2023年11月25日发(作者:)
上网行为管理解决方
案
目录
第1章概述 ........................................................................................................... 4
第2章需求分析 .................................................................................................... 5
第3章建设原则 .................................................................................................... 7
第4章设计思路 .................................................................................................. 10
第5章方案介绍 .................................................................................................. 12
5.1网络现状 ....................................................................................................................... 12
5.2存在问题 ....................................................................................................................... 12
5.3解决方案 ....................................................................................................................... 12
5.3.1部署方式 ............................................................................................................... 13
5.3.2身份认证 ............................................................................................................... 16
5.3.3上网行为控制 ....................................................................................................... 17
5.3.4流量控制 ............................................................................................................... 23
5.3.5安全防护 ............................................................................................................... 27
5.3.6行为审计 ............................................................................................................... 36
5.3.7系统集中管理 ....................................................................................................... 45
5.4应用价值 ....................................................................................................................... 49
5.4.1提升工作效率 ....................................................................................................... 49
5.4.2提高带宽利用率 ................................................................................................... 50
5.4.3避免泄密和法律风险 ........................................................................................... 51
5.4.4保障内网安全 ....................................................................................................... 52
5.4.5降低管理成本 ....................................................................................................... 55
第1章 概述
项目概述,客户背景介绍……
第2章 需求分析
(拓扑图,目前网络结构描述)
随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互
联网在给生活和工作带来便捷的同时也对上网行为管理带来了新的挑战,主要问
题体现在以下几个方面:
带宽滥用
随着互联网的普及,企业业务几乎都依托于互联网进行。ERP、CRM、OA、
Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。
但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、
网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉
络”。
在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,
P2P应用对带宽占用比大致是40%~60%,在极端情况下占用比会达到
80%~90%。同时,再加上其他与工作无关的应用占用了带宽资源。因此,在日
常办公当中带宽有效利用率不到30%。
工作效率低下
网络的普及改变了传统的办公方式,而企业内总有部分员工在上班时间有意
无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,
严重影响工作效率,从而导致企业竞争力的下降。
数据泄密
企业业务依托于互联网开展,ERP、CRM、OA、电子商务、视频会议等系
统来自于全球高端厂商的开发,都承载着有关于企业的机密信息。在没有任何网
络安全防护措施下,企业将承受机密信息外泄风险。因此,为了防止数据安全隐
患,既要预防黑客入侵系统窃取资料,又要禁止企业内部员工主动外发资料。
违法行为
企业员工在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或
微博等方式外发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违
规违法行为,企业或个人将承担法律责任。
安全隐患
互联网的开放给企业带来了信息共享的便利,为业务系统提供了传输平台,
但是正因为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。某
些网络安全意识薄弱的员工,在互联网上随意打开网页、点击链接,中毒受感染,
并且在内部网络中传播导致大范围严重影响。因此,如何避免来自互联网的侵袭,
解决内网安全管理问题,是信息化系统建设中需要考虑的重点问题。
