全網(wǎng)行為管理，還網(wǎng)絡(luò)一片藍(lán)天

1、<p>　　全網(wǎng)行為管理，還網(wǎng)絡(luò)一片藍(lán)天</p><p>　　編者按：新的一年，“高手論技”繼續(xù)伴隨大家前行，身處一線的你，就那些技術(shù)上最常遇到的故障、最需要解決的難題、最成熟的應(yīng)用……都可以在此暢所欲言，各抒己見(jiàn)。是繼續(xù)圍觀還是現(xiàn)身說(shuō)法，新浪微群http：//q.t.sina.com.cn/264976，期待您的共同參與。 </p><p><b>　　主持人： &l

2、t;/b></p><p>　　陳守家 山東省濰坊商業(yè)學(xué)校 </p><p><b>　　嘉賓： </b></p><p>　　劉宗凡 廣東省四會(huì)中學(xué) </p><p>　　邱元陽(yáng) 河南省安陽(yáng)縣職業(yè)中專 </p><p><b>　　● 問(wèn)題的提出 </b></p

3、><p>　　隨著互聯(lián)網(wǎng)的日益普及和發(fā)展，網(wǎng)絡(luò)安全問(wèn)題和上網(wǎng)行為問(wèn)題也越發(fā)突出?；ヂ?lián)網(wǎng)一方面能夠提高工作效率，促進(jìn)社會(huì)發(fā)展；另一方面也會(huì)在管理、工作效率、信息安全、法律遵從、IT投資等方面對(duì)各行各業(yè)提出嚴(yán)峻的挑戰(zhàn)。不斷有人抱怨，單位的網(wǎng)速越來(lái)越慢，有限的帶寬資源被大量地濫用；來(lái)自單位內(nèi)部的安全隱患日益增多，由于內(nèi)網(wǎng)用戶不良上網(wǎng)行為而導(dǎo)致的網(wǎng)絡(luò)安全事故層出不窮；現(xiàn)代人更加依賴網(wǎng)絡(luò)，甚至在辦公期間也在進(jìn)行著大量與工作無(wú)關(guān)

4、的事務(wù)，嚴(yán)重影響了工作效率。更有甚者，有許多人利用單位的網(wǎng)絡(luò)做一些觸犯法律的事情，對(duì)其所在單位造成了不良的影響。 </p><p>　　想要及早系統(tǒng)地解決上述問(wèn)題，避免未來(lái)的隱患，我們就應(yīng)該對(duì)單位網(wǎng)絡(luò)做全網(wǎng)行為管理。全網(wǎng)行為管理是將上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理、主機(jī)安全管理融為一體，借助處于網(wǎng)絡(luò)邊界位置的安全網(wǎng)關(guān)和安裝在每臺(tái)主機(jī)上的“主機(jī)威脅引擎”的聯(lián)動(dòng)防御，將“本地局域網(wǎng)─遠(yuǎn)地局域網(wǎng)─移動(dòng)接入節(jié)點(diǎn)”的資源和安全策

5、略進(jìn)行統(tǒng)一管理，一體化解決互聯(lián)網(wǎng)訪問(wèn)行為、內(nèi)網(wǎng)安全行為、主機(jī)安全行為的統(tǒng)一管理問(wèn)題，確保用戶網(wǎng)絡(luò)平臺(tái)的可信、可控、可管。全網(wǎng)行為管理就是不僅要管控互聯(lián)網(wǎng)的訪問(wèn)行為，而且要管控內(nèi)網(wǎng)及主機(jī)的安全行為。 </p><p><b>　　● 網(wǎng)絡(luò)行為管理 </b></p><p>　　網(wǎng)絡(luò)行為管理主要包括帶寬管理、網(wǎng)絡(luò)應(yīng)用管控、URL過(guò)濾和管控、網(wǎng)絡(luò)訪問(wèn)日志和報(bào)表、重點(diǎn)網(wǎng)絡(luò)應(yīng)用

6、的內(nèi)容審計(jì)等，下面主要討論前三個(gè)關(guān)鍵的方面。 </p><p><b>　　1.帶寬管理 </b></p><p>　　帶寬（流量）管理可有效提高用戶上網(wǎng)線路的利用率，保證用戶關(guān)鍵網(wǎng)絡(luò)業(yè)務(wù)的順暢。我們?cè)诹髁靠刂茣r(shí)，可采用“應(yīng)用流控”和“用戶流控”相結(jié)合的方式，既可根據(jù)用戶（如IP等）的控制來(lái)分配管理流量，也可按照網(wǎng)絡(luò)應(yīng)用類型來(lái)管理流量。我們通過(guò)用戶流控和應(yīng)用流控的靈活

