一体化安全网关选购指南2010年4月目录前言、构建安全、可管理的内部网络 (3)一、一体化安全网关----企业边界管理的利器 (4)二、一体化安全网关应用效果 (6)2.1. 规范员工上网行为、提升工作效率 (6)2.2. 保护内部信息资产安全、防止机密信息泄漏 (6)2.3. 强化带宽管理,提升带宽利用率 (6)2.4. 降低组织机构的法律风险 (7)2.5. 多种安全增强功能,全方位保障内网安全 (7)三、一体化安全网关设备功能介绍 (8)四、一体化安全网关设备技术优势 (12)4.1. 深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12)4.2. P2P智能识别(专利技术)--管控加密的、不常见和版本泛滥的P2P行为 (12)4.3. SSL加密网站识别和过滤(专利技术)--反钓鱼网站等 (12)4.4. 邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送 (13)4.5. 免审计Key--从设备底层免除对高层领导的行为记录与审计 (13)4.6. 强大的内容检索工具--方便对海量日志的检索、查询、审计 (13)4.7. 细致的流量管理系统--优化带宽资源,提升带宽使用效率 (14)4.8. 特有的网络准入规则(专利技术)--修补内网安全短板 (14)五、一体化安全网关设备部署模式 (15)5.1. 网关模式(路由模式) (15)5.2. 网桥模式(透明模式) (15)前言、构建安全、可管理的内部网络互联网接入的普及和带宽的增加,改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制,给组织机构带来更多的安全威胁,互联网滥用等问题日益严重。
IDC对全球企业网络使用情况调查后发现,员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。
调查结果表明:员工在上班时间发生的网络活动,30%-40%都与工作无关。
那么国内组织机构的互联网应用情况又如何呢?据有关机构调查统计,中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐,严重影响了工作效率和带宽使用效率。
在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题,在中国的情况远比其它地区更为严峻!另外,由于内部网络缺乏有效的管控技术措施,员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件,已逐渐成为内部网络安全的最大威胁。
据美国CSI/FBI的调查结果显示,政府、企业等机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。
而据中国公安部最新统计,70%的泄密犯罪来自于机构内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题,已经成为组织机构管理者和信息技术部门的首要问题之一。
但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂,借助组织现有的防火墙等传统网络安全设备,基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。
一、一体化安全网关----企业边界管理的利器一体化安全网关系列产品,凭借其应用识别率最高、平台性能最强的核心优势,以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能,提供了涵盖防火墙、网关杀毒、网关+终端、行为+内容的完整解决方案,为组织机构提升工作效率、提升带宽效率、防范机密泄露、避免法律风险、保障内网安全等多重价值。
网络管理最基本也是最关键的要素是“用户”和“应用”,只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用,才能对其实施准确、清晰的管理。
一体化安全网关提供了包括本地认证/第三方认证、静态认证/双因素认证在内的多种用户认证手段,不仅满足大型乃至超大型组织在用户管理上的快速部署、便捷管理的需求,而且针对强身份认证、高权限用户管理的需求也首次提出业界领先的基于USB KEY的身份认证和免监控管理技术。
通过上述先进技术的应用,一体化安全网关可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。
用户身份的精确识别仅仅是一体化安全网关的基础,由于Internet的复杂性,很多时候用户的违规行为或是安全风险往往是在无意识的情况下产生的,与此同时,也有一些精通IT 技术的用户试图通过各种方法挑战IT管理者的权威(如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户),这就需要一体化安全网关方案能够具备终端管理的能力,通过终端管理有效判断客户桌面环境是否符合组织相关安全规定(如是否安装了指定的杀毒软件、个人防火墙等安全软件或是否安装相应系统补丁等),避免因桌面安全级别不足而导致的风险,同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。
一体化安全网关通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测,实现了对终端的精准识别,使得一体化安全网关解决方案真正满足组织在一体化安全网关过程中对精确授权的需求。
