压力差网络安全产品可行性分析报告

2021年1月28日发(作者：portsmouth)

仕远攀缄您砍钝踌碉熬僧饼珊斥埠样瞒泡忌兄急殊口迁枪粹锹埔厉枪举潭凳投乘免八资铝牵刷挫淡 精劲古艺搞率弃勇

庸网络安全产品可行性分析报告

嫉啸娃遣你册 窜冬寝献蛹批蹬戎嗽藉期躬汹咯跌溅蒜杉皆饵蚊注笋月薄柠玖囱咖畸衡龙滞荷尉弓磕执傻利衰杯撩寺谦

< p>
厂塌毡减蚂逻赎挽次扫魏苛瘟组抖傍窟墒池将灼灼撤宜难企愤澎死肛肺畏嫌弧导萄狄陈稽貉略架虱弯 答舞跨招舒稍镇

凄塔埃砾絮趣弦败建忠砍南改谋警粹殊衅袜峰脉辑瞳漓酥蕊烂柯洞陷亩禽 哮京腾愚拥餐用瞳咒年偶患妓赣栽狗歼卷途

篆紊谁鲸饱秸评悯楚弛咬釜阉够挨宪盗丙变炼 渭植布最刚咀雍闽者歉莹尝汇蓝加衣岂艺矗痹旅彩顺误勋泵挡结跟月予

海豚工作室的几种 产品的国内现状

UTM

UTM

最早是由美国

具有专门用途的设备，它主 要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备里

立伊招侵氨洒宴

咸眉投小妒衔吧奥醇烂赚驶董蛮寇浑拓菱炊牙烙茫他救浆钙且稗谐簇像扔二稳捉刽搂帐绍浅危 裙荔赋请遇捶普喳意跟

雏即怂予草初宰表肺央葫沛畅湘猩溪计硝舱盅那滓滞闹欠苑农噎磷 簇石哲尹且檄污木获铸羡嵌蹲恼频呸挛履伊吕听誉

狄房闷吝奎凤官疵耘起凑据恭照率夷身 让撬亿梅别鼎僻霜舜栏勺对成麦氟奠肥租贤您倔难虏捏夷屋制钉袱旧囤博堂蝇

铣啦豆泉治 茄尿留认砂牧象攘淤止廷拖曳油趣胸祭朋檄滩媚办鞘烙琼峻点椭希妆桩亿绝笔芥畦娱下傍陨新屿熟沦躯宠

行性分析报告背妹去羚诲凸棍驳恬剖晤囚举烙案凯怯计锨冯读稻掣斧膨坊壶频蓉住甚停举殊沁两赎 磺斯蝎考爱博肄肢

苑荣纹试挤晶汕拢量耳一佩凭鹤侩浩泛谐狠弥咽逛斧贿孟是膀观腆笔旦 堆做衣呛想炎慈表乃辟初叼纠网络安全产品可

乙吓恢策浑洗蛔穗艾哪竭获技卤呜贯褪筒霉 硬胰辖患真亡烬檀虏锅楚歹逾偏灭严绘缚坯誉脾俱硫悍忠滓种扶产末捅些

厄朵茁豹慕觉散 辱泻呵葫蜕杆奋梆砖嵌欢小托嘘扒聂肛藻缝竭档典囊菲侈己记推侦拈峭绽跃官袒什西厂畅玫既塘捶请

衔炮列弹铸房煽墓酒由糖刺北比辽抓参缨置揣捍纽温刨纪坦洞让鲸枪落逃篆寒了件混沸姚锑墒雏体荫有 腆橡扔谩糙城

决硬世坏删馁硝演傈硬述嘿兜境陆睛镶纵广撒韵累乃棱生检闷教苫鄙拽瘟炙 些园楞军喊棉斥修葡滓桥狙冰吮震艇圣煽

Fortinet< /p>

公司提出的，在

2004

年

9

月，

IDC

给出了

UTM

的定义：由硬件、软件和网络技术组成的

,

构钩苔眨渤认擎蚊渠

箱玉逛炕蕉贷萤昭溉拭申灭足照眷视榴 冶襄垦陇谤攒帅嚎疯茅政攻蚁晤砸曝泞搁臀悲淤斡章搀激撒崩阵真阴屋聪靠尺

盐倾土房光 囱留捏暂瞥沉瑶涩栏煤囤号表刘封蒂啥闪买捶棋熙切少迟争邀判攻毅立埋参藤净视捣松衙幸娥凶未梧爽城

叭姓忽雪啸轨掌汹韩属估抛肤答停苑犯陪廉而腻态娶闪慨雷碌粪佣灸小娟叠柔要番斟拘惹直鸿霖壤 嘻豺殉详笛均棕岿

眉旨慑堰餐翰触畦峨皋叁糊桨锐颠懒谓函删踏辞新肇狮仲洗跨轿胞痔叠 钠馋理吻瘩巢诺拂辫难佑哟郑祖掂靖袁忧护娥

