一体化安全网关选购指南.docx

1、一体化安全网关选购指南一体化安全网关选购指南2010年4月前言、构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明：员工在上班时间发生的网络活动，30%-40%都与工作无关。那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在

2、线影音娱乐，严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。而据中国公安部最新统计，70的泄密犯罪来自于机构内部，电脑应用单位80未设立相应的安全管理系统、技术措施和制度。 如何解决在互联网

3、应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。一、一体化安全网关-企业边界管理的利器一体化安全网关系列产品，凭借其应用识别率最高、平台性能最强的核心优势，以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能，提供了涵盖防火墙、网关杀毒、网关+终端、行为+内容的完整解决方案，为组织机构提升工作效率、提升带宽效率、防范机密

4、泄露、避免法律风险、保障内网安全等多重价值。网络管理最基本也是最关键的要素是“用户”和“应用”，只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用，才能对其实施准确、清晰的管理。一体化安全网关提供了包括本地认证/第三方认证、静态认证/双因素认证在内的多种用户认证手段，不仅满足大型乃至超大型组织在用户管理上的快速部署、便捷管理的需求，而且针对强身份认证、高权限用户管理的需求也首次提出业界领先的基于USB KEY的身份认证和免监控管理技术。通过上述先进技术的应用，一体化安全网关可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。用户身份的精确识别仅仅是一体化安全网关的基础，由于Int

5、ernet的复杂性，很多时候用户的违规行为或是安全风险往往是在无意识的情况下产生的，与此同时，也有一些精通IT技术的用户试图通过各种方法挑战IT管理者的权威（如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户），这就需要一体化安全网关方案能够具备终端管理的能力，通过终端管理有效判断客户桌面环境是否符合组织相关安全规定（如是否安装了指定的杀毒软件、个人防火墙等安全软件或是否安装相应系统补丁等），避免因桌面安全级别不足而导致的风险，同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。一体化安全网关通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测

6、，实现了对终端的精准识别，使得一体化安全网关解决方案真正满足组织在一体化安全网关过程中对精确授权的需求。如果说精确的用户+终端的识别能力是一体化安全网关的基础，那精确的应用识别则是一体化安全网关的核心，只有实现了对Internet上纷繁复杂的各种应用的精确识别，管理员才不会面对用户庞大的流量而不知所措。一体化安全网关提供了数十类、200多条应用识别规则，使得组织能够轻松识别内网用户大部分的互联网访问行为，而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用，一体化安全网关强大的P2P智能识别、SSL加密流量识别等关键识别技术更是构筑了一体化安全网关业界最强的应用识别能力。有了精

7、确的用户识别、终端识别和应用识别，后续的精细化管理才成为可能，一体化安全网关提供了灵活的封堵、流量管理手段，帮助组织合理设置用户的上网访问权限，除了基于用户的网络行为（如炒股、IM聊天、网上购物、在线游戏、在线电影、P2P下载等）提供的封堵和流量管理外，一体化安全网关还提供了基于内容的管理手段，独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录QQ聊天内容)等技术，为防止机密信息资产通过Internet泄漏提供了最有效的保证。完善的一体化安全网关不仅需要实时性，而且还需要可追溯、可统计，一个强大的数据中心是专业一体化安全网关解决方案的必备特征，一体化安全网关可全面记录各种网络行

8、为日志，而且对组织关心的行为内容也提供了详细的记录功能，包括用户访问的URL、QQ/MSN聊天内容、网络发帖、收发的Email/Webmail等各类行为和内容，使得组织能够详细掌握用户的具体访问内容；而一体化安全网关专为高端用户设计的强大的独立数据中心可以实现日志海量存储，并通过图形化的各种统计报表和海量日志内容检索工具，让管理者轻松获知网络使用情况，也避免法律违规后无据可查的尴尬。以下是一体化安全网关的几个关键特性：二、一体化安全网关应用效果通过部署一体化安全网关解决方案，可以帮助组织实现完善的一体化安全网关、行为审计和内网安全保障，并达到如下效果：2.1. 规范员工上网行为、提升工作效率宽

9、带的接入使得组织机构24小时连接在Internet上，而员工上班时间QQ聊天、新闻网站浏览、在线炒股等已经成为办公室皆知的秘密，工作效率的降低却要管理者为其买单。通过一体化安全网关的部署，可以把与工作无关的上网行为降到最低，祛除员工的分心，将精力聚焦于工作中。2.2. 保护内部信息资产安全、防止机密信息泄漏组织机构内部有太多的机密信息，关乎组织发展命运的机密、领导办公室内的八卦都是网络上常出现的内容，而存心的泄密者和忠实的干部都可能是造成泄密的关键人员。一体化安全网关的邮件延迟审计专利，使得潜在的泄密邮件必须通过相应邮件审核人员审核后才发送到公网；对于加密的IM（如QQ）聊天内容、网络论坛发帖

10、、webmail正文及附件、通过HTTP或FTP上传的文件等各种可能涉及泄密的数据内容，一体化安全网关提供了基于关键字的过滤手段屏蔽可能的泄密而保障信息资产安全，并且提供了全面的记录功能为组织留存了法律证据。2.3. 强化带宽管理，提升带宽利用率有限的Internet带宽始终无法满足组织日益增加的带宽需求，如何提升带宽利用率就成为一个重要的网络管理内容，一体化安全网关提供包括支持多链路和丰富流量管理策略在内的多种带宽管理手段帮助组织解决上述问题。一体化安全网关可以同时连接多条公网线路，实现以更低的成本扩展带宽，精确的应用识别为高效的流量管理策略的制定提供了可能，除了可以对各种滥用带宽的P2P行

11、为、在线下载、特定类型网站进行流量管控外，一体化安全网关还可以为类似领导用户组的视频会议、市场部访问业务网站、设计部传输指定类型文件等业务行为提供带宽保障策略，帮助组织机构最大化网络建设的投资回报。2.4. 降低组织机构的法律风险员工利用组织机构提供的互联网连接访问反政府/邪教等不良网站、发表非法言论或从事其他网络非法活动等，可能导致组织遭受法律诉讼、行政处分等风险。一体化安全网关可以过滤员工访问非法网站、发表非法网络言论等不良行为，且对所有网络行为日志通过独立日志中心提供海量存储及审计支持，图形化的审计、统计、报表和内容检索工具，方便组织做到有据可查，降低组织的法律风险。2.5. 多种安全增

12、强功能，全方位保障内网安全一体化安全网关设备作为组织网络的一个重要组成，在为组织提供管理服务的同时，也同样面临来自组织网络的各种挑战，来自内网的DOS攻击（不一定是人为的，内网大规模爆发的蠕虫病毒或是僵尸网络激活都将对组织网络造成极大的冲击）和ARP欺骗（一旦出现，将严重影响组织网络的稳定）等各种安全风险层出不穷，相对普通的上网管理方案，一体化安全网关独特的防DOS攻击、防ARP欺骗、网关杀毒等功能，帮助组织进一步保障内网安全，特有的网络准入规则的应用也极大提高了组织为应对网络风险而部署的网络杀毒、桌面管理等各种关键软件系统的部署率（不符合要求的终端将被剥夺上网的权限），从而为组织进一步提升网

13、络抗风险能力提供了可能。一体化安全网关设备部署图三、一体化安全网关设备功能介绍（一）控制功能：细致而全面的访问控制功能，有效管控员工的上网行为不能识别，何谈管控？基于精准用户身份识别、终端识别和行为识别，一体化安全网关为不同员工授予差异化的网络访问权限。一体化安全网关不仅对员工的WEB、FTP、MAIL等常见行为及内容进行管控，更可以对QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控，从而规范了员工的上网行为，提升员工的工作效率。表2.1：访问控制功能一览表功能详细指标用户认证支持Web认证，支持本地帐户数据库、LDAP、AD、RADIUS、POP3、PROXY等，且支持USB

14、-Key双因素身份认证方式终端认证检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，不符合管理者指定安全策略的终端可设置为不允许上网IP-MAC绑定灵活的IP、MAC绑定策略，且可跨三层设备实现IP-MAC绑定网站过滤海量URL库、多种关键字识别技术，过滤色情、反动、新闻等网站SSL网站过滤SSL加密的钓鱼网站、非法、反动网站等，同样可以识别和过滤应用软件管控识别和管控QQ、MSN、Skype、飞信等各种聊天软件；BT、电骡等各种P2P软件；及网络炒股、网络游戏、在线影音视频等行为P2P智能识别加密BT、加密电骡、不常见的P2P行为、版本泛滥的P2P工具等，P2P智能识别技术都能

