Hifctoce山石網科典型中小企業網絡邊界安全解決方案意見征詢稿HillstoneNetworksInc.2010年9月29日

Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案目錄TOC\o"1-5"\h\z\o"CurrentDocument"前言 .4方案目的 4方案概述 4\o"CurrentDocument"安全需求分析 6典型中小企業網絡現狀分析 .6典型中小企業網絡安全威脅 .8典型中小企業網絡安全需求 10\o"CurrentDocument"需要進行有效的訪問控制 10\o"CurrentDocument"深度應用識別的需求 11需要有效防范病毒 11\o"CurrentDocument"需要實現實名制管理 11\o"CurrentDocument"需要實現全面URL過濾 12需要實現IPSECVPN 12\o"CurrentDocument"需要實現集中化的管理 12\o"CurrentDocument"安全技術選擇 13技術選型的思路和要點 13\o"CurrentDocument"首要保障可管理性 13\o"CurrentDocument"其次提供可認證性 13\o"CurrentDocument"再次保障鏈路暢通性 14\o"CurrentDocument"最后是穩定性 14選擇山石安全網關的原因 14\o"CurrentDocument"安全可靠的集中化管理 15\o"CurrentDocument"基于角色的安全控制與審計 16\o"CurrentDocument"基于深度應用識別的訪問控制 17深度內容安全(UTMPlus?) 17\o"CurrentDocument"高性能病毒過濾 18\o"CurrentDocument"靈活高效的帶寬管理功能 19\o"CurrentDocument"強大的URL地址過濾庫 21\o"CurrentDocument"高性能的應用層管控能力 21高效IPSECVPN 22\o"CurrentDocument"高可靠的冗余備份能力 22\o"CurrentDocument"系統部署說明 23安全網關部署設計 24\o"CurrentDocument"安全網關部署說明 252/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案TOC\o"1-5"\h\z\o"CurrentDocument"部署集中安全管理中心 25\o"CurrentDocument"基于角色的管理配置 29\o"CurrentDocument"配置訪問控制策略 30\o"CurrentDocument"配置帶寬控制策略 31\o"CurrentDocument"上網行為日志管理 33實現URL過濾 35\o"CurrentDocument"實現網絡病毒過濾 36部署卬5￡€：VPN 37\o"CurrentDocument"實現安全移動辦公 38\o"CurrentDocument"方案建設效果 383/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案1前言方案目的本方案的設計對象為國內中小企業，方案中定義的中小型企業為：人員規模在2千人左右，在全國各地有分支機構，有一定的信息化建設基礎，信息網絡覆蓋了總部和各個分支機構，業務系統有支撐企業運營的ERP系統支撐企業員工處理日常事務的OA系統和對外進行宣傳的企業網站；業務集中在總部，各個分支機構可遠程訪問業務系統完成相關的業務操作。根據當前國內企業的發展趨勢，中小企業呈現出快速增長的勢頭，計算機系統為企業的管理、運營、維護、辦公等提供了高效的運行條件，為企業經營決策提供了有力支撐，為企業的對外宣傳發揮了重要的作用，因此企業對信息化建設的依賴也越來越強，但同時由于計算機網絡所普遍面臨的安全威脅，又給企業的信息化帶來嚴重的制約，互聯網上的黑客攻擊、蠕蟲病毒傳播、非法滲透等，嚴重威脅著企業信息系統的正常運行；內網的非法破壞、非法授權訪問、員工故意泄密等事件，也是的企業的正常運營秩序受到威脅，如何做到既高效又安全，是大多數中小企業信息化關注的重點。而作為信息安全體系建設，涉及到各個層面的要素，從管理的角度，涉及到組織、制度、流程、監督等，從技術的角度，設計到物理層、網絡層、主機層、應用層和運維層，本方案的重點是網絡層的安全建設，即通過加強對基礎網絡的安全控制和監控手段，來提升基礎網絡的安全性，從而為上層應用提供安全的運行環境，保障中小企業計算機網絡的安全性。方案概述本方案涉及的典型中小型企業的網絡架構為：兩級結構，縱向上劃分為總部與分支機構，總部4/43

Hillstone山石【網科典型中小型企業網絡邊界安全解決方案集中了所有的重要業務服務器和數據庫，分支機構只有終端，業務訪問則是通過專線鏈路直接訪問到總部；總部及分支機構均有互聯網出口，提供給員工進行上網訪問，同時總部的互聯網出口也作為網站發布的鏈路途徑。典型中小型企業的網絡結構可表示如下:ERP0A網站數據陣券管分支機構典型中小型企業網絡結構示意圖為保障中小企業網絡層面的安全防護能力，本方案結合山石網科集成化安全平臺，在對中小企業信息網絡安全域劃分的基礎上，從邊界安全防護的角度，實現以下的安全建設效果：實現有效的訪問控制：對員工訪問互聯網，以及員工訪問業務系統的行為進行有效控制，杜絕非法訪問，禁止非授權訪問，保障訪問的合法性和合規性；實現有效的集中安全管理：中小型企業的管理特點為總部高度集中模式，通過網關的集中管理系統，中小企業能夠集中監控總部及各個分支機構員工的網絡訪問行為，做到可視化的安全。5/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案保障安全健康上網：對員工的上網行為進行有效監控，禁止員工在上班時間使用P2P、網游、網絡視頻等過度占用帶寬的應用，提高員工辦公效率；對員工訪問的網站進行實時監控，限制員工訪問不健康或不安全的網站，從而造成病毒的傳播等；保護網站安全:對企業網站進行有效保護，防范來自互聯網上黑客的故意滲透和破壞行為；保護關鍵業務安全性：對重要的應用服務器和數據庫服務器實施保護，防范病毒和內部的非授權訪問；實現實名制的安全監控：中小型企業的特點是，主機IP地址不固定，但全公司有統一的用戶管理措施，通常通過AD域的方式來實現，因此對于訪問控制和行為審計，可實現基于身份的監控，實現所謂的實名制管理；實現總部與分支機構的可靠遠程傳輸：典型中小型企業的鏈路使用模式為，專線支撐重要的業務類訪問，互聯網鏈路平時作為員工上網使用，當專線鏈路故障可作為備份鏈路，為此通過總部與分支機構部署網關的IPSECVPN功能，可在利用備份鏈路進行遠程通訊中，保障數據傳輸的安全性；對移動辦公的安全保障：利用安全網關的SSLVPN功能，提供給移動辦公人員進行遠程安全傳輸保護，確保數據的傳輸安全性；2安全需求分析典型中小企業網絡現狀分析中小企業的典型架構為兩級部署，從縱向上劃分為總部及分支機構，總部集中了所有的重要業務服務器和數據庫，分支機構只有終端，業務訪問則是通過專線鏈路直接訪問到總部；總部及分支6/43