第3章 建设原则
上网行为管理系统建设必须适应当前企业各项应用,又可面向未来信息化发
展的需要,因此必须是高质量的。在建设过程中,需要遵循以下原则:
实用性和先进性
采用先进成熟的技术满足大规模数据、语音、视频综合业务需求,兼顾其他
相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频的
传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化
的发展的需要。
安全可靠性
为保证各项业务应用,系统必须具有高可靠性,尽量避免单点故障。要对结
构、设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠
性技术的基础上,在系统设计方案中要应用网络管理手段,保证接入网络用户身
份的合法性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与
网络安全保密等技术措施提高整个网络系统的安全可靠性。
灵活性和可扩展性
上网行为管理系统是一个不断发展的系统,所以它必须具有良好的灵活性和
可扩展性,能够根据企业不断深入发展的需要,方便灵活的扩展应用覆盖范围、
扩大存储容量和增加系统功能。具备支持多种网络协议、多种物理接口的能力,
提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本系统的基础设施的
作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,坚持统一规范
的原则,从而为未来的发展奠定基础。设备及端口模块的选型须满足国内外相关
的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。
经济性和投资保护
应以较高的性能价格比构建本系统,使资金的产出投入比达到最大值。能以
较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保
留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定
会日益繁重。所以在方案设计中,必须具备全面的网络管理解决方案。网络设备
必须采用智能化,可管理的设备,同时实现先进的分布式管理。最终能够实现监
控、监测整个系统的运行情况,合理分配资源、动态配置策略、可以迅速确定故
障点等。通过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维
护工作,从而为办公、管理提供最有力的保障。
因此,系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、
易用性等多方面综合考虑。
第4章 设计思路
通过针对企业信息网络业务需求分析,结合上网行为管理系统建设原则,总
结出本次方案的设计思路:
1. 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行
管理。
2. 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组
织架构,为后续网络管理奠定基础。
3. 通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进
行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。
解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,
提高企业员工工作效率,为企业带来效益增长。
4. 在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、
网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄
露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免
引起法律纠纷。
5. 通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有
效隔离内网,提高内网安全性。
6. 由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效
管理,在总部部署一台集中管理设备,对全网的上网行为管理系统进行
统一管理,降低管理成本,提高可管理性。
第5章 方案介绍
5.1 网络现状
拓扑图,目前网络结构描述
5.2 存在问题
(客户网络中存在的问题,简单描述)
(现有网络中缺乏上网行为管理手段,对于内部用户的上网行为无法控制,
存在较大管理漏洞。员工在网络上进行一些与工作无关的行为,如网上购物、玩
网络游戏、看在线视频等,占用大量的带宽资源,严重影响了个人及同事的工作
效率,给办公环境带来负面影响。
同时,网络中缺少上网行为审计措施,无法记录员工在网络上一些发微博、
写博客、发帖、上传文件、分享图片等行为,一旦出现了违法行为,企业将承担
所有法律责任。)
5.3 解决方案
通过在网络出口处部署上网行为管理系统(以下简称AC),对员工上网行为
进行精细化控制管理。(在内网部署上网行为管理系统,旁挂于核心交换机,在
核心交换机上通过端口镜像将上网流量引流到上网行为管理系统,从而实现行为
审计。)
5.3.1 部署方式
5.3.1.1 网关模式
AC以网关模式部署于网络出口处,对内网用户上网行为进行识别与控制。
AC在网关模式下,具有路由选路、NAT地址转换等路由器功能,在网络出口充
当“路由器”的角色,满足三层组网要求。针对外网有多条连接互联网线路时,
AC具备的多线路智能选路和多线路复用专利技术,可为出口的多条线路进行优
化选择和流量均衡分配,为企业出口线路提供优化的速度和平衡的流量负荷。
5.3.1.2 网桥模式
在核心交换机和防火墙之间部署AC,AC以网桥模式部署,实现对内网用
户上网行为管理,并且不用更改网络结构、路由配置以及IP配置,部署简单快
捷。(2台AC间启用多机同步功能,实时同步用户认证、会话、配置等信息,互
为冗余备份,提高系统可靠性。)
同时,AC具有Bypass功能,在网桥模式部署下关机、开机、重启或者出
现故障,则通过Bypass功能实现两端接口二层连通,避免出现链路断开状态,
保证业务持续性。
5.3.1.3 旁路模式
在内网部署上网行为管理系统,旁挂于核心交换机,在核心交换机上通过端
口镜像将上网流量引流到上网行为管理系统,从而实现上网行为审计。所有有关
的用户上网数据都将形成报表,存储在内置或者外置数据中心,为企业提供方便
快捷的日志查询工具。
5.3.1.4 统一部署
本次方案设计中,网络架构为“总部-分支”星型结构,由于在各个分支大规
模的部署了上网行为管理系统AC,数量多,地点分散,因此增加了管理难度。
为了有效提升管理效率,降低管理成本,在总部部署一台集中管理设备SC。通
过SC对全网范围内的AC进行集中式管理,统一下发策略和配置,有效降低管
理复杂性。
5.3.2 身份认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,
因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等
出现。
5.3.2.1 本地认证
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-
MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对
该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
5.3.2.2 外部认证
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等
认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够
获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避
免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从
而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