7、搭配使用，能夠全面解決各種環(huán)境下的帶寬分配需求。 </p><p><b>　?。?）用戶流控。 </b></p><p>　　提供基于用戶/用戶組的控制方式，能夠優(yōu)先保證指定用戶（IP地址）/用戶群（IP地址段）的上網(wǎng)帶寬，如確保學(xué)校校級(jí)領(lǐng)導(dǎo)上網(wǎng)帶寬的優(yōu)先級(jí)等。 </p><p><b>　?。?）應(yīng)用流控。 </b>&

8、lt;/p><p>　　按照應(yīng)用識(shí)別網(wǎng)絡(luò)應(yīng)用，進(jìn)行流量管理，主要用于限制或保證某一類應(yīng)用。例如，保證ERP、OA應(yīng)用的帶寬，限制P2P下載或網(wǎng)絡(luò)視頻的帶寬。對(duì)于一個(gè)擁有400個(gè)終端、寬帶接入通常在10M左右的小型企業(yè)網(wǎng)絡(luò)，最常見(jiàn)的問(wèn)題就是帶寬的“緊缺”。如果對(duì)內(nèi)網(wǎng)用戶P2P應(yīng)用、大量文件下載和傳播視頻文件等動(dòng)作不加管理的話，那么帶寬資源永遠(yuǎn)都不夠用，這會(huì)嚴(yán)重影響正常的業(yè)務(wù)，也會(huì)帶來(lái)效率的下降，這時(shí)用戶就需要對(duì)流量進(jìn)行

9、管理和安全控制。 </p><p><b>　　2.網(wǎng)絡(luò)應(yīng)用管控 </b></p><p>　　網(wǎng)絡(luò)應(yīng)用管控主要是對(duì)各種網(wǎng)絡(luò)應(yīng)用的訪問(wèn)進(jìn)行限制或封堵，當(dāng)前主流的網(wǎng)絡(luò)應(yīng)用近200種都可以進(jìn)行管控，大致如下： </p><p>　　（1）辦公和自動(dòng)化：POP3、SMTP協(xié)議。 </p><p>　?。?）傳統(tǒng)協(xié)議：NTP、I

10、RC、TFTP、RTSP、MMS、FTP等協(xié)議。 </p><p>　?。?）遠(yuǎn)程訪問(wèn)：CVS、VNC、PCAnywhere、RDP、SSH、TELNET等協(xié)議。 </p><p>　?。?）HTTP應(yīng)用：開(kāi)心網(wǎng)、人人網(wǎng)等主流SNS網(wǎng)站。 </p><p>　?。?）代理和隧道：自由門、無(wú)界、SOCKS4/5、WaysOnline等。 </p><

11、;p>　?。?）P2P協(xié)議：迅雷、BT、電驢、哇嘎嘎、FrostWire、FlashGet、WinMX、RaySource、SoulSeek、PP點(diǎn)點(diǎn)通、KuGoo、POCO、Gnutella、QQ音樂(lè)、Pando、漢魅、百寶、QQ旋風(fēng)、看天下、搜娛、百度下吧等主流P2P程序。 </p><p>　　（7）網(wǎng)絡(luò)電視：CCTVLive、PPLive、PPStream、酷6、TTLive、FlashTV、Dop

12、Live、MOP、天線視頻、51TV、BBsee、暴風(fēng)影音、QVod、PPMate、UUSee、PP加速器、風(fēng)行、QQLive、新浪TV、TVAnts、TVUPlayer、SopCast、皮皮影視、土豆視頻、優(yōu)酷、搜狐TV、沸點(diǎn)等主流網(wǎng)絡(luò)電視。 </p><p>　?。?）IM程序：QQ登錄、QQ語(yǔ)音視頻、QQ離線傳輸、MSN登錄、Yahoo登錄、百度Hi、網(wǎng)易泡泡、淘寶旺旺、新浪UC、飛信、校內(nèi)通登錄、校內(nèi)通文

13、件傳輸、Lava登錄、LAVA文件傳輸、Lava語(yǔ)音視頻、Skype、GTalk、WebIM、ICQ、搜Q等主流即時(shí)通訊軟件。 </p><p>　?。?）股票：同花順、大智慧、分析家、證券之星、富貴滿堂、股票悄悄看、錢龍、通達(dá)信、指南針、和訊股票等主流股票軟件。 </p><p>　　（10）游戲：永恒之塔、QQ游戲、聯(lián)眾游戲、誅仙、征途、夢(mèng)幻西游、魔獸世界、熱血三國(guó)、大話西游、江湖、穿