Hfflstane.Hfflstane.山石【網科典型中小型企業網絡邊界安全解決方案機構均有互聯網出口，提供給員工進行上網訪問，同時總部的互聯網出口也作為網站發布的鏈路途徑。雙鏈路給中小企業應用訪問帶來的好處是，業務訪問走專線，可保障業務的高可靠性；上網走互聯網鏈路，增加靈活性，即各個分支機構可根據自己的人員規模，采用合理的價格租用電信寬帶；從網絡設計上，中小企業各個節點的結構比較簡單，為典型的星形結構設計，總部因用戶量和服務器數量較高，因此核心往往采用三層交換機，通過VLAN來劃分不同的子網，并在子網內部署終端及各類應用服務器，有些中小型企業在VLAN的基礎上還配置了人^，對不同VLAN間的訪問實行控制；各分支機構的網絡結構則相對簡單，通過堆疊二層交換連接到不同終端。具體的組網結構可參考下圖：。隧幅庫網站應用而m日相網站數據庫蝎端主機運維主機典型中小企業組網結構示意圖。隧幅庫網站應用而m日相網站數據庫蝎端主機運維主機典型中小企業組網結構示意圖7/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案典型中小企業網絡安全威脅在沒有采取有效的安全防護措施，典型的中小型企業由于分布廣，并且架構在TCP/IP網絡上，由于主機、網絡、通信協議等存在的先天性安全弱點，使得中小型企業往往面臨很多的安全威脅，其中典型的網絡安全威脅包括：【非法和越權的訪問】中小型企業信息網絡內承載了與生產經營息息相關的ERP、OA和網站系統，在缺乏訪問控制的前提下很容易受到非法和越權的訪問；雖然大多數軟件都實現了身份認證和授權訪問的功能，但是這種控制只體現在應用層，如果遠程通過網絡層的嗅探或攻擊工具（因為在網絡層應用服務器與任何一臺企業網內的終端都是相通的），有可能會獲得上層的身份和口令信息，從而對業務系統進行非法及越權訪問，破壞業務的正常運行，或非法獲得企業的商業秘密，造成泄露；【惡意代碼傳播】大多數的中小企業，都在終端上安裝了防病毒軟件，以有效杜絕病毒在網絡中的傳播，但是隨著蠕蟲、木馬等網絡型病毒的出現，單純依靠終端層面的查殺病毒顯現出明顯的不足，這種類型病毒的典型特征是，在網絡中能夠進行大量的掃描，當發現有弱點的主機后快速進行自我復制，并通過網絡傳播過去，這就使得一旦網絡中某個節點（可能是臺主機，也可能是服務器）被感染病毒，該病毒能夠在網絡中傳遞大量的掃描和嗅探性質的數據包，對網絡有限的帶寬資源造成損害。【I防范ARP欺騙】大多數的中小企業都遭受過此類攻擊行為，這種行為的典型特點是利用了網絡的先天性缺陷，即兩臺主機需要通訊時，必須先相互廣播ARP地址，在相互交換IP地址和ARP地址后方可通訊，特別是中小企業都需要通過邊界的網關設備，實現分支機構和總部的互訪；ARP欺騙就是某臺主機偽裝成網關，發布虛假的ARP信息，讓內網的主機誤認為該主機就是網關，從而把跨越網段的訪問8/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案數據包（比如分支機構人員訪問互聯網或總部的業務系統）都傳遞給該主機，輕微的造成無法正常訪問網絡，嚴重的則將會引起泄密；【惡意訪問】對于中小型企業網而言，各個分支機構的廣域網鏈路帶寬是有限的，因此必須有計劃地分配帶寬資源，保障關鍵業務的進行，這就要求無論針對專線所轉發的訪問，還是互聯網出口鏈路轉發的訪問，都要求對那些過度占用帶寬的行為加以限制，避免因某幾臺終端過度搶占帶寬資源而影響他人對網絡的使用。這種惡意訪問行為包括：過度使用P2P進行大文件下載，長時間訪問網游，長時間訪問視頻網站，訪問惡意網站而引發病毒傳播，直接攻擊網絡等行為。【身份與行為的脫節】常見的訪問控制措施，還是QOS措施，其控制依據都是IP地址，而眾所周知IP地址是很容易偽造的，即使大多數的防火墻都支持IP+MAC地址綁定，MAC地址也是能被偽造的，這樣一方面造成策略的制定非常麻煩，因為中小型企業內員工的身份是分級的，每個員工因崗位不同需要訪問的目標是不同的需要提供的帶寬保障也是不同的這就需要在了解每個人的IP地址后來制定策略；另一方面容易形成控制缺陷，即低級別員工偽裝成高級別員工的地址，從而可占用更多的資源。身份與行為的脫節的影響還在于日志記錄上，由于日志的依據也是根據IP地址，這樣對發生違規事件后的追查造成極大的障礙，甚至無法追查。【拒絕服務攻擊】大多數中小型企業都建有自己的網站，進行對外宣傳，是企業對外的窗口，但是由于該平臺面向互聯網開放，很容易受到黑客的攻擊，其中最典型的就是拒絕服務攻擊，該行為也利用了現有TCP/IP網絡傳輸協議的先天性缺陷，大量發送請求連接的信息，而不發送確認信息，使得遭受攻擊9/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案的主機或網絡設備長時間處于等待狀態，導致緩存被占滿，而無法響應正常的訪問請求，表現為就是拒絕服務。這種攻擊常常針對企業的網站，使得網站無法被正常訪問，破壞企業形象；【不安全的遠程訪問】對于中小型企業，利用互聯網平臺，作為專線的備份鏈路，實現分支機構與總部的連接，是很一種提高系統可靠性，并充分利用現有網絡資源的極好辦法；另外遠程移動辦公的人員也需要通過互聯網來訪問企業網的信息平臺，進行相關的業務處理；而互聯網的開放性使得此類訪問往往面臨很多的安全威脅，最為典型的就是攻擊者嗅探數據包，或篡改數據包，破壞正常的業務訪問，或者泄露企業的商業秘密，使企業遭受到嚴重的損失。【缺乏集中監控措施】典型中小型企業的特點是，集中管理，分布監控，但是在安全方面目前尚缺乏集中的監控手段，對于各分支機構員工的上網行為，訪問業務的行為，以及總部重要資源的受訪問狀態，都沒有集中的監控和管理手段，一旦發生安全事件，將很難快速進行察覺，也很難有效做出反應，事后也很難取證，使得企業的安全管理無法真正落地。典型中小企業網絡安全需求針對中小企業在安全建設及運維管理中所暴露出的問題，山石網科認為，應當進行有針對性的設計和建設，最大化降低威脅，并實現有效的管理。需要進行有效的訪問控制網絡安全建設的首要因素就是訪問控制，控制的核心是訪問行為應實現對非許可訪問的杜絕，限制員工對網絡資源的使用方式。10/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案中小企業的業務多樣化，必然造成訪問行為的多樣化，因此如何有效鑒別正常的訪問，和非法的訪問是非常必要的，特別是針對中小企業員工對互聯網的訪問行為，應當采取有效的控制措施，杜絕過度占用帶寬的訪問行為，保障正常的業務和上網訪問。對于中小企業重要的應用服務器和數據庫資源，應當有效鑒別出合法的業務訪問，和可能的攻擊訪問行為，并分別采取必要的安全控制手段，保障關鍵的業務訪問。