安全生产_典型中小企业网络边界安全解决方案

典型中小型企业网络边界安全解决方案典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc.2010年9月29日目录1前言41.1方案目的41.2方案概述42安全需求分析62.1典型中小企业网络现状分析62.2典型中小企业网络安全威胁82.3典型中小企业网络安全需求102.3.1需要进行有效的访问控制102.3.2深度应用识别的需求112.3.3需要有效防范病毒112.3.4需要实现实名制管理112.3.5需要实现全面URL过滤122.3.6需要实现IPSEC VPN122.3.7需要实现集中化的管理123安全技术选择133.1技术选型的思路和要点133.1.1首要保障可管理性133.1.2其次提供可认证性133.1.3再次保障链路畅通性143.1.4最后是稳定性143.2选择山石安全网关的原因143.2.1安全可靠的集中化管理153.2.2基于角色的安全控制与审计163.2.3基于深度应用识别的访问控制173.2.4深度内容安全(UTMPlus)173.2.5高性能病毒过滤183.2.6灵活高效的带宽管理功能193.2.7强大的URL地址过滤库213.2.8高性能的应用层管控能力213.2.9高效IPSEC VPN223.2.10高可靠的冗余备份能力224系统部署说明234.1安全网关部署设计244.2安全网关部署说明254.2.1部署集中安全管理中心254.2.2基于角色的管理配置294.2.3配置访问控制策略304.2.4配置带宽控制策略314.2.5上网行为日志管理334.2.6实现URL过滤354.2.7实现网络病毒过滤364.2.8部署IPSEC VPN374.2.9实现安全移动办公385方案建设效果381 前言1.1 方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。1.2 方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：l 实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；l 实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。l 保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；l 保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为；l 保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；l 实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户管理措施，通常通过AD域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；l 实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；l 对移动办公的安全保障：利用安全网关的SSL VPN功能，提供给移动办公人员进行远程安全传输保护，确保数据的传输安全性；2 安全需求分析2.1 典型中小企业网络现状分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：典型中小企业组网结构示意图2.2 典型中小企业网络安全威胁在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括：【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；【恶意代码传播】大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范ARP欺骗】大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺骗就是某台主机伪装成网关，发布虚假的ARP信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密；【恶意访问】对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。这种恶意访问行为包括：过度使用P2P进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】常见的访问控制措施，还是QOS措施，其控制依据都是IP地址，而众所周知IP地址是很容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装成高级别员工的地址，从而可占用更多的资源。身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据IP地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；【不安全的远程访问】对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。【缺乏集中监控措施】典型中小型企业的特点是，集中管理，分布监控，但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。2.3 典型中小企业网络安全需求针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。2.3.1 需要进行有效的访问控制网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。2.3.2 深度应用识别的需求引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的P2P和IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和QOS，提升控制和限制的精度和力度。对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。2.3.3 需要有效防范病毒在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。2.3.4 需要实现实名制管理应对依托IP地址进行控制，QOS和日志的缺陷，应实现基于用户身份的访问控制、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网请求时，根据IP地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。2.3.5 需要实现全面URL过滤应引入专业性的URL地址库，并能够分类和及时更新，保障各个分支机构在执行URL过滤策略是，能够保持一致和同步。2.3.6 需要实现IPSEC VPN利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。2.3.7 需要实现集中化的管理集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。3 安全技术选择3.1 技术选型的思路和要点现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。3.1.1 首要保障可管理性网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。3.1.2 其次提供可认证性设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。对于中小企业而言，设备必须能够与中小企业的AD域管理整合，通过AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS，根据身份来记录上网行为日志。3.1.3 再次保障链路畅通性对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低管理难度，提高控制精度。中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。3.1.4 最后是稳定性选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。3.2 选择山石安全网关的原因基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。山石网科安全网关在技术上具有如下的安全技术优势，包括：3.2.1 安全可靠的集中化管理山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。 利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。 