14、越火線、中國(guó)游戲中心、新浪UTGame、浩方游戲平臺(tái)等主流游戲程序。 </p><p>　　例如，對(duì)于一些研發(fā)型公司、金融、政府或其他涉及保密的行業(yè)，網(wǎng)絡(luò)管理員尤其需要關(guān)注的是對(duì)其信息泄露的防范。這時(shí)就需要對(duì)一些外發(fā)途徑，像客戶端郵件/WebMail、IM通訊、FTP上傳、BBS上傳等行為進(jìn)行管理和控制。管理措施的采用，除了起到保障作用，更可以提高員工的信息保密意識(shí)。 </p><p>　

15、　3.URL過(guò)濾和管控 </p><p>　　我們?cè)谌粘５木W(wǎng)絡(luò)行為管理中，可針對(duì)URL地址庫(kù)進(jìn)行過(guò)濾，屏蔽掉一些有安全威脅的惡意網(wǎng)址、游戲網(wǎng)址、娛樂(lè)網(wǎng)址、色情網(wǎng)址、聊天室網(wǎng)址等，給學(xué)生打造一個(gè)良好的上網(wǎng)學(xué)習(xí)環(huán)境。 　　互聯(lián)網(wǎng)網(wǎng)頁(yè)容量爆炸性增長(zhǎng)，Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)址超過(guò)1萬(wàn)億個(gè)，如微博等新的網(wǎng)址每天層出不窮，靜態(tài)URL庫(kù)不足以有效應(yīng)對(duì)，對(duì)于URL地址控制我們采用將本地URL庫(kù)和云端URL庫(kù)結(jié)合的辦法，實(shí)

16、現(xiàn)效率和準(zhǔn)確性的完美結(jié)合。 </p><p>　　基于“云”的URL“零時(shí)”分類庫(kù)具備如下優(yōu)勢(shì)：①互聯(lián)網(wǎng)規(guī)模日益龐大，URL數(shù)據(jù)庫(kù)巨大，將URL庫(kù)遷移到“數(shù)據(jù)云”中，消除了本地存儲(chǔ)限制；②大型中央數(shù)據(jù)庫(kù)可以根據(jù)客戶需要存儲(chǔ)所有的URL分類信息；③持續(xù)跟蹤，確保每個(gè)URL每時(shí)每刻的分類始終正確無(wú)誤；⑤經(jīng)濟(jì)實(shí)用的輕量級(jí)本地客戶端只接收和存儲(chǔ)客戶需要的數(shù)據(jù)，避免了占用大量網(wǎng)關(guān)存儲(chǔ)資源；⑥當(dāng)用戶瀏覽每個(gè)新站點(diǎn)時(shí)，觸發(fā)云端

17、URL識(shí)別，并且單位的安全網(wǎng)關(guān)會(huì)在本地URL庫(kù)中添加URL記錄，那么以后再訪問(wèn)同樣的URL將無(wú)需再訪問(wèn)云端，從而實(shí)現(xiàn)了效率和準(zhǔn)確性的完美結(jié)合。 </p><p>　　例如，對(duì)于中小學(xué)或者職業(yè)院校的網(wǎng)絡(luò)，由于網(wǎng)絡(luò)使用者大多是學(xué)生，因此作為學(xué)校的網(wǎng)絡(luò)管理員更關(guān)注的是對(duì)內(nèi)容的管控。學(xué)生沉溺于網(wǎng)絡(luò)游戲而放棄了學(xué)業(yè)，受網(wǎng)上不健康圖文影響走上犯罪道路，無(wú)休止的網(wǎng)絡(luò)聊天導(dǎo)致心理扭曲，這些血淋淋的例子告訴我們，學(xué)校的網(wǎng)絡(luò)環(huán)境需要

18、凈化，需要建立一個(gè)綠色的校園網(wǎng)絡(luò)環(huán)境。綠色校園，就應(yīng)該能對(duì)內(nèi)容進(jìn)行過(guò)濾，能對(duì)網(wǎng)絡(luò)游戲、聊天工具等進(jìn)行屏蔽，還學(xué)生上網(wǎng)一片藍(lán)天。 </p><p>　　● 內(nèi)網(wǎng)安全和主機(jī)行為管理 </p><p>　　內(nèi)網(wǎng)安全和主機(jī)行為管理主要包括對(duì)內(nèi)部用戶網(wǎng)絡(luò)接入認(rèn)證、準(zhǔn)入控制、主機(jī)外設(shè)管理及移動(dòng)存儲(chǔ)介質(zhì)（透明）加密、軟件分發(fā)及補(bǔ)丁管理等幾方面，通過(guò)以上網(wǎng)絡(luò)控制可以有效防御來(lái)自網(wǎng)絡(luò)和主機(jī)的安全威脅，加強(qiáng)內(nèi)

