上网行为审计与流量管理解决方案UAG建设方案建议.docx
《上网行为审计与流量管理解决方案UAG建设方案建议.docx》由会员分享,可在线阅读,更多相关《上网行为审计与流量管理解决方案UAG建设方案建议.docx(19页珍藏版)》请在冰豆网上搜索。
上网行为审计与流量管理解决方案UAG建设方案建议
上网行为审计及流量管理解决方案UAG建设方案建议书
理念是人们对于不同事物从自身角度出发确定下来的正确看法,并用于指导人们的行为实践。
正确的安全建设理念可以指导用户解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方。
迪普科技公司提出的智能安全理念,体现了迪普科技在网络信息安全方面专业和独到的见解,使其成为客户最可信赖的安全建设指导思想。
在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。
而应用自身的多样化、个性化特性,却与网络的IP化、标准化形成了天然难以逾越的矛盾。
特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、云计算、物联网、P2P等新技术新应用的不断增多,如何在标准化的网络基础设施上,使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用,最终使IT战略与企业战略保持一致,是所有IT厂商和用户面临的共同课题。
安全:
从某种意义上讲安全是叠加于基础网络设施上的一层智能网,它通过安全域划分、访问控制、入侵防御等技术手段形成一套完整的端到端防护体系。
但受制于技术积累的不足,传统的防护方案只能用于部分对性能、功能、可靠性要求不高的场景,对大型数据中心、骨干网/城域网、大型园区出口等场景则束手无策。
快速:
P2P、网络游戏等的无节制使用,使企业网络流量呈现爆炸式增长,宝贵的网络资源被滥用;病毒等威胁的肆意泛滥,不仅会造成网络流量异常,甚至会导致业务瘫痪。
单纯通过扩容网络带宽的方法已无法从根本上解决。
可用:
应用服务的不断增多、流量压力的不断增加、访问延迟的不断增大,如何保证在线业务的持续可用?
简单的通过扩容网络带宽和增加服务器的方法不仅成本大而且收效甚微。
为解决上述问题,迪普科技从“应用超乎想像”角度出发,提供了一系列保证用户应用更安全、更快速、更可用的产品和解决方案。
迪普科技具有一支业界领先的开发团队,基于多年的研究与积累,拥有自主开发的高性能的容识别与加速芯片以及核心软件平台,目前已推出具有自主知识产权的应用防火墙、UTM统一威胁管理、IPS入侵防御系统、防毒墙、UAG审计及流控、异常流量清洗、Scanner漏洞扫描系统、WebShield防护系统、TAC终端接入控制、DPX深度业务交换网关、ADX应用交付平台、工业交换机及UMC统一管理中心等系列化产品。
迪普科技自主研发的ConPlatOS系统平台,是一个可剪裁、可伸缩的基础软件平台,可以提供丰富的组网能力、强大的数据流处理功能以及完善的虚拟化功能。
迪普科技全系列产品均以高性能多核架构为硬件基础,并结合FPGA与ASIC技术,全线产品的处理能力都提高到万兆水平,即使在功能扩展的情况下依然不会影响设备性能,创新性的突破了安全产品受部署场景、功能和可靠性的限制;流控、WAN加速等技术的综合使用,从2~7层提供差异化、层次化的应用加速解决方案,为客户提供前所未有的灵敏快捷的应用体验;另外,通过负载均衡、掉电保护等技术,在大大降低客户总体拥有成本的同时,有效保证了客户业务的高质量持续可用。
目前,政府制定了网络安全相关的法律法规,促使各行业必须遵循一定的安全标准,以帮助提高企业的攻击防能力。
为了帮助用户构建等级安全体系,实现按需防御需要,迪普科技对企业IT环境现状进行安全评估,为用户度身定制一整套闭环的安全建设方案,并通过培训提升企业安全管理人员的素质,保证安全性的延续。
迪普科技的行为管控解决方案就是在这个安全理念指导下形成。
二、行为管控解决方案
1建设原则
通过统一管理平台管理整个网络及业务系统出口,对互联网出口的用户上网行为进行审计和带宽管理。
系统建成应为完整的可扩展的一套系统,实现数据处理、数据检索、日志存储、策略定制和分组管理等需要。
稳定性:
系统需具备高度的稳定性,支持软、硬件Bypass,保障系统的正常运行。
实用性:
主要技术和产品必须具有成熟、稳定、实用的特点,既要便于用户使用,又要便于系统管理。
