某单位网络安全解决方案

天讯瑞达通信技术有限公司*单位网络安全解决方案1 *单位通信有限公司网络现状网络拥挤、办公效率下降；病毒木马猖狂，系统瘫痪无法办公；误用和滥用关键、敏感数据和计算资源，无迹可寻；外出办公无法安全方便访问公司内部资源，安全风险过高；不同业务部门无区域隔离。1.1 网络拓扑1.2 安全风险分析1.2.1 来自公网的安全威胁由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如：l 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；l 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；l 恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪；l 发送大量包含恶意代码或病毒程序的邮件。1.2.2 来自内部人员及分部的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：l 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。l 因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间，还能增加计算机网络的负担，降低了人员与网络的工作效率。l 如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗。l 内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；l 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去；l 内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站；l 内部人员访问不良网站时，无意中执行了网页上的恶意代码或病毒程序；l 内部人员使用移动存储设备，不小心涉带有关病毒，导致网络瘫痪；l 内部人员使用BT、P2P下载，严重影响网络使用1.2.3 应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。A. 资源共享的安全风险办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。B. Web系统的安全风险如果提供Web服务，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。C. 数据库服务器的安全风险数据库服务器上运行数据库系统软件，主要提供数据存储服务。数据库服务器也存在安全风险，风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击（例如SQL Slammer）等。数据库中数据由于意外（硬件问题或软件崩溃）而导致不可恢复，也是需要考虑的安全问题。D. 电子邮件系统的安全风险电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。E. 病毒侵害的安全风险网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。F. 数据信息的安全风险数据安全对*单位通信来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对贵单位网络用户来说，是决不允许的。2 需求分析依据轻重缓急、分步实施的原则，系统信息安全可以划分为近阶段需求和远期需求两个阶段，并最终达到以下总体目标： 建立具备完善的防黑及防毒能力的安全体系； 建立完善安全管理制度，为网络和系统的正常运行提供充分的安全保障，最大程度上保证网络系统的信息安全、可靠。近阶段需求集中表现在服务器的安全访问、防黑、流量优化的建设在内部网络不同的安全区域间部署防火墙，实现内网、Internet和业务系统的安全访问控制，保护内部局域网上的各种信息和网络资源。