19、網(wǎng)和主機(jī)的安全管理。 </p><p><b>　　1.用戶接入認(rèn)證 </b></p><p>　　用戶認(rèn)證方式包括：賬號(hào)/口令、數(shù)字證書、USB KEY等，我們?cè)诰W(wǎng)絡(luò)管理中可以結(jié)合Windows AD、LDAP、Radius等第三方認(rèn)證服務(wù)器協(xié)助用戶認(rèn)證，另外還可以用手機(jī)短信、主機(jī)特征碼和動(dòng)態(tài)口令牌等方式驗(yàn)證。 </p><p><b&

20、gt;　　2.準(zhǔn)入控制 </b></p><p>　　目前基于“主機(jī)風(fēng)險(xiǎn)評(píng)估”的準(zhǔn)入控制技術(shù)是非常先進(jìn)的，單位中的客戶端會(huì)根據(jù)出口安全網(wǎng)關(guān)的指令對(duì)接入內(nèi)網(wǎng)的主機(jī)進(jìn)行全面的主機(jī)安全評(píng)估，如果發(fā)現(xiàn)主機(jī)上存在安全威脅或未達(dá)到該接入網(wǎng)絡(luò)要求的安全級(jí)別，如沒(méi)有啟用殺毒軟件、防火墻、殺毒軟件沒(méi)有及時(shí)更新病毒庫(kù)、操作系統(tǒng)未按規(guī)定打補(bǔ)丁、有非法外聯(lián)等問(wèn)題時(shí)，則不允許該主機(jī)訪問(wèn)外網(wǎng)或限制其對(duì)內(nèi)網(wǎng)的資源訪問(wèn)。利用準(zhǔn)入控制

21、可以確保那些疏于防范的內(nèi)網(wǎng)主機(jī)不能輕易上網(wǎng)，避免將Internet上的木馬、病毒等帶進(jìn)內(nèi)網(wǎng)，也不會(huì)使帶有安全風(fēng)險(xiǎn)的主機(jī)將風(fēng)險(xiǎn)通過(guò)VPN隧道帶進(jìn)單位內(nèi)網(wǎng)，從而確保整個(gè)單位網(wǎng)絡(luò)平臺(tái)的安全可信。 </p><p>　　3.U盤加密和主機(jī)外設(shè)管理 </p><p>　　作為網(wǎng)絡(luò)管理員，也不能忽視對(duì)USB存儲(chǔ)設(shè)備的管理，可以采用在客戶端安裝控件的方式，自動(dòng)跟蹤記錄USB存儲(chǔ)設(shè)備的插拔使用情況，并且對(duì)

22、USB存儲(chǔ)設(shè)備進(jìn)行授權(quán)管理，只有授權(quán)過(guò)的USB存儲(chǔ)設(shè)備才允許在內(nèi)部使用，未授權(quán)U盤無(wú)法在內(nèi)網(wǎng)的計(jì)算機(jī)上使用。而經(jīng)過(guò)授權(quán)的U盤當(dāng)離開(kāi)了我們系統(tǒng)保護(hù)的網(wǎng)絡(luò)后，如攜帶回家，就無(wú)法正常使用了，所有存儲(chǔ)在授權(quán)U盤上的文件均被自動(dòng)加密，無(wú)法在非安全的環(huán)境下正常使用。 </p><p>　　同時(shí)也不能忽略對(duì)1394接口、藍(lán)牙、串并口、光驅(qū)和紅外線等外設(shè)的啟禁控制。這些方面的管理控制對(duì)于上面提到的那些研發(fā)型公司、金融、政府或其他

23、涉及保密的行業(yè)，都能起到非常重要的保護(hù)作用。 </p><p>　　4.補(bǔ)丁管理和軟件分發(fā) </p><p>　　大多數(shù)單位都部署有一臺(tái)WSUS服務(wù)器，能夠?qū)崿F(xiàn)直接從互聯(lián)網(wǎng)上下載升級(jí)補(bǔ)丁，然后再給內(nèi)網(wǎng)機(jī)器升級(jí)，這樣內(nèi)外網(wǎng)交叉必然會(huì)存在不安全因素，我的建議是部署兩臺(tái)同樣的WSUS服務(wù)器，這兩臺(tái)機(jī)器要完全物理隔離，一臺(tái)連接外網(wǎng)，下載好補(bǔ)丁后，將下載的整體目錄復(fù)制到另外一臺(tái)WSUS服務(wù)器對(duì)應(yīng)的目