15、够进行彻底识别和管控代理识别功能识别采用Http、Https、Socks等代理服务器绕过管控检查的行为，从而进行识别和阻断文件上传下载控制对HTTP、FTP上传、下载的文件类型进行控制，亦对QQ、MSN等文件传输行为进行识别和拦截访问控制策略提供基于用户组、时间、服务、网址策略、内容策略等多种对象组合的细致灵活的访问控制策略敏感数据拦截对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密和潜在的法律风险（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏组织机构的信息资产很多是通过内部泄漏。一体化安全网关完善的访问审计和监控功能有效防止信息通过Internet泄漏

16、，形成内部安全威慑，减少内部泄密行为，而对于防止过度监控导致的组织高层领导访问网络过程中涉及机密信息泄密的可能，一体化安全网关也提供“免审计KEY”这样的关键特性，满足组织差异管理的需求。表2.2：访问审计/监控功能一览表功能详细指标邮件延迟审计对外发邮件进行延迟审计（可设定延迟条件），特定审核人员审计后才能发出，确保信息资产不外泄实时监控实时监控员工的上网行为，并支持临时冻结员工或中断指定连接等内网监控监控员工的各种网络行为，记录包括QQ、MSN等聊天内容；浏览网页的网址、网页标题、甚至整个网页正文内容；网络发帖、WebMail正文及附件；收发的Email正文及附件；上传下载的文件等各种网络

17、行为进行详细记录，防止组织机构内部机密、情报等泄漏，并做到有据可查免审计Key支持组织机构的高层领导通过“免审计Key”方式，从设备底层免除对其所有网络行为的记录（三）报表功能：强大的数据报表中心，提供直观的上网数据统计一体化安全网关不仅内置数据中心，且支持强大的外置数据中心，可实现海量存储行为日志，并且所有的查询、统计等功能不影响网关设备性能。对于组织的上网行为审计要求，管理者可分组、用户、规则、协议等多种查询对象，按饼状图、柱状图、曲线图等方式进行统计，直观查看网络流量、邮件、网络行为、上网时间等多种详细日志信息，并可打印和导出报表；一体化安全网关的自动报表功能将管理者指定的统计、审计结果

18、发送到指定邮箱，而强大的内容检索功能，通过类似Google的搜索界面，实现海量日志的检索和审计。一体化安全网关详细分析组织机构的Internet使用情况，为管理者的决策提供了最有效的数据支撑。表2.3：报表和数据中心功能一览表功能详细指标流量统计日志包含流量统计概要、组流量排行、流量日志、流量趋势等，用饼图、柱图等直观的显示内网流量统计情况上网时间日志指定时间段内监控和统计用户总上网时间、某网络应用总使用时间、用户使用某应用时间、并以饼图、柱图等直观显示时间统计情况邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，详细统计员工收发的所有邮件的具体情况网络监控日志包括监控和统计用户网

19、络应用活动排行、URL访问排行、审计查询用户的网络发帖、IM聊天、P2P下载、网络炒股等详细日志安全日志包含防火墙等安全相关日志信息，及组织机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息报表分析功能支持对上述各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理者设定，数据中心自动将指定时间段内的流量日志、邮件日志、网络监控日志、上网时间日志等查询、统计结果汇总成PDF等报表文件，发送到指定Email邮箱主题订阅将含有管理者指定关键字的行为日志统计结果自动形成Email，发送到指定邮箱内容检索通过类似Google的搜索界面，实现对海量日志信息的内容搜

20、索，方便管理者对海量数据的快速检索及数据挖掘（四）带宽及流量管理功能：强大的线路管理、流量分析、带宽分配功能一体化安全网关具有强大的带宽管理和流量控制功能，独有的多线路复用专利让一台一体化安全网关可连接四条公网线路，多条线路间互为备份，实现带宽叠加、负载均衡和智能选路。一体化安全网关的流量管理系统可基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型进行带宽分配，既可以控制非业务流量对带宽的滥用，又能够实现对重要业务流量的带宽保证，实现了带宽资源利用率的最大化。表2.4：带宽划分与流量管理功能一览表功能详细指标多线路复用可同时连接四条公网线路，实现带宽叠加、负载均衡多线路智能选路

21、多线路之间互为备份，且内网员工的流量可以根据访问内容智能分担到不同线路上，解决了跨运营商的带宽瓶颈问题流量分配和控制针对内网不同员工、不同用户组，为其指定的应用类别/网站类型/上传下载文件类型的访问行为提供带宽分配，使组织机构的带宽资源得到充分有效的利用带宽保证策略针对用户指定的网络行为，既可静态保留指定带宽而不被其他行为挤占，也可动态预留指定带宽便于带宽的充分利用P2P管控不仅可以全面封堵各种P2P应用，还可对P2P行为进行流量控制，限制其上行流量和下行流量，节省组织机构网络带宽资源QOS保证使用差分业务模型实现QOS，使用随机早期检测RED丢弃算法提供流量控制（五）多种内网安全增强功能：网