同时部署入侵检测系统，实时监视分析网络中所有的数据报文，防范入侵行为，通过对网络流量、网络安全情况的审计，帮助管理人员了解网络的运行情况，以便及早发现网络瓶颈并调整安全策略设置。再与网络流量优化系统相结合，分析网络现状，对P2P流量及与工作无关的协议过滤，增加员工工作效率。对防病毒控制系统，能够对所有节点的防病毒软件进行集中控制，包括集中下发、集中版本升级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警等。远期信息安全需求集中表现在建立网络管理中心，实行对全网安全的集中控制。建立网络管理中心，可以实现先进的网络管理功能，实现动态监控管理网络，实时查看全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，保证网络高效、可靠地运转，提高网络的使用效率，减轻网管人员的工作强度，提高工作效率。2.1 服务器区需求分析该区域的主要功能： 提供数据查询、接发邮件、自动办公软件、应用软件等服务 作为重要的数据交换核心，提供对数据的拆分与统计等工作， 可提供内部例如OA服务，及未来还需扩充新的业务服务。 可提供连接互联网的通道该区域的主要问题： 用户内部私人信息暴露出去的安全风险 被非法存取、非法访问的安全风险 电脑病毒传播和感染文件，破坏资料的风险 假冒合法用户访问禁止信息的安全风险 主机配置和其他信息被非法篡改的安全风险 用户和其他信息被非法篡改的安全风险 非法占用网络资源,从事与工作无关工作 发布有关违法违纪言论,使企业受到法律风险 拒绝服务攻击的风险 数据因其他故障或人为误操作丢失的风险2.2 办公区需求分析该区域的主要功能： 办公人员上网 可提供内部例如OA服务，及未来还需扩充新的业务服务。该区域的主要问题： 用户内部私人信息暴露出去的安全风险 被非法存取、非法访问的安全风险 电脑病毒传播和感染文件，破坏资料的风险 假冒合法用户访问禁止信息的安全风险 主机配置和其他信息被非法篡改的安全风险 用户和其他信息被非法篡改的安全风险 拒绝服务攻击的风险 限制网络带宽较死，带宽利用率较低 上OA、上公网一个速度，不能根据数据流控制 网络游戏、P2P不能限制 网络状态不能时时查看，不能分析网络整体使用情况 IPSec客户端、分公司出现故障时，维护调试困难 在使用C/S架构的应用系统时需要较高的网络接入带宽3 安全方案设计3.1 方案概述我们为贵单位网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全体系中的各个面；整个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整，我们设计的解决方案充分兼容今后的安全管理及优化的需求。基于以上的分析，我们建议以系统的内部安全优化修复，清除网络安全漏洞为主要手段，提高网络内每个点的安全系数，清除各点的安全隐患，以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御，在各个面形成有效的防御体系，最后通过加强人员培训，提高管理水平，制定先进的安全策略，消除全网的各种安全威胁，全面提高软件、硬件和人员的安全水平，形成一个牢固的，立体的网络安全防御体系。3.2 总体设计依据我们的安全系统设计原则，并结合贵单位网络系统的实际情况和需求，采用一系列产品搭建安全防范体系，通过安全技术和管理手段，使安全产品充分发挥其安全保护的作用。首先，从安全区域上，我们将网络划分为：服务器区、办公区，并采用防火墙将上述各个区域进行隔离，以对各个区域之间的相互访问进行访问控制，构成第一道安全防护体系。对于接入Internet的区域，都将Internet的LAN接口接在防火墙的接口上，从而实现对来自Internet的入侵的防护。第二，为了对保护公司本部的重要服务器（如管理服务器、邮件服务器、数据库服务器），特将这些重要的服务器放在同一网段，用防火墙进行访问控制，该网段称为核心防护区。再使用SSL VPN设备将重要服务器进行发布，对外呈现只有SSL VPN一个服务，并根据具体要求配置SSL VPN安全访问策略，保护公司本部的重要服务器。第三，在网络出口防火墙与核心交换机间部署天网网络流量优化设备，进行P2P及与办公无关业务的拦截，从整体上分析网络使用情况，方便日后网络升级及维护。