联想网御防火墙_联想网御防火墙配置手册

联想网御防火墙_联想网御防火墙配置手册

       在接下来的时间里，我将尽力为大家解答关于联想网御防火墙的问题，希望我的回答能够给大家带来一些思考。关于联想网御防火墙的话题，我们开始讲解吧。

1.请问国内有哪些知名的网络安全企业？

2.网闸的安全性到底如何？哪些厂家的网闸比较好？

3.国内知名的网络安全公司有哪些

4.NP防护是什么

5.联想防火墙里CPU利用率达到100%是怎么回事。。

6.IPS(入侵防御系统)详细资料大全

请问国内有哪些知名的网络安全企业？

       中国国内的安全市场进入“战国时期”，启明星辰、绿盟、天融信、安氏、亿阳、联想网御、华为等战国七雄拥有雄厚的客户资源和资金基础，帐前皆有勇猛善战之士，渐渐开始统领国内安全市场的潮流和声音，基本上每个公开市场的项目都有其角逐的身影。

       天融信：1995年成立于北京，是我国最早成立的网络安全、大数据与安全云服务提供商，也是中国信息安全产业第一品牌。天融信为国家规划布局内重点软件企业，拥有完备的安全服务体系和国内权威的安全服务资质，具有较强的软件开发、测试和工程化实施能力。天融信现有员工2000+名，其中技术人员占70%以上，并设有国内一流的阿尔法实验室、博士后科研工作站和安全技术研究院。天融信已承担过发改委、工信部、科技部、北京市等多项重大科技攻关及产业化项目，业务覆盖全国，在31个省市均设有分支机构，行业客户覆盖100,000+家，遍布政府、军队、金融、电信、教育、医疗、制造等各行各业。天融信坚持自主创新，连续10年以上位居中国信息安全市场防火墙、安全硬件、整体信息安全市场占有率领先位置。2008年奥运会安全保卫工作核心技术支撑单位、2010年世博会网络安全神经中枢系统建设单位、2010年广州亚运会信息系统（AGIS）网络安全系统集成商、2011年天宫一号与神州八号对接工程安全管理系统提供商、2016年G20杭州峰会网络安全技术支撑单位等等，天融信在多个重要行业信息系统或项目建设中成为主力军，并不断践行着维护国家信息安全的使命与责任。天融信推出的基于 SOC的MSS服务，可信网络架构TNA理念，通过OEM完善了IDS和SOC产品线，成功获得融资，正在全力冲刺IPO。

       启明星辰：拥有雄厚的政府关系，自主开发的IDS和扫描器积淀很深，在电子政务和银行证券等行业有很庞大的用户基础。与港湾科技联合推出的天清汉马 防火墙相信也有不错的销售前景。春节前后随着两位电信背景深厚人士的加盟，正在力图在电信行业谋取更高地位。最近融资的成功使IPO的成功率大增！绿盟：拥有独一无二的技术研究实力和声望，以及稳定的核心团队。研究部的专家及其工作方式是中国安全公司中所特有的，技术人员在公司的地位和“话语 权”也是最高的。其风险评估和反拒绝服务产品在市场上有不错的口碑，作为安全管理中心(SOC)解决方案的企业安全计划(ESP)似乎没有像其它公司那样 引进外国产品作为底层平台，而是走了自己开发的道路。总体说，产品与技术声望的结合保证了市场竞争方面的生存能力。云南移动安全管理中心SOC项目不知道 给公司带来什么样的经验和教训。安氏： 2003 年前曾经是市场和潮流的领导者。我本人也在安氏度过了2000－2003年整整三年难忘的时光，带领创建了研发部、建立了最早的研发体系、开发了防火墙系 列等，而后带领技术支持和安全服务建立了SOC的轮廓和路线图。华为安全服务项目、江苏移动SOC项目是发展过程中重要的里程碑。虽然经过了2003年剧 烈的人事动荡，目前还刚刚进行完安氏中国与安氏领信的分拆，但是凭借几位核心销售的强大客户关系，1－2年内依然会是电信行业的最大主导者。这两三年来陆 续签下的有影响的电信项目包括：电信集团与江苏电信（1＋1）、浙江移动、山东移动、山西移动、广东电信等。

       亿阳：上市公司亿阳信通的安全事业部依托自身网管方面原有的客户基础，是电信安全行业的重要竞争者。但是，推出的防火墙、入侵检测、双因子认证等不 少产品和解决方案，感觉战线较长，特点和主攻方向不够明确，从IDC的报告上看，还没有哪个产品能够占领较为前面的位置。拿下辽宁移动安全管理中心SOC 项目给整体安全解决方案增强不少信心。

       联想网御：从上市公司联想分拆出来后，联想网御的身世还在焦点网上引起大家的兴趣。农行和北京移动的安全服务项目是联想网御的重要标志性安全服务项 目。目前，联想网御还是国内等级化安全保护的重要推动者。不管怎样，分拆对于联想网御是件好事，可以充分调动主要管理层和技术人员的积极性。但是据说现在 内部有人事变动，或许会带来或多或少的市场影响。亚信的股东地位似乎没有给联想网御带来很多的电信项目机会。

       华为：让许多硬件公司、软件公司、应用公司、计费公司、集成公司、安全公司都寝食难安的公司。拥有国内最为成熟、完善的质量体系和市场渗透团队。但 是现在的问题是内部资源还没有获得很好的整合，市场上的声音还不够统一、强烈。如果能够整合内部资源，甚至像联想那样分拆这部分业务，将会激发调动管理层 和员工的创业积极性。不管怎样，华为将会是国内安全市场全方位的竞争者和未来的领导者。2004年拿下山东移动安全服务项目曾经让大家一惊。

       希望可以帮到您，谢谢！

网闸的安全性到底如何？哪些厂家的网闸比较好？

       

       防火墙用的次数也逐渐增多!每台电脑都有，下面由我给你做出详细的!希望对你有帮助!欢迎回访!

