Bluecoat-proxySG方案.doc

互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1 1 江苏移动江苏移动 Bluecoat ProxySG 网络改造网络改造 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2 2 目目 录录 前言前言 4 一 一 BLUE COAT SYSTEMS 公司公司简介简介 6 二 互联网出口安全控制改造方案二 互联网出口安全控制改造方案 8 2 1 当前网络情况 8 2 2 BLUE COAT PROXYSG 改造建议方案 9 2 2 1 策略修改 9 2 3 方案描述 9 2 3 1用户认证域控制 9 2 3 2 NTLM用户认证域定义 11 2 3 3 NTLM服务器定义 11 2 3 4 IWA通用信息配置 12 2 3 5 LDAP用户认证域定义 14 2 3 6 LDAP服务器定义 16 2 3 7 LDAP DN定义 16 2 3 8 LDAP Base DN举例 17 2 3 9 LDAP检索用户定义 18 2 3 10 LDAP对象类定义 20 2 3 11 LDAP通用信息配置 21 2 3 12 本地用户列表定义 22 2 3 13 VPM配置 24 2 4 测试与回退 25 2 5 方案特点 25 三 主要技术及产品描述三 主要技术及产品描述 26 3 1 BLUE COAT互联网代理技术 用户认证 授权和统计 26 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 3 3 3 1 1 内容安全控制 27 3 1 2 灵活的策略控制 29 总结总结 32 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 4 4 前言前言 Web 浏览器作为应用访问和互联网通讯的手段 已经完全渗透到桌面环境中 越 来越多的企业和机构正在实现基于浏览器的应用 作为它们业务操作的几乎所有应用 的解决方案 同时 浏览器已经成为员工从互联网获取和传递信息的主要手段 因此 建立一个高效 快速 安全的互联网访问环境 成为企业及机构网络建设的一个主要 任务 建设快速高效的企业互联网环境 所面对的主要问题在于带宽和互联网连接所造 成的互联网访问响应速度问题 因此 互联网高速缓存得到广泛应用 而网络安全主 要由防火墙提供保护 然而 由于支持各种 Web 协议的浏览器功能多样 而病毒 黑 客 木马 类 间谍 软件能够通过各种途径 在用户进行互联网访问时 在不知 不觉中侵入到企业网络中来 通常我们把这一类威胁定义为 应用级威胁 其破坏 力与广为人知的网络安全漏洞一样严重 现在病毒 黑客技术更多的以消耗网络资源为攻击目的 对保障企业互联网环境 的高效 快速提出了新的挑战 而这些问题不是仅靠缓存能够解决 应用级的安全控 制和保障成为加速企业互联网访问的一个必要的选择 防火墙被认为是抵御来自外部威胁 如 病毒 黑客 的最佳的安全解决方式 防火墙被设计在网络的边界进行保护 然而 防火墙不能控制进出企业的用户通讯 这需要一个基于 Proxy 的解决方案 能够提供对所有网络用户的 Web 通讯进行全面的 控制 防火墙保护网络 从而减少企业外部的威胁 而 Proxy 控制 Web 通讯 从而减 少企业的 应用级威胁 造成的网络性能和效率的影响 随着互联网上应用的增长 员工互联网访问的压力也在不断提高 江苏移动为各 政府机关提供互联网访问出口 网络安全防护是极为重要的 建议采用 Blue Coat 公 司的代理专用设备 ProxySG 实现互联网安全策略控制 带宽优化和并实现网关级的 Web 病毒扫描 基于 Blue Coat 公司技术和产品的解决方案 将能够实现 为江苏移动互联网出口 提供及时的带宽优化 增强全网的内容安全性 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 5 5 提供高效的网关 Web 病毒保护 为高效的内容过滤提供强有力的平台 针对基于 Web 标准的应用 如 B S 结构的业务应用 Web 页面 Streaming 增强内容传递 提高访问速度 内容传递系统基于工业标准协议和应用 在最小的网络中断下 升级整个企业网络 便于使用和管理 Blue Coat Systems 是业界唯一一家完全致力于提供全面的 安全的互联网访问 控制和安全保护解决方案的公司 Blue Coat Systems 产品能够为用户提供一个灵活的 可扩展的平台 而且便于安装 配置和维护 Blue Coat 专用设备提供的强大的互联网 访问代理功能 缓存功能 策略控制功能 使 Blue Coat Systems 公司具有建立强大 的企业互联网代理体系的能力 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 6 6 一 一 BLUEBLUE COATCOAT SYSTEMSSYSTEMS 公司公司简介简介 Blue Coat 帮助企业保持 好 员工不在互联网上做 坏 事 Blue Coat 公司 专注于提供安全的代理专用设备 提供互联网访问的可见性 并据此管理 Web 通讯 以保护企业网络免受间谍软件侵害的风险 并且能防止员工访问不合适的网页 