【正文】 網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁(yè)進(jìn)行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別，對(duì)用戶所訪問的網(wǎng)頁(yè)進(jìn)行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對(duì)用戶所訪問的網(wǎng)頁(yè)進(jìn)行過濾，同時(shí)，能夠通過SSL代理功能對(duì)用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁(yè)進(jìn)行過濾。l 外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對(duì)郵件的發(fā)送進(jìn)行限制。同時(shí)，能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。l 例外設(shè)置對(duì)于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對(duì)象，可以通過例外設(shè)置實(shí)現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。分級(jí)日志管理模式示意圖 實(shí)現(xiàn)URL過濾山石網(wǎng)科結(jié)合中國(guó)地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫(kù)，包含數(shù)千萬條域名的分類web頁(yè)面庫(kù)，并能夠?qū)崟r(shí)同步更新，該地址庫(kù)將被配置在所有分支機(jī)構(gòu)出口的山石安全網(wǎng)關(guān)上，對(duì)員工訪問的目標(biāo)站點(diǎn)進(jìn)行檢查，保障健康上網(wǎng)。山石網(wǎng)科提供的URL過濾功能包含以下組成部分：l 黑名單：包含不可以訪問的URL。不同平臺(tái)黑名單包含的最大URL條數(shù)不同。l 白名單：包含允許訪問URL。不同平臺(tái)白名單包含的最大URL條數(shù)不同。l 關(guān)鍵字列表：如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字，則PC不可以訪問該URL。不同平臺(tái)關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。l 不受限IP：不受URL過濾配置影響，可以訪問任何網(wǎng)站。l 只允許用域名訪問：如果開啟該功能，用戶只可以通過域名訪問Internet，IP地址類型的URL將被拒絕訪問。l 只允許訪問白名單里的URL：如果開啟該功能，用戶只可以訪問白名單中的URL，其它地址都會(huì)被拒絕。 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾隨著病毒技術(shù)的發(fā)展，網(wǎng)絡(luò)型病毒（比如蠕蟲、木馬等）已經(jīng)被廣泛應(yīng)用了，這種病毒的特點(diǎn)是沒有宿主就可以傳播，在網(wǎng)絡(luò)中快速掃描，只要發(fā)現(xiàn)網(wǎng)絡(luò)有許可的行為，就能夠快速傳播，其危害除了對(duì)目標(biāo)主機(jī)造成破壞，在傳播過程中也產(chǎn)生大量的訪問，對(duì)網(wǎng)絡(luò)流量造成影響，對(duì)此傳統(tǒng)在主機(jī)上進(jìn)行病毒查殺是不足的，對(duì)此問題就產(chǎn)生了病毒過濾網(wǎng)關(guān)，該系統(tǒng)類似于防火墻，采用“空中抓毒“技術(shù)，工作在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，對(duì)經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行過濾，在判斷為是病毒的時(shí)候進(jìn)行阻斷，防止病毒利用網(wǎng)絡(luò)進(jìn)行傳播。這里建議中小企業(yè)可利用安全網(wǎng)關(guān)的病毒過濾技術(shù)，對(duì)各個(gè)安全域在實(shí)行訪問控制的同時(shí)，進(jìn)行有效的病毒過濾，杜絕某個(gè)安全域內(nèi)（比如終端區(qū)域）的主機(jī)感染了病毒，該病毒無法穿越病毒過濾網(wǎng)關(guān)，從而無法在全企業(yè)網(wǎng)蔓延，造成更大的破壞。山石網(wǎng)科的病毒過濾能夠有效解析出上十萬種病毒，能夠偵測(cè)病毒、木馬、蠕蟲、間諜軟件和其他惡意軟件?；诙嗪薖lus174。 G2架構(gòu)的設(shè)計(jì)提供了病毒過濾需要的高處理能力，其提供的應(yīng)用處理擴(kuò)展模塊進(jìn)一步的提高了病毒過濾的處理能力和總計(jì)處理能力，全并行流檢測(cè)引擎則使用較少的系統(tǒng)資源，并且在并行掃描會(huì)話和最大可掃描文件方面提供高升級(jí)性。