        ：

        网路层防火墙

       网路层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆叠上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙病毒除外，防火墙不能防止病毒侵入。这些规则通常可以经由管理员定义或修改，不过某些防火墙装置可能只能套用内建的规则。

       

       我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。作业系统及网路装置大多已内建防火墙功能。

       较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源埠号、目的 IP 地址或埠号、服务型别如 WWW 或是 FTP。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

        应用层防火墙

       应用层防火墙是在 TCP/IP 堆叠的“应用层”上运作，您使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包，并且封锁其他的封包通常是直接将封包丢弃。理论上，这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。

       防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实现而言，这个方法既烦且杂软体有千千百百种啊，所以大部分的防火墙都不会考虑以这种方法设计。

       XML 防火墙是一种新型态的应用层防火墙。

       [3]根据侧重不同，可分为：包过滤型防火墙、应用层闸道器型防火墙、伺服器型防火墙。

        基本特性

        一内部网路和外部网路之间的所有网路资料流都必须经过防火墙

       防火墙布置图这是防火墙所处网路位置特性，同时也是一个前提。因为只有当防火墙是内、外部网路之间通讯的唯一通道，才可以全面、有效地保护企业网内部网路不受侵害。

       根据美国国家安全域性制定的《资讯保障技术框架》，防火墙适用于使用者网路系统的边界，属于使用者网路边界的安全保护装置。所谓网路边界即是采用不同安全策略的两个网路连线处，比如使用者网路和网际网路之间连线、和其它业务往来单位的网路连线、使用者内部网路不同部门之间的连线等。防火墙的目的就是在网路连线之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的资料流，实现对进、出内部网路的服务和访问的审计和控制。

       典型的防火墙体系网路结构如下图所示。从图中可以看出，防火墙的一端连线企事业单位内部的区域网，而另一端则连线著网际网路。所有的内、外部网路之间的通讯都要经过防火墙。

        二只有符合安全策略的资料流才能通过防火墙

       防火墙最基本的功能是确保网路流量的合法性，并在此前提下将网路的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网路介面，同时拥有两个网路层地址。防火墙将网路上的流量通过相应的网路介面接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网路介面送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多埠的网路介面>=2转发装置，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

        三防火墙自身应具有非常强的抗攻击免疫力

       这是防火墙之所以能担当企业内部网路安全防护重任的先决条件。防火墙处于网路边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙作业系统本身是关键，只有自身具有完整信任关系的作业系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程式在防火墙上执行。当然这些安全性也只能说是相对的。

       目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内使用者了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科Cisco、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。 ?防火墙的型别及特性 ”人还看了：

国内知名的网络安全公司有哪些

       请问你是哪里?网闸都是政府部门或安全性要求很高的单位才会用到.不过我倒是知道.现在市面上的网闸设备有好多种,要看你是注重应用性还是安全性.真不好说,因为你都没说你具体运用的环境.帮你看看吧。

       1、京泰物理隔离网闸

       京泰物理隔离网闸采用高速固态开关，在内外网络之间切换，开关的物理特性决定了任意一个时刻，系统在物理链路上只能处于内网或者外网的一侧；当连入外网时，与内网断开，从外网获取需要交换的数据；断开外网连接，连接内网，交换数据到内网。往复不断，从而完成内外网络信息的交换；连接建立后，采用自定义信息交换报文和协议进行信息传递和交换，防止黑客利用标准网络协议的各种漏洞进行攻击；由于采用自定义安全传输协议，系统在底层自行完成对文件的分片、传递工作，在另一端负责对其进行重组、检测；系统提供应用接口，对应用系统的表单内容进行严格的信息检测和过滤，防止利用各种非法的查询来获取信息或者破坏信息；由于通过高速固态开关交换信息，时间延迟极短，为毫秒级，为用户应用系统提供实时的在线访问提供了坚实的基础。安全网闸不但提供标准的信息交流服务，如文件交流、数据库交流和邮件交流等。还提供其他具体应用系统的二次开发接口，帮助用户更快、更好的建立自己的安全信息交流平台。支持第三方安全软件，如对传递和交换的数据进行杀毒等，采用Linux操作系统设计，通过公安部、保密局、国家信息安全测评认证中心等权威部门的安全认证，使得自身系统的安全性大为提高。

       京泰王闸

       产品点评：京泰网络是业内最早从事物理隔离技术的安全公司，其产品以设计新颖、安全程度高，智能化程度高，可靠性好而在业内获得一致好评。经过几年的发展，京泰网络已经形成了完整的产品线，售后服务体系不断完善，产品质量不断提高，产品已经在国内形成自己的市场，赢得了广大用户的信赖。京泰网络物理隔离产品已经通过了公安部、国家保密局、军队保密委等所有国家权威部门的检验，京泰网络科技获得了涉密网安全集成商资质认证。

       2、盖特佳物理隔离网闸

       盖特佳物理隔离网闸采用全透明工作模式，动态实时数据交换技术，防范针对操作系统的已知及未知漏洞攻击，防范基于TCP/IP网络协议弱点的攻击，使用应用层数据提取技术，彻底阻断内外网之间的TCP/IP连接。它采用内外处理单元均采用优化的安全操作系统，系统中不存在TCP/IP网络协议栈，内外部网卡均没有网络地址，无需驱动的Direct I/O技术访问专用硬件通信设备， 网卡仅监听数据，对外不提供任何服务，管理控制台完全独立于内外部网络； 内置自动反入侵功能， 精细的安全访问控制功能，支持路由和透明桥工作模式，支持主机，网络和网段等多种网络对象，支持HTTP，FTP，MAIL等标准网络协议，支持IP和MAC地址绑定，支持HTTP的URL和内容的关键字过滤， 支持日志，审计和报警，强大的应用层攻击防护功能，内置高性能安全过滤引擎，能够防止Dos和DDos攻击，缓冲区溢出攻击，恶意编码攻击以及应用层洪水攻击等等。

       盖特佳物理隔离网闸

       产品点评：盖特佳物理隔离网闸通过专用通信设备，专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术进行不同安全级别网络之间的数据交换，彻底阻断了网络间的之间TCP/IP连接，同时对网间通信的双方，内容，过程施以严格的身份认证，内容过滤，安全审计等多种安全防护机制，从而保证了网间数据交换的安全可控性，杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险。

       它主要应用在隔离内部网和互联网，隔离业务网和工作网，隔离内部网和关联网，隔离保护主机服务器，隔离保护数据库服务器等环境场合。

       3、天行安全隔离网闸(Topwalk-GAP)

       2000年我国北京天行网安公司率先从物理隔离技术发展出GAP概念，并与公安部通信局密切合作联合研制完成国内首款GAP（安全隔离与信息交换）产品，即天行安全隔离网闸（Topwalk-GAP），成为重点领域网络安全防护的最佳方案。Topwalk-GAP作为国内基于GAP技术的新一代安全隔离与信息交换产品，能够实现隔离网络间异构数据库交换，该产品是经过国家保密局鉴定的安全隔离与信息交换产品，并入选国家火炬计划，实现了基于消息的传递机制。该产品的基本模块作为整个安全隔离网闸的核心部件，是其他应用模块的安全平台，数据库交换模块支持多种主流数据库平台在网络间的可控方向的安全数据交换，文件交换模块提供网络间的基于文件形式的可控方向的安全文件传输，消息模块为上层应用平台提供了基于API的开发接口，为彼此隔离的网络上层程序提供快速可靠的消息传送。

       “以我为主、积极防御”的技术理念使GAP技术成功地开创了新的安全技术门类。GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下实现安全数据传输和资源共享的技术。GAP又叫安全隔离网闸（安全隔离与信息交换），是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略，能够抵御各种已知和未知的攻击，显著提高内网的安全强度，为用户创造无忧的网络应用环境。GAP技术是在物理隔离的基础上，基于目前国内的信息安全技术现状，提出的一种适合于电子政务网络安全的“积极防御”技术。GAP技术隔断了从物理层到应用层所有网络层次的协议通信，因此，我们可以把GAP理解成“the Gap of All Protocol”的缩写。只要能够有效保证对应用数据进行“白名单”方式传输和交换，实现的方法可以多种多样。但是，GAP概念与防火墙、IDS/IPS等概念还是有明确区分的。

       Topwalk-GAP

       产品点评：天行安全隔离网闸(Topwalk-GAP)通常部署于信任网络与非信任网络之间，通过独创软硬件体系结构，采用了协议转换、安全操作系统内核、基于加密和证书的身份验证机制、病毒及恶意代码过滤、安全审计管理等安全技术，根据用户定义的应用数据“白名单”策略进行数据传输和交换，并彻底杜绝有害信息，构筑起各种网络威胁（黑客、蠕虫病毒等）不可逾越的安全网闸。作为国内GAP领域的倡导者和领先者，天行安全隔离网闸（Topwalk-GAP）一直以其创新实用性、安全可靠性得到了广大用户的青睐。

       4、联想网御SIS-3000安全隔离网闸

       联想网御SIS-3000安全隔离网闸是在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换的网络安全设备。系统采用专有隔离硬件和协议，并采用国际上最新的信息轮渡机制，集成了安全操作系统、内容过滤、数字签名、病毒查杀、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤，提供可信任的专用信息交换服务，有效克服了由于物理隔离引起的电子政务、电子商务的数据交换瓶颈，保持了多个网络间物理隔离的特性，提供了一种安全、有效的数据交换途径。

       该产品使用高速安全隔离电子开关，只支持单向网络连接，保证内外网在物理链路层上的完全断开，并可以支持毫秒级的高速切换，以配合后台高速响应设备；同时，SIS-3000为指定应用提供数据交换，通过与具体应用的结合，极大地提高了系统的安全系数，避免了开放TCP/IP通用服务造成的安全隐患。联想网御SIS-3000具有高速电子开关和专有协议，确保内外网在任意时刻物理隔离，通过领先的信息摆渡机制，提高数据传输的安全性；采用多种安全技术，支持可信的专用信息交换服务；具有自主的嵌入式安全操作系统，有效保证了系统自身安全性；支持包括文件交换、邮件交换和数据库同步在内的多种应用。

       联想网御SIS-3000

       产品点评：联想网御SIS-3000系列安全隔离网闸作为网络链路层物理隔离设备，具有比防火墙更高的安全性能。可在涉密网络之间、涉密网络不同安全域之间、涉密网络与内部网之间、内部网与互联网之间信任的进行信息交换。适用于政府、军队、金融等单位的网间非实时信息交换环境。

       5、中网隔离网闸X-gap

       由中网公司研制开发的安全隔离和信息交换系统（X-Gap），能够较好的解决隔离断开和数据交换的难题，中网物理隔离网闸真正实现了两个网络之间的物理隔离。X-Gap 中断了两个网络之间的链路连接、通信连接、网络连接和应用连接，在保证两个网络完全断开和协议中止的情况下，以非网络方式实现了数据交换。没有任何包、命令和TCP/IP协议（包括UDP和ICMP）可以穿透X-Gap, 它具有高安全、高带宽、高速度、高可用性的优点。此外，由于采用了SCSI技术, 背板速率高达5G，开关效率达到纳秒级，彻底解决了速度慢、效率低的问题。除此之外，SCSI控制系统本身具有不可编程的特性和冲突机制，形成简单的开关原理，从而彻底解决了网闸开关的安全性问题。

       物理隔离是通过开关来实现的。目前常见的物理隔离开关技术有三种：实时开关（Real-Time Switch），单向连接 （One-Way Link），和网络开关（Network Switch）。 实时开关和单向连接的速度要快一些，网络开关的速度要慢一些。人们普遍存在对开关速度的担忧，担心开关速度直接影响网络的性能。如果开关的速度低，网络的性能肯定受到影响。即使开关的速度高，网闸的性能也受主机性能的限制。不管开关速度的高低，网闸的性能的上限都不会超过主机的上限。中网物理隔离网闸通过采用主机的CPU时钟作为开关，将开关功能在系统的内核中实现，成功的达到网闸的最高性能，优于常见的三种开关技术。内核的效率要远远高于外设的效率。

       中网物理隔离网闸

       产品点评：在用户要求进行物理隔离，同时又需要实时地交换数据，解决物理隔离和信息交流的问题时，采用中网X-GAP系列产品则可以实现两网之间必要的“摆渡”，又保证不会有相互入侵的安全问题。X-GAP可以轻松的集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中，完善地保护核心安全，满足客户对高安全、高性能、高可靠性的应用需要。

       6、伟思物理隔离网闸copgap200

       伟思网闸CopGap是两个嵌入式单板计算机和安全电路板组成。其中两个嵌入式单板计算机分别连接可信网络和不可信网络，通过安全电路板把两个嵌入式单板计算机连接在一起。安全电路板是针对物理隔离技术而专门设计的纯硬件设备，它包含独有高速LVDS总线，系统内部数据流量达到1056M位/秒，超过了1G位/秒。 CopGap操作系统采用经保密局鉴定的安全Linux操作系统内核，具有极高的安全性。

       通过专用高速安全芯片开关和先进的协议终止/协议分析技术，使得可信和不可信网络在CopGap上物理链路隔断和协议隔离，杜绝黑客对可信网络的恶意攻击。通过先进的GAP反射系统，不依赖任何通信协议和操作系统，利用独立的硬件逻辑电路，独立的总线技术，保证内外网络可控、高速、安全的数据交换。通过复杂的数学变换，可以打乱原裸数据的格式，改变数据结构，使恶意代码在传输过程中无法执行，从根本上保证数据传输安全。安全决策体系位于内部可信安全服务器端，与不可信网络之间物理断开，可以保证安全决策体系的完整性和安全决策体系决策过程的完整性。从而保障整体安全架构的完整性。它采用协议终止技术，防止基于网络协议漏洞的已知和未知攻击； 抵御基于操作系统漏洞的攻击；抵御缓冲区溢出攻击、过载攻击、拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）； 对数据进行内容审查、对网络协议进行分析和审查；具有审计功能，可对网络用户的行为作详尽的记录；身份认证和访问控制功能：支持用户端的数字证书认证（CA）；双重代理功能，隐藏内网结构信息。

       伟思copgap200

       产品点评：伟思科博安全隔离与信息交换系统CopGap是在国家863计划支持下，由北京伟思科博网络安全技术研究所经过数年物理隔离技术的研究，研制生产的具有自主知识产权的网络安全产品。CopGap安全隔离与信息交换系统能从物理链路上断开内外网络，并且在安全可控的条件下进行适度数据交换。它通过基于硬件设计的反射GAP系统，保证可信网络和不可信网络不会有实际的网络协议连接，可防止各种基于网络层和操作系统层的攻击，实现高速安全的数据交换。CopGap具有双向及单向通讯控制能力，可根据用户实际的安全需求严格限定信息流向，保护涉密信息的安全。

