上网行为审计及流量管理解决方案UAG建设方案建议

1 上网行为审计及流量管理解决方案 理念是人 们 对于不同事物从自身角度出发确定下来的正确看法，并用于指导人们的行为实践。正确 的 安全 建设 理念可以指导 用 户解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方。 迪普科技公司 提出的 智能安全 理念 ，体现了 迪普科技 在 网络 信息安全方面专业和独到的见解，使其成为客户最可信赖的 安全建设指导思想 。 在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。而应用自身的多样化、个性化特性 ，却与网络的 、标准化形成了天然难以逾越的矛盾。特别是随着万兆到核心 /千兆到桌面、 拟化、云计算、物联网、新技术新应用的不断增多，如何在标准化的网络基础设施上，使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终使 略与企业战略保持一致，是所有 商和用户面临的共同课题。 安全：从某种意义上讲安全是叠加于基础网络设施上的一层智能网，它通过安全域划分、访问控制、入侵防御等技术手段形成一套完整的端到端防护体系。但受制于技术积累的不足，传统的防护方案只能用于部分 对性能、功能、可靠性要求不高的场景，对大型数据中心、骨干网 /城域网、大型园区出口等场景则束手无策。 快速： 络游戏等的无节制使用，使企业网络流量呈现爆炸式增长，宝贵的网络资源被滥用；病毒等威胁的肆意泛滥，不仅会造成网络流量异常，甚至会导致业务瘫痪。单纯通过扩容网络带宽的方法已无法从根本上解决。 2 可用：应用服务的不断增多、流量压力的不断增加、访问延迟的不断增大，如何保证在线业务的持续可用？简单的通过扩容网络带宽和增加服务器的方法不仅成本大而且收效甚微。 为解决上述问题，迪普科技从“应用超乎想像”角度出 发，提供了一系列保证用户应用更安全、更快速、更可用的产品和解决方案。迪普科技具有一支业界领先的开发团队，基于多年的研究与积累，拥有自主开发的高性能的内容识别与加速芯片以及核心软件平台，目前已推出具有自主知识产权的应用防火墙、 侵防御系统、防毒墙、 计及流控、异常流量清洗、洞扫描系统、 站防护系统、 端接入控制、 度业务交换网关、 用交付平台、工业交换机及 一管理中心等系列 化产品。 迪普科技自主研发的 S 系统平台，是一个可剪裁、可伸缩的基础软件平台，可以提供丰富的组网能力、强大的数据流处理功能以及完善的虚拟化功能。迪普科技全系列产品均以高性能多核架构为硬件基础，并结合 线产品的处理能力都提高到万兆水平，即使在功能扩展的情况下依然不会影响设备性能，创新性的突破了安全产品受部署场景、功能和可靠性的限制；流控、 速等技术的综合使用，从 2 7 层提供差异化、层次化的应用加速解决方案，为客户提供前所未有的灵敏快捷的应用体验；另外，通过负载均衡、掉电保护 等技术，在大大降低客户总体拥有成本的同 时，有效保证了客户业务的高质量持续可用。 3 目前，政府制定了网络安全相关的法律法规，促使各行业必须遵循一定的安全标准，以帮助提高企业的攻击防范能力。为了帮助 用户构建等级安全体系，实现按需防御 需要，迪普科技对企业 境现状进行安全评估，为用户度身定制一 整 套 闭环的安全建设方案，并通过培训提升企业安全管理人员的素质，保证安全性的延续。 迪普科技的行为管控解决方案就是在这个安全理念指导下形成。 二、 行为管控解决方案 1 建设原则 通过统一管理平台管理整个网络及业务系统出口，对互联网出口的用户上网行为进行审计和带宽管理。 系统建成应为完整的可扩展的一套系统，实现数据处理、数据检索、日志存储、策略定制和分组管理等需要。 稳定性： 系统需具备高度的稳定性，支持 软 、硬 件 保障 系统的正常运行。 实用性： 主要技术和产品必须具有成熟、稳定、实用的特点，既要便于用户使用，又要便于系统管理。 先进性： 系统设计要采用成熟可靠的体系和软件硬件产品，应支持对主流技术、协议和标准的升级，以及有完备的技术支持团队。 4 开放性： 系统平台应是一个开放的且符合业界主流技术标准的平台，要适应学校应用对系统进行定制的要求。 