病毒過濾系統(tǒng)同樣也大大提升了服務(wù)器的安全性，在當(dāng)前訪問控制的基礎(chǔ)上，進(jìn)一步保障了關(guān)鍵業(yè)務(wù)的安全性。 部署IPSEC VPN山石網(wǎng)科安全網(wǎng)關(guān)支持的IPSec VPN技術(shù)，作用于中小企業(yè)，可實(shí)現(xiàn)總部與分支機(jī)構(gòu)之間通過互聯(lián)網(wǎng)的縱向互聯(lián)，并作為現(xiàn)有專線的備份鏈路，在不增加額外投資的基礎(chǔ)上，提升了系統(tǒng)總體的安全效率。（當(dāng)然需要總部的互聯(lián)網(wǎng)出口也部署有標(biāo)準(zhǔn)IPSEC VPN系統(tǒng)）在通過互聯(lián)網(wǎng)實(shí)現(xiàn)縱向互聯(lián)的過程中，通過IPSEC VPN技術(shù)，將實(shí)現(xiàn)如下的保護(hù)：l 機(jī)密性保護(hù)：在傳輸過程中對(duì)數(shù)據(jù)進(jìn)行加密，從而防范了被篡改的風(fēng)險(xiǎn)；l 完整性保護(hù)：在傳輸過程中，通過HASH算法，對(duì)文件進(jìn)行摘要處理，當(dāng)?shù)竭_(dá)接收端時(shí)再次進(jìn)行HASH，并與發(fā)送端HASH后形成的摘要進(jìn)行批對(duì)，如果完全相同則證明數(shù)據(jù)沒有被篡改，從而保障了傳輸過程的完整性；l 抗抵賴：IPSEC VPN運(yùn)用了數(shù)字簽名技術(shù)，采用對(duì)稱密鑰算法防范傳輸數(shù)據(jù)被抵賴的風(fēng)險(xiǎn)；l 抗重放：IPSEC VPN運(yùn)用系列號(hào)，一旦某個(gè)數(shù)據(jù)包被處理，序列號(hào)自動(dòng)加一，防范攻擊者在收取到數(shù)據(jù)包，以自己的身份重新發(fā)送的風(fēng)險(xiǎn)；山石網(wǎng)科安全網(wǎng)關(guān)IPSec VPN支持的主要技術(shù)包括：l 標(biāo)準(zhǔn)的技術(shù)使Hillstone IPSec VPN能和國(guó)際VPN廠商互通，只要對(duì)端采用標(biāo)準(zhǔn)IPSEC協(xié)議，即可實(shí)現(xiàn)互聯(lián)互通；l 全面的加密算法支持，包括AES25DiffieHellman Group 5；l 支持靜態(tài)IP對(duì)端、動(dòng)態(tài)IP對(duì)端、撥號(hào)VPN對(duì)端，可以很好地使用各個(gè)分支機(jī)構(gòu)實(shí)際的網(wǎng)絡(luò)環(huán)境；l 支持VPN上的應(yīng)用控制，在隧道內(nèi)針對(duì)中小企業(yè)，提供更完善的訪問控制。 實(shí)現(xiàn)安全移動(dòng)辦公山石網(wǎng)科安全網(wǎng)關(guān)支持的SSL VPN技術(shù)，針對(duì)移動(dòng)辦公人員，在不需要配置任何客戶端的情況下，實(shí)現(xiàn)安全可靠的接入。通過USB KEY的方式，配發(fā)證書，移動(dòng)辦公人員必須在提交KEY證書后，安全網(wǎng)關(guān)方可允許其通過互聯(lián)網(wǎng)接入到企業(yè)網(wǎng)內(nèi)，實(shí)現(xiàn)安全快捷的訪問。5 方案建設(shè)效果本方案利用山石網(wǎng)科安全網(wǎng)關(guān)，作用于中小企業(yè)各個(gè)分支機(jī)構(gòu)的互聯(lián)網(wǎng)出口，對(duì)員工上網(wǎng)行為進(jìn)行有效控制和記錄，對(duì)比現(xiàn)有的安全手段，將在如下層面提升安全性：總體部署效果示意圖【實(shí)現(xiàn)集中監(jiān)控】在采取了統(tǒng)一品牌的山石網(wǎng)科安全網(wǎng)關(guān)后，通過部署在總部的安全管理中心，實(shí)現(xiàn)對(duì)分布在各個(gè)分支機(jī)構(gòu)互聯(lián)網(wǎng)出口的安全設(shè)備的集中管理，重點(diǎn)對(duì)日志進(jìn)行集中的收集和分析，確保在發(fā)生安全事件后能夠快速傳遞到總部，以便采取必要的保障措施。【實(shí)現(xiàn)有效訪問控制】通過嚴(yán)格的訪問控制，限制了內(nèi)、外部用戶對(duì)企業(yè)各種資源的訪問，限制員工對(duì)ERP和OA的訪問，限制互聯(lián)網(wǎng)用戶對(duì)企業(yè)網(wǎng)站的訪問，由于這些人員只能通過許可的方式，因此大大降低了重要信息資產(chǎn)的暴露程度，提升了系統(tǒng)的安全性；【有效保護(hù)關(guān)鍵資產(chǎn)】對(duì)于中小企業(yè)而言，關(guān)鍵的信息資產(chǎn)就是各類應(yīng)用服務(wù)器，和數(shù)據(jù)庫(kù)，由于本方案采取安全域劃分的方式，將這些關(guān)鍵資產(chǎn)集中起來進(jìn)行有效防護(hù)，因此大大提升了系統(tǒng)的總體安全性；【有效防范攻擊】山石安全網(wǎng)關(guān)支持超過3,000種的攻擊檢測(cè)和防御，支持攻擊特征庫(kù)離線在線更新，定期自動(dòng)更新多種方式。