网络安全服务（Security Service） 随着互联网的日益普及，人们对.pdfVIP

网络安全服务（Security Service） 随着互联网的日益普及，人们对互联网的依赖也越来越强，网络已经成为人们生活中不 可缺少的一个部分。但是，Internet 是一个面向大众的开放系统，对于信息的保密和系统的 安全考虑得并不完备，加上计算机网络技术的飞速发展，互联网上的攻击与破坏事件不胜枚 举。计算机黑客犯罪已经渗入到政府机关、军事部门、商业、企业等单位，如果不加以保护 的话，则往往造成巨大的经济损失。CERNET 在我国最早开展网络安全方面的研究与应用， 拥有全国最优秀的网络安全专家，并于1999 年在全国第一个建立起了具有国际领先水平的 紧急响应机制和响应机构CCERT，使赛尔网络能够快速反应和解决突发情况和问题。赛尔 网络北京数据中心根据用户需求，能向用户提供包括防火墙服务、入侵检测及日志分析服务、 安全评估与检测服务以及涉及系统安全的配置、代理维护、培训、软件支持、VPN 接入支 持、IP Sec 支持等其他安全技术支持服务。 一、 防火墙服务 服务项目：独享防火墙、共享防火墙、软件防火墙。 a) 独享防火墙 功能描述：采用100M 级别、具有国际领先水平的硬件防火墙，用户可订制策略，实现对服 务器的有力保护。 技术分析：用户根据自身服务器的负载需求，如果选择了100M 级别的独享防火墙，可以获 得在赛尔IDC 经过实际测试吞吐量带到80M/s 的硬件防火墙保护。用户可以使用DMZ 区 域连接自己的WEB 服务器及其它对外服务器以获得深层次的保护，也可以采用透明模式在 不改变现有服务器IP 地址分布的前提下同样实现对主机的保护。独享防火墙具有良好的可 控性和专一性，用户完全根据自身需要可随时调节防火墙的策略规则，这里包括防火墙内容 过滤系统提供的针对应用层“包含字”的过滤设定以及世界专门的病毒库升级中心提供的病 毒特征代码升级。 经济分析：适用于大客户或者多主机用户，方便自主的管理方式有利于提高安全性能同时独 享防火墙可以保障多服务器的访问带宽不被他人负载所影响。 b) 共享防火墙 功能描述：采用共享100M 级别、具有国际领先水平的硬件防火墙，用户可享受公共安全策 略并免于投入精力来维护防火墙本身的设置工作。 技术分析：由IDC 统一设置公共防火墙安全策略，对共享客户统一保护。用户不必熟悉此 防火墙的设置和需要定制的规则，通常这些设置由IDC 专门的技术人员完成，用户也不必 担心防火墙的升级和过滤特征库的更新，这些同样会由IDC 定期不定期的及时完成。如果 用户需要对自己的服务器设置特别的安全策略，在不影响其他用户正常使用的前提下，可以 由用户和IDC 协商，定制可满足特殊需求的策略。 经济分析：适用于多数主机托管客户和虚拟主机客户，相对低廉价格和硬件防火墙保护品质 的融合具有其他方案难以达到的性能价格比。 c) 软件防火墙 功能描述：通过运行在系统内部的防火墙软件完成对系统的类似防火墙的保护。 技术分析：提供简单的端口保护，协议保护（无法区分子协议号），能过滤多数蠕虫、病毒， 能识别部分拒绝服务攻击。 经济分析：适用于服务器负载不大，主机系统安全保护全面的中小型站点，由于防火墙自身 的性质，需要管理人员长期维护此防火墙并及时省级。 二、入侵检测及日志分析服务 服务项目：独立硬件入侵检测、软件入侵检测、防火墙日志服务 a) 独立硬件入侵检测系统（IDS） 功能描述：即时的入侵检测系统，可以过滤各种攻击性质代码，发现入侵行为并联动防火墙 予以阻拦。 技术分析：使用多种过滤技术，最大限度保证服务器网络资源不受到IDS 干扰，同时完成 对访问主机和主机主动访问的所有数据报文进行分析，一旦发现可疑代码、病毒、安全入侵 行为便可及时通知防火墙，在网络层予以阻拦。按照策略，IDS 会自动要求恢复一些被禁止 的逻辑访问路径。同时建立完整的日至记明原因和经过。对于攻击频繁的网络地址段，IDS 会根据策略拒绝更多的访问以确保相对重要的服务器免受攻击。 经济分析：大型用户和多主机用户中含有计费、结算、客户信息相关服务器的首选，良好的 安全保障性能和及时全面的安全日志报告有利于系统维护人员随时掌握服务器安全状态，并 把难以避免的损失降低到最小。 b) 软件入侵检测系统 功能描述：使用运行在服务器上的保护软件以达到检测非法访问、抵御攻击、记录攻击日志、 动态拒绝入侵者ip 的目的，实现了对主机廉价但有效的入侵检测功能。 技术分析：软件可以自动拼接数据包以发现隐蔽的攻击代码；模糊判断功能可抵御部分针对 未知漏洞的攻击；可扩充升级的入侵代码库随时保持高可靠性；对异常访问自主分析，根据 策略自动实施访