山石网科安全管理中心还带有一种高性能日志存储机制，使IT部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。 山石网科安全管理中心采用了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道安全服务器协议（SSP）相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧道，从而大大提高了性能和灵活性。 山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。3.2.2 基于角色的安全控制与审计针对传统基于IP的访问控制和资源控制缺陷，山石网科采用RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。另外，在采用了RBNS技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。3.2.3 基于深度应用识别的访问控制中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。3.2.4 深度内容安全(UTMPlus)山石网科安全网关可选UTMPlus软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击后，不会影响到其他节点。并且山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。3.2.5 高性能病毒过滤对于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通信速度形成很大影响。山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也就是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。l 流扫描策略传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，如果没有检查到病毒，则发送数据包流。由此，用户将看到明显的延迟改善，并且他们的应用程序也将更快响应。流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。l 基于策略的病毒过滤功能山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保护。3.2.6 灵活高效的带宽管理功能山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键网页浏览设置高优先级保证它们的带宽使用；对于P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。将山石网科的角色鉴别以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS，甚至可以对每个IP地址进行流量控制的同时，还能够对该IP地址内部应用类型的流量进行有效管控。除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。总之，通过采取山石网科产品所集成的带宽管理功能，可以在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能获取最高的效益和高附加值应用。3.2.7 强大的URL地址过滤库山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性，当时设备被部署到网络中后，各个设备均采用统一标准的过滤地址库，在进行URL访问日志中也可以保持日志内容的一致性。3.2.8 高性能的应用层管控能力安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。山石网科安全网关具有丰富的应用层管控能力，包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等，能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。此外，山石网科安全网关均采用多核系统架构，在性能上具有很高的处理能力，能够实现大并发处理。3.2.9 高效IPSEC VPN所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎，这保证了在CPU核数增加时，IPSec的性能得到相应提高，不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps，达到和防火墙一样的性能和设备极限。山石网科安全网关设备支持标准IPSec协议，能够保障与第三方VPN进行通讯，建立隧道并实现安全的数据传输。3.2.10 高可靠的冗余备份能力山石网科安全网关能够支持设备级别的HA解决方案，如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都不会中断会话，为企业提供真正意义的网络冗余解决方案。山石网科安全甚至还能够提供VPN传输的状态同步，并包括SA状态的同步。4 系统部署说明对于中小企业，在设计边界安全防护时，首要进行的就是安全区域的划分，划分安全域是信息安全建设常采用的方法，其好处在与可以将原本比较庞大的网络划分为多个单元，根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计，保障了安全建设的针对性和差异性。安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有很多困难。在本方案中，建议按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可根据业务类型的不同，将总部信息网络划分为ERP域、OA域、网站域、终端域和运维域等，而分支机构的域相对简单，由于只有终端，因此不再细分。4.1 安全网关部署设计划分安全域后，可在所有安全域的边界，特别是重要的业务系统安全域的边界配置安全网关即可，配置后形成的边界安全部署方案可参考下图：部署要点：l 通过总部配置的山石网科安全管理中心，集中监管各个分支机构边界部署的山石网科安全网关，对日志进行集中管理；同时各个分支机构本地也部署管理终端，在本地对网关进行监管；l 纵向链路的出口分别部署安全网关，实现对中小企业网的纵向隔离，对分支机构的上访行为进行严格控制，杜绝非法或非授权的访问；l 安全网关启用源地址转换策略，在终端上网过程中进行转换，保障内网用户上网的要求，同时启用相应的日志，对上网行为进行有效记录；l 安全网关在分支机构上网出口的链路上，运用深度应用识别技术，有效鉴别出哪些是合法的HTTP应用，哪些是过度占用带宽的P2P和IM应用，对P2P和IM通过严格的带宽限制功能能进行及限制，并对HTTP执行保障带宽策略，保障员工正常上网行为；l 安全网关与中小企业的AD域认证整合，在确认访问者身份的基础上，进行实名制的访问控制，QOS控制，以及上网行为审计；l 安全网关内置全面的URL地址库，用以对员工的访问目标地址进行分类，对于非法网站进行封堵，且URL地址库能够自动升级，保障了该功能的持续性和完整性；l 安全网关运用IPSEC VPN技术，实现与总部的加密传输，作为现有专线的备份链路，在不增加投资的前提下提升系统的可靠性。l 安全网关运用SSL VPN技术，对移动办公用户配发USB KEY，当其需要远程访问企业网时，利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道，从而实现了安全可靠的远程访问。4.2 安全网关部署说明4.2.1 部署集中安全管理中心通过在总部部署山石网科安全管理中心，然后对分布在各个分支机构边界的安全网关进行配置，使网关接受管理中心的集中管理来实现，并执行如下的集中监管。设备管理设备管理包括域管理和设备组管理，域和设备组都是用来组织被管理设备的逻辑组，域包含设备组。通过域的使用，可以实现设备的区域化管理；而通过设备组的使用，可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备，普通管理员可以执行设备组的操作，将设备从设备组中删除。设备基本信息监管显示设备的基本信息，例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。通过客户端可查看的设备属性信息包括：设备基本信息以及设备实时统计信息，包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息，使用户能够直观的了解当前设备的各种状态。