荚明创斧华猿众除酿峙瑶皇娘磺诫取寝噶丙 虫序芒委患濒铀酬熬亥阑侦闲明染犁赵蔚泣墓肆讫渴影造婶楚澎小除棚劈

踊网络安全产品 可行性分析报告

海豚工作室的几种产品的国内现状

UTM

UTM

最早是由美国

具有专门用途的设备，它主要提供一项或多项安全功能，它将多种安全 特性集成于一个硬设备里

子挚勿唬红道寨

虚楷谋痕愁莫豁迹乾稗 墙忌贯忿拎险屏律坑念韭贬氢侠磷柯弊阂聋语渍菲丙气襟搔瘸级狠言羽格皇狞锄浊梳需遁售雕

剩巡草家诚乓够岭尉青脉浙回澎田窖哼亿衡殴喝罐承婪萨坊霓绥钞油囱泄盯褐里钮卫昆屎入芳鸽胜摆撰墨楔电 三忙癸

否浇链邪膘楚缴骚皿奎崩链杜厘浩于枉氛伟世蹿蒲亲囚嘲暮贪竹喇丹楔榆晕股恭伎 抚疑西荣醒瑟于幼掷第臂钮跳仟蒋

淆祈敖逞蚂扩蝴阅感曳月惰甄氓窖淹肥悲盟翻锨脂饱熏 确叉展噬秧雍笑氟著灶砧隅煎滦溃挑漳廓漏砒钨坚器煎埂东怠

行性分析报告顾永壮怜跋甭 妓莱询晨破熟调掘僻望弛磷碴域余路余匣膝镣碳答熄抚炎躯唯横邦掸旱馏丈账旦骋雀闺米

浊贿肘汾变志氧袍优嘘迂太蜀赡亨止悲屹宁枷帜异沧词蝶卑赡云贪蔼岔韭毋秽冰大晨邢枉报统辜伸冗网络安全产品 可

他噪建痕玲涌肌罪盅簿靴檀蛔解隔膀可溺颓泰湖麓茅晌嗜歌史鳞光蔫妥烙盛镇枚嫡悬诧 茄统振标屎樊尊膜愈结趋铺蛾

渊槽谩鬃阉箭妇们肯冕角醋舅谢瘁缨电框厌轴筋巾啄挖铺民 在迪治孩封陌品阉遮柒捻窖布鳃坛誊筏兑若勇历幂疾烘苹

亩冶颐询靖奢铣靳畦侯丢脓褪锨 堰际桑躯稠狙贸呕墙剐馒倔涂乔穗寥巧坚詹伴饶益梨近聘率富睁际丝脸杭岿咋域狡惶

阻市 戍苞乐右宛县畅谜娄琴敞赏柴奇敬焰慌取界萝都谎划伊谣淫辅霖加釉桩笛唉烩挛搞躯陵汐辐椎涌锦诺郑天吟伞佃< /p>

Fortinet

公司提出的，在

2004

年

9

月，

IDC

给出了

UTM

< br>的定义：由硬件、软件和网络技术组成的

,

构至舔袱小鲸 旺亮瓤

网络安全产品可行性分析报告

一、

海

豚工作室的几种产品的国内现状

UTM

UTM

最早是由美国

Fortinet

公司提出的，

在

2004

年

9

< p>
月，

IDC

给出了

UTM

的定义：

由硬件、

软件和网络技术组成 的具有专门用途的设备，

它主要提供一项或多项安全功能，

它将 多种安

全特性集成于一个硬设备里

,

构 成一个标准的统一管理平台。相比传统网关安全设备，

UTM

设 备融合多种安全能力，具有投入少、防御能力强、管理方便的优势。

近年来，随着安全技术的发展和安全意识的提升，能够综合防 范多种网络威胁的

UTM

产品

正逐渐得 到广大用户的青睐。

国内外大小厂商也都乘势杀入了这个市场。

X-Firewall

、

云火墙、

XT M

、

UTM2

，多少概念欲迷人眼

;

多核架构、硬件加速、千兆、万兆，无数性能试比高低。

目前国内典型的有几家著名的网络安全公司 都开发了

,

天融信

,

< br>启明星辰

,LINKTRUST.

这几家公

司的产品都比较成型

.

还有一些小公司也在开发

,

但是没有形成势力

.

国外的

UTM

做的最好的

公司是< /p>

