典型企业网络边界安全解决方案 .pdf

《典型企业网络边界安全解决方案 .pdf》由会员分享，可在线阅读，更多相关《典型企业网络边界安全解决方案 .pdf（42页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc. 2010 年 9 月 29 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案2 / 42目录1 前言 . 4 1.1 方案目的 . 4 1.2 方案概述 . 4 2 安全需求分析. 6 2.1 典型中小企业网络现状分析 . 6 2.2 典型中小企业网络安全威胁 . 8 2.3 典型中小企业网络安全需求

2、.10 2.3.1 需要进行有效的访问控制.10 2.3.2 深度应用识别的需求.11 2.3.3 需要有效防范病毒.11 2.3.4 需要实现实名制管理.11 2.3.5 需要实现全面URL 过滤.12 2.3.6 需要实现 IPSEC VPN .12 2.3.7 需要实现集中化的管理 .12 3 安全技术选择.13 3.1 技术选型的思路和要点.13 3.1.1 首要保障可管理性.13 3.1.2 其次提供可认证性.13 3.1.3 再次保障链路畅通性.14 3.1.4 最后是稳定性.14 3.2 选择山石安全网关的原因.14 3.2.1 安全可靠的集中化管理 .15 3.2.2 基于角色

3、的安全控制与审计.16 3.2.3 基于深度应用识别的访问控制.17 3.2.4 深度内容安全(UTMPlus?) .17 3.2.5 高性能病毒过滤.18 3.2.6 灵活高效的带宽管理功能.19 3.2.7 强大的 URL 地址过滤库 .21 3.2.8 高性能的应用层管控能力.21 3.2.9 高效 IPSEC VPN .22 3.2.10 高可靠的冗余备份能力 .22 4 系统部署说明.23 4.1 安全网关部署设计.24 4.2 安全网关部署说明.25 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -

4、- - - - - - 第 2 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案3 / 424.2.1 部署集中安全管理中心 .25 4.2.2 基于角色的管理配置.29 4.2.3 配置访问控制策略.30 4.2.4 配置带宽控制策略.31 4.2.5 上网行为日志管理.33 4.2.6 实现 URL 过滤 .35 4.2.7 实现网络病毒过滤.36 4.2.8 部署 IPSEC VPN .37 4.2.9 实现安全移动办公.38 5 方案建设效果.38 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

5、- - - - 名师精心整理 - - - - - - - 第 3 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案4 / 421 前言1.1 方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2 千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA 系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、

6、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、 非法授权访问、 员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度， 涉及到组织、 制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方

7、案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。1.2 方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案5 / 42集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路

8、直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员

9、工的网络访问行为，做到可视化的安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案6 / 42保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；保护网站安全： 对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为；

10、保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；实现实名制的安全监控：中小型企业的特点是，主机IP 地址不固定，但全公司有统一的用户管理措施，通常通过AD 域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；对移动办公的安全保障：利用安全网关的SSL VPN

11、 功能， 提供给移动办公人员进行远程安全传输保护，确保数据的传输安全性；2 安全需求分析2.1 典型中小企业网络现状分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案7 / 42机构均有互联网出口，提供给员工进行上网访问，同时

12、总部的互联网出口也作为网站发布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路， 增加灵活性， 即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN 来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN 的基础上还配置了ACL，对不同 VLAN 间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：典型中小企业组

13、网结构示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案8 / 422.2 典型中小企业网络安全威胁在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP 网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括：【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA 和网站系

14、统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；【恶意代码传播】大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快

15、速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范 ARP 欺骗】大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP 地址，在相互交换IP 地址和 ARP 地址后方可通讯，特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP 欺骗就是某台主机伪装成网关，发布虚假的ARP 信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问名师资料总结 - - -精品资

16、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案9 / 42数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密；【恶意访问】对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢

17、占带宽资源而影响他人对网络的使用。这种恶意访问行为包括：过度使用P2P 进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】常见的访问控制措施，还是QOS 措施，其控制依据都是IP 地址， 而众所周知IP 地址是很容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定， MAC 地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的， 需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装

18、成高级别员工的地址，从而可占用更多的资源。身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据IP 地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP 网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -

19、- 第 9 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案10 / 42的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；【不安全的远程访问】对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，

20、或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。【缺乏集中监控措施】典型中小型企业的特点是，集中管理， 分布监控， 但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。2.3 典型中小企业网络安全需求针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。2.3.1需要进行有效的访问控制网络安全

21、建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案11 / 42中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。对于

22、中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。2.3.2深度应用识别的需求引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的P2P 和 IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和QOS ，提升控制和限制的精度和力度。对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。2.3.3需要有效防范病毒在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访

23、问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。2.3.4需要实现实名制管理应对依托IP 地址进行控制，QOS 和日志的缺陷，应实现基于用户身份的访问控制、QOS 、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案12 / 42先进行准入验证， 验证通过后将验证信息P

24、USH 给网关，网关拿到此信息， 在用户发出上网请求时，根据 IP 地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。2.3.5需要实现全面URL 过滤应引入专业性的URL 地址库，并能够分类和及时更新，保障各个分支机构在执行URL 过滤策略是，能够保持一致和同步。2.3.6需要实现 IPSEC VPN 利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA

25、、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN 功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。2.3.7需要实现集中化的管理集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，名师资料总结 - - -精品资料

26、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案13 / 42统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。3 安全技术选择3.1 技术选型的思路和要点现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。3.1.1首要保障可管理性网络安全设备应当能够

27、被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。3.1.2其次提供可认证性设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS ，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。对于中小企业而言，设备必须能够与中小企业的AD 域管理整合，通过A

28、D 域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS ，根据身份来记录上网行为日志。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案14 / 423.1.3再次保障链路畅通性对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上