       二、推荐小结

       我国物理隔离网闸的产品研制是近几年的事，参与研制的单位不多，产品种类也较少，产品的性能指标、质量指标、技术水平处于第一代。我们上面介绍的6种网闸产品，它们都通过了公安部计算机信息系统安全产品质量检验中心检测，其中，北京天行网安信息技术有限责任公司研发的天行安全隔离网闸(Topwalk-GAP)于2002年9月通过了国家保密局的技术鉴定。由于物理隔离网闸处于涉密网与非涉密网的网关的特殊位置，而且，又是网络安全的最后一道防线，用户对产品研发人员的背景和研发单位的背景也是选择产品的重要条件。有些有外资背景公司的产品销售不能不受影响。所以，在市场上能站住脚的产品是极为有限的几种。因此我们在选购物理隔离网闸时，要特别注意它的两个主要指标即数据交换速率----支持百兆网络和千兆网络的数据交换速率；切换时间----使用高速安全隔离电子开关，支持毫秒级的高速切换。

       最后我们再强调一下物理隔离网闸应用在下面的5种场合环境中：

       1）涉密网与非涉密网之间；

       2）局域网与互联网之间（内网与外网之间）；

       有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网闸是一个常用的办法。

       3）办公网与业务网之间；

       由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。

       4）电子政务的内网与专网之间；

       在电子政务系统建设中要求政府内望与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。

       5）业务网与互联网之间；

       电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。

       报价就要你自己去和他们联系了,个人观点:天行网安的好一些.因为一般买网闸都是为了安全,他们的GAP3000安全性很高.

NP防护是什么

       国外有不少知名的大公司，比如赛门铁克、麦咖啡、趋势、ca，做企业杀软的，当然他们也有整套的防御体系产品。国外的防火墙、IPS也有不少有名的公司，比如op的防火墙、comodo的防火墙。要更安全也更贵的硬件防火墙、防病毒网关、IPS的话，也有不少国内的企业杀软瑞星、金山、江民、微点之类的都应该有，但质量是不是很高就不好说了。。。软件防火墙方面，国内也有几家。但规模不大，能力一般硬件防火墙，应该有几家，情况不太清楚，好像也就那么几家。我们公司用的是联想网御的硬件防火墙，还有他的防病毒网关和IPS。另外还有绿盟的防DDOS攻击和漏洞扫描设备。质量是不是国际一流其实我也不知道，他们自称不错。目前用着还算可以

联想防火墙里CPU利用率达到100%是怎么回事。。

       NP是Network Processor的缩写，意为网络处理器。根据“国际网络处理器会议”的定义：网络处理器是一种可编程器件，它特定地应用于通信领域的各种任务，比如包处理、协议分析、路由查找、防火墙、QoS等。网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，且多个微码处理器在NP内部并行处理，通过预先编制的微码来控制处理流程。对于某些复杂的标准操作，如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等，则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。

       哪种NP技术更适合防火墙

        我们不难了解，由于各厂商所专注的NP技术领域不同，决定了NP产品之间的差异。目前，国内多数安全厂商在NP技术上大都选择了IBM或Intel的NP技术。其实，具体选用哪种NP技术开发防火墙，因素有很多，包括所选NP技术的性能和成熟度、提供NP技术的厂商实力和重视程度，以及NP技术厂商可提供的支持力度及价格。 IBM研发的Power NP系列芯片不仅支持多线程，且每个线程都有充足的指令空间，在一个线程里完成防火墙功能绰绰有余。其系列产品中，以NP4GS3为代表，该芯片最高端口速率可达OC-48，并具有4.5Mbps的报文处理能力和最大4G的端口容量，并且，其拥有IBM创新的带宽分配技术(BAT)，是进行下一代系统设计的强大部件。而且，IBM还为开发者提供了软件架构的解决方案和仿真平台，大大缩短了开发难度和周期。目前，已经有不少厂家采用IBM的芯片开发高端防火墙产品，如联想网御于2003年10月推出了国内第一款基于NP技术的千兆线速防火墙；2005年，在解决了多项基于多NP协同工作的技术难题的基础上，联想网御成功推出了万兆级的超性能防火墙。 Intel推出的IXP2000系列芯片支持微码开发，在性能上有了长足的提高，如IXP2400理论上最多可支持2.5Gbps的应用，IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全，模块化很好，便于开发人员控制。不足的是，IXP2400每个微引擎仅能存储4k*32位的指令，比较适合开发路由器和交换机这类产品；IXP2800每个微引擎能存储8k*32位的指令，基本可以满足防火墙功能开发的需要，但是，由于其性能提高带来了产品设计与应用复杂度的成倍提高，造成价格十分昂贵。此外，该系列产品的硬件查表功能比较弱，这对于防火墙这类需要大量查表操作的设备来讲，是致命的弱点。

       NP防火墙将大步前行

        随着新一代网络的继续发展，NP将更加倚重线速、智能化的包处理技术，而不仅仅是简单的基本性能，NP技术的发展将直接影响到NP防火墙的发展。据业内专家调查分析，NP技术将向着更高的性能、更多功能支持、多种技术并存和标准化等特征发展，基于NP的防火墙产品将随着NP的发展大步前行。

       更高的性能

        五年来，网络的传输速度每年翻一番，几年前的主干网速度是155Mb/s，现在已经到了10Gb/s，两到三年内又会提高到40Gb/s，网络处理器也必须满足这种变化。NP性能的提高，将直接推动防火墙性能的提高。

       更多的功能支持

        随着网络处理器在更多领域中的应用，网络处理器必须具有更多的功能支持，如深度内容处理和IPV6协议识别，以能适应防火墙等安全设备的需求。

       多种技术并存

        NP不是万能的，它并不会完全取代通用处理器和ASIC在网络设备中的应用。在对处理性能需求很高的高端设备中，ASIC仍然具有很强的生命力，可以预见的是，在数据层面、控制层面和管理层，通用处理器、NP和ASIC将各司其职，共同为防火墙应用提供灵活的服务。

       实现标准化

        NP技术的开发与应用直接促成了网络处理器论坛（NPF）的诞生。NPF的成立，将进一步推动NP的发展，实现标准化，解决产品互连互通和软件可移植性等问题。

       涌现庞大的第三方开发队伍

        随着标准化工作的深入，再加上网络处理器本身具有模块化结构的特点，将涌现出一支庞大的第三方队伍，在硬件组件、NP操作系统、开发工具、软件应用等方面努力。 总之，防火墙技术与NP技术开始紧密地联系在一起，NP技术的变革将推动防火墙技术向着更高性能、更多功能以及标准化的方向发展。

