北塔软件技术白皮书.docx

北塔软件技术白皮书.docx

《北塔软件技术白皮书.docx》由会员分享，可在线阅读，更多相关《北塔软件技术白皮书.docx（22页珍藏版）》请在冰豆网上搜索。

北塔软件技术白皮书

技术白皮书

（2006-08）

1、产品概述（Briefintroduction）

通过网络跨越时空的信息交流，企业可以更加快捷地使业务全球化。

几年以来，随着互联网的快速发展与迅速普及，企业上网也是如火如荼，处在这样一个时代，企业信息化已经不再是战胜竞争对手的杀手锏，而是不被竞争对手战胜的前提条件。

然而，网络的开放特性也给上网企业带来不少困扰。

黑客攻击、病毒泛滥的外患自不必说。

内部员工对网络资源的滥用带来的内忧同样令人触目惊心。

并且随着互联网的吸引力和互动性与日俱增，网上游戏、网上聊天、网上炒股等活动严重地分散了员工的精力，同时，浏览某些内容违法的网站还可能带来法律上的麻烦。

据IDC在美国的统计，企业中员工30%至40%的上网活动与工作无关，而来自色情网站访问统计的分析表明：

70%的色情网站访问量发生在工作时间。

类似这些不合理的上网行为，导致美国企业的损失每年高达1780亿美元，这个损失又该由谁来“买单”呢？

正当很多企业还在为赶上了网络这班车志得意满时，它们的员工在工作时间对网络的滥用也正悄然地，“高效率地”折损着企业的竞争力，正如理想中的企业网络化办公能高效率地提升企业竞争力一样。

网络作为信息时代企业的生产工具，同样面临着适当监控，合理使用的问题。

在美国和欧洲，有80%的企业对员工的互联网活动进行监视，而且这一举措得到了法律条文上的支持。

那么中国的情况如何呢？

据公布的最新统计显示，中国员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1小时。

在中国，约有多于其它地区8%的员工在上班时间上网进入聊天室，约有多于拉美16%的员工上网下载音乐，而在上班时间玩游戏的员工这个比例会比其他地区多12%。

值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。

互联网滥用，同样给中国企业带来了巨大的损失。

随着中国加入WTO，经济领域的国际竞争进一步加剧，国内的企业也需要认真考虑合理使用网络资源，充分提高企业竞争力的问题。

如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，成为中国企业迫在眉睫的紧要任务。

北京游龙网网络科技推出的SiteViewEIM从以下几个方面来解决上述问题。

一、深度数据包分析引擎、强大的拦截功能

SiteViewEIM采用自主研发的数据包分析引擎，从而实现对IM实时通讯软件、P2P下载软件、流媒体、网络游戏及网页访问的控制，避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率。

　　二、阻止访问危险网站

为了防止员工在上班时间访问与工作无关的网站，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件、网络钓鱼程序攻击导致企业的机密数据被窃取。

SiteViewEIM根据内容的分类进行访问控制，杜绝色情、反政府、邪教等非法、不健康内容的接触和传播，减少了企业的维护成本，降低了企业信息安全、法律责任等相关风险。

　　三、灵活的访问控制策略设置

SiteViewEIM提供了基于用户组、时间段、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。

管理员可以对企业的内网用户分组管理，并且对于每个组的策略，可以基于时间、服务、网址策略等多种策略进行严格的访问控制管理。

　　四、用户流量实时分析

SiteViewEIM能按用户（IP）、协议和上传、下载实时流量及总量对Internet流量进行统计分析，为优化员工对Internet的资源使用情况提供可靠的数据。

五、提高带宽资源利用率

SiteViewEIM的串联版本提供流量控制，可以对用户（单个IP）、用户组或者是IP地址群分别实施上传、下载速率控制，使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。

六、丰富的日志报表功能，提供有效数据支持

　　丰富的报表功能可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配了解员工网络资源提供有效数据支持。

2、产品构架（Productarchitecture）

ØSiteViewEIM系统架构图

串联部署方式下的系统架构图：

旁路部署方式下的系统架构图：

Ø系统结构

基于开放源代码的Linux平台，稳定可靠。

采取模块化设计，功能扩展灵活。

可以根据客户需要定制，并与已有的功能模块‘无缝’连接。

系统采用B/S模式的结构，用户的管理操作全部通过浏览器方式完成。

ØWeb方式管理

游龙科技多功能网关的SiteViewEIMWeb用户界面允许管理员通过高强度的加密网络连接管理和配置网关系统。

所有的配置，譬如：

用户组的划分、IP-MAC的绑定、黑白名单网址的增加、删除以及报表的设置等等都可以通过点击屏幕，轻松便捷地完成。

无需特别培训即可上手。

Ø多种工作模式

SiteViewEIM分二种部署方式：

串联部署与旁路部署。

在串联部署方式下，SiteViewEIM提供了直接路由及路由NAT（网络地址转换）和透明（网桥）两种工作模式，满足了针对中小企业用户常见的网络拓扑结构及实际需求。

