上网行为管理解决方案
来源:中国电子政务网 更新时间:2014-04-21

一.互联网对组织提出挑战
  过去,员工通过与同事闲聊来打发上班时间。随着计算机和互联网的普及,员工有了更多的选择,网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨……。只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。
     很多员工一打开电脑就会自觉地开始各种下载工作,包括BT、电骡、迅雷这些网络资源的“吞噬者“,这些员工在大量下载电影和软件的同时却在不停地抱怨网速太慢!同时,不管员工有意还是无意,他们都能够而且有办法去访问一些对组织网络基础设施有害的内容,带来的病毒、蠕虫和木马,都可以随着简单鼠标点击轻而易举的侵入内网。一些员工利用上班时间访问内容偏激的网站甚至组织、参与非法网络活动。
二.AC给用户带来的价值
  深信服科技(SINFOR)的AC产品带来了全面而细致的互联网行为管理解决方案。在此,我们通过对AC在管理网络带宽、保障内容安全、提高生产效率和规避法律风险这四个方面来具体阐述其为用户带来的商用价值。
管理网络带宽
网络流量管理
    P2P软件的控制
带宽优化和多线路策略
ü  保障内容安全
拦截不良网页
文件传输控制
ü  提高生产效率
URL匹配策略
    IM(即时通讯)软件的管理
    对各种应用的管理
    上网时间管理
ü  规避法律风险
外发信息控制
保护版权资料
法律遵从和举证
三.功能实现
3.1 有效进行部门规划
首先根据职能部门来划分用户组。有些部门由于物理环境的限制无法获取连续的C类地址,但这不会影响AC的使用,只需要继续添加。对于某些不属于特定部门的人群,可以另外建组。
3.2 建立身份认证体系
3A(认证,授权和审计)是组织安全基础设施的基础,将对用户和内容进行有效的
保护和控制。基于内网的安全的认证机制还需要进一步完善,需要管理局域网中所有用户的Internet访问。
身份认证主要有两种方式,免客户端认证和客户端认证,AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证,即使对计算机操作并不熟悉的用户也能够理解和操作,很好提高了操作的互动性和弹性。
AC支持多种认证方式,除了通过用户名/密码、IP/Mac认证外, AC的Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段,只要在AC中正确填入域、活动目录和邮件服务器的地址和端口,AC将自动更新用户列表和策略,这对建立了完善的内网认证体系的用户非常方便。
3.3 开始分析网络流量
当用户通过认证系统的身份校验后,AC将为不同的用户组进行授权,将系统管理员设定的策略同用户的标识相对应。在AC中,这些规则的制定主要从保护、控制和监控出发,并将这些规则和用户有机地结合在一起,进而形成一套完整的访问控制策略。
当局域网中的用户通过了认证、授权后,你往往要面临严峻的广域网带宽使用问题。好的改变方法是部署基于广域网的加速设备。
    AC的网络数据中心(Network Data Center, NDC)是一种统计分析工具,它可以记录局域网用户访问Internet的所有流量。
3.4 优化带宽资源
在不能改变狭窄带宽的前提下,需要去适应带宽,进而优化带宽。

    首先可以考虑使用AC的QOS和带宽叠加功能,AC将对广域网的带宽优化起到有效作用。QOS的设定有助于那些要求高传输质量、低时延的服务取得优先的带宽。
    而带宽叠加技术作为深信服科技的一项专利(专利号:200310112006X),已被直接用在AC上网行为管理这条产品线了。通过绑定多条ADSL或专线,可以获得更大的出口带宽,当多条ADSL绑定时,可以获得超过单条FTTX的带宽,而其费用却远远低于后者。这对于拨号和xDSL资费低廉而且专线线路难以申请的地区尤其有吸引力。、
更具效力的网络流量优化方式是AC的基于用户的流量控制技术(User-Based Traffic Control, UBTC)。在广域网的访问中,有些部门的特殊应用是应该而且必须获得独占性资源的,而有些部门的非工作相关服务本不应获得更高的带宽。通过AC的分组流量控制,可以对不同用户组使用的服务进行精细到以K/Bps为单位的带宽分配,保障重要部门的重要服务得到足够带宽,使非重要的服务受到合理的流量限制。
