ping of Death,Tear Drop等,同时也能根据用户设置的Anti-DoS策略检测并防御以下类型的攻击行为,并提供攻击行为计数器和详尽的攻击记录日志信息:
Land
ICMP Flood
UDP Flood
Port Scan
Address Sweep
Syn-Flood。
提供基于IPSec协议、PPTP协议的VPN接入支持
基于IPSec协议的金山防毒墙完全兼容并符合IPSec标准协议,从而保证了和其它支持IPSec的系统相互连接,构建IPSec网络。支持手工和自动密钥(Pre-share key/X.509 CA证书)两种管理方式,并支持DES、3DES、AES、Blowfish、Two fish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。
金山防毒墙的IPSec VPN模块支持IPSec流量的NAT穿越、星型部署、动态对等方等多种部署方式,极大的拓展了金山防毒墙的应用范围,特有的透明模式下IPSec VPN部署使其更具有较好的灵活性。
基于PPTP的金山防毒墙 VPN严格遵循行业标准,其PPTP支持MS-CHAP和MS-CHAP V2身份认证协议,同时支持MPPE 40,128位加密算法。
功能丰富的网络地址转换(Network Address Translation)
NAT是网络设备必不可少的功能之一,金山防毒墙提供丰富的NAT支持,支持MIP类型的地址映射、动态地址池的源IP地址转换、Conduit方式的目标地址转换和Round Robin方式的服务器负载均衡。
内容安全处理功能
金山防毒墙系统的内容安全引擎提供了针对Http协议和FTP协议的数据流量病毒过滤功能,同时还专门对邮件系统的SMTP和POP3协议数据流量提供了病毒和垃圾邮件过滤过滤功能,从而达到了更高层次的安全防护能力。支持的邮件处理方式包括:隔离,删除,警告,放行,拒绝接收等。
攻击检测和防御(IDP)功能
金山防毒墙融合了攻击检测和防御处理引擎,攻击检测的处理方式基于数据流连接和网络流量特征库,并且在配置概念上和防火墙模块相类似,可以直接使用系统已经定义的各种地址对象和服务对象,定义攻击防护的目标主机或网络,以及发现攻击行为后的处理方式。攻击检测和防御处理引擎在软件架构上,和防火墙模块之间保持联动,一旦发现攻击行为,可根据用户设置的攻击检测行为,及时切断相应的网络流量,有效的避免了内部网络敏感服务器受到网络攻击。
功能丰富的Global Manager管理系统
金山防毒墙提供了功能强大的GUI Global Manager系统,该系统基于Windows运行。使用Kingsoft Global Manager,用户可以在一台管理服务器上,同时管理多台金山防毒墙主机。Kingsoft Global Manager提供以下功能对金山防毒墙设备进行管理:
对多台不同地域的金山防毒墙设备进行统一管理和配置
收集并审计分析多台金山防毒墙设备发送的日志信息,包括事件日志,配置日志,安全日志和负载日志
对多台金山防毒墙设备进行统一的固件升级,病毒库升级和IDP特征库升级
实时监控多台金山防毒墙设备的运行状态和负载信息
三、金山防水墙
金山防水墙系统采用集成化网络安全防卫思想,遵循P2DR安全模型,应用集成防卫的理论与技术,采用分布式的体系结构,通过安全策略的设计及集中的安全控制管理平台,提供一套功能强大的安全管理控制系统;在降低网络安全管理成本的同时,能有效的保护网络和主机系统的安全,防止内部的信息泄漏。
金山防水墙系统分为安全策略管理系统和涉密文档管理系统两个子系统,共包含病毒预控、防非法接入、防内部攻击、防内容泄密、内容过滤、设备管理、外联防护、远程监控、用户行为管理、资产管理、数据还原、涉密文件管理等功能。两个子系统针对方向和侧重点有所不同,用户可根据自己的需求自行选择系统进行部署,满足实际应用。
具体功能说明如下:
病毒预控
提供对网络病毒、木马程序的控制,防止终端主机受到感染,确保主机系统的安全。该功能的实现主要依靠金山防水墙系统的分布式防火墙功能来实现,其提供了基于IP、TCP、UDP、ICMP和IGMP等协议、端口、访问方向、源目的地址等的灵活控制,有效防止了网络病毒和木马程序借用特定协议、特定端口进行感染和入侵终端主机。
金山防水墙系统建立了一套完整的补丁程序安装情况检测机制,能够随时检测出终端主机当前的补丁安装情况,通过远程监控和资产管理(软件管理)能够方便直观的检测出终端主机系统补丁的详细情况。目前,该补丁检测机制能够检测Windows操作系统、IE、Microsoft Office、Microsoft SQL等主流软件的补丁安装情况。提供对操作系统补丁、应用软件补丁的管理,自动化实现对补丁软件的分发和安装。