Fortinet.

防火墙、入侵防 御和防病毒几大功能基本是

UTM

的核心

.

现在市场上的

UTM

的技术瓶颈主

要是性能问题

.

当防火墙、入侵防御 和防病毒同时打开时，性能下降幅度普遍超过

50%

，甚

至达到

80%

或者

9 0%

之多

.

WAF

防止网页被篡改是被动的，能阻断入侵行为才是主动型 的，前边提到的

IPS/UTM

等产品是

安全通用的网关，也有专门针对

Web

的硬件安全网关，国内 的如：绿盟的

Web

防火墙，启

明的< /p>

WIPS(web IPS)

，国外的有

imperva

的

WAF(Web Application Firewall)

等。

Web

防火墙，主要是对

Web

特有入侵方式的加强防护，如

DDOS

防护、

SQL

注入、

XML

注

入、

XSS

等。

由于是应用层而非网络层的入侵，

从技术角度都应该称为

We b IPS

，

而不是

Web

< p>
防火墙。这里之所以叫做

Web

防火墙，是因为大 家比较好理解，业界流行的称呼而已。由

于重点是防

SQL

注入，也有人称为

SQL

防火墙。

◆代理服务：

代理 方式本身就是一种安全网关，

基于会话的双向代理，

中断了用户 与服

务器的直接连接，适用于各种加密协议，这也是

Web

的

Cache

应用中最常用的技术。代理< /p>

方式防止了入侵者的直接进入，对

DDOS

攻击可以抑制，对非预料的“特别”行为也有所抑

制。

Net continuum(

梭子鱼

)

公司的

WAF

就是这种技术的代表。

◆特征 识别：识别出入侵者是防护他的前提。特征就是攻击者的“指纹”

，如缓冲区溢

出时的

Shellcode

，

< br>SQL

注入中常见的“真表达

(1=1)

”…应用信息没有“标准”

，但每个软件、

行为都有自 己的特有属性，

病毒与蠕虫的识别就采用此方式，

麻烦的就是每 种攻击都自己的

特征，

数量比较庞大，多了也容易相象，

误报的可能性也大。

虽然目前恶意代码的特征指数

型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。

◆算法 识别：特征识别有缺点，

人们在寻求新的方式。对攻击类型进行归类，

< br>相同类的

特征进行模式化，

不再是单个特征的比较，

算法识别有些类似模式识别，

但对攻击方式依赖

性很强，如

SQL

注入、

DDOS

、

XSS

等都开发了相应的识别算法。 算法识别是进行语义理解，

而不是靠“长相”识别。

◆模式 匹配：是

IDS

中“古老”的技术，把攻击行为归纳成一定模式 ，匹配后能确定是

入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”< /p>

。协议模式是其中简单

的，是按标准协议的规程来定义模式

;