不恰 当地使用即时通讯工具 滥用流媒体及点对点文件下载 从而提高 Web 的安全及性能 Blue Coat 专用代理设备的使用量已超过 20000 台 已被许多世界上最具影响力的组织 和机构所信任 Blue Coat 全球总部设于美国硅谷的 Sunnyvale 成立于 1996 年 背景背景 随着企业越来越依赖于互联网与客户 合作伙伴和员工进行通讯 Blue Coat 具 有巨大的成长机遇 Web 浏览器已成为关键的业务通讯和信息交流的通用工具 但它同 时也增加了企业的安全风险 如 由于间谍软件导致 PC 崩溃使支持中心的服务量大幅增加 由于员工访问不恰当的 Web 内容而导致生产力降低及潜在的法律风险 由于个人 Web 邮件的使用 使病毒出入网络有了新的 后门 P2P 和流媒体的滥用耗尽了网络的带宽 员工工作效率的下降 当企业内所有用户都使用 Web 浏览器时 不管是有意还是无意 每个用户都有可 能而且有办法去访问一些对企业网络基础设施有害的内容 产品优势产品优势 Blue Coat ProxySG 安全代理专用设备产品系列具有完整的 Web 代理功能 能够 实现最强大的策略控制 这些 ICSA Labs 认证的解决方案基于 Blue Coat 自主开发的 专用操作系统 SGOS 包含专利的策略处理引擎 极其灵活的 Web 通讯管理框架结 构 实现细致的内容策略 应用策略 用户策略 Blue Coat 端到端的产品系列包括全 面的统计报告软件 策略和配置管理解决方案 满足集中部署和分散部署等不同要求 Blue Coat 助您助您建立高效 快速的互联网建立高效 快速的互联网通讯通讯环境环境 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 7 7 Blue Coat Systems 是建立高效 快速 安全的企业互联网通讯环境的企业的正确 选择 对此 Gartner 是这样评述的 Blue Coat 是企业安全代理用户对外访问互联网 的正确选择 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 8 8 二 互联网出口安全控制改造方案二 互联网出口安全控制改造方案 2 12 1 当前网络情况当前网络情况 SG 旁接在核心交换机 通过 IP 地址进行访问控制限制 ISP 内网 ProxySG ISP 内网 ProxySG 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 9 9 2 22 2 BlueBlue CoatCoat ProxySGProxySG 改造建议方案改造建议方案 2 2 12 2 1 策略修改策略修改 本次改造主要是在原本通过 IP 进行上网控制的基础上 加入第三方用户认证来加 强管理内部人员的上网行为 主要通过修改策略实现 2 32 3 方案描述方案描述 通过 Configuration Authentication 选项进入用户认证配置 包括 管理员用 户名 密码 上网用户的用户认证域定义等 用户可以选择采用本地用户列表 NTLM LDAP Radius 等多种用户认证方式 2 3 12 3 1 用户认证域控制用户认证域控制 从 Authentication Realms 进入用户认证域控制页面 如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1010 其中 将显示所有已定义的用户认证域 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1111 2 3 22 3 2 NTLMNTLM 用户认证域定义用户认证域定义 IWA 用户认证是定义 ProxySG 使用 Windows NT 服务器的用户认证的方法 定义页 面如下图示 其中 Realm name 定义一个标示名 Primary Server host 定义 Blue Coat NTLM Agent 安装的服务器 IP 地址 也可以直接指定 DC 的地址 16101 为缺省使用的端口 2 3 32 3 3 NTLMNTLM 服务器定义服务器定义 IWA 服务器定义页面如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1212 其中 可以定义备份的 IWA 服务器 2 3 42 3 4 IWAIWA 通用信息配置通用信息配置 从 IWA IWA General 进入配置通用信息配置页面 如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1313 其中 Realm name 为 IWA 认证域的名字 Credentials refresh time 为认证信 息缓存的时间 缺省为 900 秒 Vitual URL 用于 Origin Redirect 的认证方式 主要将用户的认证请求 Redirect 到这个虚拟的 URL 上 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1414 2 3 52 3 5 LDAPLDAP 用户认证域定义用户认证域定义 从 Authentication LDAP 进入 LDAP 定义页面 可以定义选择 Windows Active