在直接路由工作模式下，针对中小企业的应用需求，可免去其它设备（如路由器、有路由功能的交换机）作路由的需要，这无疑为用户节省了网络建设的成本。

而路由NAT工作状态一方面能够适应已经建好的网络结构，对用户现有的网络结构只需要作一些简单调整即可应用，同时还能够隐藏内部网络结构和解决合法地址不足等问题，也为中小企业的应用提供了方便。

另外，工作在透明模式下，不需要用户更改网络的任何设置，完全保持现有的网络拓扑结构。

利用网桥模式，用户不必更改现有网络的任何设置，这样可减少用户的配置工作量。

而旁路部署则是以“旁观”的角色接入网络中，同样这种部署方式也不需要用户更改网络任何设置，不会改变网络的拓扑结构。

Ø系统稳定性

基于开放源代码的Linux平台，而Linux系统的稳定性，和它的源头unix一样，是它本身的构造特色所决定的，是它相对于Windows的本质的优点；并不是像Windows那样程序装得越多越不稳定。

比如说Redhat，捆绑了很多程序，照样很稳定。

另一方面较之微软的WindowsNT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。

而使用最小化的、经过裁减的Linux内核作为系统运行平台，相对Linux本身来说，更加使得系统的不稳定性与不安全性降至最小。

Ø运行环境

软件环境

操作系统

Linux（内核2.6.9以上）

标准配置

LinuxAS4

注：

其他操作系统环境需预先通知，以准备相应版本。

硬件环境

网络规模（网络设备数）

建议配置

200台以下

1G内存，CPU3G以上，PC服务器

200-500台

2G内存，CPU3G以上，PC服务器

500-1000台

4G内存，双CPU，CPU3G以上，PC服务器

1000台以上

4G内存，双CPU，CPU3G以上，两台PC服务器

注：

1、以上仅为参考值，具体应用时会有相应变动，特别是涉及到大型网络时，需要实地调研后确定。

2、当上网PC较多时，PC服务器硬盘最好采用SCSI接口的高速硬盘。

3、对要求7*24小时不断线的客户，可以外接2个以上互联网出口和采用集群技术来实现。

集群不但起到热备作用，在无故障发生时更起负载均衡的分流作用。

3、技术特性（Technologyfeatures）

为保证企业合理使用Internet资源，防止企业信息资产泄漏，SiteviewEIM提供了完善的上网访问控制功能。

通过合理设置访问权限，杜绝了对不良网站和危险资源的访问，防止了类似P2P软件对企业网络带来的安全风险。

通过带宽管理和流量限制技术，能有效防止对Internet资源的滥用。

SiteviewEIM独特的内容过滤和安全审计功能更为防止保密信息泄漏提供了最有效的保证。

众所周知，工作时间频繁使用聊天工具，玩网络游戏会严重影响工作效率，而P2P下载工具由于占用网络带宽严重，会造成企业网络拥塞，同时需要经常注意下载状况也会使得员工工作心不在焉。

SiteViewEIM通过分析通信协议，在应用层实现了彻底封堵这些网络通信工具。

本着“提升IT效率”的目的，SiteViewEIM做出了定时封堵的贴心设计，网络管理人员只需指定需要封堵的IP组以及时间段，系统就会按照时间段划分自动切换封堵状态，使得工作时间外也能允许员工合理的使用这些网络工具，而无需网管人员任何干预。

以下就SiteViewEIM产品的技术特性做几点说明：

ØIP-MAC绑定

对局域网的最大威胁之一是IP源地址欺骗。

欺骗可允许防火墙后面XX的用户获取受保护的信息，也可以使计算资源参与对网络外的受害者进行毁灭性的拒绝服务攻击。

SiteViewEIM网关对内部数据库进行维护，将NIC（网络接口卡）的MAC地址与管理员分配的IP地址绑定，并检查往外发送的数据包的MAC/IP匹配，然后再将这些数据包发送出外部端口，有效的防止了来自内部网的地址欺骗。