22、关杀毒、防DOS、防ARP欺骗等安全取决于最薄弱的一环！内网终端电脑使用过时的操作系统、不更新补丁、不安装指定的杀毒/防火墙软件或不更新、运行违规软件等，必将极大降低组织内网安全级别，组织不仅面临的来自Internet的病毒等威胁，源自内网的DOS攻击和ARP欺骗也给组织的网络管理带来了极大的挑战，一体化安全网关提供了完善的防御和解决方案，全面保障和提升组织机构的网络安全等级。功能详细指标网络准入规则通过检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，拒绝不符合管理者指定安全策略的终端上网，避免因终端安全级别不够引发的安全风险防病毒引擎集成欧洲领先防毒厂商提供的杀毒引擎，提供对

23、HTTP、FTP、Mail等容易携带病毒的网络内容的检测和病毒查杀，形成对组织病毒防护和管理的有益补充防内网DOS攻击使组织能够应对内网大规模爆发的蠕虫病毒或是僵尸网络激活对组织网络造成的极大冲击防ARP欺骗防止因ARP欺骗导致的内网用户大规模断网的情况四、一体化安全网关设备技术优势4.1. 深度内容检测技术彻底封堵QQ、炒股、常见P2P软件传统设备和方案如通过防火墙封端口/封服务器IP等方式管控QQ、通过封服务器IP/封种子网站/封端口等方式封堵P2P下载行为等管理方式来应对泛滥的互联网应用行为已经无能为力，费时费力且无法彻底封堵。一体化安全网关产品利用绝大部分应用协议在数据包传输过程中都会

24、有的特定特征字段来识别相应的应用，如此的深度内容检测技术检测互联网流量中相应的特征码字段识别正在传输的应用及协议，并根据预置策略进行及时封堵或流控。一体化安全网关内置自动更新的超过20大类、200多条应用识别规则，能够准确识别并封堵各种IM聊天工具、网络炒股、网络游戏、在线视听软件及常见的P2P工具等，提高员工的工作效率和组织的生产效率。4.2. P2P智能识别（专利技术）-管控加密的、不常见和版本泛滥的P2P行为泛滥的P2P行为滥用了组织机构有限的带宽资源，致使视频会议、VOIP等业务难以开展。而普通的管理手段除了难以封堵加密BT、加密电骡等加密P2P外，就连版本泛滥、不断更新的P2P软件也

25、难以控制，只能封堵“昨天的BT”。一体化安全网关通过P2P智能识别技术，基于统计学的网络行为智能分析，实现各种P2P行为的全面识别，包括加密的、不常见的、版本泛滥和未来可能出现的P2P行为，并施以封堵和流控等措施，为管理者提供了一劳永逸的解决方案。一体化安全网关既可彻底封堵P2P行为，又可允许内网指定员工在有限范围内使用P2P，AC可对内网用户使用P2P时占用的带宽进行控制，既避免P2P应用对带宽的滥用，又实现人性化的管理方式、避免推行一体化安全网关所遭遇的阻力。4.3. SSL加密网站识别和过滤（专利技术）-反钓鱼网站等互联网的发展日新月异，越来越多的在线交易类（包括炒股、网银、网上购物以及

26、电子商务）网站使用了SSL等加密技术来确保数据安全，而与此同时，假冒网上银行的钓鱼网站、刻意躲避政府过滤的色情、反动网站等各种不良站点也出于各种目的纷纷采用SSL加密方式提供访问，普通的一体化安全网关方案根本无法有效甄别和过滤SSL加密网页，给组织的管理带来很大风险。一体化安全网关一方面能够提取SSL访问页面中的URL地址，并对其依据URL的管理策略进行相应的控制，同时还通过全球可信任数字证书颁发机构信息，对SSL网站提供的数字证书进行证书链深度验证，从而实现对SSL加密网站可信度的识别和过滤，为组织机构提供了完备的URL地址及内容安全管理解决方案。4.4. 邮件的延迟审计（专利技术）-敏感邮