29、网。目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL 地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL 地址库，并能够自动升级，降低管理难度，提高控制精度。中小企业的链路是有限的，因此应有效封堵P2P、IM 等过度占用带宽的业务访问，保障链路的有效性。3.1.4最后是稳定性选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。另外，安全产品必须有多种稳定性的考虑，既要有整机稳

30、定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。3.2 选择山石安全网关的原因基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案1

31、5 / 42山石网科安全网关在技术上具有如下的安全技术优势，包括：3.2.1安全可靠的集中化管理山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN 配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。山石网科安全管理中心的一个关键设

32、计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过 CLI 接入。山石网科安全管理中心还带有一种高性能日志存储机制，使 IT 部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。山石网科安全管理中心采用了一种3 层的体系结构， 该结构通过一条

33、基于TCP 的安全通信信道安全服务器协议（SSP）相连接。 SSP 可以通过 AES 加密和 SHA1 认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP 通信链路，就不需要在不同分层之间建立VPN 隧名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案16 / 42道，从而大大提高了性能和灵活性。山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监

34、控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。3.2.2基于角色的安全控制与审计针对传统基于IP 的访问控制和资源控制缺陷，山石网科采用RBNS （基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务 )的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP 盗用或者 PC 终端被盗用引发

35、的数据泄露等问题。另外，在采用了RBNS 技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。在本方案中，利用山石网科安全网关的身份认证功能，可结合AD 域认证等技术，提供集成化的认证 + 控制 + 深度检测 + 行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS ，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。名师资料总结 - - -精品资料欢迎下载 - - -

36、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案17 / 423.2.3基于深度应用识别的访问控制中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。Sto

37、neOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括 P2P、IM( 即时通讯 )、游戏、办公软件以及基于SIP、H.323 、HTTP 等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。3.2.4深度内容安全(UTMPlus?)山石网科安全网关可选UTMPlus? 软件包提供病毒过滤， 入侵防御， 内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000 万域名的 Web 页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻

38、击库，URL 库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL 做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案18 / 42后，不会影响到

39、其他节点。并且山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。3.2.5高性能病毒过滤对于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通信速度形成很大影响。山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也就是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。流扫描策略传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个

40、文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。文件接受扫描文件发送延迟山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，如果没有检查到病毒， 则发送数据包流。由此，用户将看到明显的延迟改善，并且他们的应用程序也将更快响应。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案19 / 4

41、2文件接收扫描文件发送延迟流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。基于策略的病毒过滤功能山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保护。3.2.6灵活高效的带宽管理功能山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能， 称为 IAI 。IAI 能够对百余种网络

42、应用进行分类，甚至包括对加密的P2P 应用（ Bit Torrent 、迅雷、 Emule 、Edonkey等）和即时消息流量进行分类。山石网科QoS 首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键网页浏览设置高优先级保证它们的带宽使用；对于P2P 下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。将山石网科的角色鉴别以及IP QoS 结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同 IP 地址及用户角色的流量优先级区分和带宽名师

43、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案20 / 42控制（入方向和出方向），这就相当于系统中可容纳最多40,000的 QoS 队列。结合应用QoS ，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP 地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。在IP QoS 里面使用应用QoS ，甚至可以对

44、每个IP 地址进行流量控制的同时，还能够对该IP 地址内部应用类型的流量进行有效管控。除了高峰时间， 用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS 功能（FlexQoS ）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS ） 既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。总之，通过采取山石网科产品所集成的带宽管理功能，可以在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP 、视频应用保证时延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分网络应用的效果都能给用户带来

45、更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能获取最高的效益和高附加值应用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案21 / 423.2.7强大的 URL 地址过滤库山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL 地址库， 具有超过 2000 万条域名的分类Web 页面库， 并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统

46、会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；全面的URL 地址库也改变了现在各个分支机构自行手动配置URL 地址的局限性，当时设备被部署到网络中后，各个设备均采用统一标准的过滤地址库，在进行URL 访问日志中也可以保持日志内容的一致性。3.2.8高性能的应用层管控能力安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。

47、好的安全功能同样需要好的硬件平台去实现。山石网科安全网关具有丰富的应用层管控能力，包括URL 地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等，能够通过简单的配置来实现敏感的URL 地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案22 / 42此外，山石网科安全网关均采用多核系统架构，

48、在性能上具有很高的处理能力，能够实现大并发处理。3.2.9高效 IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec 的硬件加速。每一个CPU 核都有一个内嵌的IPSec 处理引擎，这保证了在CPU 核数增加时， IPSec 的性能得到相应提高，不会成为瓶颈。山石网科安全网关设备的IPSec 吞吐率最高可以达到8Gbps ，达到和防火墙一样的性能和设备极限。山石网科安全网关设备支持标准IPSec 协议，能够保障与第三方VPN 进行通讯， 建立隧道并实现安全的数据传输。3.2.10高可靠的冗余备份能力山石网科安全网关能够支持设备级别的HA 解决方案， 如 A-P 和 A-A 架构。

49、山石网科的HA 解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都不会中断会话，为企业提供真正意义的网络冗余名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 42 页 - - - - - - - - - 典型中小型企业网络边界安全解决方案23 / 42解决方案。山石网科安全甚至还能够提供VPN 传输的状态同步，并包括SA 状态的同步。4 系统部署说明对于中小企业，在设计边界安全防护时，首要进

50、行的就是安全区域的划分，划分安全域是信息安全建设常采用的方法，其好处在与可以将原本比较庞大的网络划分为多个单元，根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计，保障了安全建设的针对性和差异性。安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有很多困难。在本方案中，建议按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可根据业务类型的不同，将总部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -