毕业设计上网行为管理产品的设计与应用

1目录目录第一 章 绪 论 .11.1 混合式 威胁及背景介绍 .11.2 需求 分析 .2第二 章 网络安 全设计及产品功能介绍 .52.1 设计 原则 .52.2 设计思 想 .52.3 上网行 为管理 产品 功能介绍 .62.3.1 控制功能：细 致的访 问控制功能，有效管理用户上网 .62.3.2 监控 功能：完善的内容过虑和访问 审计功能，防止机密信息泄漏 .72.3.3 报表 功能：强大的数据报表中心，提供直 观的上网数据统计 .82.3.4 带宽及 流量 管理 功能：强大的 QOS 功能及流量分析 .9第 三章 关键技术 原理分析 .113.1 身份认证 的唯 一性 .113.2 内 容检 测技术及在线网关监控技术 及时封堵 P2P、IM 软件 .113.3 流量 控制、 带宽管理， 提升带宽利用率 多线路负载均衡智能流控 .133.4 网络访 问准入规则 .153.5 非法网 站站、受 控邮件关键字等数据库内容的及时更新 .163.6 数据 中心 和报表功能 .173.7 SSL 流量 控制 .18第 四章 花都区教育局 上网行为管理解决方 案内容及技术路线 .214.1 需求 分析 .214.2 客户网 络现 状分析 .234.3 设备 选型及 介绍 .234.4 具体 实施 .244.4.1 网桥 模式部署总部网 .244.4.2 实施效 果 .254.5 技 术路 线 .26第五章 方案 优点及给客户带来 的价值 .272目录5.1 管理网 络带宽 .275.2 保障内网 完全 .285.3 提 高生产 效率 .295.4 规 避法律 责任 .325.5 独立的数据 中心 .335.6 智能排障技 术 .35结论 .37致谢 .39参考文 献 .411第一章 绪论第一章 绪论1.1 混合式威胁及背景介绍随着网络的发展和 Internet 的广泛应用，当今的网络安全威胁已经由原来的针对 TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾 2004 年以来，以冲击波、震荡波、安哥 Bot、MyDoom 等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球造成了巨大的损失。据统计，仅 2005 年，病毒等恶意程序就给全球造成了 1690 亿美元的经济损失 【1】 。与此同时，越来越多的单位发现，安全威胁不仅来自外部，单位内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。据 IDC 报告，70%的安全损失是由单位内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首 ”。比如：网页浏览、 BT 下载、IM 实时通信、P2P 文件共享等行为。不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了单位网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题 【2】 。此时，传统的防火墙已经显得无能为力。例如针对 Windows 系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在 TCP/IP 协议的有效载荷部分。传统的防火墙由于只查 TCP/IP 协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。另外，基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失，层出不穷的即时消息和 P2P 应用（例如MSN、 QQ、 BT 等）给单位带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时，已经不能满足客户的安全需求 【3】 。据美国 CSI/FBI 的调查结果显示，企业和政府机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。同时，据中国公安部最新统计，70的泄密犯罪来自于内部；电脑应用单位 80未设立相应的安全管理系统、技术措施和制度 【3】 。因而，上网行为管理设备应运而生，它是统一威胁管理（United Treatment Management）的英文缩写，即一体化的安全设备。通常上网行为管理设备包括防2上网行为管理产品的设计与应用火墙，AC，网关防病毒和 IPS 等多种功能。目前已经成为网络安全产品的一个发展方向。 