先进性:
系统设计要采用成熟可靠的体系和软件硬件产品,应支持对主流技术、协议和标准的升级,以及有完备的技术支持团队。
开放性:
系统平台应是一个开放的且符合业界主流技术标准的平台,要适应学校应用对系统进行定制的要求。
扩展性:
系统应支持灵活组网和网络改扩建的需要,能够快速部署和随网络结构进行调整,并无需改动平台主体结构和功能。
安全性:
要对数据库提供备份和恢复机制,对管理权限实行分组管理分组授权。
2方案简述
在网关处部署DPtechUAG网关产品,UAG具有网络行为审计、流量分析与控制、访问控制和病毒防护等功能,其强大的行为管控功能,可规员工上网行为,保护部数据安全、防止信息泄漏;专用防病毒引擎,可抵御来自外网的各种恶意威胁;独特的安全助手功能保证终端的安全接入,并通过与UAG网关的协作,为用户构建外网一体化安全防护;基于行为和特征的应用识别和控制技术,可对网络中P2P/IM等各种应用进行有效管理,优化带宽使用效率。
设备提供日志保持、关键容过滤等功能,满足国家公安部颁布的《互联网安全保护技术措施规定》(公安部令第82令)要求。
3主要功能
1
1.1上网行为管控,防止信息外泄,规避法律风险
在互联网出口处,部署UAG产品,可对各种网出入外网的信息与文件进行安全审计,这样可有效解决网络及业务系统部泄密的问题。
为保证管控效率,管理员可设置敏感关键字进行自动告警与阻断。
对于员工在上班时间访问、网络聊天、网络游戏、炒股、看电影、P2P、文件上传下载、Email、FTP等行为,UAG将记录和分析,并可针对部门或个人进行策略性控制、屏蔽或免审计。
UAG设计上采用审计功能和应用特征分离的架构,提供专门的应用协议特征库,并定时进行特征库的更新。
这种方式保证了UAG具有全面、准确的网络流量识别能力,同时能够及时针对网络中新出现的业务进行准确识别,而且,升级特征库的过程中不会对用户的实际上网造成任何中断。
UAG基于网络用户组和网络应用组策略,可以灵活控制部员工、部门以及组织的上网行为,其中网络用户组可以由管理者根据自身组织结构情况,将不同的工作组、部门设置成不同网络用户组,然后针对这些网络用户组配置不同的上网控制策略,同时,对于部门中一些特权用户,如经理等,可以设置成免审计,从而保证必要信息的。
网上的协议类型众多,为了便于对这些协议进行管理,UAG通过网络应用组将上千种能够识别的协议进行了分类,如网页浏览、即时通信聊天、BBS论坛、网上视频、电子、网络游戏、P2P等等,管理员可以在制定策略时进行,直接引用网络应用组中的预定义类型。
此外,系统还可以由用户根据自身业务情况,自定义网络应用组。
通过网络应用组,可以大大减少管理人员的策略配置工作量。
通过部署UAG,可以实现对上互联网用户的行为和容实现统一审计和管理,在提高工作效率的同时避免业务系统敏感信息的泄露。
此外,UAG还支持基于时间段的策略控制,控制用户或者用户组,在指定日期和时间段访问互联网服务的权限。
通过灵活的上网控制策略,管理者可以实现对各类上网行为的封堵功能,如即时通讯类(QQ、MSN聊天)封堵、网游封堵、股票封堵、p2p流量封堵、BBS发帖封堵、以及按照网址/关键字封堵等等。
1.2P2P全面管控,优化带宽资源,保护关键应用
P2P应用极大吞噬着网络及业务系统的网络资源,P2P的带宽占用问题已经成为IT管理者头痛的普遍问题。
目前绝大多数P2P软件都不使用固定端口,因此基于传统的端口识别技术已无法有效识别和控制P2P。
UAG采用先进的深度包检测和行为检测技术,可全面封堵如迅雷、BT、eMule、PPLive、QQLive等P2P应用,对于加密和未知版本的P2P软件,则通过网络行为智能学习技术对其封堵。
同时,为满足带宽的按需使用,UAG可对指定用户或部门,按时间段进行P2P控制。
通过部署UAG,可以实现对现有网络带宽进行分析和管理,提高有限的带宽的使用率,提高工作效率。
1.3安全边界保障企业业务的安心运行
UAG置的专业防病毒引擎,采用新一代虚拟脱壳和行为判断技术,能准确查杀各种变种病毒、未知病毒,部署在网络及业务系统的互联网出口构建绿色的IT环境。
通过在互联网出口处部署网关防病毒,可以将病毒威胁抵御在外网,避免病毒对部网络的困扰,同时与网络及业务系统现有的防病毒体系形成二重防护,进一步增强对病毒的防护能力。
1.4便捷、直观的统计,降低使用和维护成本
UAG提供设备本地日志管理和信息集中管理两种方式。
