典型中小企业网络边界安全解决预案

60/60典型中小企业网络边界安全解决方案典型中小企业网络边界安全解决方案意见征询稿HillstoneNetworksInc.2010年9月29日目录1 前言 41.1 方案目的 41.2 方案概述 42 安全需求分析 62.1 典型中小企业网络现状分析 62.2 典型中小企业网络安全威胁 82.3 典型中小企业网络安全需求 102.3.1 需要进行有效的访问操纵 102.3.2 深度应用识不的需求 112.3.3 需要有效防范病毒 112.3.4 需要实现实名制治理 112.3.5 需要实现全面URL过滤 122.3.6 需要实现IPSECVPN 122.3.7 需要实现集中化的治理 123 安全技术选择 133.1 技术选型的思路和要点 133.1.1 首要保障可治理性 133.1.2 其次提供可认证性 133.1.3 再次保障链路畅通性 143.1.4 最后是稳定性 143.2 选择山石安全网关的缘故 143.2.1 安全可靠的集中化治理 153.2.2 基于角色的安全操纵与审计 163.2.3 基于深度应用识不的访问操纵 173.2.4 深度内容安全(UTMPlus®) 173.2.5 高性能病毒过滤 183.2.6 灵活高效的带宽治理功能 193.2.7 强大的URL地址过滤库 213.2.8 高性能的应用层管控能力 213.2.9 高效IPSECVPN 223.2.10 高可靠的冗余备份能力 224 系统部署讲明 234.1 安全网关部署设计 244.2 安全网关部署讲明 254.2.1 部署集中安全治理中心 254.2.2 基于角色的治理配置 294.2.3 配置访问操纵策略 304.2.4 配置带宽操纵策略 314.2.5 上网行为日志治理 334.2.6 实现URL过滤 354.2.7 实现网络病毒过滤 364.2.8 部署IPSECVPN 374.2.9 实现安全移动办公 385 方案建设效果 38

前言方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业职员处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。依照当前国内企业的进展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的治理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依靠也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严峻的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严峻威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、职员有意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从治理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全操纵和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给职员进行上网访问，同时总部的互联网出口也作为网站公布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：实现有效的访问操纵：对职员访问互联网，以及职员访问业务系统的行为进行有效操纵，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；实现有效的集中安全治理：中小型企业的治理特点为总部高度集中模式，通过网关的集中治理系统，中小企业能够集中监控总部及各个分支机构职员的网络访问行为，做到可视化的安全。保障安全健康上网：对职员的上网行为进行有效监控，禁止职员在上班时刻使用P2P、网游、网络视频等过度占用带宽的应用，提高职员办公效率；对职员访问的网站进行实时监控，限制职员访问不健康或不安全的网站，从而造成病毒的传播等；爱护网站安全：对企业网站进行有效爱护，防范来自互联网上黑客的有意渗透和破坏行为；爱护关键业务安全性：对重要的应用服务器和数据库服务器实施爱护，防范病毒和内部的非授权访问；实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户治理措施，通常通过AD域的方式来实现，因此关于访问操纵和行为审计，可实现基于身份的监控，实现所谓的实名制治理；实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平常作为职员上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSECVPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；对移动办公的安全保障：利用安全网关的SSLVPN功能，提供给移动办公人员进行远程安全传输爱护，确保数据的传输安全性；安全需求分析典型中小企业网络现状分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给职员进行上网访问，同时总部的互联网出口也作为网站公布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可依照自己的人员规模，采纳合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采纳三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行操纵；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：典型中小企业组网结构示意图典型中小企业网络安全威胁在没有采取有效的安全防护措