典型企業(yè)網絡邊界安全解決方案.docx

典型中小型企業(yè)網絡邊界安全解決方案典型中小企業(yè)網絡邊界安全解決方案意見征詢稿Hillstone Networks Inc.2010年9月29日目錄1前言41.1方案目的41.2方案概述42安全需求分析62.1典型中小企業(yè)網絡現(xiàn)狀分析62.2典型中小企業(yè)網絡安全威脅82.3典型中小企業(yè)網絡安全需求102.3.1需要進行有效的訪問控制102.3.2深度應用識別的需求112.3.3需要有效防范病毒112.3.4需要實現(xiàn)實名制管理112.3.5需要實現(xiàn)全面URL過濾122.3.6需要實現(xiàn)IPSEC VPN122.3.7需要實現(xiàn)集中化的管理123安全技術選擇133.1技術選型的思路和要點133.1.1首要保障可管理性133.1.2其次提供可認證性133.1.3再次保障鏈路暢通性143.1.4最后是穩(wěn)定性143.2選擇山石安全網關的原因143.2.1安全可靠的集中化管理153.2.2基于角色的安全控制與審計163.2.3基于深度應用識別的訪問控制173.2.4深度內容安全(UTMPlus)173.2.5高性能病毒過濾183.2.6靈活高效的帶寬管理功能193.2.7強大的URL地址過濾庫213.2.8高性能的應用層管控能力213.2.9高效IPSEC VPN223.2.10高可靠的冗余備份能力224系統(tǒng)部署說明234.1安全網關部署設計244.2安全網關部署說明254.2.1部署集中安全管理中心254.2.2基于角色的管理配置294.2.3配置訪問控制策略304.2.4配置帶寬控制策略314.2.5上網行為日志管理334.2.6實現(xiàn)URL過濾354.2.7實現(xiàn)網絡病毒過濾364.2.8部署IPSEC VPN374.2.9實現(xiàn)安全移動辦公385方案建設效果381 前言1.1 方案目的本方案的設計對象為國內中小企業(yè)，方案中定義的中小型企業(yè)為：人員規(guī)模在2千人左右，在全國各地有分支機構，有一定的信息化建設基礎，信息網絡覆蓋了總部和各個分支機構，業(yè)務系統(tǒng)有支撐企業(yè)運營的ERP系統(tǒng)，支撐企業(yè)員工處理日常事務的OA系統(tǒng)，和對外進行宣傳的企業(yè)網站；業(yè)務集中在總部，各個分支機構可遠程訪問業(yè)務系統(tǒng)完成相關的業(yè)務操作。根據當前國內企業(yè)的發(fā)展趨勢，中小企業(yè)呈現(xiàn)出快速增長的勢頭，計算機系統(tǒng)為企業(yè)的管理、運營、維護、辦公等提供了高效的運行條件，為企業(yè)經營決策提供了有力支撐，為企業(yè)的對外宣傳發(fā)揮了重要的作用，因此企業(yè)對信息化建設的依賴也越來越強，但同時由于計算機網絡所普遍面臨的安全威脅，又給企業(yè)的信息化帶來嚴重的制約，互聯(lián)網上的黑客攻擊、蠕蟲病毒傳播、非法滲透等，嚴重威脅著企業(yè)信息系統(tǒng)的正常運行；內網的非法破壞、非法授權訪問、員工故意泄密等事件，也是的企業(yè)的正常運營秩序受到威脅，如何做到既高效又安全，是大多數(shù)中小企業(yè)信息化關注的重點。而作為信息安全體系建設，涉及到各個層面的要素，從管理的角度，涉及到組織、制度、流程、監(jiān)督等，從技術的角度，設計到物理層、網絡層、主機層、應用層和運維層，本方案的重點是網絡層的安全建設，即通過加強對基礎網絡的安全控制和監(jiān)控手段，來提升基礎網絡的安全性，從而為上層應用提供安全的運行環(huán)境，保障中小企業(yè)計算機網絡的安全性。1.2 方案概述本方案涉及的典型中小型企業(yè)的網絡架構為：兩級結構，縱向上劃分為總部與分支機構，總部集中了所有的重要業(yè)務服務器和數(shù)據庫，分支機構只有終端，業(yè)務訪問則是通過專線鏈路直接訪問到總部；總部及分支機構均有互聯(lián)網出口，提供給員工進行上網訪問，同時總部的互聯(lián)網出口也作為網站發(fā)布的鏈路途徑。典型中小型企業(yè)的網絡結構可表示如下：典型中小型企業(yè)網絡結構示意圖為保障中小企業(yè)網絡層面的安全防護能力，本方案結合山石網科集成化安全平臺，在對中小企業(yè)信息網絡安全域劃分的基礎上，從邊界安全防護的角度，實現(xiàn)以下的安全建設效果：l 實現(xiàn)有效的訪問控制：對員工訪問互聯(lián)網，以及員工訪問業(yè)務系統(tǒng)的行為進行有效控制，杜絕非法訪問，禁止非授權訪問，保障訪問的合法性和合規(guī)性；l 實現(xiàn)有效的集中安全管理：中小型企業(yè)的管理特點為總部高度集中模式，通過網關的集中管理系統(tǒng)，中小企業(yè)能夠集中監(jiān)控總部及各個分支機構員工的網絡訪問行為，做到可視化的安全。l 保障安全健康上網：對員工的上網行為進行有效監(jiān)控，禁止員工在上班時間使用P2P、網游、網絡視頻等過度占用帶寬的應用，提高員工辦公效率；對員工訪問的網站進行實時監(jiān)控，限制員工訪問不健康或不安全的網站，從而造成病毒的傳播等；l 保護網站安全：對企業(yè)網站進行有效保護，防范來自互聯(lián)網上黑客的故意滲透和破壞行為；l 保護關鍵業(yè)務安全性：對重要的應用服務器和數(shù)據庫服務器實施保護，防范病毒和內部的非授權訪問；l 實現(xiàn)實名制的安全監(jiān)控：中小型企業(yè)的特點是，主機IP地址不固定，但全公司有統(tǒng)一的用戶管理措施，通常通過AD域的方式來實現(xiàn)，因此對于訪問控制和行為審計，可實現(xiàn)基于身份的監(jiān)控，實現(xiàn)所謂的實名制管理；l 實現(xiàn)總部與分支機構的可靠遠程傳輸：典型中小型企業(yè)的鏈路使用模式為，專線支撐重要的業(yè)務類訪問，互聯(lián)網鏈路平時作為員工上網使用，當專線鏈路故障可作為備份鏈路，為此通過總部與分支機構部署網關的IPSEC VPN功能，可在利用備份鏈路進行遠程通訊中，保障數(shù)據傳輸?shù)陌踩?