深度應用識別的需求引入的安全控制系統，應當能夠支持深度應用識別功能，特別是對使用動態端口的P2P和IM應用，能夠做到精準鑒別，并以此為基礎實現基于應用的訪問控制和QOS，提升控制和限制的精度和力度。對于分支機構外來用戶，在利用分支機構互聯網出口進行訪問時，基于身份識別做到差異化的控制，提升系統總體的維護效率。需要有效防范病毒在訪問控制的技術上，需要在網絡邊界進行病毒過濾，防范病毒的傳播；在互聯網出口上要能夠有效檢測出掛馬網站，對訪問此類網站而造成的病毒下發，能夠快速檢測并響應；同時也能夠防范來自其他節點的病毒傳播。需要實現實名制管理應對依托IP地址進行控制，QOS和日志的缺陷，應實現基于用戶身份的訪問控制、QOS、日志記錄，應能夠與中小企業現有的安全準入系統整合起來，當員工接入辦公網并對互聯網訪問時，11/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案先進行準入驗證，驗證通過后將驗證信息PUSH給網關，網關拿到此信息，在用戶發出上網請求時，根據IP地址來索引相關的認證信息，確定其角色，最后再根據角色來執行訪問控制和帶寬管理。在日志記錄中，也能夠根據確定的身份來記錄，使得日志可以方便地追溯到具體的員工。2?3.5需要實現全面URL過濾應引入專業性的URL地址庫，并能夠分類和及時更新，保障各個分支機構在執行URL過濾策略是，能夠保持一致和同步。需要實現IPSECVPN利用中小企業現有的互聯網出口，作為專線的備份鏈路，在不增加鏈路投資的前提下，使分支機構和總公司的通信得到更高的可靠性保障。但是由于互聯網平臺的開放性，如果將原本在專線上運行的ERP、OA、視頻會議等應用切換到互聯網鏈路上時，容易遭到竊聽和篡改的風險，為此需要設備提供IPSECVPN功能，對傳輸數據進行加密和完整性保護，保障數據傳輸的安全性。需要實現集中化的管理集中化的管理首先要求日志信息的集中分析，各個分支機構既能夠在本地查看詳細的訪問日志，總部也能夠統一查看各個分支機構的訪問日志，從而實現總部對分支機構的有效監管。總部能夠統一對各個分支機構的安全設備進行全局性配置管理，各個分支機構也能夠在不違背全局性策略的前提下，配置符合本節點特點的個性化策略。由于各個廠商的技術壁壘不同產品的功能差異，因此要實現集中化管理的前提就是統一品牌，12/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案統一設備，而從投資保護和便于維護的角度，中小企業應當選擇具有多種功能的安全網關設備。3安全技術選擇技術選型的思路和要點現有的安全設備無法解決當前切實的安全問題，也無法進一步擴展以適應當前管理的需要，因此必須進行改造，統一引入新的設備，來更好地滿足運行維護的要求，在引入新設備的時候，必須遵循下屬的原則和思路。首要保障可管理性網絡安全設備應當能夠被集中監控，由于安全網關部署在中小企業辦公網的重要出口上，詳細記錄了各節點的上網訪問行為，因此對全網監控有著非常重要的意義，因此系統必須能夠被統一管理起來，實現日志行為，特別是各種防護手段形成的記錄進行集中的記錄與分析。此外，策略也需要分級集中下發，總部能夠統一下發集中性的策略，各分支機構可根據自身的特點，在不違背全局性策略的前提下，進行靈活定制。其次提供可認證性設備必須能夠實現基于身份和角色的管理，設備無論在進行訪問控制，還是在QOS，還是在日志記錄過程中，依據必須是真實的訪問者身份，做到精細化管理，可追溯性記錄。對于中小企業而言，設備必須能夠與中小企業的AD域管理整合，通過AD域來鑒別用戶的身份和角色信息，并根據角色執行訪問控制和QOS，根據身份來記錄上網行為日志。13/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案再次保障鏈路暢通性對于多出口鏈路的分支機構，引入的安全設備應當支持多鏈路負載均衡，正常狀態下設備能夠根據出口鏈路的繁忙狀態自動分配負載，使得兩條鏈路都能夠得到充分利用；在某條鏈路異常的狀態下，能夠自動切換負載，保障員工的正常上網。目前中小企業利用互聯網的主要應用就是上網瀏覽因此系統應提供強大的URL地址過濾功能，對員工訪問非法網站能夠做到有效封堵這就要求設備應提供強大的URL地址庫，并能夠自動升級，降低管理難度，提高控制精度。中小企業的鏈路是有限的，因此應有效封堵P2P、IM等過度占用帶寬的業務訪問，保障鏈路的有效性。最后是穩定性選擇的產品必須可靠穩定，選擇產品形成的方案應盡量避免單點故障，傳統的網絡安全方案總是需要一堆的產品去解決不同的問題，但這些產品接入到網絡中，任何一臺設備故障都會造成全網通信的故障，因此采取集成化的安全產品應當是必然選擇。另外，安全產品必須有多種穩定性的考慮，既要有整機穩定性措施，也要有接口穩定性措施，還要有系統穩定性措施，產品能夠充分應對各種突發的情況，并保持系統整體工作的穩定性。選擇山石安全網關的原1基于中小企業的產品選型原則，方案建議采用的山石網科安全網關，在多核PlusG2硬件架構的基礎上，采用全并行架構，實現更高的執行效率。并綜合實現了多個安全功能，完全能夠滿足中小企業安全產品的選型要求。14/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案山石網科安全網關在技術上具有如下的安全技術優勢，包括:安全可靠的集中化管理山石網科安全管理中心采用了一種全新的方法來實現設備安全管理，通過提供集中的端到端生命周期管理來實現精細的設備配置、網絡設置、VPN配置和安全策略控制。山石網科安全管理中心可以清楚地分配角色和職責，從而使設備技術人員、網絡管理員和安全管理員通過相互協作來提高網絡管理效率，減少開銷并降低運營成本。利用山石網科安全管理中心，可以為特定用戶分配適當的管理接入權限（從只讀到全面的編輯權限）來完成多種工作。可以允許或限制用戶接入信息，從而使用戶可以作出與他們的角色相適應的決策。山石網科安全管理中心的一個關鍵設計理念是降低安全設備管理的復雜性，同時保證足夠的靈活性來滿足每個用戶的不同需求。為了實現這一目標，山石網科安全管理中心提供了一個綜合管理界面以便從一個集中位置上控制所有設備參數。管理員只需要點擊幾下鼠標就可以配置設備、創建安全策略或管理軟件升級。同時，只要是能夠通過山石網科安全管理中心進行配置的設備都可以通過^【接入。山石網科安全管理中心還帶有一種高性能日志存儲機制，使IT部門可以收集并監控關鍵方面的詳細信息，如網絡流量、設備狀態和安全事件等。利用內置的報告功能，管理員還可以迅速生成報告來進行調查研究或查看是否符合要求。山石網科安全管理中心采用了一種3層的體系結構，該結構通過一條基于TCP的安全通信信道-安全服務器協議（SSP）相連接。SSP可以通過AES加密和SHA1認證來提供受到有效保護的端到端的安全通信功能。