典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案.docx

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案典型中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案意見征詢稿Hillstone Networks Inc.2010年9月29日目錄1前言41.1方案目的41.2方案概述42安全需求分析62.1典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析62.2典型中小企業(yè)網(wǎng)絡(luò)安全威脅82.3典型中小企業(yè)網(wǎng)絡(luò)安全需求102.3.1需要進(jìn)行有效的訪問控制102.3.2深度應(yīng)用識別的需求112.3.3需要有效防范病毒112.3.4需要實現(xiàn)實名制管理112.3.5需要實現(xiàn)全面URL過濾122.3.6需要實現(xiàn)IPSEC VPN122.3.7需要實現(xiàn)集中化的管理123安全技術(shù)選擇133.1技術(shù)選型的思路和要點133.1.1首要保障可管理性133.1.2其次提供可認(rèn)證性133.1.3再次保障鏈路暢通性143.1.4最后是穩(wěn)定性143.2選擇山石安全網(wǎng)關(guān)的原因143.2.1安全可靠的集中化管理153.2.2基于角色的安全控制與審計163.2.3基于深度應(yīng)用識別的訪問控制173.2.4深度內(nèi)容安全(UTMPlus)173.2.5高性能病毒過濾183.2.6靈活高效的帶寬管理功能193.2.7強(qiáng)大的URL地址過濾庫213.2.8高性能的應(yīng)用層管控能力213.2.9高效IPSEC VPN223.2.10高可靠的冗余備份能力224系統(tǒng)部署說明234.1安全網(wǎng)關(guān)部署設(shè)計244.2安全網(wǎng)關(guān)部署說明254.2.1部署集中安全管理中心254.2.2基于角色的管理配置294.2.3配置訪問控制策略304.2.4配置帶寬控制策略314.2.5上網(wǎng)行為日志管理334.2.6實現(xiàn)URL過濾354.2.7實現(xiàn)網(wǎng)絡(luò)病毒過濾364.2.8部署IPSEC VPN374.2.9實現(xiàn)安全移動辦公385方案建設(shè)效果381 前言1.1 方案目的本方案的設(shè)計對象為國內(nèi)中小企業(yè)，方案中定義的中小型企業(yè)為：人員規(guī)模在2千人左右，在全國各地有分支機(jī)構(gòu)，有一定的信息化建設(shè)基礎(chǔ)，信息網(wǎng)絡(luò)覆蓋了總部和各個分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)有支撐企業(yè)運營的ERP系統(tǒng)，支撐企業(yè)員工處理日常事務(wù)的OA系統(tǒng)，和對外進(jìn)行宣傳的企業(yè)網(wǎng)站；業(yè)務(wù)集中在總部，各個分支機(jī)構(gòu)可遠(yuǎn)程訪問業(yè)務(wù)系統(tǒng)完成相關(guān)的業(yè)務(wù)操作。根據(jù)當(dāng)前國內(nèi)企業(yè)的發(fā)展趨勢，中小企業(yè)呈現(xiàn)出快速增長的勢頭，計算機(jī)系統(tǒng)為企業(yè)的管理、運營、維護(hù)、辦公等提供了高效的運行條件，為企業(yè)經(jīng)營決策提供了有力支撐，為企業(yè)的對外宣傳發(fā)揮了重要的作用，因此企業(yè)對信息化建設(shè)的依賴也越來越強(qiáng)，但同時由于計算機(jī)網(wǎng)絡(luò)所普遍面臨的安全威脅，又給企業(yè)的信息化帶來嚴(yán)重的制約，互聯(lián)網(wǎng)上的黑客攻擊、蠕蟲病毒傳播、非法滲透等，嚴(yán)重威脅著企業(yè)信息系統(tǒng)的正常運行；內(nèi)網(wǎng)的非法破壞、非法授權(quán)訪問、員工故意泄密等事件，也是的企業(yè)的正常運營秩序受到威脅，如何做到既高效又安全，是大多數(shù)中小企業(yè)信息化關(guān)注的重點。而作為信息安全體系建設(shè)，涉及到各個層面的要素，從管理的角度，涉及到組織、制度、流程、監(jiān)督等，從技術(shù)的角度，設(shè)計到物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和運維層，本方案的重點是網(wǎng)絡(luò)層的安全建設(shè)，即通過加強(qiáng)對基礎(chǔ)網(wǎng)絡(luò)的安全控制和監(jiān)控手段，來提升基礎(chǔ)網(wǎng)絡(luò)的安全性，從而為上層應(yīng)用提供安全的運行環(huán)境，保障中小企業(yè)計算機(jī)網(wǎng)絡(luò)的安全性。1.2 方案概述本方案涉及的典型中小型企業(yè)的網(wǎng)絡(luò)架構(gòu)為：兩級結(jié)構(gòu)，縱向上劃分為總部與分支機(jī)構(gòu)，總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部；總部及分支機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問，同時總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。典型中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)可表示如下：典型中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖為保障中小企業(yè)網(wǎng)絡(luò)層面的安全防護(hù)能力，本方案結(jié)合山石網(wǎng)科集成化安全平臺，在對中小企業(yè)信息網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上，從邊界安全防護(hù)的角度，實現(xiàn)以下的安全建設(shè)效果：l 實現(xiàn)有效的訪問控制：對員工訪問互聯(lián)網(wǎng)，以及員工訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行有效控制，杜絕非法訪問，禁止非授權(quán)訪問，保障訪問的合法性和合規(guī)性；l 實現(xiàn)有效的集中安全管理：中小型企業(yè)的管理特點為總部高度集中模式，通過網(wǎng)關(guān)的集中管理系統(tǒng)，中小企業(yè)能夠集中監(jiān)控總部及各個分支機(jī)構(gòu)員工的網(wǎng)絡(luò)訪問行為，做到可視化的安全。l 保障安全健康上網(wǎng)：對員工的上網(wǎng)行為進(jìn)行有效監(jiān)控，禁止員工在上班時間使用P2P、網(wǎng)游、網(wǎng)絡(luò)視頻等過度占用帶寬的應(yīng)用，提高員工辦公效率；對員工訪問的網(wǎng)站進(jìn)行實時監(jiān)控，限制員工訪問不健康或不安全的網(wǎng)站，從而造成病毒的傳播等；l 保護(hù)網(wǎng)站安全：對企業(yè)網(wǎng)站進(jìn)行有效保護(hù)，防范來自互聯(lián)網(wǎng)上黑客的故意滲透和破壞行為；l 保護(hù)關(guān)鍵業(yè)務(wù)安全性：對重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器實施保護(hù)，防范病毒和內(nèi)部的非授權(quán)訪問；l 實現(xiàn)實名制的安全監(jiān)控：中小型企業(yè)的特點是，主機(jī)IP地址不固定，但全公司有統(tǒng)一的用戶管理措施，通常通過AD域的方式來實現(xiàn)，因此對于訪問控制和行為審計，可實現(xiàn)基于身份的監(jiān)控，實現(xiàn)所謂的實名制管理；l 實現(xiàn)總部與分支機(jī)構(gòu)的可靠遠(yuǎn)程傳輸：典型中小型企業(yè)的鏈路使用模式為，專線支撐重要的業(yè)務(wù)類訪問，互聯(lián)網(wǎng)鏈路平時作為員工上網(wǎng)使用，當(dāng)專線鏈路故障可作為備份鏈路，為此通過總部與分支機(jī)構(gòu)部署網(wǎng)關(guān)的IPSEC VPN功能，可在利用備份鏈路進(jìn)行遠(yuǎn)程通訊中，保障數(shù)據(jù)傳輸?shù)陌踩?