深信服SINFOR AC上网行为管理解决方案.docx
- 文档编号:3419203
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:10
- 大小:22.80KB
深信服SINFOR AC上网行为管理解决方案.docx
《深信服SINFOR AC上网行为管理解决方案.docx》由会员分享,可在线阅读,更多相关《深信服SINFOR AC上网行为管理解决方案.docx(10页珍藏版)》请在冰点文库上搜索。
深信服SINFORAC上网行为管理解决方案
深信服SINFORAC上网行为管理解决方案
深信服SINFORAC上网行为管理解决方案
一、上网行为管理与企业竞争力
随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用状况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析说明:
70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:
(1)工作效率低下、
(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题〔如病毒、木马造成的网络异常〕,并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:
λ
·IT管理员如何对企业网络效能行为进行统计、分析和评估?
λ
·IT管理员如何限制一些非工作上网行为和非正常上网行为〔如色情网站〕,如何监控、控制和引导员工正确使用网络?
λ
·IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?
λ
·IT管理员如何在万一发生问题时有一个证据或依据?
二、互联网管理的好帮手——SINFORAC上网行为管理系统
网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也必需要认真合计合理使用网络资源,充分提升企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
互联网乱用,给中国企业带来了庞大的损失。
因此,如何有效地解决这些问题,以便提升员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。
当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。
越来越多的企事业单位必需要对内网进行统一管理以调整网络资源的合理利用。
针对内网安全上的这些问题,SINFORM5*000-AC系列UTM安全网关是一个非常好的解决方案。
在内部安全的上网行为管理〔网络安全审计〕上,为确保企业合理使用Internet资源,防止企业信息资产泄漏,SINFORAC安全网关提供了完善的访问控制功能。
通过合理设置访问权限,能够杜绝对不良网站和危险资源的访问,防止P2P软件对企业网络带来的安全风险。
通过带宽管理和访问跟踪技术,能有效防止对Internet资源的乱用。
SINFORAC安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的确保。
此外,作为一个UTM整合式设备,SINFORAC安全网关还提供了丰富的外部安全确保措施。
除了强大的VPN模块和防火墙模块之外,SINFORAC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。
另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提升了员工使用Internet的办公效率。
同时SINFORAC安全网关还提供了高效的IPS〔入侵防御系统〕功能,能有效识别和抵抗3000多种攻击,更大范围的保护了企业连接到Internet的安全。
三、某某公司网络现状及SINFORAC解决方案
简单描述客户的网络现状及必需要解决的问题,针对这些问题提出深信服的解决方案,并提供一个针对该方案的网络拓扑图。
某某公司简介。
随着业务的发展,信息化建设步伐的加快,某某公司的网络安全问题也日益严峻,虽然在网络出口处已布暑了专门的防火墙设备,但无孔不入的病毒〔尤其是木马病毒〕、垃圾邮件仍然大肆泛滥,严重影响了企业应用系统的运行和公司业务的正常运作;另外,在针对内网的安全方面〔尤其是PC客户端准入安全检查〕,由于缺少专门的客户端安全检查设备,无法有效的保护整个局域网的安全性。
依据某某公司的网络环境和实际应用,必需要布暑如下安全设备:
〔1〕在公司网络出口处布暑专门的杀毒网关对过往数据进行杀毒,以便配合原有的Symantec网络版杀毒;
说明:
