宝界应用准入网关-与加密整合解决方案20140602

宝界应用准入与加密软件整合解决方案宝界应用准入网关与XXX加密软件整合解决方案一、需求背景1.1、加密软件行业现状1、品牌多绿盾,亿赛通,思智泰克,安腾,神盾等众多的加密软件。2、功能同质化原理上基本都差不多,最常见的就是透明加密。3、缺少网络层、应用层的安全共同点就是对文件层的防护，但网络层、应用层不能做到防护。1.2、加密软件实施中存在的问题1、随意重装系统、随意卸载造成加密客户端丢失加密软件一般都是CS方式架构，但加密客户端由于会被恶意卸载，或被非法停止，或重做系统时丢失，造成加密失效。2、服务器应用层访问的安全，可随意拷贝服务器的文件由于加密客户端失效，或根本没有安装加密客户端，造成关系服务器能随意访问，关键文件被随意复制带走。3、远程接入的安全外网用户访问企业内网关键服务器，在出口开放相应端口,没有特定的方法限制，安全性不够。二、解决方案宝界应用准入网关产品主要功能在于，包过滤、流量控制、远程接入VPN、P2P协议控制、IP/MAC绑定、URL过滤，它的优势在于不要装客户端，但仅限于网络边界控制。加密软件产品,目前最常见的是透明加密，透明加密是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术,在客户端上的文件或创建或修改的文件都是被加密的，被加密的文件在未安装客户端的电脑上是无法正常查看的，要想查看则必须启动特定的解密流程，文件最终解密后方可查看。它的优势控制更灵活，缺点需要装客户端，会被杀毒软件，个人防火墙封杀。

将二类产品有效的结合，形成内网安全立体防御体系，当客户端通过安全准入控制网关上网或访问关键服务器时，安全准入控制网关首先会与安装在加密管理服务器上的安装准入控制代理进程进行通迅，由安装准入控制代理查询加密软件的数据库相关在线用户数据表，判断该用户是否是在线状态，如果是在线状态，安全准入控制网关会放行来自加密终端的数据包，如果在线用户数据表中不是在线状态或根本查不到相关数据，即自动转入设定好的加密管理软件的安装网页，强行要求终端安装加密客户端。以上解决方案中安全准入控制网关与加密管理软件产品，既独立又结合，我们没有把过多的检查行为放入防火墙处，影响防火墙的性能，同时又解决了客户端重装系统、结束加密客户端的进程，使加密失效的现象。充分发挥了二者的优势。原先需要手动去安装加密客户端，现在变成，客户端自己主动安装加密客户端了，极大的减轻了，管理员安装客户端的工作量。2.1、应用准入网关解决方案1、强制安装加密客户端由于所有内网主机要访问关键服务器或上外网，流量都要从应用准入网关经过，因而准入网关会分析加密客户端与服务端的通讯是不是正常，没有安装的，会弹出网页提示安装。否则该主机是不能访问关键服务器或上外网。2、对关键服务器的基于MAC地址访问控制对关键服务器的访问，可以对终端主机的MAC做安全策略，符合要求的MAC才能放行。3、对关键服务器的实名认证对关键服务器的访问，可以对终端主机进行实名认证，只有实名认证通过才能访问。4、SSLVPN远程加密访问服务器外网用户要访问只能通过SSLVPN，有用户名口令，或加USB-KEY等，才能加密访问服务器，对外不开放常用端口。2.2、应用准入网关部署方式1、透明桥接方式网络拓朴说明：应用准入设备串接在出口路由/防火墙与三层核心交换机之间，或放在关键服务器区交换机与三层核心交换机之间。2、策略路由方式产品部署拓朴结构应用准入设备直接旁接在三层核心交换机的TRUNK口。2.3、终端进入加密网络流程你是谁？你是谁？安全终端你安全吗？银行内网终端审计检测终端是否安装第三方桌管、杀毒、加密软件，未安装禁止入网安全检查合法终端非法终端拒绝入网身份检查接入请求在路由器或关键服务器与交换机之间安装宝界安全准入网关，以透明的桥模式部署，它支持硬件BYPASS功能，即断电直通功能。在宝界安全准入网关做相关安全准入策略：准入软件缺省安装网页：可放在内网，也可放在外网。检测时排除如下源地址：某些IP地址无需安装终端管理客户端也能通过。检测时排除如下服务地址：不装终端管理客户端，也可访问指定的IP地址的服务器内网终端用户开机,打开浏览器上网或通过浏览器访问内网关键服务器相关BS应用。当终端的数据包经过宝界安全准入网关，触发安全准入检查，判断该用户内网客户端是否与准入网关做了握手通讯协商，如果没有，则用户网页自动转入设定好的内网终端管理软件的安装网页，强行要求终端安装内网客户端。强制安装终端管理软件网页强行安装完内网客户端后，客户端与准入网关进行握手，如果通讯成功,准入网关将其IP放入放行列表，准入网关放行其访问相关的网站或关键服务器的数据包。每隔指定的检测时间，内网客户端都将与准入网关做一次握手通讯。检测其是否安装了内网客户端，如果内网客户端被卸载或阻止，网关会再次要求PC安装内网客户端。内网客户端可以对终端进行强制检查，如：是否安装杀毒软件，是否打了操作系统补丁等，并把相应的检查情况告之准入网关，准入网关可根据不同的触发条件，自动跳转不同安装网页。2.4、应用准入网关相关设置安全准入策略设置1、准入缺省安装主页提供加密客户端软件的下载链接2、系统做准入检查轮询的间隔时间，以及终端主机入网后，可以有一段自由时间，这样避免刚上班终端主机一起上线，准入处理数据量过分集中。超过自由时间后，入网的主机如没有安装加密客户端，会立即弹出网页提示安装；3、检测时接受如下地址的验证信息，为空时接受任意地址的信息，这样可以针对多网段，可以分网段分步实施。4、允许部份主机不做准入控制，有些服务器或特例的主机，可以不安装加密也能访问服务器；5、允许部份外网服务器无论做不做准入都能被访问提示没有安装加密客户端的友好界面设置2.5、SSLVPN远程访问安全设置SSLVPN服务端的设置1、启动SSLVPN服务：打勾表示启动SSLVPN服务。2、服务器分配的IP地址：指SSLVPN服务启动后，防火墙会新增一个虚拟地址，它是分配给SSLVPN客户端的网关地址。3、客户端分配的IP地址范围：指SSLVPN客户端拨入后得到的IP

地址范围。注意：以上地址段不可与本地TCP/IP地址段相同。4、启用数据压缩：此服务框打勾后，SSLVPN客户端与总部内网服务器的数据通讯采用TCP/IP压缩技术，可加快数据传输效率。5、允许客户端互通：此服务框打勾后，可使客户端拨入后互通，其缺省超时时间为30分钟。6、SSLVPN用户内部网络表：是指SSLVPN客户端拨入后，可访问局域网的地址段或地址SSLVPN的应用发布功能应用发布的功能，客户端在访问总部服务器时，可以很方便直接打开相应的应用。结合微软终端服务的桌面应用，解决了外网客户端访问总部服务器慢的问题，同时不需要安装相应的应用软件客户端,大大减少了软件的维护工作。桌面应用发布BS应用发布添加SSLVPN用户SSLVPN用户添加设置1、SSLVPN远程访问需要用户名和口令；2、系统内置CA中，管理员可在此处自成用户证书，并自动导入USB-KEY,这样除了用户名和口令外，还需要插上USB-KEY，才能访问服务器；3、VPN用户第一次使用本帐号登陆，系统将记住其机器特征码，限制此帐号只能在此PC上登陆，复位特征码按钮可清空记忆；4、SSLVPN帐号可以有时间限制；5、对SSLVPN帐号用户访问限制，可以分角色管理，只能访问指定的应用程序的地址及端口。三、宝界应用准入网关简介3.1、应用准入模块应用准入模块通过网页自动重定向，对不合规的终端，进行个性化的友好提示，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，有效增强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。与应用准入模块联动的客户端，可以是网络版杀毒软件，也可以是内网桌面管理软件或非法外联检测客户端，它们对接入主机做特定的检查：操作系统补丁是否打齐？终端软硬件环境是否符合企业网络接入规范？是否存在非法外联行为？并向应用准入网关发送不同的准入消息，由应用准入网关给出不同的安全解决方案的下载链接。可分网段分步实施应用准入控制；对特定的接入主机可不做应用准入控制；对特定的应用服务器的访问可不做应用准入控制；可定义终端入网后指定的时间段后再做应用准入控制；可定义终端准入控制检测周期时间；3.2、实名认证模块用户价值：通过对关键服务器访问的实名认证，有效地防止外来的终端对内部重要文件资源恶意获取；通过对上网的实名认证，有效地控制员工上网权限，并日志对应到人。