；l 對移動辦公的安全保障：利用安全網(wǎng)關(guān)的SSL VPN功能，提供給移動辦公人員進(jìn)行遠(yuǎn)程安全傳輸保護(hù)，確保數(shù)據(jù)的傳輸安全性；2 安全需求分析2.1 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析中小企業(yè)的典型架構(gòu)為兩級部署，從縱向上劃分為總部及分支機(jī)構(gòu)，總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部；總部及分支機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問，同時總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。雙鏈路給中小企業(yè)應(yīng)用訪問帶來的好處是，業(yè)務(wù)訪問走專線，可保障業(yè)務(wù)的高可靠性；上網(wǎng)走互聯(lián)網(wǎng)鏈路，增加靈活性，即各個分支機(jī)構(gòu)可根據(jù)自己的人員規(guī)模，采用合理的價格租用電信寬帶；從網(wǎng)絡(luò)設(shè)計上，中小企業(yè)各個節(jié)點的結(jié)構(gòu)比較簡單，為典型的星形結(jié)構(gòu)設(shè)計，總部因用戶量和服務(wù)器數(shù)量較高，因此核心往往采用三層交換機(jī)，通過VLAN來劃分不同的子網(wǎng)，并在子網(wǎng)內(nèi)部署終端及各類應(yīng)用服務(wù)器，有些中小型企業(yè)在VLAN的基礎(chǔ)上還配置了ACL，對不同VLAN間的訪問實行控制；各分支機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)則相對簡單，通過堆疊二層交換連接到不同終端。具體的組網(wǎng)結(jié)構(gòu)可參考下圖：典型中小企業(yè)組網(wǎng)結(jié)構(gòu)示意圖2.2 典型中小企業(yè)網(wǎng)絡(luò)安全威脅在沒有采取有效的安全防護(hù)措施，典型的中小型企業(yè)由于分布廣，并且架構(gòu)在TCP/IP網(wǎng)絡(luò)上，由于主機(jī)、網(wǎng)絡(luò)、通信協(xié)議等存在的先天性安全弱點，使得中小型企業(yè)往往面臨很多的安全威脅，其中典型的網(wǎng)絡(luò)安全威脅包括：【非法和越權(quán)的訪問】中小型企業(yè)信息網(wǎng)絡(luò)內(nèi)承載了與生產(chǎn)經(jīng)營息息相關(guān)的ERP、OA和網(wǎng)站系統(tǒng)，在缺乏訪問控制的前提下很容易受到非法和越權(quán)的訪問；雖然大多數(shù)軟件都實現(xiàn)了身份認(rèn)證和授權(quán)訪問的功能，但是這種控制只體現(xiàn)在應(yīng)用層，如果遠(yuǎn)程通過網(wǎng)絡(luò)層的嗅探或攻擊工具（因為在網(wǎng)絡(luò)層應(yīng)用服務(wù)器與任何一臺企業(yè)網(wǎng)內(nèi)的終端都是相通的），有可能會獲得上層的身份和口令信息，從而對業(yè)務(wù)系統(tǒng)進(jìn)行非法及越權(quán)訪問，破壞業(yè)務(wù)的正常運行，或非法獲得企業(yè)的商業(yè)秘密，造成泄露；【惡意代碼傳播】大多數(shù)的中小企業(yè)，都在終端上安裝了防病毒軟件，以有效杜絕病毒在網(wǎng)絡(luò)中的傳播，但是隨著蠕蟲、木馬等網(wǎng)絡(luò)型病毒的出現(xiàn)，單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足，這種類型病毒的典型特征是，在網(wǎng)絡(luò)中能夠進(jìn)行大量的掃描，當(dāng)發(fā)現(xiàn)有弱點的主機(jī)后快速進(jìn)行自我復(fù)制，并通過網(wǎng)絡(luò)傳播過去，這就使得一旦網(wǎng)絡(luò)中某個節(jié)點（可能是臺主機(jī)，也可能是服務(wù)器）被感染病毒，該病毒能夠在網(wǎng)絡(luò)中傳遞大量的掃描和嗅探性質(zhì)的數(shù)據(jù)包，對網(wǎng)絡(luò)有限的帶寬資源造成損害?！痉婪禔RP欺騙】大多數(shù)的中小企業(yè)都遭受過此類攻擊行為，這種行為的典型特點是利用了網(wǎng)絡(luò)的先天性缺陷，即兩臺主機(jī)需要通訊時，必須先相互廣播ARP地址，在相互交換IP地址和ARP地址后方可通訊，特別是中小企業(yè)都需要通過邊界的網(wǎng)關(guān)設(shè)備，實現(xiàn)分支機(jī)構(gòu)和總部的互訪；ARP欺騙就是某臺主機(jī)偽裝成網(wǎng)關(guān)，發(fā)布虛假的ARP信息，讓內(nèi)網(wǎng)的主機(jī)誤認(rèn)為該主機(jī)就是網(wǎng)關(guān)，從而把跨越網(wǎng)段的訪問數(shù)據(jù)包（比如分支機(jī)構(gòu)人員訪問互聯(lián)網(wǎng)或總部的業(yè)務(wù)系統(tǒng)）都傳遞給該主機(jī)，輕微的造成無法正常訪問網(wǎng)絡(luò)，嚴(yán)重的則將會引起泄密；【惡意訪問】對于中小型企業(yè)網(wǎng)而言，各個分支機(jī)構(gòu)的廣域網(wǎng)鏈路帶寬是有限的，因此必須有計劃地分配帶寬資源，保障關(guān)鍵業(yè)務(wù)的進(jìn)行，這就要求無論針對專線所轉(zhuǎn)發(fā)的訪問，還是互聯(lián)網(wǎng)出口鏈路轉(zhuǎn)發(fā)的訪問，都要求對那些過度占用帶寬的行為加以限制，避免因某幾臺終端過度搶占帶寬資源而影響他人對網(wǎng)絡(luò)的使用。這種惡意訪問行為包括：過度使用P2P進(jìn)行大文件下載，長時間訪問網(wǎng)游，長時間訪問視頻網(wǎng)站，訪問惡意網(wǎng)站而引發(fā)病毒傳播，直接攻擊網(wǎng)絡(luò)等行為?！旧矸菖c行為的脫節(jié)】常見的訪問控制措施，還是QOS措施，其控制依據(jù)都是IP地址，而眾所周知IP地址是很容易偽造的，即使大多數(shù)的防火墻都支持IP+MAC地址綁定，MAC地址也是能被偽造的，這樣一方面造成策略的制定非常麻煩，因為中小型企業(yè)內(nèi)員工的身份是分級的，每個員工因崗位不同需要訪問的目標(biāo)是不同的，需要提供的帶寬保障也是不同的，這就需要在了解每個人的IP地址后來制定策略；另一方面容易形成控制缺陷，即低級別員工偽裝成高級別員工的地址，從而可占用更多的資源。身份與行為的脫節(jié)的影響還在于日志記錄上，由于日志的依據(jù)也是根據(jù)IP地址，這樣對發(fā)生違規(guī)事件后的追查造成極大的障礙，甚至無法追查?！