利用經過認證的加密TCP通信鏈路，就不需要在不同分層之間建立VPN隧15/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案道，從而大大提高了性能和靈活性。山石網科安全管理中心提供統一管理功能，在一個統一界面中集成了配置、日志記錄、監控和報告功能，同時還使網絡管理中心的所有工作人員可以協同工作。山石網科網絡公司的集中管理方法使用戶可以在安全性和接入便利性之間達成平衡，對于安全網關這類安全設備的大規模部署非常重要。基于角色的安全控制與審計針對傳統基于IP的訪問控制和資源控制缺陷，山石網科采用RBNS（基于身份和角色的管理）技術讓網絡配置更加直觀和精細化，不同基于角色的管理模式主要包含基于"人"的訪問控制、基于"人"的網絡資源服務）的分配、基于"人"的日志審計三大方面。基于角色的管理模式可以通過對訪問者身份審核和確認，確定訪問者的訪問權限，分配相應的網絡資源。在技術上可避免P盜用或者PC終端被盜用引發的數據泄露等問題。另外，在采用了RBNS技術后，使得審計記錄可以直接反追溯到真實的訪問者，更便于安全事件的定位。在本方案中，利用山石網科安全網關的身份認證功能，可結合AD域認證等技術，提供集成化的認證+控制+深度檢測+行為審計的解決方案，當訪問者需跨網關訪問時，網關會根據確認的訪問者身份，自動調用郵件系統內的郵件組信息，確定訪問者角色，隨后根據角色執行訪問控制，限制其訪問范圍，然后再對訪問數據包進行深度檢測，根據角色執行差異化的QOS，并在發現非法的訪問，或者存在可疑行為的訪問時，記錄到日志提供給系統員進行事后的深度分析。16/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案基于深度應用識別的訪問控制中小型企業的主要業務應用系統都建立在HTTP/HTTPS等應用層協議之上，新的安全威脅也隨之嵌入到應用之中，而傳統基于狀態檢測的防火墻只能依據端口或協議去設置安全策略，根本無法識別應用，更談不上安全防護。Hillstone山石網科新一代防火墻可以根據應用的行為和特征實現對應用的識別和控制，而不依賴于端口或協議，即使加密過的數據流也能應付自如。StoneOS?識別的應用多達幾百種，而且跟隨著應用的發展每天都在增加；其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協議的應用。同時，應用特征庫通過網絡服務可以實時更新，無須等待新版本軟件發布。深度內容安全(UTMPlus?)山石網科安全網關可選UTMPlus?軟件包提供病毒過濾，入侵防御，內容過濾，上網行為管理和應用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網絡的攻擊。關鍵字過濾和基于超過2000萬域名的Web頁面分類數據庫可以幫助管理員輕松設置工作時間禁止訪問的網頁，提高工作效率和控制對不良網站的訪問。病毒庫，攻擊庫，URL庫可以通過網絡服務實時下載，確保對新爆發的病毒、攻擊、新的URL做到及時響應。由于中小企業包含了多個分支機構，一旦因某個節點遭到惡意代碼的傳播，病毒將會很快在企業的網絡內傳播，造成全網故障。在使用了山石網科安全網關后，并在全網各個節點的邊界部署后，將在邏輯上形成不同的隔離區，一旦某個節點遭遇到病毒攻擊17/43Hfflstane山石網科典型中小型企業網絡邊界安全解決方案后，不會影響到其他節點。并且山石支持硬件病毒過濾技術，在邊界進行病毒查殺的時候，對性能不會造成過多影響。高性能病毒過濾對于中小企業而言，在邊界進行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網絡型病毒的有效工具，但是傳統病毒過濾技術由于需要在應用層解析數據包，因此效率很低，導致開啟病毒過濾后對全網的通信速度形成很大影響。山石安全網關在多核的技術上，對病毒過濾采取了全新的流掃描技術，也就是所謂的邊檢測邊傳輸技術，從而大大提升了病毒檢測與過濾的效率。流掃描策略傳統的病毒過濾掃描是基于文件的。這種方法是基于主機的病毒過濾解決方案實現的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個文件，然后開始掃描，最后再將文件發送出去。從發送者發送出文件到接收者完成文件接收，會經歷長時間延遲。對于大文件，用戶應用程序可能出現超時。TOC\o"1-5"\h\z文件接受 I ?I ?掃描一i iI Ij I 文件發送i i——延遲 ?山石網科掃描引擎是基于流的，病毒過濾掃描引擎在數據包流到達時進行檢查，如果沒有檢查到病毒，則發送數據包流。由此，用戶將看到明顯的延遲改善，并且他們的應用程序也將更快響應。18/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案延遲流掃描技術僅需要緩存有限數量的數據包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時掃描。出于對高性能、低延遲、高可升級性的首要考慮，流掃描技術適合網關病毒過濾解決方案。基于策略的病毒過濾功能山石網科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進行病毒過濾掃描，哪些用戶或者用戶組進行掃描，以及哪些服務器和應用被保護。靈活高效的帶寬管理功能山石網科產品提供專有的智能應用識別（IntelligentApplicationIdentification功能，稱為IAI。IAI能夠對百余種網絡應用進行分類，甚至包括對加密的P2P應用（Bit化代口上迅雷、Emule、Edonkey等）和即時消息流量進行分類。山石網科QoS首先根據流量的應用類型對流量進行識別和標記。然后，根據應用識別和標記結果對流量帶寬進行控制并且區分優先級。一個典型應用實例是：用戶可以為關鍵網頁瀏覽設置高優先級保證它們的帶寬使用；對于P2P下載流量，用戶可以為它們設置最低優先級并且限制它們的最大帶寬使用量。將山石網科的角色鑒別以及IPQoS結合使用，用戶可以很容易地為關鍵用戶控制流量并區分流量優先級。山石網科設備最多可支持20,000個不同IP地址及用戶角色的流量優先級區分和帶寬19/43

