互联网访问控制与审计解决方案.doc

互联网访问控制与审计解决方案深圳市深信服电子科技有限公司FOR 苏州高等职业技术学校 一、需求概述211 背景介绍212 需求分析21.2.1 网络访问行为记录和审计21.2.2 互联网上非法网站的访问及非法言论的发表21.2.3 网络效能和行为的统计、分析、报表等313 客户网络现状分析3二、解决方案421 NC上网行为管理设备功能介绍42.1.1监控与审计功能：全面记录用户的各种网络行为，做到有据可查42.1.2报表和检索：直观的上网数据统计、报表和海量日志检索52.1.3 强劲的性能：高性能架构提供大数据流量下流畅的内网使用体验622设备选型及介绍623实施效果7三、方案优点及给客户带来的价值831 网络行为记录、审计、统计、报表，有据可查832 过滤非法网站、管控无关网络行为933 管理网络带宽、提升带宽效率9四、典型客户9五、SINFOR NC安全网关主要技术优势105.1 单点登陆技术105.2 反钓鱼网站功能105.3 免审计Key功能115.4 数据中心及报表11六、深信服科技介绍及专利和荣誉1261 深信服科技介绍1262 SINFOR NC部分专利介绍1363 深信服科技部分荣誉1364 SINFOR NC部分荣誉1465 联系方式15互联网访问控制与审计解决方案 一、 需求概述11 背景介绍互联网的快速发展带动了校园网的迅速发展，一方面学生、老师、教职员工等上网条件得到改善，另一方面互联网的使用也给学校带来更高的网络使用危险性、复杂性和混乱。目前高校普通存在一种这样的现象，上课时间学生在宿舍打游戏、看电影、浏览色情网站，通过BBS发表各种言论，包括某些不合适的言论还可能对学校造成法律隐患。 12 需求分析 随着网络技术的进步和Internet接入的普及，不仅政府、企业等应用了互联网技术持续创造价值，高等院校、中小学校等教育机构也在互联网应用的带动下，方便了老师、同学们的学习和生活。但是互联网资源的良莠不齐，需要对内网用户的互联网访问行为进行管理和规范，以构建高效、安全的互联网应用。随着苏州工业园区职业技术学校的发展，信息化建设步伐的加快，苏州工业园区职业技术学校的网络安全问题也日益严峻，虽然在网络出口处已部署了专门的防火墙设备，抵御了外部的入侵，对学校的内网进行了一定的安全防护，但是无法对师生员工的上网情况有一个了解，也无法了解校园网的运行状态。最近公安部82号令相关规定，所有上网的单位必须保持内网用户60天前的上网记录，以出现问题时方便公安机关排查。但由于传统的防火墙、路由器、交换机产品只负责网络的运转，而不对网络的详细运行状态做分析，正是在这种情况下，需要一种设备能够对学校园网的运行情况作一个详细的了解，如师生员工在什么时候、什么地点、访问了什么网络行为，这些网络行为是否能记录下来？除此之外在内网用户日常使用互联网的过程中还遇到了其他一些问题：1.2.1 网络访问行为记录和审计纵观业界，由于互联网违规违法行为而导致被网监部门追查的情况时有发生。为了避免苏州工业园区职业技术学校也遭遇类似的问题，我们需要未雨绸缪的，对内网用户的互联网访问行为进行记录和审计，以便一旦发生类似网络违法事件时，能够有据可查。考虑到苏州工业园区职业技术学校内网用户规模巨大，另外公安部82号令要求行为日志至少留存60天的要求，所以必须要具备完善的海量日志记录和审计功能。1.2.2 互联网上非法网站的访问及非法言论的发表由于互联网的开放和不可控等因素，导致互联网上存在部分色情、暴力、反动网站论坛等。如果内网处于青春期的高校学生访问，甚至发布不负责的网络言论后，一旦公安部门追查势必影响学校的声誉和给社会生活带来负面影响。所以为了给学生营造一个健康绿色的互联网环境，同时遵守国家有关互联网法律法规，需要限制和过滤内网用户访问非法网站，过滤内网用户向公网发布的不负责的网络言论等等。1.2.3 网络效能和行为的统计、分析、报表等如何满足公安部82号令要求“网络行为访问记录留存至少60天”的要求？如何统计获知上一周流量最大的前十名用户？如何统计获知上一个月内发送邮件最多的前十名用户？进一步如何形成柱状图、饼状图、曲线图等图表，更加直观的对整个网络的效能和用户行为进行分析和统计？这些都是苏州工业园区职业技术学校此次项目中需要考虑的问题通过以上综合分析，我们发现，用户网络中原有的防火墙等传统网络安全设备，在提供传统的解决手段和方案的同时，对于解决以上提到的问题已经捉襟见肘。苏州工业园区职业技术学校需要一套采用前沿网络技术的解决方案，不仅需要具有丰富的功能，同时高性能也是必须考虑的指标之一。