【文章內(nèi)容簡介】 確定訪問者角色，隨后根據(jù)角色執(zhí)行訪問控制，限制其訪問范圍，然后再對訪問數(shù)據(jù)包進行深度檢測，根據(jù)角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問，或者存在可疑行為的訪問時，記錄到日志提供給系統(tǒng)員進行事后的深度分析。 基于深度應用識別的訪問控制中小型企業(yè)的主要業(yè)務應用系統(tǒng)都建立在HTTP/HTTPS等應用層協(xié)議之上，新的安全威脅也隨之嵌入到應用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識別應用，更談不上安全防護。Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應付自如。StoneOS174。識別的應用多達幾百種，而且跟隨著應用的發(fā)展每天都在增加；其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、HTTP等協(xié)議的應用。同時，應用特征庫通過網(wǎng)絡服務可以實時更新，無須等待新版本軟件發(fā)布。 深度內(nèi)容安全(UTMPlus174。)山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus174。軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問。病毒庫，攻擊庫，URL庫可以通過網(wǎng)絡服務實時下載，確保對新爆發(fā)的病毒、攻擊、新的URL做到及時響應。由于中小企業(yè)包含了多個分支機構(gòu)，一旦因某個節(jié)點遭到惡意代碼的傳播，病毒將會很快在企業(yè)的網(wǎng)絡內(nèi)傳播，造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后，并在全網(wǎng)各個節(jié)點的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個節(jié)點遭遇到病毒攻擊后，不會影響到其他節(jié)點。并且山石支持硬件病毒過濾技術(shù)，在邊界進行病毒查殺的時候，對性能不會造成過多影響。 高性能病毒過濾對于中小企業(yè)而言，在邊界進行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網(wǎng)絡型病毒的有效工具，但是傳統(tǒng)病毒過濾技術(shù)由于需要在應用層解析數(shù)據(jù)包，因此效率很低，導致開啟病毒過濾后對全網(wǎng)的通信速度形成很大影響。山石安全網(wǎng)關(guān)在多核的技術(shù)上，對病毒過濾采取了全新的流掃描技術(shù)，也就是所謂的邊檢測邊傳輸技術(shù)，從而大大提升了病毒檢測與過濾的效率。l 流掃描策略傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機的病毒過濾解決方案實現(xiàn)的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個文件，然后開始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會經(jīng)歷長時間延遲。對于大文件，用戶應用程序可能出現(xiàn)超時。山石網(wǎng)科掃描引擎是基于流的，病毒過濾掃描引擎在數(shù)據(jù)包流到達時進行檢查，如果沒有檢查到病毒，則發(fā)送數(shù)據(jù)包流。由此，用戶將看到明顯的延遲改善，并且他們的應用程序也將更快響應。流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時掃描。出于對高性能、低延遲、高可升級性的首要考慮，流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。l 基于策略的病毒過濾功能山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進行病毒過濾掃描，哪些用戶或者用戶組進行掃描，以及哪些服務器和應用被保護。 靈活高效的帶寬管理功能山石網(wǎng)科產(chǎn)品提供專有的智能應用識別(Intelligent Application Identification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡應用進行分類，甚至包括對加密的P2P應用（Bit Torrent、迅雷、Emule、Edonkey等）和即時消息流量進行分類。山石網(wǎng)科QoS首先根據(jù)流量的應用類型對流量進行識別和標記。然后，根據(jù)應用識別和標記結(jié)果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應用實例是：用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級保證它們的帶寬使用；對于P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。山石網(wǎng)科設(shè)備最多可支持20,000個不同IP地址及用戶角色的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當于系統(tǒng)中可容納最多40,000的QoS隊列。結(jié)合應用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個用戶控制應用流量并對該用戶的應用流量區(qū)分優(yōu)先級。例如，對于同一個IP地址產(chǎn)生的不同流量，用戶可以基于應用分類結(jié)果指定流量的優(yōu)先級。在IP QoS里面使用應用QoS，甚至可以對每個IP地址進行流量控制的同時，還能夠?qū)υ揑P地址內(nèi)部應用類型的流量進行有效管控。除了高峰時間，用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r探測網(wǎng)絡的出入帶寬利用率，進而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網(wǎng)絡使用性能?？傊?