概览
　　通过大量地减少实施安全、高效的网络系统所需要的时间和技术，提高了网络建设水平。SessionWall-3可以全自动地识别网络使用模式、网络使用具体细节，并可以识别大量基于网络的入侵、攻击和滥用。它揭示了大量关于网络生产性使用情况、安全和遵守企业政策等方面的运行中的神秘因素。
　　
　　背景
　　Internet是六十年代美国国防部资助的网络研究计划的产物(Advanced Research Projects Agency Network - ARPAnet)，ARPAnet主要用于科研人员之间建立联系，实现信息的轻松互访。到了八十年代，国家科学基金会(NSF)正式创建了Internet，以取代原有的ARPAnet，使之成为更现代、更高速的网络系统。从那时起，Internet及其应用逐渐演化成为企业与企业，个人与企业，个人与个人之间的主要通讯渠道。导致它普遍被使用的主要原因在于其采用了一个使用起来简单的网络协议：TCP/IP（传输控制协议/互连协议）。
　　为了实现易用性，TCP/IP协议放弃了所有象IBM SNA这样的商业网络协议中的保护机制。
　　除了基本的通讯协议外，TCP/IP包括了一些基本的网络应用及应用协议。这些网络应用包括Telnet、Email功能（SMTP - Simple Mail Transport Protocol），文件传输功能（FTP - File Transport Protocol），超文本传送功能（HTTP - Hypertext Transfer Protocol），会话功能（IRC - Internet Relay Chat），等等。
　　易于使用的Internet浏览器的出现，使得有效使用的学习曲线大大缩短，提供了一个几乎实时的方式去浏览所需信息 — 各种各类的信息，这样就极大地增加了Internet的生存能力。这些易于使用的Internet浏览器（如，NetScape和Microsoft Internet Explorer）及其幕后的服务器系统对于广阔区域范围的网络系统的普遍使用的贡献，远远超出了电子表格对PC机应用的推动作用。
　　Email、浏览器和文件传输功能的结合推动着Internet互联性向着数以百万计连接方向发展，这些连接是通过含有Web内容的公用互连网络进行。
　　Web已经发展成为主要的沟通、传输软件和电子文档的工具，为支持服务、采购产品、新闻发布和研究活动提供了有效途径。推动Web有效和普遍被使用的三个主要原因是：
　　· 易于使用的Email、信息浏览器和文件传输。
　　· 强大易用的网络协议。
　　· 方便的访问和互联性。
　　简单地说，Internet/Web给企业提供了用于企业内部和位于不同地点的企业之间进行沟通的新渠道，同时也为这些企业的雇员们访问电子信息和新闻提供了途径。然而，这种灵活性同时也不可避免地带来了黑客的恶作剧、内部网络使用上的滥用、信息偷窃、工业间谍和其他企业非正当目的的活动等各种形式的威胁。
　　
　　网络保护
　　Intranet保护需要适当的工具。不幸的是，即使有了合适的工具，也可能会由于缺乏适当的审计机制而对企业造成巨大的损失。例如，根据领先防火墙专家的介绍，由于技能的缺乏、配置的复杂性和低层操作系统的薄弱，50%以上的已安装的防火墙没有得到正确的实施。
　　结果不足为奇地导致了企业在采用网络保护工具方面大大滞后。大部分的企业希望等待更多的网络保护程序出现，以便在购买之前能加以选择。企业需要能够清晰地显示其网络使用情况的组件，以确定何处需要安全策略，以及应该封锁什么样的内容。另外，企业需要确认他们得到了自己所期望的安全策略的遵守和网络保护。
　　
　　恶作剧、滥用、盗窃、间谍和非授权的使用。
　　恶作剧需要入侵探测系统
　　恶作剧表现为入侵，拒绝服务型的袭击和对服务器、应用或系统控制权的抢占。
　　正像前面指出的，TCP/IP的设计是非常灵活的。这种灵活性以及Internet访问的普遍性，使任何了解其通讯协议和低层特征的人都可以充分地炫耀自己的能力。例如，黑客们可以利用标准的TCP/IP协议来确定内部地址并通过标准的服务抢占服务器，阻塞网络通道或占用客户机。另外，通过参与"hacker"新闻组，这些黑客们还可以学到有关TCP/IP协议或TCP/IP应用软件bug的情况，并可以在他们的黑客活动中加以利用。例如，ping命令是网络用户通常用于查看位于网络另一端的服务器或客户机是否可以抵达，以及需要多长时间才能抵达的一种途径。但是，如果ping的开销过大，许多TCP/IP栈的挂起可能会导致桌面系统或服务器锁定。这就是通常称为死亡之ping的服务拒绝型攻击。其它类似的攻击包括：
　　· 通过大量针对特定网络的，有效的低层网络活动阻塞网络通道。
　　· 开始后未能完成的会话，由于挂起而形成网络阻塞。
　　· 发布有效的用户服务器命令，使客户机软件处于被控制的状态。
　　· 发布附件中带有病毒或worms的Email消息。
　　· 发布可能使用户Email应用将控制权交给邮件附件中的可执行代码的Email消息。
　　· 提供有趣的Web站点，引起客户下载Java或ActiveX小程序，并通过这些程序读取桌面系统信息，并传递到其它网站，或自行抢占桌面系统的控制权。