13 客户网络现状分析苏州工业园区职业技术学校目前的内部网络拓扑简图如下：请添加客户拓扑结构通过以上拓扑简图可见，整体结构上，内网众多用户和网络流量汇聚到核心交换机后，接入到互联网。而在互联网的接口处，当前仅部署有传统防火墙等安全网关设备，对进入网络的流量能够根据源IP、源端口、目的IP、目的端口等进行一定的管理，但是对于内网用户访问非法网站、发表各种网络言论、记录网络行为日志、统计和报表等功能，则现有的防火墙等无法实现。二、解决方案 21 NC上网行为管理设备功能介绍2.1.1监控与审计功能：全面记录用户的各种网络行为，做到有据可查SINFOR NC完善的访问审计和监控功能，全面记录内网用户的各种网络访问行为。对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，NC也能够完全监控和记录等；对于Email邮件行为，采用深信服“邮件延迟审计”专利技术保证先审计后发送；对于通过Webmail站点发送邮件，全面记录邮件正文和附件等；对于QQ、MSN等聊天内容提供全面的记录功能。 SINFOR NC的访问审计/监控模块为机构构筑了强大的内部安全屏障。针对不同的用户、用户组，通过简单的勾选，即可完成差异化的行为审计功能：而组织高层领导的网络行为、收发的Email等关乎机构的发展命运，NC通过业界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。表2.1：访问审计功能一览表功能详细指标实时会话监控实时对用户会话数进行排名；可查看指定用户当前具体会话信息；实时流量监控和用户冻结实时对用户产生的流量，包括上行和下行流量，进行排名和查看；对于异常流量用户，支持对其进行临时冻结，阻止其网络访问，并能够在冻结时间段结束后，自动解冻实时连接监控实时监控用户的连接情况，并能够断开指定用户的指定连接；访问网站监控分组、分用户监控用户访问的所有网址、网页标题或整个网页内容，或只记录含有指定关键字的网页内容网络言论监控分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论邮件监控可监控用户发送、接收的所有邮件包含附件邮件延迟审计对于敏感邮件，NC先拦截，经人工审核后再决定是否发送到公网IM软件监控能够监控和记录QQ聊天内容，以及市面上流行的所有聊天软件的聊天内容，包括：QQ、Gtalk、新浪UC、网易泡泡、Skype等FTP监控分组、分用户监控记录通过FTP上传的文件（内容）和FTP上传下载行为Telnet监控可监控用户Telnet行为其它网络行为监控可监控用户的其它所有网络行为管理员/系统日志记录支持对所有管理员的操作日志，系统日志的记录和审计免监控功能支持指定用户使用“免审计key”，实现对该用户所有网络访问行为的免监控功能自动邮件告警对特定安全事件支持通过邮件自动告警2.1.2报表和检索：直观的上网数据统计、报表和海量日志检索机构内网用户每天的各种行为日志记录可达数十G，为了满足公安部82号令存储至少60天的要求，SINFOR NC网关通过外置数据中心实现了日志的海量存储，强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SINFOR NC网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容，甚至是查找内网用户的泄密证据、法律违规证据？NC数据中心提供的内容检索工具，通过类似Google的界面，让您轻松实现。表2.2：数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况网络监控日志包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况准入规则日志包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看安全日志包含防火墙相关日志信息，及机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息数据报表功能支持独立于网关的网络监控数据报表中心，可在一个报表中心以WEB方式查看多台网关设备的监控数据报表分析功能支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理员设定，数据中心能够自动将指定时间段的指定统计查询结果汇总成PDF、Excel等报表文件，发送到指定Email邮箱内容检索通过类似Google的搜索界面，实现对海量日志信息的内容搜索日志库管理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可创建不同权限的数据中心管理员2.1.3 