施，典型的中小型企业由于分布广，同时架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临专门多的安全威胁，其中典型的网络安全威胁包括：【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问操纵的前提下专门容易受到非法和越权的访问；尽管大多数软件都实现了身份认证和授权访问的功能，然而这种操纵只体现在应用层，假如远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端差不多上相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；【恶意代码传播】大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，然而随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发觉有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范ARP欺骗】大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，特不是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺骗确实是某台主机伪装成网关，公布虚假的ARP信息，让内网的主机误认为该主机确实是网关，从而把跨越网段的访问数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严峻的则将会引起泄密；【恶意访问】关于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有打算地分配带宽资源，保障关键业务的进行，这就要求不管针对专线所转发的访问，依旧互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，幸免因某几台终端过度抢占带宽资源而阻碍他人对网络的使用。这种恶意访问行为包括：过度使用P2P进行大文件下载，长时刻访问网游，长时刻访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】常见的访问操纵措施，依旧QOS措施，其操纵依据差不多上IP地址，而众所周知IP地址是专门容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，如此一方面造成策略的制定特不苦恼，因为中小型企业内职员的身份是分级的，每个职员因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成操纵缺陷，即低级不职员伪装成高级不职员的地址，从而可占用更多的资源。身份与行为的脱节的阻碍还在于日志记录上，由于日志的依据也是依照IP地址，如此对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，然而由于该平台面向互联网开放，专门容易受到黑客的攻击，其中最典型的确实是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击的主机或网络设备长时刻处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为确实是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；【不安全的远程访问】关于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是专门一种提高系统可靠性，并充分利用现有网络资源的极好方法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临专门多的安全威胁，最为典型的确实是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严峻的损失。【缺乏集中监控措施】典型中小型企业的特点是，集中治理，分布监控，然而在安全方面目前尚缺乏集中的监控手段，关于各分支机构职员的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和治理手段，一旦发生安全事件，将专门难快速进行察觉，也专门难有效做出反应，事后也专门难取证，使得企业的安全治理无法真正落地。典型中小企业网络安全需求针对中小企业在安全建设及运维治理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的治理。需要进行有效的访问操纵网络安全建设的首要因素确实是访问操纵，操纵的核心是访问行为，应实现对非许可访问的杜绝，限制职员对网络资源的使用方式。中小企业的业务多样化，必定造成访问行为的多样化，因此如何有效鉴不正常的访问，和非法的访问是特不必要的，特不是针对中小企业职员对互联网的访问行为，应当采取有效的操纵措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。关于中小企业重要的应用服务器和数据库资源，应当有效鉴不出合法的业务访问，和可能的攻击访问行为，并分不采取必要的安全操纵手段，保障关键的业务访问。深度应用识不的需求引入的安全操纵系统，应当能够支持深度应用识不功能，特不是对使用动态端口的P2P和IM应用，能够做到精准鉴不，并以此为基础实现基于应用的访问操纵和QOS，提升操纵和限制的精度和力度。关于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识不做到差异化的操纵，提升系统总体的维护效率。需要有效防范病毒在访问操纵的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。