山石安全網(wǎng)關(guān)內(nèi)置的入侵防御系統(tǒng)重點(diǎn)實(shí)現(xiàn)了對(duì)重要服務(wù)器的保護(hù)，當(dāng)其他主機(jī)訪問業(yè)務(wù)系統(tǒng)時(shí)，發(fā)起對(duì)服務(wù)器的訪問，山石入侵防御系統(tǒng)會(huì)在線分析這些數(shù)據(jù)包，并從中剝離出哪些是正常訪問的數(shù)據(jù)包，哪些是存在攻擊行為的數(shù)據(jù)包，在此基礎(chǔ)上對(duì)攻擊包采取有效的封堵行為，從而保障了安全可靠的訪問，進(jìn)一步保護(hù)了易程公司關(guān)鍵的應(yīng)用服務(wù)器?！居行н^濾病毒】與防范攻擊的作用類似，科山石安全網(wǎng)關(guān)內(nèi)置的過濾網(wǎng)關(guān)部署在重要的安全域邊界，當(dāng)重要的服務(wù)器接受訪問時(shí)，病毒過濾網(wǎng)關(guān)深入分析數(shù)據(jù)包，檢測(cè)出是否攜帶病毒，或者數(shù)據(jù)包本身就是由一些惡意病毒（比如木馬、蠕蟲等）引發(fā)的，并采取有效的查殺，或者將數(shù)據(jù)包直接丟棄?！净诮巧目刂婆c資源保障】中小企業(yè)的上網(wǎng)人員是多個(gè)層面多種角色的，因角色不同，在訪問控制和資源保障部分，需要有不同的策略與力度。山石安全網(wǎng)關(guān)能夠與第三方身份認(rèn)證有效整合，在控制（比如訪問控制、日志審計(jì)）和資源保障（比如QOS）方面能夠根據(jù)用戶身份以及對(duì)應(yīng)的角色來進(jìn)行配置，解決了傳統(tǒng)以IP地址為依據(jù)時(shí)，IP地址容易被偽造的問題；【上網(wǎng)行為實(shí)名制審查】國(guó)家相關(guān)監(jiān)管部門要求提供上網(wǎng)的機(jī)構(gòu)，應(yīng)當(dāng)對(duì)上網(wǎng)人員的行為進(jìn)行記錄，以備在員工進(jìn)行違規(guī)訪問（比如發(fā)布發(fā)動(dòng)言論，訪問非法網(wǎng)站）時(shí)，能夠進(jìn)行追溯。而目前中小企業(yè)員工均通過NAT來上網(wǎng)，這樣單純?cè)诨ヂ?lián)網(wǎng)上無法準(zhǔn)確定位訪問者，即使有些分支機(jī)構(gòu)采取了NAT和上網(wǎng)行為管理設(shè)備，但這些設(shè)備對(duì)行為之記錄到IP地址，很難對(duì)應(yīng)到具體的人員。對(duì)此山石安全網(wǎng)關(guān)能夠在身份識(shí)別和角色確定的基礎(chǔ)上，對(duì)上網(wǎng)人員的行為（訪問了什么地址、進(jìn)行了什么操作、訪問的時(shí)間、訪問產(chǎn)生的流量等）進(jìn)行有效記錄，從而做到實(shí)名制審計(jì)?！居行Х舛翽2P和IM】P2P和IM的特點(diǎn)是，運(yùn)用動(dòng)態(tài)端口進(jìn)行訪問，對(duì)此傳統(tǒng)訪問控制的基礎(chǔ)是地址、協(xié)議和端口，這種控制方法根本無法從根本上封堵P2P和IM。山石安全網(wǎng)關(guān)支持的深度應(yīng)用識(shí)別，通過協(xié)議分析能夠有效鑒別出真實(shí)的應(yīng)用，再此基礎(chǔ)上進(jìn)行控制，方可實(shí)現(xiàn)對(duì)P2P和IM等通過動(dòng)態(tài)端口的應(yīng)用?！靖娴腢RL過濾】目前中小企業(yè)的URL過濾庫(kù)采用手工方式維護(hù)，這種方式無論從實(shí)效性、全面性上都存在明顯不足，山石網(wǎng)科安全網(wǎng)關(guān)內(nèi)置了一套完整的URL地址庫(kù)，具有超過2000萬條域名的分類Web頁(yè)面庫(kù)，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)。【對(duì)專線形成補(bǔ)充】目前中小企業(yè)各個(gè)分支機(jī)構(gòu)與總公司之間，通過專線實(shí)現(xiàn)縱向鏈接，并支撐縱向的業(yè)務(wù)訪問，而總公司和各個(gè)分支機(jī)構(gòu)都有互聯(lián)網(wǎng)的通道，該通道也可作為專線的備份鏈路，并且從節(jié)約投資的角度，甚至可以用互聯(lián)網(wǎng)通道取代專線，降低系統(tǒng)總體成本。山石安全網(wǎng)關(guān)支持的IPSEC VPN技術(shù)，可以在互聯(lián)網(wǎng)通道上提供安全保護(hù)，數(shù)據(jù)傳輸過程中采用加密、完整性校驗(yàn)措施，保障了數(shù)據(jù)的安全性?！緦?shí)現(xiàn)安全移動(dòng)辦公】通過SSL VPN解決了遠(yuǎn)程辦公的安全隱患，使移動(dòng)人員能夠安全、可靠地訪問企業(yè)網(wǎng)資源。43 / 43