Hillstone山石网科中小企业网络安全解决方案_V.doc

Hillstone山石网科中小企业网络安全解决方案中小企业网络安全解决方案意见征询稿Hillstone Networks Inc.2011年4月13日概要对于中小企业而言，其信息网络的典型特点为：系统依托互联网平台进行建设，实现总部和分支机构的互联互通，而互联网平台的开放性导致了中小企业信息网络面临较多的安全威胁，无论是外部和内部的恶意攻击、大规模蠕虫病毒的传播、黑客在互联网平台上的搭线窃听，都对中小企业信息系统的正常运行带来威胁，造成重要的商业数据被破坏，信息网络瘫痪，业务中断等，这些因素都促进中小企业进行信息网络安全建设的步伐。根据HillstontHillstone山石网科在中小企业信息安全建设中的经验，提炼并总结出针对中小企业信息网络安全建设的一套思路和方法，运用Hillstone山石网科综合安全网关，为中小企业信息网络提供：1. 分级分域的安全防范l 针对中小企业信息网络内不同业务的重要性不同，访问主体不同，访问过程不同的特点，按照分级分域的思路，将中小企业信息网络划分为多个保护对象，并针对不同的保护对象实施不同强度的保护措施和安全策略；2. 实现综合防范l 随着信息网络应用技术的发展，攻击手段也发生了极大的变化，单一的防护技术很难应对当前复杂的安全威胁，Hillstone山石网科安全网关综合运用访问控制、入侵防护、病毒过滤、QOS、VPN、抗攻击、安全审计等多种技术手段，为中小企业提供更全面的安全保护；3. 全面集中管理l 中小企业的管理特点为：总部集中管理，分支受限管理。针对此特点，本方案针对分布在各个分支机构安全设备的管理，通过Hillstone山石网科集中管理系统，实现对各分支机构节点的安全设备的集中监管，包括设备状态监管、设备日志集中处理，安全策略集中下发等。4. 与第三方安全技术融合l 本方案的重点是网络安全，通过在安全域的边界，运用综合的安全技术，来保障企业信息系统的安全，提升网络的抗攻击能力。但网络安全只是企业整体安全的一部分，对此方案设计通过Hillstone山石网科安全网关与第三方安全技术的整合，使得网络安全能够与企业的安全技术更有机地结合起来。目录1方案应用背景52安全需求分析62.1典型中小企业信息网络特点分析62.1.1多业务多角色特点82.1.2开放性高的特点82.1.3集中化管理的特点82.2典型中小企业网络安全问题分析92.2.1非法和越权的访问92.2.2外部恶意代码与攻击102.2.3远程访问中被窃听和篡改102.2.4不安全的互联网访问112.3典型中小企业网络安全需求分析112.3.1需要控制访问的合规性112.3.2需要保障健康的互联网访问122.3.3需要有效防范外部威胁132.3.4需要有效识别角色并控制132.3.5需要有带宽控制措施132.3.6需要实现更安全的远程访问142.3.7需要实现集中化的管理143安全技术选择153.1技术选型的思路和要点153.1.1首要保障可管理性153.1.2其次提供可认证性163.1.3再次保障链路畅通性163.1.4最后是稳定性163.2选择Hillstone山石网科安全网关的原因173.2.1安全可靠的集中化管理173.2.2基于角色的安全控制与审计183.2.3基于深度应用识别的访问控制193.2.4深度内容安全(UTMPlus)193.2.5灵活高效的带宽管理功能203.2.6强大的URL地址过滤库223.2.7高效的数据传输加密技术223.2.8高可靠的冗余备份能力224系统部署说明234.1安全域划分设计234.2安全网关部署设计244.3安全网关策略设计264.3.1访问控制策略264.3.2基于角色的控制策略274.3.3带宽控制策略设计284.3.4上网行为管理策略304.3.5URL过滤策略设计314.3.6攻击检测与防护策略324.3.7病毒过滤策略设计334.3.8数据安全传输策略344.4集中安全管理设计355方案建设效果391 方案应用背景根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。本方案设计的典型中小企业，网络架构为两级结构，纵向上划分为总部与分支机构，总部集中了所有的重要业务服务器和数据库，运行的典型应用包括与生产业务相关的ERP系统，支撑员工日常办公业务的OA系统，对外宣传使用的网站系统等；分支机构只有终端，各个分支机构的业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案运用Hillstone山石网科安全网关，在用综合性的安全技术，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度进行有效建设，在提升信息网络的抗攻击能力同时， 进一步控制内部人员的访问，确保安全。2 安全需求分析2.1 典型中小企业信息网络特点分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：典型中小企业组网结构示意图根据Hillstone山石网科在中小企业的安全建设经验，总结出中小企业的信息网络具有如下特点：2.1.1 多业务多角色特点企业信息网络内运行了多种业务系统，既有与企业经营活动直接相关的生产系统，也有提供给员工处理日常事务的办公系统，还有对外宣传或者对外提供服务的网站系统等，不同业务其重要性是不同的。