一.互聯網對組織提出挑戰
過去,員工通過與同事閑聊來打發上班時間。隨著計算機和互聯網的普及,員工有了更多的選擇,網上購物、與好友聊天、下載手機鈴聲、在線欣賞音樂、下載電影、收發個人郵件、在論壇上舞文弄墨……。只要員工有興趣,他們就能在上班時間盡情享受互聯網帶來的樂趣。
很多員工一打開電腦就會自覺地開始各種下載工作,包括BT、電騾、迅雷這些網絡資源的“吞噬者“,這些員工在大量下載電影和軟件的同時卻在不停地抱怨網速太慢!同時,不管員工有意還是無意,他們都能夠而且有辦法去訪問一些對組織網絡基礎設施有害的內容,帶來的病毒、蠕蟲和木馬,都可以隨著簡單鼠標點擊輕而易舉的侵入內網。一些員工利用上班時間訪問內容偏激的網站甚至組織、參與非法網絡活動。
二.AC給用戶帶來的價值
深信服科技(SINFOR)的AC產品帶來了全面而細致的互聯網行為管理解決方案。在此,我們通過對AC在管理網絡帶寬、保障內容安全、提高生產效率和規避法律風險這四個方面來具體闡述其為用戶帶來的商用價值。
管理網絡帶寬
網絡流量管理
P2P軟件的控制
帶寬優化和多線路策略
ü 保障內容安全
攔截不良網頁
文件傳輸控制
ü 提高生產效率
URL匹配策略
IM(即時通訊)軟件的管理
對各種應用的管理
上網時間管理
ü 規避法律風險
外發信息控制
保護版權資料
法律遵從和舉證
三.功能實現
3.1 有效進行部門規劃
首先根據職能部門來劃分用戶組。有些部門由于物理環境的限制無法獲取連續的C類地址,但這不會影響AC的使用,只需要繼續添加。對于某些不屬于特定部門的人群,可以另外建組。
3.2 建立身份認證體系
3A(認證,授權和審計)是組織安全基礎設施的基礎,將對用戶和內容進行有效的
保護和控制。基于內網的安全的認證機制還需要進一步完善,需要管理局域網中所有用戶的Internet訪問。
身份認證主要有兩種方式,免客戶端認證和客戶端認證,AC中的Web認證屬于前者。Web認證通過瀏覽器即可完成全部認證,即使對計算機操作并不熟悉的用戶也能夠理解和操作,很好提高了操作的互動性和彈性。
AC支持多種認證方式,除了通過用戶名/密碼、IP/Mac認證外, AC的Web認證還可以透明結合Radius、LDAP、POP3等認證服務系統進行用戶身份校驗。IP/Mac認證可以通過AC自帶的局域網掃描功能實現。對于后幾種認證手段,只要在AC中正確填入域、活動目錄和郵件服務器的地址和端口,AC將自動更新用戶列表和策略,這對建立了完善的內網認證體系的用戶非常方便。
3.3 開始分析網絡流量
當用戶通過認證系統的身份校驗后,AC將為不同的用戶組進行授權,將系統管理員設定的策略同用戶的標識相對應。在AC中,這些規則的制定主要從保護、控制和監控出發,并將這些規則和用戶有機地結合在一起,進而形成一套完整的訪問控制策略。
當局域網中的用戶通過了認證、授權后,你往往要面臨嚴峻的廣域網帶寬使用問題。好的改變方法是部署基于廣域網的加速設備。
AC的網絡數據中心(Network Data Center, NDC)是一種統計分析工具,它可以記錄局域網用戶訪問Internet的所有流量。
3.4 優化帶寬資源
在不能改變狹窄帶寬的前提下,需要去適應帶寬,進而優化帶寬。
首先可以考慮使用AC的QOS和帶寬疊加功能,AC將對廣域網的帶寬優化起到有效作用。QOS的設定有助于那些要求高傳輸質量、低時延的服務取得優先的帶寬。
而帶寬疊加技術作為深信服科技的一項專利(專利號:200310112006X),已被直接用在AC上網行為管理這條產品線了。通過綁定多條ADSL或專線,可以獲得更大的出口帶寬,當多條ADSL綁定時,可以獲得超過單條FTTX的帶寬,而其費用卻遠遠低于后者。這對于撥號和xDSL資費低廉而且專線線路難以申請的地區尤其有吸引力。、
更具效力的網絡流量優化方式是AC的基于用戶的流量控制技術(User-Based Traffic Control, UBTC)。在廣域網的訪問中,有些部門的特殊應用是應該而且必須獲得獨占性資源的,而有些部門的非工作相關服務本不應獲得更高的帶寬。通過AC的分組流量控制,可以對不同用戶組使用的服務進行精細到以K/Bps為單位的帶寬分配,保障重要部門的重要服務得到足夠帶寬,使非重要的服務受到合理的流量限制。
當管理員對互聯網的使用情況有了大致的了解后,可以針對用戶組的行為做出進一步的管理和控制。
