科来网络分析系统是一款强大的网络检测分析工具，可对网络中未加密的数据传输进行检测分析并实时显示分析结果，包括用户的邮件收发、Web访问以及各种网络登录等操作。所以，未经加密的数据传输是不安全的，存在被别人窃听的安全隐患。

图一显示的是科来网络分析系统对网络数据传输捕获的结果，从中可以看出，当前网络中的敏感数据传输都未经过任何的加密保护，存在安全隐患。为加强网络本身的安全性，在使用科来网络分析系统进行网络管理的同时，我们建议用户对重要的数据传输进行加密保护，以达到管理和保护的有效结合。在这种情况下，即使数据被窃取，攻击者也无法分析数据的真实内容，从而保证了数据传输的安全性。

图一，网络事务分析结果

图二所示为常见的网络传输情况，在这种情况下，数据在网络中的传输没有经过任何保护，当网络在遭受黑客攻击或黑客入侵时，重要数据很容易被窃取。为了使我们局域网传输的重要数据都是安全的，我们可以利用Stunnel工具对数据进行加密。

图二，普通网络

Stunnel (

http://www.stunnel.org/

)是一款可以加密网络数据的TCP连接，并可工作在Unix和Windows平台上，它采用Client/Server模式，将Client端的网络数据采用SSL(Secure Sockets Layer)加密后，安全的传输到指定的Server端再进行解密还原，然后再发送到访问的服务器。在加密传输过程中，可充分确保数据的安全性，我们只要把Server端程序安装在局域网外面的一台服务器上，即可保证传输的数据在局域网内是安全的，如图三所示。

图三，Stunnel加密后的网络

操作过程：

Stunnel是一款免费的工具，可以在这里下载。下面我们介绍一下具体的使用。

1. 下载
   
   Stunnel Client端程序
   
   ，并解压到本机的C:/Program Files目录下。
2. 下载
   
   Stunnel Server端程序
   
   ，并解压后放在外网的服务器上。
3. 分别配置stunnel.conf文件。
4. 更改本机应用程序的网络连接配置。
5. 分别运行stunnel.-4.04.exe执行文件。

说明：

我们使用Stunnel，需要在外网有一台有管理权限的服务器，来运行Stunnel的Server程序。配置好Stunnel.conf后，可将执行文件在启动菜单中建立快捷方式，这样让每次开机时，能自动运行。Stunnel技术是将传输的信息加密后，通过Server端的服务器进行解密才到达的目的主机，所以在选择Server端服务器的时候，对服务器的带宽速度有一定的要求。

Stunnel的配置：

Client和Server端都包含stunnel.conf配置文件，格式如下表所示：

常见应用实例：

Stunnel.conf文件配置比较简单，下面我们介绍一些常见应用配置，其中Client端是放在本机，IP是127.0.0.1，Server端是放在外网的服务器上，IP是202.151.90.28。

1.加密邮件传输：

加密邮件，需要将发送和接收的过程都要进行保护，那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx@colasoft.com.cn信箱，服务器的IP是202.108.44.153，配置文件stunnel.conf如下：

如果有多个邮件传输需要加密，则增加相应的POP3和SMTP设置即可。设置好了配置文件，我们还需要将邮件客户端（常见的为Foxmail或Outlook）与其对应，设置如下：

发送的邮件地址改为：127.0.0.1        端口改为：125

接收的邮件地址改为：127.0.0.1        端口改为：1110

2.加密FTP传输：

FTP是比较早的文件传输协议，内容都是以明文方式传输，我们利用Stunnel后，也可以让FTP的传输非常安全，现在我们只需要在前面的stunnel.conf内容里面增加以下配置信息：

FTP软件（如CuteFTP）也要做相应更改：

登录的远程地址改为：127.0.0.1        端口改为121

3.加密HTTP网站访问传输：

我们不能对所有的网站访问都进行加密，因为太多，但对于很重要的网站，我们也可以用Stunnel来保护访问的内容不受到监听。例如我们要访问www.colasoft.com.cn，网站IP地址是202.108.36.172，HTTP的配置如下：

通过结合使用科来网络分析系统与Stunnel，既可以做到对网络的安全检测，并找出网络内的潜在安全隐患，又能从防护的角度出发，保护公司内部网络的重要信息。此方案成本低，不改变当前网络内的结构，容易实施，是一个简单有效的安全管理方案。