揪芙^服務(wù)攻擊】大多數(shù)中小型企業(yè)都建有自己的網(wǎng)站，進(jìn)行對外宣傳，是企業(yè)對外的窗口，但是由于該平臺面向互聯(lián)網(wǎng)開放，很容易受到黑客的攻擊，其中最典型的就是拒絕服務(wù)攻擊，該行為也利用了現(xiàn)有TCP/IP網(wǎng)絡(luò)傳輸協(xié)議的先天性缺陷，大量發(fā)送請求連接的信息，而不發(fā)送確認(rèn)信息，使得遭受攻擊的主機(jī)或網(wǎng)絡(luò)設(shè)備長時間處于等待狀態(tài)，導(dǎo)致緩存被占滿，而無法響應(yīng)正常的訪問請求，表現(xiàn)為就是拒絕服務(wù)。這種攻擊常常針對企業(yè)的網(wǎng)站，使得網(wǎng)站無法被正常訪問，破壞企業(yè)形象；【不安全的遠(yuǎn)程訪問】對于中小型企業(yè)，利用互聯(lián)網(wǎng)平臺，作為專線的備份鏈路，實現(xiàn)分支機(jī)構(gòu)與總部的連接，是很一種提高系統(tǒng)可靠性，并充分利用現(xiàn)有網(wǎng)絡(luò)資源的極好辦法；另外遠(yuǎn)程移動辦公的人員也需要通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)的信息平臺，進(jìn)行相關(guān)的業(yè)務(wù)處理；而互聯(lián)網(wǎng)的開放性使得此類訪問往往面臨很多的安全威脅，最為典型的就是攻擊者嗅探數(shù)據(jù)包，或篡改數(shù)據(jù)包，破壞正常的業(yè)務(wù)訪問，或者泄露企業(yè)的商業(yè)秘密，使企業(yè)遭受到嚴(yán)重的損失?！救狈斜O(jiān)控措施】典型中小型企業(yè)的特點是，集中管理，分布監(jiān)控，但是在安全方面目前尚缺乏集中的監(jiān)控手段，對于各分支機(jī)構(gòu)員工的上網(wǎng)行為，訪問業(yè)務(wù)的行為，以及總部重要資源的受訪問狀態(tài)，都沒有集中的監(jiān)控和管理手段，一旦發(fā)生安全事件，將很難快速進(jìn)行察覺，也很難有效做出反應(yīng)，事后也很難取證，使得企業(yè)的安全管理無法真正落地。2.3 典型中小企業(yè)網(wǎng)絡(luò)安全需求針對中小企業(yè)在安全建設(shè)及運維管理中所暴露出的問題，山石網(wǎng)科認(rèn)為，應(yīng)當(dāng)進(jìn)行有針對性的設(shè)計和建設(shè)，最大化降低威脅，并實現(xiàn)有效的管理。2.3.1 需要進(jìn)行有效的訪問控制網(wǎng)絡(luò)安全建設(shè)的首要因素就是訪問控制，控制的核心是訪問行為，應(yīng)實現(xiàn)對非許可訪問的杜絕，限制員工對網(wǎng)絡(luò)資源的使用方式。中小企業(yè)的業(yè)務(wù)多樣化，必然造成訪問行為的多樣化，因此如何有效鑒別正常的訪問，和非法的訪問是非常必要的，特別是針對中小企業(yè)員工對互聯(lián)網(wǎng)的訪問行為，應(yīng)當(dāng)采取有效的控制措施，杜絕過度占用帶寬的訪問行為，保障正常的業(yè)務(wù)和上網(wǎng)訪問。對于中小企業(yè)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫資源，應(yīng)當(dāng)有效鑒別出合法的業(yè)務(wù)訪問，和可能的攻擊訪問行為，并分別采取必要的安全控制手段，保障關(guān)鍵的業(yè)務(wù)訪問。2.3.2 深度應(yīng)用識別的需求引入的安全控制系統(tǒng)，應(yīng)當(dāng)能夠支持深度應(yīng)用識別功能，特別是對使用動態(tài)端口的P2P和IM應(yīng)用，能夠做到精準(zhǔn)鑒別，并以此為基礎(chǔ)實現(xiàn)基于應(yīng)用的訪問控制和QOS，提升控制和限制的精度和力度。對于分支機(jī)構(gòu)外來用戶，在利用分支機(jī)構(gòu)互聯(lián)網(wǎng)出口進(jìn)行訪問時，基于身份識別做到差異化的控制，提升系統(tǒng)總體的維護(hù)效率。2.3.3 需要有效防范病毒在訪問控制的技術(shù)上，需要在網(wǎng)絡(luò)邊界進(jìn)行病毒過濾，防范病毒的傳播；在互聯(lián)網(wǎng)出口上要能夠有效檢測出掛馬網(wǎng)站，對訪問此類網(wǎng)站而造成的病毒下發(fā)，能夠快速檢測并響應(yīng)；同時也能夠防范來自其他節(jié)點的病毒傳播。2.3.4 需要實現(xiàn)實名制管理應(yīng)對依托IP地址進(jìn)行控制，QOS和日志的缺陷，應(yīng)實現(xiàn)基于用戶身份的訪問控制、QOS、日志記錄，應(yīng)能夠與中小企業(yè)現(xiàn)有的安全準(zhǔn)入系統(tǒng)整合起來，當(dāng)員工接入辦公網(wǎng)并對互聯(lián)網(wǎng)訪問時，先進(jìn)行準(zhǔn)入驗證，驗證通過后將驗證信息PUSH給網(wǎng)關(guān)，網(wǎng)關(guān)拿到此信息，在用戶發(fā)出上網(wǎng)請求時，根據(jù)IP地址來索引相關(guān)的認(rèn)證信息，確定其角色，最后再根據(jù)角色來執(zhí)行訪問控制和帶寬管理。在日志記錄中，也能夠根據(jù)確定的身份來記錄，使得日志可以方便地追溯到具體的員工。2.3.5 需要實現(xiàn)全面URL過濾應(yīng)引入專業(yè)性的URL地址庫，并能夠分類和及時更新，保障各個分支機(jī)構(gòu)在執(zhí)行URL過濾策略是，能夠保持一致和同步。2.3.6 需要實現(xiàn)IPSEC VPN利用中小企業(yè)現(xiàn)有的互聯(lián)網(wǎng)出口，作為專線的備份鏈路，在不增加鏈路投資的前提下，使分支機(jī)構(gòu)和總公司的通信得到更高的可靠性保障。但是由于互聯(lián)網(wǎng)平臺的開放性，如果將原本在專線上運行的ERP、OA、視頻會議等應(yīng)用切換到互聯(lián)網(wǎng)鏈路上時，容易遭到竊聽和篡改的風(fēng)險，為此需要設(shè)備提供IPSEC VPN功能，對傳輸數(shù)據(jù)進(jìn)行加密和完整性保護(hù)，保障數(shù)據(jù)傳輸?shù)陌踩浴?.3.7 需要實現(xiàn)集中化的管理集中化的管理首先要求日志信息的集中分析，各個分支機(jī)構(gòu)既能夠在本地查看詳細(xì)的訪問日志，總部也能夠統(tǒng)一查看各個分支機(jī)構(gòu)的訪問日志，從而實現(xiàn)總部對分支機(jī)構(gòu)的有效監(jiān)管?？偛磕軌蚪y(tǒng)一對各個分支機(jī)構(gòu)的安全設(shè)備進(jìn)行全局性配置管理，各個分支機(jī)構(gòu)也能夠在不違背全局性策略的前提下，配置符合本節(jié)點特點的個性化策略。由于各個廠商的技術(shù)壁壘，不同產(chǎn)品的功能差異，因此要實現(xiàn)集中化管理的前提就是統(tǒng)一品牌，統(tǒng)一設(shè)備，而從投資保護(hù)和便于維護(hù)的角度，中小企業(yè)應(yīng)當(dāng)選擇具有多種功能的安全網(wǎng)關(guān)設(shè)備。3 安全技術(shù)選擇3.1 技術(shù)選型的思路和要點現(xiàn)有的安全設(shè)備無法解決當(dāng)前切實的安全問題，也無法進(jìn)一步擴(kuò)展以適應(yīng)當(dāng)前管理的需要，因此必須進(jìn)行改造，統(tǒng)一引入新的設(shè)備，來更好地滿足運行維護(hù)的要求，在引入新設(shè)備的時候，必須遵循下屬的原則和思路。3.1.1 首要保障可管理性網(wǎng)絡(luò)安全設(shè)備應(yīng)當(dāng)能夠被集中監(jiān)控，由于安全網(wǎng)關(guān)部署在中小企業(yè)辦公網(wǎng)的重要出口上，詳細(xì)記錄了各節(jié)點的上網(wǎng)訪問行為，因此對全網(wǎng)監(jiān)控有著非常重要的意義，因此系統(tǒng)必須能夠被統(tǒng)一管理起來，實現(xiàn)日志行為，特別是各種防護(hù)手段形成的記錄進(jìn)行集中的記錄與分析。