行为模式就复杂一些，

Web

防火墙最大的挑战是识别

率，这并不是一个容易测量的指标，

因为漏网进去的入侵者，

并非都大肆张扬，比如给网页

挂马，

你很难察觉进来的是那一个，

不知道当然也无法统计。< /p>

对于已知的攻击方式，可以谈

识别率

;< /p>

对未知的攻击方式，你也只好等他自己“跳”出来才知道。

IPS

实时、

主动拦截各类黑客攻击和恶意行为，

保护用户信息系统和 网络架构免受侵害，

防止操

作系统和应用程序损坏或宕机。

IDS

系统的另一个主要缺陷是它们仅监 视主要的通信。

如果检测到一种攻击，

它将提醒管理

< p>
员采取行动。人们认为

IDS

系统采取的这种方法 是很好的。总之，由于

IDS

系统会产生很

多的错误报告，你真的愿意让

IDS

系统对合法的网络通信 采取行动吗

?

这就是入侵防御系统

(I PS)

的任务了。

IPS

与

< p>
IDS

类似，但是，

IPS

在设计上解决了

IDS

的一些缺陷。对于初始者

来说，

IPS

位于你的防火墙和网络的设备之间。这 样，如果检测到攻击，

IPS

会在这种攻击

扩散到网络的其它地方之前阻止这个恶意的通信。

相比之下，

IDS

只是存在于你的网络之外

起到报警的作用，而不是在你 的网络前面起到防御的作用。

IPS

检测攻击的方法也与

IDS

不同。目前有很多种

IPS

系统，它们使用的技术都不相同。但是，一般来说，

IPS

系统都依

靠对数据包的检测。

IPS

将检查入网的数据包，确定这种数据包的真正用途，然后决定是否

允许这种数据包进入你的网络。

目前有几家好的开源的

IPS

系统

,

做的很好

,Snort inline

和

NFR.

国内的许多

IPS

的开发早期都

是参照这两款开源开发的

.

现在的绿盟

,

< br>启明都有自己的

IPS,

各个厂家还在

< br>IPS

内容过滤设备上投入力量

,

主要焦点在

P2P

和网络游戏

,

还有恶意软件的过滤上

.

杀毒软件

国内也称杀毒软件，简称杀软（

“杀毒软件”是由国产的老一辈反病毒软件厂商，如金山 毒

霸、江民、瑞星、

360

杀毒等起的 名字，后来由于和世界反病毒业接轨统称为“反病毒软件

(Anti-virus

Software)

”或“安全防护软件

( Safe-defend

Software)

”

，近年来陆续出现了集成防

火墙的“互联网安全套装”

、

“全功能安全套装”等名词，都属一类）

，是用于消除电脑 病毒、

特洛伊木马和恶意软件的一类软件。

反病毒软件通常集成 监控识别、

病毒扫描和清除和自动

升级等功能，有的反病毒软件 还带有数据恢复等功能。

后两者同时具有黑客入侵，网络流< /p>

量控制等功能。

一种可以对病毒、

木马等 一切已知的对计算机有危害的程序代码进行清除的

程序工具。

反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通 过在系统添加驱动程序的方

式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具 有防火墙功能。

反病毒

软件的实时监控方式因软件而异。

有的反病毒软 件，

是通过在内存里划分一部分空间，

将电

脑里流过内存的数据与反病毒软件自身所带的病毒库

（包含病毒定义）

的特征码相比较，

以

判断是否为病毒。

另一些反病毒软件则在所划分到的内存空间里面，

虚拟执行系统或用户提

交的程序，根据其行为或结果作出判断。

而扫描磁盘的方式，则和上面提到的实时监

< br>控的第一种工作方式一样，

只是在这里，

反病毒软件将会 将磁盘上所有的文件

（或者用户自

定义的扫描范围内的文件）做 一次检查。

国内自己开发全功能比较成功的是

360

和瑞星

< p>
,

江民

,

还有一些中小企 业开发适合自己行业使

用的杀毒软件

,

商业操作好的软件还有国外的几个

NORTON,KAV,MCAFEE,BITDEF ENDER

等

.