；l 對移動辦公的安全保障：利用安全網關的SSL VPN功能，提供給移動辦公人員進行遠程安全傳輸保護，確保數(shù)據的傳輸安全性；2 安全需求分析2.1 典型中小企業(yè)網絡現(xiàn)狀分析中小企業(yè)的典型架構為兩級部署，從縱向上劃分為總部及分支機構，總部集中了所有的重要業(yè)務服務器和數(shù)據庫，分支機構只有終端，業(yè)務訪問則是通過專線鏈路直接訪問到總部；總部及分支機構均有互聯(lián)網出口，提供給員工進行上網訪問，同時總部的互聯(lián)網出口也作為網站發(fā)布的鏈路途徑。雙鏈路給中小企業(yè)應用訪問帶來的好處是，業(yè)務訪問走專線，可保障業(yè)務的高可靠性；上網走互聯(lián)網鏈路，增加靈活性，即各個分支機構可根據自己的人員規(guī)模，采用合理的價格租用電信寬帶；從網絡設計上，中小企業(yè)各個節(jié)點的結構比較簡單，為典型的星形結構設計，總部因用戶量和服務器數(shù)量較高，因此核心往往采用三層交換機，通過VLAN來劃分不同的子網，并在子網內部署終端及各類應用服務器，有些中小型企業(yè)在VLAN的基礎上還配置了ACL，對不同VLAN間的訪問實行控制；各分支機構的網絡結構則相對簡單，通過堆疊二層交換連接到不同終端。具體的組網結構可參考下圖：典型中小企業(yè)組網結構示意圖2.2 典型中小企業(yè)網絡安全威脅在沒有采取有效的安全防護措施，典型的中小型企業(yè)由于分布廣，并且架構在TCP/IP網絡上，由于主機、網絡、通信協(xié)議等存在的先天性安全弱點，使得中小型企業(yè)往往面臨很多的安全威脅，其中典型的網絡安全威脅包括：【非法和越權的訪問】中小型企業(yè)信息網絡內承載了與生產經營息息相關的ERP、OA和網站系統(tǒng)，在缺乏訪問控制的前提下很容易受到非法和越權的訪問；雖然大多數(shù)軟件都實現(xiàn)了身份認證和授權訪問的功能，但是這種控制只體現(xiàn)在應用層，如果遠程通過網絡層的嗅探或攻擊工具（因為在網絡層應用服務器與任何一臺企業(yè)網內的終端都是相通的），有可能會獲得上層的身份和口令信息，從而對業(yè)務系統(tǒng)進行非法及越權訪問，破壞業(yè)務的正常運行，或非法獲得企業(yè)的商業(yè)秘密，造成泄露；【惡意代碼傳播】大多數(shù)的中小企業(yè)，都在終端上安裝了防病毒軟件，以有效杜絕病毒在網絡中的傳播，但是隨著蠕蟲、木馬等網絡型病毒的出現(xiàn)，單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足，這種類型病毒的典型特征是，在網絡中能夠進行大量的掃描，當發(fā)現(xiàn)有弱點的主機后快速進行自我復制，并通過網絡傳播過去，這就使得一旦網絡中某個節(jié)點（可能是臺主機，也可能是服務器）被感染病毒，該病毒能夠在網絡中傳遞大量的掃描和嗅探性質的數(shù)據包，對網絡有限的帶寬資源造成損害?！痉婪禔RP欺騙】大多數(shù)的中小企業(yè)都遭受過此類攻擊行為，這種行為的典型特點是利用了網絡的先天性缺陷，即兩臺主機需要通訊時，必須先相互廣播ARP地址，在相互交換IP地址和ARP地址后方可通訊，特別是中小企業(yè)都需要通過邊界的網關設備，實現(xiàn)分支機構和總部的互訪；ARP欺騙就是某臺主機偽裝成網關，發(fā)布虛假的ARP信息，讓內網的主機誤認為該主機就是網關，從而把跨越網段的訪問數(shù)據包（比如分支機構人員訪問互聯(lián)網或總部的業(yè)務系統(tǒng)）都傳遞給該主機，輕微的造成無法正常訪問網絡，嚴重的則將會引起泄密；【惡意訪問】對于中小型企業(yè)網而言，各個分支機構的廣域網鏈路帶寬是有限的，因此必須有計劃地分配帶寬資源，保障關鍵業(yè)務的進行，這就要求無論針對專線所轉發(fā)的訪問，還是互聯(lián)網出口鏈路轉發(fā)的訪問，都要求對那些過度占用帶寬的行為加以限制，避免因某幾臺終端過度搶占帶寬資源而影響他人對網絡的使用。這種惡意訪問行為包括：過度使用P2P進行大文件下載，長時間訪問網游，長時間訪問視頻網站，訪問惡意網站而引發(fā)病毒傳播，直接攻擊網絡等行為?！旧矸菖c行為的脫節(jié)】常見的訪問控制措施，還是QOS措施，其控制依據都是IP地址，而眾所周知IP地址是很容易偽造的，即使大多數(shù)的防火墻都支持IP+MAC地址綁定，MAC地址也是能被偽造的，這樣一方面造成策略的制定非常麻煩，因為中小型企業(yè)內員工的身份是分級的，每個員工因崗位不同需要訪問的目標是不同的，需要提供的帶寬保障也是不同的，這就需要在了解每個人的IP地址后來制定策略；另一方面容易形成控制缺陷，即低級別員工偽裝成高級別員工的地址，從而可占用更多的資源。身份與行為的脫節(jié)的影響還在于日志記錄上，由于日志的依據也是根據IP地址，這樣對發(fā)生違規(guī)事件后的追查造成極大的障礙，甚至無法追查?！揪芙^服務攻擊】大多數(shù)中小型企業(yè)都建有自己的網站，進行對外宣傳，是企業(yè)對外的窗口，但是由于該平臺面向互聯(lián)網開放，很容易受到黑客的攻擊，其中最典型的就是拒絕服務攻擊，該行為也利用了現(xiàn)有TCP/IP網絡傳輸協(xié)議的先天性缺陷，大量發(fā)送請求連接的信息，而不發(fā)送確認信息，使得遭受攻擊的主機或網絡設備長時間處于等待狀態(tài)，導致緩存被占滿，而無法響應正常的訪問請求，表現(xiàn)為就是拒絕服務。這種攻擊常常針對企業(yè)的網站，使得網站無法被正常訪問，破壞企業(yè)形象；【不安全的遠程訪問】對于中小型企業(yè)，利用互聯(lián)網平臺，作為專線的備份鏈路，實現(xiàn)分支機構與總部的連接，是很一種提高系統(tǒng)可靠性，并充分利用現(xiàn)有網絡資源的極好辦法；另外遠程移動辦公的人員也需要通過互聯(lián)網來訪問企業(yè)網的信息平臺，進行相關的業(yè)務處理；而互聯(lián)網的開放性使得此類訪問往往面臨很多的安全威脅，最為典型的就是攻擊者嗅探數(shù)據包，或篡改數(shù)據包，破壞正常的業(yè)務訪問，或者泄露企業(yè)的商業(yè)秘密，使企業(yè)遭受到嚴重的損失。