此外，策略也需要分級集中下發(fā)，總部能夠統(tǒng)一下發(fā)集中性的策略，各分支機(jī)構(gòu)可根據(jù)自身的特點，在不違背全局性策略的前提下，進(jìn)行靈活定制。3.1.2 其次提供可認(rèn)證性設(shè)備必須能夠?qū)崿F(xiàn)基于身份和角色的管理，設(shè)備無論在進(jìn)行訪問控制，還是在QOS，還是在日志記錄過程中，依據(jù)必須是真實的訪問者身份，做到精細(xì)化管理，可追溯性記錄。對于中小企業(yè)而言，設(shè)備必須能夠與中小企業(yè)的AD域管理整合，通過AD域來鑒別用戶的身份和角色信息，并根據(jù)角色執(zhí)行訪問控制和QOS，根據(jù)身份來記錄上網(wǎng)行為日志。3.1.3 再次保障鏈路暢通性對于多出口鏈路的分支機(jī)構(gòu)，引入的安全設(shè)備應(yīng)當(dāng)支持多鏈路負(fù)載均衡，正常狀態(tài)下設(shè)備能夠根據(jù)出口鏈路的繁忙狀態(tài)自動分配負(fù)載，使得兩條鏈路都能夠得到充分利用；在某條鏈路異常的狀態(tài)下，能夠自動切換負(fù)載，保障員工的正常上網(wǎng)。目前中小企業(yè)利用互聯(lián)網(wǎng)的主要應(yīng)用就是上網(wǎng)瀏覽，因此系統(tǒng)應(yīng)提供強(qiáng)大的URL地址過濾功能，對員工訪問非法網(wǎng)站能夠做到有效封堵，這就要求設(shè)備應(yīng)提供強(qiáng)大的URL地址庫，并能夠自動升級，降低管理難度，提高控制精度。中小企業(yè)的鏈路是有限的，因此應(yīng)有效封堵P2P、IM等過度占用帶寬的業(yè)務(wù)訪問，保障鏈路的有效性。3.1.4 最后是穩(wěn)定性選擇的產(chǎn)品必須可靠穩(wěn)定，選擇產(chǎn)品形成的方案應(yīng)盡量避免單點故障，傳統(tǒng)的網(wǎng)絡(luò)安全方案總是需要一堆的產(chǎn)品去解決不同的問題，但這些產(chǎn)品接入到網(wǎng)絡(luò)中，任何一臺設(shè)備故障都會造成全網(wǎng)通信的故障，因此采取集成化的安全產(chǎn)品應(yīng)當(dāng)是必然選擇。另外，安全產(chǎn)品必須有多種穩(wěn)定性的考慮，既要有整機(jī)穩(wěn)定性措施，也要有接口穩(wěn)定性措施，還要有系統(tǒng)穩(wěn)定性措施，產(chǎn)品能夠充分應(yīng)對各種突發(fā)的情況，并保持系統(tǒng)整體工作的穩(wěn)定性。3.2 選擇山石安全網(wǎng)關(guān)的原因基于中小企業(yè)的產(chǎn)品選型原則，方案建議采用的山石網(wǎng)科安全網(wǎng)關(guān)，在多核Plus G2硬件架構(gòu)的基礎(chǔ)上，采用全并行架構(gòu)，實現(xiàn)更高的執(zhí)行效率。并綜合實現(xiàn)了多個安全功能，完全能夠滿足中小企業(yè)安全產(chǎn)品的選型要求。山石網(wǎng)科安全網(wǎng)關(guān)在技術(shù)上具有如下的安全技術(shù)優(yōu)勢，包括：3.2.1 安全可靠的集中化管理山石網(wǎng)科安全管理中心采用了一種全新的方法來實現(xiàn)設(shè)備安全管理，通過提供集中的端到端生命周期管理來實現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置、VPN配置和安全策略控制。山石網(wǎng)科安全管理中心可以清楚地分配角色和職責(zé)，從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過相互協(xié)作來提高網(wǎng)絡(luò)管理效率，減少開銷并降低運營成本。 利用山石網(wǎng)科安全管理中心，可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限（從只讀到全面的編輯權(quán)限）來完成多種工作?？梢栽试S或限制用戶接入信息，從而使用戶可以作出與他們的角色相適應(yīng)的決策。山石網(wǎng)科安全管理中心的一個關(guān)鍵設(shè)計理念是降低安全設(shè)備管理的復(fù)雜性，同時保證足夠的靈活性來滿足每個用戶的不同需求。為了實現(xiàn)這一目標(biāo)，山石網(wǎng)科安全管理中心提供了一個綜合管理界面以便從一個集中位置上控制所有設(shè)備參數(shù)。管理員只需要點擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級。同時，只要是能夠通過山石網(wǎng)科安全管理中心進(jìn)行配置的設(shè)備都可以通過CLI接入。 山石網(wǎng)科安全管理中心還帶有一種高性能日志存儲機(jī)制，使IT部門可以收集并監(jiān)控關(guān)鍵方面的詳細(xì)信息，如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。利用內(nèi)置的報告功能，管理員還可以迅速生成報告來進(jìn)行調(diào)查研究或查看是否符合要求。 山石網(wǎng)科安全管理中心采用了一種3層的體系結(jié)構(gòu)，該結(jié)構(gòu)通過一條基于TCP的安全通信信道安全服務(wù)器協(xié)議（SSP）相連接。SSP可以通過AES加密和SHA1認(rèn)證來提供受到有效保護(hù)的端到端的安全通信功能。利用經(jīng)過認(rèn)證的加密TCP通信鏈路，就不需要在不同分層之間建立VPN隧道，從而大大提高了性能和靈活性。 山石網(wǎng)科安全管理中心提供統(tǒng)一管理功能，在一個統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報告功能，同時還使網(wǎng)絡(luò)管理中心的所有工作人員可以協(xié)同工作。山石網(wǎng)科網(wǎng)絡(luò)公司的集中管理方法使用戶可以在安全性和接入便利性之間達(dá)成平衡，對于安全網(wǎng)關(guān)這類安全設(shè)備的大規(guī)模部署非常重要。3.2.2 基于角色的安全控制與審計針對傳統(tǒng)基于IP的訪問控制和資源控制缺陷，山石網(wǎng)科采用RBNS（基于身份和角色的管理）技術(shù)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化，不同基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計三大方面?；诮巧墓芾砟Ｊ娇梢酝ㄟ^對訪問者身份審核和確認(rèn)，確定訪問者的訪問權(quán)限，分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問題。另外，在采用了RBNS技術(shù)后，使得審計記錄可以直接反追溯到真實的訪問者，更便于安全事件的定位。在本方案中，利用山石網(wǎng)科安全網(wǎng)關(guān)的身份認(rèn)證功能，可結(jié)合AD域認(rèn)證等技術(shù)，提供集成化的認(rèn)證+控制+深度檢測+行為審計的解決方案，當(dāng)訪問者需跨網(wǎng)關(guān)訪問時，網(wǎng)關(guān)會根據(jù)確認(rèn)的訪問者身份，自動調(diào)用郵件系統(tǒng)內(nèi)的郵件組信息，確定訪問者角色，隨后根據(jù)角色執(zhí)行訪問控制，限制其訪問范圍，然后再對訪問數(shù)據(jù)包進(jìn)行深度檢測，根據(jù)角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問，或者存在可疑行為的訪問時，記錄到日志提供給系統(tǒng)員進(jìn)行事后的深度分析。