需要实现实名制治理应对依托IP地址进行操纵，QOS和日志的缺陷，应实现基于用户身份的访问操纵、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当职员接入办公网并对互联网访问时，先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网请求时，依照IP地址来索引相关的认证信息，确定其角色，最后再依照角色来执行访问操纵和带宽治理。在日志记录中，也能够依照确定的身份来记录，使得日志能够方便地追溯到具体的职员。需要实现全面URL过滤应引入专业性的URL地址库，并能够分类和及时更新，保障各个分支机构在执行URL过滤策略是，能够保持一致和同步。需要实现IPSECVPN利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。然而由于互联网平台的开放性，假如将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSECVPN功能，对传输数据进行加密和完整性爱护，保障数据传输的安全性。需要实现集中化的治理集中化的治理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置治理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化治理的前提确实是统一品牌，统一设备，而从投资爱护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。安全技术选择技术选型的思路和要点现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前治理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。首要保障可治理性网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着特不重要的意义，因此系统必须能够被统一治理起来，实现日志行为，特不是各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可依照自身的特点，在不违背全局性策略的前提下，进行灵活定制。其次提供可认证性设备必须能够实现基于身份和角色的治理，设备不管在进行访问操纵，依旧在QOS，依旧在日志记录过程中，依据必须是真实的访问者身份，做到精细化治理，可追溯性记录。关于中小企业而言，设备必须能够与中小企业的AD域治理整合，通过AD域来鉴不用户的身份和角色信息，并依照角色执行访问操纵和QOS，依照身份来记录上网行为日志。再次保障链路畅通性关于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够依照出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障职员的正常上网。目前中小企业利用互联网的要紧应用确实是上网扫瞄，因此系统应提供强大的URL地址过滤功能，对职员访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低治理难度，提高操纵精度。中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。最后是稳定性选择的产品必须可靠稳定，选择产品形成的方案应尽量幸免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必定选择。另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。选择山石安全网关的缘故基于中小企业的产品选型原则，方案建议采纳的山石网科安全网关，在多核PlusG2硬件架构的基础上，采纳全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。山石网科安全网关在技术上具有如下的安全技术优势，包括：安全可靠的集中化治理山石网科安全治理中心采纳了一种全新的方法来实现设备安全治理，通过提供集中的端到端生命周期治理来实现精细的设备配置、网络设置、VPN配置和安全策略操纵。山石网科安全治理中心能够清晰地分配角色和职责，从而使设备技术人员、网络治理员和安全治理员通过相互协作来提高网络治理效率，减少开销并降低运营成本。利用山石网科安全治理中心，能够为特定用户分配适当的治理接入权限（从只读到全面的编辑权限）来完成多种工作。能够同意或限制用户接入信息，从而使用户能够作出与他们的角色相适应的决策。山石网科安全治理中心的一个关键设计理念是降低安全设备治理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全治理中心提供了一个综合治理界面以便从一个集中位置上操纵所有设备参数。治理员只需要点击几下鼠标就能够配置设备、创建安全策略或治理软件升级。同时，只要是能够通过山石网科安全治理中心进行配置的设备都能够通过CLI接入。山石网科安全治理中心还带有一种高性能日志存储机制，使IT部门能够收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，治理员还能够迅速生成报告来进行调查研究或查看是否符合要求。山石网科安全治理中心采纳了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道－安全服务器协议（SSP）相连接。SSP能够通过AES加密和SHA1认证来提供受到有效爱护的端到端的安全通信功能。利用通过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧道，从而大大提高了性能和灵活性。山石网科安全治理中心提供统一治理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络治理中心的所有工作人员能够协同工作。