图 1.1 IDC 上网行为调查分析图 【3】1.2 需求分析随着企业规模的不断增大和分支机构的众多，几年前因为网络发展情况有限，各个分支机构都需要具有自己独立的数据和业务系统，并且每个分支机构都需要有单独的 IT 设备以支持这些 IT 应用，每个分支机构也需要全职或兼职的 IT 管理员对数据和应用系统进行维护，安全保障和容灾备份等，虽然这种数据分布式的部署结构的确存在一些不尽如人意的地方，但是受限于当时的网络环境和情况，这种数据分布式的部署结构适应了当时的环境要求和用户需求。但是随着近几年网络的迅速发展，这种分布式数据部署方式呈现的问题逐渐引起用户的关注：（1）数据分布式部署导致数据不统一，各自为政，做一次数据汇总很麻烦。（2）各个分支机构都需要采购独立的设备，并且需要专门的人员进行维护，增加了采购成本和维护成本。（3）各分支机构单独进行数据的容灾备份，单独进行数据安装保障。当今网络环境的改善，使得各个分支机构完成和总部的互联成为可能，据IDC 调查，世界 500 强企业中，绝大部分现在都在从几年前的数据分布式部署的模式中向数据大集中进行迁移。数据集中后，怎样实现分支机构对总部的数据访3第一章 绪论问，同时需要考虑该实现方式的数据传输的安全性，高效性，和接入用户访问资源的可控性，即为不同用户分组授权 【4】 。另一方面，随着企业规模的扩大，越来越多的员工会出差在外或在家里移动办公，公司的领导经常出差在外，在机场，在酒店，都需要能够接入公司内部网络进行办公和紧急事务处理，怎样为移动办公的用户提供一种接入公司内部网络的方式，同时对于员工的接入需要针对不同用户进行不同授权，访问行为必须可控和有访问行为记录可查，针对移动办公人员 IT 水平不一，接入终端设备型号繁多而不可控，所以该实现方式需要使用简单，支持多种终端接入，在易用性、高效性、安全性等方面都需要格外关注 【5】 。随着 Internet 的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。比如：部分员工使用 P2P 软件，如 BT，迅雷等肆意进行 P2P 下载，那么公司的公网接入带宽将被耗尽，几个员工使用 P2P 下载将导致其他员工访问 Internet 非常慢，影响了正常的工作环境。同时也不能粗暴的将员工使用的 P2P 软件完全限制掉，因为有些业务的需要还必须通过 P2P 软件下载，针对情况这就需要采取灵活方式，一方面限制使用 P2P 下载软件的员工对带宽的占用，同时保证其他员工对公网资源的正常访问和使用。不管是普通员工还是高级经理对公网的访问都需要进行监控和记录，以便事后审计。从法律角度讲，公安部的 82 号令要求：所有对 Internet 有访问行为的企事业和单位，都需要部署专门的设备，以保留对公网的访问行为记录60 天以上 【6】 。所以，针对内部员工上网，需要进行限制、监控和审计；针对有需要的部分员工，不能完全禁止其使用 BT，迅雷等 P2P 软件，只能对其使用的 P2P 软件占用的带宽进行有效控制，对所有员工的上网行为也需要做记录，以满足公安部 82号令的要求。通过如上这些分析可以看到，对于类似具有分支机构的大型企业信息化建设，有以下几个方面需要企业的负责人和 IT 管理人员加以解决：（一）怎样让众多分支机构实现和总部的互联。需考虑数据传输的安全性、高效性和访问的可控性。（二）怎样满足移动办公人员对企业内部网络的访问。需要考虑数据传输的安全性、高效性，易用性和对终端设备的广泛支持。4上网行为管理产品的设计与应用（三）对内网员工的上网行为进行规范，控制和审计；对员工使用 P2P 下载软件进行流量管理，上网行为进行记录和监控。解决以上问题一方面可以提高企业的效率，做到数据统一，实现远程移动员工安全访问内网，对内网用户访问公网进行管理，避免法律效率等问题 【7】 。5第二章 网络安全设计及产品功能介绍第二章 网络安全设计及产品功能介绍2.1 设计原则在设计网络安全技术方案时要遵从以下原则：（1）整体均衡原则 要对信息系统进行全面均衡的保护，要提高整个信息系统的“安全最低点“ 的安全性能，保证各个层面防护的均衡。 （2）安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。（3）标准化与一致性原则 在技术、设备选型方面必须遵循一系列的业界标准，充分考虑不同设备技术之间的兼容一致性。（4）区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。（5）动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。（6）保护原有投资原则设计技术方案时，要尽量利用现有的设备与软件，避免投资浪费，这些设备包括安全设备、网络设备等。