强劲的性能：高性能架构提供大数据流量下流畅的内网使用体验深信服科技SINFOR NC上网行为管理网关采用专用的高性能体系架构，并且通过采用专用的高端网络硬件平台，为业界诸多用户提供了优异的解决方案，并且在业界诸多大型客户的成功实施案例，是SINFOR NC的高性能的最好明证：22 设备选型及介绍根据对苏州工业园区职业技术学校的需求的分析，本方案推荐使用深信服科技的NC-600内网行为管理设备，它隶属于NC产品系列。NC-600系列设备是中高端内网行为管理产品中的典范，是安全防范意识强、需要管理和控制互联网访问的用户的第一选择。目前已经成功运行在政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。终上所述，NC-600内网行为管理设备在这个项目上是十分合适的，以下是此设备的基本性能参数：SINFOR NC-600性能参数表：结构规格项目项目描述NC-600外部特性物理尺寸43.9(W)55(D)8.5(H)工作温度10 50 工作湿度590%，非冷凝重量20kg冗余电源无1000M网络接口WAN1DMZ1LAN1扩展接口GBIC千兆光口* 2串口1USB口1工作模式路由模式支持旁路模式支持网桥模式支持Bypass支持支持性能特性吞吐量1.5Gbps最大并发连接数1200000转发时延0.1ms最大时间规则数目1024最大QOS规则数目1024最大防火墙规则数目65535 部署方式采用网桥方式部署能够支持超过3000用户的并发。23 实施效果通过与苏州工业园区职业技术学校相关人员的沟通，我们推荐最终的部署图如下：从以上部署拓扑图可以看到，通过将深信服科技SINFOR NC上网行为管理网关一网桥模式连接在苏州工业园区职业技术学校的核心交换机与防火墙之间，将对经过核心交换机的各种流量都进行审计和记录，并对内网用户发生的访问非法网站、发表不合适的网络言论的法律违规行为进行有效的过滤和限制。三、方案优点及给客户带来的价值通过深信服科技的上网行为管理Sinfor NC-600在苏州工业园区职业技术学校的具体实施给客户带来以下价值：31 网络行为记录、审计、统计、报表，有据可查 业界我们熟知的网络违法事件层出不穷：网络间谍、网络泄密、网络造谣、非法言论等。如果内网用户、内网学生利用学校网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的压力承担者。内网用户、内网学生访问的网页URL地址、网页标题、甚至整个网页正文内容，NC都能够全面记录；向公网论坛、BBS发布的网络言论，NC不仅可以过滤，而且可以全面记录网络上传的内容；Email邮件行为，IM聊天行为、网络游戏行为、网络炒股行为等等，NC都能够全面记录。对于苏州工业园区职业技术学校，巨大的用户规模每天产生的网络访问行为日志可达数十G，如何存储海量日志，并能够方便的查询、审计、统计、报表等？深信服科技独创的提供了数据中心功能，并且支持第三方独立日志中心，实现了日志的海量存储。海量日志的审计、查询等，不影响网关的性能，尤其自动报表功能，可以将管理者感兴趣的统计结果等，自动形成PDF等文档后，发送到指定邮箱，管理者可以轻松方便的获知网络的运行情况。法律遵从和举证内网用户个人偏好导致的非正当网络行为，例如访问色情、反动网站等，NC能有效过滤和拦截；NC亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在NC数据中心中找到相关记录作为法律举证的重要依据。NC通过独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。32 过滤非法网站、管控无关网络行为 内网用户访问非法网站、发表非法言论等，通过NC将得到灵活的管理。网页过滤策略原本用于学习的网络资源，却被用来浏览色情、非法网站、不负责网络言论发表等。NC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定的用户、指定的学校、指定的部门访问特定的网站，过滤非法网站访问。各种行为的管理网页过滤的管控只是内网行为管理的一部分。