山石网科网络公司的集中治理方法使用户能够在安全性和接入便利性之间达成平衡，关于安全网关这类安全设备的大规模部署特不重要。基于角色的安全操纵与审计针对传统基于IP的访问操纵和资源操纵缺陷，山石网科采纳RBNS（基于身份和角色的治理）技术让网络配置更加直观和精细化，不同基于角色的治理模式要紧包含基于“人”的访问操纵、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的治理模式能够通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可幸免IP盗用或者PC终端被盗用引发的数据泄露等问题。另外，在采纳了RBNS技术后，使得审计记录能够直接反追溯到真实的访问者，更便于安全事件的定位。在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+操纵+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会依照确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后依照角色执行访问操纵，限制其访问范围，然后再对访问数据包进行深度检测，依照角色执行差异化的QOS，并在发觉非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。基于深度应用识不的访问操纵中小型企业的要紧业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，全然无法识不应用，更谈不上安全防护。Hillstone山石网科新一代防火墙能够依照顾用的行为和特征实现对应用的识不和操纵，而不依靠于端口或协议，即使加密过的数据流也能应付自如。StoneOS®识不的应用多达几百种，而且跟随着应用的进展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务能够实时更新，无须等待新版本软件公布。深度内容安全(UTMPlus®)山石网科安全网关可选UTMPlus®软件包提供病毒过滤，入侵防备，内容过滤，上网行为治理和应用流量整形等功能，能够防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库能够关心治理员轻松设置工作时刻禁止访问的网页，提高工作效率和操纵对不良网站的访问。病毒库，攻击库，URL库能够通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会专门快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击后，可不能阻碍到其他节点。同时山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能可不能造成过多阻碍。高性能病毒过滤关于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，然而传统病毒过滤技术由于需要在应用层解析数据包，因此效率专门低，导致开启病毒过滤后对全网的通信速度形成专门大阻碍。山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也确实是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。流扫描策略传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，同时旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时刻延迟。关于大文件，用户应用程序可能出现超时。山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，假如没有检查到病毒，则发送数据包流。由此，用户将看到明显的延迟改善，同时他们的应用程序也将更快响应。流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。基于策略的病毒过滤功能山石网科病毒过滤功能与策略引擎完全集成。治理员能够完全操纵以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被爱护。灵活高效的带宽治理功能山石网科产品提供专有的智能应用识不(IntelligentApplicationIdentification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（BitTorrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。山石网科QoS首先依照流量的应用类型对流量进行识不和标记。然后，依照顾用识不和标记结果对流量带宽进行操纵同时区分优先级。一个典型应用实例是：用户能够为关键网页扫瞄设置高优先级保证它们的带宽使用；关于P2P下载流量，用户能够为它们设置最低优先级同时限制它们的最大带宽使用量。将山石网科的角色鉴不以及IPQoS结合使用，用户能够专门容易地为关键用户操纵流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽操纵（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量操纵。山石网科设备能够为每个用户操纵应用流量并对该用户的应用流量区分优先级。例如，关于同一个IP地址产生的不同流量，用户能够基于应用分类结果指定流量的优先级。在IPQoS里面使用应用QoS，甚至能够对每个IP地址进行流量操纵的同时，还能够对该IP地址内部应用类型的流量进行有效管控。除了高峰时刻，用户经常会发觉他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。