，通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡中做到關(guān)鍵應用優(yōu)先，領(lǐng)導信息流量優(yōu)先，非業(yè)務應用限速或禁用，VoIP、視頻應用保證時延低、無抖動、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡應用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應用，使得昂貴的帶寬能獲取最高的效益和高附加值應用。 強大的URL地址過濾庫山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實時保持同步更新，當中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動、不安全的網(wǎng)站時，系統(tǒng)會根據(jù)不同的策略，進行報警、日志、阻斷等動作，實現(xiàn)健康上網(wǎng)；全面的URL地址庫也改變了現(xiàn)在各個分支機構(gòu)自行手動配置URL地址的局限性，當時設(shè)備被部署到網(wǎng)絡中后，各個設(shè)備均采用統(tǒng)一標準的過濾地址庫，在進行URL訪問日志中也可以保持日志內(nèi)容的一致性。 高性能的應用層管控能力安全和速度始終是兩個對立面的事物。追求更高的網(wǎng)絡安全是需要以犧牲網(wǎng)絡通訊速度為代價的，而追求更高的網(wǎng)絡通訊速度則需要降低網(wǎng)絡安全標準。在目前依賴于網(wǎng)絡應用的時代，能夠做到應用層的安全檢測以及安全防護功能是所有安全廠商的目標。由于應用層的檢測需要進行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡平臺所帶來的網(wǎng)絡延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現(xiàn)。山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應用層管控能力，包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾，防止?jié)撛诘陌踩L險。此外，山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu)，在性能上具有很高的處理能力，能夠?qū)崿F(xiàn)大并發(fā)處理。 高效IPSEC VPN所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對IPSec的硬件加速。每一個CPU核都有一個內(nèi)嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時，IPSec的性能得到相應提高，不會成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達到8Gbps，達到和防火墻一樣的性能和設(shè)備極限。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標準IPSec協(xié)議，能夠保障與第三方VPN進行通訊，建立隧道并實現(xiàn)安全的數(shù)據(jù)傳輸。 高可靠的冗余備份能力山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級別的HA解決方案，如AP和AA架構(gòu)。山石網(wǎng)科的HA解決方案能夠為網(wǎng)絡層提供會話級別的狀態(tài)同步機制，保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡的持久暢通，甚至在設(shè)備進行主備切換的時候都不會中斷會話，為企業(yè)提供真正意義的網(wǎng)絡冗余解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。4 系統(tǒng)部署說明對于中小企業(yè)，在設(shè)計邊界安全防護時，首要進行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設(shè)常采用的方法，其好處在與可以將原本比較龐大的網(wǎng)絡劃分為多個單元，根據(jù)不同單元的資產(chǎn)特點、支撐業(yè)務類型分別進行安全防護系統(tǒng)的設(shè)計，保障了安全建設(shè)的針對性和差異性。安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強，在實際劃分過程中有很多困難。在本方案中，建議按照資產(chǎn)重要性以及支撐的業(yè)務類型，縱向上可劃分為總部及分支機構(gòu)域，從資產(chǎn)角度可根據(jù)業(yè)務類型的不同，將總部信息網(wǎng)絡劃分為ERP域、OA域、網(wǎng)站域、終端域和運維域等，而分支機構(gòu)的域相對簡單，由于只有終端，因此不再細分。 安全網(wǎng)關(guān)部署設(shè)計劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可，配置后形成的邊界安全部署方案可參考下圖：部署要點：l 通過總部配置的山石網(wǎng)科安全管理中心，集中監(jiān)管各個分支機構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān)，對日志進行集中管理；同時各個分支機構(gòu)本地也部署管理終端，在本地對網(wǎng)關(guān)進行監(jiān)管；l 縱向鏈路的出口分別部署安全網(wǎng)關(guān)，實現(xiàn)對中小企業(yè)網(wǎng)的縱向隔離，對分支機構(gòu)的上訪行為進行嚴格控制，杜絕非法或非授權(quán)的訪問；l 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略，在終端上網(wǎng)過程中進行轉(zhuǎn)換，保障內(nèi)網(wǎng)用戶上網(wǎng)的要求，同時啟用相應的日志，對上網(wǎng)行為進行有效記錄；l 安全網(wǎng)關(guān)在分支機構(gòu)上網(wǎng)出口的鏈路上，運用深度應用識別技術(shù)，有效鑒別出哪些是合法的HTTP應用，哪些是過度占用帶寬的P2P和IM應用，對P2P和IM通過嚴格的帶寬限制功能能進行及限制，并對HTTP執(zhí)行保障帶寬策略，保障員工正常上網(wǎng)行為；l 安全網(wǎng)關(guān)與中小企業(yè)的AD域認證整合，在確認訪問者身份的基礎(chǔ)上，進行實名制的訪問控制，QOS控制，以及上網(wǎng)行為審計；l 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫，用以對員工的訪問目標地址進行分