【IT168 专稿】目前，国内网络安全产品主要是以硬件为主，其中包括防火墙、入侵检测系统（IDS）、防病毒网关、VPN以及物理隔离卡等产品，其中以防火墙、入侵检测系统、VPN应用得最为广泛。大家知道，漏洞扫描系统也是网络安全产品不可缺少的一部分，安全扫描是增强系统安全性的重要措施之一，它能够有效地预先评估和分析系统中的安全问题。

    漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序（安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略方面存在的安全缺陷）。漏洞扫描按功能可分为：操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。针对检测对象的不同，漏洞扫描器还可分为网络扫描器、操作系统扫描器、WWW服务扫描器、数据库扫描器以及最近出现的无线网络扫描器。

    网络漏洞扫描系统（简称扫描器），是指通过网络远程检测目标网络和主机系统漏洞的程序，它对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。漏洞扫描器多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。扫描器首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中寻找漏洞特征库定义的安全漏洞，如果有，则认为安全漏洞存在。可以看到，安全漏洞能否发现很大程度上取决于漏洞特征的定义。

    网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；或者通过模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。主机漏洞扫描器则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。

    网络漏洞扫描系统发展迅速，产品种类繁多，且各具特点，在功能和性能上存在着一定的差异。漏洞扫描系统大多采用软件产品来实现，也有厂家采用硬件产品来实现漏洞扫描，本文介绍的主要是漏洞扫描硬件产品。

    一、漏洞扫描系统

    1、绿盟科技的极光远程安全评估系统

#$[*190837.jpg*#绿盟科技的极光远程安全评估系统（点击看大图）*#0*#0*#center*]$#

    绿盟科技的极光远程安全评估系统基于嵌入式Linux系统的硬件安全扫描设备，可靠性、稳定性更好，同时大大提高了工作效率和自身安全性自身具有良好的安全性和稳定性，也是对提供更好的扫描服务的保障。能够检测超过1000条以上经过安全专家审定的重要安全漏洞，涵盖各种主流操作系统(Windows、Unix等)、设备(路由器、防火墙等)和应用服务(FTP、WWW、Telnet、Smtp等)。截止到2004年1月，本系统能够从多个角度识别和检测超过60个分类的1240条漏洞及安全隐患信息。多重服务检测，能对端口运行的服务标识进行智能服务识别，而不是固定的依据默认值去判断，即使WEB服务运行在非80端口也能准确地识别出来，逻辑组合测试，扫描模块会自动根据逻辑依赖关系执行，避免无目的动作，从而提高扫描效率和准确性。自动判断所处理目标的系统类型并自动匹配相应的扫描模版。

    作者点评：绿盟科技的极光远程安全评估系统是由核心扫描调度控制系统、知识库（漏洞扫描插件与安全漏洞信息）、WEB管理平台、升级系统以及数据同步系统五部分构成，我们可根据网络情况分别采用平坦式部署和分布式部署，来满足企业的不同需求。它提供给用户的绝不仅仅是单纯的一套安全产品，而是能够通过高质量的售后服务、技术保障和稳定的升级支持，让用户真正感觉到，全面而又友好的安全专家，就在自己身边。

    2、飞狐-网络安全扫描系统

#$[*190873.jpg*#飞狐-网络安全扫描系统（点击看大图）*#0*#0*#center*]$#

    深圳市中实网络信息技术有限公司的“飞狐-网络安全扫描系统”为硬件类型扫描产品，工业控制标准机型，配置高，运行稳定可靠，可以在恶劣的环境中持续高效运行。“飞狐-网络安全扫描系统”由飞狐扫描、补丁扫描和NASL扫描三大部分扫描功能组成，它引入安全登录机制，防暴力破解。多任务分时扫描，可多用户同时使用，由管理员统一管理扫描帐号并能够授权该帐号可以扫描的IP地址范围，效率高。扫描调度算法和扫描模块的算法具备一定的智能性从而确保扫描速度极快、误报率低。可并发几十个扫描线程，在确保稳定的情况下充分利用系统硬件资源。可检测各种运行TCP/IP协议的网络设备的安全性。

    数千条网络安全漏洞的检测能力，包括各种重大的和当前流行的网络安全漏洞，同时提供相关的网络安全漏洞解决方案供随时查阅。提交扫描任务或查看扫描结果只需要通过浏览器，不需要安装其他附加软件。可选择按一定的安全策略进行扫描以更具有针对性和节约扫描时间。引入断电自我保护机制，尽力减少由于突然断电导致正在进行的扫描任务丢失。界面美观，漏洞报告以图表配合文字讲解，观看简单方便。无限制IP地址扫描，管理员可以对任意IP地址进行安全漏洞扫描，但不应该对未经授权的IP地址进行扫描，以防引起法律纠纷。目前系统包含了2000多个漏洞检测模块和5000条以上的漏洞解决方案，并仍在不断加入新的漏洞检测功能和漏洞解决方案。

    作者点评：“飞狐-网络安全扫描系统”集国内外优秀的网络安全扫描产品特点于一身，并突破了传统网络安全扫描产品在开发观念上的束缚，融合进了更多且强有力的网络安全扫描功能，以数千个网络安全漏洞检测模块和数千条网络安全漏洞解决方案作为支撑，为企业网络的安全提供了强有力的保障，并为扫描产品赋予了生机，开创了扫描产品功能扩展之先河。