3.2.3 基于深度應(yīng)用識別的訪問控制中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上，新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識別應(yīng)用，更談不上安全防護(hù)。Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。StoneOS識別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用。同時，應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實時更新，無須等待新版本軟件發(fā)布。3.2.4 深度內(nèi)容安全(UTMPlus)山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問。病毒庫，攻擊庫，URL庫可以通過網(wǎng)絡(luò)服務(wù)實時下載，確保對新爆發(fā)的病毒、攻擊、新的URL做到及時響應(yīng)。由于中小企業(yè)包含了多個分支機(jī)構(gòu)，一旦因某個節(jié)點遭到惡意代碼的傳播，病毒將會很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播，造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后，并在全網(wǎng)各個節(jié)點的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個節(jié)點遭遇到病毒攻擊后，不會影響到其他節(jié)點。并且山石支持硬件病毒過濾技術(shù)，在邊界進(jìn)行病毒查殺的時候，對性能不會造成過多影響。3.2.5 高性能病毒過濾對于中小企業(yè)而言，在邊界進(jìn)行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網(wǎng)絡(luò)型病毒的有效工具，但是傳統(tǒng)病毒過濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包，因此效率很低，導(dǎo)致開啟病毒過濾后對全網(wǎng)的通信速度形成很大影響。山石安全網(wǎng)關(guān)在多核的技術(shù)上，對病毒過濾采取了全新的流掃描技術(shù)，也就是所謂的邊檢測邊傳輸技術(shù)，從而大大提升了病毒檢測與過濾的效率。l 流掃描策略傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機(jī)的病毒過濾解決方案實現(xiàn)的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個文件，然后開始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會經(jīng)歷長時間延遲。對于大文件，用戶應(yīng)用程序可能出現(xiàn)超時。山石網(wǎng)科掃描引擎是基于流的，病毒過濾掃描引擎在數(shù)據(jù)包流到達(dá)時進(jìn)行檢查，如果沒有檢查到病毒，則發(fā)送數(shù)據(jù)包流。由此，用戶將看到明顯的延遲改善，并且他們的應(yīng)用程序也將更快響應(yīng)。流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時掃描。出于對高性能、低延遲、高可升級性的首要考慮，流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。l 基于策略的病毒過濾功能山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進(jìn)行病毒過濾掃描，哪些用戶或者用戶組進(jìn)行掃描，以及哪些服務(wù)器和應(yīng)用被保護(hù)。3.2.6 靈活高效的帶寬管理功能山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識別(Intelligent Application Identification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進(jìn)行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對流量進(jìn)行識別和標(biāo)記。然后，根據(jù)應(yīng)用識別和標(biāo)記結(jié)果對流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級。一個典型應(yīng)用實例是：用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級保證它們的帶寬使用；對于P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網(wǎng)科設(shè)備最多可支持20,000個不同IP地址及用戶角色的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當(dāng)于系統(tǒng)中可容納最多40,000的QoS隊列。結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個用戶控制應(yīng)用流量并對該用戶的應(yīng)用流量區(qū)分優(yōu)先級。例如，對于同一個IP地址產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級。在IP QoS里面使用應(yīng)用QoS，甚至可以對每個IP地址進(jìn)行流量控制的同時，還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進(jìn)行有效管控。除了高峰時間，用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r探測網(wǎng)絡(luò)的出入帶寬利用率，進(jìn)而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網(wǎng)絡(luò)使用性能?？傊?，通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先，領(lǐng)導(dǎo)信息流量優(yōu)先，非業(yè)務(wù)應(yīng)用限速或禁用，VoIP、視頻應(yīng)用保證時延低、無抖動、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用，使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。3.2.7 強(qiáng)大的URL地址過濾庫山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時，系統(tǒng)會根據(jù)不同的策略，進(jìn)行報警、日志、阻斷等動作，實現(xiàn)健康上網(wǎng)；全面的URL地址庫也改變了現(xiàn)在各個分支機(jī)構(gòu)自行手動配置URL地址的局限性，當(dāng)時設(shè)備被部署到網(wǎng)絡(luò)中后，各個設(shè)備均采用統(tǒng)一標(biāo)準(zhǔn)的過濾地址庫，在進(jìn)行URL訪問日志中也可以保持日志內(nèi)容的一致性。