加強網(wǎng)絡(luò)安全的防范措施(2)

加強網(wǎng)絡(luò)安全的防范措施

　　當(dāng)然，以上技術(shù)手段的應(yīng)用，往往需要組織購買不同的IT設(shè)備：比如“一、提升邊界防御”和“四、垃圾郵件過濾”需要購買相應(yīng)的網(wǎng)關(guān)殺毒設(shè)備和防垃圾郵件設(shè)備，而“二、上網(wǎng)終端管理”則需要部署相應(yīng)的客戶端安全軟件，“五、優(yōu)化帶寬資源”目前有一些專門做流量控制的廠商能夠提供，如F5、Packeteer，但往往費用很貴，“七、外發(fā)信息審計”則涉及到一些監(jiān)控審計設(shè)備;而“三、有害內(nèi)容過濾”、“六、全面應(yīng)用管理”、“八、應(yīng)用權(quán)限設(shè)置”由于是新興領(lǐng)域，目前還基本沒有專門的廠商涉足。

　　購買這些不同的IT設(shè)備，一方面動輒幾十萬甚至上百萬的費用投入對于大部分的用戶來說都是難以接受的，另一方面由于這些設(shè)備分別來自不同廠商，管理界面各異，對IT維護和管理也是個巨大的挑戰(zhàn)和難題。

　　那么，有沒有這樣的一種解決方案，把以上8種技術(shù)手段都融入到一個設(shè)備里面，從而便捷靈活的實現(xiàn)對整個局域網(wǎng)上網(wǎng)行為的有效管理呢?我們很高興的看到國內(nèi)近幾年快速成長的網(wǎng)絡(luò)安全及邊界網(wǎng)絡(luò)方案供應(yīng)商深信服科技提供了這樣一種解決方案——SINFOR AC上網(wǎng)行為管理設(shè)備。該設(shè)備包含“訪問控制、帶寬流量管理、內(nèi)監(jiān)控、安全審計、外發(fā)信息管理及數(shù)據(jù)中心管理軟件”多個模塊功能，并擁有“郵件延遲審計”、“網(wǎng)絡(luò)客戶端準(zhǔn)入”、“P2P流量控制”等多項專利技術(shù)，此外，它還靈活的集成了“防火墻”、“網(wǎng)關(guān)殺毒”、“防垃圾郵件”等UTM安全模塊，客戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境和實際需求靈活選擇是否開啟，有效彌補了防火墻等傳統(tǒng)安全設(shè)備重外不重內(nèi)、對上網(wǎng)行為缺乏有效管理的不足。

　　在提升邊界防御和有害內(nèi)容過濾方面，深信服AC設(shè)備內(nèi)置了網(wǎng)關(guān)殺毒的模塊，同時針對病毒的來源和傳播途徑，AC上網(wǎng)行為管理設(shè)備還可以很好的配合客戶原有的殺毒軟件實現(xiàn)“治標(biāo)治本”的效果。AC網(wǎng)關(guān)里面的URL過濾功能，可以對常見的非法網(wǎng)址/非法BBS論壇直接實現(xiàn)過濾，AC網(wǎng)關(guān)提供的對HTTP/FTP下載及P2P軟件的封堵和管理功能也可以有效減少因為文件下載而引發(fā)的病毒傳播。尤其值得一提的是AC里面的SSL控制功能，可控制用戶通過SSL協(xié)議訪問的URL，并可對SSL協(xié)議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網(wǎng)站，大大降低了用戶被偽造的網(wǎng)上銀行、購物網(wǎng)站欺騙的幾率，避免用戶陷入“網(wǎng)絡(luò)釣魚”陷阱。

　　在上網(wǎng)終端安全管理方面，深信服AC上網(wǎng)行為管理設(shè)備提供了一個“客戶端準(zhǔn)入規(guī)則”(Network Admission Rules，NAR)認(rèn)證的功能，可以通過對客戶端安全性的評估來實現(xiàn)網(wǎng)絡(luò)訪問控制，更好的維護網(wǎng)絡(luò)安全防線。當(dāng)啟用了AC的NAR功能后，內(nèi)網(wǎng)用戶第一次發(fā)起互聯(lián)網(wǎng)連接請求時，NAR將動態(tài)分發(fā)準(zhǔn)入代理(Sinfor Ingress Agent，SIA)至客戶端主機。SIA是輕量級軟機代理，用于確定終端是否遵從管理員設(shè)定的安全策略，SIA可檢查預(yù)定義的和可定制的標(biāo)準(zhǔn)，比如該PC終端有沒有打最新的操作系統(tǒng)補丁、有沒有安裝殺毒軟件、殺毒軟件有沒有升級到最新版本。當(dāng)SIA將搜集到的客戶端信息傳回AC網(wǎng)關(guān)后，如果該PC終端的安全狀態(tài)不符合SIA的規(guī)則設(shè)置，AC網(wǎng)關(guān)將對該用戶執(zhí)行預(yù)定義的策略，比如直接禁止上網(wǎng)或彈出警告，從而有效避免某些員工因為忙碌或者偷懶而不安裝殺毒軟件和打補丁，或者雖然安裝了殺毒軟件但沒有做及時升級而引發(fā)的病毒事件。

　　在用戶身份認(rèn)證、應(yīng)用權(quán)限設(shè)置和外發(fā)信息審計方面，深信服AC網(wǎng)關(guān)采用了嚴(yán)格的身份認(rèn)證和不同的訪問權(quán)限策略，并可根據(jù)不同的時間段做靈活的時間管理，具有URL過濾、關(guān)鍵字過濾、上傳下載限制、深度內(nèi)容檢測、郵件過濾功能和獨特的郵件延遲審計功能等眾多功能，從而方便組織和企業(yè)把與工作無關(guān)的上網(wǎng)行為降到最低，讓員工更專注于工作，提高工作效率，并在技術(shù)措施上配合制度管理杜絕了內(nèi)部機密可能通過Internet泄漏的隱患。

　　在優(yōu)化帶寬資源方面，AC設(shè)備網(wǎng)關(guān)除了提供智能QOS，還為用戶展現(xiàn)了強大的流量控制功能，可以對內(nèi)網(wǎng)用戶組或終端進行流量控制，使得組織的網(wǎng)絡(luò)帶寬得到最充分有效地利用。

　　此外，深信服AC網(wǎng)關(guān)豐富的數(shù)據(jù)報表中心還能支持以圖表的方式對局域網(wǎng)內(nèi)人員的上網(wǎng)行為進行分析和歸納，如：每天上網(wǎng)情況的分析、訪問最頻繁的網(wǎng)站分析、應(yīng)用和流量排名等，并提供時間、服務(wù)、網(wǎng)站訪問、使用網(wǎng)絡(luò)流量等多種分類排行榜，為網(wǎng)絡(luò)管理員和決策者提供了最直觀的數(shù)據(jù)統(tǒng)計。