Ø实时流量监控

通过实时获取流过SiteViewEIM的所有IP地址网络传输速率和流量，为网络管理员的网络建设和管理工作提供参考，并能从异常流量分析出网络存在的隐患。

在对传输流量监视基础上，可以进一步对单个IP的上下行传输速率进行手动控制，为网络用户区分优先级，对不同优先级的用户提供不同的网络服务，同时SiteviewEIM还支持按协议控制流量，比如对常见的http、ftp、telnet、ssh、p2p等协议进行流量控制，保证正常的企业上网流量。

Ø快速安装

安装配置+实施周期快捷——整个安装过程不超过20分钟即可完成，配置好IP地址既可使用，真正做到‘即插即用’。

Ø设备集群

专为高要求的大中型企业量身订做的永不停顿、永远在线的SiteViewEIM网关集群。

Ø深度数据包分析引擎

深度数据包分析引擎由游龙科技自主研发的，具有国际先进水平，它包括：

捕包引擎、分析引擎与控制引擎三大部分。

•捕包引擎

对于基于旁路监听的网络安全设备来说，系统捕包的效率对整个系统的性能至关重要。

如果系统产生丢包现象，则相应的网络访问将不会被审计监测，网络管理就会不全面。

当网络带宽向着千兆、万兆线速迈进时，完整地捕获并记录网络中流过的数据对系统是一个很大的考验。

传统上，Linux，FreeBSD等操作系统自带的TCPDUMP，ETHERREAL等捕包工具都是建立在Libpcap平台上。

由于Libpcap是通过原始套接字得到指定网卡接收到的全部数据包，所以Libpcap的性能受到传统驱动程序的限制，例如在核心态进行多次内存操作，比如数据包校验、控制顺序等。

这些操作会占用大量的CPU运算资源，内存资源，并且导致时延而效率不高。

新的捕包引擎就是通过减少这一系列的中间环节而实现的一种高性能报文捕获平台。

通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可以访问的地址空间，避免数据报文在内核态里传输时的内存操作，缩短数据报文行走路径；通过环策略管理数据报文缓冲区，实现网卡和应用程序无冲突访问共享资源。

这两点有效地降低网络通信的延迟，极大地节省CPU开销。

•分析引擎

TCP/IP协议族通常被认为是一个四层协议系统－链路层、网络层、传输层、应用层。

链路层通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡；网络层处理分组在网络中的活动，IP、ICMP和IGMP都属于这个层次；传输层主要为两台主机上的应用程序提供端到端的通信，TCP和UDP都属于这个层次；应用层负责处理特定的应用程序细节，比如说Foxmail中的一封Email、IE中的一个网页、QQ中的一句留言等。

SiteViewEIM捕包引擎工作在链路层，负责高效完整地捕获原始数据帧；并行协议栈工作在网络层和传输层，负责将杂乱无序的原始数据帧组成符合网络层和传输层协议的数据报文，完成IP分片重组和TCP乱序重排等工作；协议分析模块工作在应用层，分析数据报文承载的应用类型，定位对用户有用的信息，如果信息被压缩或编码，还需要完成解压缩或解码的工作。

SiteViewEIM的协议分析模块支持的应用包括：

网页、在线视频、网络游戏、BT、FTP、SMTP、POP3、MSN、QQ等。

这些应用的分析工作有的是基于RFC文档，有的是基于黑盒破解，需要网络、算法、密码学、逆向工程等多方面的综合知识。

•控制引擎

基于旁路监听的设备由于并非串接在网络中，所以在封堵许多网络应用时，不能如网关型串接设备一样，简单地判断出包的应用类型后把包丢弃即可，而是通过过滤引擎发送伪造数据包以打断（过滤）真实的通讯。

在网络通信过程中，通讯双方都有各种的较验机制，对于任何不符合较验的伪造数据包，都会丢弃而不做处理，这要求发送的伪造数据包足够真实，达到乱真的效果，同时速度很快，远在真实的响应数据包返回前，即已欺骗成功，从而打断了原有的网络通讯。

SiteViewEIM准确分析各种应用协议，解包，组包都在几毫秒以内，能有效地封堵现流行的各种网络应用。

其中对QQ所有版本的全面封堵为国内特有。

Ø并行协议栈

对于互联网审计产品来说，数据捕获、协议栈，协议分析等过程中的效率对系统的最后性能起着决定性的因素。

传统协议栈接收一个UDP数据包的流程是：

以太网设备驱动程序首先响应中断，假定该中断表示一个正常的接收已完成，数据从设备读到一个缓冲链表中。

这个链表除了记录数据内容、还保存一个指针指向接收数据的接口结构。

然后把链表传给一个通用以太网输入例程，它通过以太网帧中的类型字段来确定哪个协议层来接收此分组。

在这个例子中，类型字段标识一个IP数据报，从而该链表被加入到IP输入队列中。

接着产生一个软中断来执行IP输入例程。

接着IP输入例程响应软中断，它验证IP首部检验和，处理IP选项，验证数据报被传递到正确的主机（通过比较数据报的目标IP地址与主机IP地址），并当系统被配置为一个路由器，且数据报被表注为其他的IP地址时，转发此数据报。