对应的企业内有多种类型的访问用户，典型的有研发、生产、销售、财务等，不同角色用户能够处理的业务是不同的，及时同一类角色不同级别用户能够处理的资源是不同的。多业务多角色决定了企业的安全建设必须充分考虑差异性。2.1.2 开放性高的特点依托互联网平台实现企业互联互通，是大多数中小企业的典型建设方案，虽然有些中型企业采用专线来实现总部与分支机构的连接，但是这些中型企业往往也会依托互联网作为专线链路的备份，在不增加投资的情况下多一份可靠性的保障。那么互联网的开放性也就导致了中小企业信息网络的开放性特点，也使得中小企业往往面临更多的安全威胁。2.1.3 集中化管理的特点中小企业的管理模式往往采用总部集中的方式，即总部对分支机构进行监督，而分支机构在有效的访问内对本节点进行控制，这种特点往往也被应用到信息网络的建设和管理中。表现为总部集中了企业最核心的数据和业务资产，各个分支机构只运行着访问终端或部分服务器，同时网络管理人员也集中在总部，各个分支机构只配置较少的管理人员，这种模式的好处在于加快了信息的共享效率，提升了信息的一致性保障，减少了人员成本开支，减少了信息网络的安全威胁，但同时也要求所有部署在分支的设备均能够接受总部的统一管理。2.2 典型中小企业网络安全问题分析在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括： 2.2.1 非法和越权的访问中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；此外，中小企业的信息网络内运行了与企业经营活动息息相关的信息，包括与企业财务相关的数据，比如订单信息、企业账款信息等，这些都使得中小企业的信息网络成为内、外部非法用户的关注对象，如何不加以控制，在遭到攻击后将会造成中小企业直接的经济损失。2.2.2 外部恶意代码与攻击大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。来自互联网的攻击也是中小企业常见的安全问题， 互联网上攻击者通过扫描，收集企业信息网络的安全弱点，并攻击企业信息网络，进行渗透，将对中小企业信息网络造成更大的损失。大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象。或者破坏企业的电子商务网站，造成中小企业正常业务的停滞 ，甚至引发企业的经济损失。2.2.3 远程访问中被窃听和篡改对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。2.2.4 不安全的互联网访问不安全的互联网访问包含三个层面：一：降低工作效率。员工在上班时间内过度使用互联网资源，进行网络游戏、网络视频、网上炒股等活动，导致工作效率下降，影响企业正常业务；二：不安全的访问。员工故意或无意访问了恶意网站，导致病毒传播，或被植入木马，并对企业信息网络造成威胁；三：过度占用资源的访问。员工过度使用P2P、流媒体等过度占用带宽资源的应用，严重占用了企业有限的带宽资源，影响其他人员的使用，严重的还将引起网络瘫痪。以上行为都会对企业信息网络的正常运行带来影响，约束和监督员工访问行为对于企业而言是非常必要的。2.3 典型中小企业网络安全需求分析针对中小企业在安全建设及运维管理中所暴露出的问题，Hillstone山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。2.3.1 需要控制访问的合规性防范要素：基于访问来源、访问目标、访问行为、访问时间进行有效控制。网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。2.3.2 需要保障健康的互联网访问防范要素：深度识别真实的应用（P2P、IM、网游、网上视频、网上炒股等）并执行访问控制；限制员工访问非法网站URL过滤限制员工在上班时间内的不合法访问。访问控制是企业信息网络安全的要素，但是传统访问控制技术在企业信息网络中越来越遭到新的挑战，最典型的挑战就是当前互联网的应用越来越智能化和隐蔽化，一些访问在网络特征上很难被有效识别出来，比如2P 、网络视频、IM等应用都用到保留端口TCP 80，因此在网络层与HTTP的特征完全相同，这就使得为控制员工过度使用P2P、网络视频，或者限制员工上班时间过度使用网游、网上炒股等影响工作效率等行为变得越来越难，对此需要系统能够更智能地识别出真实的应用，并在此基础上进行有效控制。此外，还应对员工访问互联网的目标进行识别，防止因员工访问了恶意网站，造成病毒的传播，或者访问了反动网站，给企业带来不必要的麻烦。2.3.3 需要有效防范外部威胁防范要素：深度攻击检测与防范网络病毒检测与查杀基于互联网的开放性，使得中小企业信息网络往往面临众多的外部威胁，因此如何防范外部的攻击是企业网络安全建设的首要要素，对于企业而言，典型的互联网威胁包括：互联网黑客的拒绝服务攻击；互联网上大规模爆发的蠕虫病毒；来自互联网的带毒邮件；互联网上的挂马网站；互联网上黑客的主动攻击等，这就需要在中小企业的互联网出口处采取必要的深度攻击检测与防护措施，在访问控制的基础上，提升系统对抗攻击的能力。2.3.4 需要有效识别角色并控制防范要素：身份鉴别与角色定位基于用户身份的访问控制中小企业具有多业务多角色的特点，因此需要对访问用户进行有效的识别，并根据角色来分配相关的资源。