Directory Sun LDAP Novel LDAP 等用户认证域 如下图示 选择 New 定义新的 LDAP 用户认证域 页面如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1515 其中 Realm name 定义认证域名 Type of LDAP Server 选择 LDAP 服务器类型 Primary server host 定义域服务器 IP 地址 在选择了 LDAP 服务器类型后 其它选项将相应调整 无需另外定义 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1616 2 3 62 3 6 LDAPLDAP 服务器定义服务器定义 LDAP Servers 配置页面如下图示 其中 包括 LDAP 服务器类型的修改 LDAP Protocal 版本的修改 可以定义 LDAP 主服务器和备服务器等信息 2 3 72 3 7 LDAPLDAP DNDN 定义定义 实现 ProxySG 与 LDAP 服务器的通讯必须定义 LDAP 服务器的一些基本信息 Base DNs 是 LDAP 域的定义 配置页面如下图示 其中 New 选项用来定义新的 Base DNs Base DNs 的格式举例 DC www DC bcsi2106 DC com DC cn 如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1717 2 3 82 3 8 LDAPLDAP BaseBase DNDN 举例举例 以 Windows2000 Active Directory 举例 在 Windows2000 管理界面进入 Active Directory 用户和计算机管理页面 如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1818 其中 在根定义部分可以看到 对应到 ProxySG 中的 Base DN 定义为 DC www DC bcsi2106 DC com DC cn 其中用户 SG admin 的 LDAP 标示为 CN SG admin OU BCSI DC www DC bcsi2106 DC com DC cn 2 3 92 3 9 LDAPLDAP 检索用户定义检索用户定义 ProxySG 与 LDAP 服务器的通讯需要一个 LDAP 用户名 普通用户 在 LDAP Search Groups 页面中定义 如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 1919 其中 对 Window2000 的 Active Direcotry 缺省不支持匿名访问 需选择 Search User DN 定义用户名的 LDAP 标示 并选择 Change Password 设定访问密码 页面如下 图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2020 2 3 102 3 10 LDAPLDAP 对象类定义对象类定义 LDAP 对象类定义一般无需修改 它会根据 LDAP 服务器类型自动设定 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2121 2 3 112 3 11 LDAPLDAP 通用信息配置通用信息配置 LDAP 通用信息配置页面如下图示 其中 Credentials refresh time 定义 LDAP 认证信息缓存时间 Vitual URL 用于 Origin Redirect 的认证方式 主要将用户的认证请求 Redirect 到这个虚拟的 URL 上 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2222 2 3 122 3 12 本地用户列表定义本地用户列表定义 可以选择将上网用户的用户名 密码和分组等信息定义在 ProxySG 中 定义页面 如下图示 其中 选择 New 可以生成一个 Local 用户认证域 并通过 Local Main 页面定义 该认证域使用的用户列表 定义页面如下图示 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2323 其中 定义了 Local user 域与用户列表 sl account list 的对应关系 而用户 列表的生成 以及列表中用户名 密码的设定需通过命令行进行 命令如下 telnet ProxySG IP enable conf t security local user list create sl account list 生成用户列表 security local user list edit sl account list 在用户列表中生成用户 user create cutter end security local user list edit sl account list 设置用户密码 user edit cutter password 123456 exit exit 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2424 2 