5.3.3 上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络
行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助
管理员掌控网络应用现状和用户行为,保障管理效果。
5.3.3.1 应用控制
互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行
识别。AC内置庞大应用特征识别库,包含1500多种应用,可识别目前网络中
各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知
应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应
用,从而对不同用户进行控制。
AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控
制,还能够通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工
具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,
在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势, AC的P2P智能识别技术基于P2P行为
进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对
不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬
带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,AC
内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、
基于不同目标行为进行灵活权限控制,实现人性化管理要求。
5.3.3.2 应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义
为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在
制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避
免错选漏选,提高管理效率。
5.3.3.3 网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开
放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、
反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,
需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实
时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户
可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,
保持URL识别库动态更新。
5.3.3.4 发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷
信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担
法律责任。
AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设
置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业
中出现泄密或者发表不良言论带来法律追究责任的风险。
5.3.3.5 邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支
持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改
后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与
审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email
邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件
日志进行查询、审计、报表统计等操作。
5.3.3.6 文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在
种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包
外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件
行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,
或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文
件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN
等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现
对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于
文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件
类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件
后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企
业的信息资产安全。
5.3.3.7 加密应用识别
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间
的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过
程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,
如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技
术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一
缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送
组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机
构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非
可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的
色情、反动站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥
防范网络钓鱼网站的方法”(专利号ZL2.1)具有对SSL加密内容
的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键
字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如
邮件发送行为,为组织打造坚固无漏洞的管理。
5.3.4 流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如
P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心
业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访
问。因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理
的分配。
5.3.4.1 多线路复用和智能选路
企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,