对此除了在应用软件系统内，按照角色来分配其可访问的模块以及可查看的数据，还需要考虑在网络层面，针对不同角色分配网络资源也是有非常的必要性的，比如分配带宽资源、分配不同角色可访问的服务器资源等。对此需要在网络安全建设时，考虑如何对访问用户的识别技术，并根据角色来制定对应的控制策略。2.3.5 需要有带宽控制措施防范要素：针对重要业务的保障带宽控制，在链路拥挤依然分配出一定的带宽给重要和用户；针对非重要业务的限制带宽控制，在链路拥挤时尽量压缩非重要业务对带宽的占用。中小企业的特点是业务集中，访问来源分散，多业务；这些特点都使得很多的企业访问均要通过广域网，而中小企业的广域网带宽资源是有限的，当多业务在访问高峰阶段，就会出现不同业务之间抢占资源的情况，最终会导致带宽不够用而影响业务。但是如果盲目的扩展带宽，又会造成信息网络建设成本的增加，带宽在平时没有被充分利用，也造成了很大的浪费。对此，需要在企业访问高峰期间，采取必要的控制措施，来保障重要业务的连续性，在不增加带宽投入的情况下，尽量保障关键业务，使企业的业务活动不会或较少地受带宽的制约。 2.3.6 需要实现更安全的远程访问防范要素：对远程传输的数据进行加密，防止被窃听；对远程传输的数据进行完整性保护，防止被篡改。利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。2.3.7 需要实现集中化的管理防范要素：总部能够对各个分支部署的安全设备进行集中化的管理。应对中小企业集中管理的特点，在进行网络安全设计中，采取的设备必须要支持集中化的管理。集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。3 安全技术选择3.1 技术选型的思路和要点对于中小企业而言，要满足上述的网络安全建设需求，必须引入必要的安全技术，综合运用多种安全技术，形成综合性的防护，保障中小企业信息网络的安全性，有效对抗各类攻击，保障上层业务的安全性。在引入安全技术时，必须充分考虑中小企业信息网络的特点，使得建成的系统能够更有效应对企业信息网络的安全威胁。方案建议技术选型的思路和原则为：3.1.1 首要保障可管理性符合：企业集中化管理的特点网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。3.1.2 其次提供可认证性符合：企业多角色特点设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。对于中小企业而言，设备必须能够与中小企业的AD域管理整合，通过AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS，根据身份来记录上网行为日志。3.1.3 再次保障链路畅通性符合：企业多业务并行的特点对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低管理难度，提高控制精度。中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。3.1.4 最后是稳定性符合：企业开放性高，导致易被攻击的特点选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。3.2 选择Hillstone山石网科安全网关的原因基于中小企业的产品选型思路和原则，方案建议采用的Hillstone山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。Hillstone山石网科安全网关在技术上具有如下的安全技术优势，包括：3.2.1 安全可靠的集中化管理Hillstone山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。Hillstone山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。 利用Hillstone山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。Hillstone山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，Hillstone山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时，只要是能够通过Hillstone山石网科安全管理中心进行配置的设备都可以通过CLI接入。 Hillstone山石网科安全管理中心还带有一种高性能日志存储机制，使IT部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。 Hillstone山石网科安全管理中心采用了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道安全服务器协议（SSP）相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧道，从而大大提高了性能和灵活性。 Hillstone山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。