2 3 133 13 VPMVPM 配置配置 在 VPM 中添加 web authentication layer 定义需要进行上网身份认证的网段即 source 处 在 action 处选 set 然后 new 添加新的认证对象选择对应的 realm 如图使用 的是 radius 第三方上网身份认证 也可使用 LDAP IWA 本地等认证方式 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2525 2 42 4 测试与回退测试与回退 使用需要进行身份认证客户机通过代理上网 在跳出的认证窗口处输入帐密 成 功认证后可正常上网 测试通过 如果认证错误 且无法上网 为不影响业务 则进行回退操作 回退步骤为删除 VPM 中新建的 web authentication layer 或者删除该 layer 的具体认证 rule 2 52 5 方案特点方案特点 该改造方案从原本简单的 IP 管理方式转移到 IP 与用户身份认证的混合管理模式 大 大加强了上网的安全性 追诉性 同时 ProxySG 运行的 SGOS 操作系统还具有更多的关键能力 包括 简便的管理 简便的管理 Blue Coat Systems 产品设计为在数分钟内就可安装 几乎没有 日常管理的工作 它们是自适应 能自愈的专用设备 其它厂商的解决方案往 往要求定期的维护和停机 Blue Coat Systems 提供的是使用简便的真正的专用 设备 维护简单 维护简单 在现存网络体系中使用专用设备的首要目的 就是减轻维护服务器 和防火墙带来的 头疼 问题 Blue Coat Systems 专用设备可以通过命令行或 浏览器界面进行远程管理 WebWeb 内容的安全控制 内容的安全控制 SGOS 是从最底层开发出的安全产品 具有高性能的操作 信托 始终考虑的一个功能就是让 Web 内容快速 安全地通过整个网络 Blue Coat Systems ProxySG 专用设备提供最好的用户响应时间 从而保证员工 的积极性及生产力 SGOS 的专利特性使 Blue Coat ProxySG 专用设备成为运用 Web 服 务器体系结构的企业网络的必备产品 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2626 三 主要技术及产品描述三 主要技术及产品描述 以下部分简单叙述 Blue Coat ProxySG 及其 Blue Coat 产品 它们通过优化为 大型企业系统提供 Web 内容缓存和互联网访问控制 管理 3 13 1 BlueBlue CoatCoat 互联网代理技术互联网代理技术 用户认证 授权和统计用户认证 授权和统计 有效的企业安全基础设施始于 3A 即认证 授权和统计 这些服务是用户和 内容的保护 控制的起点 每个网络都已经实施了认证系统 当用户开机后 它们即 被要求输入有效的用户名和密码以访问网络资源 Blue Coat 的 ProxySG 设备可以与 LDAP Radius 和 NTLM 等认证系统协调工作 在这些系统中保存有效用户信息 当用户 访问 Web 资源时 Blue Coat ProxySG 设备将提示用户输入认证信息 并透明与认证服 务系统校验 Blue Coat ProxySG 设备可以同时支持多个并存的认证系统 如下图示 识别一个用户有许多途径 包括 用户标识 如果提示用户输入口令成功 并将输入的口令和安全数据库 或目录中的信息校验 成功认证后就会产生用户标识 认证的方法可以 多种形式出现 例如密码 证书和令牌 认证凭据传送至安全数据库或 目录来进行认证 成功的认证可识别用户 组标识 和针对某个用户的认证类似 基于组的标识决定某个用户在一 个组织中的角色 典型地 这是一个组的会员或在一个给定名字空间内 的属性条件 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2727 网络标识 基于网络 IP 地址 子网地址 或其它网络标识 一旦系统确定了访问请求者的身份 下一步即开始授权 也就是将策略和认证 过程中的用户标识勾联起来 简单地说 授权就是一组规则 这些规则决定哪些用户 可以访问哪些资源以及这些用户可对这些资源执行什么样的操作 Blue Coat 提供一个简单直观的工具 Visual Policy Manager VPM 来 帮助您建立这样的授权规则 这些规则可以针对现有认证服务中的单个用户或者一组 用户来制订 AAA 中最后一个环节就是统计了 一个允许访问某些资源的系统同时也必须有效 地跟踪这些资源的使用情况 在出现欺诈 恶意使用时 这些统计信息对于审计是必 须的 Blue Coat ProxySG 设备提供丰富 详细的访问日志 能够记录用户的所有 Internet 访问 3 1 13 1 1 内容安全内容安全控制控制 Blue Coat 的 ProxySG 互联网通讯控制专用设备还能帮助您分析来自互联网的 Web 和多媒体内容 去除恶意代码以及其他安全设备无法屏蔽的动态内容 实现用户访 问内容的安全性控制 Internet 为广大用户访问互联网内容和下载软件提供了方便 而在过去 管理员 可以容易地将用户的软盘拔掉来 锁住 用户的计算机 互联网的出现使得任何一个 人通过浏览器下载大量的内容 这些内容可能是和业务相关的信息或软件 也可能是 