往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路,大小不一,
流量分配不均,达不到预期的使用效果。
AC拥有专利技术(ZL 2.9,一种基于网关/网桥的线路自动
选路方法),可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙,
其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合
理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访
问和传输速度。
AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、
互为备份、流量负载均衡。通过部署AC网关,可实现智能化选择最快的出口线
路,有利于上网速度的提升。
5.3.4.2 父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控
技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不
同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父
子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通
道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为
用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
5.3.4.3 P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密
P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借
P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来
将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵
占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些
P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然
不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被
丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不
到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽
然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的
相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控
功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制
和减少下行流量的效果,从源头处有效限制P2P流量。
5.3.4.4 动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网
站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据
应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,
不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带
宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题, AC提供了动态流控功能。用户可通过配置线路空闲阀值,
以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以
放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可
以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的
带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
5.3.4.5 虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链
路。在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量
分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或
是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能
识别和动态流控等技术,实现更灵活的带宽分配。
5.3.5 安全防护
AC在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是
一个和谐的内网环境。内网用户中毒,感染局域网,导致业务中断,这在很多企
业中曾经出现过。因此,通过AC安全防护功能,从外至内提供牢固的内网安全
防线。
5.3.5.1 网关杀毒、防火墙
作为一个全面的内网管理设备, AC提供了丰富的安全增值功能。AC集成
来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网
页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。管理员可自行设
置网关杀毒的选项,病毒库实时升级,帮助组织查杀病毒,支持杀毒引擎在线自
动升级,也支持用户手工升级病毒库。
AC具备强大的防火墙功能,不仅是对内网的环境保护,也是对设备自身的
一个保护,保证设备在内网中的稳定性。
5.3.5.2 危险行为识别
内网用户将PC带出企业,不小心中毒后极易引起局域网内PC瘫痪。中毒
PC通过外发邮件等信息散播蠕虫、木马等病毒,当其他用户接受这些看似正常
的邮件时,就会无意间受感染。AC通过危险行为智能识别、告警和阻断功能,
防止企业遭受来自内部网络的安全威胁,并及时告警,帮助管理员快速定位安全
隐患,及时响应,避免损失。
5.3.5.3 危险插件过滤
企业员工在访问互联网网页时,经常出现打开网页后,未等用户反应看清插
件名字时,插件已自动安装。部分插件提示用户安装,但用户在不清楚插件是否
合法的情况点了安装。随着电脑中安装插件的个数增加,用户电脑处理任务的速
度越来越慢,甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。因此,
AC在注重用户网络安全方面提出了危险插件过滤功能。
AC将判断插件的数字签名是否合法,插件是否被修改过数据,证书是否过
期等信息,自动过滤不合法的插件。同时,AC可设置信任插件,如常用的在线
杀毒插件、播放器插件、休闲娱乐插件等,避免误杀情况。
5.3.5.4 网络准入规则
AC的网络准入规则通过对客户端的评估来实现网络访问控制,并更好的维
护网络安全防线。准入的设计意义在于三个方面:
1. 仅靠网络边缘的外围设备已经无法保证安全性。
2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
3. 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更
新补丁、不安装防火墙和杀毒软件等,都成为局域网安全中的漏洞。
鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位
安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略,如
操作系统版本和补丁安装情况、杀毒/防火墙软件安装情况、系统进程、硬盘文
件、注册表等。不满足预设要求的接入端点,禁止其访问互联网或仅提交报告。
通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染
内网主机,利于企业推行统一的IT政策。
5.3.5.5 防ARP欺骗
ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大