主机防病毒〔网络版杀毒软件〕和网关防病毒的互补
主机防病毒〔网络版杀毒软件,如Symantec、Mcafee等〕主要是针对主机进行防范,必需要每台电脑都布暑专门的客户端,这样关于没有安装客户端的电脑主机还是有可能在上Internet的时候感染上病毒,另外关于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒,从而导致整个局域网中毒。
网关防病毒对所有流经网关的网络数据,都会经过杀毒处理,可以有效避免没有安装杀毒客户端或没有升级最新杀毒版本的电脑发生的中毒事故。
但是网关防病毒主要是防范通过网关传播的病毒,关于网络内部通过U盘、软盘等移动存储介质、局域网文件共享等途径传播的病毒,是网关防病毒鞭长莫及的,必需要通过主机防病毒才可以补充防范。
可见,以上两种杀毒模式各有侧重点,很难说那种模式更好;针对当前日益严峻的网络安全现状,建议同时能够布暑主机防病毒〔网络版杀毒软件〕和网关防病毒设备。
〔2〕布暑防垃圾邮件设备对垃圾邮件进行过虑;
〔3〕布暑互联网访问行为管理设备,对通过网关发送出去的相关数据、文件进行内容过虑,对内网用户的相关访问行为进行跟踪,以提升对Internet资源的使用效率;
〔4〕布暑客户端安全检查设备〔并集成IPS/防DDOS攻击功能〕,能够对PC客户端的安全性进行检查,对不符合安全的PC机可以自动切断其连接Ineternet,以便整体提升局域网的安全性,另外要能集成IPS及防DDOS攻击功能,能比较有效的防御木马的攻击。
传统的IT解决方案中,必需要对网关杀毒、防垃圾邮件、IPS、防DDOS以及内容过虑、访问跟踪等分别购置多套设备,投入成本庞大。
SINFORAC互联网控制设备作为一款UTM多功能安全网关,是ALLINONE的解决方案,一个设备解决所有的网络安全问题。
另外,SINFORAC还集成了深信服获得国家专利的两项专利技术:
“客户端网络访问准入规则〞、“邮件延迟审计〞,可以提供优良的PC客户端安全检查扫描功能,以及对邮件的延迟审计功能,提升了局域网的整体安全性,并有效保护了企业商业机密的非法外泄。
四、SINFORAC上网行为管理功能介绍
〔一〕控制功能:
细致的访问控制功能,有效管理用户上网
SINFORAC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制,更可以对、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。
丰富的报表功能还可以分析出企业的Internet的具体使用状况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
基于Web的和LDAP/Radius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。
表3.1:
访问控制功能一览表
功能具体指标
危险网站阻隔
使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问
访问控制策略
提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略
P2P拦截
使用深度内容检测技术及在线网关监控技术实现对包括、MSN、SKYPE、BT等任何P2P软件的流量阻隔
用户认证
提供Web登录认证功能,提供本地用户数据库和LDAP、RADIUS用户数据集成功能
文件上传下载控制控制
对、FTP文件上传、下载类型和大小进行控制,也能对、MSN等P2P软件的文件传送进行拦截
IPMAC绑定提供灵活的IPMAC绑定策略
代理识别功能
能识别采纳、s、Socks等代理服务器绕过防火墙检查的行为,从而进行阻断
〔二〕监控功能:
完善的内容过虑和访问审计功能,防止机密信息泄漏
谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。
SINFORAC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。
关于邮件类型的应用还采纳了深信服“邮件延迟审计〞的专利技术来确保先审计后发送。
SINFORAC的访问审计/监控模块为企业构筑了强大的内部安全屏障。
表3.2:
访问审计功能一览表
〔三〕报表功能:
强大的数据报表中心,提供直观的上网数据统计
SINFORAC网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等具体信息,并可直接打印和导出报表。
SINFORAC网关强大的日志系统和丰富的报表功能,可具体分析出企业的Internet的具体使用状况,为网络管理员和决策者提供了最有效的数据支持。
表3.3:
数据中心功能一览表〔四〕带宽及流量管理功能:
强大的QOS功能及流量分析