【缺乏集中監(jiān)控措施】典型中小型企業(yè)的特點是，集中管理，分布監(jiān)控，但是在安全方面目前尚缺乏集中的監(jiān)控手段，對于各分支機構員工的上網行為，訪問業(yè)務的行為，以及總部重要資源的受訪問狀態(tài)，都沒有集中的監(jiān)控和管理手段，一旦發(fā)生安全事件，將很難快速進行察覺，也很難有效做出反應，事后也很難取證，使得企業(yè)的安全管理無法真正落地。2.3 典型中小企業(yè)網絡安全需求針對中小企業(yè)在安全建設及運維管理中所暴露出的問題，山石網科認為，應當進行有針對性的設計和建設，最大化降低威脅，并實現(xiàn)有效的管理。2.3.1 需要進行有效的訪問控制網絡安全建設的首要因素就是訪問控制，控制的核心是訪問行為，應實現(xiàn)對非許可訪問的杜絕，限制員工對網絡資源的使用方式。中小企業(yè)的業(yè)務多樣化，必然造成訪問行為的多樣化，因此如何有效鑒別正常的訪問，和非法的訪問是非常必要的，特別是針對中小企業(yè)員工對互聯(lián)網的訪問行為，應當采取有效的控制措施，杜絕過度占用帶寬的訪問行為，保障正常的業(yè)務和上網訪問。對于中小企業(yè)重要的應用服務器和數(shù)據庫資源，應當有效鑒別出合法的業(yè)務訪問，和可能的攻擊訪問行為，并分別采取必要的安全控制手段，保障關鍵的業(yè)務訪問。2.3.2 深度應用識別的需求引入的安全控制系統(tǒng)，應當能夠支持深度應用識別功能，特別是對使用動態(tài)端口的P2P和IM應用，能夠做到精準鑒別，并以此為基礎實現(xiàn)基于應用的訪問控制和QOS，提升控制和限制的精度和力度。對于分支機構外來用戶，在利用分支機構互聯(lián)網出口進行訪問時，基于身份識別做到差異化的控制，提升系統(tǒng)總體的維護效率。2.3.3 需要有效防范病毒在訪問控制的技術上，需要在網絡邊界進行病毒過濾，防范病毒的傳播；在互聯(lián)網出口上要能夠有效檢測出掛馬網站，對訪問此類網站而造成的病毒下發(fā)，能夠快速檢測并響應；同時也能夠防范來自其他節(jié)點的病毒傳播。2.3.4 需要實現(xiàn)實名制管理應對依托IP地址進行控制，QOS和日志的缺陷，應實現(xiàn)基于用戶身份的訪問控制、QOS、日志記錄，應能夠與中小企業(yè)現(xiàn)有的安全準入系統(tǒng)整合起來，當員工接入辦公網并對互聯(lián)網訪問時，先進行準入驗證，驗證通過后將驗證信息PUSH給網關，網關拿到此信息，在用戶發(fā)出上網請求時，根據IP地址來索引相關的認證信息，確定其角色，最后再根據角色來執(zhí)行訪問控制和帶寬管理。在日志記錄中，也能夠根據確定的身份來記錄，使得日志可以方便地追溯到具體的員工。2.3.5 需要實現(xiàn)全面URL過濾應引入專業(yè)性的URL地址庫，并能夠分類和及時更新，保障各個分支機構在執(zhí)行URL過濾策略是，能夠保持一致和同步。2.3.6 需要實現(xiàn)IPSEC VPN利用中小企業(yè)現(xiàn)有的互聯(lián)網出口，作為專線的備份鏈路，在不增加鏈路投資的前提下，使分支機構和總公司的通信得到更高的可靠性保障。但是由于互聯(lián)網平臺的開放性，如果將原本在專線上運行的ERP、OA、視頻會議等應用切換到互聯(lián)網鏈路上時，容易遭到竊聽和篡改的風險，為此需要設備提供IPSEC VPN功能，對傳輸數(shù)據進行加密和完整性保護，保障數(shù)據傳輸?shù)陌踩浴?.3.7 需要實現(xiàn)集中化的管理集中化的管理首先要求日志信息的集中分析，各個分支機構既能夠在本地查看詳細的訪問日志，總部也能夠統(tǒng)一查看各個分支機構的訪問日志，從而實現(xiàn)總部對分支機構的有效監(jiān)管。總部能夠統(tǒng)一對各個分支機構的安全設備進行全局性配置管理，各個分支機構也能夠在不違背全局性策略的前提下，配置符合本節(jié)點特點的個性化策略。由于各個廠商的技術壁壘，不同產品的功能差異，因此要實現(xiàn)集中化管理的前提就是統(tǒng)一品牌，統(tǒng)一設備，而從投資保護和便于維護的角度，中小企業(yè)應當選擇具有多種功能的安全網關設備。3 安全技術選擇3.1 技術選型的思路和要點現(xiàn)有的安全設備無法解決當前切實的安全問題，也無法進一步擴展以適應當前管理的需要，因此必須進行改造，統(tǒng)一引入新的設備，來更好地滿足運行維護的要求，在引入新設備的時候，必須遵循下屬的原則和思路。3.1.1 首要保障可管理性網絡安全設備應當能夠被集中監(jiān)控，由于安全網關部署在中小企業(yè)辦公網的重要出口上，詳細記錄了各節(jié)點的上網訪問行為，因此對全網監(jiān)控有著非常重要的意義，因此系統(tǒng)必須能夠被統(tǒng)一管理起來，實現(xiàn)日志行為，特別是各種防護手段形成的記錄進行集中的記錄與分析。此外，策略也需要分級集中下發(fā)，總部能夠統(tǒng)一下發(fā)集中性的策略，各分支機構可根據自身的特點，在不違背全局性策略的前提下，進行靈活定制。3.1.2 其次提供可認證性設備必須能夠實現(xiàn)基于身份和角色的管理，設備無論在進行訪問控制，還是在QOS，還是在日志記錄過程中，依據必須是真實的訪問者身份，做到精細化管理，可追溯性記錄。對于中小企業(yè)而言，設備必須能夠與中小企業(yè)的AD域管理整合，通過AD域來鑒別用戶的身份和角色信息，并根據角色執(zhí)行訪問控制和QOS，根據身份來記錄上網行為日志。3.1.3 再次保障鏈路暢通性對于多出口鏈路的分支機構，引入的安全設備應當支持多鏈路負載均衡，正常狀態(tài)下設備能夠根據出口鏈路的繁忙狀態(tài)自動分配負載，使得兩條鏈路都能夠得到充分利用；在某條鏈路異常的狀態(tài)下，能夠自動切換負載，保障員工的正常上網。目前中小企業(yè)利用互聯(lián)網的主要應用就是上網瀏覽，因此系統(tǒng)應提供強大的URL地址過濾功能，對員工訪問非法網站能夠做到有效封堵，這就要求設備應提供強大的URL地址庫，并能夠自動升級，降低管理難度，提高控制精度。