核心应用更应重点防御
　　网络的核心区域包括核心交换机、核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统、ERP系统、CRM系统、对内或对外的Web服务器、数据库服务器等。从安全的角度来说，这个区域是非常关键的，也是风险最集中的区域。
　　我们遇到的矛盾是，既要不影响DMZ区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙，还要在这个区域部署保护DMZ等类似关键区域的防火墙。
与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描、渗透、入侵、拒绝服务攻击等攻击，也要提供诸如NAT服务、出站控制、远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来，即用内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能，而这是对边界防火墙要求高性能数据过滤和转发、不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。
　　通过多种技术的协同防护，可以保证在网络边界对访问进行控制，但是，随着VPN网络和远程移动办公用户的接入增多，网络边界的概念已经非常模糊了。

绿盟科技冰之眼1200
推荐理由：检测发现大部分已知和未知攻击

　　冰之眼入侵检测系统是绿盟科技在积累多年网络安全领域经验的基础上开发而成的一款NIDS。
　　冰之眼入侵检测系统1200系列具有1000M网络上64byte（TCP Syn）线速处理能力，这得益于其先进的引擎架构：以协议解码为基础，配合以协议异常、协议识别和攻击结果检测技术，能够检测发现几乎所有的已知和未知的攻击，并检测出绝大部分攻击的结果是成功还是失败。
　　该产品的规则库（攻击检测库）由绿盟科技NSFOCUS安全小组(NSFST)提供，超过1800条的规则库覆盖了几乎所有的网络安全漏洞，详细的漏洞中文描述以及解决修复办法使得管理员可以方便、快捷地完成网络系统的升级工作

如何防黑？

　　事实上，不论企业是否承认，企业的网络都很容易受到来自内部或外部的攻击和入侵。因为人们很容易就可以从网上得到自动化的工具和攻击脚本，这使得稍有电脑知识的人就可以攻击网络，这其中不乏对您的企业不怀好意的人。
　　入侵者在对企业进行入侵时，通常都经历了以下几个阶段：首先是收集信息，这个阶段中扫描是使用最多的一种手段了，通过扫描可以了解来企业网络的拓扑结构、服务器的操作系统及开放的服务端口、甚至可以发现一些具体的漏洞；然后，入侵者利用扫描所得到的信息进行进一步攻击，比如利用某个漏洞来进入系统，然后再进一步利用其他的漏洞提升权限，进一步控制入侵的机器；最后，在达到自己目的之后，多数入侵者应该会隐藏自己的入侵痕迹，毁灭所有的证据，有的甚至还会再安装后门木马等程序，以便下一次访问。当然，并不是每例入侵事件都会有如此鲜明的三个阶段的，有些入侵者可能只利用某个自动化的工具来网上漫无目标地搜索目标，一旦找到就自动入侵得到权限，这类情况在当前还是时常可以遇到的。
　　既然我们已经了解了企业网络中所存在的风险情况，就应该从自身的实际情况出发，部署合适的安全产品。目前企业应用较多的就是防火墙、入侵监测、漏洞扫描和管理系统。

NetScreen-5GT
推荐理由：集成多项安全功能

　　NetScreen-5GT产品是特性丰富的企业级网络安全解决方案，集成了多种安全功能，如状态和深层检测防火墙、IPSec VPN、拒绝服务防护、防病毒等。此外，它还提供了集成Web过滤功能，通过控制与业务无关的网上冲浪来优化生产率和带宽利用率。
　　特别的是，NetScreen-5GT还有两个随时可用的变体，即NetScreen-5GT ADSL和无线NetScreen-5GT。其中，NetScreen-5GT ADSL同样提供了集成安全功能，并增加了ADSL连接，还提供了一个节约成本的安全和ADSL路由平台；无线NetScreen-5GT也提供了集成安全功能，并增加了无线LAN(802.11b/g)，为网络管理员提供了多达四个可配置的无线安全域，且支持一整套无线认证和保密机制。

防火墙
　　通过防火墙，可以阻挡扫描、实现访问控制。但是防火墙并不能防范来自网络内部的攻击和入侵，也很难防范一些伪装成合法流量的入侵行为。尽管如此，防火墙在对网络边界进行保护时还是一个非常必要而有效的工具，是企业在进行网络安全保障体系中不可缺少的一个组成元素。

