【文章內(nèi)容簡介】 確定訪問者角色，隨后根據(jù)角色執(zhí)行訪問控制，限制其訪問范圍，然后再對(duì)訪問數(shù)據(jù)包進(jìn)行深度檢測，根據(jù)角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問，或者存在可疑行為的訪問時(shí)，記錄到日志提供給系統(tǒng)員進(jìn)行事后的深度分析。 基于深度應(yīng)用識(shí)別的訪問控制中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上，新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識(shí)別應(yīng)用，更談不上安全防護(hù)。Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。StoneOS174。識(shí)別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括P2P、IM(即時(shí)通訊)、游戲、辦公軟件以及基于SIP、HTTP等協(xié)議的應(yīng)用。同時(shí)，應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實(shí)時(shí)更新，無須等待新版本軟件發(fā)布。 深度內(nèi)容安全(UTMPlus174。)山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus174。軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時(shí)間禁止訪問的網(wǎng)頁，提高工作效率和控制對(duì)不良網(wǎng)站的訪問。病毒庫，攻擊庫，URL庫可以通過網(wǎng)絡(luò)服務(wù)實(shí)時(shí)下載，確保對(duì)新爆發(fā)的病毒、攻擊、新的URL做到及時(shí)響應(yīng)。由于中小企業(yè)包含了多個(gè)分支機(jī)構(gòu)，一旦因某個(gè)節(jié)點(diǎn)遭到惡意代碼的傳播，病毒將會(huì)很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播，造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后，并在全網(wǎng)各個(gè)節(jié)點(diǎn)的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個(gè)節(jié)點(diǎn)遭遇到病毒攻擊后，不會(huì)影響到其他節(jié)點(diǎn)。并且山石支持硬件病毒過濾技術(shù)，在邊界進(jìn)行病毒查殺的時(shí)候，對(duì)性能不會(huì)造成過多影響。 高性能病毒過濾對(duì)于中小企業(yè)而言，在邊界進(jìn)行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網(wǎng)絡(luò)型病毒的有效工具，但是傳統(tǒng)病毒過濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包，因此效率很低，導(dǎo)致開啟病毒過濾后對(duì)全網(wǎng)的通信速度形成很大影響。山石安全網(wǎng)關(guān)在多核的技術(shù)上，對(duì)病毒過濾采取了全新的流掃描技術(shù)，也就是所謂的邊檢測邊傳輸技術(shù)，從而大大提升了病毒檢測與過濾的效率。l 流掃描策略傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機(jī)的病毒過濾解決方案實(shí)現(xiàn)的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個(gè)文件，然后開始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會(huì)經(jīng)歷長時(shí)間延遲。對(duì)于大文件，用戶應(yīng)用程序可能出現(xiàn)超時(shí)。山石網(wǎng)科掃描引擎是基于流的，病毒過濾掃描引擎在數(shù)據(jù)包流到達(dá)時(shí)進(jìn)行檢查，如果沒有檢查到病毒，則發(fā)送數(shù)據(jù)包流。由此，用戶將看到明顯的延遲改善，并且他們的應(yīng)用程序也將更快響應(yīng)。流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時(shí)掃描。出于對(duì)高性能、低延遲、高可升級(jí)性的首要考慮，流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。l 基于策略的病毒過濾功能山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進(jìn)行病毒過濾掃描，哪些用戶或者用戶組進(jìn)行掃描，以及哪些服務(wù)器和應(yīng)用被保護(hù)。 靈活高效的帶寬管理功能山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識(shí)別(Intelligent Application Identification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對(duì)加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時(shí)消息流量進(jìn)行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后，根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是：用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用；對(duì)于P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同IP地址及用戶角色的流量優(yōu)先級(jí)區(qū)分和帶寬控制（入方向和出方向），這就相當(dāng)于系統(tǒng)中可容納最多40,000的QoS隊(duì)列。結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如，對(duì)于同一個(gè)IP地址產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。在IP QoS里面使用應(yīng)用QoS，甚至可以對(duì)每個(gè)IP地址進(jìn)行流量控制的同時(shí)，還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進(jìn)行有效管控。除了高峰時(shí)間，用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r(shí)探測網(wǎng)絡(luò)的出入帶寬利用率，進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能?？傊?，通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先，領(lǐng)導(dǎo)信息流量優(yōu)先，非業(yè)務(wù)應(yīng)用限速或禁用，VoIP、視頻應(yīng)用保證時(shí)延低、無抖動(dòng)、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用，使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。 