3.2.8 高性能的應(yīng)用層管控能力安全和速度始終是兩個對立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價的，而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時代，能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是所有安全廠商的目標(biāo)。由于應(yīng)用層的檢測需要進(jìn)行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡(luò)平臺所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現(xiàn)。山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力，包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾，防止?jié)撛诘陌踩L(fēng)險。此外，山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu)，在性能上具有很高的處理能力，能夠?qū)崿F(xiàn)大并發(fā)處理。3.2.9 高效IPSEC VPN所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對IPSec的硬件加速。每一個CPU核都有一個內(nèi)嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時，IPSec的性能得到相應(yīng)提高，不會成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達(dá)到8Gbps，達(dá)到和防火墻一樣的性能和設(shè)備極限。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠保障與第三方VPN進(jìn)行通訊，建立隧道并實現(xiàn)安全的數(shù)據(jù)傳輸。3.2.10 高可靠的冗余備份能力山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級別的HA解決方案，如A-P和A-A架構(gòu)。山石網(wǎng)科的HA解決方案能夠為網(wǎng)絡(luò)層提供會話級別的狀態(tài)同步機(jī)制，保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通，甚至在設(shè)備進(jìn)行主備切換的時候都不會中斷會話，為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。4 系統(tǒng)部署說明對于中小企業(yè)，在設(shè)計邊界安全防護(hù)時，首要進(jìn)行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設(shè)常采用的方法，其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個單元，根據(jù)不同單元的資產(chǎn)特點、支撐業(yè)務(wù)類型分別進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計，保障了安全建設(shè)的針對性和差異性。安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護(hù)需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強(qiáng)，在實際劃分過程中有很多困難。在本方案中，建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型，縱向上可劃分為總部及分支機(jī)構(gòu)域，從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同，將總部信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運維域等，而分支機(jī)構(gòu)的域相對簡單，由于只有終端，因此不再細(xì)分。4.1 安全網(wǎng)關(guān)部署設(shè)計劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可，配置后形成的邊界安全部署方案可參考下圖：部署要點：l 通過總部配置的山石網(wǎng)科安全管理中心，集中監(jiān)管各個分支機(jī)構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān)，對日志進(jìn)行集中管理；同時各個分支機(jī)構(gòu)本地也部署管理終端，在本地對網(wǎng)關(guān)進(jìn)行監(jiān)管；l 縱向鏈路的出口分別部署安全網(wǎng)關(guān)，實現(xiàn)對中小企業(yè)網(wǎng)的縱向隔離，對分支機(jī)構(gòu)的上訪行為進(jìn)行嚴(yán)格控制，杜絕非法或非授權(quán)的訪問；l 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略，在終端上網(wǎng)過程中進(jìn)行轉(zhuǎn)換，保障內(nèi)網(wǎng)用戶上網(wǎng)的要求，同時啟用相應(yīng)的日志，對上網(wǎng)行為進(jìn)行有效記錄；l 安全網(wǎng)關(guān)在分支機(jī)構(gòu)上網(wǎng)出口的鏈路上，運用深度應(yīng)用識別技術(shù)，有效鑒別出哪些是合法的HTTP應(yīng)用，哪些是過度占用帶寬的P2P和IM應(yīng)用，對P2P和IM通過嚴(yán)格的帶寬限制功能能進(jìn)行及限制，并對HTTP執(zhí)行保障帶寬策略，保障員工正常上網(wǎng)行為；l 安全網(wǎng)關(guān)與中小企業(yè)的AD域認(rèn)證整合，在確認(rèn)訪問者身份的基礎(chǔ)上，進(jìn)行實名制的訪問控制，QOS控制，以及上網(wǎng)行為審計；l 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫，用以對員工的訪問目標(biāo)地址進(jìn)行分類，對于非法網(wǎng)站進(jìn)行封堵，且URL地址庫能夠自動升級，保障了該功能的持續(xù)性和完整性；l 安全網(wǎng)關(guān)運用IPSEC VPN技術(shù)，實現(xiàn)與總部的加密傳輸，作為現(xiàn)有專線的備份鏈路，在不增加投資的前提下提升系統(tǒng)的可靠性。l 安全網(wǎng)關(guān)運用SSL VPN技術(shù)，對移動辦公用戶配發(fā)USB KEY，當(dāng)其需要遠(yuǎn)程訪問企業(yè)網(wǎng)時，利用USB KEY與總部互聯(lián)網(wǎng)出口的安全網(wǎng)關(guān)建立VPN加密隧道，從而實現(xiàn)了安全可靠的遠(yuǎn)程訪問。4.2 安全網(wǎng)關(guān)部署說明4.2.1 部署集中安全管理中心通過在總部部署山石網(wǎng)科安全管理中心，然后對分布在各個分支機(jī)構(gòu)邊界的安全網(wǎng)關(guān)進(jìn)行配置，使網(wǎng)關(guān)接受管理中心的集中管理來實現(xiàn)，并執(zhí)行如下的集中監(jiān)管。設(shè)備管理設(shè)備管理包括域管理和設(shè)備組管理，域和設(shè)備組都是用來組織被管理設(shè)備的邏輯組，域包含設(shè)備組。通過域的使用，可以實現(xiàn)設(shè)備的區(qū)域化管理；而通過設(shè)備組的使用，可以進(jìn)一步將域中的設(shè)備進(jìn)行細(xì)化分組管理。