总之，通过采取山石网科产品所集成的带宽治理功能，能够在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清晰，这些有效治理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能猎取最高的效益和高附加值应用。强大的URL地址过滤库山石网科结合中国地区内容访问的政策、法规和适应量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会依照不同的策略，进行报警、日志、阻断等动作，实现健康上网；全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性，当时设备被部署到网络中后，各个设备均采纳统一标准的过滤地址库，在进行URL访问日志中也能够保持日志内容的一致性。高性能的应用层管控能力安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依靠于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可同意的。好的安全功能同样需要好的硬件平台去实现。山石网科安全网关具有丰富的应用层管控能力，包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令操纵功能等，能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。此外，山石网科安全网关均采纳多核系统架构，在性能上具有专门高的处理能力，能够实现大并发处理。高效IPSECVPN所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎，这保证了在CPU核数增加时，IPSec的性能得到相应提高，可不能成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高能够达到8Gbps，达到和防火墙一样的性能和设备极限。山石网科安全网关设备支持标准IPSec协议，能够保障与第三方VPN进行通讯，建立隧道并实现安全的数据传输。高可靠的冗余备份能力山石网科安全网关能够支持设备级不的HA解决方案，如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级不的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都可不能中断会话，为企业提供真正意义的网络冗余解决方案。山石网科安全甚至还能够提供VPN传输的状态同步，并包括SA状态的同步。

系统部署讲明关于中小企业，在设计边界安全防护时，首要进行的确实是安全区域的划分，划分安全域是信息安全建设常采纳的方法，其好处在与能够将原本比较庞大的网络划分为多个单元，依照不同单元的资产特点、支撑业务类型分不进行安全防护系统的设计，保障了安全建设的针对性和差异性。安全域的定义是同一安全域内的系统有相同安全爱护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有专门多困难。在本方案中，建议按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可依照业务类型的不同，将总部信息网络划分为ERP域、OA域、网站域、终端域和运维域等，而分支机构的域相对简单，由于只有终端，因此不再细分。安全网关部署设计划分安全域后，可在所有安全域的边界，特不是重要的业务系统安全域的边界配置安全网关即可，配置后形成的边界安全部署方案可参考下图：部署要点：通过总部配置的山石网科安全治理中心，集中监管各个分支机构边界部署的山石网科安全网关，对日志进行集中治理；同时各个分支机构本地也部署治理终端，在本地对网关进行监管；纵向链路的出口分不部署安全网关，实现对中小企业网的纵向隔离，对分支机构的上访行为进行严格操纵，杜绝非法或非授权的访问；安全网关启用源地址转换策略，在终端上网过程中进行转换，保障内网用户上网的要求，同时启用相应的日志，对上网行为进行有效记录；安全网关在分支机构上网出口的链路上，运用深度应用识不技术，有效鉴不出哪些是合法的HTTP应用，哪些是过度占用带宽的P2P和IM应用，对P2P和IM通过严格的带宽限制功能能进行及限制，并对HTTP执行保障带宽策略，保障职员正常上网行为；安全网关与中小企业的AD域认证整合，在确认访问者身份的基础上，进行实名制的访问操纵，QOS操纵，以及上网行为审计；安全网关内置全面的URL地址库，用以对职员的访问目标地址进行分类，关于非法网站进行封堵，且URL地址库能够自动升级，保障了该功能的持续性和完整性；安全网关运用IPSECVPN技术，实现与总部的加密传输，作为现有专线的备份链路，在不增加投资的前提下提升系统的可靠性。安全网关运用SSLVPN技术，对移动办公用户配发USBKEY，当其需要远程访问企业网时，利用USBKEY与总部互联网出口的安全网关建立VPN加密隧道，从而实现了安全可靠的远程访问。安全网关部署讲明部署集中安全治理中心通过在总部部署山石网科安全治理中心，然后对分布在各个分支机构边界的安全网关进行配置，使网关同意治理中心的集中治理来实现，并执行如下的集中监管。设备治理设备治理包括域治理和设备组治理，域和设备组差不多上用来组织被治理设备的逻辑组，域包含设备组。通过域的使用，能够实现设备的区域化治理；而通过设备组的使用，能够进一步将域中的设备进行细化分组治理。一台设备能够同时属于多个域或者设备组。只有超级治理员能够执行域的操作以及添加设备和完全删除设备，一般治理员能够执行设备组的操作，将设备从设备组中删除。设备差不多信息监管显示设备的差不多信息，例如设备主机名称、设备序列号、治理IP、设备运行时刻、接口状态以及AV相关信息等。通过客户端可查看的设备属性信息包括：设备差不多信息以及设备实时统计信息，包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息，使用户能够直观的了解当前设备的各种状态。