东软NetEye网络安全解决方案

东软网络NetEye安全解决方案1.内、外网间的屏障方案当单位内部网与公共网络连接时，内部网络将直接暴露在来自世界各个角落的黑客的攻击之下。这种情况下必须使用防火墙对内部网络进行保护。防火墙的功能是隐藏内部网络结构（如使某些仅供内部使用的计算机对外部网络来说完全不可见）；限制外部网络用户对内部主机的访问（如仅允许外部用户或主机访问防火墙内的服务）；限制内部用户对Internet的访问（如只允许某些IP地址的计算机能够访问Internet，并限制其对Internet的服务，如只能使用服务）。东软网络NetEye安全解决方案NetEye可以对内、外网之间的通信进行监控，查看通信的内容，包括页面、Email等内容，从而防止内部用户使用不合适的Internet服务。NetEye的IP/MAC绑定功能可以用来防止某些用户通过盗用其他用户的IP地址而获得某些特殊的权限（如访问Internet）。典型的连接方式是将NetEye安装在与外网连接的路由器和内部交换机或集线器之间，如下图所示，路由器通过DDN专线或其他方式（如拨号路由）连接到Internert，并通过NetEye防火墙同内部网相连，所有内、外网络间的通讯都将通过防火墙的过滤。（如下图）东软网络NetEye安全解决方案东软网络NetEye安全解决方案2.建立局部安全区方案网络安全的隐患不仅仅来自外部网络，事实上在对企业或政府部门中数据的丢失或服务器的破坏多数是由内部人员造成的，因此即使用户的网络没有连接到Internet，也应该对内部的关键业务部门的网络进行保护。对于比较大型的用户，其网络往往由多个部分构成，如研发部门、办公部门、财务部门等，由于各自的职责不同，应该对其所属网络进行严格的划分，比如只允许部门之间通过电子邮件交换信息或访问公共的系统，而不允许直接访问对方的机器。这就需要使用防火墙对部门网络进行分割和保护，同基于路由的防火墙不同，NetEye可以在任意的网络链路进行分割，因此可以将同属于一个子网的计算机划分成若干独立的部分而不需要改变路由设置。东软网络NetEye安全解决方案划分后的网络之间的通信将可以由管理员进行严格的限制，可以使某些内部的重要主机对其他部门完全隐蔽。这种分割方式可以非常有效地防范内部网上各种攻击手段，比如常被用来在内部网上偷听重要信息（如登陆口令）的Sniffer工具等。典型的连接方式如下图所示：东软网络NetEye安全解决方案东软网络NetEye安全解决方案3.单一主机防护方案同部门网络的划分类似，在企业或政府部门中，某一个别主机系统往往具有特别重要的地位，比如执行企业关键任务的服务器、保存大量关键数据或资料的数据库系统等。这些个别主机上的数据的丢失或系统被破坏将对用户造成无法挽回的损失。因此利用NetEye防火墙对关键主机进行隔离和保护，并对出入该服务器的数据进行监控是十分必要的。这种方式可以防止绝大多数的攻击手段。典型的连接方式如下图所示：东软网络NetEye安全解决方案