3.5 網頁瀏覽的控制
網頁的瀏覽是互聯網訪問的主要內容。一方面,組織的管理者不希望給辦公室營造監獄一樣的環境,為了使員工得到更好的心情和滿意度,組織需要一個人性化的環境。另一方面,員工對互聯網的濫用的確帶來了嚴重的生產力流失。
在AC的內置庫中有著數百萬的URL資料,分為新聞、音樂、視頻、成人、財經、教育、科技等條目。在局域網中的用戶瀏覽網頁時,AC的聯動式分析系統(Link Analysis System, LAS)將發揮作用。通過LAS技術,AC將根據網頁的內容、用戶可管理的關鍵字組、網頁中包含的文件類型進行聯動式分析,并根據AC默認的設置、管理員自定義的過濾規則對用戶需要訪問的網頁進行過濾。
同時,AC還可根據工作時間,季節等最時間進行兼具計劃性和靈活性的劃分。
3.6 管理即時通訊工具
不斷成長壯大的IM已經成為了事實上的企業通訊標準。 然而,IM的大量使用也造成了生產力的流失和機要信息的泄露。
AC可以提供對IM軟件從禁止、監管、再到安全性審查的解決方法。
3.7 應對BT類軟件
P2P技術對帶寬資源的爭用使局域網有限的帶寬被耗盡, P2P的封堵應該是所有安全網關都需要關注的問題。
AC可提供兩種封堵方法,一種是基于應用協議和數據包的分析,另一種是針對流量進行檢測。
首先,AC的深度內容檢測服務(Thorough Content Detection, TCD)可以對BT類應用的數據包進行深入檢測。TCD通過分析IP數據包首部的服務類型、協議、源地址、目的地址以及數據包的數據部分,實現了從四層到七層的全面內容檢測,能夠更好的發現哪些服務是P2P類應用,而不再使封堵僅限于對端口的分析和封鎖。
由于TCD技術將對數據包進行深入分析,當內網用戶發出的會話較多時,網關設備也將花費較多的資源來處理更多的數據包。為了避免大量的數據包分析帶來的資源消耗, AC采用了網絡流量智能分析技術(Network Traffic Intelligence Analysis , NTIA)。區別于端口封堵和內容檢測,NTIA技術將對每一個用戶和用戶組的網絡連接情況進行分析,當網絡流量和網絡連接超出AC規定的閥值時,用戶的P2P行為將被限制流量。
一些P2P封堵技術實現了對某些BT類應用的“杜絕”,例如Cisco采用的NBAR,NBAR將對BT和電騾產生的數據包丟棄而不是管理,但更理想的方式應該是合理的利用P2P技術為我們的資源共享服務。上面提到的深度內容檢測(TCD)和網絡流量智能分析(NTIA)都能夠提供給用戶更多的選擇。當AC確認某些用戶在下載P2P文件時,網管員可以采取三種策略,首先是允許下載,這是對VIP和緊急用戶的特權選項;其次是拒絕,你可以選擇對某項P2P服務徹底封堵;最后是流量控制,即內網的用戶可以使用P2P類軟件,但他們產生的流量和連接能夠被控制在一個可以接受的范圍之內。
3.8 控制其他的網絡應用
Internet上的網絡行為還遠遠不止以上提到的內容。需要管理者關注的還有網絡游
戲、在線視頻(MMS、HTTP Streaming、RTSP等)、在線炒股等應用。
AC的深度內容檢測(TCD)已經自帶了眾多應用程序的數據特征文件,通過對用戶組的訪問控制設定,你可以輕易地允許或者拒絕內網用戶訪問特定的網絡服務。作為一種面向客戶的開放式解決方案,AC提供給用戶更豐富的自定義功能。在TCD的高級設置中,AC允許有編程基礎的網絡管理員添加、修改和導入自定義的網絡應用規則。如果局域網內有人使用非公開工具進行不正當活動,通過分析其工具的數據內容,AC同樣可以實現封堵和控制。
3.9 防止機密泄露
在FTP的防護措施上, AC可以通過關鍵字和文件類型的設定來限制FTP的傳輸內容,對于內網通過FTP上傳到公網的內容,AC將進行記錄和保存,以便更好的對違規、違法員工進行網絡行為追蹤,進而更好的保護組織資產。
在郵件的發送中,AC可以啟用郵件延遲審計(Postponed Sending after Audit , PSA),通過PSA技術,內網的郵件將收到更為細致和全面的審查,以避免機密信息的不慎或有意泄露。具體內容您可以參考下一章的“郵件延遲審計技術”介紹。
BBS的訪問主要分為Web登錄和Telnet登錄,對于Web方式的訪問,AC同樣可以通過對關鍵字的審計來限制內網用戶的發帖行為;而對于Telnet方式的登錄,AC亦可以記錄命令的詳細內容,以供后期的審查使用。