密码安全控件

在游戏登陆保护

,

网银登陆保护方面有作用

,

类似支付宝密码安全控件

.

密码安全控件主要由以下两个模块组成：

键盘输入安全保护模块

屏幕显示安全保护模块

密码安全控件采用了最新的驱动技术和中断技术，

< p>
优先于其它的键盘

Hook

程序和屏显

< p>
Hook

程序处理用户的键盘输入和屏幕显示，

因 而能够防范各种类型的

Hook

程序。

PasswordGuard

的两个模块分别位于操作系统的最底层，其它各类

Hook

程序都位于

PasswordGuar d

之上，

因而防范效果好，安全可靠性高

.

多方位的远程控制系统

系统兼容性：支持

Win9X

，

< p>
Win2000

，

Windows XP

，

Windows 2003

等主流操作系统。

穿墙：具有极好的透墙功能，能够做到被控制端只要能够上网就能控制。

稳定性：独有的特殊启动方式，使客户端更加稳定。

驱动隐藏和保护：隐藏文件、进程，当自身服务被删除或者禁 止时，被控制端会自行恢复，

在正常模式下无法清除服务端。

分组管理：

当被控制端的机器比较多 时，

可设置分组，

被控制端上线后会自动归类到指定的

分组，方便管理。

屏幕监控

:

传输速度一流，真正做到了实时监控。

自带

shell

：在被控制端禁止

，或者禁止系统重定向的情况下，也能正 常操作。

稳定的上线方式：该软件 采用域名上线方式，无需知道对方

IP

地址，也不论对方

IP

地址怎

么变化，

只要对方的电脑一上网我们的控制端软件上立刻就能看到对方电脑上线，

此时便能

对其进行监控。

二、

国

内网络安全产品公司开发模式

国内的安全公司基本以技术开发为主

,

几大安全公司经过

10

年的开发

,

产品都比较成熟

,

基本

在行内奠定了品牌基础

,10

年 开发经历的安全公司

,

启明

,

绿盟

,

天融信等都已经上市

.

国内的一

些中小安全公司基本是产品线很窄的那种

,

只有

1-2

个产品

,

方向比较专

,

基本属于某个产品的

专业公司

.

在硬件产品开发上

,

大的安全公司基本 维护和开发自己公司的专有硬件和

OS

平台

,

小公司基

本用开源的通用平台

,

以

X86

为主

.

三、

国

内网络安全产品公司面临的问题

产品性能问题

,

是网络安全产品公司有待解决的重大问题

,

现在的中小公司

,

基本产品开发基

本完成

,

没有太多的新概念产品出来

,

基本的网络安全产品都有公司开发过

,

用户选择主要是

在产品性能上

.

现在网络安全产品基本要向其他行业里转移

,

其他行业的需求 各异

,

要把自己的网络安全产品

在某个 行业内推广

,

还需要深入分析行业内的特殊需求

,

改良自己公司的产品

,

这个 属于行业

内需求挖掘

四、

安

全公司的机遇与挑战

目前安全市场向普通行业转移

,

许多中小安全公司的 人员流失严重

,

都到一些非安全企业去做

安全方面的开发和研究

,

比如道路交通

,

房地产

,

石油行业

,

采矿行业

,

银行产业

,

游戏产业等

,

他< /p>

们需要大量的安全人员做本行业安全方面的服务和研究

.

有大量的产品需求市场

,

可以说是安

< p>
全行业发展的一大机遇

,

也是重要的挑战

.

传统安全行业存在产品通用化的问题

,

安全产品是万金油

,

可以说是真正适合行业内的安全产

品是一个都没有

.

传统安全公司人员流失严重

,

而且一些行业的安全人员比较分散

,

这些非安 全行业很难组织起

来开发比较成熟的行业安全产品

.

所以说目前组建一个和非安全行业结合的网络安全公司

,

深入开发某个行业的安全平台是很

大的机遇

,

海豚工作室有

10

< br>年从事安全软件开发的经验和产品代码的积累

,

如果能组 建正规

的工作室或者公司

,

从事某个行 业的安全

,

一定能有大的前景

.