2.2 设计思想1）对症下药：对于网速过慢，不单是封堵影响网速的 P2P 软件的应用，更重要的是对流量进行限制，灵活控制职员使用 P2P 软件；针对政府人员用户名和密码被盗用，采用反钓鱼网站技术，有效防止内网用户登陆钓鱼网站造成巨大资源损失。6上网行为管理产品的设计与应用2）防患未然：为了有效防止外网不安全因素（木马、钓鱼网站地址、间谍工具）带入内网，采用客户端准入规则，只有符合安全要求的客户端才能接出外网，增强职员的自我保护意识。3）优化管理：对于职员可能访问的网页，博客，BBS，论坛等进行 URL 限制，或者做完全内容记录，尽可能降低法律责任。为了有效对职员上网行为管理，防止出现滥用、误用、盗用的行为，增加对数据中心的支持，让管理者以直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态。4）完美匹配：与原有网络中的设备完美结合，没有改变原有网络拓扑结构。2.3 上网行为管理产品功能介绍2.3.1 控制功能：细致的访问控制功能，有效管理用户上网AC 安全网关不仅可以对员工访问 WEB、FTP、MAIL 等常用服务的内容进行控制，更可以对 QQ、BT、MSN、SKYPE 等各种 P2P 软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的 Internet 的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于 Web 的和 LDAP/Radius 集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。表 2.1 访问控制功能一览表功能模块 功能 性能指标IPMAC 绑定 结合准入规则功能，可实现跨三层交换机的 IP-MAC 绑定功能WEB 认证WEB 认证的用户名和密码可以使用本地用户密码也可以和 LDAP 服务器、Microsoft 的 AD 服务器、 Radius 服务器，POP3 服务器联动 身份认证单点登录支持基于 Microsoft AD 域的单点登陆，用户登陆域以后，不需要再次在 WEB 认证页面输入密码客户端安全检查网络准入规则对上网的终端进行安全检查，可检查是否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全补丁以及是否运行了某个不该运行的软件策略管理 分组、分时段，有选择性的封堵各种上网行为上网权限控制 代理检测能识别采用 Http、Https、Socks 等代理服务器绕过防火墙检查的行为，防止访问非法网站7第二章 网络安全设计及产品功能介绍P2P 控制 允许管理员有选择性的封堵各种 P2P 和 IM 软件上网时长限制在用户达到管理员设定的最长上网时间后拒绝该用户对互联网的继续访问URL 控制数十种多达 300 万条 URL 库，控制对危险、反动、色情等各类站点的访问关键字过滤基于网址/搜索引擎以及 HTTP 上传的关键字过滤功能。如通过WEB 发邮件、通过 BBS 发表言论文件类型过滤对 HTTP/ FTP 上传下载的文件做文件类型过滤邮件过滤可对发送的邮件做关键字、邮箱地址的过滤。保证内部机密信息不外泄漏内容过滤SSL 证书过滤及控制通过对网站的数字证书和数字签名进行审核和对照，利用 SSL 证书库内置的可信任证书颁布机构列表，对 SSL 连接的证书内容进行可信度评估，当危险站点采用了伪造的数字证书来骗取内网用户信任时，AC 可以判断出其本来面目并进行阻断，避免组织成员蒙受经济损失。2.3.2 监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。 AC 安全网关完善的访问审计和监控功能能够有效防止信息通过 Internet 泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用了“邮件延迟审计” 的专利技术来保证先审计后发送。当有邮件发送时，会暂时保存在设备上，并由设备自动发送邮件通知邮件审计人进行审核，以确定该邮件是否可以发送。可以对关键字进行过滤，如不允许员工访问带有“艳照门”关键字的网页。 AC 的访问审计/监控模块为企业构筑了强大的内部安全屏障。表 2.2 访问审计功能一览表功能 详细指标邮件延迟审计 对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄8上网行为管理产品的设计与应用实时监控 实时监控用户的上网行为内网监控 针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录，以监控员工上班时间的工作行为，防止企业内部机密、情报等泄漏，并事后追查责任