Hillston^Hillston^山石【網科典型中小型企業網絡邊界安全解決方案控制（入方向和出方向），這就相當于系統中可容納最多40,000的QoS隊列。MI5SI0M-CRITICAIAPPUCAHOMSBANDWIDTHOPTIMIZEDCRITICALAPPUCAHOHSGUARANTEGDBANDWIDTHMI5SI0M-CRITICAIAPPUCAHOMSBANDWIDTHOPTIMIZEDCRITICALAPPUCAHOHSGUARANTEGDBANDWIDTH結合應用QoS，山石網科設備可提供另一層的流量控制。山石網科設備可以為每個用戶控制應用流量并對該用戶的應用流量區分優先級。例如，對于同一個IP地址產生的不同流量，用戶可以基于應用分類結果指定流量的優先級。在IPQoS里面使用應用QoS，甚至可以對每個IP地址進行流量控制的同時，還能夠對該IP地址內部應用類型的流量進行有效管控。除了高峰時間，用戶經常會發現他們的網絡帶寬并沒有被充分利用。山石網科的彈性QoS功能（FlexQoS）能夠實時探測網絡的出入帶寬利用率，進而動態調整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網絡使用性能。總之，通過采取山石網科產品所集成的帶寬管理功能，可以在用戶網絡中做到關鍵應用優先，領導信息流量優先，非業務應用限速或禁用，VoIP、視頻應用保證時延低、無抖動、音質清晰、圖片清楚，這些有效管理帶寬資源和區分網絡應用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應用，使得昂貴的帶寬能獲取最高的效益和高附加值應用。20/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案強大的URL地址過濾庫山石網科結合中國地區內容訪問的政策、法規和習慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當中小企業辦公網用戶訪問了不健康、反動、不安全的網站時，系統會根據不同的策略，進行報警、日志、阻斷等動作，實現健康上網；全面的URL地址庫也改變了現在各個分支機構自行手動配置URL地址的局限性，當時設備被部署到網絡中后，各個設備均采用統一標準的過濾地址庫，在進行URL訪問日志中也可以保持日志內容的一致性。高性能的應用層管控能力安全和速度始終是兩個對立面的事物。追求更高的網絡安全是需要以犧牲網絡通訊速度為代價的，而追求更高的網絡通訊速度則需要降低網絡安全標準。在目前依賴于網絡應用的時代，能夠做到應用層的安全檢測以及安全防護功能是所有安全廠商的目標。由于應用層的檢測需要進行深度的數據包解析，而使用傳統網絡平臺所帶來的網絡延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現。山石網科安全網關具有豐富的應用層管控能力，包括URL地址過濾功能、網頁內容關鍵字過濾功能、網頁敏感文件過濾功能、網頁控件過濾功能、協議命令控制功能等，能夠通過簡單的配置來實現敏感的URL地址、敏感關鍵字以及敏感文件等內容過濾，防止潛在的安全風險。21/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案止的卜，山石網科安全網關均采用多核系統架構，在性能上具有很高的處理能力，能夠實現大并發處理。高效IPSECVPN所有的山石網科安全網關設備都支持對IPSec的硬件加速。每一個CPU核都有一個內嵌的IPSec處理引擎，這保證了在CPU核數增加時，IPSec的性能得到相應提高，不會成為瓶頸。山石網科安全網關設備的IPSec吞吐率最高可以達到8Gbps，達到和防火墻一樣的性能和設備極限。山石網科安全網關設備支持標準IPSec協議，能夠保障與第三方VPN進行通訊，建立隧道并實現安全的數據傳輸。高可靠的冗余備份妣山石網科安全網關能夠支持設備級別的HA解決方案，如A-P和A-A架構。山石網科的HA解決方案能夠為網絡層提供會話級別的狀態同步機制，保證在設備切換過程中數據傳輸的連續性及網絡的持久暢通，甚至在設備進行主備切換的時候都不會中斷會話，為企業提供真正意義的網絡冗余22/43HiUstune山石網科典型中小型企業網絡邊界安全解決方案解決方案。山石網科安全甚至還能夠提供VPN傳輸的狀態同步，并包括SA狀態的同步。4系統部署說明對于中小企業，在設計邊界安全防護時，首要進行的就是安全區域的劃分，劃分安全域是信息安全建設常采用的方法，其好處在與可以將原本比較龐大的網絡劃分為多個單元，根據不同單元的資產特點、支撐業務類型分別進行安全防護系統的設計，保障了安全建設的針對性和差異性。安全域的定義是同一安全域內的系統有相同安全保護需求、并相互信任。但以此作為安全區域劃分原則，可操作性不強，在實際劃分過程中有很多困難。在本方案中，建議按照資產重要性以及支撐的業務類型，縱向上可劃分為總部及分支機構域，從資產角度可根據業務類型的不同，將總部23/43

Hiflstane'Hiflstane'山石網科典型中小型企業網絡邊界安全解決方案信息網絡劃分為ERP域、OA域、網站域、終端域和運維域等，而分支機構的域相對簡單，由于只有終端，因此不再細分。安全網關部署設計劃分安全域后，可在所有安全域的邊界，特別是重要的業務系統安全域的邊界配置安全網關即可，配置后形成的邊界安全部署方案可參考下圖：ERP賓全城E如應用距各器 ER嗑菌庫露北京綣端二機OA-^i^口網應用器器8.JERP賓全城E如應用距各器 ER嗑菌庫露北京綣端二機OA-^i^口網應用器器8.J廂隼運堆主機山石安全管理中心修運主機；終端箕全域 I終端主機 ； 終端主機終端安全域分支機構1就'就3分支機構2：ft缸射前?分支機構m部署要點：通過總部配置的山石網科安全管理中心，集中監管各個分支機構邊界部署的山石網科安全網關，對日志進行集中管理；同時各個分支機構本地也部署管理終端，在本地對網關進行監管；24/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案縱向鏈路的出口分別部署安全網關，實現對中小企業網的縱向隔離，對分支機構的上訪行為進行嚴格控制，杜絕非法或非授權的訪問；安全網關啟用源地址轉換策略，在終端上網過程中進行轉換，保障內網用戶上網的要求，同時啟用相應的日志，對上網行為進行有效記錄；安全網關在分支機構上網出口的鏈路上，運用深度應用識別技術，有效鑒別出哪些是合法的HTTP應用，哪些是過度占用帶寬的P2P和IM應用，對P2P和IM通過嚴格的帶寬限制功能能進行及限制，并對HTTP執行保障帶寬策略，保障員工正常上網行為；安全網關與中小企業的AD域認證整合，在確認訪問者身份的基礎上，進行實名制的訪問控制，QOS控制，以及上網行為審計；安全網關內置全面的URL地址庫，用以對員工的訪問目標地址進行分類，對于非法網站進行封堵，且URL地址庫能夠自動升級，保障了該功能的持續性和完整性；安全網關運用IPSECVPN技術，實現與總部的加密傳輸，作為現有專線的備份鏈路，在不增加投資的前提下提升系統的可靠性。安全網關運用SSLVPN技術，對移動辦公用戶配發USBKEY，當其需要遠程訪問企業網時，利用USBKEY與總部互聯網出口的安全網關建立VPN加密隧道，從而實現了安全可靠的遠程訪問。安全網關部署說明部署集中安全管理中心通過在總部部署山石網科安全管理中心，然后對分布在各個分支機構邊界的安全網關進行配置，25/43