扩展性： 系统应支持灵活组网和 网络改扩建的需要，能够快速部署和随网络结构进行调整，并无需改动平台主体结构和功能。 安全性： 要对数据库提供备份和恢复机制，对管理权限实行分组管理分组授权。 2 方案简述 在网关处部署 关产品， 有网络行为审计、流量分析与控制、访问控制和病毒防护等功能，其强大的行为管控功能，可规范员工上网行为，保护内部数据安全、防止机密信息泄漏；专用防病毒引擎，可抵御来自外网的各种恶意威胁；独特的安全助手功能保证终端的安全接入，并通过与 关的协作，为用户构建内外网一体化安全防护；基于行为和特征的应 用识别和控制技术，可对网络中 M 等各种应用进行有效管理，优化带宽使用效率。 设备提供日志保持、关键内容过滤等功能，满足国家公安部颁布的互联网安全保护技术措施规定（ 公安部令 第 82 令）要求。 5 3 主要功能 网行为管控，防止机密信息外泄，规避法律风险 在互联网出口处，部署 品，可对各种内网出入外网的信息与文件进行安全审计，这样可有效解决网络及业务系统内部泄密的问题。为保证管控效率，管理员可设置敏感关键字进行自动告警与阻断。 对于员工在上班时间访问网站、网络聊天、网络游戏、炒股、看电影、 件上传下载、 行为， 记录和分析，并可针对部门或个人进行策略性控制、屏蔽或免审计。 计上采用审计功能和应用特征分离的架构，提供专门的应用协议特征库，并定时进行特征库的更新。这种方式保证了 有全面、准确的网络流量识别能力，同时能够及时针对网络中新出现的业务进行准确识别，而且，升级特征库的过程中不会对用户的实际上网造成任何中断。 于网络用户组和网络应用组策略，可以灵活控制内部员工、部门以及组织的上网行为，其中网络用户组可以由管理者根据自身组织结构情况，将 不同的工作组、部门设置成不同网络用户组，然后针对这些网络用户组配置不同的上网控制策略，同时，对于部门中一些特权用户，如经理等，可以设置成免审计，从而保证必要信息的保密。 网上的协议类型众多，为了便于对这些协议进行管理， 过网络应用组将上千种能够识别的协议进行了分类，如网页浏览、即时通信聊天、 坛、网上视频、电子邮件、网络游戏、 等，管理员可以在制定策略时进行，直接引用网络应用组中的预定义类型。此外，系统还可以由用户根据自身业务情况，自定义网络应用组。通过网络应用组，可以大大减少管理人员 的策略配置工作量。 6 通过部署 以实现对上互联网用户的行为和内容实现统一审计和管理，在提高工作效率的同时避免业务系统敏感信息的泄露。 此外， 支持基于时间段的策略控制，控制用户或者用户组，在指定日期和时间段访问互联网服务的权限。 通过灵活的上网控制策略，管理者可以实现对各类上网行为的封堵功能，如即时通讯类（ 天）封堵、网游封堵、股票封堵、 量封堵、 及按照网址 /关键字封堵等等。 2P 全面管控，优化带宽资源，保护关键应用 用极大吞噬着网络及业务系统 的网络资源， 带宽占用问题已经成为 理者头痛的普遍问题 。目前绝大多数 件都不使用固定端口，因此基于传统的端口识别技术已无法有效识别和控制 用先进的深度包检测和行为检测技术，可全面封堵如迅雷、 用，对于加密和未知版本的 件，则通过网络行为智能学习技术对其封堵。同时，为满足带宽的按需使用， 对指定用户或部门，按时间段进行 制。 7 通过部署 以实现对现有网络带宽进行分析和管理，提高有限的带宽的使用率， 提高工作效率。 全边界保障企业业务的安心运行 置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确查杀各种变种病毒、未知病毒，部署在网络及业务系统的互联网出口构建绿色的境。 8 通过在互联网出口处部署网关防病毒，可以将病毒威胁抵御在外网，避免病毒对内部网络的困扰，同时与网络及业务系统现有的防病毒体系形成二重防护，进一步增强对病毒的防护能力。 捷、直观的统计，降低使用和维护成本 供设备本地日志管理和信息集中管理两种方式。可以按照严重程度、时间、用户名 /用户组、地址等维 度，进行系统日志、操作日志和业务日志管理。 通过 供的管理平台，可以对整个网络的产品进行配置、版本、特征库和日志管理，通过图形化和报表化的展现，可以让网络应用变得清晰化，从而降 9 低设备管理和维护陈本。 