日志扫瞄山石网科安全治理中心接收设备发送的多种日志信息，通过系统处理后，用户可通过客户端进行多维度、多条件的扫瞄。山石网科安全治理中心支持通过以下种类进行日志扫瞄：●系统日志●配置日志●会话日志●地址转换日志●上网日志流量监控山石网科安全治理中心能够实时监控以下对象的流量，并在客户端通过饼状图或者柱状图直观显示：●设备接口（TOP10）●指定接口TOP10IP，进而能够查看指定IP的TOP10应用的流量●指定接口TOP10应用，进而能够查看指定应用的TOP10IP的流量柱状图可分不按照上行流量、下行流量或者总流量进行排序；饼状图可分不依照上行流量、下行流量或者总流量显示不同的百分比。攻击监控山石网科安全治理中心能够实时监控以下对象的攻击情况，并在客户端通过饼状图或者柱状图直观显示：●设备接口遭受攻击（TOP10）●指定接口发起攻击TOP10IP，进而能够查看指定IP发起的TOP10攻击类型●指定接口TOP10攻击类型，进而能够查看发起指定攻击类型的TOP10IPVPN监控山石网科安全治理中心能够实时监控被治理设备的IPSecVPN和SCVPN隧道流量，并在客户端通过饼状图或者柱状图直观显示。基于角色的治理配置关于中小企业办公网而言，终端使用者的身份不尽相同，因此其访问权限，对资源的要求等也不尽相同，实现差异化的访问操纵与资源保障。对此可通过山石网科安全网关的RBNS（基于身份和角色的治理）策略来实现。RBNS包含三个部分：用户身份的认证、用户角色的确定、基于角色操纵和服务。在访问操纵部分，通过RBNS实现了基于用户角色的访问操纵，使得操纵更加精准；在QOS部分，通过RBNS实现了基于角色的带宽操纵，使得资源分配更加贴近中小企业办公网的治理模式；在会话限制部分，通过RBNS实现了基于角色的并发限制，关于重要用户放宽并发连接的数量，关于非重要用户则压缩并发连接的数量；在上网行为治理部分，通过RBNS实现了基于角色的上网行为治理；在审计部分，通过RBNS实现实名制审计，使审计记录能够便捷地追溯到现实的人员。在整合了AD域以及邮件系统后的实名制治理与操纵方案后，在职员上网访问过程中实现精细化的治理，大大降低了单纯依靠IP地址带来的安全隐患，也降低了配置策略的难度，还提升了日志的可追溯性；整合后实名制监管过程示意图配置访问操纵策略山石网科多核安全网关可提供广泛的应用层监控、统计和操纵过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识不，并依照安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量操纵和阻断等。StoneOS利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的猎取应用层信息，从而保证安全策略的有效实施。山石网科安全网关，作用在中小企业的互联网出口链路上，通过访问操纵策略，针对访问数据包，依照数据包的应用访问类型，进行操纵，包括：限制不被许可的访问类型：比如在只同意进行网页扫瞄、电子邮件、文件传输，现在当终端用户进行其他访问（比如P2P），即使在网络层同样使用TCP80口进行访问数据包的传送，但通过山石网科安全网关的深度应用识不后，分析出真实的应用后，对P2P和IM等过度占用带宽的行为进行限制；限制不被许可的访问地址：山石网科结合中国地区内容访问的政策、法规和适应量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会依照不同的策略，进行报警、日志、阻断等动作，实现健康上网；基于身份的访问操纵：传统访问操纵的基础是IP地址，然而由于IP地址的可修改性，使得操纵的精度大打折扣，特不是依照不同IP地址配置不同强度的访问操纵规则时，通过修改IP地址能够获得较宽松的访问限制，及时采纳了IP+MAC绑定，但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合，可实现基于“实名制”下的访问操纵，将大大提升了访问操纵的精度。配置带宽操纵策略针对外网的互联网出口链路，承载了职员上网的访问，因此必须应采取带宽操纵，来针对不同访问的重要级不，提供差异化的带宽资源。(能够实现基于角色的QOS)基于角色的流量治理基于山石网科的多核PlusG2安全架构，StoneOS®Qos将Hillstone山石网科的行为操纵以及IPQoS结合使用，用户能够专门容易地为关键用户操纵流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽操纵（入方向和出方向），这就相当于系统中可容纳多于40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量操纵。山石网科设备能够为每个用户操纵应用流量并对该用户的应用流量区分优先级。例如，关于同一个角色产生的不同流量，用户能够基于应用分类结果指定流量的优先级。对应用操纵流量和区分优先级山石网科提供专有的智能应用识不（IntelligentApplicationIdentification）功能，简称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（BitTorrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类；Hillstone山石网科还支持用户自定义的流量，并对自定义流量进行分类；同时山石网科能够结合强大的policy对流量进行分类。山石网科QoS首先依照流量的应用类型对流量进行识不和标记。然后，依照顾用识不和标记结果对流量带宽进行操纵同时区分优先级。一个典型应用实例是：用户能够为关键的ERP和OA流量设置高优先级保证它们的带宽使用；关于网页扫瞄和P2P下载流量，用户能够为它们设置最低优先级同时限制它们的最大带宽使用量。网吧用户能够用这种方法操纵娱乐流量并对娱乐流量区分优先级。