       NP经济含义

        NP是Net Profit缩写，净利润（收益）是指在利润总额中按规定交纳了所得税以后公司的利润留存，一般也称为税后利润或净收入。净利润的计算公式为： 净利润＝利润总额×（1－所得税率） 净利润是一个企业经营的最终成果，净利润多，企业的经营效益就好；净利润少，企业的经营效益就差，它是衡量一个企业经营效益的主要指标。

       编辑本段镎Neptunium

        元素符号： Np 英文名： Neptunium 中文名： 镎 在元素周期表中位于铀（U）和钚（Pu），同属于锕系元素 相对原子质量： 237.048 常见化合价： +3,+4,+5,+6 电负性： 1.36 外围电子排布： 5f4 6d1 7s2 核外电子排布： 2,8,18,32,23,8,2 同位素及放射线： Np-235[1.08y] Np-236[155000y] Np-236m[22.5h] Np-237(放 α[2140000y]) Np-238[2.11d] Np-239[2.35d] Np-240[1.03h] Np-240m[7.22m] 热容：J /（mol· K） 29.46 导热系数：W/（m·K） 6.3 导电性：10^6/(cm ·Ω ) 0.00822 熔化热:(千焦/摩尔) 5.190 电子亲合和能： 0 KJ·mol-1 第一电离能： 600 KJ·mol-1 第二电离能： 0 KJ·mol-1 第三电离能： 0 KJ·mol-1 单质密度： 20.45 g/cm3 单质熔点： 640.0 ℃ 单质沸点： 3902.0 ℃ 原子半径： 0 埃 离子半径： 埃 共价半径： 0 埃 常见化合物： NpO2 NpF4 发现人： 麦克米伦、阿贝尔森 时间： 1940 地点： 美国 名称由来： 得名于海王星的名字“Neptune”。 元素描述： 稀有的银白色放射性金属。 元素来源： 用慢中子轰击铀原子而得到。 元素用途： 那是现在乏燃料后处理中的重要元素，是Pu-238的主要来源之一。战略和军事用途很广。

       编辑本段NP问题

        P/NP问题是在理论信息学中计算复杂度理论领域里至今没有解决的问题，它被“克雷数学研究所”（Clay Mathematics Institute, 简称CMI）在千禧年大奖难题中收录。P/NP问题中包含了复杂度类P与NP的关系。1971年史提芬·古克(Stephen A. Cook) 和 Leonid Levin 相对独立的提出了下面的问题,即是否两个复杂度类P和NP是恒等的（P=NP?）。

       P和NP

        复杂度类P包含所有那些可以由一个确定型图灵机在多项式表达的时间内解决的问题；类NP由所有其肯定解可以在给定正确信息的多项式时间内验证的决定问题组成，或者等效的说，那些解可以在非确定图灵机上在多项式时间内找出的问题的集合。很可能，计算理论最大的未解决问题就是关于这两类的关系的:

       P和NP相等吗?

        在2002年对于100研究者的调查，61人相信答案是否定的，9个相信答案是肯定的，22个不确定，而8个相信该问题可能和现在所接受的公理独立，所以不可能证明或证否。[1] 对于正确的解答，有一个1,000,000美元的奖励。 NP-完全问题(或者叫NPC)的集合在这个讨论中有重大作用，它们可以大致的被描述为那些在NP中最不像在P中的。(确切定义细节请参看NP-完全)理论计算机科学家现在相信P, NP,和NPC类之间的关系如图中所示，其中P和NPC类不交。 假设P ≠ NP的复杂度类的图解.如P = NP则三个类相同.本质上，P = NP问题问道：如果是/不是问题的正面答案可以很快验证，其答案是否也可以很快计算？这里有一个给你找点这个问题的感觉的例子。给定一个大数Y,我们可以问Y是否是复合数。例如，我们可能问53308290611是否有非平凡的因子。回答是肯定的，虽然手工找出一个因子很麻烦。从另一个方面讲，如果有人声称答案是"对，因为224737可以整除53308290611",则我们可以很快用一个除法来验证。验证一个数是除数比首先找出除数来简单得多。用于验证一个正面答案所需的信息也称为证书。所以我们的结论是，给定 正确的证书，问题的正面答案可以很快的(也就是，在多项式时间内)验证，而这就是这个问题属于NP的原因。虽然这个特定的问题，最近被证明为也在P类中(参看下面的关于"质数在P中"的参考),这一点也不明显，而且有很多类似的问题相信不属于类P。 限制到是/不是问题并没有改变问题；即使我们允许更复杂的答案，最后的问题(是否FP = FNP)是等价的。

       形式化定义

        更正式一些，一个决定问题是一个取一些字符串为输入并要求输出为是或否的问题。若有一个算法（譬如图灵机，或一个LISP或Pascal的程序并有无限的内存）能够在最多nk步内对一个串长度为n的输入给出正确答案，其中k是某个不依赖于输入串的常数，则我们称该问题可以在多项式时间内解决，并且将它置入类P。直观的讲，我们将P中的问题视为可以较快解决的问题。 现在假设有一个算法A(w,C)取两个参数，一个串w，也就是我们的决定问题的输入串，而另一个串C是“建议证明”，并且使得A在最多nk步之内产生“是/否”答案（其中n是w的长度而k不依赖于w）。进一步假设 w是一个答案为“是”的例子，当且仅当，存在C使得A(w,C)返回“是”。 则我们称这个问题可以在非决定性多项式时间内解决，且将它放入NP类。我们把算法A作为一个所建议的证明的检验器，它运行足够快。（注意缩写NP代表“Non-deterministic（非确定性）Polynomial（多项式）”而不是代表“Non-Polynomial（非多项式）。）

       NP完全

        要解决P = NP问题，NP完全的概念非常有用。不严格的讲，NP完全问题是NP类中“最难”的问题，也就是说它们是最可能不属于P类的。这是因为任何NP中的问题可以在多项式时间内变换成为任何特定NP完全问题的一个特例。例如，旅行商问题的判定问题版本是NP完全的。所以NP中的任何问题的任何特例可以在多项式时间内机械地转换成旅行商问题的一个特例。所以若旅行商问题被证明为在P内，则P = NP！旅行商问题是很多这样的NP完全的问题之一。若任何一个NP完全的问题在P内，则可以推出P = NP。不幸的是，很多重要的问题被证明为NP完全，但没有一个有已知快速的算法。

       更难的问题

        虽然是否P=NP还是未知的，在P之外的问题是已经知道存在的。寻找国际象棋或围棋最佳走法（在n乘n棋盘上）是指数时间完全的。因为可以证明P ≠ EXPTIME（指数时间），这些问题位于P之外，所以需要比多项式时间更多的时间。判定Presburger算术中的命题是否为真的问题更加困难。Fischer和Rabin于1974年证明每个决定Presburger命题的真伪性的算法有最少2^(2^(cn))的运行时间，c为某个常数。这里，n是Presburger命题的长度。因此，该命题已知需要比指数时间更多的运行时间。不可判定问题是更加困难的，例如停机问题。它们无法在任何给定时间内解决。

