BluecoatproxySG方案Word格式文档下载.docx
《BluecoatproxySG方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《BluecoatproxySG方案Word格式文档下载.docx(23页珍藏版)》请在冰豆网上搜索。
∙内容传递系统基于工业标准协议和应用
∙在最小的网络中断下,升级整个企业网络
∙便于使用和管理
BlueCoatSystems是业界唯一一家完全致力于提供全面的、安全的互联网访问控制和安全保护解决方案的公司。
BlueCoatSystems产品能够为用户提供一个灵活的、可扩展的平台,而且便于安装、配置和维护。
BlueCoat专用设备提供的强大的互联网访问代理功能、缓存功能、策略控制功能,使BlueCoatSystems公司具有建立强大的企业互联网代理体系的能力。
一、BlueCoatSystems公司简介
BlueCoat帮助企业保持“好”员工不在互联网上做“坏”事。
BlueCoat公司专注于提供安全的代理专用设备,提供互联网访问的可见性,并据此管理Web通讯,以保护企业网络免受间谍软件侵害的风险,并且能防止员工访问不合适的网页、不恰当地使用即时通讯工具、滥用流媒体及点对点文件下载,从而提高Web的安全及性能。
BlueCoat专用代理设备的使用量已超过20000台,已被许多世界上最具影响力的组织和机构所信任。
BlueCoat全球总部设于美国硅谷的Sunnyvale,成立于1996年。
背景
随着企业越来越依赖于互联网与客户、合作伙伴和员工进行通讯,BlueCoat具有巨大的成长机遇。
Web浏览器已成为关键的业务通讯和信息交流的通用工具,但它同时也增加了企业的安全风险,如:
●由于间谍软件导致PC崩溃使支持中心的服务量大幅增加;
●由于员工访问不恰当的Web内容而导致生产力降低及潜在的法律风险;
●由于个人Web邮件的使用,使病毒出入网络有了新的“后门”;
●P2P和流媒体的滥用耗尽了网络的带宽;
●员工工作效率的下降;
当企业内所有用户都使用Web浏览器时,不管是有意还是无意,每个用户都有可能而且有办法去访问一些对企业网络基础设施有害的内容。
产品优势
BlueCoatProxySG安全代理专用设备产品系列具有完整的Web代理功能,能够实现最强大的策略控制。
这些ICSALabs认证的解决方案基于BlueCoat自主开发的专用操作系统SGOS,包含专利的策略处理引擎───极其灵活的Web通讯管理框架结构,实现细致的内容策略、应用策略、用户策略。
BlueCoat端到端的产品系列包括全面的统计报告软件、策略和配置管理解决方案,满足集中部署和分散部署等不同要求。
BlueCoat助您建立高效、快速的互联网通讯环境
BlueCoatSystems是建立高效、快速、安全的企业互联网通讯环境的企业的正确选择。
对此,Gartner是这样评述的:
“BlueCoat是企业安全代理用户对外访问互联网的正确选择。
”
二、互联网出口安全控制改造方案
2.1当前网络情况
SG旁接在核心交换机,通过IP地址进行访问控制限制.
2.2BlueCoatProxySG改造建议方案
2.2.1策略修改
本次改造主要是在原本通过IP进行上网控制的基础上,加入第三方用户认证来加强管理内部人员的上网行为,主要通过修改策略实现.