并在网络出口防火墙使用IP多管道技术，达到去不同目标地址有不同的带宽管理功能，增加带宽利用率。第四,在办公区部署天网行为管理系统,通过有关安全策略规范员工的上网行为,记录有关上网日志,规避有关法律问题.第五，通过天网防毒墙的部署，全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品，实施“层层设防，集中控管，以防为主、防治结合”的策略，使网络没有能成为病毒入侵的薄弱环节。针对网络中所有可能的病毒攻击设置对应的防毒软件，构建全方位、多层次的整体的防病毒体系。拓扑图如下：以下我们把贵单位应用结构划分成以下2个区域分别进行安全改造： 服务器区 办公区A服务器区域 单独接入防火墙的一个接口，和内网分离保护。使用原防火墙，节约投资。 部署防毒墙管理中心/系统中心，对全网内的病毒的情况采取实时监控及管理。 部署防毒系统主升级中心，承担整个XXX单位的病毒码扫描引擎统一的下载和分发工作。 针对邮件/数据库等服务器部署防毒系统服务器端，服务器端是面向网络中基于服务器操作系统提供的病毒防护执行端，服务器端针对服务器操作系统进行特别优化处理，适合于服务器的大容量、高速度操作。 针对所有客户终端部署防毒墙客户端，客户端是面向网络中的客户机而设计的病毒防护执行端，它提供病毒的监控、查杀、隔离，同时兼具备份和应急盘创建的功能，实现全面防范。 在服务器区部署天网SSL VPN ，对外只呈现SSL VPN一个服务，更好的保护内部服务器安全，并可以采用SSL VPN的USB证书机制实现远程用户访问安全。可以通过登陆SSL VPN进行单点登陆访问内部资源，避免重复操作。B办公区域 在夏茅和北京分公司间部署一台天网基本型防火墙，实现夏茅、北京分公司与公司本部的区域隔离及安全防护，以免造成不必要的经济损失。 针对所有客户终端部署防毒系统客户端，客户端是面向网络中的客户机而设计的病毒防护执行端，它提供病毒的监控、查杀、隔离，同时兼具备份和应急盘创建的功能，实现全面防范。 提供专业安全服务，使整个安全改造更完善。 在办公区部署一台天网行为管理系统，对内网的所有网络行为进行审计和记录，及时有效地管理办公人员的上网行为，包括网页服务、即时聊天、论坛言论发布、邮件收发等； 在网络出口部署天网流量优化系统，进行全网的流量分析，并阻断P2P及与办公无关的应用，保证带宽的使用价值，提升网络的可用性，减少投资。并可以分析网络带宽利用状况，方便排除网络故障。 在网络出口处部署天网流控企业级防火墙，使用其IP多管道技术，通过区分不同的数据流，增加带宽的利用率，并通过自动带宽调节技术，提升带宽使用比。同样做到防黑、保护内网安全的功能。3.3 产品推荐产品型号部署数量关键参数及备注天网流控防火墙SNS-FW-1500TC夏矛与北京分公司1机架式/4FE/40万并发连接/150M吞吐量天网流控防火墙SNS-FW-4500TC网络总出口1机架式/4GE/120万并发连接/ 800M吞吐量天网防毒墙SNS-VW-250服务器区+办公室1机架式/4FE/提供相应客户端软件天网网络流量优化系统 TS-TC-100网络出口1 机架式/4FE天网行为管理系统SNS-NAM-500T办公区1 机架式/4FE天网SSL VPNSNS-SSL-100T服务器区1机架式/4FE/AC POWER/100并发用户4 产品介绍4.1 天网流控防火墙天讯瑞达通信技术有限公司根据创新的安全流量管理理念STM (Security Traffic Management)而首创的天网流控防火墙，通过独特专利技术把专业级流量控制和防火墙完美结合，实现流量管理和安全管理的统一，给用户带来安全防护的同时，改善和提高现有互联网接入宽带的使用效率。4.1.1 产品特色 ABTQ(Adaptive Bandwidth Tuning Queue)ABTQ,自适应带宽调控队列，是一种针对流量管理的全新控制理念。以往的防火墙或流量控制设备都采用压制IP带宽或应用带宽的方式实现流量控制，这种方法的缺点是无法自动根据实际网络使用情况调整。这种管理办法导致宽带的流量确实压制住了，可是每个客户端或者应用的可触发流量变得非常小。