    3、鹰眼网络安全评估仪（NSES100）

#$[*190904.jpg*#鹰眼网络安全评估仪（NSES100）（点击看大图）*#0*#0*#center*]$#

    鹰眼网络安全评估仪基于专用操作系统的硬件安全扫描设备，大大的提高了工作效率和自身的安全性。完全基于安全套接层通信(SSL)的远程管理和扫描系统；结合用户管理功能，系统本身能够对大规模网络内部提供在线评估服务。只需将设备连入网络，作简单设置就可以开始最初的检测，还可根据客户需求自定义完备的扫描计划。多重服务检测，不按照IANA指定的端口号来区分目标主机所运行的服务（即不认为80端口"一定"运行HTTP服务），检测更加智能化。仅当某一测试条件成立或某一安全扫描成功时才进行相应的进一步检测。能穿透大多数防火墙设备进行主机存活和端口扫描，完全与高级黑客采用的测试手段类似，能够对检测目标实施安全漏洞攻击。

    通常的安全扫描器根据检测到的服务器版本号来分析是否含有安全漏洞，但我们的产品却能用真正的攻击测试来确定安全漏洞的存在。检测报告不但提供被扫描网络存在的安全漏洞和这些安全漏洞的危险级别，同时还给出安全解决建议，防范恶意攻击者利用这些安全漏洞入侵系统。分别支持WORD、EXCEL两种格式的报告。同时提供直观的图形方式概要了解安全水平，报告分析更是大规模网络管理员的得力助手。

    作者点评：鹰眼网络安全评估仪属于成都三0盛安安全服务体系的一部分，可以与三0盛安的其他安全产品结合，从而帮助客户进行更高效的安全管理和检测工作。是国家最大的信息安全研究机构之一，多年来一直作为国家信息安全研究的基础研究部门，同时与多个国际安全组织保持密切联系，在很多时候会先于攻击流行前，发布检测模块和解决方案，并及时应用到鹰眼网络安全评估仪中。能检测1200条以上最重要和全新的安全问题，包括多种流行操作系统(Unix、Windows等)，设备(交换机、路由器等)和应用服务(WEB、FTP、MAIL)等，与国际领先水平同步。

    4、RJ-iTop I 联动型扫描系统

#$[*190912.jpg*#RJ-iTop I 联动型扫描系统（点击看大图）*#0*#0*#center*]$#

    RJ-iTop I 联动型扫描系统是榕基企业的安全系列产品之一，它完全基于国际CVE标准，可以通过本地或者网络升级随时保持与国际最新标准漏洞库同步，可以扫描漏洞数量大于1300个。可以扫描任何基于TCP/IP的主机，对网络设备、数据库同样全面扫描检测。扫描时自动调节并发线程数，达到最优的扫描效率的目的。完全扫描一台服务器，仅耗时2-4分钟；网段扫描时效率更高。扫描方式灵活多样，系统预设多种扫描策略，也可由用户根据需要自定义扫描策略，可以实现对单IP、多IP、网段扫描和定时扫描，扫描任务一经启动，无需人工干预。扫描结果可以生成三种不同类型的报告，可满足不同角色的人员的需要，如行政主管、安全专家、技术人员、并提供客户化报告外观的功能，提供修补漏洞的解决方法，在报告漏洞的同时，提供相关的技术站点和修补方法，方便管理员进行管理。

    提供丰富的漏洞分类：拒绝服务攻击、远程文件访问测试、一般测试、FTP测试、CGI攻击测试、远程获取根权限、毫无用处的服务、后门测试、NIS测试、Windows测试、Finger攻击测试、防火墙测试，SMTP问题测试、端口扫描、RPC测试、SNMP测试等19大类。

    作者点评：RJ-iTop I 联动型扫描系统产品包括扫描服务和手持扫描仪，它稳定、灵活，有利于全网安全的统一和稳定。扫描服务器部署于网络中心，高速高效且稳定的扫描防护整体网络；手持扫描仪使用灵活，可以跨越网段、穿越防火墙，对重点的服务器和网络设备直接扫描防护，通过可以和多种防火墙、IDS连动，保障全网安全。

    二、编后语

    随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。基于网络的安全扫描技术主要用于检测网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可构造模拟攻击，探测系统是否真实存在可以被入侵者利用的系统安全薄弱之处，评价系统的防御能力。

    漏洞扫描器通常以三种形式出现：单一的扫描软件，安装在计算机或掌上电脑上，例如ISS Internet Scanner；基于客户机（管理端）/服务器（扫描引擎）模式或浏览器/服务器模式，通常为软件，安装在不同的计算机上，也有将扫描引擎做成硬件的，例如Nessus；其他安全产品的组件，例如防御安全评估就是防火墙的一个组件。在安全扫描中，硬件设备的资源能够承受多数量的主机。与通常的软件扫描器相比，由于承载的硬件嵌入系统平台经过特别优化，其扫描效率远远高于一般的安全扫描软件。

    大型网络需多台扫描器跨地域及跨防火墙协同工作，此时可以在网络中采用分布式部署模式。该模型中扫描器部署中分等级和角色，低级别的扫描器将扫描数据同步到高级别的扫描器数据库中，这样上层管理人员可以查看下层扫描器的扫描结果，以此监督下层管理员的工作和了解整体安全现状；同时该模型不影响各个扫描器的单独使用。

    网络安全扫描产品的核心功能在于检测目标网络设备存在的各种网络安全漏洞，针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案，使系统管理员在黑客入侵之前将系统可能存在的各种网络安全漏洞修补好，避免黑客的入侵而造成不同程度的损失。网络安全扫描系统，是维护网络安全所必备的系统级网络安全产品之一，其存在的重要性和必要性正被广大用户所接受和认可。