Hillstone山石網科Hillstone山石網科典型中小型企業網絡邊界安全解決方案使網關接受管理中心的集中管理來實現，并執行如下的集中監管。設備設備設備管理包括域管理和設備組管理，域和設備組都是用來組織被管理設備的邏輯組，域包含設備組。通過域的使用，可以實現設備的區域化管理；而通過設備組的使用，可以進一步將域中的設備進行細化分組管理。一臺設備可以同時屬于多個域或者設備組。只有超級管理員可以執行域的操作以及添加設備和徹底刪除設備，普通管理員可以執行設備組的操作，將設備從設備組中刪除。設備基本信息監管顯示設備的基本信息，例如設備主機名稱、設備序列號、管理ip、設備運行時間、接口狀態以及AV相關信息等。通過客戶端可查看的設備屬性信息包括：設備基本信息以及設備實時統計信息，包括實時資源使用狀態、會話數、總流量、VPN隧道數、攻擊數以及病毒數。系統通過曲線圖顯示以上實時信息，使用戶能夠直觀的了解當前設備的各種狀態。26/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案日^瀏覽山石網科安全管理中心接收設備發送的多種日志信息，經過系統處理后，用戶可通過客戶端進行多維度、多條件的瀏覽。山石網科安全管理中心支持通過以下種類進行日志瀏覽：?系統日志?配置日志?會話日志?地址轉換日志?上網日志IH "J 印1￡? X略I" +：UF*'「M由］出留名稀時間 用戶用戶IPUR囊別域名mG515QZOlM&ffiOaiQOB-132.lG6.ZQ6nUncdleyciMhllp'i^'piaqur^■jrnLca(Til>，F<]d.MEbr^-Q--±i：-3li￡bi:aldML'dalE^ALLLanD允許G5150amoo^oao&iaiG192.1G&1S4SSNShllu/JmE恥Lchdboinu.匚口rrv4[:urtinrl匚口list□halaTurAlZTJ3ZZflBHlc...先而G515D201M&ffiOaiQ07-132.1G6.116.725N5hllT^gegTen匚[im/ibaej'&awda允許G51502D1MM&051QHJ3甑KhErSWhllD.i^DlDsmsnnnuccm.^bioTieft.l￡!rf.3Ldf?uptt27^rE33T52BEF...AWG51502ni&o&cec&iQ041921Gd62.101Gmk他田e卬hiio以6口二9二:gUi]cttrihttD oaconv1o?zr^：IMoe?先詳G5刖20im(B08t1Q05192168.116.35eachErcrfitPhHu."匚k.bLdigd<-ie；?gaju.匚um:B03Ql/匚h?kbJt許G5150ani&o&cec&iQOG-1321G&1E4S弓網:把田e卬hII口”ML：口之：口i］優加打』>^?、加二火山|：11~|&4>'七±|比啾植浦及詳G515U201[t?ffiL&lQ05 -192.1G&11&3SeeichErQine&P...hH口匚n匚bLched^±.±aqau匚口m/uhEukip允許G5150201&D&CSC&1Q0G -1921GeH1EL3弓網:把田y股hiio h白d』ccdn'r：ai?i?￡?Hk北詳G5150201MEMBOaiQ05-192.1E6.116.35McHEricirH&P...hll口?/7dri~.bic:hEi:kk5口口口LtcanJc卜gckia免許G5150加但吩1U既192166.116.3SeerchErcretPMl口."nLiaWRCutPiTi/ricdei出:龍詳G5150201IM&ffiOaiQ0E-192.1GB.116.3SMchErcirK&P...hHprfJurrd.biuhUskuqaitEr口口叩出曲kip免許G5150MICK&CeffilQDS-192.16&11&33陽由ErgWhHn.r1，匚lu.bLdiqd^iE.Kaou.匚unv1匚hEuku龍用G515D201M&ffiaaiO05-i眨i膽釣inUIehiiD'//canlshwuu.ccNH口Hsid力口qnoEmishrdtomucH；.Hml允許G6150aniM&090&1Q1D192.1G&62101UlBhllu.“日口um□工口口.匚onilttD.iVaianKi2ag上urn/c:131dl?jnaycjd/d&j龍汗G515D：2D1&DeffiC&1CH3-192.1GQ15LU5Conpuleis^Tech..Mm"rrtSri或內：：：「舊的h凸*蛤目4dSN1比吱用dHSNTcd坨詳G51502Oi&c&cecBnaoe192.1瞄3Q108hHD.i^/limkdl.wEbGiangjRrTLcn/lijnuliDrJiieivwGdlE.Dtti尤汗G515D201&D&CSC&1Q0G1921G662.101?Ii口"白口口?仙口口1ori*tto“3X20cnm*布：c：口切上/ca0min>此許G515DzoiM&ffioaiaoB-192.1E6.15.JB■■hll口“/Vunc口15qqUDnbiqranfc/DhDtD/zunp^phQtnTu'iuKi.hbrTil死許G515D201&Ce-D9C&1Q0G -1921G&62.101him//oaidsi?afl.ccmH:lD：/A>aid小二的anttm/DiDKvccm加摘M件.評流量監控山石網科安全管理中心可以實時監控以下對象的流量，并在客戶端通過餅狀圖或者柱狀圖直觀B.顯示.?設備接口（TOP10）27/43

Hfflstane'Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案指定接口TOP10IP,進而可以查看指定IP的TOP10應用的流量指定接口TOP10應用，進而可以查看指定應用的TOP10IP的流量柱狀圖可分別按照上行流量、下行流量或者總流量進行排序；餅狀圖可分別根據上行流量、下行流量或者總流量顯示不同的百分比。san由TOF1應用茄月監控上行旅量三］J講狀圖3san由TOF1應用茄月監控上行旅量三］J講狀圖3柱狀圖 與匯應.用T的TCIPIP口耕明畫||?li拄狀圖］孑淀應用下的TOFIF攻擊監控山石網科安全管理中心可以實時監控以下對象的攻擊情況，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：設備接口遭受攻擊（TOP10）指定接口發起攻擊TOP10IP，進而可以查看指定IP發起的TOP10攻擊類型指定接口TOP10攻擊類型，進而可以查看發起指定攻擊類型的TOP10IPVPN監控山石網科安全管理中心可以實時監控被管理設備的IPSecVPN和SCVPN隧道流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示。