2.3方案描述
通过Configuration/Authentication选项进入用户认证配置,包括:
管理员用户名、密码,上网用户的用户认证域定义等。
用户可以选择采用本地用户列表、NTLM、LDAP、Radius等多种用户认证方式。
2.3.1用户认证域控制
从Authentication/Realms进入用户认证域控制页面,如下图示:
其中:
将显示所有已定义的用户认证域,
2.3.2NTLM用户认证域定义
IWA用户认证是定义ProxySG使用WindowsNT服务器的用户认证的方法,定义页面如下图示:
其中,Realmname定义一个标示名,PrimaryServerhost定义BlueCoatNTLMAgent安装的服务器IP地址(也可以直接指定DC的地址),16101为缺省使用的端口。
2.3.3NTLM服务器定义
IWA服务器定义页面如下图示:
其中,可以定义备份的IWA服务器。
2.3.4IWA通用信息配置
从IWA/IWAGeneral进入配置通用信息配置页面,如下图示:
其中,Realmname为IWA认证域的名字,Credentialsrefreshtime为认证信息缓存的时间,缺省为900秒。
VitualURL用于OriginRedirect的认证方式,主要将用户的认证请求Redirect到这个虚拟的URL上。
2.3.5LDAP用户认证域定义
从Authentication/LDAP进入LDAP定义页面,可以定义选择WindowsActiveDirectory、SunLDAP、NovelLDAP等用户认证域,如下图示:
选择New,定义新的LDAP用户认证域。
页面如下图示:
∙Realmname定义认证域名,
∙TypeofLDAPServer选择LDAP服务器类型
∙Primaryserverhost定义域服务器IP地址
∙在选择了LDAP服务器类型后,其它选项将相应调整,无需另外定义
2.3.6LDAP服务器定义
LDAPServers配置页面如下图示:
包括LDAP服务器类型的修改,LDAPProtocal版本的修改,可以定义LDAP主服务器和备服务器等信息。
2.3.7LDAPDN定义
实现ProxySG与LDAP服务器的通讯必须定义LDAP服务器的一些基本信息,BaseDNs是LDAP域的定义,配置页面如下图示:
其中,New选项用来定义新的BaseDNs,BaseDNs的格式举例:
DC=www,DC=bcsi2106,DC=com,DC=cn
如下图示:
2.3.8LDAPBaseDN举例
以Windows2000ActiveDirectory举例,在Windows2000管理界面进入,ActiveDirectory用户和计算机管理页面,如下图示:
其中,在根定义部分可以看到,对应到ProxySG中的BaseDN定义为DC=www,DC=bcsi2106,DC=com,DC=cn;
其中用户SG_admin的LDAP标示为:
CN=SG_admin,OU=BCSI,DC=www,DC=bcsi2106,DC=com,DC=cn
2.3.9LDAP检索用户定义
ProxySG与LDAP服务器的通讯需要一个LDAP用户名(普通用户),在LDAPSearch&
Groups页面中定义,如下图示:
其中,对Window2000的ActiveDirecotry缺省不支持匿名访问,需选择SearchUserDN定义用户名的LDAP标示,并选择ChangePassword设定访问密码,页面如下图示:
2.3.10LDAP对象类定义
LDAP对象类定义一般无需修改,它会根据LDAP服务器类型自动设定。
2.3.11LDAP通用信息配置
LDAP通用信息配置页面如下图示:
其中,Credentialsrefreshtime定义LDAP认证信息缓存时间。
2.3.12本地用户列表定义
可以选择将上网用户的用户名、密码和分组等信息定义在ProxySG中,定义页面如下图示:
选择New可以生成一个Local用户认证域,并通过LocalMain页面定义该认证域使用的用户列表,定义页面如下图示:
其中,定义了Local_user域与用户列表sl_account_list的对应关系,而用户列表的生成,以及列表中用户名、密码的设定需通过命令行进行,命令如下:
telnetProxySG-IP
enable
conft
securitylocal-user-listcreatesl_account_list;
生成用户列表
securitylocal-user-listedit"
sl_account_list"
;
在用户列表中生成用户
usercreatecutter
end
设置用户密码
usereditcutter
password123456
exit
2.3.13VPM配置
在VPM中添加webauthenticationlayer,定义需要进行上网身份认证的网段即source处,在action处选set然后new添加新的认证对象选择对应的realm,如图使用的是radius第三方上网身份认证,也可使用LDAP,IWA,本地等认证方式
2.4测试与回退
使用需要进行身份认证客户机通过代理上网,在跳出的认证窗口处输入帐密,成功认证后可正常上网,测试通过。
如果认证错误,且无法上网,为不影响业务,则进行回退操作,回退步骤为删除VPM中新建的webauthenticationlayer或者删除该layer的具体认证rule。
2.5方案特点
该改造方案从原本简单的IP管理方式转移到IP与用户身份认证的混合管理模式,大大加强了上网的安全性,追诉性.