防非法接入
金山防水墙系统能实时在线检测网络中的所有用户,发现接入网络的非法用户并产生告警,能有效发现和限制非法连接到内部网络的外部主机(外部用户主机、内部未安装金山防水墙系统或未正确登录用户的主机),以便网络管理员及时发现接入网络的非法用户,保护内部主机系统的安全,防止内部机密信息的泄密。
防内部攻击系统
金山防水墙系统的防内部攻击模块是专门解决内部网络的攻击和非法访问所提出的安全解决方案,同时又能够有效地防止某些应用程序大量消耗网络带宽而导致正常应用无法通过、合法用户无法使用网络资源。防内部攻击系统能够有效保证内部网络资源的正常、合理、高效的利用。
防内容泄密
金山防水墙系统提供了对机密信息的多种保护手段,有效防止了机密信息的泄漏。信息泄密应该做到防止信息泄密的所有途径,同时对泄密文件能够进行有效的控制。
防内容泄密功能提供了对信息各种泄密途径和机密文件脱离特定环境的有效控制。提供对信息泄密途径的控制包括如下方式:
信息泄密方式 控制类型 信息泄密方式 控制类型
网络传输 对通过网卡的数据进行控制 文件转储 软驱
其他传输 红外传输 刻录机
1394传输 U盘
接口对等传输 移动硬盘
连接互联网方式 拨号上网 其它移动存储
移动上网 文件打印 USB、LPT打印机
无线上网 本地打印
代理上网 网络打印
其他上网方式 打印到文件
内容过滤
金山防水墙系统提供对终端用户访问外部网络WEB、MAIL和关键字内容的过滤功能,防止不良信息和邮件的侵扰,同时能够对内部用户向外发送信息进行有效的过滤和控制,防止内部敏感信息资料的泄漏。
标号 WEB过滤功能描述 邮件过滤功能描述
1 基于URL的网页过滤 过滤垃圾邮件
2 基于权值设置的关键字过滤 限制特定内容邮件的收发
3 HTTP命令过滤 基于收发邮件人的过滤
4 提供黑白名单网页过滤功能 基于邮件内容的过滤(含压缩文件)
5 提供对文件类型的过滤功能 基于邮件附件大小的过滤
6 提供对媒体类型的过滤功能 基于邮件附件格式的检测
7 可限制利用HTTP上传和下载文件
8 限制通过网络论坛的发表权限
9 限制Cookie
10 禁止Java Script、VBScript、ActiveX等
11 对色情、反动、非法的网站和内容进行分级过滤和限制
12 限制用户使用网络搜索引擎进行不良非法内容的搜索,确保健康的上网环境
13 限制和屏蔽间谍软件、恶意代码
14 限制流媒体等应用程序对网络带宽的占用,确保正常访问的畅通
设备管理
金山防水墙系统的设备管理模块提供了对设备使用情况(如软驱、光驱、刻录机、U盘、拨号连接、无线上网、红外传输等)、打印机使用情况(本地打印机、网络打印机、打印状态)管理和监控,同时提供了帐户与IP地址、MAC地址和主机序列号等的绑定功能。有效限制了病毒传播途径和信息泄密途径,防止了终端用户私自更改主机网络配置信息带来管理上的混乱。
标号 设备管理功能描述 绑定功能功能描述
1 对Modem设备的管理 帐户和主机IP地址绑定
2 对无线设备的管理 帐户和主机MAC地址绑定
3 对红外设备的管理 主机IP地址和MAC地址绑定
4 对PCMICA设备的管理 帐户和主机序列号(如CPU、硬盘等)绑定
5 对软驱、光驱、刻录机的管理
6 对U盘的管理
7 对并口、串口、USB接口的管理
8 对1394、蓝牙技术的设备管理
9 对打印机的管理
外联防护
金山防水墙系统的外联防护模块是专门针对政府、军队等对保密需求较高的用户中存在的安全问题进行有效控制,严格限制了终端用户在特定网络环境中进行特定资源、服务的访问。提供的功能描述如下:
标号 防非法外联功能描述
1 限制内网主机直接利用网卡连接到Internet网络
2 限制内网主机使用调制解调器、ADSL拨号设备、无线网卡等连接到Internet,尤其是在通过网卡连接到内部网络时
3 限制内网主机通过代理连接到Internet或其他网络
4 限制内网主机连接到其他局域网或主机
5 限定用户是否可访问除指定网络外的其他网络
6 限定用户离开安全网络后的对外访问行为,可以选择“完全禁止”、“受限访问”或者“无条件访问”
7 限定用户的网络访问行为。例如:可访问的站点和服务、可访问的时间、可运行的网络软件、可访问的关键字等
8 对用户的各种网络行为进行统计和日志
9 提供IP、MAC、用户名绑定功能,防止用户篡改以逃避检查
远程监控
金山防水墙系统远程监控模块提供了对终端主机的实时在线监视、分析和对异常行为的有效控制。能够实时监视在线主机的系统信息和资源利用率情况,为管理人员提供直观的图形化查看界面,及时发现终端主机存在的异常情况和安全隐患。
监控项目 描述信息 操作类型 备注