一臺設(shè)備可以同時屬于多個域或者設(shè)備組。只有超級管理員可以執(zhí)行域的操作以及添加設(shè)備和徹底刪除設(shè)備，普通管理員可以執(zhí)行設(shè)備組的操作，將設(shè)備從設(shè)備組中刪除。設(shè)備基本信息監(jiān)管顯示設(shè)備的基本信息，例如設(shè)備主機(jī)名稱、設(shè)備序列號、管理IP、設(shè)備運行時間、接口狀態(tài)以及AV相關(guān)信息等。通過客戶端可查看的設(shè)備屬性信息包括：設(shè)備基本信息以及設(shè)備實時統(tǒng)計信息，包括實時資源使用狀態(tài)、會話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過曲線圖顯示以上實時信息，使用戶能夠直觀的了解當(dāng)前設(shè)備的各種狀態(tài)。日志瀏覽山石網(wǎng)科安全管理中心接收設(shè)備發(fā)送的多種日志信息，經(jīng)過系統(tǒng)處理后，用戶可通過客戶端進(jìn)行多維度、多條件的瀏覽。山石網(wǎng)科安全管理中心支持通過以下種類進(jìn)行日志瀏覽：系統(tǒng)日志配置日志會話日志地址轉(zhuǎn)換日志上網(wǎng)日志流量監(jiān)控山石網(wǎng)科安全管理中心可以實時監(jiān)控以下對象的流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：設(shè)備接口（TOP 10）指定接口TOP 10 IP，進(jìn)而可以查看指定IP的TOP 10應(yīng)用的流量指定接口TOP 10應(yīng)用，進(jìn)而可以查看指定應(yīng)用的TOP 10 IP的流量柱狀圖可分別按照上行流量、下行流量或者總流量進(jìn)行排序；餅狀圖可分別根據(jù)上行流量、下行流量或者總流量顯示不同的百分比。攻擊監(jiān)控山石網(wǎng)科安全管理中心可以實時監(jiān)控以下對象的攻擊情況，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：設(shè)備接口遭受攻擊（TOP 10）指定接口發(fā)起攻擊TOP 10 IP，進(jìn)而可以查看指定IP發(fā)起的TOP 10攻擊類型指定接口TOP 10攻擊類型，進(jìn)而可以查看發(fā)起指定攻擊類型的TOP 10 IPVPN監(jiān)控山石網(wǎng)科安全管理中心可以實時監(jiān)控被管理設(shè)備的IPSec VPN和SCVPN隧道流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示。4.2.2 基于角色的管理配置對于中小企業(yè)辦公網(wǎng)而言，終端使用者的身份不盡相同，因此其訪問權(quán)限，對資源的要求等也不盡相同，實現(xiàn)差異化的訪問控制與資源保障。對此可通過山石網(wǎng)科安全網(wǎng)關(guān)的RBNS（基于身份和角色的管理）策略來實現(xiàn)。RBNS包含三個部分：用戶身份的認(rèn)證、用戶角色的確定、基于角色控制和服務(wù)。l 在訪問控制部分，通過RBNS實現(xiàn)了基于用戶角色的訪問控制，使得控制更加精準(zhǔn)；l 在QOS部分，通過RBNS實現(xiàn)了基于角色的帶寬控制，使得資源分配更加貼近中小企業(yè)辦公網(wǎng)的管理模式；l 在會話限制部分，通過RBNS實現(xiàn)了基于角色的并發(fā)限制，對于重要用戶放寬并發(fā)連接的數(shù)量，對于非重要用戶則壓縮并發(fā)連接的數(shù)量；l 在上網(wǎng)行為管理部分，通過RBNS實現(xiàn)了基于角色的上網(wǎng)行為管理；l 在審計部分，通過RBNS實現(xiàn)實名制審計，使審計記錄能夠便捷地追溯到現(xiàn)實的人員。在整合了AD域以及郵件系統(tǒng)后的實名制管理與控制方案后，在員工上網(wǎng)訪問過程中實現(xiàn)精細(xì)化的管理，大大降低了單純依靠IP地址帶來的安全隱患，也降低了配置策略的難度，還提升了日志的可追溯性； 整合后實名制監(jiān)管過程示意圖4.2.3 配置訪問控制策略山石網(wǎng)科多核安全網(wǎng)關(guān)可提供廣泛的應(yīng)用層監(jiān)控、統(tǒng)計和控制過濾功能。該功能能夠?qū)TP、HTTP、P2P應(yīng)用、IM以及VoIP語音數(shù)據(jù)等應(yīng)用進(jìn)行識別，并根據(jù)安全策略配置規(guī)則，保證應(yīng)用的正常通信或?qū)ζ溥M(jìn)行指定的操作，如監(jiān)控、流量統(tǒng)計、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術(shù)，使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下，也能有效的獲取應(yīng)用層信息，從而保證安全策略的有效實施。山石網(wǎng)科安全網(wǎng)關(guān)，作用在中小企業(yè)的互聯(lián)網(wǎng)出口鏈路上，通過訪問控制策略，針對訪問數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的應(yīng)用訪問類型，進(jìn)行控制，包括：l 限制不被許可的訪問類型：比如在只允許進(jìn)行網(wǎng)頁瀏覽、電子郵件、文件傳輸，此時當(dāng)終端用戶進(jìn)行其他訪問（比如P2P），即使在網(wǎng)絡(luò)層同樣使用TCP 80口進(jìn)行訪問數(shù)據(jù)包的傳送，但經(jīng)過山石網(wǎng)科安全網(wǎng)關(guān)的深度應(yīng)用識別后，分析出真實的應(yīng)用后，對P2P和IM等過度占用帶寬的行為進(jìn)行限制；l 限制不被許可的訪問地址：山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時，系統(tǒng)會根據(jù)不同的策略，進(jìn)行報警、日志、阻斷等動作，實現(xiàn)健康上網(wǎng)；l 基于身份的訪問控制：傳統(tǒng)訪問控制的基礎(chǔ)是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特別是根據(jù)不同IP地址配置不同強(qiáng)度的訪問控制規(guī)則時，通過修改IP地址可以獲得較寬松的訪問限制，及時采用了IP+MAC綁定，但修改MAC也不是難事。山石網(wǎng)科安全網(wǎng)關(guān)支持與第三方認(rèn)證的結(jié)合，可實現(xiàn)基于“實名制”下的訪問控制，將大大提升了訪問控制的精度。4.2.4 配置帶寬控制策略針對外網(wǎng)的互聯(lián)網(wǎng)出口鏈路，承載了員工上網(wǎng)的訪問，因此必須應(yīng)采取帶寬控制，來針對不同訪問的重要級別，提供差異化的帶寬資源。(可以實現(xiàn)基于角色的QOS)l 基于角色的流量管理基于山石網(wǎng)科的多核 Plus G2安全架構(gòu)，StoneOS Qos將Hillstone 山石網(wǎng)科的行為控制以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網(wǎng)科設(shè)備最多可支持20,000個不同角色的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當(dāng)于系統(tǒng)中可容納多于40,000的QoS隊列。結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個用戶控制應(yīng)用流量并對該用戶的應(yīng)用流量區(qū)分優(yōu)先級。