大家下午好，我给大家介绍的这部分内容是跟网络攻击和网络防护相关的，今天论坛针对的对象是网络媒体，我想在座的各位对网络攻击有切身的体会，我举一个例子看一下网络攻击这几年来不同的变化。

最早的攻击是黑客为了满足自己的虚荣心，比如把国内知名的网站换掉了，在业界说是我做的，出于一种虚荣心，是证明自己的技术要比别人强。实际上从近几年来看，网络攻击出现了其他的变化，我给大家举个例子，我们跟台湾同事聊天的时候就讲，台湾赌博是合法的，在台湾有很多赌博的网站，在上面去赌马、赌狗这些东西，很多人给这类网站打电话，说必须给我们多少钱，否则到几点就把网站弄瘫痪掉，这是台湾的例子。国内应用一个近几年增长较快的点就是网络游戏，大家也有这种切身体会。游戏网站也会受到一些攻击，接到电话说不怎么样就会受到网络攻击。现在不是单个黑客，是网络黑帮的组织，有人提出网络也需要反恐，所谓反恐就是反攻击。从攻击的角度来看，从Radware角度来看，我们把攻击分为两大类，在国内出现比较多，一个是入侵的防护，一个是DDOS的攻击。

从网络安全领域来看，要细分层次，有些安全是数据层面，通过加密和认证等等，有些安全是系统层面，有些安全是应用层面的，我们今天谈的是网络层面的安全，体现在网络这块。为什么网络安全有自己的特点呢？一旦做好了网络安全防护的话，是和后台主机无关的，在主机上要做相应的控制，我们谈的是网络安全。

我们再看一下网络安全，你从市面上采用的技术也好，或者产品也好，你能用到的是什么？这张图是比较典型的图，前面有一个防火墙或者VPN，很多人都是这样建网的，我需要安全，投一些钱买一个防火墙，过一段时间不行，加一个IDS，后来发现网络的流量是通过邮件过来的，针对邮件的流量做一些网关的控制，这是近几年做网络构建的一个常用思路。这种思路我个人认为，我们的这种思路还停留在产品层面，一个一个盒子上面，没有从系统角度对网络层面进行深入考虑，直接带来的后果是什么呢？每一个产品和每一个技术都有弱点和缺点，我们来看一下。

首先看一下防火墙。我谈的不是某一个厂家的，而是针对防火墙。防火墙的状态像一堵墙一样，后面开什么应用，前面开一个什么样的端口。举个例子，比如我们就是网站，我就开一个80端口，你关掉其他的没有用，只要80端口开着的，只做防火墙的话，这个网络绝对是不安全的。

再来看大家经常在网络利用的一个技术是IDS，IDS和防火墙是不同领域的，IDS在七层领域对数据做深入分析，不但知道过来访问的是哪一个端口，而且知道在这个端口发了什么数据包，一个技术过来了，通过流量做转向，IDS可以对这个包进行分析，发现这个包是攻击的流量，怎么办？由于IDS会通知系统管理员，系统管理员再采取措施，病毒也好，网络数据传播也好，不会停留在那等你，一定会进去。我们开玩笑地说IDS有点像验尸官，看是怎样死的，不具有效率。

我们考虑一下网络安全的层面，网络安全的层面需要做防护的，有三层，微软也有一个很好的防护概念，把内部系统分为逻辑的分类，三层是什么呢？可以做路由层面的控制，控制A到B可以访问还是不可以访问。防火墙做的是什么呢？再深入一步，A和B可以访问，而且可以访问什么端口，这是防火墙做的事情。在原来网络缺一个层面，就是七这个层面，一个网站，就开了80端口，足够安全吗？不一定，必须对80进出的数据包做分析，这一层靠防火墙的技术实践起来比较有困难，我们叫第七层。

什么叫内容层，内容层和第七层有什么区别？就是我刚才讲的做邮件过滤，一封非常大的邮件，我可能带10兆或者5兆的邮件，必须收下来，然后做处理。在网络层面，不可能说把5兆的邮件收下来再做处理，这是不可能的，必须单独做处理，不可能所有的都在Internet做处理。在这个网络里面，不可能单独靠一个产品就把所有问题解决掉，必须知道在这个网络里面有这个设备做什么，构建好一个层面以后才发现这个网络层面是安全的。这里面我提出了网络七层的概念，七层里面有两类产品，一类是IDS，入侵检测系统，还有一个叫IPS，入侵防护系统，不单是检测，还有一个实时防护的能力，当我发现攻击的时候，我有一个手段能够阻挡，这就是IPS和IDS的区别。

我们产品很多，总结起来有两个功能，一个是入侵的防范，对病毒、蠕虫、木马的攻击做防范，不可能把一个包漏进来。目前在这个系统里面内置1500多种防治的策略，针对网络常见的攻击，目前可以做这样一种防护。

第二是DDOS的防护，它区别于前面的防护，这种攻击过来的一个或者两个数据包问题不大，不会对网络产生太大影响。关键影响是在短时间大量突发过来，把带宽吃掉，对这两种攻击采取了不同的方法。

给大家举一个例子，什么叫七层，为什么这个东西能在七层谈，为什么不能在防火墙放呢？这是一个典型的后门攻击例子，利用的是TCP协议，要看七层TCP里面的信息，是一个后门攻击，其他的数据流量进去没有关系。

同样在一些特殊的PC端口有一些特殊的病毒特征，这也是一样，这是一个非常好的例子。我们看了七层里面特定的信息，我们这个产品采用了全新的架构，按照全部特征比来做的，对产品的硬件要求非常强，在传统来讲，PC架构的产品不太适合高速处理的设备，在我们这个设备里面，我们有Radware CPU，通过特征比的动作，还有一个专门的硬件叫Engine。在固定模式情况下，我们速率达到16个G。

前面谈了一下产品的功能，从使用来讲我们有自己的特点，第一个特点就是透明的链接，虽然谈得很复杂，七层等等，使用起来就像一个透明的网线一样接在网络里面。同时我们提出另外一个概念是什么呢？传统网络安全的防护设备都是防内网和外网之间的，内网和内网之间也是可以防护的。

既然是安全产品，必不可少的有一些统计的报告、图表等等。同时还有一个非常关键的就是病毒更新，我们的网站有病毒特征库，每周都会更新。时间关系，技术就讲到这，我们看一下实际案例。这是国内的网站，根据游戏部分做的一个防护，在这个系统里面原来就有防火墙了，保护内部的服务器。在实际使用过程中发现很多攻击都会进来，由于业界恶性竞争，这些问题会出现。我们产品加在防火墙前面，比如开80端口，开53端口，挡在防火墙前面，做深的过滤攻击的流量。这是我们给Ebay做的方案，在Ebay里面有防火墙，也有IDS，还不够，在前面加入我们的产品，专门抵挡攻击。

在电信IDC里面也是，使用非常简单，可以保护后台所有的网络，如果愿意的话，也可以利用多端口来做内部之间的保护。

简单介绍一下Radware公司，我们是一家以色列公司，Radware定位在IT领域，分不同技术领域，有底层的传输，有光的部分，有IP电话的部分。Radware关注在网络智能应用方面，除了传统智能应用以外，我们更关注的是网络安全方面这块，利用网络交换机方面，可以做七层的防护，给用户提供七层方面的IPI的防护。

因为时间的关系，就介绍到这，有机会的话我们可以在会后交流。

中国网2004年11月9日