Hillstone山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。3.2.2 基于角色的安全控制与审计针对传统基于IP的访问控制和资源控制缺陷，Hillstone山石网科采用RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。另外，在采用了RBNS技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。在本方案中，利用Hillstone山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。3.2.3 基于深度应用识别的访问控制中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。3.2.4 深度内容安全(UTMPlus)Hillstone山石网科安全网关可选UTMPlus软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了Hillstone山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击后，不会影响到其他节点。并且Hillstone山石网科支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。3.2.5 灵活高效的带宽管理功能Hillstone山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。Hillstone山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键网页浏览设置高优先级保证它们的带宽使用；对于P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。将Hillstone山石网科的角色鉴别以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。Hillstone山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。结合应用QoS，Hillstone山石网科设备可提供另一层的流量控制。Hillstone山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS，甚至可以对每个IP地址进行流量控制的同时，还能够对该IP地址内部应用类型的流量进行有效管控。除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。总之，通过采取Hillstone山石网科产品所集成的带宽管理功能，可以在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能获取最高的效益和高附加值应用。3.2.6 强大的URL地址过滤库Hillstone山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；3.2.7 高效的数据传输加密技术所有的Hillstone山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎，这保证了在CPU核数增加时，IPSec的性能得到相应提高，不会成为瓶颈。Hillstone山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps，达到和防火墙一样的性能和设备极限。Hillstone山石网科安全网关设备支持标准IPSec协议，能够保障与第三方VPN进行通讯，建立隧道并实现安全的数据传输。3.2.8 高可靠的冗余备份能力Hillstone山石网科安全网关能够支持设备级别的HA解决方案，如A-P和A-A架构。Hillstone山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都不会中断会话，为企业提供真正意义的网络冗余解决方案。Hillstone山石网科安全甚至还能够提供VPN传输的状态同步，并包括SA状态的同步。4 系统部署说明对于中小企业，在设计边界安全防护时，首要进行的就是安全区域的划分，划分安全域是信息安全建设常采用的方法，其好处在与可以将原本比较庞大的网络划分为多个单元，根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计，保障了安全建设的针对性和差异性。4.1 安全域划分设计安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有很多困难。针对中小企业，建议可按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可根据业务类型的不同，将总部信息网络划分为ERP域、OA域、网站域、终端域和运维域等，而分支机构的域相对简单，由于只有终端，因此不再细分。典型中小企业信息网络的安全域划分可参考下图：中小型企业安全域划分示意图4.2 安全网关部署设计划分安全域后，可在所有安全域的边界，特别是重要的业务系统安全域的边界配置安全网关即可。