量ARP欺骗数据包,从而导致整个广播域用户无法访问外部网络资源。
如何有效防控ARP欺骗是目前用户和业界的难题之一。AC通过网络准入
规则插件结合防ARP欺骗技术,保证终端用户安全和保障网络可用性。这不仅
避免了单独安装客户端软件的问题,而且网络准入规则技术还将进一步加强端点
安全级别,提升整个网络安全级别。
5.3.5.6 外发文件告警
数据泄密通常在HTTP、FTP、Email附件外发文件时会篡改、删除扩展名,
压缩、加密再外发。AC能够对外发文件进行深度识别,一旦发现文件后缀名被
篡改或删除则定义为安全威胁,并且执行报警工作。
5.3.5.7 自动告警
AC支持在一定时间段里内网用户流量超过一定阀值时,实现自动告警的功
能。例如当内网遭到DOS攻击、ARP攻击时,内网由DOS攻击、ARP攻击产
生的流量值会增加,当超过管理员设定的值时,自动告警提醒管理员内网安全存
在隐患,以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警,
AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的
自动告警。
5.3.5.8 防代理功能
部分员工为了逃避网络管理员对他的网络管控,通过使用代理、翻墙软件,
越过网络规章制度,毫无顾忌的上网,给企业的网络管理和内网安全带来了一定
的威胁。
AC可自动识别内网中使用代理、翻墙软件的终端,可对HTTP代理、
SOCKS4、SOCKS5代理实行控制,禁止在HTTP协议和SSL 协议标准端口使
用其他的协议,从浏览器的根源处防止代理行为的发生。一旦用户使用自由门、
无界浏览器,AC将自动记录并阻断代理违禁行为,避免出现泄密和网络不可控
的事件发生。
5.3.5.9 安全桌面
通过对网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安
全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使
网络安全达到一定的安全目标。
本方案采用AC的上网安全桌面功能进行安全防护。管理员直接通过登录
AC,对内网中的用户进行上网安全桌面策略配置管理,并统一下发策略。管理员
可以设定用户网络访问控制、文件目录访问控制以及文件导出等功能,保证内部
网络及电脑的安全,避免病毒、木马等侵入系统。
上网安全桌面功能采用了沙盒技术,在PC终端上创造一个安全的虚拟桌面,
用户只能通过这个虚拟的安全桌面上网,在访问外网的过程中,在这个环境里所
做的任何对文件、注册表的修改都被重定向,原始的文件和注册表不会被改动,
关闭安全桌面后所有改动操作被删除。
安全桌面与AC形成端到端的企业级安全解决方案,通过设置不同的上网权
限,将内网与风险重重的互联网隔离开,保障内网PC与企业信息、个人隐私安
全,再结合其内置的危险插件和恶意脚本过滤等创新技术,实现立体式安全护航,
确保安全上网。保护用户办公电脑与内部网络系统的安全。
上网安全桌面主要功能包括:
网络访问权限控制
针对常见的内网安全问题,在AC上通过配置放行的IP或域名,控制默认
桌面跟上网安全桌面各自允许访问的网络。
上网安全桌面会隔离虚拟环境访问主机的文件系统,从而也隔离了来自互
联网的木马程序窃取本机文件的途径,保护了本机文件重要资料的安全。
用户通过上网安全桌面访问外部互联网,通过默认桌面访问内网,实现双网
隔离。采用逻辑隔离手段比物理隔离布放成本低,效果好,维护费用低,在充分
享用信息交互的同时保障了内网信息的安全。
目录访问权限控制
通过目录访问权限控制功能设置安全桌面可访问的默认桌面目录,限制对某
些目录的访问,保证个人隐私、企业机密信息安全。一旦用户中了木马,也不用
担心电脑中的机密信息被窃取,因为安全桌面内的所有程序只能访问特定的系统
文件夹,无法看到机密信息,让黑客无从下手。
文件导出权限控制
在保证用户电脑及内网安全的同时,考虑到用户使用安全桌面时的便捷性,
可在有文件导出权限的情况下,将安全桌面内的文件导出到默认桌面保存,避免
重启安全桌面后文件丢失。
通过AC的上网安全桌面功能,能够实现:
有效保护内网信息
沙盒技术已经是成为业界公认的一种安全技术,已经被各行业产品应用于安
全防护。它不仅能解决传统杀软的病毒库小、查杀病毒滞后性的问题,而且能解
决传统防病毒厂商无法解决的防止网页挂马、恶意插件的攻击。在特殊环境下,
安全桌面及时中毒,也不会感染到默认桌面,因为病毒木马在安全桌面关闭后,
所有的数据都将清除,病毒木马在虚拟的环境产生,也将在虚拟的环境中消失。
降低建设和维护成本
传统防范互联网风险的解决方案需要在网络出口处部署防火墙,在终端部署
杀毒软件,不仅投入了大量的资金成本,同时后期IT管理员对于设备、软件的
维护、升级工作,工作量大,维护成本高。
上网安全桌面解决方案,不需要再部署防火墙及终端杀毒产品,只需要在原
有的PC上安装上网安全桌面客户端,管理员在上网行为管理上通过设置策略实
现网络访问的安全。因此无论在投入成本还是在维护成本上,相对于传统方式会
成倍的减少。
提高用户体验
安全桌面在提供严密的安全防护基础上,也给用户提供了大量易用的功能。
例如ActiveX控件的代理安装、Cookie自动保存、安全桌面文件导出等。
ActiveX控件是IE的一个重要特性,在国内使用也是非常广泛的。在IE发
现需要安装控件的时候,安全桌面先进行检测,看这个控件是否在允许的范围内。
如果在,那么我们将记录安装所必须的信息,然后将这些信息发送给默认桌面的
另一个安全桌面组件,让这个组件来执行真正的安装工作。
Cookie自动保存功能可以帮助用户在退出安全桌面以后,下次再次启动仍
然可以使用上次记录的登陆信息等。例如用户登陆过了新浪微博,然后用户退出
安全桌面,下次启动以后就可以自动帮助用户登陆成功了。
当用户在安全桌面使用互联网,需要将文件保存时,可以向管理员申请文件
导出的权限。管理员在AC上做策略后,用户就可以把文件导出到默认桌面了。
端到端便捷管理
大多的杀毒软件产品提供的并非企业级解决方案,所以在组织中强制每个用
户去安装并及时更新杀毒产品,是一件非常困难的事情。而位于终端的上网安全
桌面与AC组成了端到端的企业级管理解决方案。IT管理员通过AC向终端安全
桌面统一下发网络和数据访问权限策略,实现了终端安全的统一管理,简单方便。
5.3.6 行为审计
许多企业网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工
日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公
开,给企业将带来泄露商业机密、触犯法律风险等违规违法的隐患。当这类事情
出现的时候,为了在最短的时间内找到网络违法的当事人,避免由企业承担相应
法律责任。因此,通过AC的应用审计功能,详细记录员工的日常上网行为。
5.3.6.1 实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、
上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆
数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用
流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户
排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况
的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
5.3.6.2 全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网
行为,同时也作为追查依据。
网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记
录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、
收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均
能详细记录其聊天内容。
微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全
面记录,准确还原发帖内容,提高可读性。
SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,
AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审
计功能。
5.3.6.3 数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量
存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行
为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投
递等功能,方便IT部门将统计结果向高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及
阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、
泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖, AC还支持进行热帖排名,只准看贴不准发帖的灵活管控
方式。
通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜
索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动
Email投递功能,极大的方便了管理者的使用。
5.3.6.4 免审计Key
机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信
息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上
为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从
底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审
计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
5.3.6.5 日志审查Key
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心
中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导
的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成
不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能
以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key
的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权
限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
5.3.7 系统集中管理
本次方案设计中,由于大规模的部署了上网行为管理系统AC,数量多,地
点分散,因此增加了管理难度。为了有效提升管理效率,降低管理成本,在总部
部署一台集中管理设备SC。通过SC对全网范围内的AC进行集中式管理,统一
下发策略和配置,有效降低管理复杂性。
5.3.7.1 方便快速的部署
在全网实施多台AC上网行为管理系统时首先遇到的是如何快速方便部署
的问题。由于多数分支机构并没有专业IT人员负责设备的配置、调试等操作,
同时如果从总部派遣IT人员到分支机构实施无疑增加了额外成本和导致项目周
期过长。因此,需要通过SC集中管理平台解决该问题。
分支机构人员只需简单配置AC设备的IP、网关、路由等基本网络信息,确
保AC能够与Internet连通后,将总部SC的地址填入即可。在总部SC与分支
AC建立连接后,分支AC设备的所有其他配置选项完全可以通过总部SC实现
配置和管理,无需分支人员在参与,从而帮助企业快速、方便的部署多台AC网
关设备。
5.3.7.2 集中管理
通过使用SC集中管理平台,总部可以将全网的成百上千台AC上网行为管
理网关设备集中管理。总部的IT管理人员通过编辑SC“复制模板”上的相关配
置,并通过一次鼠标点击实现全网指定AC设备上相关配置的统一和更新,既方
便了管理同时又确保了策略的一致性。
而对于某些分支AC设备上部分配置较“个性化”而与其他分支AC不同时,
IT管理者同样可以通过SC对此类AC设备进行单独编辑和配置的单独下发。从
而实现集中化和个性化的灵活性要求。
5.3.7.3 分级管理
SC集中管理平台支持管理员分级管理。将分支AC设备划分到SC的不同
“区域”中,SC上配置的不同管理员将具有不同“区域”的管理权限,具体权
限划分包括Read-Only只读权限和Read-Write读写权限之分。同时SC支持
将指定的分支AC设备的不同功能模块的修改权限下放给分支本地管理员,从而
实现总部管理员、“区域”管理员、本地管理员的分级管理结构,强化了管理的
灵活性。
5.3.7.4 实时监控
部署于总部的SC集中管理平台通过集中监控模块可以查看全网所有分支
AC设备的运行状态,包括该分支AC设备是否在线、CPU利用率、内存占用率、
数据包收发统计等信息。通过SC的集中监控功能,总部IT人员可以实时发现分
支机构AC的运行状态,及时定位问题所在,为全网用户提供一个更稳定、更高
效的互联网访问环境。
5.3.7.5 智能升级
SC集中管理平台的智能升级功能通过加载升级包,设定时间计划,并勾选
需要升级的分支AC设备,SC将自动完成升级工作,并通过实时监控模块显示
被升级的分支AC设备的运行状态、是否在线等情况,极大的方便和简化了IT人
员的工作量。
5.3.7.6 日志集中
各分支机构部署的AC网关已经内置大容量存储设备,以此可实现大量上网
行为日志的本地存储,并通过AC内置数据中心方便对日志的查询、记录、统计
等操作。同时分支AC网关上记录的行为日志还可以集中同步到总部实现日志的
集中管理与存储,同时通过总部的独立数据中心功能,通过多种图形化报表统计
系统实现对用户上网行为分布的知悉、对分支机构网络出口带宽、流量TOP N
应用的了解、对关键行为日志的快速检索和定位等功能。
用于管理全网众多AC网关设备的SC集中管理平台同样为大型组织机构提
供了稳定、可靠、功能完善的集中管理解决方案,帮助组织实现更高效、可控、
客观的全网上网行为管理。
通过统一的策略的制定与下发,统一集中的设备管理方式保证企业各个环节
严格按照总部的相关要求进行上网活动,SC设备动态组网和多线路技术保证集
中管理的稳定可靠运行,从而保障系统网络的畅通运行,另外通过强身份认证的
方式保证了系统日志信息的安全,为机构的保密提供了更好的保障。这样真正帮
助客户实现了细致而全面的上网行为管理。
5.4 应用价值
通过在网络出口部署深信服上网行为管理系统AC,对企业网络的进出数据
流量进行管理。
5.4.1 提升工作效率
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上
微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者
实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司
门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传
文件而引入病毒和向外泄密。面对的众多IM软件, AC通过检测应用数据包的
特征字段,实现对IM聊天软件的管控,提升工作效率。
全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂
机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、
网络游戏等问题,AC支持应用识别规则库,包含1500多种应用,对员工上网
行为进行全面管理。
上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用
户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户
超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,
不要从事与工作无关的网络活动。
5.4.2 提高带宽利用率
多线路策略
AC支持多线路复用、带宽叠加技术(专利号:2X),企业通