入侵检测系统
　　可以说，IDS是专门为发现网络入侵行为而设计的一种安全产品。对于企业来说，在整个网络或网络的关键部位部署一台IDS往往能收到非常好的效果。一旦有入侵企图，通过IDS的及时报警，就可以赶在入侵造成危害之前采取措施来进行预防。既使入侵发生了，IDS的相关记录也能为将来对入侵行为的调查和取证起到关键的作用。
　　不过，IDS设备的设计由于是面向网络流的，因此对网络的控制粒度也比较粗糙，一般情况下，只能得出网络受到某种攻击，而不能确定这种攻击是人为的还是由某种病毒引起的，因此还需要经验丰富的网管参与管理。不过现在已经有基于旁路而且控制粒度更细的VDS设备了，它可以很好地解决IDS的不足问题。
　　IDS在使用中也存在一些问题和要注意的地方。比如，IDS的配置对于管理员的要求相对要高一些，不当的配置可能导致IDS产生过多或过少的事件，影响对入侵的判断。而且，许多事件报告还需要人的思考和分析才能做出正确的判断，IDS天生存在误报和漏报的问题也不容忽视。

漏洞扫描和管理系统
　　入侵检测系统虽然号称能实时发现入侵行为，但是当它发现入侵时，实际上已经是晚了一步，人们能做的只是亡羊补牢。如果能在入侵发生之前就采取预防措施，效果一定会好的多。所以，定期对企业自身的漏洞进行扫描，发现了安全漏洞就及时进行修补，这是一种非常积极的安全措施。
　　漏洞扫描产品不但能发现漏洞，而且会提供相应的安全建议。企业可以借助漏洞扫描和管理系统，定期进行漏洞扫描、网络评估，从而有效地控制企业的风险。但漏洞扫描产品也存在误报和漏报问题，另外扫描过程本身也是有一定风险的，使用不当的话，可能会造成宕机、重启等后果。不过，漏洞扫描和管理系统体现出的这种积极防御思想还是非常有意义的，可以作为防火墙、IDS的有效补充。
　　除了这三种可以采用的防范措施之外，加密、身份认证等技术也是很有效的措施，市场上也有相应的产品。此外，一些成本低廉、快速有效的小的防范措施，比如升级和补丁管理、密码管理、资产分类保护等在帮助企业抵御攻击方面也会起到不小的作用。

联想网御强五
推荐理由：五大强势功能

　　联想网御强五系列防火墙是专门为企业级用户打造的高可用的安全产品，具有强安全性、强适用性、强可靠性、强扩展性和强管理性等强五特性。
　　它利用精心设计的网御防火墙操作系统，基于IA架构，充分发挥了硬件的高效数据交换能力和系统并行处理能力，实现了高性能与高安全性的完美结合。
　　在安全性方面，它采用主动型包过滤技术；具有增强型抗攻击技术，可防范各种常见类型的拒绝服务攻击；支持多种用户身份认证与基于身份的访问控制；内置入侵检测模块，并支持与其他入侵检测设备的联动；支持对内容进行检测；支持模式无关的双向地址转换，支持同时进行源和目的地址转换；真正标准的IPSec VPN解决方案。

CA eTrust IAM r8
推荐理由：轻松实现身份识别和访问管理

　　CA eTrust IAM r8是一套完整的、集成的、模块化的IAM解决方案，通过集成IAM管理的各个方面，可以帮助企业跨越复杂、异构的环境，实施并自动完成对用户及其IT资源访问行为的管理。
e　　Trust IAM r8套件的增强功能包括：eTrust Admin r8.1提供了先进的工作流程，使现有的管理机制可以更好地与新的、自动的、基于模板的身份授权过程进行集成；eTrust Access Control r8可自动生成各种非常好的管理实践，包括一系列预定义的专门针对普通应用的管理政策；eTrust Single Sign-on r8提供了会话管理功能，满足多个用户共享工作站的需求；eTrust Directory r8则提供了增强的“虚拟目录”功能，用于确定LDAP请求的根目录。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1679&categ_code=10041003