三、 上网行为监控技术说明 1 用户管理 对上网行为的监控需要对用户身份进行有效的管理，没有严格的认证就无法有效区分用户，也就无法部署差异化授权策略，自然无法有效防御身份冒充、权限扩散与滥用等。 品支持持丰富的身份认证方式： 证、用户名 /密码认证、 证、 证、 定认证，同时 支持与第三方认证服务器 联动进行用户身份认证，确保合法用户才可以正常接入网络； 下图是用户名 /密码认证的流程图，其他认证方式与该流程图类似 10 用 户 上 网向 用 户 推 送 认 证 界 面( 该 认 证 界 面 可 以 自 定义 )用 户 在 认 证 界 面 中输 入 合 法 的 用 户 名和 密 码 ， 提 交 U A 认 证通 过 I P 判 断 用户 是 否 通 过 认证已 经 通 过 认 证用 户 正 常 上 网没 有 通 过 认 证U A G 提 取 用 户输 入 的 用 户 名和 密 码 进 行 认证合 法 用 户非 法 用 户2 流量分析和控制 用特征分析和行为模型相结合的独有引擎设计，在不影响报文网络延迟的情况，精确识别各种网络应用； 共可以识别几百种网络应用，如下图所示，可以全面有效的对网络流量进行监控和管理，并且通过定期的协议库规则的升级，可以支持最新的网络应用流量； 11 以识别的主流应用如下： 1、 迅雷、电骡、 多种 量 2、 酷网、土豆网等各种网络视频流量 3、 浪 各种聊天软件流量 4、 魔兽世界、传奇等各种网络游戏流量 5、 同花顺、大智慧等各种股票软件流量 对于普通的网络应用， 用精确引擎检测技术，通过对网络报文的方向、网络报文的五元组、网络报文的长度、网络报文的负载部分进行深度扫描，精确识别该网络报文所属的网络应用； 对于 的网络应用， 了使用精确引擎检测技术进行检测以外， 过对 件的流量模型、行为模型和统计模型的分析，构建 件的通用检测技术，可以解决现有的 以后新出现的件的识别和统计，一劳永逸地解决 监控和管理； 一旦精确识别了网络应用，就可以对该网络应用进行允许、禁止和限制等各种管理策略，保证用户正常网络应用的带宽，限制 大量流量占用带宽； 12 下图是流量分析和控制的流程图： U A G 收 到 用 户 报 文将 用 户 报 文 送 入 行 为 模式 引 擎 进 行 识 别识 别 为 网 络 行 为精 确 引 擎 识 别 （ 通 过报 文 的 长 度 、 报 文 的负 载 内 容 、 报 文 的 方向 进 行 识 别 ）识 别 为 某 种 网 络 应 用将 该 网 络 应 用 或 者网 路 行 为 以 及 相 关流 量 信 息 进 行 统 计无 法 识 别 为 具 体 的 网 络 应 用按 照 用 户 配 置 的 流 量控 制 策 略 进 行 控 制 ，允 许 或 者 禁 止 用 户 进行 该 网 络 应 用 的 访 问通 过 图 表 等 方 式 展示 当 前 网 络 流 量 发布 情 况3 行为审计 各种网络应用日新月异，如何有效的监管上网行为，避免员工频繁地进行网络聊天、观看在线视频等非工作网络 业务，防止员工外发信息泄露公司机密信息，防止员工发表与法律法规不相符的相关言论，是每一个单位、企业、公司等面临的问题； 品通过内容审计引擎对各种网络应用进行扫描，提取各种虚拟帐号（如 码、 号、邮件地址等、论坛帐号），对外发的各种文件上传、论坛发帖、新闻回复等内容进行深度检测；具体的实现流程图如下： 13 U A G 收 到 用 户 报 文识 别 帐 号 信 息 ， 聊天 对 象 、 聊 天 内 容精 确 识 别 应 用 协 议聊 天 应 用 网 页 浏 览识 别 网 页 U R L 地址 ， 网 页 标 题邮 件 发 送识 别 邮 件 地 址 ， 收件 人 地 址 ， 邮 件 主题 ， 邮 件 内 容 ， 邮件 附 件论 坛 发 帖识 别 帐 号 信 息 ， 发帖 内 容F T P 应 用识 别 F T P 登 录 。 退出 ， 上 传 下 载 文 件名 、 文 件 内 容 过 滤4 防病毒功能 置的专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确查杀各种变种病毒、未知病毒，为企业构建绿色的 境 。 