中小企業(yè)的鏈路是有限的，因此應有效封堵P2P、IM等過度占用帶寬的業(yè)務訪問，保障鏈路的有效性。3.1.4 最后是穩(wěn)定性選擇的產品必須可靠穩(wěn)定，選擇產品形成的方案應盡量避免單點故障，傳統(tǒng)的網絡安全方案總是需要一堆的產品去解決不同的問題，但這些產品接入到網絡中，任何一臺設備故障都會造成全網通信的故障，因此采取集成化的安全產品應當是必然選擇。另外，安全產品必須有多種穩(wěn)定性的考慮，既要有整機穩(wěn)定性措施，也要有接口穩(wěn)定性措施，還要有系統(tǒng)穩(wěn)定性措施，產品能夠充分應對各種突發(fā)的情況，并保持系統(tǒng)整體工作的穩(wěn)定性。3.2 選擇山石安全網關的原因基于中小企業(yè)的產品選型原則，方案建議采用的山石網科安全網關，在多核Plus G2硬件架構的基礎上，采用全并行架構，實現(xiàn)更高的執(zhí)行效率。并綜合實現(xiàn)了多個安全功能，完全能夠滿足中小企業(yè)安全產品的選型要求。山石網科安全網關在技術上具有如下的安全技術優(yōu)勢，包括：3.2.1 安全可靠的集中化管理山石網科安全管理中心采用了一種全新的方法來實現(xiàn)設備安全管理，通過提供集中的端到端生命周期管理來實現(xiàn)精細的設備配置、網絡設置、VPN配置和安全策略控制。山石網科安全管理中心可以清楚地分配角色和職責，從而使設備技術人員、網絡管理員和安全管理員通過相互協(xié)作來提高網絡管理效率，減少開銷并降低運營成本。 利用山石網科安全管理中心，可以為特定用戶分配適當?shù)墓芾斫尤霗嘞蓿◤闹蛔x到全面的編輯權限）來完成多種工作?？梢栽试S或限制用戶接入信息，從而使用戶可以作出與他們的角色相適應的決策。山石網科安全管理中心的一個關鍵設計理念是降低安全設備管理的復雜性，同時保證足夠的靈活性來滿足每個用戶的不同需求。為了實現(xiàn)這一目標，山石網科安全管理中心提供了一個綜合管理界面以便從一個集中位置上控制所有設備參數(shù)。管理員只需要點擊幾下鼠標就可以配置設備、創(chuàng)建安全策略或管理軟件升級。同時，只要是能夠通過山石網科安全管理中心進行配置的設備都可以通過CLI接入。 山石網科安全管理中心還帶有一種高性能日志存儲機制，使IT部門可以收集并監(jiān)控關鍵方面的詳細信息，如網絡流量、設備狀態(tài)和安全事件等。利用內置的報告功能，管理員還可以迅速生成報告來進行調查研究或查看是否符合要求。 山石網科安全管理中心采用了一種3層的體系結構，該結構通過一條基于TCP的安全通信信道安全服務器協(xié)議（SSP）相連接。SSP可以通過AES加密和SHA1認證來提供受到有效保護的端到端的安全通信功能。利用經過認證的加密TCP通信鏈路，就不需要在不同分層之間建立VPN隧道，從而大大提高了性能和靈活性。 山石網科安全管理中心提供統(tǒng)一管理功能，在一個統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報告功能，同時還使網絡管理中心的所有工作人員可以協(xié)同工作。山石網科網絡公司的集中管理方法使用戶可以在安全性和接入便利性之間達成平衡，對于安全網關這類安全設備的大規(guī)模部署非常重要。3.2.2 基于角色的安全控制與審計針對傳統(tǒng)基于IP的訪問控制和資源控制缺陷，山石網科采用RBNS（基于身份和角色的管理）技術讓網絡配置更加直觀和精細化，不同基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網絡資源(服務)的分配、基于”人“的日志審計三大方面?；诮巧墓芾砟Ｊ娇梢酝ㄟ^對訪問者身份審核和確認，確定訪問者的訪問權限，分配相應的網絡資源。在技術上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據泄露等問題。另外，在采用了RBNS技術后，使得審計記錄可以直接反追溯到真實的訪問者，更便于安全事件的定位。在本方案中，利用山石網科安全網關的身份認證功能，可結合AD域認證等技術，提供集成化的認證+控制+深度檢測+行為審計的解決方案，當訪問者需跨網關訪問時，網關會根據確認的訪問者身份，自動調用郵件系統(tǒng)內的郵件組信息，確定訪問者角色，隨后根據角色執(zhí)行訪問控制，限制其訪問范圍，然后再對訪問數(shù)據包進行深度檢測，根據角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問，或者存在可疑行為的訪問時，記錄到日志提供給系統(tǒng)員進行事后的深度分析。3.2.3 基于深度應用識別的訪問控制中小型企業(yè)的主要業(yè)務應用系統(tǒng)都建立在HTTP/HTTPS等應用層協(xié)議之上，新的安全威脅也隨之嵌入到應用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據端口或協(xié)議去設置安全策略，根本無法識別應用，更談不上安全防護。Hillstone山石網科新一代防火墻可以根據應用的行為和特征實現(xiàn)對應用的識別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據流也能應付自如。StoneOS識別的應用多達幾百種，而且跟隨著應用的發(fā)展每天都在增加；其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應用。同時，應用特征庫通過網絡服務可以實時更新，無須等待新版本軟件發(fā)布。3.2.4 深度內容安全(UTMPlus)山石網科安全網關可選UTMPlus軟件包提供病毒過濾，入侵防御，內容過濾，上網行為管理和應用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網絡的攻擊。關鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據庫可以幫助管理員輕松設置工作時間禁止訪問的網頁，提高工作效率和控制對不良網站的訪問。