SINFORAC安全网关强大的访问控制和QOS功能可以使得企业合理利用Internet资源,为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提升员工的工作效率。
SINFORAC安全网关可以具体记录和分析所有流量的内容,包括、ftp、mail、telnet等常用软件的内容和、ICQ、MSN、YAHOO、MESSAGER等IM软件的内容。
另外还能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用状况。
使得企业有限的带宽能得到最充分的利用,提升企业的网络利用率。
表3.4:
QOS及流量控制功能一览表
〔五〕丰富的外网安全功能:
包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等
作为一个UTM整合式设备,SINFORAC安全网关还提供了丰富的外部安全确保措施。
除了强大的防火墙模块和VPN模块之外,SINFORAC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。
另外,强大的垃圾
邮件过滤功能将大量垃圾邮件拒之门外,也大大提升了员工使用Internet的办公效率。
同时SINFORAC安全网关还提供了高效的IPS〔入侵防御系统〕功能,能有效识别和抵抗3000多种攻击,更大范围的保护了企业连接到Internet的安全。
五、SINFORAC安全网关主要技术优势
〔一〕深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件
〔1〕深度的内容检测技术:
目前的P2P软件,如、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。
SINFORAC安全网关的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并依据预置策略进行及时封堵。
UTM安全网关内置了多种深度内容检测技术所依赖的特征码规则,并且可以从网站上更新下载。
依靠这种技术,SINFORAC安全网关可以封堵目前所有的P2P软件;避免了最终用户在IM或者P2P软件上浪费时间,提升了员工的工作效率和企业的生产效率,并防止泄密或由于员工泄密引起的重大损失。
〔2〕在线网关监控技术:
与其他旁路监听的访问监控产品不同的是,SINFORAC使用了在线网关监控技术。
所有的旁路监听产品,对UDP发送的数据都难以拦截,并且拦截往往有一按时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。
SINFORAC的在线拦截监控技术能确保拦截到所有敏感数据,外出数据无一纰漏。
〔二〕邮件的延迟审计〔专利技术〕
SINFORAC安全网关独有的邮件延迟审计功能确保了企业的重要信息不外泄。
目前电子邮件已经成为人们最重要的沟通方式。
电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。
企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。
SINFORAC安全网关独创的邮件延迟审计功能,可以对经由AC安全网关的所有邮件进行延迟审计。
关于内网用户向外发送邮件,AC安全网关会对其进行延缓慢存,只有等待管理员审计后才干发出,确保了企业信息资产不外泄,确保了企业内网信息的安全,且邮件延迟审计对发件人完全透明。
〔三〕独有的网络访问准入规则〔专利技术〕
企业的安全隐患,往往是由于内网用户客户端缺乏安全防范造成的。
为了从根本上杜绝企业内部网络安全隐患,减少内网用户遭受间谍软件、病毒的风险。
深信服科技革新性地采纳了网络访问准入规则这一技术。
网络访问准入规则,是管理员在SINFORAC安全网关的准入规则中预先定制好内网计算机的安全策略。
所谓安全策略,是指特定的安全标准。
如:
用户计算
机的操作系统是否安装有管理员指定的系统补丁,以及用户的计算机是否安装有相应的杀毒程序或者防火墙,或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等,这一系列的安全标准都可以定制成相应的安全策略。
当用户计算机访问网络请求的数据包通过SINFORAC安全网关时,假设启用了WEB认证,当用户通过WEB认证后,此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序,并依据指定的安全策略启动扫描程序,检查用户的计算机是否具备了相应的安全策略。
只有符合相应的安全策略的计算机才同意访问外部网络,不具备相应安全条件的用户计算机,不同意上网。