日志对应到人：实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况，终端访问日志、流量日志也能对应到人；多因素的组合认证：可对实名用户定义有效期、限定MAC地址、及部门属性，可导入导出实名用户列表；灵活的实名登陆策略：支持自定义WEB认证网页；对特权主机可排除不做实名认证；对特定的应用服务器的访问可不做实名认证。3.3、智能流量控制模块用户价值：通过对上网终端的连接数及上网流量的智能管理解决非工作应用严重占用企业出口带宽现象。清晰呈现当前网络流量信息图表、实时掌握网络的资源占用情况，准确了解带宽占用较大的用户和应用；对各类带宽资源占用大的P2P下载和多媒体应用进行精确识别，并限制其对带宽的滥用；保障关键业务数据传输质量不受其它无关应用的干扰；同网段用户根据当前在线用户数量平均分配带宽资源，避免网段带宽资源被个别用户独占。客户端连接数控制；针对单个IP地址/IP地址段主机设置带宽；根据当前在线用户数量，智能动态分配各客户端的流量；当有多余带宽，允许突破限制，充分利用带宽；可指定应用协议数据流量不做流量控制；实时显示各客户端连接数、收发包量、速率、累计流量。3.4、网络应用协议过滤模块用户价值：通过对网络应用协议阻断、网址黑名单过滤等技术手段，减少终端用户在上班时间做与工作无关的事情。实时查看、分析用户网络行为，通盘掌握网络使用情况；通过对网游、聊天、视频、炒股等与工作无关的互联网应用加以识别并封堵，提升员工工作效率，保障有效业务应用；对于炒股、聊天等应用，可以通过限制用户使用时长、时段的方式，减轻用户的抵触情绪，体现人性化管理思路。只有许可的QQ/MSN帐号才能在内网登陆；只有许可的邮件帐号才能在内网发送邮件；可禁止接入终端在BBS上发贴或上传文件；支持域名关键字黑白名单过滤，；可限制P2P软件（BT、电驴等）数据流量；封堵游戏、远程控制软件、VOIP等非法软件；所有应用协议封堵均支持时间段，支持例外用户策略；支持封堵的应用协议自动升级。3.5、IPSEC/SSLVPN远程访问模块用户价值：外网移动终端可通过安全、快速的SSLVPN访问公司的ERP、CRM、OA，杜绝了简单对外映射服务器端口产生的安全隐患。简单易用的应用发布系统：针对不同VPN用户有不同的内部应用访问权限；VPN访问应用加速功能：通过内置的智能加速技术，大大提高ERP等大数据量应用的访问速度；线路自动跳转加速功能：可以智能选择电信、网通、铁通等线路，让电信用户访问电信线路，网通用户访问网通线路；多种身份认证方式：远程用户除可使用用户名、密码验证外，还支持用户名密码＋USBKey、用户名密码＋客户端PC硬件绑定、用户名密码＋数字证书等多种双因子认证方式，企业可根据不同用户角色来选择各种认证，多种组合可搭配选择，以此实现数据的安全访问；VPN客户端广泛的适用性：支持http-connect,socks4和socks5代理上网环境；VPN客户端端口可自定义，适用于只开放80端口的网络环境；3.6、防火墙功能模块用户价值：图形化的防火墙策略定制界面，简单易用。灵活的智能路由、多链路负载均衡功能，充分利用了外网带宽。独创的WEB跳转功能解决了跨ISP运营商发布网络应用，访问速度慢的问题。图形化管理：操作界面充分利用面向对象的特性，使用户直接拖拽鼠标即可完成复杂的防火墙策略定制；多外网链路负载均衡：最高支持三条外网线路接入，智能实现带宽聚合、线路备份、负载均衡。支持电信、联通、教育网的智能策略路由，实现电信流量走电信、联通流量走联通，可免费升级智能路由策略库；灵活的应用发布：支持全地址映射功能；支持连续端口映射WEB跳转功能：根据网站访问者IP来源（电信、网通、铁通、移动教育）网关自动将其访问的域名跳转到对应域名；支持多动态域名互为备份功能：适合于ADSL无固定外网IP地址环境；ARP病毒防御：可采用内网PPPoE拨号上网,彻底化解ARP欺骗；通过自动扫描IP/MAC列表，实现双向绑定，防范ARP病毒；可防御内网PC与网关IP地址冲突。3.7、日志分析用户价值：通过日志分析，实时详尽的了解终端当前的安全状态。日志分析系统：