27、件先延迟、审计后再发送电子邮件已经成为人们最重要的沟通方式之一。组织机构需要通过电子邮件与外部保持沟通和交流，而电子邮件也成为泄漏组织机构重要信息的途径之一。一体化安全网关独创的邮件延迟审计专利技术，能够根据管理者预设的过滤条件对指定内网员工向外发送的指定邮件进行延迟审计，只有具有权限的特定审核人员审核通过后才能发出，通过人工审核确保组织机构信息资产不外泄，保证了组织内网信息资产的安全，避免了传统邮件管理方案只能审核邮件备份记录以追究法律责任却无法阻止泄密发生的尴尬局面。4.5. 免审计Key-从设备底层免除对高层领导的行为记录与审计随着越来越多的业务和沟通通过互联网进行，高层领导的网络行为中

28、往往涉及组织最重要的业务机密和信息资产，关系到组织机构的发展和前途。如何确保高层领导的网络行为不被一体化安全网关设备错误监控和记录就成了判断一体化安全网关产品专业性的一个重要标准。有别于传统设备通过产品控制界面人为取消审计配置的方式（可以取消也可能被悄悄的重新加上），一体化安全网关采用的是权限不可复制、免监控状态不可取消的USB KEY技术，高层领导将一体化安全网关颁发的“免审计Key”插入任一电脑，即从设备底层免除对高层该领导网络行为的记录，而且这种免审计状态是不可更改的，避免了被错误更改状态后而受到AC监控的情况。4.6. 强大的内容检索工具-方便对海量日志的检索、查询、审计2006年3月

29、1日开始实施的公安部82号令要求：组织机构必须留存员工的上网行为记录至少60天。由于网关设备自身容量的限制，大型组织每天产生的以G为单位的海量日志存储于设备本身并不现实。一体化安全网关创造性的支持第三方日志服务器，通过独立的数据中心实现日志无限量存储（最大容量取决于日志服务器的硬盘空间），帮助组织实现超长时间的日志记录。日志的记录是为了日后的审计及查询，在缺乏有效的技术帮助下从海量日志中找寻管理者感兴趣的内容是异常困难的，一体化安全网关创新性的提供了类似互联网搜索引擎技术的内容检索工具，从海量存储的网页、邮件正文、搜索关键字、Webmail/BBS内查询到包含特定关键字的内容，实现对海量日志的

30、检索、审计等，并支持将管理者感兴趣的检索结果定期自动形成报表，发送到指定邮箱。4.7. 细致的流量管理系统-优化带宽资源，提升带宽使用效率组织机构有限的带宽资源，如何限制非业务应用对带宽的占用，同时保证关键部门/员工的业务应用对带宽的需求？一体化安全网关细致的流量管理系统做到了：针对应用类型（如P2P、邮件等）、网站类型（如业务网站类、新闻网站类等）、上传下载的文件类型进行带宽划分与分配。基于不同用户/用户组，时间段，结合智能QoS功能，一体化安全网关优化了组织机构带宽资源的使用，提升带宽使用效率。4.8. 特有的网络准入规则（专利技术）-修补内网安全短板组织机构的安全风险，往往是由于内网终端

31、的安全隐患导致，一体化安全网关准入规则专利技术，修补内网终端安全短板。一体化安全网关所支持的网络准入规则是一个可选项目，当管理者期望通过准入规则实现对内网终端的各种安全属性进行检测并以此为依据赋予上网权限时，管理者在一体化安全网关上可预设各种安全策略进而检查接入终端安全状况：包括指定员工的终端操作系统版本及补丁状况、杀毒/防火墙软件安装及更新情况、注册表、后台进程、硬盘文件等内容。不符合管理者预设安全策略的终端，将不允许访问互联网，避免其轻易感染病毒、木马，进而危害整个内网安全的可能，为组织机构提供了全面的安全保障手段。五、一体化安全网关设备部署模式一体化安全网关设备可提供多种部署方式，以适应

32、不同组织机构的网络环境及需求。5.1. 网关模式（路由模式）一体化安全网关网关模式的典型部署如下图所示：网关模式是将一体化安全网关作为本网的出口网关，一般作为NAT设备分割外网和内网，并代理内网员工上网所使用。一体化安全网关的LAN口接内网交换机，WAN口接外网的接入设备，如路由器、ADSL Modem等。采用网关模式的主要优点是： 能实现NAT、路由等网络功能，并代理内网员工上网 完全监控和管控进出设备的数据5.2. 网桥模式（透明模式）一体化安全网关网桥模式的典型部署如下图所示：网桥模式是将一体化安全网关如同交换机一样配置和部署。一体化安全网关的LAN口接内网交换机，WAN口连接出口网关等设备。采用透明模式的主要优点是