这样从根本上提升了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
〔四〕WEB认证技术
AC安全网关基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。
用户启用了Web认证功能以后,除了对客户端的本地身份〔如:
用户名密码认证,LDAP、RADIUS等认证〕进行常规性认证以外,还将启用Web认证。
当客户端在浏览器中输入任意网址时,AC安全网关会要求用户输入用户名和密码进行认证。
只有当用户输入了正确的帐号,该用户才干够访问Internet。
〔五〕高度集成,布暑灵活
SINFORAC安全网关很重要的一个特点就是除了作为专用的互联网访问控制设备外,它还是一个整合式的UTM设备,将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。
用户可以使用较低的成本同时拥有多种网络安全模块,大大降低了企业在网络安全方面的总体拥有成本。
另外,用户在使用AC作为互联网访问控制设备的同时,也可以选择使用AC设备的其他某个或某几个功能模块,比如将AC作为杀毒网关或防火墙等的网络设备使用,可与原有网络安全产品融合,布暑灵活的同时也保护了投资。
六、成功典型案例
SINFOR互联网访问控制设备构建乐凯集团安全网络
乐凯胶片集团公司是我国影像信息记录产业中规模最大、技术最强、产品品种最多、市场覆盖面最广、跨地区跨行业的现代化企业,是国务院国资委出资的189家大型国有企业之一,下属分公司和合资公司共有三十多家,其主导产品乐凯彩色胶卷和彩色相纸双双荣获国家银奖和科技进步一等奖,“乐凯〞商标被国家商标局认定为中国驰名商标。
作为一个拥有上千名员工、信息化程度高的技术型企业,乐凯集团像众多企事业一样也面临很多困扰。
员工在工作时间上网娱乐、购物、MP3下载等,不仅占
用大量带宽,而且还导致员工工作效率的降低。
SINFORAC的使用可帮助乐凯制定和实施一套合适自己企业的互联网使用政策,把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作,提升工作效率,大大降低员工因为不正当使用互联网而受企业处罚或解雇等事件的发生。
并且通过过滤掉大量占用带宽的文件及应用,还可以帮助企业最大化网络基础建设和带宽的投资回报。
另外,深信服数据报表中心还能支持以图表的方式对局域网内的人员的上网行为进行分析,如:
天天上网状况的分析、访问最频繁的网站分析、上网最多的人员分析等,并提供按时间、服务、网站访问、使用网络流量等多种排行榜。
SINFOR互联网访问控制设备应用于国家档案局档案科学技术研究所
国家档案局档案科学技术研究所是国家档案局直属的科学技研究机构,基本任务是面向全国档案部门,紧密结合档案工作的实际,展开档案保护技术、修复技术、缩微技术、现代化管理技术及档案标准化等方面的研究。
下设办公室、科技处、行政处、技术开发部四个办事机构和档案保护技术、档案管理现代化、档案工作标准化、档案科学技术情报四个研究室。
信息是无价的,一些关键性科研信息的泄露,可能会给科研机构带来无法弥补的损失,深信服AC的邮件延迟审计专利技术可以洞察先机,做到事前防范,让企业高枕无忧。
在经过仔细比较方案性价比后,国家档案局档案科技技术研究所最终选择了功能强大的SINFORAC互联网访问控制设备。
作为一款UTM整合式安全设备,SINFORAC集VPN、防火墙、网关杀毒、内容过滤、防垃圾邮件功能于一体,既可以解决最新科研成果资料泄漏的问题,还能够对本地局域网进行很好的保护,避免病毒和垃圾邮件的困扰,同时还可以对带宽进行优化和管理,很好的解决了国家档案局档案科学技术研究所网络安全面临的各种问题。
北京理工大学选用SINFORAC互联网访问控制设备
北京理工大学是“理工为主,工理文协调发展〞的全国重点大学。
其前身是1940年创办的延安自然科学院,是我国首批公布的全国重点大学,是全国首批建立研究生院的高校,是“七五〞、“八五〞和“九五〞期间国家重点投资建设的学校;也是国家首批“211工程〞建设的高校。
同学由于约束力较差,容易在校园网上浏览色情等不健康内容,这也造成病毒以及针对网络的内部攻击次数非常多,必需要相应的安全解决方案;另外,学校职能部门网络如办公室、图书馆、教务处由于涉及到学校的重要信息以及相关考试的信息,所以对保密安全等级要求也很高;鉴于教育部关于学校网络实名制以及关于整顿不良信息的规定,学校也必需要布暑相关的信息安全内容过滤与日志系统——经过对多家方案认真的测试对照后,北京理工大学最终选用了SINFORAC互联网访问控制设备,完美的实现了对以上问题的解决。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信服SINFOR AC上网行为管理解决方案 深信 SINFOR AC 上网 行为 管理 解决方案