       P真的容易处理吗？

        上面所有的讨论假设了P表示“容易”而“不在P中”表示“困难”。这是一个在复杂度理论中常见而且有一定准确性的假设，它在实践中却不总是真的，原因包括如下几点： 它忽略了常数因子。一个需要101000n时间的问题是属于P的（它是线性时间的），但是事实上完全无法处理。一个需要10-100002n时间的问题不是在P中的（它是指数时间的），但是对于n 取值直到几千时还是很容易处理的。 它忽略了指数的大小。一个时间复杂度n1000属于P，但是很难对付。已经证明在P中存在需要任意大的指数的问题（参看时间等级定理）。一个时间复杂度2n/1000的问题不属于P，但对与n直到几千还是容易应对的。 它只考虑了最坏情况的复杂度。可能现实世界中的有些问题在多数时候可以在时间n中解决，但是很偶尔你会看到需要时间2n的特例。这个问题可能有一个多项式的平均时间，但最坏情况是指数式的，所以该问题不属于P。 它只考虑确定性解。可能有一个问题你可以很快解决如果你可以接受出现一点误差的可能，但是确保正确的答案会难得多。这个问题不会属于P，虽然事实上它可以很快求解。这实际上是解决属于NP而还不知道是否属于P的问题的一个办法（参看RP， BPP）。 新的诸如量子电脑这样的计算模型，可能可以快速的解决一些尚未知道是否属于P的问题；但是，没有一个它们已知能够解决的问题是NP完全的。不过，必须注意到P和NP问题的定义是采用象图灵机这样的经典计算模型的属于表述的。所以，即使一个量子计算机算法被发现能够有效的解决一个NP完全问题，我们只是有了一个快速解决困难问题的实际方法，而不是数学类P和NP相等的证明。

       计算机科学家为什么认为P ≠ NP？

        多数计算机科学家相信P≠NP。该信念的一个关键原因是经过数十年对这些问题的研究，没有人能够发现一个NP完全问题的多项式时间算法。而且，人们早在NP完全的概念出现前就开始寻求这些算法了（Karp的21个NP完全问题，在最早发现的一批中，有所有著名的已经存在的问题]]）。进一步地，P = NP这样的结果会导出很多惊人的结果，那些结果现在被相信是不成立的，例如NP = 余NP和P = PH。 也有这样论证的：问题较难求解(NP)但容易验证(P)，这和我们日常经验是相符的。 从另一方面讲，某些研究者认为我们过于相信P ≠ NP，而应该也去寻找P = NP的证明。例如，2002年中有这样的声明： 倾向P≠NP的主要论据是在穷尽搜索的领域完全没有本质进展。也就是说，以我的观点，一个很弱的论据。算法的空间是很大的，而我们只是在开始探索的起点。[ . . . ] 费马最后定理的解决也显示非常简单的[sic]问题可能只有用非常深刻的理论才能解决。 — Moshe Vardi，莱斯大学 过分依赖某种投机不是规划研究的一个好的导引。我们必须总是尝试每个问题的两个方向。偏见可能导致著名的数学家无法解决答案和他们的预计相反的著名问题，虽然他们发展了所有所需的方法。 — Anil Nerode, 康奈尔大学 关于证明的难度的结果 虽然百万美元的奖金和大量投入巨大却没有实质性结果的研究足以显示该问题是困难的，还有一些形式化的结果证明为什么该问题可能很难解决。 最常被引用的结果之一设计神喻。假想你有一个魔法机器可以解决单个问题，例如决定一个给定的数字是否为质数，但可以瞬间解决这个问题。我们的新问题是，若我们被允许任意利用这个机器，是否存在我们可以在多项式时间内验证但无法在多项式时间内解决的问题？结果是，依赖于机器能解决的问题，P = NP和P ≠ NP二者都可以证明。这个结论的后果是，任何可以修改来证明该机器的存在性的结果不能解决问题。不幸的是，几乎所有经典的方法和大部分已知的方法可以这样修改（我们称它们在相对化）。 如果这还不算太糟的话，1993年Razborov和Rudich证明的一个结果表明，给定一个特定的可信的假设，在某种意义下“自然”的证明不能解决P = NP问题。[3] 这表明一些现在似乎最有希望的方法不太可能成功。随着更多这类的定理得到证明，该定理的可能证明有越来越多的陷阱要规避。 这实际上也是为什么NP完全问题有用的原因：若有一个多项式时间算法，或者没有一个这样的算法，对于NP完全问题存在，这将用一种相信不被上述结果排除在外的方法来解决P = NP问题。

       多项式时间算法

        没人知道多项式时间算法对于NP完全问题是否存在。但是如果这样的算法存在，我们已经知道其中的一些了！例如，下面的算法正确的接受了一个NP完全语言，但是没人知道通常它需要多久运行。它是一个多项式时间算法当且仅当P = NP。 // 接受NP完全语言的一个算法子集和。 // // 这是一个多项式时间算法当且仅当P=NP。 // // “多项式时间”表示它在多项式时间内返回“是”，若 // 结果是“是”，否则永远运行。 // // 输入：S = 一个自然数的有限集 // 输出："是" 如果某个S的子集加起来等于0。 // 否则，它永远运行没有输出。 // 注意: "程序数P" 是你将一个整数P写为二进制，然后 // 将位串考虑为一个程序。 // 每个可能的程序都可以这样产生， // 虽然多数什么也不做因为有语法错误。 // FOR N = 1...infinity FOR P = 1...N 以S为输入运行程序数P N步 IF 程序输出一个不同的整数的列表 AND 所有整数都在S中 AND 整数的和为0 THEN OUTPUT "是" 并 停机 若P = NP，则这是一个接受一个NP完全语言的多项式时间算法。“接受”表示它在多项式时间内给出“是”的答案，但允许在答案是“否”的时候永远运行。 可能我们想要“解决”子集和问题，而不是仅仅“接受”子集和语言。这表示我们想要它总是停机并返回一个“是”或“否”的答案。是否存在任何可能在多项式时间内解决这个问题的算法？没有人知道。但是如果这样的算法存在，那么我们已经知道其中的一些了！只要将上面的算法中的IF语句替换成下面的语句： IF 程序输出一个完整的数学证明 AND 证明的每一步合法 AND 结论是S确实有（或者没有）一个和为0的子集 THEN OUTPUT "是" （或者"不是"如果那被证明了）并停机