Hillstone山石网科安全网关综合运用访问控制、入侵防范、病毒过滤、抗攻击、带宽控制等技术，对中小企业的纵向访问，以及对互联网出口链路的访问继续有效检测与控制。此外，在总部节点通过配置集中的Hillstone山石网科安全管理中心，对总部及各分支机构部署的Hillstone山石网科安全网关进行统一管理，一方面日志从分支机构向总部统一汇总，系统管理员通过汇总的日志来分析当前是否有安全威胁；另一方面策略由总部向各分支机构集中下发，在系统管理员发现威胁后，将通过全局性策略的快速下发，使各个节点的网关都具备应对威胁的能力，从而保障了策略的一致性和快捷性。部署要点：l 通过总部配置的Hillstone山石网科安全管理中心，集中监管各个分支机构边界部署的Hillstone山石网科安全网关，对日志进行集中管理；同时各个分支机构本地也部署管理终端，在本地对网关进行监管；l 纵向链路的出口分别部署安全网关，实现对中小企业网的纵向隔离，对分支机构的上访行为进行严格控制，杜绝非法或非授权的访问；l 安全网关启用源地址转换策略，在终端上网过程中进行转换，保障内网用户上网的要求，同时启用相应的日志，对上网行为进行有效记录；l 安全网关在分支机构上网出口的链路上，运用深度应用识别技术，有效鉴别出哪些是合法的HTTP应用，哪些是过度占用带宽的P2P和IM应用，对P2P和IM通过严格的带宽限制功能能进行及限制，并对HTTP执行保障带宽策略，保障员工正常上网行为；l 安全网关与中小企业的AD域认证整合，在确认访问者身份的基础上，进行实名制的访问控制，QOS控制，以及上网行为审计；l 安全网关内置全面的URL地址库，用以对员工的访问目标地址进行分类，对于非法网站进行封堵，且URL地址库能够自动升级，保障了该功能的持续性和完整性；l 安全网关运用IPSEC VPN技术，实现与总部的加密传输，作为现有专线的备份链路，在不增加投资的前提下提升系统的可靠性。4.3 安全网关策略设计4.3.1 访问控制策略Hillstone山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。Hillstone山石网科安全网关，作用在中小企业的互联网出口链路上，通过访问控制策略，针对访问数据包，根据数据包的应用访问类型，进行控制，包括：l 限制不被许可的访问类型：比如在只允许进行网页浏览、电子邮件、文件传输，此时当终端用户进行其他访问（比如P2P），即使在网络层同样使用TCP 80口进行访问数据包的传送，但经过Hillstone山石网科安全网关的深度应用识别后，分析出真实的应用后，对P2P和IM等过度占用带宽的行为进行限制；l 限制不被许可的访问地址：Hillstone山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；l 基于身份的访问控制：传统访问控制的基础是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特别是根据不同IP地址配置不同强度的访问控制规则时，通过修改IP地址可以获得较宽松的访问限制，及时采用了IP+MAC绑定，但修改MAC也不是难事。Hillstone山石网科安全网关支持与第三方认证的结合，可实现基于“实名制”下的访问控制，将大大提升了访问控制的精度。4.3.2 基于角色的控制策略对于中小企业办公网而言，终端使用者的身份不尽相同，因此其访问权限，对资源的要求等也不尽相同，实现差异化的访问控制与资源保障。对此可通过Hillstone山石网科安全网关的RBNS（基于身份和角色的管理）策略来实现。RBNS包含三个部分：用户身份的认证、用户角色的确定、基于角色控制和服务。l 在访问控制部分，通过RBNS实现了基于用户角色的访问控制，使得控制更加精准；l 在QOS部分，通过RBNS实现了基于角色的带宽控制，使得资源分配更加贴近中小企业办公网的管理模式；l 在会话限制部分，通过RBNS实现了基于角色的并发限制，对于重要用户放宽并发连接的数量，对于非重要用户则压缩并发连接的数量；l 在上网行为管理部分，通过RBNS实现了基于角色的上网行为管理；l 在审计部分，通过RBNS实现实名制审计，使审计记录能够便捷地追溯到现实的人员。在整合了AD域以及邮件系统后的实名制管理与控制方案后，在员工上网访问过程中实现精细化的管理，大大降低了单纯依靠IP地址带来的安全隐患，也降低了配置策略的难度，还提升了日志的可追溯性； 整合后实名制监管过程示意图4.3.3 带宽控制策略设计针对外网的互联网出口链路，承载了员工上网的访问，因此必须应采取带宽控制，来针对不同访问的重要级别，提供差异化的带宽资源。(可以实现基于角色的QOS)l 基于角色的流量管理基于Hillstone山石网科的多核 Plus G2安全架构，StoneOS Qos将Hillstone Hillstone山石网科的行为控制以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。Hillstone山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统中可容纳多于40,000的QoS队列。结合应用QoS，Hillstone山石网科设备可提供另一层的流量控制。