　　这些攻击的主要攻击力在于他们采用了标准网络功能，并用于不正当的目的，或采用标准功能来激活系统或系统应用中的bug。基本的防火墙大都是用来防止不适当的协议和特定的客户/服务器访问，但很少查看应用本身。Proxy服务器被用来解决与应用相关的问题。Proxy服务器扮演了代理人的角色，并可以查出特定应用中存在的问题。但是，proxy服务器的自身质量也是一个问题，因为一些攻击行为可以引起proxy服务器的问题。这种不断拦截攻击行为的过程导致了一种新工具的出现，即入侵探测系统（Intrusion Detection Systems）。这些入侵探测系统致力于监控和探测已知或可疑的模式，并提供了自动和手工实时反应这两种方式。
　　SessionWall-3提供了易于安装和使用的入侵探测、病毒检测和Java/ActiveX探测等功能。同时还提供了大量的使用记录和相应的法律行为，以及有助于识别其它异常情况的报告。SessionWall-3提供了全面的入侵探测服务。
　　
　　网络滥用
　　滥用往往表现为对不恰当的Web站点进行访问，使用内部网络从事与其它员工或网络用户的非正当通讯或不正当的网络资源消耗。
　　Internet滥用带来不同的恶果，包括员工工作效率的下降、网络带宽的损失以及工作环境面临风险的增加，未经控制的访问冒犯其他雇员。从工作效率的角度而言，许多企业将体育网站、游戏和在线赌博等看做是Internet滥用行为，并希望对其加以监视与控制。从带宽消耗的角度考虑，许多企业对员工访问对提高工作效率没有帮助的站点和下载大的图形文件非常关注，因为这将对所有网络用户的工作效率产生影响。从责任角度而言，企业更多地关注其员工对色情站点，泄愤站点或类似攻击性内容的访问。对这些站点的访问在工作场所中没有环境，而企业则听任其存在，不取消和阻止其发生，这些访问会给公司带来危害。
　　再者，防火墙系统并不将注意力放在应用层次的监控上，从而导致了Web控制网关的产生。这些网关通常包括大量URL和Web站点的分类库，使网络管理员可 以确定并阻塞不适当的访问。这种方案的不足之处在于它会引起网络传输的延迟，从而再次形成问题隐患。SessionWall-3引入了新的机制，以便在不造成上述的延迟或问题的情况下实施必要的监控。SessionWall-3以被动的方式连接到网络上,对流量进行简单地监听，一旦发现需要拦截的访问，即加以阻止。
　　
　　电子资源盗窃
　　盗窃往往表现为未经授权访问个人用的特殊信息。这可以通过对特定服务器或客户机的侦听和通过猜测密码的手段对应用系统的侵入来实现。虽然主机保护软件是保护服务器端资源的基础，但是一旦应用资源进入网络就很难加以跟踪。
　　基于网络的应用挑战/反馈探测和网络层传输内容扫描工具被用来识别试图使用或破解注册口令，以及跟踪这种电子资源的传送，并提供相应的日志，报警，反馈和记录。SessionWall-3提供了这些服务。
　　
　　工业间谍
　　工业间谍以知识或信息窃贼的形式出现，往往会将得到的资源传递到另一企业。使用Internet，就可以更加方便地将有价值的数字化的企业机密设计方案或类似的内容传递出内部网络以外的地方。出于这种考虑，Email大小被加以监控、特殊的邮件过滤程序被用来确保Web没有成为企业资源传递到企业之外的手段。在这种情形下，全面的记录和报表是必要的，以备以后可能出现法律争端时使用。SessionWall-3提供了这些服务。
　　
　　
　　未经授权的使用与骚扰
　　Email的普遍使用使企业有必要对其在网络上的暴露程序进行控制。如，员工可以在与用户的沟通中，通过在Email里使用象“保证”或“免费”等字眼对企业作出非授权的承诺。类似地，电子邮件可以被用于骚扰企业内部或外部的其他员工。这些都是通过利用企业资源而实现的。如果企业确实有这样的政策但还没有加以实施，那么企业可能需要对攻击者的行为负责。其它形式的无意识行为可能包括接受有关公司利益的协议，或在未经合法审查的情况下引入敏感的软件到企业中。
　　
　　SessionWall-3的技术
　　SessionWall-3是一种易于使用的软件型网络分析方案。它对网络流量进行监听，并对传输内容进行扫描、显示、报告、记录和报警，并提供了全面地查看有关内容的途径，以易于理解的方式提供了相应的信息。另外，SessionWall-3采用了专利型的"unobtrusive blocking"技术，在基于规则和相应的报警条件的情况下对不恰当的网络流量进行拦截。
　　直到1997年SessionWall-3出现之前，企业不得不购买各种不同的软件，用来创建自己的安全系统。现在，SessionWall-3的用户可以在同一个软件中查看其网络使用的情况、确定企业暴露的程度、提供及时的帮助以保护网络和减少业务暴露的程度。
　　SessionWall-3可以被安装到任何连接到网络上的Windows 95/98或NT4.0/5机器上。并可以对一个或多个以太网，Token Ring和FDDI局域网段中的网络流量进行处理。
　　SessionWall-3 Release 3(V1R3)被设计成可以当做

文章转载地址：http://www.cnpaf.net/Class/hack/06101110491544965543.html