病毒庫，攻擊庫，URL庫可以通過網絡服務實時下載，確保對新爆發(fā)的病毒、攻擊、新的URL做到及時響應。由于中小企業(yè)包含了多個分支機構，一旦因某個節(jié)點遭到惡意代碼的傳播，病毒將會很快在企業(yè)的網絡內傳播，造成全網故障。在使用了山石網科安全網關后，并在全網各個節(jié)點的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個節(jié)點遭遇到病毒攻擊后，不會影響到其他節(jié)點。并且山石支持硬件病毒過濾技術，在邊界進行病毒查殺的時候，對性能不會造成過多影響。3.2.5 高性能病毒過濾對于中小企業(yè)而言，在邊界進行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網絡型病毒的有效工具，但是傳統(tǒng)病毒過濾技術由于需要在應用層解析數(shù)據包，因此效率很低，導致開啟病毒過濾后對全網的通信速度形成很大影響。山石安全網關在多核的技術上，對病毒過濾采取了全新的流掃描技術，也就是所謂的邊檢測邊傳輸技術，從而大大提升了病毒檢測與過濾的效率。l 流掃描策略傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機的病毒過濾解決方案實現(xiàn)的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個文件，然后開始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會經歷長時間延遲。對于大文件，用戶應用程序可能出現(xiàn)超時。山石網科掃描引擎是基于流的，病毒過濾掃描引擎在數(shù)據包流到達時進行檢查，如果沒有檢查到病毒，則發(fā)送數(shù)據包流。由此，用戶將看到明顯的延遲改善，并且他們的應用程序也將更快響應。流掃描技術僅需要緩存有限數(shù)量的數(shù)據包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時掃描。出于對高性能、低延遲、高可升級性的首要考慮，流掃描技術適合網關病毒過濾解決方案。l 基于策略的病毒過濾功能山石網科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進行病毒過濾掃描，哪些用戶或者用戶組進行掃描，以及哪些服務器和應用被保護。3.2.6 靈活高效的帶寬管理功能山石網科產品提供專有的智能應用識別(Intelligent Application Identification)功能，稱為IAI。IAI能夠對百余種網絡應用進行分類，甚至包括對加密的P2P應用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進行分類。山石網科QoS首先根據流量的應用類型對流量進行識別和標記。然后，根據應用識別和標記結果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應用實例是：用戶可以為關鍵網頁瀏覽設置高優(yōu)先級保證它們的帶寬使用；對于P2P下載流量，用戶可以為它們設置最低優(yōu)先級并且限制它們的最大帶寬使用量。將山石網科的角色鑒別以及IP QoS結合使用，用戶可以很容易地為關鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網科設備最多可支持20,000個不同IP地址及用戶角色的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當于系統(tǒng)中可容納最多40,000的QoS隊列。結合應用QoS，山石網科設備可提供另一層的流量控制。山石網科設備可以為每個用戶控制應用流量并對該用戶的應用流量區(qū)分優(yōu)先級。例如，對于同一個IP地址產生的不同流量，用戶可以基于應用分類結果指定流量的優(yōu)先級。在IP QoS里面使用應用QoS，甚至可以對每個IP地址進行流量控制的同時，還能夠對該IP地址內部應用類型的流量進行有效管控。除了高峰時間，用戶經常會發(fā)現(xiàn)他們的網絡帶寬并沒有被充分利用。山石網科的彈性QoS功能（FlexQoS）能夠實時探測網絡的出入帶寬利用率，進而動態(tài)調整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網絡使用性能?？傊ㄟ^采取山石網科產品所集成的帶寬管理功能，可以在用戶網絡中做到關鍵應用優(yōu)先，領導信息流量優(yōu)先，非業(yè)務應用限速或禁用，VoIP、視頻應用保證時延低、無抖動、音質清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網絡應用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應用，使得昂貴的帶寬能獲取最高的效益和高附加值應用。3.2.7 強大的URL地址過濾庫山石網科結合中國地區(qū)內容訪問的政策、法規(guī)和習慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當中小企業(yè)辦公網用戶訪問了不健康、反動、不安全的網站時，系統(tǒng)會根據不同的策略，進行報警、日志、阻斷等動作，實現(xiàn)健康上網；全面的URL地址庫也改變了現(xiàn)在各個分支機構自行手動配置URL地址的局限性，當時設備被部署到網絡中后，各個設備均采用統(tǒng)一標準的過濾地址庫，在進行URL訪問日志中也可以保持日志內容的一致性。3.2.8 高性能的應用層管控能力安全和速度始終是兩個對立面的事物。追求更高的網絡安全是需要以犧牲網絡通訊速度為代價的，而追求更高的網絡通訊速度則需要降低網絡安全標準。在目前依賴于網絡應用的時代，能夠做到應用層的安全檢測以及安全防護功能是所有安全廠商的目標。