内网用户利用学校网络下载未看完的电视剧，搜索最新网络新闻、图片、视频，更新博客、上传图片、下载电影、程序等问题，NC通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户的精力更多的拒绝在学习和工作上。上网时间管理每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。NC通过为不同部门、不同用户、不同学校，基于时间段进行权限分配，也可以限制内网用户一天内总的上网时间，实现人性化管理。33 管理网络带宽、提升带宽效率带宽统计和管理NC的数据中心对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以了解哪些行为占用了带宽资源，并能自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况。NC针对不同用户(组)结合具体应用进行合理的带宽通道划分，如为不同接入学校分配带宽资源，为内网的领导用户组，教师用户组的网络访问行为分配带宽资源等，提升带宽资源的使用效率。 四、典型客户政府行业教育科研企业中国环境监测总站中国电信福建分公司吉林大学中国邮电器材集团北京崇文区统计局中国电信重庆分公司沈阳大学四川长虹电器股份公司卫生部卫生监督中心中国银行广东省分行江西省委党校东风日产乘用车公司北京市劳动局中国人民银行烟台分行上海外语学院长安汽车江苏省疾控中心中国银行天津分行北京理工大学中国港湾工程公司江苏省政协哈尔滨商业银行北方交通大学橡果国际云南省监狱管理局华夏基金茂名市电白教育局玖龙纸业（重庆）公司南昌市信息中心东北证券广州广播电视大学东莞步步高江西省委党校中银保险有限公司四川警察学院北京首都旅游集团郑州市商务局贵州太平洋财产保险浙江职业艺术学院四川新华书店包头市国土资源局北京电力公司浙江省经贸学院安徽省电视台湖州市环保局华能澜沧江水电成都勘测设计院上海中远物流公司广州黄浦区政府中电投高级培训中心中科院水生所龙旗科技北海舰队中国电能成套设备公司中铁大桥勘测院北京宅急送快运公司（深信服SINFOR NC上网行为管理广泛应用于全国近一万八千多家用户）五、SINFOR NC安全网关主要技术优势5.1 单点登陆技术NC为内网用户提供账号/密码等认证方式，结合单点登录技术(Single Sign On, SSO)将避免手工输入帐号信息以简化操作。NC通过数据包监听方式即可支持LDAP单点登录功能。内网用户采用域账号登陆操作系统后，自动通过NC认证，简化用户操作，且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet，进一步降低机构信息资产外泄的风险。NC的POP3、PROXY单点登录功能启用后，内网用户只需收发一下Email、或触发PROXY服务器的认证后，也将自动通过NC认证，极大的方便了用户的使用。5.2 反钓鱼网站功能网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户毫不知情时泄露自己的账户信息，导致银行资金被“网络姜太公”轻易盗取。网上金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页。您访问网上银行时看到地址栏是“HTTPS”形式的URL地址，网页正文点击右键可以看到数字证书、浏览器右下角有小锁头标示。但钓鱼网站同样可以完全模仿这些，导致用户上当受骗。可见如果不能甄别和过滤SSL加密网页，则该行为管理方案、网络过滤设备是不完备的。而NC内置可信任数字证书颁发机构信息，并可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。钓鱼网站采用非可信颁发机构的数字证书，可以蒙骗用户，但却被NC识别和过滤，避免了用户和机构的经济损失。5.3 免审计Key功能机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，怎样防止此类用户行为的记录？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户进行行为记录，怎么办？NC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。在NC上为总裁、财务部相关人员创建帐户信息时，为用户指定DKEY认证，并“启用DKEY防监控”功能，为用户生成“免审计Key”。