3.10更多的安全機制
VPN/防火墻
反垃圾郵件
入侵防御系統
防DOS攻擊系統
網關殺毒
四.領先的技術優勢
強大的功能源自技術的持續創新。在本章節,您將了解到AC的一系列深入用戶需求的標桿性技術。
4.1 郵件延遲審計(PSA)
AC集成的基于網關的郵件延遲審計技術(Postponed Sending after Audit, PSA)為企業級用戶提供了郵件內容防護的可靠途徑。PSA采用了郵件轉移技術,內網用戶發送的郵件會首先被AC網關轉移至網關的郵件緩存區,郵件審核人員通過系統口令訪問郵件緩存區并審核郵件正文及其附件,那些涉及到機密信息、侵犯性語言、非法URL、個人隱私的郵件將被返回給發件人或者丟棄。而這一審核過程對局域網中的用戶是完全透明的,郵件的發送過程和以往并沒有任何不同。
還可以對PSA做細粒度的審核機制,例如需要進行郵件審核的發件人、收件人以及郵件的特征。
PSA提供對收件人和發件人名單的編輯。你可以對特定部門和特定員工啟用審核功能,因為你的老板也許不希望自己的郵件行為受到他人監控。
而郵件特征的定義細致了PSA的對象定義粒度。你可以調整需審核郵件的正文和附件大小以及郵件的關鍵字特征。
由于PSA涉及到人工的審核操作,所以郵件的延遲發送時間也是可控的,當有郵件進入緩存區等待審計時,AC將通過郵件等方式通知郵件審核人員,如果郵件審核人員在長時間沒有登錄審計,待審計郵件將被AC自動發出,避免重要郵件被延誤。
4.2 網絡準入規則(NAR)
AC的網絡準入規則(Network Admission Rules, NAR)通過對客戶端的評估來
實現網絡訪問控制,并更好的維護網絡安全防線。
NAR的設計意義在于三個方面。
首先,僅靠網絡邊緣的外圍設備已經無法保證安全性。提供邊界防御的安全網關無法保護內部網絡段,也無法替代內容安全防護措施。即便組織的網絡出口處運行著防火墻等網絡周邊安全設備,病毒和蠕蟲、特洛伊木馬、等基于內容的惡意行為仍頻繁滲入組織內網。
其次,邊緣網關設備無法防止來自局域網內部的濫用、攻擊和破壞。同時,日益提高的安全過濾和控制要求,以及不斷增加的帶寬需要,也給網關性能帶來很大壓力。
最后,客戶端的安全級別往往難以保證,這對于內網用戶數量眾多的組織更為如此。使用版本陳舊的操作系統、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件,這些都將成為局域網安全中的“短板”。
基于此,AC的NAR通過對端點安全評估和訪問策略列表來實現全方位的安全防護。
4.3 數據中心(NDC)
AC的數據中心(Network Data Center, NDC)提供了基于用戶的最完整的互聯
網訪問記錄。
通過使用NDC,組織的管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態,NDC將網絡使用情況自動生成報表并統計出網絡訪問的趨勢,以幫助系統管理員更好的維護和管理網絡。
不同于其他內容安全設備的日志系統,NDC可提供更豐富和更具擴展性的互聯網內容訪問記錄。
NDC可以根據組、用戶、規則和協議進行多向查詢,并可生成餅狀圖、柱狀圖和曲線圖等方式,使內網日志一目了然。對于日志的統計對象,NDC提供了對流量、郵件、網絡監控、準入規則(NAR)、IPS、防火墻、日志庫、用戶信息等9大對象的統計和查詢。
NDC系統是一個可移植的日志平臺。大規模的局域網訪問將產生大量的網絡日志,一個PC數目以K(千)為單位的局域網,其一天內的互聯網訪問日志也將程指數倍增加。AC內置的NDC系統可以移植到專門的日志記錄服務器中,這將給組織帶來多種好處。
NDC提供對日志記錄的導出和在線打印,你可以把統計和查詢結果打印成文本,使對內網情況的報告更加方便,也更便于日志的儲存。
AC支持異地管理和維護,NDC同樣也能夠查詢遠程的網絡情況。這對于有多個分支機構的組織來說極為方便,管理員可以在通過Web方式實時地了解不同分支機構的網絡運行狀況和網絡行為日志,并將日志記錄統一導出,形成整個組織的網絡行為分析記錄,進而制定出細化的、多層次的安全策略。
4.4 單點登錄技術(SSO)
值得肯定的是, AC產品線的開發人員將單點登錄技術同認證機制結合在了一