       逻辑表述

        P=NP问题可以用逻辑命题的特定类的可表达性的术语来重新表述。所有P中的语言可以用一阶逻辑加上最小不动点操作（实际上，这允许了递归函数的定义）来表达。类似地，NP是可以用存在性二阶逻辑来表达—也就是，在关系、函数、和子集上排除了全域量词的二阶逻辑。多项式等级，PH中的语言对应与所有的二阶逻辑。这样，“P是NP的真子集吗”这样的问题可以表述为“是否存在性二阶逻辑能够表达带最小不动点操作的一阶逻辑的所不能表达的语言？”

       花絮

        普林斯顿大学计算机系楼将二进制代码表述的“P=NP?”问题刻进顶楼西面的砖头上。如果证明了P=NP，砖头可以很方便的换成表示“P=NP！”。[4] 康奈尔大学的Hubert Chen博士提供了这个玩笑式的P不等于NP的证明：“反证法。设P = NP。令y为一个P = NP的证明。证明y可以用一个合格的计算机科学家在多项式时间内验证，我们认定这样的科学家的存在性为真。但是，因为P = NP，该证明y可以在多项式时间内由这样的科学家发现。但是这样的发现还没有发生（虽然这样的科学家试图发现这样的一个证明），我们得到矛盾。

       编辑本段NP在游戏中

        在一些游戏当中。 一些玩家会向对方输入NP。NO problem意思是没关系。 在街头篮球游戏中，NICE PASS的缩写.

       编辑本段nProtect GameGuard

        NP就是nProtect GameGuard，是一款著名的防作弊软件。[1] 现如今，网络游戏目前已经成为很多人娱乐的一种方法且逐渐大众化。然而，一部分带有恶意企图的用户使用非法程序盗用号码，利用外挂程序进行游戏，严重破坏了游戏中应有的公平正式的规则。 nProtect GameGuard作为一款游戏安全软件，可以有效防止外挂工具在游戏客户端上的应用。 nProtect GameGuard（简称GameGuard或GG，其驱动程序为GameMon.des）是由韩国INCA互联网（INCA Internet）开发的游戏反作弊的软件。随着网络游戏的兴起，愈来愈多人利用外挂从中作弊，这促使GameGuard等反作弊软件的诞生，GameGuard开发完成后，很快就被台湾、日本及韩国网络游戏商引入。随后开设“游戏安全中心”，能传送关于不正当或作弊工具之信息。

       编辑本段语言学研究常用术语NP

        NP是NOUN PHRASE名词短语的缩写。 摘自《现代语言学词典》（[英]戴维·克里斯特尔编，沈家煊译）

       编辑本段NP—>netwok provider

        NP者netwok provider也，即网络提供商 BTW network operator 可以包含电信运营商的网络运营商 netwok provider指网络提供商 不管是固定网络运营商、移动网络运营商还是电缆网络运营商，都面临着多方力量在重塑行业格局。随着竞争不断加剧，运营商的重点是以成本效益和资源效率最高的方式提供优质服务和应用。同时，固定网络、移动网络和IP网络正在融合，在接入应用的地点和方式方面为最终用户提供了最大的灵活性。 这在管理和监测网络方面给网络运营商带来了某些独特的挑战。网络运营商不仅需要从网络角度知道网络运行状况，还需要从服务角度知道网络运行状况。此外，他们需要在提供多媒体服务和应用时有效利用网络资源。

       编辑本段NP有生态学中的定义

        net primary production净初级生产量或简称NPP 生态系统能量流动的来源于植物光合作用对太阳能的固定。植物所固定的太阳能或制造的有机物质称为初级生产量或第一性生产量（primary production)。 在初级生产中，植物固定的能量有一部分被植物自己的呼吸消耗掉，剩下的可用于植物生长和繁殖，这一部分称为净初级生产量。而包括呼吸消耗（R）的全部生产量称为总初级生产量（GP或GPP）。 三者之间的关系为：NP=GP-R

       编辑本段其他含义

        中国福建省南平市的拼音首字母 NP. 在同人文或者女尊文、耽美文中的NP表示的是N配 也就是一个男主角（女主角）和多个异性（或同性）产生暧昧，或双方喜欢并交往。 在耽美小说中，既是一攻多受 或一受多攻的意思 NP Nippon （立邦）立邦油漆的行业简写。 NP-n 壬基酚与环氧乙烷加成物 nucleoprotein，NP，核蛋白 “No problem”简称“NP”词条图册更多图册

IPS(入侵防御系统)详细资料大全

       您好，可能的原因有

       一、杀毒软件造成

       金山和瑞星之类杀毒软件都加入了对网页、插件和邮件的随机监控，这就增大了系统的负担。小编建议大家尽量使用最少的监控服务，或者升级硬件配置。

       二、病毒、木马造成

       有可能电脑中毒，大量的蠕虫病毒在系统内部迅速复制，造成CPU占用极速增加。小编建议大家要用可靠的杀毒软件彻底清理系统内存和本地硬盘，并打开系统设置软件，查看有无异常启动的程序；经常更新杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。

       三、驱动没有经过认证造成

       大量的测试版驱动在网上泛滥，造成了难以发现的故障原因。这就要求大家要特别注意显卡驱动，建议使用微软认证的或由官方发布的驱动，并且严格核对型号、版本。

       四、启动项太多造成

       很多人都喜欢将软件设置成开机启动，电脑的启动项越来越多，CPU使用率自然就会明显升高。小编建议大家关闭不必要的启动项，点击?开始—运行—输入msconfig—关闭不需要的启动项。五、运行大型程序造成

       有些网友在显卡等硬件配置没有满足需求的情况下，运行大型程序，比如网游，CPU占用率当然会高。小编建议在运行大型程序之前，查看电脑配置是否满足运行该程序的最低配置，如果确实是电脑配置不行的话，那就要将电脑进行硬件升级了。

       六、系统文件错误造成

       有时候系统文件会出现错误，可能造成CPU使用率高，甚至是高达100%。大家可以用系统自带的分区检查和整理工具进行检查和整理，开始—运行—输入CMD，在命令行里输入“chkdsk?d:?/b?/x”，硬盘碎片用系统自带的就行；针对坏道，可以用硬盘坏道测试修复软件测试确定存在后，进行修复。

       总结六种可能导致CPU占用率高的情况，大家可以根据自己的具体情况进行排查。 也可以参考

        /article/358570f61ba59cce4724fcda.html

        入侵防御系统(IPS: Intrusion Prevention System)是电脑网路安全设施，是对防病毒软体（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的解释。 入侵防御系统(Intrusion-prevention system)是一部能够监视网路或网路设备的网路资料传输行为的计算机网路安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网路资料传输行为。