当占用带宽的行为减少后就会出现大量带宽空余，对每月租用费用达到几千甚至上万的专线费用造成浪费。天网流控防火墙自适应带宽调控队列，根据客户设置好的最佳带宽使用比率，动态的对局域网的每个IP带宽实施带宽压制和带宽释放。目的是让单位出口带宽维持在一个合理的负载水平范围上下浮动。 IP多管道带宽控制技术要合理分配网络出口带宽，流控防火墙具备了区分网络出口的成千上万种应用中哪些属于关键应用的能力。通过IP多管道带宽控制技术，天网流控防火墙可准确区分网络出口的关键应用（如：OA,ERP.邮件服务器等）。支持在严格控制其它网络应用的同时，放宽每个IP地址到关键应用的带宽。天网流控防火墙把互联网访问分为多个流量类型，访问不同的流量类型局域网IP地址拥有不同的带宽值。 IP信息查询功能天网流控防火墙拥有强大的主机信息记录功能。系统内部会为所有管理的主机分配流量信息记录结构，因此可以统计出局域网内所有主机的流量信息。系统也是依据这些信息对每台机器的上下行包数，上下行带宽进行控制。系统对每台主机的信息记录精确到它的每个连接。4.1.2 产品功能 百万级并发连接数基于高性能硬件及独特的SNOS内核处理，具备超百万级的并发连接数，使防火墙每个网口都可以轻松实现64字节数据包的全双工吞吐率达100%。 抗高强度DDoS攻击高性能SNOS内核，作为专用的防火墙操作系统，可有效防御SYN Flood、UDP Flood、ICMP Flood 等多种 DDoS攻击，基于芯片的DDoS防御功能在有效防御攻击的同时不会增加核心处理器的负载。 多线路负载均衡多线路接入负载均衡功能，支持同时接入超过十条互联网线路和线路堆叠使用。灵活的路由权重策略，保证带宽高使用率。支持南北通功能，有效解决电信和网通互访问题。独特的线路备份功能，确保网络永不中断。 多种VPN互联方式网络时代远程协同工作和远程办公成为潮流。天网流控防火墙支持多种VPN连接方式，包括IPSec/PPTP/L2TP/MPLS VPN。使用标准的IPSec协议兼容主流防火墙和安全网关。自主研发的天匙虚拟专网，通过对IPSec协议的改进，在保证加密能力的基础上极大提高压缩比率有效提高VPN隧道的传输速度。 多种动态路由协议支持针对大型复杂网络，动态路由支持成为组网的关键。天网流控防火墙支持RIP/BGP/OSPF动态路由协议，使复杂网络简单化。4.2 天网网络流量优化系统天网网络流量优化系统是在P2P流行时代，诞生的新一代应用层流量管理产品，支持对IP流量的应用分类，实时控制用户组、应用服务流量。天网网络流量优化系统的解决方案是基于状态和特征的检测，精确识别9大类80余种常用协议，并创新地自主开发“协议特征描述语言”PSDL(Protocol Signature Description Language)，使得维护协议特征库更加方便快捷。4.2.1 主要功能特色 天网网络流量优化系统主要功能模块有：1) 强大的协议识别引擎2) 内网IP统计功能3) 丰富的报表统计4) 系统高可用性下面分别详细介绍上述模块： 强大的协议识别引擎天网网络流量优化系统强大的协议识别引擎不但可以识别各种明文的协议，如Bittorrent，eDonkey，而且其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议，如Skype和eMule 0.47c。到目前为止，天网网络流量优化系统已经支持如下协议： 1)传统协议：HTTP，HTTPS，FTP，Telnet，SSH，DNS，SMTP，POP3，NetBIOS，CVS，DHCP，NTP，NFS，NNTP，SNMP，TFTP，BGP，HTTP分块传输，伪IE下载，Microsoft-DS，Remote-sync。2)流媒体协议：RTSP，MMS。3)P2P下载：BitTorrent，eMule，Gnutella，Kazaa，iMesh，DC，AppleJuice，Ares，Mute，SoulSeek，Poco，酷狗，迅雷（含Web迅雷），百宝，百度下吧，Vagaa，脱兔，PPGou。4)即时通信：MSN，MSN视频，YahooMessger，QQ，QQ视频，QQ文件传输，网易泡泡，淘宝旺旺，新浪UC。、5)网络电话：Skype。