同时ProxySG运行的SGOS操作系统还具有更多的关键能力:
包括:
∙简便的管理:
BlueCoatSystems产品设计为在数分钟内就可安装,几乎没有日常管理的工作,它们是自适应、能自愈的专用设备。
其它厂商的解决方案往往要求定期的维护和停机,BlueCoatSystems提供的是使用简便的真正的专用设备。
∙维护简单:
在现存网络体系中使用专用设备的首要目的,就是减轻维护服务器和防火墙带来的“头疼”问题。
BlueCoatSystems专用设备可以通过命令行或浏览器界面进行远程管理。
∙Web内容的安全控制:
SGOS是从最底层开发出的安全产品,具有高性能的操作信托,始终考虑的一个功能就是让Web内容快速、安全地通过整个网络。
BlueCoatSystemsProxySG专用设备提供最好的用户响应时间,从而保证员工的积极性及生产力;
SGOS的专利特性使BlueCoatProxySG专用设备成为运用Web服务器体系结构的企业网络的必备产品
三、主要技术及产品描述
以下部分简单叙述BlueCoatProxySG,及其BlueCoat产品,它们通过优化为大型企业系统提供Web内容缓存和互联网访问控制、管理。
3.1BlueCoat互联网代理技术――用户认证、授权和统计
有效的企业安全基础设施始于3A――即认证、授权和统计。
这些服务是用户和内容的保护、控制的起点。
每个网络都已经实施了认证系统,当用户开机后,它们即被要求输入有效的用户名和密码以访问网络资源。
BlueCoat的ProxySG设备可以与LDAP、Radius和NTLM等认证系统协调工作,在这些系统中保存有效用户信息,当用户访问Web资源时BlueCoatProxySG设备将提示用户输入认证信息,并透明与认证服务系统校验;
BlueCoatProxySG设备可以同时支持多个并存的认证系统。
识别一个用户有许多途径,包括:
∙用户标识:
如果提示用户输入口令成功,并将输入的口令和安全数据库或目录中的信息校验,成功认证后就会产生用户标识。
认证的方法可以多种形式出现,例如密码、证书和令牌。
认证凭据传送至安全数据库或目录来进行认证。
成功的认证可识别用户。
∙组标识:
和针对某个用户的认证类似,基于组的标识决定某个用户在一个组织中的角色。
典型地,这是一个组的会员或在一个给定名字空间内的属性条件。
∙网络标识:
基于网络IP地址、子网地址、或其它网络标识。
一旦系统确定了访问请求者的身份,下一步即开始授权,也就是将策略和认证过程中的用户标识勾联起来。
简单地说,授权就是一组规则,这些规则决定哪些用户可以访问哪些资源以及这些用户可对这些资源执行什么样的操作。
BlueCoat提供一个简单直观的工具―――VisualPolicyManager(VPM)来帮助您建立这样的授权规则,这些规则可以针对现有认证服务中的单个用户或者一组用户来制订。
AAA中最后一个环节就是统计了。
一个允许访问某些资源的系统同时也必须有效地跟踪这些资源的使用情况。
在出现欺诈、恶意使用时,这些统计信息对于审计是必须的。
BlueCoatProxySG设备提供丰富、详细的访问日志,能够记录用户的所有Internet访问。
3.1.1内容安全控制
BlueCoat的ProxySG互联网通讯控制专用设备还能帮助您分析来自互联网的Web和多媒体内容、去除恶意代码以及其他安全设备无法屏蔽的动态内容,实现用户访问内容的安全性控制。
Internet为广大用户访问互联网内容和下载软件提供了方便。
而在过去,管理员可以容易地将用户的软盘拔掉来“锁住”用户的计算机,互联网的出现使得任何一个人通过浏览器下载大量的内容。
