【文章內(nèi)容簡介】 內(nèi)容，做到不該用的不用、不該去的不去，從源頭減少可能的侵害，實現(xiàn)網(wǎng)絡安全與高效的應用。l 把安全看作管理，我們認為首先需要超越技術本身，以前我們很多時候談網(wǎng)絡安全似乎只是技術高手才涉及的事情，但在金盾中我們把安全看作是一種管理，我們引進了部門、級別、人員、策略等實際學校管理中才有的概念，方便規(guī)劃和管理，使得一般管理人員也可從事網(wǎng)絡安全的管理。l 其次我們加強了信息本身的安全，也就是加強了知識的保護。郵件和即時通信本身是沒有問題的，關鍵是通過郵件和即時通信作了什么事情，是不是造成了公司的知識外泄等，所以本項目在涉及管理概念時，重點關注內(nèi)容本身的管理。l 最后我們降低了用戶本身成為安全威脅的可能性。用戶在工作站中加載未經(jīng)授權的應用程序，可能會造成應用程序沖突，有些甚至含有惡意軟件；用戶可能通USB 盤等移動媒體將機密信息帶出學校等等。訪問網(wǎng)絡中的 ActiveX造成危害等。寶創(chuàng)科技通過七種手段來規(guī)范六種行為，打造安全的內(nèi)部網(wǎng)絡：有效身份識別:?IP、MAC或者 帳號為參照 ?Web驗證、客戶端驗證、PPPOE驗證、AD驗證、LDAP和RADIUS?對特征組和用戶免驗證、 免監(jiān)控 ?特征鎖定、防止非法接入海量監(jiān)控記錄:?在線帳 號、實時流量分析 ?監(jiān)控IP連接、網(wǎng)頁訪問 ?記錄MSN、、YahooMsg、AOL、ICQ等聊天記錄 ?記錄郵件內(nèi)容、附件、表單內(nèi)容 ?支持內(nèi)容和附件（DOC、TXT、XSL、PPT、PDF）的全文檢索 ?記錄FTP、TELNET、POP3用戶登錄等 ?記錄文件操作及應用程序使用情況 詳細統(tǒng)計分析：?分析報告實時發(fā)送 ?十幾個主線包括流量、時間、連接、攔截、時間、人員等 ?有圖表、曲線、餅圖、柱狀圖多種形式立體化的規(guī)則：?PDF格式方便打印、HTML格式方便瀏覽 ?金盾網(wǎng)絡管理系統(tǒng)提供多層次、使用簡單的立體化過濾功能 ?覆蓋了網(wǎng)絡七層的各個層次：從最基礎的服務攔截到內(nèi)容審記。 ?分配每個員工、每臺計算機接入互聯(lián)網(wǎng)的權限 ?可以通過組、部門、策略等來形成立體和個性的權限策略。 深層應用過濾：?屏蔽網(wǎng)頁病毒、木馬程序 和惡意代碼 ?過濾垃圾郵件、病毒郵件 ?對郵件內(nèi)容進行審核 ?管理桌面進程和對應用程序進行過濾豐富流量管理：?對用戶、IP、組、 服務等對象進行上傳、下載等流量控制 ?QOS保證數(shù)據(jù)和用戶的通道 ?通過對每天的上網(wǎng)流量和時間的控制來保證總量使用 桌面行為管理:?對應用程序進行管理 ?管理文件操作及非法外聯(lián) ?ARP欺騙與保護 通過把安全概念拓展到管理，把安全層次擴展到內(nèi)容和行為，我們就能打造一個更加立體的安全網(wǎng)絡環(huán)境。2）技術創(chuàng)新: “金盾多功能應用網(wǎng)關過濾系統(tǒng)”作為嵌容式的網(wǎng)絡安全產(chǎn)品，在技術層面也采用了自己獨特的技術架構來節(jié)省成本和提高效率。技術創(chuàng)新點一：專用的嵌容式安全中間件從成本和速度考慮，我們沒法利用一些用于商務解決方案的中間件，我們需要一個高效的、廉價的、嵌容式的符合現(xiàn)代多層軟件結構和實時處理以及緊密結合系統(tǒng)的中間層，所以必須開發(fā)自己的web中間件和數(shù)據(jù)庫中間件以及系統(tǒng)中間件。