如果IP数据报到达它的最终目标，调用IP首部中标识的协议的输入例程：

ICMP，IGMP，TCP或UDP。

在这个例子中，调用UDP输入例程去处理UDP数据报。

最后UDP输入例程验证UDP首部的各字段（长度和可选的校验和），然后确定是否一个进程应该接收此数据包。

很明显，传统协议栈采用类似函数链的串行处理方式，依次处理IP输入例程和UDP输入例程，这种软件结构不能充分利用现有SMP架构的性能，经常出现一个CPU的占用率达到100%，其他CPU还无事可作的情况。

因此我们用并行协议栈取代传统协议栈，充分发挥SMP架构的性能，给多路CPU、多内核CPU、超线程CPU足够的施展空间。

为了解决并行处理中不可避免的负载均衡的问题，选取硬件分流器中流行的IP+PORT分流策略，保证在大流量的情况下处理线程之间工作量均等，有效避免过载线程的出现。

配合大流量数据捕获模块，取消传统协议栈软中断的开销，可以进一步地提高系统的性能。

Ø上网行为策略控制

对于互联网的使用，因应不同时间，不同部门，不同人员可能会有不同的控制策略。

例如，市场营销部门可能需要经常关注经济新闻、行业信息，并且使用QQ或者MSN等即时聊天工具与客户保持紧密的联系，因此针对市场部门的互联网可能较为开放。

而研发部门则可能会基于保密的要求，而与用严格的互联网控制。

策略控制模块因应管理体制理的需要，能让管理员根据机器、人员、时间、互联网应用类型、网站类型等管理控制互联网的访问。

Ø上网日志管理

在高带宽的网络环境下，每天都会产生大量的网络访问日志，存储管理模块提供日志的优化存放，使其占用的磁盘空间尽可能小，并提供日志的转储、备份等功能。

同时，日志作为一种互联网访问的证据，对他的保护也是非常重要。

基于国家法律，SiteView中的日志最少会被保留90天，正常情况下，小于90天的日志无法被删除。

当系统用于管理千兆带宽网络时，每天将会产生数千兆的日志数据。

系统对数据存储，数据检索与及业务挖掘进行全面优化，使得超大带宽下数据的可管理性，在超过700万笔的日志中查询一笔记录只需不到30秒。

对于一个有一定规模的企业来说，每天的网络访问都会有数十万、甚至上百万。

日志分析模块能对这些访问日志深入分析，产生各种有用的报表，有效直观地帮助管理人员了解网络的使用状况，提供正确决策的支持。

4、功能介绍（Productfunctions）

SiteViewEIM功能主要包括上网行为管理、日志系统、系统设置管理三个方面，而在系统中分析体现为快速通道、基础设置、上网管理、流量控制（串联版本）、实时查看、日志分析、系统管理、账户与界面管理。