当管理员对互联网的使用情况有了大致的了解后,可以针对用户组的行为做出进一步的管理和控制。
3.5 网页浏览的控制
网页的浏览是互联网访问的主要内容。一方面,组织的管理者不希望给办公室营造监狱一样的环境,为了使员工得到更好的心情和满意度,组织需要一个人性化的环境。另一方面,员工对互联网的滥用的确带来了严重的生产力流失。
在AC的内置库中有着数百万的URL资料,分为新闻、音乐、视频、成人、财经、教育、科技等条目。在局域网中的用户浏览网页时,AC的联动式分析系统(Link Analysis System, LAS)将发挥作用。通过LAS技术,AC将根据网页的内容、用户可管理的关键字组、网页中包含的文件类型进行联动式分析,并根据AC默认的设置、管理员自定义的过滤规则对用户需要访问的网页进行过滤。
同时,AC还可根据工作时间,季节等最时间进行兼具计划性和灵活性的划分。
3.6 管理即时通讯工具
不断成长壮大的IM已经成为了事实上的企业通讯标准。  然而,IM的大量使用也造成了生产力的流失和机要信息的泄露。
AC可以提供对IM软件从禁止、监管、再到安全性审查的解决方法。
3.7 应对BT类软件
P2P技术对带宽资源的争用使局域网有限的带宽被耗尽, P2P的封堵应该是所有安全网关都需要关注的问题。
AC可提供两种封堵方法,一种是基于应用协议和数据包的分析,另一种是针对流量进行检测。
首先,AC的深度内容检测服务(Thorough Content Detection, TCD)可以对BT类应用的数据包进行深入检测。TCD通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分,实现了从四层到七层的全面内容检测,能够更好的发现哪些服务是P2P类应用,而不再使封堵仅限于对端口的分析和封锁。
由于TCD技术将对数据包进行深入分析,当内网用户发出的会话较多时,网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗, AC采用了网络流量智能分析技术(Network Traffic Intelligence Analysis , NTIA)。区别于端口封堵和内容检测,NTIA技术将对每一个用户和用户组的网络连接情况进行分析,当网络流量和网络连接超出AC规定的阀值时,用户的P2P行为将被限制流量。
一些P2P封堵技术实现了对某些BT类应用的“杜绝”,例如Cisco采用的NBAR,NBAR将对BT和电骡产生的数据包丢弃而不是管理,但更理想的方式应该是合理的利用P2P技术为我们的资源共享服务。上面提到的深度内容检测(TCD)和网络流量智能分析(NTIA)都能够提供给用户更多的选择。当AC确认某些用户在下载P2P文件时,网管员可以采取三种策略,首先是允许下载,这是对VIP和紧急用户的特权选项;其次是拒绝,你可以选择对某项P2P服务彻底封堵;最后是流量控制,即内网的用户可以使用P2P类软件,但他们产生的流量和连接能够被控制在一个可以接受的范围之内。
3.8 控制其他的网络应用
Internet上的网络行为还远远不止以上提到的内容。需要管理者关注的还有网络游
戏、在线视频(MMS、HTTP Streaming、RTSP等)、在线炒股等应用。
    AC的深度内容检测(TCD)已经自带了众多应用程序的数据特征文件,通过对用户组的访问控制设定,你可以轻易地允许或者拒绝内网用户访问特定的网络服务。作为一种面向客户的开放式解决方案,AC提供给用户更丰富的自定义功能。在TCD的高级设置中,AC允许有编程基础的网络管理员添加、修改和导入自定义的网络应用规则。如果局域网内有人使用非公开工具进行不正当活动,通过分析其工具的数据内容,AC同样可以实现封堵和控制。
3.9 防止机密泄露
在FTP的防护措施上, AC可以通过关键字和文件类型的设定来限制FTP的传输内容,对于内网通过FTP上传到公网的内容,AC将进行记录和保存,以便更好的对违规、违法员工进行网络行为追踪,进而更好的保护组织资产。
    在邮件的发送中,AC可以启用邮件延迟审计(Postponed Sending after Audit , PSA),通过PSA技术,内网的邮件将收到更为细致和全面的审查,以避免机密信息的不慎或有意泄露。具体内容您可以参考下一章的“邮件延迟审计技术”介绍。