采用自己的嵌容式安全中間件具備體積小、高效率、高開放性的特點。許多基于JAVA、perl、PHP或者其他技術的 web管理性能不能適合高速實時的分布數(shù)據(jù)處理。而金盾采用的中間件技術充分考慮了性能、開放性和空間的關系，即支持其他語言和協(xié)議的連接，又充分利用多進程、共享內(nèi)存技術和多種緩沖技術保證速度。同時支持大容量快速數(shù)據(jù)存儲和報告接口，比如多種數(shù)據(jù)庫的接口和報告生成接口等。同時也預備了NP處理器和主處理器協(xié)同的方式，大大提高了包處理效率。技術創(chuàng)新點二：觸發(fā)式七級分配緩沖算法和基于DMA的零拷貝技術。通過DMA通道直接把數(shù)據(jù)從網(wǎng)絡接口拷貝到緩沖區(qū)，減少了CPU占用以及系統(tǒng)內(nèi)核調(diào)用，大大提高了數(shù)據(jù)拷貝速度，同時也預備了NP處理器和主處理器協(xié)同的方式，大大提高了包處理效率。技術創(chuàng)新點二：高效的數(shù)據(jù)包過濾、整形算法以及數(shù)據(jù)包應用層重組技術。高效的數(shù)據(jù)包過濾和整形算法：包括QOS的整形以及數(shù)據(jù)包偽裝算法等，作為一個面向高端客戶的系統(tǒng)，速度、穩(wěn)定和性能至關重要。我們處處不斷優(yōu)化算法，金盾充分利用 HASH算法和圖表算法在犧牲內(nèi)存的情況下提高效率，具體包括三維動態(tài)協(xié)議匹配算法、分層的令牌桶過濾器算法、內(nèi)存管理七級分配緩沖算法、數(shù)據(jù)包過濾索引算法、IP數(shù)據(jù)包快速解析和緩存算法、IP數(shù)據(jù)包規(guī)整算法，文件HASH存儲算法等高效的數(shù)據(jù)包整形技術和應用層數(shù)據(jù)包重組技術是金盾性能和功能的關鍵：動態(tài)協(xié)議分析技術：考慮到愈來愈多的應用通過80端口訪問或者在HTTP標準服務下擴展以及對ＵＰＮＰ的支持、以及新的協(xié)議和應用的層出不窮，所以產(chǎn)品應該是基于內(nèi)容的判別，需要對協(xié)議特征進行詳細的分析，但是協(xié)議特征的分析需要大量的資源，我們改進的快速模式匹配算法使得在極苛刻環(huán)境下仍可以做到每秒鐘處理50萬數(shù)據(jù)包。QOS調(diào)度算法：大家都知道 QOS是一個大資源消耗的功能，需要平衡速度和準確度之間的矛盾。我們不是根據(jù)閑置時間來整形，它是一個分類和分層的令牌桶過濾器算法，系統(tǒng)把一個固定鏈路劃分不同的通道，根據(jù)約定分配不同的速率。讓不同的應用和不同的部門得到不同的帶寬通道，保證高級別的應用和高級別的用戶充分的帶寬。應用層數(shù)據(jù)包重組：作為一個應用層的防火墻和關注信息本身安全的產(chǎn)品，金盾網(wǎng)絡管理要求首先能夠準確、快速、流式化的數(shù)據(jù)包應用層重組，比如郵件、即時通信等等。我們通過多線程技術、共享內(nèi)存技術以及本地進程偵聽技術實現(xiàn)數(shù)據(jù)應用層的重組，從而實現(xiàn)應用層的過濾和信息的監(jiān)控過濾、保存。3）應用創(chuàng)新：以人為主線的全套Intenet統(tǒng)一出口解決方案。