防病毒检测流程图如下： U A G 收 到 用 户 报 文精 确 识 别 应 用 协 议将 协 议 的 负 载 部 分进 行 提 取采 用 防 病 毒 引 擎 对负 载 进 行 扫 描发 现 病 毒 给 出 告 警信 息 和 对 应 的 策 略 14 四、 综合安全管理中心（ 术说明书 1 产品概述 随着互联网技术的发展提高，大多数企业都部署了或即将部署局域网（甚至是大型广域网络）。随着互联网技术的广泛部署，互联网上承载的信息越来越丰富，通讯越来越便捷，企业对互联网的依赖也越来越严重。相应的企业内的信息安全问题也就越来越突出，随着互联网接入的普及，互联网包含的丰富应用和便捷的通讯，为企业机密信息的外泄提供了更便捷更隐蔽的通道。同时来自互联网的满怀恶意的攻击、漫无目的的 扫描以及同样功能丰富的病毒木马，对企业的内网构成了严重的威胁。 为应对日益多元化和复杂化的安全威胁，传统的桌面安全软件已经无法完全有效的防御来自互联网的攻击，在信息安全方面更是无能为力。为了应对日益严重的威胁，相应的网络安全设备也就应运而生。应对网络攻击和病毒的防火墙和备，对内网提供网络安全和信息管理的 备等，安全设备的部署大大的增强了企业网络的安全性，提供了应对网络威胁的保护。 随着网络规模的扩大，安全设备在网络中得到大量的部署，同时在整个网络上不断对多个安全设备管理，更新和维护也变成了一项 日益复杂和耗时的工作。对于安全管理员来说，分别管理每个安全设备是一个复杂又低效的过程，同时这还将给网络安全带来新的风险。分别的安全信息管理设备更为安全管理员的审计、整理和分析安全事件，保护信息安全产生了严重的挑战。并且随着网络带宽的不断提升，对网络安全设备的性能产生了更高的挑战。由于网络性能的压力，导致网络安全设备在更丰富更深入更加自动化的安全事件统计分析上止步不前。同时随着网络规模的扩大分布式部署使这些特性的应用受到了限制。 为了应对这些新的安全问题， 合安全管理中心被设计和开发出来。目的将原本分布 在网络中，各自独立的安全点进行统一的管理和监控，形成一个集统计分析和管理配置于一体的安全解决方案。 合安全管理中心能够对来源自不同类型的不同设备的网络事件进行集中的管理，进行专业的深入的统计分析，并通过丰富的报表展示网络的各方面的安全状态。通过自动的分析、管理产 15 生告警通知管理员或自动联动安全设备进行防御。通过集中的配置对各安全设备进行管理。 合安全管理中心作为安全解决方案的中心将原本一盘散沙的各安全设备整合为一个完整的安全解决方案，以提供对整个网络的安全监控和管理。满足大型企业网络的安全管理需求 。 2 产品特性 支持对 包括应用防火墙、 站防护、漏洞管理等网络安全设备 ）的原始安全事件的统一接收存储。 支持对网络安全事件的统计和分析，并生成各种专业报表。提供网络流量、状态分析，用户行为审计的业务功能。 支持对安全事件的自动分析和告警联动 支持对 包括应用防火墙、 站防护、漏洞管理等网络安全设备 ）的集中配置管理 采用 B/S 架构，支持远程管理 3 在网络中的位置： 根据不同的网络环境和要求可以灵活的部署到不同的网络位置，只需要保证与被管理的网络设备间的通信即可 ，可以采用专用链路或公用链路。同时 16 4 技术简介 合安全管理中心可以作为独立的软件组件进行部署也可以与专用的件设备配合部署。 软件采用 构，内建 务器，使管理员可以在任意地方通过 合安全管理中心进行查看和管理。支持 内建数据库可以对海量的数据进行存储分析和管理。 日志接收器将设备发送的 私有格式日志进行接收和格式化后存入数据库。 配置下发通过 式进行远程配置。 17 要优势 构 提供方便快捷的使用体验，美观专业的界面展示 独立软件部署 将软件部署和硬件部署分开，可以根据实际的网络规模调整硬件性能。 易于安装使用 快速完成安装；提供直观熟悉的安装界面； 高效的统计分析 通过优秀的统计分析算法，为海量事件的统计分析提供了高效的保证，为管理员查看网络状态提供了快速的反应。 内置数据库 能够存储大量数据，并进行数据的聚合 日志接收 能够对各种格式的安全日志进行接收和处理。 集中管理 在 进行统一的配置，安全策略下发， 自动通过远程配置接 口