28/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案基于角色的管理配置對于中小企業辦公網而言，終端使用者的身份不盡相同，因此其訪問權限，對資源的要求等也不盡相同，實現差異化的訪問控制與資源保障。對此可通過山石網科安全網關的RBNS（基于身份和角色的管理）策略來實現。RBNS包含三個部分：用戶身份的認證、用戶角色的確定、基于角色控制和服務。在訪問控制部分，通過RBNS實現了基于用戶角色的訪問控制，使得控制更加精準；在QOS部分，通過RBNS實現了基于角色的帶寬控制，使得資源分配更加貼近中小企業辦公網的管理模式；在會話限制部分，通過RBNS實現了基于角色的并發限制，對于重要用戶放寬并發連接的數量，對于非重要用戶則壓縮并發連接的數量；在上網行為管理部分，通過RBNS實現了基于角色的上網行為管理；在審計部分，通過RBNS實現實名制審計，使審計記錄能夠便捷地追溯到現實的人員。在整合了AD域以及郵件系統后的實名制管理與控制方案后，在員工上網訪問過程中實現精細化的管理，大大降低了單純依靠IP地址帶來的安全隱患，也降低了配置策略的難度，還提升了日志的可追溯性；29/43Hfflstane'Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案AD域服務器角色管理服務捐山石口網關恨據所照二匿照訪問控制規則和Q。庶略AD域服務器角色管理服務捐山石口網關恨據所照二匿照訪問控制規則和Q。庶略r菊發上網靖忒r并對行為進行記錄,分公司上網員工O整合后實名制監管過程示意圖配置訪問控制策略山石網科多核安全網關可提供廣泛的應用層監控、統計和控制過濾功能。該功能能夠對FTP、HTTP、P2P應用、IM以及VoIP語音數據等應用進行識別，并根據安全策略配置規則，保證應用的正常通信或對其進行指定的操作，如監控、流量統計、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術，使設備能夠適應復雜的網絡環境，即使在完整的應用層數據被分片傳送且分片出現失序、亂序的情況下，也能有效的獲取應用層信息，從而保證安全策略的有效實施。山石網科安全網關，作用在中小企業的互聯網出口鏈路上，通過訪問控制策略，針對訪問數據包，根據數據包的應用訪問類型，進行控制，包括：30/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案限制不被許可的訪問類型：比如在只允許進行網頁瀏覽、電子郵件、文件傳輸，此時當終端用戶進行其他訪問（比如P2P），即使在網絡層同樣使用TCP80口進行訪問數據包的傳送，但經過山石網科安全網關的深度應用識別后，分析出真實的應用后，對P2P和IM等過度占用帶寬的行為進行限制；限制不被許可的訪問地址：山石網科結合中國地區內容訪問的政策、法規和習慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當中小企業辦公網用戶訪問了不健康、反動、不安全的網站時，系統會根據不同的策略，進行報警、日志、阻斷等動作，實現健康上網；基于身份的訪問控制：傳統訪問控制的基礎是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特別是根據不同IP地址配置不同強度的訪問控制規則時，通過修改IP地址可以獲得較寬松的訪問限制，及時采用了IP+MAC綁定，但修改MAC也不是難事。山石網科安全網關支持與第三方認證的結合，可實現基于"實名制"下的訪問控制，將大大提升了訪問控制的精度。配置帶寬控制策略針對外網的互聯網出口鏈路，承載了員工上網的訪問，因此必須應采取帶寬控制，來針對不同訪問的重要級別，提供差異化的帶寬資源。（可以實現基于角色的QOS）基于角色的流量管理基于山石網科的多核PlusG2安全架構，StoneOS?Qos將Hillstone山石網科的行為控制以及IPQoS結合使用，用戶可以很容易地為關鍵用戶控制流量并區分流量優先級。山石網科設備最多可支持20,000個不同角色的流量優先級區分和帶寬控制（入方向和出方向，這就相當于系統31/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案中可容納多于40,000的QoS隊列。結合應用QoS,山石網科設備可提供另一層的流量控制。山石網科設備可以為每個用戶控制應用流量并對該用戶的應用流量區分優先級。例如，對于同一個角色產生的不同流量，用戶可以基于應用分類結果指定流量的優先級。對應用控制流量和區分優先級山石網科提供專有的智能應用識別IntelligentApplicationIdentification功能簡稱為IAI。IAI能夠對百余種網絡應用進行分類，甚至包括對加密的P2P應用（Bit化代口上迅雷、Emule、Edonkey等）和即時消息流量進行分類；Hillstone山石網科還支持用戶自定義的流量，并對自定義流量進行分類；同時山石網科可以結合強大的policy對流量進行分類。山石網科QoS首先根據流量的應用類型對流量進行識別和標記。然后，根據應用識別和標記結果對流量帶寬進行控制并且區分優先級。一個典型應用實例是：用戶可以為關鍵的ERP和OA流量設置高優先級保證它們的帶寬使用；對于網頁瀏覽和P2P下載流量，用戶可以為它們設置最低優先級并且限制它們的最大帶寬使用量。網吧用戶可以用這種方法控制娛樂流量并對娛樂流量區分優先級。帶寬利用率最大化除了高峰時間，用戶經常會發現他們的網絡帶寬并沒有被充分利用。Hillstone山石網科的彈性QoS功能（FlexQoS）能夠實時探測網絡的出入帶寬的利用率，進而動態調整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網絡使用性能。彈性QoS還允許用戶進行更加精細的控制，允許某一類的網絡使用者享有彈性QoS，另外一類不享有彈性QoS。以此功能用戶可以為網絡使用者提供差分服務。實時流量監控和統計山石網科QoS解決方案提供各種靈活報告和監控方法，幫助用戶查看網絡狀況。用戶可以輕松查看接口帶寬使用情況、不同應用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網科設備32/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案提供帶寬使用情況的歷史記錄，為將來分析提供方便。同時用戶還可以自己定制想要的統計數據。上網行為日志管理通過山石網科安全網關，在實現分支機構員工上網訪問控制和QOS控制的基礎上，對行為進行全面記錄，來控制威脅的上網行為，并結合基于角色的管理技術，實現"實名制"審計，在本方案中將配置執行如下的安全策略：?網絡應用控制策略規則網絡應用控制策略規則，是根據名稱、優先級、用戶、時間表、網絡行為以及控制動作構成上網行為管理策略規則的基本元素。