金盾多功能應用網(wǎng)關過濾系統(tǒng)作為新一代的網(wǎng)絡安全產(chǎn)品，我們所有功能都可以單獨分開也可以組合，不管是單獨部署還是統(tǒng)一部署，寶創(chuàng)都提供統(tǒng)一的管理界面。非常適合企業(yè)網(wǎng)絡管理和做全套的Internet出口解決方案，也經(jīng)受了不同規(guī)模公司的考驗。但更主要的是我們的產(chǎn)品是基于用戶主線進行管理的，金盾管理的主線是人，這是同很多其他產(chǎn)品的本質(zhì)區(qū)別，我們通過信息綁定或其他方式把管理的主線對應到人，提供同實際企業(yè)架構相同的網(wǎng)絡管理組織結構，系統(tǒng)隱藏了不必要的技術細節(jié)，使管理網(wǎng)絡就像管理公司一樣，針對不同的部門、個人、級別的人分配不同的權限，不同的接入方式和不同的監(jiān)控級別，這樣即使沒有太多技術基礎的人事部門或者老總也可以參與其中。二、項目技術開發(fā)可行性（一） 項目技術現(xiàn)狀近年來，我國互聯(lián)網(wǎng)與電子商務迅速發(fā)展，政府、企業(yè)信息化建設步伐加快，使得對于網(wǎng)絡安全產(chǎn)品和網(wǎng)絡管理產(chǎn)品的需求不斷增加，這就為網(wǎng)絡安全廠商的發(fā)展提供了良好的機會。根據(jù)對國內(nèi)生產(chǎn)和銷售網(wǎng)絡信息安全產(chǎn)品的46個廠家的抽樣調(diào)查，其產(chǎn)品線分布情況如下。圖1 46家網(wǎng)絡安全軟件企業(yè)產(chǎn)品線分布目前國內(nèi)的大部分廠商都在從事病毒、防火墻或則入侵檢測產(chǎn)品的開發(fā)等完全技術層面的安全，在網(wǎng)絡行為安全和網(wǎng)絡內(nèi)容安全上面缺乏產(chǎn)品，一些在技術層面完全無害的行為在其他層次是特別關注的，對信息的安全和管理層次安全也提出越來越多的挑戰(zhàn)。在內(nèi)容審記和行為管理上，金盾有著很大的優(yōu)勢。國內(nèi)外也有一些產(chǎn)品設計網(wǎng)絡的監(jiān)控或者應用層過濾，比如：webSense： 國際上URL過濾和EIM市場的領頭羊，主要偏重于網(wǎng)站的管理和過濾。MailLog： Ca的產(chǎn)品，主要偏重于網(wǎng)關級郵件的備份和管理Serfcontrol：專注于web過濾Packettee： 流量管理的先驅。他們在某一方面是非常專業(yè)的產(chǎn)品，也在全球范圍內(nèi)取得了成功。但他們有他們的一些弱點，比如在很多企業(yè)他需要一整套解決方案，不希望到這個設備上設置某人的帶寬，到另外設備上設置url過濾，到其他設置郵件過濾、還到其他地方設置上網(wǎng)權限……，維持多套帳號和策略。本項目“金盾多功能應用網(wǎng)關過濾系統(tǒng)”就是面向這個市場，提供統(tǒng)一界面、統(tǒng)一管理的全套產(chǎn)品并可以同其他產(chǎn)品聯(lián)動，而且隨著處理能力的提高，金盾提供的是一套基于用戶為主線的管理體系。（二） 項目主要研究內(nèi)容金盾立足網(wǎng)絡七層過濾和管理市場，提供基于用戶、統(tǒng)一界面、統(tǒng)一管理的智能化全套產(chǎn)品。主要算法原理如下：以下技術和方向是我們需要充分考慮的?；A軟件平臺包括web中間件、數(shù)據(jù)存儲中間件、加固的linux等?