強(qiáng)大的URL地址過濾庫山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)；全面的URL地址庫也改變了現(xiàn)在各個(gè)分支機(jī)構(gòu)自行手動(dòng)配置URL地址的局限性，當(dāng)時(shí)設(shè)備被部署到網(wǎng)絡(luò)中后，各個(gè)設(shè)備均采用統(tǒng)一標(biāo)準(zhǔn)的過濾地址庫，在進(jìn)行URL訪問日志中也可以保持日志內(nèi)容的一致性。 高性能的應(yīng)用層管控能力安全和速度始終是兩個(gè)對(duì)立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價(jià)的，而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時(shí)代，能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是所有安全廠商的目標(biāo)。由于應(yīng)用層的檢測需要進(jìn)行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡(luò)平臺(tái)所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺(tái)去實(shí)現(xiàn)。山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力，包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實(shí)現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾，防止?jié)撛诘陌踩L(fēng)險(xiǎn)。此外，山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu)，在性能上具有很高的處理能力，能夠?qū)崿F(xiàn)大并發(fā)處理。 高效IPSEC VPN所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對(duì)IPSec的硬件加速。每一個(gè)CPU核都有一個(gè)內(nèi)嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時(shí)，IPSec的性能得到相應(yīng)提高，不會(huì)成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達(dá)到8Gbps，達(dá)到和防火墻一樣的性能和設(shè)備極限。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠保障與第三方VPN進(jìn)行通訊，建立隧道并實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。 高可靠的冗余備份能力山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級(jí)別的HA解決方案，如AP和AA架構(gòu)。山石網(wǎng)科的HA解決方案能夠?yàn)榫W(wǎng)絡(luò)層提供會(huì)話級(jí)別的狀態(tài)同步機(jī)制，保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通，甚至在設(shè)備進(jìn)行主備切換的時(shí)候都不會(huì)中斷會(huì)話，為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。4 系統(tǒng)部署說明對(duì)于中小企業(yè)，在設(shè)計(jì)邊界安全防護(hù)時(shí)，首要進(jìn)行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設(shè)常采用的方法，其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個(gè)單元，根據(jù)不同單元的資產(chǎn)特點(diǎn)、支撐業(yè)務(wù)類型分別進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)，保障了安全建設(shè)的針對(duì)性和差異性。安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護(hù)需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強(qiáng)，在實(shí)際劃分過程中有很多困難。在本方案中，建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型，縱向上可劃分為總部及分支機(jī)構(gòu)域，從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同，將總部信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運(yùn)維域等，而分支機(jī)構(gòu)的域相對(duì)簡單，由于只有終端，因此不再細(xì)分。 安全網(wǎng)關(guān)部署設(shè)計(jì)劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可，配置后形成的邊界安全部署方案可參考下圖：部署要點(diǎn)：l 通過總部配置的山石網(wǎng)科安全管理中心，集中監(jiān)管各個(gè)分支機(jī)構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān)，對(duì)日志進(jìn)行集中管理；同時(shí)各個(gè)分支機(jī)構(gòu)本地也部署管理終端，在本地對(duì)網(wǎng)關(guān)進(jìn)行監(jiān)管；l 縱向鏈路的出口分別部署安全網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)中小企業(yè)網(wǎng)的縱向隔離，對(duì)分支機(jī)構(gòu)的上訪行為進(jìn)行嚴(yán)格控制，杜絕非法或非授權(quán)的訪問；l 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略，在終端上網(wǎng)過程中進(jìn)行轉(zhuǎn)換，保障內(nèi)網(wǎng)用戶上網(wǎng)的要求，同時(shí)啟用相應(yīng)的日志，對(duì)上網(wǎng)行為進(jìn)行有效記錄；l 安全網(wǎng)關(guān)在分支機(jī)構(gòu)上網(wǎng)出口的鏈路上，運(yùn)用深度應(yīng)用識(shí)別技術(shù)，有效鑒別出哪些是合法的HTTP應(yīng)用，哪些是過度占用帶寬的P2P和IM應(yīng)用，對(duì)P2P和IM通過嚴(yán)格的帶寬限制功能能進(jìn)行及限制，并對(duì)HTTP執(zhí)行保障帶寬策略，保障員工正常上網(wǎng)行為；l 安全網(wǎng)關(guān)與中小企業(yè)的AD域認(rèn)證整合，在確認(rèn)訪問者身份的基礎(chǔ)上，進(jìn)行實(shí)名制的訪問控制，QOS控制，以及上網(wǎng)行為審計(jì)；l 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫，用以對(duì)員工的訪問目標(biāo)地址進(jìn)行分