由于應用層的檢測需要進行深度的數(shù)據包解析，而使用傳統(tǒng)網絡平臺所帶來的網絡延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現(xiàn)。山石網科安全網關具有豐富的應用層管控能力，包括URL地址過濾功能、網頁內容關鍵字過濾功能、網頁敏感文件過濾功能、網頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實現(xiàn)敏感的URL地址、敏感關鍵字以及敏感文件等內容過濾，防止?jié)撛诘陌踩L險。此外，山石網科安全網關均采用多核系統(tǒng)架構，在性能上具有很高的處理能力，能夠實現(xiàn)大并發(fā)處理。3.2.9 高效IPSEC VPN所有的山石網科安全網關設備都支持對IPSec的硬件加速。每一個CPU核都有一個內嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時，IPSec的性能得到相應提高，不會成為瓶頸。山石網科安全網關設備的IPSec吞吐率最高可以達到8Gbps，達到和防火墻一樣的性能和設備極限。山石網科安全網關設備支持標準IPSec協(xié)議，能夠保障與第三方VPN進行通訊，建立隧道并實現(xiàn)安全的數(shù)據傳輸。3.2.10 高可靠的冗余備份能力山石網科安全網關能夠支持設備級別的HA解決方案，如A-P和A-A架構。山石網科的HA解決方案能夠為網絡層提供會話級別的狀態(tài)同步機制，保證在設備切換過程中數(shù)據傳輸?shù)倪B續(xù)性及網絡的持久暢通，甚至在設備進行主備切換的時候都不會中斷會話，為企業(yè)提供真正意義的網絡冗余解決方案。山石網科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。4 系統(tǒng)部署說明對于中小企業(yè)，在設計邊界安全防護時，首要進行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設常采用的方法，其好處在與可以將原本比較龐大的網絡劃分為多個單元，根據不同單元的資產特點、支撐業(yè)務類型分別進行安全防護系統(tǒng)的設計，保障了安全建設的針對性和差異性。安全域的定義是同一安全域內的系統(tǒng)有相同安全保護需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強，在實際劃分過程中有很多困難。在本方案中，建議按照資產重要性以及支撐的業(yè)務類型，縱向上可劃分為總部及分支機構域，從資產角度可根據業(yè)務類型的不同，將總部信息網絡劃分為ERP域、OA域、網站域、終端域和運維域等，而分支機構的域相對簡單，由于只有終端，因此不再細分。4.1 安全網關部署設計劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務系統(tǒng)安全域的邊界配置安全網關即可，配置后形成的邊界安全部署方案可參考下圖：部署要點：l 通過總部配置的山石網科安全管理中心，集中監(jiān)管各個分支機構邊界部署的山石網科安全網關，對日志進行集中管理；同時各個分支機構本地也部署管理終端，在本地對網關進行監(jiān)管；l 縱向鏈路的出口分別部署安全網關，實現(xiàn)對中小企業(yè)網的縱向隔離，對分支機構的上訪行為進行嚴格控制，杜絕非法或非授權的訪問；l 安全網關啟用源地址轉換策略，在終端上網過程中進行轉換，保障內網用戶上網的要求，同時啟用相應的日志，對上網行為進行有效記錄；l 安全網關在分支機構上網出口的鏈路上，運用深度應用識別技術，有效鑒別出哪些是合法的HTTP應用，哪些是過度占用帶寬的P2P和IM應用，對P2P和IM通過嚴格的帶寬限制功能能進行及限制，并對HTTP執(zhí)行保障帶寬策略，保障員工正常上網行為；l 安全網關與中小企業(yè)的AD域認證整合，在確認訪問者身份的基礎上，進行實名制的訪問控制，QOS控制，以及上網行為審計；l 安全網關內置全面的URL地址庫，用以對員工的訪問目標地址進行分類，對于非法網站進行封堵，且URL地址庫能夠自動升級，保障了該功能的持續(xù)性和完整性；l 安全網關運用IPSEC VPN技術，實現(xiàn)與總部的加密傳輸，作為現(xiàn)有專線的備份鏈路，在不增加投資的前提下提升系統(tǒng)的可靠性。l 安全網關運用SSL VPN技術，對移動辦公用戶配發(fā)USB KEY，當其需要遠程訪問企業(yè)網時，利用USB KEY與總部互聯(lián)網出口的安全網關建立VPN加密隧道，從而實現(xiàn)了安全可靠的遠程訪問。4.2 安全網關部署說明4.2.1 部署集中安全管理中心通過在總部部署山石網科安全管理中心，然后對分布在各個分支機構邊界的安全網關進行配置，使網關接受管理中心的集中管理來實現(xiàn)，并執(zhí)行如下的集中監(jiān)管。設備管理設備管理包括域管理和設備組管理，域和設備組都是用來組織被管理設備的邏輯組，域包含設備組。通過域的使用，可以實現(xiàn)設備的區(qū)域化管理；而通過設備組的使用，可以進一步將域中的設備進行細化分組管理。一臺設備可以同時屬于多個域或者設備組。只有超級管理員可以執(zhí)行域的操作以及添加設備和徹底刪除設備，普通管理員可以執(zhí)行設備組的操作，將設備從設備組中刪除。設備基本信息監(jiān)管顯示設備的基本信息，例如設備主機名稱、設備序列號、管理IP、設備運行時間、接口狀態(tài)以及AV相關信息等。通過客戶端可查看的設備屬性信息包括：設備基本信息以及設備實時統(tǒng)計信息，包括實時資源使用狀態(tài)、會話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過曲線圖顯示以上實時信息，使用戶能夠直觀的了解當前設備的各種狀態(tài)。日志瀏覽山石網科安全管理中心接收設備發(fā)送的多種日志信息，經過系統(tǒng)處理后，用戶可通過客戶端進行多維度、多條件的瀏覽。