6)网络电视：PPStream，PPLive，沸点，Recool，QQLive，TVAnts，TVKoo，PPMate，MySee，UUSee，CCIPTV，SopCast，VJBase，JeBoo。7)网络游戏：魔兽世界，奇迹世界，征途，热血江湖，跑跑卡丁车，QQ幻想，泡泡游戏，QQ游戏，中国游戏中心。8)股票证券：大智慧（经典版、新一代）、钱龙（经典版、旗舰版）、核新（同花顺2007）注：应用协议的支持更新，请参考我们的支持协议更新列表。 系统运行效果图： 内网IP统计功能(1) 用户可在Web界面中选择是否打开内网IP统计功能。(2) TOP N统计功能用户可选择TOP 10 、20、30、所有IP的统计排名，并可选择以下三种方式：a、按照累计流量进行排名b、按照当前速率进行排名c、按照在线时间进行排名(3) 单个IP的应用流量、连接明细可直观的列出某个IP具体的历史应用明细，以及目前与该IP相关的连接情况，包括每条连接中对方的IP地址及端口。 丰富的报表统计 (1) 网卡流量、各应用协议/协议组的日图表、周图表、月图表 (2) 连接统计、节点统计、协议统计、PPS统计(3) 自定义报表功能用户可针对自己关心的IP/IP组、应用协议/协议组等不同的对象自定义一个报表，将针对多个对象的统计结果集中显示在一个图表中，减少日常监控的工作量。统计数据可以指定不同的线形和颜色以绝对值或叠加的方式显示。报表统计的时间跨度可以是当天、本周和当月。以下两张截图是某用户自定义的只统计“P2P协议组”和“网络电视协议组”上、下行流量的图表。 P2P与NetTV(网络电视)流量的日图表 说明：当前策略为08:0024:00之间将P2P与网络电视两类流量双方向控制为20M； 00:0008:00不做限制。可以看到在策略生效的时间点，流量呈现明显的瞬间下降情况。 P2P与NetTV(网络电视)流量的周图表 说明：一周内应用限速策略时P2P与网络电视两种协议组的流量曲线图。(周五将策略修改为全天放开网络电视流量，只在08:0024:00之间限制P2P流量双向为20M)，同样可以看到每天在策略生效的时间段，被限速的流量始终被严格控制在20M以内。 系统高可用性支持硬件Lan Bypass功能，当断电、硬件故障、系统死机等，系统自动切换到Lan Bypass状态，保持网络连通。4.3 天网网络行为管理系统天网网络行为管理系统，就是对网络使用者的网络行为进行记录、控制、限制等管理，达到上网安全审计、上网信息过滤、上网行为规范。对常用上网协议服务：浏览网页、WEB表单提交、网页内容、邮件外发(SMTP)、接收邮件(POP3)、网页邮件、文件上传下载传输(FTP)、远程主机登陆(TELNET)、即时通讯（聊天软件QQ、MSN）、常用在线游戏、网络多媒体等进行安全审计，对符合设定的规则进行动作（阻断、保存数据、报警等）等信息过滤。系统内置防火墙实现基于IP/子网策略、基于部门/分组策略、基于用户帐号策略，实现对（员工）上网行为进行策略规范。随着网络技术和信息技术的快速发展，网络行为已经变得越来越复杂，管理网络行为也是势在必行,对于网络管理者和网络管理部门显得很重要。致力于管理结合技术，天网网络行为管理系统是为满足此需求而研发的新一代网络行为管理系统。4.3.1 天网行为管理器功能特点 行为管理日志详尽记录15大类网络活动的行为日志，并提供多种组合条件查询功能，图文、报表显示，可快速导出多种格式文档。 全面的网络行为审计无关的网络活动是企业效率的杀手，本系统能详细记录访问网站、WEB表单提交、收发邮件、FTP、telnet、QQ、MSN、Yahoo Message、流媒体、数据库查询、聊天室、BBS、网络游戏等多达15种以上的网络活动，并拦截、过滤相关机密信息、违法违规信息，提供桌面、邮件等报警提示。下图为：全面的网络行为审计图： 人性化的报表统计系统提供强大的自定义报表生成功能，针对技术管理与行政分析的需要，系统提供3大类及17个小类共85种自定义管理报表，包括月、周、日、时刻、人员、部门、群组、机器、访问次数、报警次数、流量等多维度进行网络现状分析。下图为：人性化的图文报表： 网络异常行为分析系统根据数据综合分析算法，能有效地综合定位网络异常行为，判断内网用户人为或非人为因素引起的类攻击行为，为管理人员排除网络故障提供快速辅助工具。