操作系统信息 操作系统类型 监视、查看 包括用户和主机名称
系统性能信息 CPU、内存利用率 监视、查看 通过图表实时显示
磁盘信息 磁盘数量、分区类型、磁盘容量 监视、查看 包括磁盘利用率
协议信息 本地开放的端口类型和状态 监视、查看
网卡信息 网卡信息和工作状态 监视、查看 图形方式显示流量
进程信息 当前启用的进程情况 查看、配置
系统服务信息 系统当前所启用的服务情况 查看、配置 可启用和禁用
网络共享信息 共享磁盘或文件夹 查看、配置 能够远程结束共享
应用程序信息 本机所启用的应用程序情况 查看、配置 可结束不安全程序
主机文件保护信息 受保护的文件或文件夹 查看、配置
用户信息 主机已有帐户信息 查看、配置
磁盘数据保护信息 磁盘、分区数据保护情况 查看、配置 可远程进行备份还原
设备使用情况 主机设备使用情况 查看、配置
打印机管理 本地或网络打印机 查看、配置 能够对打印作业操作
远程维护 提供远程维护工具、和本机具有相同的操作权限 查看、配置 在终端用户授权情况下才能够进行
用户行为管理
金山防水墙系统能够对全网中终端用户的网络访问行为进行限制,保证网络正常运行和企事业单位员工的工作效率。
标号 用户行为管理
1 精细限制内部主机的对外访问
2 精细限制其他用户主机对内部主机的访问
3 基于IP、TCP、UDP、ICMP、IGMP等协议的访问控制
4 基于Netbios的文件共享控制
5 特定网络应用服务的访问控制(HTTP,FTP,SMTP,OICQ,BT等)
6 特定网络端口的访问控制
7 基于时间、日期的访问控制
8 基于用户、用户组的特定应用,可对不同的用户采取不同的策略
9 控制网络应用程序,对聊天、游戏、炒股等分时段管理
10 将“特定网站”列入黑名单,屏蔽互联网上不良内容的“信息冲击”
11 对用户分组管理,等级化用户的网络权限
12 禁止用户私自卸载企业指定的安全和管理工具,保障企业投资
资产管理
金山防水墙系统能够对全网中的主机系统的各种软、硬件配置资源进行自动收集和整理,并在这些资产信息发生变动时及时发现、并产生告警提示信息,及时通知网络管理人员及相关管理部门,有效防止了企业组织内部资产的丢失和重复购买,为组织的高效运转提供帮助。
收集客户端主机系统的资产配置信息如下图所示:
信息名称 信息描述 收集方式 备注
帐户名称 登录金山防水墙系统的用户帐户 自动 登录帐户
组织机构 帐户所在的组织信息 自动 帐户所注册的组织
主机名称 客户端主机名称 自动 主机名和组织
主机操作系统配置 客户端主机操作系统类型和版本 自动
操作系统补丁配置 记录操作系统的补丁安装情况 自动
主机网卡配置信息 客户端主机网卡信息和配置信息 自动 包括IP、MAC地址等
主机硬件配置信息 记录主板、CPU、硬盘、内存、光驱等硬件配置信息 自动
应用软件安装配置 记录客户端主机应用软件的安装情况和所启用的软件情况 自动
数据还原
金山防水墙系统的数据还原模块为用户提供了基于分区和磁盘的备份还原,通过对系统分区的备份和还原,大大减少了因重新安装或修复操作系统和应用软件而造成的时间浪费,也提高了工作效率。
该数据还原系统提供了基于单机和网络的数据备份还原功能,方便网络管理人员对客户端主机系统进行远程磁盘备份和回复,保护系统分区和磁盘数据免受破坏,在系统出现故障时,通过“一键恢复”功能快速、高效使系统恢复如初,提供了自动和手动两种不同的磁盘分区恢复方式。
数据还原系统提供了对FAT32和NTFS等分区格式的支持;数据备份空间占用少(仅为所要备份磁盘空间的万分之三)、恢复速度快(80G磁盘恢复时间不到5秒);提供了对主机CMOS的保护功能。
涉密文档管理
金山防水墙系统的涉密文档管理子系统对涉密文档资源进行加密存放,终端用户对涉密文档的访问需要经过认证、授权机制,通过认证授权用户对加密的涉密文档访问能够采取防泄密措施,在加密文档打开状态下,能够防止用户将文件本身或文件内容进行泄密,能够对用户使用网络传输工具、本地转储、外部移动存储等方式(比如文件另存、内容复制、Email发送、U盘拷出等)传播涉密文档进行控制确保敏感信息的安全。
涉密文档管理子系统提供对加密文件的授权解密,能够满足特殊条件下用户(如需要将加密文件带出网络环境进行使用的领导)对加密文件的使用;能够提供对加密密钥的还原恢复机制,在发生不可预知的灾难情况下,可以准确恢复原始加密密钥。
总结 对网络安全防护的内外兼备、丰富的产品功能及产品的稳定性是我们对金山三款新品的最大感受。值得一提的是,金山防水墙的出现解决了目前网络安全状况中内网安全的一大难题。总的来说,金山的“三墙”即满足了用户独立的安全需求,同时又协同构成了迄今为止业界最为完整的网络安全解决方案。