带宽利用率最大化除了高峰时刻，用户经常会发觉他们的网络带宽并没有被充分利用。Hillstone山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性QoS还同意用户进行更加精细的操纵，同意某一类的网络使用者享有弹性QoS，另外一类不享有弹性QoS。以此功能用户能够为网络使用者提供差分服务。实时流量监控和统计山石网科QoS解决方案提供各种灵活报告和监控方法，关心用户查看网络状况。用户能够轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备提供带宽使用情况的历史记录，为今后分析提供方便。同时用户还能够自己定制想要的统计数据。上网行为日志治理通过山石网科安全网关，在实现分支机构职员上网访问操纵和QOS操纵的基础上，对行为进行全面记录，来操纵威胁的上网行为，并结合基于角色的治理技术，实现“实名制”审计，在本方案中将配置执行如下的安全策略：网络应用操纵策略规则网络应用操纵策略规则，是依照名称、优先级、用户、时刻表、网络行为以及操纵动作构成上网行为治理策略规则的差不多元素。通过WebUI配置上网行为治理策略规则，需要进行下列差不多元素的配置：策略规则名称–上网行为治理策略规则的名称。优先级-上网行为治理策略规则的优先级。当有多条匹配策略规则的时候，优先级高的策略规则会被优先使用。用户–上网行为治理策略规则的用户，即发起网络行为的主体，比如某个用户、用户组、角色、IP地址等。时刻表–上网行为治理策略规则的生效时刻，能够针对不同用户操纵其在特定时刻段内的网络行为。网络行为–具体的网络应用行为，比如MSN谈天、网页访问、邮件发送、论坛发帖等。操纵动作–针对用户的网络行为所采取的操纵动作，比如同意、拒绝某网络行为或者对该行为或者内容进行日志记录等。网页内容操纵策略规则网页内容操纵策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容操纵策略规则能够对用户访问的网页进行操纵。URL过滤策略规则能够基于系统预定义的URL类不和用户自定义的URL类不，对用户所访问的网页进行过滤。关键字过滤策略规则能够基于用户自定义的关键字类不，对用户所访问的网页进行过滤，同时，能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。外发信息操纵策略规则外发信息操纵策略规则包括Email操纵策略规则和论坛发帖操纵策略规则，能够对用户的外发信息进行操纵。Email操纵策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行操纵，能够依照邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过SSL代理功能操纵Gmail加密邮件的发送。论坛发帖操纵策略规则能够对通过HTTPPost方法上传的含有某关键字的内容进行操纵，如阻断内网用户在论坛公布含有指定关键字的帖子。例外设置关于专门情况下不需要上网行为治理策略规则进行操纵的对象，能够通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。分级日志治理模式示意图实现URL过滤山石网科结合中国地区内容访问的政策、法规和适应量身定制了强大的URL地址库，包含数千万条域名的分类web页面库，并能够实时同步更新，该地址库将被配置在所有分支机构出口的山石安全网关上，对职员访问的目标站点进行检查，保障健康上网。山石网科提供的URL过滤功能包含以下组成部分：黑名单：包含不能够访问的URL。不同平台黑名单包含的最大URL条数不同。白名单：包含同意访问URL。不同平台白名单包含的最大URL条数不同。关键字列表：假如URL中包含有关键字列表中的关键字，则PC不能够访问该URL。不同平台关键字列表包含的关键字条目数不同。不受限IP：不受URL过滤配置阻碍，能够访问任何网站。只同意用域名访问：假如开启该功能，用户只能够通过域名访问Internet，IP地址类型的URL将被拒绝访问。只同意访问白名单里的URL：假如开启该功能，用户只能够访问白名单中的URL，其它地址都会被拒绝。实现网络病毒过滤随着病毒技术的进展，网络型病毒（比如蠕虫、木马等）差不多被广泛应用了，这种病毒的特点是没有宿主就能够传播，在网络中快速扫描，只要发觉网络有许可的行为，就能够快速传播，其危害除了对目标主机造成破坏，在传播过程中也产生大量的访问，对网络流量造成阻碍，对此传统在主机上进行病毒查杀是不足的，对此问题就产生了病毒过滤网关，该系统类似于防火墙，采纳“空中抓毒“技术，工作在网络的关键节点，对通过网关的数据包进行过滤，在推断为是病毒的时候进行阻断，防止病毒利用网络进行传播。那个地点建议中小企业可利用安全网关的病毒过滤技术，对各个安全域在实行访问操纵的同时，进行有效的病毒过滤，杜绝某个安全域内（比如终端区域）的主机感染了病毒，该病毒无法穿越病毒过滤网关，从而无法在全企业网蔓延，造成更大的破坏。山石网科的病毒过滤能够有效解析出上十万种病毒，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus®G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，同时在并行扫描会话和最大可扫描文件方面提供高升级性。病毒过滤系统同样也大大提升了服务器的安全性，在当前访问操纵的基础上，进一步保障了关键业务的安全性。部署IPSECVPN山石网科安全网关支持的IPSecVPN技术，作用于中小企业，可实现总部与分支机构之间通过互联网的纵向互联，并作为现有专线的备份链路，在不增加额外投资的基础上，提升了系统总体的安全效率。（因此需要总部的互联网出口也部署有标准IPSECVPN系统）在通过互联网实现纵向互联的过程中，通过IPSECVPN技术，将实现如下的爱护：机密性爱护：在传输过程中对数据进行加密，从而防范了被篡改的风险；完整性爱护：在传输过程中，通过HASH算法，对文件进行摘要