下图为：异常行为综合分析图： 强力防泄密功能系统可以对内网用户的聊天记录、邮件收发、文件传输进行专门的控制与分析，防止保密信息通过互联网外泄，有效地保护企业的知识产权不受侵犯。4.4 天网 SSL VPN 4.4.1 全能应用发布传统的C/S 结构的应用系统运行性能稳定，但在进行异地分支运行时,有安装、维护成本高的缺点,尤其是在一个企业有很多C/S的应用需要分配给远程用户时,系统管理员需要给远端用户安装多个C/S的客户端,安装和维护成本更高。目前市面的SSL VPN都可以发布传统的B/S机构的应用系统，而对C/S应用发布支持得并不理想，而且由于应用系统架构在一段时间内还是B/S和C/S结构并存的，这对SSL VPN厂商提出了一个难题。通过天网SSL VPN的全能应用发布特性，可以简便的将企业、公司的应用发布出来。天网SSL VPN不但支持标准的B/S架构应用系统，也可通过独有的C/S转B/S的方式，将各类非标准架构的应用系统发布出来，让用户实现安全的远程访问，而不需要对应用系统做任何更改。这样即节省了VPN网络建设的时间，又降低了投资改造的成本，只需中心节点适当进行升级即可，远程客户端本身不必考虑。4.4.2 操作部署简单、维护成本低更低的TCO 、更多的IT控制、 更大的安全性。天网 SSL VPN可以采用直接联接公网或内部单臂旁路模式，对于企业部署极为简单。采用旁路模式部，无须象传统的网络层VPN建设的时候对企业的内部网络结构和IP地址规划做修改。只需打开浏览器，就可以轻松实现远程访问，因此一般只需维护总部的SSL VPN设备和服务器，远程用户的维护量几乎为零。由于天网SSL VPN的无客户端特性， 所以它能比IPSec VPN更快、更易、 更便宜地推广。利用天网SSL VPN，您将获得下列好处：u 用户能够轻松地旅行天网SSL VPN使得用户能够利用广泛有效的上网方式进行VPN访问，无论从家里接入或是在旅途中接入、通过宽带接入或通过一个无线连接接入，从一台公司的手提电脑接入或从一个网吧接入，将来3G网络开通后，更支持多种手持终端（如PDA，手机）接入。SSL VPN通信运行在TCP/ UDP协议上，具有穿越防火墙和NAT设备的能力。这种能力使SSL VPN能够从网络防火墙外部的客户端安全的访问处于中心网络内中的服务器资源。而且出差用户和旅行者能够利用机场网吧和路途中的公共网络接入设备访问内网资源，因此公司无需为每个人购买一台提供访问的手提电脑或家庭电脑，将减少固定资产投入的资金。u 极低的终端用户经验利用天网SSL VPN进行远程访问，对于终端用户而言，简单得足以无需经过任何附加的培训。通过单点登录功能，避免了用户不得不记住多重的密码，或者做多次的登录，以及使忘记密码的支持电话数量持续下降。u 无安装客户端比起IPSec VPN来，天网SSL VPN在展开方面更容易、费用更小和更快。这是因为我们已经排除了配置、管理和支持客户的麻烦。用户可以任何Web浏览器容易地接入到他们所需要的应用程序。例如，天网SSL VPN的无客户端解决方案能够使医生从任何方便的电脑，而非其自己的电脑接入网络，查阅病人的记录。销售人员和行政人员能够从无线热点（AP）或贸易展会直接访问公司内部资源。这些便捷的操作，令用户更愉快、更积极的投入工作。而且，这意味着IT管理者能够将更多的时间花在关键的项目上，而不是应付求助电话。4.4.3 丰富的访问安全控制天网SSL VPN在访问过程中提供了多种认证方式，方便IT管理员对用户进行认证、授权管理，并支持与第三方的认证系统集成，实现统一的用户授权管理： 用户认证：本地用户认证，证书认证，WINDOWS AD，RADIUS，LDAP，USB-KEY，动态令牌，短信认证等多因子多因素强认证功能，极大的提高了远程用户可信度； 客户端安全检查：对用户电脑的系统进行定制检查，如WINDOWSA的安全补丁，防病毒软件安装等，发现不符合条件的，不允许访问到SSL； 高效认证加密：用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性和完整性； 细致的访问权限控制：天网 SSL VPN通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。 