科来软件

首页客户支持 > 产品资源 > 科来网络分析系统与stunnel结合使用

科来网络分析系统与stunnel结合使用

科来网络分析系统是一款强大的网络检测分析工具,可对网络中未加密的数据传输进行检测分析并实时显示分析结果,包括用户的邮件收发、Web访问以及各种网络登录等操作。所以,未经加密的数据传输是不安全的,存在被别人窃听的安全隐患。

图一显示的是科来网络分析系统对网络数据传输捕获的结果,从中可以看出,当前网络中的敏感数据传输都未经过任何的加密保护,存在安全隐患。为加强网络本身的安全性,在使用科来网络分析系统进行网络管理的同时,我们建议用户对重要的数据传输进行加密保护,以达到管理和保护的有效结合。在这种情况下,即使数据被窃取,攻击者也无法分析数据的真实内容,从而保证了数据传输的安全性。


图一,网络事务分析结果

图二所示为常见的网络传输情况,在这种情况下,数据在网络中的传输没有经过任何保护,当网络在遭受黑客攻击或黑客入侵时,重要数据很容易被窃取。为了使我们局域网传输的重要数据都是安全的,我们可以利用Stunnel工具对数据进行加密。


图二,普通网络

Stunnel (http://www.stunnel.org/)是一款可以加密网络数据的TCP连接,并可工作在Unix和Windows平台上,它采用Client/Server模式,将Client端的网络数据采用SSL(Secure Sockets Layer)加密后,安全的传输到指定的Server端再进行解密还原,然后再发送到访问的服务器。在加密传输过程中,可充分确保数据的安全性,我们只要把Server端程序安装在局域网外面的一台服务器上,即可保证传输的数据在局域网内是安全的,如图三所示。


图三,Stunnel加密后的网络

操作过程:

Stunnel是一款免费的工具,可以在这里下载。下面我们介绍一下具体的使用。
  1. 下载Stunnel Client端程序,并解压到本机的C:\Program Files目录下。
  2. 下载Stunnel Server端程序,并解压后放在外网的服务器上。
  3. 分别配置stunnel.conf文件。
  4. 更改本机应用程序的网络连接配置。
  5. 分别运行stunnel.-4.04.exe执行文件。
说明:
我们使用Stunnel,需要在外网有一台有管理权限的服务器,来运行Stunnel的Server程序。配置好Stunnel.conf后,可将执行文件在启动菜单中建立快捷方式,这样让每次开机时,能自动运行。Stunnel技术是将传输的信息加密后,通过Server端的服务器进行解密才到达的目的主机,所以在选择Server端服务器的时候,对服务器的带宽速度有一定的要求。

Stunnel的配置:

Client和Server端都包含stunnel.conf配置文件,格式如下表所示:

Client端stunnel.conf文件内容Server端stunnel.conf文件内容
# Use it for client mode
        client = yes
#Client-level configuration
        [ 应用服务名称 ]
        accept   =本地IP : 目标端口
        connect =Server端IP : 指定的端口		# Use it for server mode
        client = no
#Server-level configuration
        [ 应用服务名称 ]
        accept   = 指定的端口
        connect =目标服务器IP : 目标端口


常见应用实例:

Stunnel.conf文件配置比较简单,下面我们介绍一些常见应用配置,其中Client端是放在本机,IP是127.0.0.1,Server端是放在外网的服务器上,IP是202.151.90.28。

1.加密邮件传输:

加密邮件,需要将发送和接收的过程都要进行保护,那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx@colasoft.com.cn信箱,服务器的IP是202.108.44.153,配置文件stunnel.conf如下:

Client端SMTP和POP3文件内容Server端SMTP和POP3文件内容
        [smtp.colasoft.com.cn]
        accept   = 127.0.0.1:25
        connect = 202.151.90.28:125

        [pop3.colasoft.com.cn]
        accept   = 127.0.0.1:110
        connect = 202.151.90.28:1110 		        [smtp.colasoft.com.cn]
        accept   = 125
        connect = 202.108.44.170:25

        [pop3.colasoft.com.cn]
        accept   = 1110
        connect = 202.108.44.153:110

如果有多个邮件传输需要加密,则增加相应的POP3和SMTP设置即可。设置好了配置文件,我们还需要将邮件客户端(常见的为Foxmail或Outlook)与其对应,设置如下:
发送的邮件地址改为:127.0.0.1        端口改为:125
接收的邮件地址改为:127.0.0.1        端口改为:1110

2.加密FTP传输:

FTP是比较早的文件传输协议,内容都是以明文方式传输,我们利用Stunnel后,也可以让FTP的传输非常安全,现在我们只需要在前面的stunnel.conf内容里面增加以下配置信息:

Client端FTP的配置Server端FTP的配置
        [ftp.net130.com]
        accept   = 127.0.0.1:21
        connect = 202.151.90.28:121 		         [ftp.net130.com]
         accept   = 121
         connect = 218.7.9.73:21

FTP软件(如CuteFTP)也要做相应更改:
登录的远程地址改为:127.0.0.1        端口改为121

3.加密HTTP网站访问传输:

我们不能对所有的网站访问都进行加密,因为太多,但对于很重要的网站,我们也可以用Stunnel来保护访问的内容不受到监听。例如我们要访问www.colasoft.com.cn,网站IP地址是202.108.36.172,HTTP的配置如下:

Client端HTTP的配置Server端HTTP的配置
        [www.colasoft.com.cn]
        accept   = 127.0.0.1:80
        connect = 202.151.90.28:8080 		        [www.colasoft.com.cn]
        accept   = 8080
        connect = 202.108.36.172:80

通过结合使用科来网络分析系统与Stunnel,既可以做到对网络的安全检测,并找出网络内的潜在安全隐患,又能从防护的角度出发,保护公司内部网络的重要信息。此方案成本低,不改变当前网络内的结构,容易实施,是一个简单有效的安全管理方案。