Hillstone山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个角色产生的不同流量，用户可以基于应用分类结果指定流量的优先级。l 对应用控制流量和区分优先级Hillstone山石网科提供专有的智能应用识别（Intelligent Application Identification）功能，简称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类；Hillstone Hillstone山石网科还支持用户自定义的流量，并对自定义流量进行分类；同时Hillstone山石网科可以结合强大的policy对流量进行分类。Hillstone山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；对于网页浏览和P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。l 带宽利用率最大化除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone Hillstone山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制，允许某一类的网络使用者享有弹性QoS，另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。l 实时流量监控和统计Hillstone山石网科 QoS解决方案提供各种灵活报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。Hillstone山石网科设备提供带宽使用情况的历史记录，为将来分析提供方便。同时用户还可以自己定制想要的统计数据。4.3.4 上网行为管理策略通过Hillstone山石网科安全网关，在实现分支机构员工上网访问控制和QOS控制的基础上，对行为进行全面记录，来控制威胁的上网行为，并结合基于角色的管理技术，实现“实名制”审计，在本方案中将配置执行如下的安全策略：l 深度应用识别与访问控制Hillstone山石网科安全网关在识别真实应用的基础上，对员工访问互联网的行为进行更精确的控制，比如控制上班时间不能使用网络游戏、网上视频等。l 网页内容控制策略规则网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别，对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进行过滤，同时，能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。l 外发信息控制策略规则外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则，能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制，可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键字的帖子。分级日志管理模式示意图4.3.5 URL过滤策略设计Hillstone山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库，包含数千万条域名的分类web页面库，并能够实时同步更新，该地址库将被配置在所有分支机构出口的Hillstone山石网科安全网关上，对员工访问的目标站点进行检查，保障健康上网。通过Hillstone山石网科安全网关，针对中小企业可实现如下的控制策略： l 黑名单策略：包含不可以访问的URL。制定该策略后，员工上网时将无法访问该名单中的网站。l 白名单策略：包含允许访问URL。制定该策略后，员工上网时将只能访问该名单中的网站，而其他的网站将均无法访问。l 关键字策略：如果URL中包含有关键字列表中的关键字，则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。l 不受限IP策略：不受URL过滤配置影响，可以访问任何网站。通过该策略可以使得中小企业对于一些重要人员将不受控制策略的影响。l 分类访问限制策略：Hillstone山石网科安全网关已经提供了一个大约3千万个URL地址的库，并分为十几个大类，中小企业系统管理员可以定义那些类别是可以被访问的，那些类别是不能访问的，比如限定不能访问色情类、反动类，这样将大大降低系统管理员录入非法网站的难度，并提升控制的力度。4.3.6 攻击检测与防护策略通过Hillstone山石网科安全网关的入侵防御模块来执行该策略。利用Hillstone山石网科安全网关的入侵防御系统，针对互联网的访问进行有效防护，防止外部攻击行为，更好地保护企业信息网络的安全性，并执行如下的策略：l 深度应用检测策略Hillstone山石网科安全网关采用了全新一代基于应用行为和特征的应用识别，针对识别出的HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、 DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、 NETBIOS、TFTP等应用进行有效的攻击检测。l 深度应用原理和攻击原理的入侵防御简单的入侵防御规则匹配，肯定已经不能满足