自动清除访问记录，实现“零痕迹”访问天网 SSL VPN在用户结束访问以后，会自动清除Cookie，临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。 超时退出，防止窥探 4.4.4 防止直接的网络连接与IPSec VPN不同，我们的基于代理主机的SSL VPN通过终止网络边缘的连接而提供一个附加的安全层。这就意味着只有经过授权的用户才被获准接入，而远程用户绝不会直接连接到你的网络。安全专家也认同，这种方式降低了恶意的或意外的剽窃或病毒威胁。4.4.5 稳定性及高可用性由于天网 SSL VPN采用的是其于LINUX的内核，并对其内核进行优化，系统的稳定性得到更一步提高，加上采用特定的硬件设备，及对硬件的定制开发，使得SSL VPN的稳定性更加可靠。4.4.6 应用加速特性 目前，用户大多通常使用ADSL 2MB的带宽，如果不采用其他加速技术，在速度上很难满足用户的正常使用,尤其是C/S系统在有大量数据库查询动作时,速度问题尤其明显，因此远程用户除考虑VPN远程连接的稳定性、VPN技术的安全性还需要考虑VPN系统对带宽的占有率，在正常情况下，提高远程VPN运行速度，大多是通过提高带宽方法来增加速度，也有通过使用CITRIX和RDP的技术来实现。现在，天网 SSL VPN产品就从根本上为用户解决了速度问题。天网SSL VPN采用了CAB技术，提供了数据压缩和应用加速功能，在网络上只传输鼠标、键盘指令和远端变化部分的屏幕信息，带宽占有量只要30K。通过天网 SSL VPN 平台，使用CDMA和GPRS上网方式 也可以流畅的运行您广域网络上的应用。4.4.7 网络层隧道支持传统的SSL VPN产品都是只支持B/S结构的应用系统，而且现在很多应用系统已经不是单纯的B/S或者C/S结构，有些是两种结构的混合体。这种情况很可能会在传统的WEB应用发布过程中造成一些页面丢失，使得SSL VPN的应用大打折扣。天网SSL VPN通过特有的SSL隧道功能，完全仿真了网络层的隧道连接，通过这种链接，就实现了全面的内部网络接入，实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。天网SSL VPN 的隧道功能支持非常灵活的控制手段，对象可以是某个特定IP，也可以是一个子网、一个连续的IP段，让我们可以为某些用户开设指定的网络层隧道，让他们可以轻松访问特定的网络资源。4.4.8 丰富的日志管理通过第三方的日志中心，管理员可查看用户的登录次数、告警次数等信息，并可直接打印和导出。天网 SSL VPN安全网关丰富的日志中心，为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。4.4.9 多线路智能选择很多公司都是大型的全国性企业，各地分支机构和出差人员会通过不同运营商的线路访问公司总部的SSL VPN，当总部同时拥有两条或者以上的不同运营商接入线路时，如何选择更快速度接入线路是很多网络管理员思考的问题。天网SSL VPN采用了智能多线路选择技术，可以智能为远程用户对当前接入的速度做一个判断，并为远程用户选择一条最优的线路进行通信。有效的解决提高线路利用率、有效改善了跨运营商网络访问时连接速度不满意的问题。4.5 天网防毒墙天网防毒墙是广东天讯电信科技有限公司最新推出的硬件级内网安全解决方案，产品采用弹性架构，符合不同的网络环境应用，它集成了防病毒、防垃圾邮件、防木马、资产管理、漏洞扫描、补丁分发、远程控管、消息发放等丰富的应用安全管理功能，实现内网点线面的安全，可说是最实用的内网安全解决方案。以下分为四个部分对该产品进行介绍：4.5.1 强劲杀毒引擎天网防毒墙提供了简单方便的用户界面，所以即使用户没有基本的计算机知识也很容易操作，并且天网防毒墙可以在包括Windows XP在内的所有32位的Windows系列操作系统中安全运行。基本病毒库和特殊格式病毒检测率为100%，彻底防杀各种病毒。 引擎特点l 迷你型的安装文件只有4M的安装文件,与其产品相比，安装容量只有1/5-1/15程度，最小限度占用用户的电脑资源，大家不要以为越大的杀毒软件功能越强,其实真正有实力的软件首先是越小越好,中国有句古话叫麻雀虽小,五脏俱全,说的也就是小小的一只鸟但也有很好的消化功能.