耗时的游戏 也可能是盗版的电影或 MP3 文件 为使企业在为员工提供工作所必需的 上网的同时 企业的网络不被潜在的危险内容所充塞 对网络管理员来说 最根本的 任务就是建立一套能够控制谁能够从互联网上下载什么内容的策略 并用这个策略来 管理所有的员工对网络的访问 尽管企业采取许多措施来提高企业网络的安全性 然 而很多新的移动代码病毒 新出现的 Nimda 和红色代码病毒却以嵌入在网页中的可执 行代码的形式 例如 ActiveX JavaScript Visual Basic Scripts 等 进入内部网 络 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2828 不幸的是 当今的防火墙不是为检查位于多个包中传输的内容的检查而设计的 或者说不是为防范内容级的检查而设计的 它不能防御恶意的内容级的移动代码病毒 可幸的是 内容安全的基础设施中出现了一个新的层次 它和防火墙结合在一起 工作 优化地保护网络免受内容级的威胁 Blue Coat 的 ProxySG 设备提供强劲的 灵活的方法来管理网络上内容级威胁 不管它们来自于防火墙之内 还是来自于防为墙之外 另外 SG800 系列 和 SG6000 系列 产品提供管理和实施企业 Web 安全策略所必 需的可视化 灵活管理策略的能力 利用利用 BlueBlue CoatCoat 产品 安全管理员能够 产品 安全管理员能够 挡住存在潜在危险的活动内容 剥除并替换网页中存在潜在危险的活动内容 同时仍然服务网页中的其它内容 基于设定的安全策略 例如内容类型 用户名 目的 IP 地址等 将存在潜在 危险的活动内容传送到另外一台扫描移动代码病毒的服务器 实现细化的活动内容去除 o例如 对于所有用户去除 Visual Basic 脚本代码 但对于某些用户 允 许访问 ActiveX 内容 对指定用户组的用户 挡住具有特定后缀或 MIME 类型的文件 限制用户的某些请求方式 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 2929 o例如 一个公司决定只允许某一组员工上传资料至某个合作伙伴的 Web 站点或下载 Web 邮件中的附件 限制通过表格或 Web 邮件上传资料 以防止公司的知识产权流失 只允许使用指定类型的浏览器 因为某些未经批准的浏览器存在潜在的安全漏 洞 o例如 安全管理员可能会强制实施一此安全策略来只允许使用指定版本 的含有修补某个安全缺陷补丁的 IE 浏览器 限制 去除或替换某些内容包头以便企业网络的信息不会泄露不予到互联网上 3 1 23 1 2 灵活的策略控制灵活的策略控制 Blue Coat 独特的 Web 知识架构使企业能够处理所有的 Web 协议 包括 HTTP HTTPS FTP Microsoft 流媒体 MMS 和 HTTP Streaming Real 流媒体 RTSP 和 HTTP Streaming QuickTime 流媒体 通过 RTSP MP3 Flash 和几百 种其它的 Web 对象类型 Blue Coat 拥有专利的策略处理引擎 PPE Policy Process Engine 提供强大 的策略定义能力 用户可以定义一系列的 全面的规则来保护 控制和加速用户的访 问 同时将这些规则和任意多个条件联系在一起 可以利用现有目录 数据库访问中 的用户信息 这个解决方案使用认证标识符来触发所有的动作和规则 Web 访问请求 可以进行授权 并可基于所有已知标识符的任意组合进行管理 下面的例子说明使用 Blue Coat Systems 可实现的功能强大的策略 安全管理员面临一个新的安全威胁 计划实现一个策略来限制怀疑存在安全漏 洞的浏览器的使用 且对某组用户只允许访问某些对业务运作关键的 Web 站点 有 Web 访问控制需要的网络管理员可能想实现一个策略 只允许市场部的用户 使用 Microsoft 媒体播放器 请求 asp 文件 访问 上的多媒体内容 时间限制在早 8 00 至晚 5 00 之间 也可以使用 HTTP 协议 Blue Coat 的 Web 病毒扫 描使安全管理员和网络管理员能够确保储存在本地缓存中的内容是干净的和安全的 互联网出口安全控制改造方案建议书 BlueBlue CoatCoat Systems Systems IncIncPagePage 3030 不含病毒 蠕虫 和其它的网络安全威胁 如果不对这些内容进行扫描 现有的这些 代理服务器只能是将这些危险的内容更快地传送给用户 所有通过 ProxySG 专用设备的 Web 事务处理都会被记录 提供详细的统计信息 这为确定 Web 使用模式 审计用户访问历史 跟踪安全问题 制订全面 Web 保护和控 制策略提供了清楚明了的事实依据 3 3 1 1 1 1 1 1 BlueBlue CoatCoat 可视化策略管理器可视化策略管理器 Blue Coat Systems 可视化策略管理器 Blue Coat ProxySG 互联网通讯控制专用 设备操作系统集成的功能模块 以直观的 图形化的方式帮助您完成管理一个网络 Web 安全相关的复杂策略 管理基于 Web 的安全问题是一项要求正确工具的复杂工作 随着用户数量的和 Web 应用的增加 制订 Web 安全策略的复杂性和因失误带来的风险也随之增加 Blue Coat 可视化策略管