；A硬件平臺金盾網(wǎng)絡管理系統(tǒng)準備全部轉移到基于NP(網(wǎng)絡處理器)架構的平臺上或者采用NP和x86相結合的方式進行?；A算法內(nèi)存管理分配算法、索引算法、IP數(shù)據(jù)包快速解析和緩存算法、IP數(shù)據(jù)包流量規(guī)整算法、數(shù)據(jù)包過濾索引等?；ヂ?lián)網(wǎng)邊界風險評估算法和實現(xiàn)如何建立一種有效的模型和實現(xiàn)算法，對全球互聯(lián)網(wǎng)上的任一IP和網(wǎng)站進行風險評分，主動對高風險的IP、網(wǎng)站進行封堵或者報警，這樣從根本上避免木馬、病毒等的web傳播。5應用層惡意代碼識別與防護模型與算法如何建立一種有效的模型和實現(xiàn)算法，對通過網(wǎng)關的應用特征識別，做到惡意代理的識別和防護。設備的可連接性或者可接入性新一代網(wǎng)絡監(jiān)控過濾產(chǎn)品必須支持多種接入方式以滿足網(wǎng)絡接入的復雜性和不同企業(yè)的部署需要。企業(yè)以后的部署方式也會越來越復雜，網(wǎng)絡產(chǎn)品也會越來越多，網(wǎng)絡協(xié)議也會越來越多，Vlan、代理（透明和非透明）將隨處可見，新一代網(wǎng)絡過濾產(chǎn)品必須考慮這些情況，否則無法接入。本項目產(chǎn)品支持以下幾種部署方式：ＮＡＴ或者路由、代理、網(wǎng)橋、旁路、Vlan Trunk等。在部署時具有極大的靈活性，可以分別部署，也可以作為一個集成產(chǎn)品部署。不論是作為單機，還是以集成模式部署，都可以從同一個控制臺進行管理，從而獲得管理上的益處。監(jiān)控的全面性新一代監(jiān)控過濾產(chǎn)品應該提供采用基于狀態(tài)的內(nèi)容檢測技術，提供從內(nèi)部網(wǎng)上網(wǎng)用戶訪問的站點、頁面、郵件、聊天、即時通信、FTP、表單等進行監(jiān)控；支持各種各樣的組合查詢，為管理員提供必要的電子記錄?？紤]到技術的發(fā)展，應該考慮到越來越多的應用，通過80端口訪問或者在HTTP標準服務下擴展、對UPNP的支持、以及新的協(xié)議和應用的層出不窮，所以我們的產(chǎn)品是基于內(nèi)容的判別，是支持插件式結構的。報告分析有效性產(chǎn)品具備相當強大的報告分析功能。通過各種報表，管理人員對內(nèi)部每個員工使用互聯(lián)網(wǎng)的情況了如指掌，針對上述網(wǎng)絡資源管理中的每個問題都能得到數(shù)據(jù)依據(jù)，做相關決策時更準確。包含有一系列預定義的報告，并且可以由第三方制造商來進行擴展。比如出口流量報告、協(xié)議使用報告、協(xié)議連接報告、網(wǎng)絡流量報告、網(wǎng)絡連接報告、端口訪問報告、用戶使用報告、Web使用報告、目標連接報告等。報告功能強大與否以及是否實用將是未來考察一個產(chǎn)品的重要標志。網(wǎng)絡行為的審計過濾功能以及同第三方過濾的結合本項目系統(tǒng)對數(shù)據(jù)包層、鏈路層和應用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢測、對訪問策略進行控制并對網(wǎng)絡通信進行路由，提供了智能應用程序過濾器，能夠通過檢查真實的數(shù)據(jù)來分析和控制特定應用程序的流量，提供了多層保護，使用戶能夠通過數(shù)據(jù)包層、鏈路層和應用程序層的流量屏蔽來獲得最高的安全性。最成熟的應該是應用層的安全性。