通過WebUI配置上網行為管理策略規則，需要進行下列基本元素的配置：策略規則名稱-上網行為管理策略規則的名稱。優先級-上網行為管理策略規則的優先級。當有多條匹配策略規則的時候，優先級高的策略規則會被優先使用。用戶-上網行為管理策略規則的用戶，即發起網絡行為的主體，比如某個用戶、用戶組、角色、IP地址等。時間表-上網行為管理策略規則的生效時間，可以針對不同用戶控制其在特定時間段內的網絡行為。網絡行為-具體的網絡應用行為，比如MSN聊天、網頁訪問、郵件發送、論壇發帖等。控制動作-針對用戶的網絡行為所采取的控制動作，比如允許、拒絕某網絡行為或者對該行為或者內容進行日志記錄等。33/43Hfflstane'山石網科典型中小型企業網絡邊界安全解決方案網頁內容控制策略規則網頁內容控制策略規則包括URL過濾策略規則和關鍵字過濾策略規則。網頁內容控制策略規則能夠對用戶訪問的網頁進行控制。URL過濾策略規則可以基于系統預定義的URL類別和用戶自定義的URL類別，對用戶所訪問的網頁進行過濾。關鍵字過濾策略規則可以基于用戶自定義的關鍵字類別，對用戶所訪問的網頁進行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關鍵字的HTTPS加密網頁進行過濾。外發信息控制策略規則外發信息控制策略規則包括Email控制策略規則和論壇發帖控制策略規則，能夠對用戶的外發信息進行控制。Email控制策略規則能夠對通過SMTP協議發送的郵件和Webmail外發郵件進行控制，可以根據郵件的收件人、發件人、內容關鍵字、附件名稱和附件大小對郵件的發送進行限制。同時能夠通過SSL代理功能控制Gmail加密郵件的發送。論壇發帖控制策略規則能夠對通過HTTPPost方法上傳的含有某關鍵字的內容進行控制如阻斷內網用戶在論壇發布含有指定關鍵字的帖子。例外設置對于特殊情況下不需要上網行為管理策略規則進行控制的對象，可以通過例外設置實現。例外設置包括免監督用戶、黑白名單和Bypass域名。34/43Hfflstane'Hfflstane'山石【網科典型中小型企業網絡邊界安全解決方案/鼻病上網行為目神口中融與駛會公司通過本地存健的日志家審計員工上網行為/鼻病上網行為目神口中融與駛會公司通過本地存健的日志家審計員工上網行為分級日志管理模式示意圖4.2.6實4.2.6實3URL過濾山石網科結合中國地區內容訪問的政策、法規和習慣量身定制了強大的URL地址庫，包含數千萬條域名的分類web頁面庫，并能夠實時同步更新，該地址庫將被配置在所有分支機構出口的山石安全網關上，對員工訪問的目標站點進行檢查，保障健康上網。山石網科提供的URL過濾功能包含以下組成部分：黑名單：包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數不同。白名單：包含允許訪問URL。不同平臺白名單包含的最大URL條數不同。關鍵字列表：如果URL中包含有關鍵字列表中的關鍵字，則PC不可以訪問該URL。不同平臺關鍵字列表包含的關鍵字條目數不同。35/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案不受限IP:不受URL過濾配置影響，可以訪問任何網站。只允許用域名訪問：如果開啟該功能，用戶只可以通過域名訪問Internet，IP地址類型的URL將被拒絕訪問。只允許訪問白名單里的URL：如果開啟該功能，用戶只可以訪問白名單中的URL,其它地址都會被拒絕。實現網絡病毒過濾隨著病毒技術的發展，網絡型病毒（比如蠕蟲、木馬等）已經被廣泛應用了，這種病毒的特點是沒有宿主就可以傳播，在網絡中快速掃描，只要發現網絡有許可的行為，就能夠快速傳播，其危害除了對目標主機造成破壞，在傳播過程中也產生大量的訪問，對網絡流量造成影響，對此傳統在主機上進行病毒查殺是不足的，對此問題就產生了病毒過濾網關，該系統類似于防火墻，采用〃空中抓毒〃技術，工作在網絡的關鍵節點，對經過網關的數據包進行過濾，在判斷為是病毒的時候進行阻斷，防止病毒利用網絡進行傳播。這里建議中小企業可利用安全網關的病毒過濾技術，對各個安全域在實行訪問控制的同時，進行有效的病毒過濾，杜絕某個安全域內（比如終端區域）的主機感染了病毒，該病毒無法穿越病毒過濾網關，從而無法在全企業網蔓延，造成更大的破壞。山石網科的病毒過濾能夠有效解析出上十萬種病毒，能夠偵測病毒、木馬、蠕蟲、間諜軟件和其他惡意軟件。基于多核Plus?G2架構的設計提供了病毒過濾需要的高處理能力，其提供的應用處理擴展模塊進一步的提高了病毒過濾的處理能力和總計處理能力，全并行流檢測引擎則使用較少的系統資源，并且在并行掃描會話和最大可掃描文件36/43Hfflstans'山石網科典型中小型企業網絡邊界安全解決方案方面提供高升級性。病毒過濾系統同樣也大大提升了服務器的安全性，在當前訪問控制的基礎上，進步保障了關鍵業務的安全性。包含有惡意代碼的數據包過濾才點惡意代碼的“干凈"數據包部署IPSECVPN山石網科安全網關支持的IPSecVPN技術，作用于中小企業，可實現總部與分支機構之間通過互聯網的縱向互聯，并作為現有專線的備份鏈路，在不增加額外投資的基礎上，提升了系統總體的安全效率。（當然需要總部的互聯網出口也部署有標準IPSECVPN系統）在通過互聯網實現縱向互聯的過程中，通過IPSECVPN技術，將實現如下的保護：機密性保護：在傳輸過程中對數據進行加密，從而防范了被篡改的風險；完整性保護：在傳輸過程中，通過HASH算法，對文件進行摘要處理，當到達接收端時再次進行HASH，并與發送端HASH后形成的摘要進行批對，如果完全相同則證明數據沒有37/43Hi/tetone山石網科典型中小型企業網絡邊界安全解決方案被篡改，從而保障了傳輸過程的完整性；抗抵賴IPSECVPN運用了數字簽名技術采用對稱密鑰算法防范傳輸數據被抵賴的風險；抗重放：IPSECVPN運用系列號，一旦某個數據包被處理，序列號自動加一，防范攻擊者在收取到數據包，以自己的身份重新發送的風險；山石網科安全網關IPSecVPN支持的主要技術包括：標準的技術使HillstoneIPSecVPN能和國際VPN廠商互通，只要對端采用標準IPSEC協議，即可實現互聯互通；全面的加密算法支持，包括AES256、Diffie-HellmanGroup5；支持靜態IP對端、動態IP對端、撥號VPN對端，可以很好地使用各個分支機構實際的網絡環境；支持VPN上的應用控制，在隧道內針對中小企業，提供更完善的訪問控制。實現安全移動辦公山石網科安全網關支持的SSLVPN技術，針對移動辦公人員，在不需要配置任何客戶端的情況下，實現安全可靠的接入。通過USBKEY的方式，配發證書，移動辦公人員必須在提交KEY證書后，安全網關方可允許其通過互聯網接入到企業網內，實現安全快捷的訪問。5方案建設效果本方案利用山石網科安全網關，作用于中小企業各個分支機構的互聯網出口，對員工