    BBS的访问主要分为Web登录和Telnet登录,对于Web方式的访问,AC同样可以通过对关键字的审计来限制内网用户的发帖行为;而对于Telnet方式的登录,AC亦可以记录命令的详细内容,以供后期的审查使用。
3.10更多的安全机制
VPN/防火墙
反垃圾邮件
入侵防御系统
防DOS攻击系统
网关杀毒
四.领先的技术优势
强大的功能源自技术的持续创新。在本章节,您将了解到AC的一系列深入用户需求的标杆性技术。
4.1 邮件延迟审计(PSA)
    AC集成的基于网关的邮件延迟审计技术(Postponed Sending after Audit, PSA)为企业级用户提供了邮件内容防护的可靠途径。PSA采用了邮件转移技术,内网用户发送的邮件会首先被AC网关转移至网关的邮件缓存区,邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件,那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的,邮件的发送过程和以往并没有任何不同。
    还可以对PSA做细粒度的审核机制,例如需要进行邮件审核的发件人、收件人以及邮件的特征。
    PSA提供对收件人和发件人名单的编辑。你可以对特定部门和特定员工启用审核功能,因为你的老板也许不希望自己的邮件行为受到他人监控。
    而邮件特征的定义细致了PSA的对象定义粒度。你可以调整需审核邮件的正文和附件大小以及邮件的关键字特征。
    由于PSA涉及到人工的审核操作,所以邮件的延迟发送时间也是可控的,当有邮件进入缓存区等待审计时,AC将通过邮件等方式通知邮件审核人员,如果邮件审核人员在长时间没有登录审计,待审计邮件将被AC自动发出,避免重要邮件被延误。
4.2 网络准入规则(NAR)
AC的网络准入规则(Network Admission Rules, NAR)通过对客户端的评估来
实现网络访问控制,并更好的维护网络安全防线。
    NAR的设计意义在于三个方面。
首先,仅靠网络边缘的外围设备已经无法保证安全性。提供边界防御的安全网关无法保护内部网络段,也无法替代内容安全防护措施。即便组织的网络出口处运行着防火墙等网络周边安全设备,病毒和蠕虫、特洛伊木马、等基于内容的恶意行为仍频繁渗入组织内网。
其次,边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。同时,日益提高的安全过滤和控制要求,以及不断增加的带宽需要,也给网关性能带来很大压力。
最后,客户端的安全级别往往难以保证,这对于内网用户数量众多的组织更为如此。使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件,这些都将成为局域网安全中的“短板”。
基于此,AC的NAR通过对端点安全评估和访问策略列表来实现全方位的安全防护。

4.3 数据中心(NDC)
AC的数据中心(Network Data Center, NDC)提供了基于用户的最完整的互联
网访问记录。
通过使用NDC,组织的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,NDC将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好的维护和管理网络。
    不同于其他内容安全设备的日志系统,NDC可提供更丰富和更具扩展性的互联网内容访问记录。
    NDC可以根据组、用户、规则和协议进行多向查询,并可生成饼状图、柱状图和曲线图等方式,使内网日志一目了然。对于日志的统计对象,NDC提供了对流量、邮件、网络监控、准入规则(NAR)、IPS、防火墙、日志库、用户信息等9大对象的统计和查询。
    NDC系统是一个可移植的日志平台。大规模的局域网访问将产生大量的网络日志,一个PC数目以K(千)为单位的局域网,其一天内的互联网访问日志也将程指数倍增加。AC内置的NDC系统可以移植到专门的日志记录服务器中,这将给组织带来多种好处。
NDC提供对日志记录的导出和在线打印,你可以把统计和查询结果打印成文本,使对内网情况的报告更加方便,也更便于日志的储存。
  AC支持异地管理和维护,NDC同样也能够查询远程的网络情况。这对于有多个分支机构的组织来说极为方便,管理员可以在通过Web方式实时地了解不同分支机构的网络运行状况和网络行为日志,并将日志记录统一导出,形成整个组织的网络行为分析记录,进而制定出细化的、多层次的安全策略。
4.4 单点登录技术(SSO)
