加強(qiáng)網(wǎng)絡(luò)安全的防范措施(2)
加強(qiáng)網(wǎng)絡(luò)安全的防范措施
當(dāng)然,以上技術(shù)手段的應(yīng)用,往往需要組織購買不同的IT設(shè)備:比如“一、提升邊界防御”和“四、垃圾郵件過濾”需要購買相應(yīng)的網(wǎng)關(guān)殺毒設(shè)備和防垃圾郵件設(shè)備,而“二、上網(wǎng)終端管理”則需要部署相應(yīng)的客戶端安全軟件,“五、優(yōu)化帶寬資源”目前有一些專門做流量控制的廠商能夠提供,如F5、Packeteer,但往往費(fèi)用很貴,“七、外發(fā)信息審計(jì)”則涉及到一些監(jiān)控審計(jì)設(shè)備;而“三、有害內(nèi)容過濾”、“六、全面應(yīng)用管理”、“八、應(yīng)用權(quán)限設(shè)置”由于是新興領(lǐng)域,目前還基本沒有專門的廠商涉足。
購買這些不同的IT設(shè)備,一方面動(dòng)輒幾十萬甚至上百萬的費(fèi)用投入對(duì)于大部分的用戶來說都是難以接受的,另一方面由于這些設(shè)備分別來自不同廠商,管理界面各異,對(duì)IT維護(hù)和管理也是個(gè)巨大的挑戰(zhàn)和難題。
那么,有沒有這樣的一種解決方案,把以上8種技術(shù)手段都融入到一個(gè)設(shè)備里面,從而便捷靈活的實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)上網(wǎng)行為的有效管理呢?我們很高興的看到國內(nèi)近幾年快速成長的網(wǎng)絡(luò)安全及邊界網(wǎng)絡(luò)方案供應(yīng)商深信服科技提供了這樣一種解決方案——SINFOR AC上網(wǎng)行為管理設(shè)備。該設(shè)備包含“訪問控制、帶寬流量管理、內(nèi)監(jiān)控、安全審計(jì)、外發(fā)信息管理及數(shù)據(jù)中心管理軟件”多個(gè)模塊功能,并擁有“郵件延遲審計(jì)”、“網(wǎng)絡(luò)客戶端準(zhǔn)入”、“P2P流量控制”等多項(xiàng)專利技術(shù),此外,它還靈活的集成了“防火墻”、“網(wǎng)關(guān)殺毒”、“防垃圾郵件”等UTM安全模塊,客戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境和實(shí)際需求靈活選擇是否開啟,有效彌補(bǔ)了防火墻等傳統(tǒng)安全設(shè)備重外不重內(nèi)、對(duì)上網(wǎng)行為缺乏有效管理的不足。
在提升邊界防御和有害內(nèi)容過濾方面,深信服AC設(shè)備內(nèi)置了網(wǎng)關(guān)殺毒的模塊,同時(shí)針對(duì)病毒的來源和傳播途徑,AC上網(wǎng)行為管理設(shè)備還可以很好的配合客戶原有的殺毒軟件實(shí)現(xiàn)“治標(biāo)治本”的效果。AC網(wǎng)關(guān)里面的URL過濾功能,可以對(duì)常見的非法網(wǎng)址/非法BBS論壇直接實(shí)現(xiàn)過濾,AC網(wǎng)關(guān)提供的對(duì)HTTP/FTP下載及P2P軟件的封堵和管理功能也可以有效減少因?yàn)槲募螺d而引發(fā)的病毒傳播。尤其值得一提的是AC里面的SSL控制功能,可控制用戶通過SSL協(xié)議訪問的URL,并可對(duì)SSL協(xié)議的證書做有效性檢查,允許或拒絕用戶訪問持有指定X.509證書的網(wǎng)站,大大降低了用戶被偽造的網(wǎng)上銀行、購物網(wǎng)站欺騙的幾率,避免用戶陷入“網(wǎng)絡(luò)釣魚”陷阱。
在上網(wǎng)終端安全管理方面,深信服AC上網(wǎng)行為管理設(shè)備提供了一個(gè)“客戶端準(zhǔn)入規(guī)則”(Network Admission Rules,NAR)認(rèn)證的功能,可以通過對(duì)客戶端安全性的評(píng)估來實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制,更好的維護(hù)網(wǎng)絡(luò)安全防線。當(dāng)啟用了AC的NAR功能后,內(nèi)網(wǎng)用戶第一次發(fā)起互聯(lián)網(wǎng)連接請(qǐng)求時(shí),NAR將動(dòng)態(tài)分發(fā)準(zhǔn)入代理(Sinfor Ingress Agent,SIA)至客戶端主機(jī)。SIA是輕量級(jí)軟機(jī)代理,用于確定終端是否遵從管理員設(shè)定的安全策略,SIA可檢查預(yù)定義的和可定制的標(biāo)準(zhǔn),比如該P(yáng)C終端有沒有打最新的操作系統(tǒng)補(bǔ)丁、有沒有安裝殺毒軟件、殺毒軟件有沒有升級(jí)到最新版本。當(dāng)SIA將搜集到的客戶端信息傳回AC網(wǎng)關(guān)后,如果該P(yáng)C終端的安全狀態(tài)不符合SIA的規(guī)則設(shè)置,AC網(wǎng)關(guān)將對(duì)該用戶執(zhí)行預(yù)定義的策略,比如直接禁止上網(wǎng)或彈出警告,從而有效避免某些員工因?yàn)槊β祷蛘咄祽卸话惭b殺毒軟件和打補(bǔ)丁,或者雖然安裝了殺毒軟件但沒有做及時(shí)升級(jí)而引發(fā)的病毒事件。
在用戶身份認(rèn)證、應(yīng)用權(quán)限設(shè)置和外發(fā)信息審計(jì)方面,深信服AC網(wǎng)關(guān)采用了嚴(yán)格的身份認(rèn)證和不同的訪問權(quán)限策略,并可根據(jù)不同的時(shí)間段做靈活的時(shí)間管理,具有URL過濾、關(guān)鍵字過濾、上傳下載限制、深度內(nèi)容檢測(cè)、郵件過濾功能和獨(dú)特的郵件延遲審計(jì)功能等眾多功能,從而方便組織和企業(yè)把與工作無關(guān)的上網(wǎng)行為降到最低,讓員工更專注于工作,提高工作效率,并在技術(shù)措施上配合制度管理杜絕了內(nèi)部機(jī)密可能通過Internet泄漏的隱患。
在優(yōu)化帶寬資源方面,AC設(shè)備網(wǎng)關(guān)除了提供智能QOS,還為用戶展現(xiàn)了強(qiáng)大的流量控制功能,可以對(duì)內(nèi)網(wǎng)用戶組或終端進(jìn)行流量控制,使得組織的網(wǎng)絡(luò)帶寬得到最充分有效地利用。
此外,深信服AC網(wǎng)關(guān)豐富的數(shù)據(jù)報(bào)表中心還能支持以圖表的方式對(duì)局域網(wǎng)內(nèi)人員的上網(wǎng)行為進(jìn)行分析和歸納,如:每天上網(wǎng)情況的分析、訪問最頻繁的網(wǎng)站分析、應(yīng)用和流量排名等,并提供時(shí)間、服務(wù)、網(wǎng)站訪問、使用網(wǎng)絡(luò)流量等多種分類排行榜,為網(wǎng)絡(luò)管理員和決策者提供了最直觀的數(shù)據(jù)統(tǒng)計(jì)。