山石網科安全管理中心支持通過以下種類進行日志瀏覽：系統(tǒng)日志配置日志會話日志地址轉換日志上網日志流量監(jiān)控山石網科安全管理中心可以實時監(jiān)控以下對象的流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：設備接口（TOP 10）指定接口TOP 10 IP，進而可以查看指定IP的TOP 10應用的流量指定接口TOP 10應用，進而可以查看指定應用的TOP 10 IP的流量柱狀圖可分別按照上行流量、下行流量或者總流量進行排序；餅狀圖可分別根據上行流量、下行流量或者總流量顯示不同的百分比。攻擊監(jiān)控山石網科安全管理中心可以實時監(jiān)控以下對象的攻擊情況，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：設備接口遭受攻擊（TOP 10）指定接口發(fā)起攻擊TOP 10 IP，進而可以查看指定IP發(fā)起的TOP 10攻擊類型指定接口TOP 10攻擊類型，進而可以查看發(fā)起指定攻擊類型的TOP 10 IPVPN監(jiān)控山石網科安全管理中心可以實時監(jiān)控被管理設備的IPSec VPN和SCVPN隧道流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示。4.2.2 基于角色的管理配置對于中小企業(yè)辦公網而言，終端使用者的身份不盡相同，因此其訪問權限，對資源的要求等也不盡相同，實現(xiàn)差異化的訪問控制與資源保障。對此可通過山石網科安全網關的RBNS（基于身份和角色的管理）策略來實現(xiàn)。RBNS包含三個部分：用戶身份的認證、用戶角色的確定、基于角色控制和服務。l 在訪問控制部分，通過RBNS實現(xiàn)了基于用戶角色的訪問控制，使得控制更加精準；l 在QOS部分，通過RBNS實現(xiàn)了基于角色的帶寬控制，使得資源分配更加貼近中小企業(yè)辦公網的管理模式；l 在會話限制部分，通過RBNS實現(xiàn)了基于角色的并發(fā)限制，對于重要用戶放寬并發(fā)連接的數(shù)量，對于非重要用戶則壓縮并發(fā)連接的數(shù)量；l 在上網行為管理部分，通過RBNS實現(xiàn)了基于角色的上網行為管理；l 在審計部分，通過RBNS實現(xiàn)實名制審計，使審計記錄能夠便捷地追溯到現(xiàn)實的人員。在整合了AD域以及郵件系統(tǒng)后的實名制管理與控制方案后，在員工上網訪問過程中實現(xiàn)精細化的管理，大大降低了單純依靠IP地址帶來的安全隱患，也降低了配置策略的難度，還提升了日志的可追溯性； 整合后實名制監(jiān)管過程示意圖4.2.3 配置訪問控制策略山石網科多核安全網關可提供廣泛的應用層監(jiān)控、統(tǒng)計和控制過濾功能。該功能能夠對FTP、HTTP、P2P應用、IM以及VoIP語音數(shù)據等應用進行識別，并根據安全策略配置規(guī)則，保證應用的正常通信或對其進行指定的操作，如監(jiān)控、流量統(tǒng)計、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術，使設備能夠適應復雜的網絡環(huán)境，即使在完整的應用層數(shù)據被分片傳送且分片出現(xiàn)失序、亂序的情況下，也能有效的獲取應用層信息，從而保證安全策略的有效實施。山石網科安全網關，作用在中小企業(yè)的互聯(lián)網出口鏈路上，通過訪問控制策略，針對訪問數(shù)據包，根據數(shù)據包的應用訪問類型，進行控制，包括：l 限制不被許可的訪問類型：比如在只允許進行網頁瀏覽、電子郵件、文件傳輸，此時當終端用戶進行其他訪問（比如P2P），即使在網絡層同樣使用TCP 80口進行訪問數(shù)據包的傳送，但經過山石網科安全網關的深度應用識別后，分析出真實的應用后，對P2P和IM等過度占用帶寬的行為進行限制；l 限制不被許可的訪問地址：山石網科結合中國地區(qū)內容訪問的政策、法規(guī)和習慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當中小企業(yè)辦公網用戶訪問了不健康、反動、不安全的網站時，系統(tǒng)會根據不同的策略，進行報警、日志、阻斷等動作，實現(xiàn)健康上網；l 基于身份的訪問控制：傳統(tǒng)訪問控制的基礎是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特別是根據不同IP地址配置不同強度的訪問控制規(guī)則時，通過修改IP地址可以獲得較寬松的訪問限制，及時采用了IP+MAC綁定，但修改MAC也不是難事。山石網科安全網關支持與第三方認證的結合，可實現(xiàn)基于“實名制”下的訪問控制，將大大提升了訪問控制的精度。4.2.4 配置帶寬控制策略針對外網的互聯(lián)網出口鏈路，承載了員工上網的訪問，因此必須應采取帶寬控制，來針對不同訪問的重要級別，提供差異化的帶寬資源。(可以實現(xiàn)基于角色的QOS)l 基于角色的流量管理基于山石網科的多核 Plus G2安全架構，StoneOS Qos將Hillstone 山石網科的行為控制以及IP QoS結合使用，用戶可以很容易地為關鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網科設備最多可支持20,000個不同角色的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當于系統(tǒng)中可容納多于40,000的QoS隊列。結合應用QoS，山石網科設備可提供另一層的流量控制。山石網科設備可以為每個用戶控制應用流量并對該用戶的應用流量區(qū)分優(yōu)先級。例如，對于同一個角色產生的不同流量，用戶可以基于應用分類結果指定流量的優(yōu)先級。l 對應用控制流量和區(qū)分優(yōu)先級山石網科提供專有的智能應用識別（Intelligent Application Identification）功能，簡稱為IAI。