Sidewinder 的安全保障 |
Secure Computing的SecureOS |
| SecureOS改写自BSDi Unix,Type Enforcement技术强化了系统的安全性。 |
| 使用Type Enforcement专利技术 |
| 将操作系统的Process及File System区隔成不同的Domain,每个Domain仅被授权有限的系统资源,此技术目前已被证实是无法被破解的技术。
美国专利证号: 4,713,753 4,701,840 4,621,321 |
|
| 采用最安全的Application Level Gateway技术
|
| 只有掌握Application Level的通讯,才能够控管所有可能入侵的行为。 |
|
| 例如: FTP
Proxy提供下列Application层控管
◆ 上传, 下载, 删除 存档或更改档案名称
◆ 建立, 删除目录或更改目录名称
◆ 使用Quote Site指令要求FTP Server执行特定指令
HTTP Proxy提供下列Application层控管
◆ GET,POST,HEADER,PUT
◆ DELETE,TRACE,CONNECT,OPTIONS
◆ PATCH,COPY,MOVE,LINK,UNLINK
|
| Dual 通讯堆叠的设计 |
为了防止黑客不经过滤就进入内部网路,Secure Computing在Sidewinder的核心系统中设计了双通讯堆叠的机制,其中外部通讯堆叠连接Internet的网路卡,内部通讯堆叠负责其他内部不同安全区域的封包过滤,任何由Internet进到内部的网路封包都会被强迫经过Type
Enforcement及Sidewinder的过滤机制,100%防止封包不经过滤而进入内部网路的机会。
|
|
| 完整的攻击保护 |
| 彻底修改SecureOS的通讯堆叠,除了可防止目前已知的攻击手法外,也可以防止未知的攻击手段。
以下是目前常见的攻击方法: |
| ◆ SYN Flood attack
◆ IP spoofing
◆ ACK storms
◆ Network probes
◆ Session hijacking
◆ SNMP attacks
◆ ICMP broadcast flooding
◆ Land attack
◆ ARP attacks
◆ Ghost routing attacks
◆ Sequence number prediction
◆ Forged source addr packets
◆ Ping of death
◆ Fat ping attack
◆ Malformed packet attacks
◆ Packet fragmentation attacks
◆ Log overflow attacks
◆ Log manipulation
◆ Source routed packets
◆ DNS cache corruption
◆ Mail spamming
◆ DNS denial of service
◆ FTP bounce or port call attack
◆ Buffer overflows
◆ ICMP protocol tunnelling
◆ Mail exploits
◆ VPN key generation attacks
◆ Authentication race attacks
|
| Strikeback即时入侵反应技术 |
| Strikeback技术是Sidewinder即时入侵侦测的技术,当Sidewinder发觉异常连线行为时,Strikeback会在最快的时间内,通过各种可能的方法取得入侵来源的资料,并立即通知管理者或者立即自动修改防火墙访问政策防止入侵动作做进一步的破坏。
◆ 实际案例 A:
美国有一家券商收到 flood of access attempts...
Strikeback 沿著攻击路线,往回追溯
找到是该公司的竞争对手所为
◆ 实际案例 B:
美国Scott 空军基地1998年5月发现意图入侵者…
根据StrikeBack追查出
为法国巴黎某一ISP拨接帐号所为,
遂将该ISP的部份C class IP禁止连线
|
| 网路位址转换技术(NAT) |
| 可以隐藏内部网路资讯,外部入侵者只能查到防火墙外部位址,亦可在内部网路使用保留IP位址,解决IP不够的问题。
|
| 可整合外部动态密码认证服务器 |
| 对于以Telnet、FTP及HTTP进出防火墙的使用者进行严紧的动态密码身份认证,目前可以直接整合下列厂商的动态密码认证服务器。
◆ SafeWord Authentication Server
◆ SecurID ACE Server
◆ Axent Defender Security System (DSS/SNK)
或者任何支持RADIUS协定的认证服务器,通过目前普遍承认的认证协定可整合使用者帐号密码集中管理的系统。
|
| 可选购虚拟私有网络功能 |
| 虚拟私有网络技术可使企业与企业间(Extranet)的通讯获得保障,Sidewinder采用目前各大厂商都遵循的IPSec标准,并采用X.509进行身份认证,以DES、3DES及CAST-128等演算法进行通讯资料加密,防止在公众网络上传递的机密资料被中途截取。
Sidewinder V5.0的IPSec VPN模组已通过ICSA的IPSec认证,可证明Sidewinder中的VPN符合最新IPSec的标准,可以确保与其他厂牌IPSec
VPN产品相互的整合性。
|
| 唯一没有任何安全漏洞报导的防火墙 |
| 大部份号称安全的防火墙都可以在http://www.securityfocus.com/网站上找到关于它们的安全漏洞的报导,这些安全漏洞大都继承于主流操作系统(Windows
NT, Solaris, BSD)上的问题。Secure Computing防火墙产品采用的SecureOS未曾有过任何安全漏洞及被入侵的报导。
|
| |