值得肯定的是, AC产品线的开发人员将单点登录技术同认证机制结合在了一
起,让通过域认证的用户可以更加方便的实现Web认证。
单点登录技术(Single Sign On, SSO),通过在AC的活动目录中配置单点登陆选项,当你的主机登陆到域中便自动通过了Web认证,而不需要重复输入用户名和密码。
同样,POP3的认证也实现了单点登录。构建了邮件服务器的用户都有一套邮件帐号,当AC把邮件服务器的帐号导入后,用户每次使用Web认证时只需要输入邮件的帐号即可访问互联网。另外,AC考虑了更人性化的措施。当内网用户使用Outlook、Foxmail等邮件客户端成功登录到邮件服务器后,他(她)将自动通过Web认证。
4.5 反钓鱼网站功能
AC内置的SSL库内置了可信任证书颁布机构列表,并可对SSL连接的证书内
容进行可信度评估,如身份验证机构的标识信息、证书有效期、证书持有人的公钥、证书的签名和算法。当钓鱼网站采用了伪造的数字证书来骗取内网用户信任时,AC可以判断出其本来面目并进行阻断,避免组织成员蒙受经济损失。
4.6 代理服务器识别
很多组织的内网用户通过Microsoft ISA、Sygate、CCproxy等代理服务器(Proxy
Server)上网,这些软件在完成其代理任务的同时也给其他安全设备的管理带来了困难。由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的,当内网用户通过代理上网时所有数据是发向代理服务器的,这将使防火墙、内容控制设备的某些模块无法正确识别内网数据的真正流向,进而失去应有的防护作用。
    对于通过Proxy Server代理上网的情况,AC可以很好地适应并发挥其作用。AC提供给网络管理员一个可编辑的界面,以将网络出口情况定义给AC的控制系统,AC的控制系统通过正确识别用户的网络拓扑而做出正确的判断和管理。
4.7 智能排障技术(IBF)
AC的状态监测防火墙支持虚拟测试(Virtual Test)功能,网管员可以在AC提供的虚拟网络环境下测试各项配置,以得到配置在实际网络中的运行效果。
    而AC的智能排障(Intelligent Barrier-Free, IBF)技术帮助管理员查找错误配置的源头。当内网的某个用户或用户组出现无法正常上网、个别网络应用不能正常运行时,网管员都可以借助IBF来反向查询障碍的原因,查询数据包是否被网关的某个模块拦截,为何被网关拦截,或者其他产生故障的原因等等,进而可以帮助网管员尽快的检查出问题的症结所在,迅速的排除和解决障碍。
五.AC产品部署方式
在深信服科技(SINFOR)的数千个用户中,从没有发现过两个完全相同的网络环境。作为保护组织网络资源的核心设备,AC考虑到了各种可能的网络拓扑,并力求部署的最简化。
穿透式(Pass-Through)部署
穿透式部署将设备部署在局域网的主干部分以处理流经设备的数据流
网关(Gateway)模式
网关模式适用于希望通过AC产品来实现所有的审计、控制和拦截功能,且对网络
拓扑的更改不敏感的用户。
    网关模式将SINFOR AC作为局域网的出口网代理内网PC上网,除完成AC的管理控制功能外还可以实现NAT、路由和防火墙等网络与安全功能。
部署方式:AC的WAN口与广域网的接入线路相连,一般是光纤、ADSL线路或者是路由器,AC的LAN口(DMZ口)同局域网的交换机相连,内网的PC将网关指向AC的局域网口,进而通过AC代理上网。
网桥(Bridge)模式
网桥模式适用于希望对内网完全监控、控制和管理,且不希望更改局域网的任何网络地址的用户。
网桥模式将SINFOR AC等同于一根连接在网关和交换机之间的“智能网线”,可以对所有流经AC的数据流进行审计、管理和控制。
部署方式:AC的WAN口同局域网的网关相连,LAN口(DMZ口)同局域网交换机连接。局域网内的任何网络设备和PC都不需要更改IP地址。
旁路式(Pass-by)部署
旁路式部署将设备与交换机的镜像口相连,用于监听局域网中的数据流
旁路(Pass-by)模式
旁路模式适用于希望通过AC来实现内网监控和审计的用户。
旁路模式的部署不需要对内网拓扑作任何改动,使实施难度最低。而由于内网数据流不需要流经AC设备,避免了网络主干中设备过多引发的网络处理性能下降,也降低了网络单点故障的发生几率。
    部署方式:在出口交换机中配置镜像端口,将AC的广域网口同镜像端口相连,实现对内网数据包的监听。