IAI能夠對百余種網絡應用進行分類，甚至包括對加密的P2P應用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進行分類；Hillstone 山石網科還支持用戶自定義的流量，并對自定義流量進行分類；同時山石網科可以結合強大的policy對流量進行分類。山石網科 QoS首先根據流量的應用類型對流量進行識別和標記。然后，根據應用識別和標記結果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應用實例是：用戶可以為關鍵的ERP和OA流量設置高優(yōu)先級保證它們的帶寬使用；對于網頁瀏覽和P2P下載流量，用戶可以為它們設置最低優(yōu)先級并且限制它們的最大帶寬使用量。網吧用戶可以用這種方法控制娛樂流量并對娛樂流量區(qū)分優(yōu)先級。l 帶寬利用率最大化除了高峰時間，用戶經常會發(fā)現(xiàn)他們的網絡帶寬并沒有被充分利用。Hillstone 山石網科的彈性QoS功能（FlexQoS）能夠實時探測網絡的出入帶寬的利用率，進而動態(tài)調整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網絡使用性能。彈性QoS還允許用戶進行更加精細的控制，允許某一類的網絡使用者享有彈性QoS，另外一類不享有彈性QoS。以此功能用戶可以為網絡使用者提供差分服務。l 實時流量監(jiān)控和統(tǒng)計山石網科 QoS解決方案提供各種靈活報告和監(jiān)控方法，幫助用戶查看網絡狀況。用戶可以輕松查看接口帶寬使用情況、不同應用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網科設備提供帶寬使用情況的歷史記錄，為將來分析提供方便。同時用戶還可以自己定制想要的統(tǒng)計數(shù)據。4.2.5 上網行為日志管理通過山石網科安全網關，在實現(xiàn)分支機構員工上網訪問控制和QOS控制的基礎上，對行為進行全面記錄，來控制威脅的上網行為，并結合基于角色的管理技術，實現(xiàn)“實名制”審計，在本方案中將配置執(zhí)行如下的安全策略：l 網絡應用控制策略規(guī)則網絡應用控制策略規(guī)則，是根據名稱、優(yōu)先級、用戶、時間表、網絡行為以及控制動作構成上網行為管理策略規(guī)則的基本元素。通過WebUI配置上網行為管理策略規(guī)則，需要進行下列基本元素的配置：n 策略規(guī)則名稱 上網行為管理策略規(guī)則的名稱。n 優(yōu)先級 - 上網行為管理策略規(guī)則的優(yōu)先級。當有多條匹配策略規(guī)則的時候，優(yōu)先級高的策略規(guī)則會被優(yōu)先使用。n 用戶 上網行為管理策略規(guī)則的用戶，即發(fā)起網絡行為的主體，比如某個用戶、用戶組、角色、IP地址等。n 時間表 上網行為管理策略規(guī)則的生效時間，可以針對不同用戶控制其在特定時間段內的網絡行為。n 網絡行為 具體的網絡應用行為，比如MSN聊天、網頁訪問、郵件發(fā)送、論壇發(fā)帖等。n 控制動作 針對用戶的網絡行為所采取的控制動作，比如允許、拒絕某網絡行為或者對該行為或者內容進行日志記錄等。l 網頁內容控制策略規(guī)則網頁內容控制策略規(guī)則包括URL過濾策略規(guī)則和關鍵字過濾策略規(guī)則。網頁內容控制策略規(guī)則能夠對用戶訪問的網頁進行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預定義的URL類別和用戶自定義的URL類別，對用戶所訪問的網頁進行過濾。關鍵字過濾策略規(guī)則可以基于用戶自定義的關鍵字類別，對用戶所訪問的網頁進行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關鍵字的HTTPS加密網頁進行過濾。l 外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠對用戶的外發(fā)信息進行控制。Email控制策略規(guī)則能夠對通過SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進行控制，可以根據郵件的收件人、發(fā)件人、內容關鍵字、附件名稱和附件大小對郵件的發(fā)送進行限制。同時，能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠對通過HTTP Post方法上傳的含有某關鍵字的內容進行控制，如阻斷內網用戶在論壇發(fā)布含有指定關鍵字的帖子。l 例外設置對于特殊情況下不需要上網行為管理策略規(guī)則進行控制的對象，可以通過例外設置實現(xiàn)。例外設置包括免監(jiān)督用戶、黑白名單和Bypass域名。分級日志管理模式示意圖4.2.6 實現(xiàn)URL過濾山石網科結合中國地區(qū)內容訪問的政策、法規(guī)和習慣量身定制了強大的URL地址庫，包含數(shù)千萬條域名的分類web頁面庫，并能夠實時同步更新，該地址庫將被配置在所有分支機構出口的山石安全網關上，對員工訪問的目標站點進行檢查，保障健康上網。山石網科提供的URL過濾功能包含以下組成部分：l 黑名單：包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數(shù)不同。l 白名單：包含允許訪問URL。不同平臺白名單包含的最大URL條數(shù)不同。l 關鍵字列表：如果URL中包含有關鍵字列表中的關鍵字，則PC不可以訪問該URL。不同平臺關鍵字列表包含的關鍵字條目數(shù)不同。l 不受限IP：不受URL過濾配置影響，可以訪問任何網站。l 只允許用域名訪問：如果開啟該功能，用戶只可以通過域名訪問Internet，IP地址類型的URL將被拒絕訪問。l 只允許訪問白名單里的URL：如果開啟該功能，用戶只可以訪問白名單中的URL，其它地址都會被拒絕。4.2.7 實現(xiàn)網絡病毒過濾隨著病毒技術的發(fā)展，網絡型病毒（比如蠕蟲、木馬等）已經被廣泛應用了，這種病毒的特點是沒有宿主就可以傳播，在網