例如，對于同一個角色產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級。l 對應(yīng)用控制流量和區(qū)分優(yōu)先級山石網(wǎng)科提供專有的智能應(yīng)用識別（Intelligent Application Identification）功能，簡稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進(jìn)行分類；Hillstone 山石網(wǎng)科還支持用戶自定義的流量，并對自定義流量進(jìn)行分類；同時山石網(wǎng)科可以結(jié)合強(qiáng)大的policy對流量進(jìn)行分類。山石網(wǎng)科 QoS首先根據(jù)流量的應(yīng)用類型對流量進(jìn)行識別和標(biāo)記。然后，根據(jù)應(yīng)用識別和標(biāo)記結(jié)果對流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級。一個典型應(yīng)用實例是：用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級保證它們的帶寬使用；對于網(wǎng)頁瀏覽和P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。網(wǎng)吧用戶可以用這種方法控制娛樂流量并對娛樂流量區(qū)分優(yōu)先級。l 帶寬利用率最大化除了高峰時間，用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。Hillstone 山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r探測網(wǎng)絡(luò)的出入帶寬的利用率，進(jìn)而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網(wǎng)絡(luò)使用性能。彈性QoS還允許用戶進(jìn)行更加精細(xì)的控制，允許某一類的網(wǎng)絡(luò)使用者享有彈性QoS，另外一類不享有彈性QoS。以此功能用戶可以為網(wǎng)絡(luò)使用者提供差分服務(wù)。l 實時流量監(jiān)控和統(tǒng)計山石網(wǎng)科 QoS解決方案提供各種靈活報告和監(jiān)控方法，幫助用戶查看網(wǎng)絡(luò)狀況。用戶可以輕松查看接口帶寬使用情況、不同應(yīng)用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網(wǎng)科設(shè)備提供帶寬使用情況的歷史記錄，為將來分析提供方便。同時用戶還可以自己定制想要的統(tǒng)計數(shù)據(jù)。4.2.5 上網(wǎng)行為日志管理通過山石網(wǎng)科安全網(wǎng)關(guān)，在實現(xiàn)分支機(jī)構(gòu)員工上網(wǎng)訪問控制和QOS控制的基礎(chǔ)上，對行為進(jìn)行全面記錄，來控制威脅的上網(wǎng)行為，并結(jié)合基于角色的管理技術(shù)，實現(xiàn)“實名制”審計，在本方案中將配置執(zhí)行如下的安全策略：l 網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則，是根據(jù)名稱、優(yōu)先級、用戶、時間表、網(wǎng)絡(luò)行為以及控制動作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過WebUI配置上網(wǎng)行為管理策略規(guī)則，需要進(jìn)行下列基本元素的配置：n 策略規(guī)則名稱 上網(wǎng)行為管理策略規(guī)則的名稱。n 優(yōu)先級 - 上網(wǎng)行為管理策略規(guī)則的優(yōu)先級。當(dāng)有多條匹配策略規(guī)則的時候，優(yōu)先級高的策略規(guī)則會被優(yōu)先使用。n 用戶 上網(wǎng)行為管理策略規(guī)則的用戶，即發(fā)起網(wǎng)絡(luò)行為的主體，比如某個用戶、用戶組、角色、IP地址等。n 時間表 上網(wǎng)行為管理策略規(guī)則的生效時間，可以針對不同用戶控制其在特定時間段內(nèi)的網(wǎng)絡(luò)行為。n 網(wǎng)絡(luò)行為 具體的網(wǎng)絡(luò)應(yīng)用行為，比如MSN聊天、網(wǎng)頁訪問、郵件發(fā)送、論壇發(fā)帖等。n 控制動作 針對用戶的網(wǎng)絡(luò)行為所采取的控制動作，比如允許、拒絕某網(wǎng)絡(luò)行為或者對該行為或者內(nèi)容進(jìn)行日志記錄等。l 網(wǎng)頁內(nèi)容控制策略規(guī)則網(wǎng)頁內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁進(jìn)行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別，對用戶所訪問的網(wǎng)頁進(jìn)行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對用戶所訪問的網(wǎng)頁進(jìn)行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁進(jìn)行過濾。l 外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對郵件的發(fā)送進(jìn)行限制。同時，能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。l 例外設(shè)置對于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對象，可以通過例外設(shè)置實現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。分級日志管理模式示意圖4.2.6 實現(xiàn)URL過濾山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫，包含數(shù)千萬條域名的分類web頁面庫，并能夠?qū)崟r同步更新，該地址庫將被配置在所有分支機(jī)構(gòu)出口的山石安全網(wǎng)關(guān)上，對員工訪問的目標(biāo)站點進(jìn)行檢查，保障健康上網(wǎng)。山石網(wǎng)科提供的URL過濾功能包含以下組成部分：l 黑名單：包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數(shù)不同。l 白名單：包含允許訪問URL。不同平臺白名單包含的最大URL條數(shù)不同。l 關(guān)鍵字列表：如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字，則PC不可以訪問該URL。不同平臺關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。l 不受限IP：不受URL過濾配置影響，可以訪問任何網(wǎng)站。l 只允許用域名訪問：如果開啟該功能，用戶只可以通過域名訪問Internet，IP地址類型的URL將被拒絕訪問。l 只允許訪問白名單里的URL：如果開啟該功能，用戶只可以訪問白名單中的URL，其它地址都會被拒絕。4.2.7 實現(xiàn)網(wǎng)絡(luò)病毒過濾隨著病毒技術(shù)的發(fā)展，網(wǎng)絡(luò)型病毒（比如蠕蟲、木馬等）已經(jīng)被廣泛應(yīng)用了，這種病毒的特點是沒有宿主就可以傳播，在網(wǎng)