可以按照严重程度、时间、用户名/用户组、地址等维度,进行系统日志、操作日志和业务日志管理。
通过UAG提供的管理平台,可以对整个网络的产品进行配置、版本、特征库和日志管理,通过图形化和报表化的展现,可以让网络应用变得清晰化,从而降低设备管理和维护本。
三、上网行为监控技术说明
4用户管理
对上网行为的监控需要对用户身份进行有效的管理,没有严格的认证就无法有效区分用户,也就无法部署差异化授权策略,自然无法有效防御身份冒充、权限扩散与滥用等。
UAG产品支持持丰富的身份认证方式:
Web认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定认证,同时支持与第三方认证服务器AD、LDAP、Radius等联动进行用户身份认证,确保合法用户才可以正常接入网络;
下图是用户名/密码认证的流程图,其他认证方式与该流程图类似
5流量分析和控制
UAG采用特征分析和行为模型相结合的独有引擎设计,在不影响报文网络延迟的情况,精确识别各种网络应用;
UAG一共可以识别几百种网络应用,如下图所示,可以全面有效的对网络流量进行监控和管理,并且通过定期的协议库规则的升级,可以支持最新的网络应用流量;
UAG可以识别的主流应用如下:
1、迅雷、电骡、BT等多种P2P流量
2、PPTV、PPStream、优酷网、土豆网等各种网络视频流量
3、QQ、MSN、新浪UC等各种聊天软件流量
4、魔兽世界、传奇等各种网络游戏流量
5、同花顺、大智慧等各种股票软件流量
对于普通的网络应用,UAG使用精确引擎检测技术,通过对网络报文的方向、网络报文的五元组、网络报文的长度、网络报文的负载部分进行深度扫描,精确识别该网络报文所属的网络应用;
对于P2P的的网络应用,UAG除了使用精确引擎检测技术进行检测以外,UAG还使用了行为模式引擎技术,通过对P2P软件的流量模型、行为模型和统计模型的分析,构建P2P软件的通用检测技术,可以解决现有的P2P和以后新出现的P2P软件的识别和统计,一劳永逸地解决P2P的监控和管理;
一旦精确识别了网络应用,就可以对该网络应用进行允许、禁止和限制等各种管理策略,保证用户正常网络应用的带宽,限制P2P的大量流量占用带宽;
下图是流量分析和控制的流程图:
6行为审计
各种网络应用日新月异,如何有效的监管上网行为,避免员工频繁地进行网络聊天、观看在线视频等非工作网络业务,防止员工外发信息泄露公司信息,防止员工发表与法律法规不相符的相关言论,是每一个单位、企业、公司等面临的问题;
UAG产品通过容审计引擎对各种网络应用进行扫描,提取各种虚拟(如QQ、MSN、地址等、论坛),对外发的各种文件上传、论坛发帖、新闻回复等容进行深度检测;具体的实现流程图如下:
7防病毒功能
UAG置的专业防病毒引擎,采用新一代虚拟脱壳和行为判断技术,能准确查杀各种变种病毒、未知病毒,为企业构建绿色的IT环境。
防病毒检测流程图如下:
四、
综合安全管理中心(UMC)技术说明书
8产品概述
随着互联网技术的发展提高,大多数企业都部署了或即将部署局域网(甚至是大型广域网络)。
随着互联网技术的广泛部署,互联网上承载的信息越来越丰富,通讯越来越便捷,企业对互联网的依赖也越来越严重。
相应的企业的信息安全问题也就越来越突出,随着互联网接入的普及,互联网包含的丰富应用和便捷的通讯,为企业信息的外泄提供了更便捷更隐蔽的通道。
同时来自互联网的满怀恶意的攻击、漫无目的的扫描以及同样功能丰富的病毒木马,对企业的网构成了严重的威胁。
为应对日益多元化和复杂化的安全威胁,传统的桌面安全软件已经无法完全有效的防御来自互联网的攻击,在信息安全方面更是无能为力。
为了应对日益严重的威胁,相应的网络安全设备也就应运而生。
应对网络攻击和病毒的防火墙和IPS设备,对网提供网络安全和信息管理的UAG设备等,安全设备的部署大大的增强了企业网络的安全性,提供了应对网络威胁的保护。
随着网络规模的扩大,安全设备在网络中得到大量的部署,同时在整个网络上不断对多个安全设备管理,更新和维护也变成了一项日益复杂和耗时的工作。
对于安全管理员来说,分别管理每个安全设备是一个复杂又低效的过程,同时这还将给网络安全带来新的风险。
分别的安全信息管理设备更为安全管理员的审计、整理和分析安全事件,保护信息安全产生了严重的挑战。
并且随着网络带宽的不断提升,对网络安全设备的性能产生了更高的挑战。
由于网络性能的压力,导致网络安全设备在更丰富更深入更加自动化的安全事件统计分析上止步不前。