总裁使用该“免审计Key”认证后，NC从底层免除对总裁的一切记录。可能“总裁”会有疑问，如果“非善意”人员私下取消设备配置界面上的“启用DKEY防监控”怎么办？无须担心，此时总裁再插入该“免审计Key”后会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。5.4 数据中心及报表记录用户网络行为，不仅满足公安部82号令等法律要求，又做到了有据可查。大型机构每天产生数十G的日志数据，通过NC的外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向机构高层汇报。如何快速检索海量日志中管理者感兴趣的内容？NC已经为您想到了。通过NC数据中心的内容检索工具，您可以类似使用Google一样，从海量日志中查询、审计您需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。六、深信服科技介绍及专利和荣誉61 深信服科技介绍 深信服科技有限公司致力于提升商业用户互联网带宽价值。利用创新、高性价比的产品，围绕商业用户Internet带宽资源，帮助用户降低成本（IPSec VPN实现网间互联）、提高效率（SSL VPN实现随时随地的移动办公、网间加速技术大幅度提升广域网速度）、防范风险（上网行为管理设备全面维护内网安全）等，提升Internet带宽价值。公司现有产品包括SSL VPN，上网行为管理，广域网加速设备和IPSec VPN等。从2000年底成立至今，公司以每年销售收入增长23倍、人员增长1倍的速度高速发展，在近三年连续入选德勤中国高科技、高成长50强。深信服科技坚持自主研发、每年将销售收入的15投入产品研发，目前已申请近30项网络及安全领域发明专利。目前，深信服科技在全国三十余个大中城市设立有直属办事处，服务销售网络遍布全国。截止到2007年底，“SINFOR”系列产品已经应用于1.2万多家客户、连接着国内外数万个网络，移动用户数量更是超过数十万个，在政府、金融、电信、教育、电网电力、石油石化、民航、物流、制造等诸多行业有着大规模的成熟应用。62 SINFOR NC部分专利介绍 深信服科技立足自主研发，目前各产品线已经申请了近30项专利技术，其中NC产品的部分专利如下：200510037455.1 一种在网关、网桥上实现用户安全接入外网的方法 200510037454.7 一种电子邮件的安全审查方法 200610062252.2 一种基于网关/网桥的防间谍软件侵犯方法 200610061591.9 一种基于网关/网桥的线路自动选路方法 200610156977.8 一种基于网络应用中的P2P流量识别控制方法 200710075287.4 利用网络设备实现代理服务器负载均衡的方法 200710072997.1 基于网关、网桥防范网络钓鱼网站的方法63 深信服科技部分荣誉深信服科技（SINFOR）不断为用户提供创新的解决方案，不仅得到了用户的认可和支持，也得到了媒体和国家有关部门的认可。2005、2006、2007连续三年入选德勤中国高科技、高成长50强，亚太地区高科技高成长500强高交会自主知识产权证书高新技术企业证书商用密码产品生产定点单位证书商用密码产品销售许可证公安部SINFOR NC上网行为管理网关检验报告64 SINFOR NC部分荣誉深信服科技NC上网行为管理设备自2004年进入市场，截止2007年底已经服务于近5000家客户，同时也得到了众多媒体和机构的高度评价和认可，部分如下：2004年，计算机世界年度产品奖2004年，中国计算机报编辑选择奖2005年，计算机产品与流通编辑推荐奖2005年，中国计算机报CIO选择奖2006年，中国国际高新技术成果交易会优秀产品奖2006年，计算机世界年度产品奖2006年，中国网络技术与产品调查“网管员最喜爱的上网行为管理产品奖”65 联系方式地址：深圳南山区麒麟路1号创业中心四楼 邮政编码：518052市场咨询免费热线：800 830 9565传 真：0755-26581959邮 箱：mastersinfors.com.cn深信服电子科技有限公司湖北分公司地址：武汉市洪山区珞瑜路鹏程国际A座1712室电话：027-87860082传真：027-87740343技术支持免费热线：800 830 6430 传 真：0755-86182104邮 箱：supportsinfors.com.cn深信服科技网址：http:/www.sinfors.com各地办事处联系方式，请登陆深信服科技网站查阅。