基本介绍 中文名 ：入侵防御系统 外文名 ：Intrusion Prevention System 别称 ：木马 表达式 ：计算机病毒 提出时间 ：2014年 套用学科 ：社会 适用领域范围 ：全球 适用领域范围 ：生活 概念,网路安全,产生原因,入侵预防技术,系统类型,评价,产品示例,入侵防护,Web安全,流量控制,上网监管,系统现状, 概念 （ Intrusion Prevention System）是电脑网路安全设施，是对防病毒软体（Antivirus Programs）和防火墙（Packet Filter, Application Gateway）的补充。 入侵预防系统（Intrusion-prevention system）是一部能够监视网路或网路设备的网路资料传输行为的计算机网路安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网路资料传输行为。 网路安全 随着电脑的广泛套用和网路的不断普及，来自网路内部和外部的危险和犯罪也日益增多。20年前，电脑病毒主要通过软碟传播。后来，用户打开带有病毒的电子信函附属档案，就可以触发附属档案所带的病毒。以前，病毒的扩散比较慢，防毒软体的开发商有足够的时间从容研究病毒，开发防病毒、杀病毒软体。而今天，不仅病毒数量剧增，质量提高，而且通过网路快速传播，在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态，使防毒软体失效。 目前流行的攻击程式和有害代码如 DoS （Denial of Service 拒绝服务)，DDoS (Distributed DoS 分散式拒绝服务)，暴力猜解(Brut-Force-Attack)，连线埠扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马等等。此外还有利用软体的漏洞和缺陷钻空子、干坏事，让人防不胜防。 网路入侵方式越来越多，有的充分利用防火墙放行许可，有的则使防毒软体失效。比如，在病毒刚进入网路的时候，还没有一个厂家迅速开发出相应的辨认和扑灭程式，于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网路资源，这就是所谓Zero Day Attack。 防火墙可以根据IP位址（IP-Addresses）或服务连线埠（Ports）过滤数据包。但是，它对于利用合法IP位址和连线埠而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术（Deep Packet Inspection 深度包检测技术），其本身也面临着许多挑战。 每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别，同时也与正常的应用程式代码相区别。防毒软体就是通过储存所有已知的病毒特征来辨认病毒的。 在ISO/OSI网路层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵侦查系统(IDS: Intrusion Detection System）投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵回响系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。 入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程式或网路传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程式违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程式弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。 套用入侵预防系统的目的在于及时识别攻击程式或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软体的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。 产生原因 A：串列部署的防火墙可以拦截低层攻击行为，但对套用层的深层攻击行为无能为力。 B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。 C：IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际套用中的效果不显著。 这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的线上部署（防火墙方式）安全产品。由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。 入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网路中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。 入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网路、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。 这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网路的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。 入侵预防技术 * 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。 * 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时，先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。 * 有些入侵预防系统结合协定异常、传输异常和特征侦查，对通过网关或防火墙进入网路内部的有害代码实行有效阻止。 * 核心基础上的防护机制。用户程式通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。 * 对Library、Registry、重要档案和重要的资料夹进行防守和保护。 系统类型 投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统 (HIPS: Hostbased Intrusion Prevension System)和网路入侵预防系统 (NIPS: Neork Intrusion Prevension System）两种类型。 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备，切断交通，对过往包裹进行深层检查，然后确定是否放行。网路入侵预防系统借助病毒特征和协定异常，阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答，然后，看谁使用这些回答信息而请求连线，这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程式代码中间、伺机运行的特点，单机入侵预防系统监视正常程式，比如Inter Explorer，Outlook，等等，在它们（确切地说，其实是它们所夹带的有害代码）向作业系统发出请求指令，改写系统档案，建立对外连线时，进行有效阻止，从而保护网路中重要的单个机器设备，如伺服器、路由器、防火墙等等。这时，它不需要求助于已知病毒特征和事先设定的安全规则。总地来说，单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道，入侵是指有害代码首先到达目的地，然后干坏事。然而，即使它侥幸突破防火墙等各种防线，得以到达目的地，但是由于有了入侵预防系统，有害代码最终还是无法起到它要起的作用，不能达到它要达到的目的。 2000年：Neork ICE公司在2000年9月18日推出了业界第一款IPS产品—BlackICE Guard，它第一次把基于旁路检测的IDS技术用于线上模式，直接分析网路流量，并把恶意包丢弃。2002～2003年：这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可，欧美一些安全大公司通过收购小公司的方式获得IPS技术，推出自己的IPS产品。比如ISS公司收购Neork ICE公司，发布了Proventia；NetScreen公司收购OneSecure公司，推出NetScreen-IDP；McAfee公司收购Intruvert公司，推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。 2005年9月绿盟科技发布国内第一款拥有完全自主智慧财产权的IPS产品，2007年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM等多种方式发布各自的IPS产品。 评价 针对越来越多的蠕虫、病毒、间谍软体、垃圾邮件、DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。 一款优秀的网路入侵防护系统应该具备以下特征： ●满足高性能的要求，提供强大的分析和处理能力，保证正常网路通信的质量； ●提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失； ●准确识别各种网路流量，降低漏报和误报率，避免影响正常的业务通讯； ●全面、精细的流量控制功能，确保企业关键业务持续稳定运转； ●具备丰富的高可用性，提供BYPASS（硬体、软体）和HA等可靠性保障措施； ●可扩展的多链路IPS防护能力，避免不必要的重复安全投资； ●提供灵活的部署方式，支持线上模式和旁路模式的部署，第一时间把攻击阻断在企业网路之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要； ●支持分级部署、集中管理，满足不同规模网路的使用和管理需求。 产品示例 网路入侵防护系统是网路入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和套用频宽保护的完美价值体验。 入侵防护 实时、主动拦截黑客攻击、蠕虫、网路病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网路架构免受侵害，防止作业系统和应用程式损坏或宕机。 Web安全 基于网际网路Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。 流量控制 阻断一切非授权用户流量，管理合法网路资源的利用，有效保证关键套用全天候畅通无阻，通过保护关键套用频宽来不断提升企业IT产出率和收益率。 上网监管 全面监测和管理IM即时通讯、P2P下载、网路游戏、线上视频，以及线上炒股等网路行为，协助企业辨识和限制非授权网路流量，更好地执行企业的安全策略。 系统现状 IPS，最近几年越来越受欢迎，特别是当供应商应对NAC市场的早期挑战时，如感知部署和可用性难点。目前，大多数大型的组织都全面部署了IPS，但是在使用NAC之前，这些解决方案都被一定程度的限制以防止公司网路中发生新的攻击。你可以配置所有的IPS探测器来中断网路中恶意或其它不需要的流量。比如，假设一个特定的终端发起一个针对公司数据中心的套用伺服器的攻击，并且IPS检测到该流量是恶意的，那么IPS可以通过所配置的策略来中断流量。虽然这个回响是充分的，但是，在某些情况下，你可能想进一步阻止网路以后的攻击。NAC可以帮助你从IPS设备中获取信息，并在被攻击或发生意外事件时使用这些信息来处理终端用户的访问。

       好了，今天关于“联想网御防火墙”的话题就讲到这里了。希望大家能够通过我的介绍对“联想网御防火墙”有更全面、深入的认识，并且能够在今后的实践中更好地运用所学知识。