同时随着网络规模的扩大分布式部署使这些特性的应用受到了限制。
为了应对这些新的安全问题,UMC综合安全管理中心被设计和开发出来。
目的将原本分布在网络中,各自独立的安全点进行统一的管理和监控,形成一个集统计分析和管理配置于一体的安全解决方案。
UMC综合安全管理中心能够对来源自不同类型的不同设备的网络事件进行集中的管理,进行专业的深入的统计分析,并通过丰富的报表展示网络的各方面的安全状态。
通过自动的分析、管理产生告警通知管理员或自动联动安全设备进行防御。
通过集中的配置对各安全设备进行管理。
UMC综合安全管理中心作为安全解决方案的中心将原本一盘散沙的各安全设备整合为一个完整的安全解决方案,以提供对整个网络的安全监控和管理。
满足大型企业网络的安全管理需求。
9产品特性
支持对UAG(还包括应用防火墙、IPS、防护、漏洞管理等网络安全设备)的原始安全事件的统一接收存储。
支持对网络安全事件的统计和分析,并生成各种专业报表。
提供网络流量、状态分析,用户行为审计的业务功能。
支持对安全事件的自动分析和告警联动
支持对UAG(还包括应用防火墙、IPS、防护、漏洞管理等网络安全设备)的集中配置管理
采用B/S架构,支持远程管理
10在网络中的位置:
根据不同的网络环境和要求可以灵活的部署到不同的网络位置,只需要保证与被管理的网络设备间的通信即可,可以采用专用链路或公用链路。
同时UMC综合安全管理中心也支持分级部署。
11技术简介
UMC综合安全管理中心可以作为独立的软件组件进行部署也可以与专用的UMC硬件设备配合部署。
软件采用BS架构,建HTTP服务器,使管理员可以在任意地方通过Web方式对UMC综合安全管理中心进行查看和管理。
支持HTTP和HTTPS。
建数据库可以对海量的数据进行存储分析和管理。
日志接收器将设备发送的Syslog和私有格式日志进行接收和格式化后存入数据库。
配置下发通过WebService和SNMP方式进行远程配置。
3.4.3.1主要优势
˙BS架构
提供方便快捷的使用体验,美观专业的界面展示
˙独立软件部署
将软件部署和硬件部署分开,可以根据实际的网络规模调整硬件性能。
˙易于安装使用
快速完成安装;提供直观熟悉的安装界面;
˙高效的统计分析
通过优秀的统计分析算法,为海量事件的统计分析提供了高效的保证,为管理员查看网络状态提供了快速的反应。
˙置数据库
能够存储大量数据,并进行数据的聚合
˙日志接收
能够对各种格式的安全日志进行接收和处理。
˙集中管理
在UMC上进行统一的配置,安全策略下发,UMC将自动通过远程配置接口向被管理的安全设备同步配置
˙分级管理
对于大规模,多区域的网络环境,UMC还支持通过分级的方式进行总部和分部的统一管理。
˙丰富的告警方式
支持、短信和声音等多种告警方式,使管理员及时了解网络安全状态
3.4.3.2总体结构
接收器
状态监控模块
配置代理
安全设备
数据库
数据处理组件
管理组件
功能模块
细分模块
描述
数据接收
接收器
接收各种安全设备上报的日志,格式化后存储到数据库中
状态监控模块
监控各管理的安全设备的运行状态,并保持如数据库
数据处理
数据库
将各项数据分类存储
数据处理组件
对原始数据进行汇总统计分析,生成相应统计数据和产生联动动作。
配置管理
配置代理
根据不同的配置项与设备支持的配置接口对设备进行配置
管理组件
管理组件提供管理员使用的配置管理界面相关的所有功能
12功能介绍
3
4
5
5.1网络监控
提供对网络流量分析
Ø支持网络应用的趋势分布的分析,也支持单用户网络应用的趋势分布的分析。
支持对用户的流量的布控
•支持对用户的网络行为的审计和监控
Ø支持审计企业网用户的对各种网络应用的使用,可以定期审计网络应用使用情况。
同时提供网络访问的统计信息。
Ø通过对关键容的布控,可以及时阻止敏感信息的外泄。
Ø通过对访问控制策略的配置,规企业上网人员的网络行为。
Ø通过对访问策略的配置,限制企业上网人员的访问。
5.2攻击监控
提供对网络攻击的统计分析
Ø统计安全设备发现的网络事件,分析网络的安全状态,了解网络攻击信息
•提供对网络病毒的统计分析
Ø统计安全设备发现的病毒事件,分析网络的病毒情况,了解网络病毒信息
•提供对DDoS攻击的统计分析
Ø根据安全设备上报的DDoS攻击信息,综合展示网络的DDoS攻击情况
•提供对安全策略的配置
Ø集中配置网络的安全策略
5.3设备管理
设备监控
Ø提供对设备的管理和状态监控
•特征库管理
Ø提供对设备的特征库的升级管理