如果说精确的用户+终端的识别能力是一体化安全网关的基础,那精确的应用识别则是一体化安全网关的核心,只有实现了对Internet上纷繁复杂的各种应用的精确识别,管理员才不会面对用户庞大的流量而不知所措。
一体化安全网关提供了数十类、200多条应用识别规则,使得组织能够轻松识别内网用户大部分的互联网访问行为,而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用,一体化安全网关强大的P2P智能识别、SSL加密流量识别等关键识别技术更是构筑了一体化安全网关业界最强的应用识别能力。
有了精确的用户识别、终端识别和应用识别,后续的精细化管理才成为可能,一体化安全网关提供了灵活的封堵、流量管理手段,帮助组织合理设置用户的上网访问权限,除了基于用户的网络行为(如炒股、IM聊天、网上购物、在线游戏、在线电影、P2P下载等)提供的封堵和流量管理外,一体化安全网关还提供了基于内容的管理手段,独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录QQ聊天内容)等技术,为防止机密信息资产通过Internet泄漏提供了最有效的保证。
完善的一体化安全网关不仅需要实时性,而且还需要可追溯、可统计,一个强大的数据中心是专业一体化安全网关解决方案的必备特征,一体化安全网关可全面记录各种网络行为日志,而且对组织关心的行为内容也提供了详细的记录功能,包括用户访问的URL、QQ/MSN聊天内容、网络发帖、收发的Email/Webmail等各类行为和内容,使得组织能够详细掌握用户的具体访问内容;而一体化安全网关专为高端用户设计的强大的独立数据中心可以实现日志海量存储,并通过图形化的各种统计报表和海量日志内容检索工具,让管理者轻松获知网络使用情况,也避免法律违规后无据可查的尴尬。
以下是一体化安全网关的几个关键特性:二、一体化安全网关应用效果通过部署一体化安全网关解决方案,可以帮助组织实现完善的一体化安全网关、行为审计和内网安全保障,并达到如下效果:2.1. 规范员工上网行为、提升工作效率宽带的接入使得组织机构24小时连接在Internet上,而员工上班时间QQ聊天、新闻网站浏览、在线炒股等已经成为办公室皆知的秘密,工作效率的降低却要管理者为其买单。
通过一体化安全网关的部署,可以把与工作无关的上网行为降到最低,祛除员工的分心,将精力聚焦于工作中。
2.2. 保护内部信息资产安全、防止机密信息泄漏组织机构内部有太多的机密信息,关乎组织发展命运的机密、领导办公室内的八卦都是网络上常出现的内容,而存心的泄密者和忠实的干部都可能是造成泄密的关键人员。
一体化安全网关的邮件延迟审计专利,使得潜在的泄密邮件必须通过相应邮件审核人员审核后才发送到公网;对于加密的IM(如QQ)聊天内容、网络论坛发帖、webmail正文及附件、通过HTTP或FTP上传的文件等各种可能涉及泄密的数据内容,一体化安全网关提供了基于关键字的过滤手段屏蔽可能的泄密而保障信息资产安全,并且提供了全面的记录功能为组织留存了法律证据。
2.3. 强化带宽管理,提升带宽利用率有限的Internet带宽始终无法满足组织日益增加的带宽需求,如何提升带宽利用率就成为一个重要的网络管理内容,一体化安全网关提供包括支持多链路和丰富流量管理策略在内的多种带宽管理手段帮助组织解决上述问题。
一体化安全网关可以同时连接多条公网线路,实现以更低的成本扩展带宽,精确的应用识别为高效的流量管理策略的制定提供了可能,除了可以对各种滥用带宽的P2P行为、在线下载、特定类型网站进行流量管控外,一体化安全网关还可以为类似领导用户组的视频会议、市场部访问业务网站、设计部传输指定类型文件等业务行为提供带宽保障策略,帮助组织机构最大化网络建设的投资回报。
2.4. 降低组织机构的法律风险员工利用组织机构提供的互联网连接访问反政府/邪教等不良网站、发表非法言论或从事其他网络非法活动等,可能导致组织遭受法律诉讼、行政处分等风险。
一体化安全网关可以过滤员工访问非法网站、发表非法网络言论等不良行为,且对所有网络行为日志通过独立日志中心提供海量存储及审计支持,图形化的审计、统计、报表和内容检索工具,方便组织做到有据可查,降低组织的法律风险。
2.5. 多种安全增强功能,全方位保障内网安全一体化安全网关设备作为组织网络的一个重要组成,在为组织提供管理服务的同时,也同样面临来自组织网络的各种挑战,来自内网的DOS攻击(不一定是人为的,内网大规模爆发的蠕虫病毒或是僵尸网络激活都将对组织网络造成极大的冲击)和ARP欺骗(一旦出现,将严重影响组织网络的稳定)等各种安全风险层出不穷,相对普通的上网管理方案,一体化安全网关独特的防DOS攻击、防ARP欺骗、网关杀毒等功能,帮助组织进一步保障内网安全,特有的网络准入规则的应用也极大提高了组织为应对网络风险而部署的网络杀毒、桌面管理等各种关键软件系统的部署率(不符合要求的终端将被剥夺上网的权限),从而为组织进一步提升网络抗风险能力提供了可能。
一体化安全网关设备部署图三、一体化安全网关设备功能介绍(一)控制功能:细致而全面的访问控制功能,有效管控员工的上网行为不能识别,何谈管控?基于精准用户身份识别、终端识别和行为识别,一体化安全网关为不同员工授予差异化的网络访问权限。
一体化安全网关不仅对员工的WEB、FTP、MAIL 等常见行为及内容进行管控,更可以对QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控,从而规范了员工的上网行为,提升员工的工作效率。