软件也一样，虽然小，却功能齐全，而且软件越小,所占用的内存资源也就越小,从而能大大降低系统资源的利用率 l 真正的每日自动升级与其它产品每周进行一次的升级不同，以自动升级功能对病毒进行最快的防范（升级容量为2-6KB，是其他产品的1/1000水平，对此正在申请专利）每天至少更新一种病毒库样本，每天后台自动升级12次以上,其中有效升级平均每天2次，每次升级容量平均只占2-6K,且每天都有效升级一次的软件,目前世界上来说都确属少见,大家如果还记得今年3月份SQL因未打补丁而导致全球网络崩溃事件的话,我想大家应该明白,只要网络还能接通一丁点,如果使用我们的软件,快速而极小化使用网络资源升级,这样将能更有效的阻止了这个SQL漏洞导致的网络崩溃.如果升级容量为100K以上,我想它在当时根本不可能传输新的病毒库。l 优秀的病毒扫描及修复能力在国内首次获得Virus Bulletin 100%的认证标志，成为得到世界上广泛认可的强有力的病毒扫描及修复引擎。l win9x下的真正底层保护功能在WIN9X的环境下,即使杀毒软件的EXE监控进程被恶意结束,但仍可从底层中保护您的电脑.NT操作系统采取的是双拦截,即使有病毒能连续运行N次以躲开杀毒软件的查杀,但运行第2次的时候将完整的锁定计算机。l 强有力而以最小化占用系统资源的实时监视功能不再像以往的杀毒软件那样,对电脑操作中的全局整体进行监控.本软件采取的是文件变化保护模式.在设备驱动器层次上对病毒进行扫描及修复，从根本上截断新种或变种病毒感染的强有力的算法，举个例子说.普通的杀毒软件的监控模式是这样的,当你打开一个文件夹的时候,监控系统会主动的查杀此文件内的所有文件.而我们的监控系统不会主动的去整个目录,为什么?因为该目录即使有病毒,但是病毒并没有发作。一旦此病毒发作即产生了文件变化,我们的软件是第一时间截断病毒的发作。又比如，一般的杀毒软件链接用户上网页的时候,也将对网页的HTML和SCRIPT等代码进行检查,虽然这是最安全的检查方法,但同时也最大限度的占用了用户的电脑资源把电脑变的很慢,我们只有当危险脚本产生了危害的时候,才会马上出来拦截病毒并等待用户处理.最小化的使用了电脑又达到了最好的防毒效果。l 多国语自动支持安装程序时，将自动识别各种语言的操作系统以便支持多国语环境。l 内存修复功能检测并修复常驻内存的统一代码，从根本上截断硬盘2次感染（只有天网防毒墙拥有的唯一技术） l 对所有文件完美的检查支持所有已商用化的文件格式，可以完美地检查隐藏在压缩文件、电子邮件、公文文件、HTML等的病毒。4.5.2 强劲杀毒机制 病毒代码和引擎的升级天网防毒墙是由病毒特征样本文件和病毒扫描引擎组成，病毒的特征样本，它决定着防毒墙扫描病毒数量和范围。由于新病毒的出现频率较高，所以文件会经常变化和更新。文件的更新就会使原来的防病毒系统能处理新出现的病毒，保证防病毒系统的动态防御能力。引擎控制病毒扫描和清除的方式、效率，其中包含了独特的模式匹配技术和启发式扫描技术；一般来说，引擎的变化比较慢，周期比较长。只有当新的技术出现或对以前版本有补充时，才会发布新的引擎。对于天网防毒墙的所有防病毒产品，都共享同样的病毒特征样本文件。1 升级体系升级体系是防病毒系统的重要组成部分。及时有效的升级是病毒防护的保证。天网防毒墙的产品平均每天升级12次以上，平均有效升级2次，升级容量一般2-6K。安装天网防毒墙，利用定期、自动地从天网防毒墙更新站点获得最新的病毒定义码和扫描引擎。各PC客户端从服务器，定期、自动地从升级服务器获得最新的病毒定义码和扫描引擎。2 升级服务器的设置原则减少网络出口带宽的占用，对防毒墙升级情况有效管理，设置专用的防病毒升级服务器。偶尔(如遇上无法连通网络而导致不能升级的情况下,可以采用我们专门提供的最新升级文件进行升级)不能上网，可以采用我们提供的专用升级文件在本地服务器运行升级。 网络防病毒的策略智能化的客户端，实时监控，每天自动升级，自动查毒，可以选用自动修复受感染文件或者自动隔离，删除，或者用户手动操作，统一向本地管理服务器汇报本地防病毒情况，升级情况，程序情况。 防病毒体系的管理维护天网防毒墙可以很好