✦快速通道

Ø常用快速通道：

为经常使用的模块提供一个快速连接窗口，提高实际操作的方便性与快捷性。

Ø配置快速通道：

仅用于在SiteViewEIM安装后，对服务器进行网络环境的初次设置，之后即可将服务器置于网络上。

Ø使用手册：

SiteViewEIM系统的详细操作使用手册。

✦基础设置

Ø用户组设置：

定义用户组，及用户组中用户成员（IP地址），SiteViewEIM是以用户组作为操作对象进行上网行为管理的。

Ø时间段设置：

定义基于时间段进行上网行为管理设置中所需的时间段。

Ø目标端口设置：

定义目标端口控制时所能提供的端口数。

Ø目标地址设置：

定义目标地址控制时所能提供的目标地址数。

Ø网址库设置：

定义网址访问过滤中设置所需选择的网址库。

Ø网址关键字设置：

定义网址关键字控制过滤内容。

Ø子网设置：

定义SiteViewEIM监控与控制的用户所属子网。

Ø管理员信息：

设置管理员名称及电子邮箱。

Ø日志数据备份设置：

设置上网日志数据库保存的时间界限。

✦上网管理

SiteViewEIM当前所有过滤控制都支持基于用户组、时间段的策略设置。

Ø聊天工具过滤：

支持对当前各种流行IM即时聊天工具进行过滤控制，如：

QQ、MSN等。

Ø网络游戏过滤：

支持对当前各种流行网络游戏进行过滤控制，如联众游戏、QQ游戏、魔兽世界等。

ØP2P工具过滤：

支持对当前各类P2P下载工具进行过滤控制，如BitTorrent、eDonkey、eMule等。

Ø流媒体过滤：

支持对当前各类RTSP、MMS格式的流媒体播放工具进行过滤控制。

Ø网址访问过滤：

基于URL分类、黑白URL、URL关键字的网址访问过滤控制。

Ø其它方式过滤：

基于用户组源IP地址、目标IP地址、目标端口的过滤控制。

Ø控制策略总揽：

显示系统当前所有用户组的各自的控制策略。

ØIP地址绑定：

从支持SNMP协议的局域网设备中获取IP地址、MAC地址数据，区别于传统的IP-MAC的绑定，及当前IP-MAC地址的导出。

✦流量控制（串联版本）

Ø流量控制设置：

支持流量上传、下载分别控制。

Ø带宽流量控制：

支持基于用户组、IP地址、IP地址段三种类型的流量控制策略，支持用户流量控制优先级，支持基于独享、共享的带宽使用方式。

✦实时查看

Ø实时流量监控：

监控“基础设置”中所定义的子网中各IP地址的实时流量情况，包括上传、下载总量及实时速率，和FTP、HTTP、P2P、TCP、UDP、ICMP各个协议的实时总量。

Ø实时网页访问：

实时记录当前网络中用户网页访问，记录内容包括访问时间、客户端IP地址及所访问的URL。

Ø网络活动记录：

实时记录用户的QQ聊天、FTP下载及HTTP下载情况，记录内容包括时间、活动类型、动作、备注、源IP地址与目的IP地址。

✦日志分析

Ø上网日志统计报表：

基于文本与图形的上网（URL访问）日志统计报表，以日报、月报形式反映，提供自定义报表查询、URL过滤报表查询以及日志报表下载。

Ø服务器流量分析：

记录服务器每块网卡的流量。

✦系统管理

Ø服务状态监控：

监控系统核心服务进程的运行情况。

Ø一键备份与恢复：

为系统中基础设置内容与控制策略提供备份与恢复。

Ø日志文件大小监控：

对指定的日志文件、系统磁盘大小实施定时监控，防止文件大小超过Linux的规定及磁盘使用率过高影响系统运行。

Ø系统许可证：

正式版本许可证的导入。

Ø在线支持：

游龙技术支持工程师实时提供在线技术支持，提供了三种在线连接方式，不用担心技术支持方面的问题。

Ø网关系统信息：

提供服务器的基本硬件信息及使用情况，可以实现对服务器的远程重启、关闭。

Ø系统时间：

系统时间、硬件时间、时区设置，系统时间与硬件时间相互之间的同步设置。

Ø计划任务：

提示系统的自动计划任务的状态——是否激活。

ØURL地址库升级：

游龙科技提供URL地址类库在线升级。

Ø修改密码：

更改SiteViewEIM的Web界面用户密码。

Ø高级设置：

支持上网日志记录模块高速缓存调整。

Ø执行命令窗口：

通过Web界面控制服务器执行系统命令，并在界面中反映执行结果。

✦账户与界面管理

Ø用户账户管理：

创建管理或操作SiteViewEIM的Web界面用户组，及登录界面的用户。

ØWeb管理配置：

提供SiteViewEIM的Web界面管理配置，其中包括界面访问控制（IP）、系统界面访问端口、系统菜单顺序、模块显示和隐藏、菜单图标。

5、部署方式（Deploymentmode）

SiteViewEIM可以采用两种部署方式：

串联（In-Line）、旁路（By-pass），其中串联方式支持路由或网桥两种模式。

路由模式：

将设备串接到内网中，可以在内网的任意子网边界，和防火墙或交换机相连接。

需要为设备配置内网和外网IP地址。

网桥模式：

以透明网桥方式接入内网，可以部署到内网的任何部位。

无需改动用户网络结构和配置，配置一个管理IP，做策略的配置和管理控制。

另外，旁路方式部署，要求核心交换机可做镜像端口，SiteViewEIM服务器的内网网卡接核心交换机镜像端口或共享HUB端口，外网网卡接交换机普通端口，并为之分配内网IP地址。

6、资质认证（Certifications）

游龙科技自成立之初，已隆重推出一系列有关网络方面的管理软件，获得了用户的一致好评，各类产品同样得到用户的认同。

公司先后获得行业用户诚信企业（诚信金鼎）、亚太德勤500强等荣誉，SiteViewEIM同样取得一系列资质认证，包括计算机软件著作登记证书、公安部销售许可证、公安部检测报告等。