日志浏览山石网科安全管理中心接收设备发送的多种日志信息，经过系统处理后，用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览：系统日志配置日志会话日志地址转换日志上网日志流量监控山石网科安全管理中心可以实时监控以下对象的流量，并在客户端通过饼状图或者柱状图直观显示：设备接口（TOP 10）指定接口TOP 10 IP，进而可以查看指定IP的TOP 10应用的流量指定接口TOP 10应用，进而可以查看指定应用的TOP 10 IP的流量柱状图可分别按照上行流量、下行流量或者总流量进行排序；饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。攻击监控山石网科安全管理中心可以实时监控以下对象的攻击情况，并在客户端通过饼状图或者柱状图直观显示：设备接口遭受攻击（TOP 10）指定接口发起攻击TOP 10 IP，进而可以查看指定IP发起的TOP 10攻击类型指定接口TOP 10攻击类型，进而可以查看发起指定攻击类型的TOP 10 IPVPN监控山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量，并在客户端通过饼状图或者柱状图直观显示。4.2.2 基于角色的管理配置对于中小企业办公网而言，终端使用者的身份不尽相同，因此其访问权限，对资源的要求等也不尽相同，实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS（基于身份和角色的管理）策略来实现。RBNS包含三个部分：用户身份的认证、用户角色的确定、基于角色控制和服务。l 在访问控制部分，通过RBNS实现了基于用户角色的访问控制，使得控制更加精准；l 在QOS部分，通过RBNS实现了基于角色的带宽控制，使得资源分配更加贴近中小企业办公网的管理模式；l 在会话限制部分，通过RBNS实现了基于角色的并发限制，对于重要用户放宽并发连接的数量，对于非重要用户则压缩并发连接的数量；l 在上网行为管理部分，通过RBNS实现了基于角色的上网行为管理；l 在审计部分，通过RBNS实现实名制审计，使审计记录能够便捷地追溯到现实的人员。在整合了AD域以及邮件系统后的实名制管理与控制方案后，在员工上网访问过程中实现精细化的管理，大大降低了单纯依靠IP地址带来的安全隐患，也降低了配置策略的难度，还提升了日志的可追溯性； 整合后实名制监管过程示意图4.2.3 配置访问控制策略山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。山石网科安全网关，作用在中小企业的互联网出口链路上，通过访问控制策略，针对访问数据包，根据数据包的应用访问类型，进行控制，包括：l 限制不被许可的访问类型：比如在只允许进行网页浏览、电子邮件、文件传输，此时当终端用户进行其他访问（比如P2P），即使在网络层同样使用TCP 80口进行访问数据包的传送，但经过山石网科安全网关的深度应用识别后，分析出真实的应用后，对P2P和IM等过度占用带宽的行为进行限制；l 限制不被许可的访问地址：山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；l 基于身份的访问控制：传统访问控制的基础是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特别是根据不同IP地址配置不同强度的访问控制规则时，通过修改IP地址可以获得较宽松的访问限制，及时采用了IP+MAC绑定，但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合，可实现基于“实名制”下的访问控制，将大大提升了访问控制的精度。4.2.4 配置带宽控制策略针对外网的互联网出口链路，承载了员工上网的访问，因此必须应采取带宽控制，来针对不同访问的重要级别，提供差异化的带宽资源。(可以实现基于角色的QOS)l 基于角色的流量管理基于山石网科的多核 Plus G2安全架构，StoneOS Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统中可容纳多于40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个角色产生的不同流量，用户可以基于应用分类结果指定流量的优先级。l 对应用控制流量和区分优先级山石网科提供专有的智能应用识别（Intelligent Application Identification）功能，简称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类；Hillstone 山石网科还支持用户自定义的流量，并对自定义流量进行分类；同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；对于网页浏览和P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。l 带宽利用率最大化除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制，允许某一类的网络使用者享有弹性QoS，另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。l 实时流量监控和统计山石网科 QoS解决方案提供各种灵活报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备提供带宽使用情况的历史记录，为将来分析提供方便。同时用户还可以自己定制想要的统计数据。4.2.5 上网行为日志管理通过山石网科安全网关，在实现分支机构员工上网访问控制和QOS控制的基础上，对行为进行全面记录，来控制威胁的上网行为，并结合基于角色的管理技术，实现“实名制”审计，在本方案中将配置执行如下的安全策略：l 网络应用控制策略规则网络应用控制策略规则，是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：n 策略规则名称 上网行为管理策略规则的名称。n 优先级 - 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候，优先级高的策略规则会被优先使用。n 用户 上网行为管理策略规则的用户，即发起网络行为的主体，比如某个用户、用户组、角色、IP地址等。n 时间表 上网行为管理策略规则的生效时间，可以针对不同用户控制其在特定时间段内的网络行为。n 网络行为 具体的网络应用行为，比如MSN聊天、网页访问、邮件发送、论坛发帖等。n 控制动作 针对用户的网络行为所采取的控制动作，比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。l 网页内容控制策略规则网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别，对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进行过滤，同时，能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。l 外发信息控制策略规则外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则，能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制，可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键字的帖子。l 例外设置对于特殊情况下不需要上网行为管理策略规则进行控制的对象，可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。分级日志管理模式示意图4.2.6 实现URL过滤山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库，包含数千万条域名的分类web页面库，并能够实时同步更新，该地址库将被配置在所有分支机构出口的山石安全网关上，对员工访问的目标站点进行检查，保障健康上网。山石网科提供的URL过滤功能包含以下组成部分：l 黑名单：包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。l 白名单：包含允许访问URL。不同平台白名单包含的最大URL条数不同。l 关键字列表：如果URL中包含有关键字列表中的关键字，则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。l 不受限IP：不受URL过滤配置影响，可以访问任何网站。l 只允许用域名访问：如果开启该功能，用户只可以通过域名访问Internet，IP地址类型的URL将被拒绝访问。l 只允许访问白名单里的URL：如果开启该功能，用户只可以访问白名单中的URL，其它地址都会被拒绝。4.2.7 实现网络病毒过滤随着病毒技术的发展，网络型病毒（比如蠕虫、木马等）已经被广泛应用了，这种病毒的特点是没有宿主就可以传播，在网