这些内容可能是和业务相关的信息或软件,也可能是耗时的游戏,也可能是盗版的电影或MP3文件。
为使企业在为员工提供工作所必需的上网的同时,企业的网络不被潜在的危险内容所充塞,对网络管理员来说,最根本的任务就是建立一套能够控制谁能够从互联网上下载什么内容的策略,并用这个策略来管理所有的员工对网络的访问。
尽管企业采取许多措施来提高企业网络的安全性,然而很多新的移动代码病毒,新出现的Nimda和红色代码病毒却以嵌入在网页中的可执行代码的形式(例如ActiveX,JavaScript,VisualBasicScripts等)进入内部网络。
不幸的是,当今的防火墙不是为检查位于多个包中传输的内容的检查而设计的,或者说不是为防范内容级的检查而设计的,它不能防御恶意的内容级的移动代码病毒。
可幸的是,内容安全的基础设施中出现了一个新的层次,它和防火墙结合在一起工作,优化地保护网络免受内容级的威胁。
BlueCoat的ProxySG设备提供强劲的、灵活的方法来管理网络上内容级威胁,不管它们来自于防火墙之内,还是来自于防为墙之外。
另外,SG800系列和
SG6000系列产品提供管理和实施企业Web安全策略所必需的可视化、灵活管理策略的能力。
利用BlueCoat产品,安全管理员能够:
∙挡住存在潜在危险的活动内容
∙剥除并替换网页中存在潜在危险的活动内容,同时仍然服务网页中的其它内容。
∙基于设定的安全策略(例如内容类型、用户名、目的IP地址等),将存在潜在危险的活动内容传送到另外一台扫描移动代码病毒的服务器。
∙实现细化的活动内容去除。
o例如,对于所有用户去除VisualBasic脚本代码,但对于某些用户,允许访问ActiveX内容。
∙对指定用户组的用户,挡住具有特定后缀或MIME类型的文件
∙限制用户的某些请求方式。
o例如,一个公司决定只允许某一组员工上传资料至某个合作伙伴的Web站点或下载Web邮件中的附件。
∙限制通过表格或Web邮件上传资料,以防止公司的知识产权流失。
∙只允许使用指定类型的浏览器,因为某些未经批准的浏览器存在潜在的安全漏洞。
o例如,安全管理员可能会强制实施一此安全策略来只允许使用指定版本的含有修补某个安全缺陷补丁的IE浏览器。
∙限制、去除或替换某些内容包头以便企业网络的信息不会泄露不予到互联网上。
3.1.2灵活的策略控制
BlueCoat独特的Web知识架构使企业能够处理所有的Web协议,包括HTTP、HTTPS、FTP、Microsoft流媒体(MMS和HTTPStreaming)、Real流媒体(RTSP和HTTPStreaming)、QuickTime流媒体(通过RTSP)、MP3、Flash、和几百种其它的Web对象类型。
BlueCoat拥有专利的策略处理引擎(PPE-PolicyProcessEngine)提供强大的策略定义能力,用户可以定义一系列的、全面的规则来保护、控制和加速用户的访问,同时将这些规则和任意多个条件联系在一起,可以利用现有目录、数据库访问中的用户信息。
这个解决方案使用认证标识符来触发所有的动作和规则。
Web访问请求可以进行授权,并可基于所有已知标识符的任意组合进行管理。
下面的例子说明使用BlueCoatSystems可实现的功能强大的策略:
∙安全管理员面临一个新的安全威胁,计划实现一个策略来限制怀疑存在安全漏洞的浏览器的使用,且对某组用户只允许访问某些对业务运作关键的Web站点。
有Web访问控制需要的网络管理员可能想实现一个策略,只允许市场部的用户使用Microsoft媒体播放器,请求.asp文件,访问上的多媒体内容,时间限制在早8:
00至晚5:
00之间,也可以使用HTTP协议。
BlueCoat的Web病毒扫描使安全管理员和网络管理员能够确保储存在本地缓存中的内容是干净的和安全的,不含病毒、蠕虫、和其它的网络安全威胁。
如果不对这些内容进行扫描,现有的这些代理服务器只能是将这些危险的内容更快地传送给用户。
所有通过ProxySG专用设备的Web事务处理都会被记录,提供详细的统计信息。
这为确定Web使用模式、审计用户访问历史、跟踪安全问题、制订全面Web保护和控制策略提供了清楚明了的事实依据。
3.1.1.1BlueCoat可视化策略管理器
BlueCoatSystems可视化策略管理器BlueCoatProxySG互联网通讯控制专用设备操作系统集成的功能模块,以直观的、图形化的方式帮助您完成管理一个网络Web安全相关的复杂策略。
管理基于Web的安全问题是一项要求正确工具的复杂工作。
随着用户数量的和Web应用的增加,制订Web安全策略的复杂性和因失误带来的风险也随之增加。
BlueCoat可视化策略管理器简化安全策略的建立和管理。
管理员能迅速地建立复杂的策略规则,并容易地评估其影响。
直观的图形用户界面,对安全管理员来说很熟悉,使得在跨越整个BlueCoatProxySG组成的网络上细化的、多层的安全策略变得很容易。
可视化策略管理器使管理员能够:
o使用强劲的策略加强互联网访问的安全
o使用图形界面建立和维护策略
o在装有Web浏览器的任意PC或工作站上启动和使用
o简化安全策略的生成工作
BlueCoatSystems的可视化策略管理提供了强劲的图形化工具来生成、实现和管理企业的安全策略。
使用BlueCoat可视化策略管理,安全和网络管理员能够迅速地为SG系列ProxySG专用设备建立策略规则,这套策略规则可根据BlueCoat功能强大的Web知识架构所涉及的每个技术细节来建立,并利用策略处理引擎的高性能处理能力进行策略的执行。
功能特性:
直观的策略生成界面
快速生成复杂的基于用户、用户组、网络、目录属性、以及内容类型、浏览器类型、协议以及其它更多属性的Web安全策略和控制策略。
策略分层
将相似的策略规则分组有利于简化管理工作。
例如,内容过滤策略和病毒扫描策略能合并在一个独立的层次,使管理变得简单。
另外,如有需要,安全管理员能对某些用户定义例外策略,而不需影响公司统一的标准策略。
同时支持多个认证域
定义必须使用哪台认证服务器/认证领域(realm)来进行认证。
即使用户信息定义在不同的认证系统中,管理员也能够为这些用户定义一致的安全策略。
例如,管理员能在企业范围内定义一条策略,哪怕有的用户定义在NT域中,有的用户定义在LDAP目录中。
策略分发自动化
与BlueCoatDirector集中管理设备结合在一起,管理员就能够根据地区来分发策略,而且,在策略修改时,能够自动化分发修改后的策略。
内容策略语言(CPL)
处理可视化的策略生成,管理员还能够根据内容策略语言定义内容策略,使用高级宏语言定义策略。
暂时禁止
为查错方便,您可暂时进行某些策略规则的执行,而无需删除它们。
基于浏览器
基于Java的用户界面,可运行于任何基于Java的Web浏览器。
系统需求
可视化策略管理器要求JavaRuntimeEnvironment1.3.1来运行,支持Microsoft和Netscape的web浏览器。
如果没有安装JRE,那么可视化策略管理器在它第一次运行时,自动下载并安装它。
总结
此次改建提高了网络安全性,可追诉性,为企业营造了更安全和谐的上网环境。
升级会员 