过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技
术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。
P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不
起作用。AC提供P2P智能识别专利技术(专利号: 2.8),不仅能
识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。
而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许
用户使用P2P,又不会滥用带宽。
动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动
调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单一、死板
的流控方法更有效的提升带宽利用率。
带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图
形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽
资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智
能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网
站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
5.4.3 避免泄密和法律风险
在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网
上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企
业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使
发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够
在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应
法律责任。
同时,上网安全桌面根据规则对本机文件数据进行了隔离,安全桌面内的任
何程序试图获取本机被隔离文件数据的行为都将被禁止,防止终端被木马入侵后
文件信息遭窃取,从而帮助用户有效保护了敏感数据的安全性。
5.4.4 保障内网安全
防病毒
内网用户在访问internet时,常常会无意中下载到一些包含恶意病毒的文
件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃,使员
工无法正常工作。而如果在上网过程中使用上网安全桌面,则可以有效的防止这
些病毒程序对本机造成破坏。
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件
与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文
件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的
不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、
安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。
同时,AC具有网关杀毒功能,集成来自欧洲领先病毒厂商F-PROT杀毒引
擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网
用户感染病毒的风险。
拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站
中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜
索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网
页的全面过滤,降低内网用户访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋
势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白
名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、
邪教、钓鱼网站等的过滤。
插件、脚本过滤
网络上“危机四伏”到处存在安全隐患,使得用户防不胜防。AC的脚本过
滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小
心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的
情况发生。
由于网络应用的不断发展,网页上提供的功能越来越多样化,要求用户安装
插件的情况越来越普遍。AC支持插件过滤,能够根据插件的名称、签名、证书
等过滤掉IE插件,同时也能识别下载的文件中隐藏的插件。从而避免用户上网
被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况,阻止恶意监
控软件盗取个人信息、企业机密。
文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指
定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL
地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感
染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,使
整个网络瘫痪。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、
FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查
杀该文件中潜藏的病毒、木马。
修复内网安全短板
根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要
求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所
有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网
站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个
内网用户群。借助网络准入规则技术(专利号:2.1),AC将检测
接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指
定安全软件,就不允许接入Internet,从而修复内网安全短板。
防DOS、防ARP欺骗
即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC
能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。
传统防火墙等无法防御来自内网的DOS攻击,而AC通过检测流量和异常网络
行为等技术,彻底防御来自外网和内网的DOS攻击。
ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC
地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位
故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP
欺骗功能组件,保障用户网络的可用性和可靠性。
5.4.5 降低管理成本
由于大规模部署了上网行为管理系统,如果企业对各个分支的AC进行逐一
管理,必定增加大量不必要的管理成本。因此,为了对整体系统实行有效管理,
在总部部署一台集中管理设备,对全网的上网行为管理系统进行集中管理,统一
下发配置,降低管理成本,提高可管理性。
同时,SC-AC集中管理方案支持强、弱管理结合,各分支可根据当地实际情
况,对系统策略进行个性化调整,以满足实际需求,提高管理灵活性。
发布评论