东软政府机构网络安全解决方案

　　东软的网络安全体系的目标是保护网络的安全有效的运行，保护网络中的信息的保密性，其主要特点包括：

　　·政府各级局域网的安全保护

　　·政府各级局域网之间的访问控制

　　·应用业务系统的安全

　　·先进的身份验证机制严格控制用户的访问权限

　　·关键信息的传输的完整性和机密性

　　·访问控制和加密传输的完整结合

　　·全网各种访问行为的监控与审计

　　·网络安全系统的易用、可靠

　　东软政府机构的网络安全解决方案由下列产品构成：

　　·东软NetEye防火墙：实施网络边界防护，保护内部局域网，提供应用级的安全保护和各级局域网之间的访问控制，防止来自外部的入侵核攻击，对用户的各种访问进行身份验证和权限鉴别。

　　·东软NetEye入侵检测系统：提供内部局域网用户行为的实时监测和跟踪、内部或者外部发起的入侵进行识别、多种应用级内容审计。

　　·东软NetEye VPN系统：NetEye防火墙和SJW20网络密码机的集成，一方面以防火墙的抗攻击能力保证VPN系统的安全，以防火墙的访问控制限制VPN通道对内部网资源的访问；另一方面以可靠的加密技术，提供异地区域网络之间的安全、私有的互连。

　　防火墙系统

　　东软自NetEye 防火墙3.0以来以状态检测包过滤为基础实现了一种称之为"流过滤"的结构，其基本的原理是以状态包过滤的形态实现对应用层的保护。通过内嵌的专门实现的TCP协议栈，在状态检测包过滤的基础上实现了透明的应用信息过滤机制。在这种机制下，从防火墙外部看，仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据是以"流"的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能 。

　　流过滤的结构继承了包过滤防火墙和应用代理的特点，因而非常容易部署。并且由于应用层安全策略与网络层安全策略是紧密的，所以在任何一种部署方式下，都能够起到相同的保护作用。基于状态包过滤的流过滤体系结构，实现了高性能、可扩展、透明的对应用层协议的保护。如果你需要一个能够支持数万个并发访问，同时又要相当于代理技术的应用层防护能力的系统，流过滤结构将是唯一的选择，甚至在不需要改变网络拓扑的情况下实现。

　　系统主要功能特点：

　　基于状态检测包过滤的流过滤：以包过滤的外部形态实现了强大的应用层保护能力，从而提供了路由和透明桥接模式下，网络层和应用层完整的访问控制。对于应用层协议可以进行快速的升级，以抵御新出现的攻击。

　　·多个网络之间的访问控制。例如：内网、外网、DMZ区域(对外提供服务的服务器)。

　　·对网络访问的身份认证和权限控制，支持与第三方的标准的Radius协议服务器集成。

　　·双向网络地址转换(NAT)，可以对网络地址进行双向的隐藏。

　　·支持Vlan Trunk (国际标准协议802.1q)。

　　·IP与MAC地址绑定，防止内部网IP地址盗用行为的发生。

　　·攻击识别和报警，报警方式支持日志记录、邮件报警、SNMP Trap事件等。

　　·灵活的流量管理和实时的流量控制。

　　·提供了网络实时监控系统，可以实时的监控当前经过防火墙的网络数据包的状态、流量统计，并对数据包进行采集和分析。

　　·双机热备具有业界最短的时间，不超过1秒钟，保证网络的不间断运行。

　　·全GUI的、易用的图形管理界面。

　　·完善的审计功能，包括对网络访问的记录和统计，并生成报表。

　　·提供审计、管理、安全控制等多种管理角色和工具。

　　·支持通过SNMP进行监控和接收报警信息。

　　·支持多播协议、NetMeeting等视频协议。

　　·双向DNS解析。

　　·与NetEye IDS联动。

　　·与第三方防病毒产品联动。

　　入侵检测系统

　　作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

　　NetEye 入侵监测系统是东软集团自主研发成功的具有自主版权的网络入侵监测系统。NetEye IDS利用独创的数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。并可对网络的运行，使用情况进行监控，记录，和重放。使用户对网络的运行状况一目了然。同时提供网络嗅探器和扫描器便于分析网络的问题，定位网络的故障。NetEye入侵检测系统可对自身的数据库进行自动维护，不需要用户的干预。学习和使用及其简易，不对网络的正常运行造成任何干扰，是完整的网络审计，监测，分析系统。配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。