起,讓通過域認證的用戶可以更加方便的實現Web認證。
單點登錄技術(Single Sign On, SSO),通過在AC的活動目錄中配置單點登陸選項,當你的主機登陸到域中便自動通過了Web認證,而不需要重復輸入用戶名和密碼。
同樣,POP3的認證也實現了單點登錄。構建了郵件服務器的用戶都有一套郵件帳號,當AC把郵件服務器的帳號導入后,用戶每次使用Web認證時只需要輸入郵件的帳號即可訪問互聯網。另外,AC考慮了更人性化的措施。當內網用戶使用Outlook、Foxmail等郵件客戶端成功登錄到郵件服務器后,他(她)將自動通過Web認證。
4.5 反釣魚網站功能
AC內置的SSL庫內置了可信任證書頒布機構列表,并可對SSL連接的證書內
容進行可信度評估,如身份驗證機構的標識信息、證書有效期、證書持有人的公鑰、證書的簽名和算法。當釣魚網站采用了偽造的數字證書來騙取內網用戶信任時,AC可以判斷出其本來面目并進行阻斷,避免組織成員蒙受經濟損失。
4.6 代理服務器識別
很多組織的內網用戶通過Microsoft ISA、Sygate、CCproxy等代理服務器(Proxy
Server)上網,這些軟件在完成其代理任務的同時也給其他安全設備的管理帶來了困難。由于防火墻、內容控制等設備對內網用戶的管理是基于目的地址和端口的,當內網用戶通過代理上網時所有數據是發向代理服務器的,這將使防火墻、內容控制設備的某些模塊無法正確識別內網數據的真正流向,進而失去應有的防護作用。
對于通過Proxy Server代理上網的情況,AC可以很好地適應并發揮其作用。AC提供給網絡管理員一個可編輯的界面,以將網絡出口情況定義給AC的控制系統,AC的控制系統通過正確識別用戶的網絡拓撲而做出正確的判斷和管理。
4.7 智能排障技術(IBF)
AC的狀態監測防火墻支持虛擬測試(Virtual Test)功能,網管員可以在AC提供的虛擬網絡環境下測試各項配置,以得到配置在實際網絡中的運行效果。
而AC的智能排障(Intelligent Barrier-Free, IBF)技術幫助管理員查找錯誤配置的源頭。當內網的某個用戶或用戶組出現無法正常上網、個別網絡應用不能正常運行時,網管員都可以借助IBF來反向查詢障礙的原因,查詢數據包是否被網關的某個模塊攔截,為何被網關攔截,或者其他產生故障的原因等等,進而可以幫助網管員盡快的檢查出問題的癥結所在,迅速的排除和解決障礙。
五.AC產品部署方式
在深信服科技(SINFOR)的數千個用戶中,從沒有發現過兩個完全相同的網絡環境。作為保護組織網絡資源的核心設備,AC考慮到了各種可能的網絡拓撲,并力求部署的最簡化。
穿透式(Pass-Through)部署
穿透式部署將設備部署在局域網的主干部分以處理流經設備的數據流
網關(Gateway)模式
網關模式適用于希望通過AC產品來實現所有的審計、控制和攔截功能,且對網絡
拓撲的更改不敏感的用戶。
網關模式將SINFOR AC作為局域網的出口網代理內網PC上網,除完成AC的管理控制功能外還可以實現NAT、路由和防火墻等網絡與安全功能。
部署方式:AC的WAN口與廣域網的接入線路相連,一般是光纖、ADSL線路或者是路由器,AC的LAN口(DMZ口)同局域網的交換機相連,內網的PC將網關指向AC的局域網口,進而通過AC代理上網。
網橋(Bridge)模式
網橋模式適用于希望對內網完全監控、控制和管理,且不希望更改局域網的任何網絡地址的用戶。
網橋模式將SINFOR AC等同于一根連接在網關和交換機之間的“智能網線”,可以對所有流經AC的數據流進行審計、管理和控制。
部署方式:AC的WAN口同局域網的網關相連,LAN口(DMZ口)同局域網交換機連接。局域網內的任何網絡設備和PC都不需要更改IP地址。
旁路式(Pass-by)部署
旁路式部署將設備與交換機的鏡像口相連,用于監聽局域網中的數據流
旁路(Pass-by)模式
旁路模式適用于希望通過AC來實現內網監控和審計的用戶。
旁路模式的部署不需要對內網拓撲作任何改動,使實施難度最低。而由于內網數據流不需要流經AC設備,避免了網絡主干中設備過多引發的網絡處理性能下降,也降低了網絡單點故障的發生幾率。
部署方式:在出口交換機中配置鏡像端口,將AC的廣域網口同鏡像端口相連,實現對內網數據包的監聽。