智能應用程序過濾器可以支持用戶分析特定應用程序的數(shù)據(jù)，提供特定的應用程序處理，包括檢測、屏蔽或拒絕、重定向或者在數(shù)據(jù)通過防火墻時修改數(shù)據(jù)。這種機制可以被用來保護網(wǎng)絡免受不安全SMTP命令的攻擊或保護域名服務器（Domain Name Servers，DNS）不受攻擊。第三方的內(nèi)容屏蔽工具，包括病毒檢測、詞法分析和站點分類，都應用了應用程序和Web過濾器來為您構建過濾系統(tǒng)。內(nèi)建的智能過濾針對多種數(shù)據(jù)類型，包括HTTP、FTP、SMTP電子郵件、流媒體、RPC等，提供最健壯的過濾器。支持的應用程序過濾器超越于大部分防火墻的數(shù)據(jù)包過濾。數(shù)據(jù)包過濾對流量的來源、目標和類型進行檢測，而應用程序則提供更復雜的安全性，檢測通過防火墻的流量中真實的內(nèi)容。應用程序過濾器可以了解應用程序的協(xié)議和數(shù)據(jù)結構，因此它們可以對真實數(shù)據(jù)流進行分析、阻止、重新定向，甚至進行修改。這種能力使得應用程序過濾器能夠執(zhí)行特定應用程序的任務（例如對第二連接的透明訪問），對安全性進行加強（例如阻止?jié)撛谟泻Φ拿睿?，或其他?nèi)容任務（例如病毒偵測）。綜上所述，新一代產(chǎn)品功能先進與否就在于應用過濾功能的全面與否和強大與否。設備的可管理性與開放性。系統(tǒng)支持多種管理方式：web方式，客戶端方式以及命令行方式等，成熟的管理工具能夠簡化策略定義、流量路由、服務器發(fā)布和監(jiān)視過程?？紤]到安全問題，系統(tǒng)支持ssl加密，ＭＤ5校驗，具備完善的定制管理權限和自身安全性。能夠防止常見網(wǎng)絡攻擊并作出響應?？梢园凑沼脩艋蛴脩艚M、應用程序類型、日期和時間、目標地址以及其它更多條件限制訪問。集中化的管理特性使得管理大型分布式部署（包括分支辦公室）的工作更加輕松。本項目系統(tǒng)是開放性的系統(tǒng)，支持標準的數(shù)據(jù)格式和數(shù)據(jù)接口，比如數(shù)據(jù)備份的 ODBC接口等。實現(xiàn)快速訪問的Cache（緩存）緩存能夠顯著地提高網(wǎng)絡性能，減少流量和等待時間，并通過提供更快速的訪問來改善用戶體驗。另外，它還對最常用的請求內(nèi)容進行本地存儲和提供服務，從而節(jié)約寶貴的網(wǎng)絡帶寬。通過一個可伸縮的Web緩存，能夠改善客戶端瀏覽器性能、減少用戶響應時間，并減少Internet連接的帶寬消耗。緩存也可以用來在內(nèi)部網(wǎng)絡中分散內(nèi)容，或者實現(xiàn)Internet中的多點呈現(xiàn)（POP），將常用內(nèi)容帶到用戶身邊，從而節(jié)省帶寬并改善用戶體驗。帶寬優(yōu)先級我們愈來愈認為QOS的管理在企業(yè)網(wǎng)絡管理中占據(jù)了重要的角色，在網(wǎng)絡愈來愈復雜的今天，許多通過其他手段無法解決的事情通過帶寬的管理可以得到有效的解決。用戶可以設置帶寬優(yōu)先級來優(yōu)化資源分配，根據(jù)用戶、組、應用程序、目標站點或內(nèi)容類型來確定帶寬的優(yōu)先級，保證網(wǎng)絡的有序性和可管理性。1網(wǎng)絡資源使用量化考核網(wǎng)絡資源作為一種電子化的資源，是通過企業(yè)內(nèi)部的局域網(wǎng)共享的，網(wǎng)絡中的每個登錄用戶都能使用。本項目系統(tǒng)對網(wǎng)