全網(wǎng)行為管理，還網(wǎng)絡(luò)一片藍(lán)天

1、<p>　　全網(wǎng)行為管理，還網(wǎng)絡(luò)一片藍(lán)天</p><p>　　編者按：新的一年，“高手論技”繼續(xù)伴隨大家前行，身處一線的你，就那些技術(shù)上最常遇到的故障、最需要解決的難題、最成熟的應(yīng)用……都可以在此暢所欲言，各抒己見。是繼續(xù)圍觀還是現(xiàn)身說法，新浪微群http：//q.t.sina.com.cn/264976，期待您的共同參與。 </p><p><b>　　主持人： &l

2、t;/b></p><p>　　陳守家 山東省濰坊商業(yè)學(xué)校 </p><p><b>　　嘉賓： </b></p><p>　　劉宗凡 廣東省四會中學(xué) </p><p>　　邱元陽 河南省安陽縣職業(yè)中專 </p><p><b>　　● 問題的提出 </b></p

3、><p>　　隨著互聯(lián)網(wǎng)的日益普及和發(fā)展，網(wǎng)絡(luò)安全問題和上網(wǎng)行為問題也越發(fā)突出?；ヂ?lián)網(wǎng)一方面能夠提高工作效率，促進(jìn)社會發(fā)展；另一方面也會在管理、工作效率、信息安全、法律遵從、IT投資等方面對各行各業(yè)提出嚴(yán)峻的挑戰(zhàn)。不斷有人抱怨，單位的網(wǎng)速越來越慢，有限的帶寬資源被大量地濫用；來自單位內(nèi)部的安全隱患日益增多，由于內(nèi)網(wǎng)用戶不良上網(wǎng)行為而導(dǎo)致的網(wǎng)絡(luò)安全事故層出不窮；現(xiàn)代人更加依賴網(wǎng)絡(luò)，甚至在辦公期間也在進(jìn)行著大量與工作無關(guān)

4、的事務(wù)，嚴(yán)重影響了工作效率。更有甚者，有許多人利用單位的網(wǎng)絡(luò)做一些觸犯法律的事情，對其所在單位造成了不良的影響。 </p><p>　　想要及早系統(tǒng)地解決上述問題，避免未來的隱患，我們就應(yīng)該對單位網(wǎng)絡(luò)做全網(wǎng)行為管理。全網(wǎng)行為管理是將上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理、主機(jī)安全管理融為一體，借助處于網(wǎng)絡(luò)邊界位置的安全網(wǎng)關(guān)和安裝在每臺主機(jī)上的“主機(jī)威脅引擎”的聯(lián)動(dòng)防御，將“本地局域網(wǎng)─遠(yuǎn)地局域網(wǎng)─移動(dòng)接入節(jié)點(diǎn)”的資源和安全策

5、略進(jìn)行統(tǒng)一管理，一體化解決互聯(lián)網(wǎng)訪問行為、內(nèi)網(wǎng)安全行為、主機(jī)安全行為的統(tǒng)一管理問題，確保用戶網(wǎng)絡(luò)平臺的可信、可控、可管。全網(wǎng)行為管理就是不僅要管控互聯(lián)網(wǎng)的訪問行為，而且要管控內(nèi)網(wǎng)及主機(jī)的安全行為。 </p><p><b>　　● 網(wǎng)絡(luò)行為管理 </b></p><p>　　網(wǎng)絡(luò)行為管理主要包括帶寬管理、網(wǎng)絡(luò)應(yīng)用管控、URL過濾和管控、網(wǎng)絡(luò)訪問日志和報(bào)表、重點(diǎn)網(wǎng)絡(luò)應(yīng)用

6、的內(nèi)容審計(jì)等，下面主要討論前三個(gè)關(guān)鍵的方面。 </p><p><b>　　1.帶寬管理 </b></p><p>　　帶寬（流量）管理可有效提高用戶上網(wǎng)線路的利用率，保證用戶關(guān)鍵網(wǎng)絡(luò)業(yè)務(wù)的順暢。我們在流量控制時(shí)，可采用“應(yīng)用流控”和“用戶流控”相結(jié)合的方式，既可根據(jù)用戶（如IP等）的控制來分配管理流量，也可按照網(wǎng)絡(luò)應(yīng)用類型來管理流量。我們通過用戶流控和應(yīng)用流控的靈活

7、搭配使用，能夠全面解決各種環(huán)境下的帶寬分配需求。 </p><p><b>　?。?）用戶流控。 </b></p><p>　　提供基于用戶/用戶組的控制方式，能夠優(yōu)先保證指定用戶（IP地址）/用戶群（IP地址段）的上網(wǎng)帶寬，如確保學(xué)校校級領(lǐng)導(dǎo)上網(wǎng)帶寬的優(yōu)先級等。 </p><p><b>　　（2）應(yīng)用流控。 </b>&

8、lt;/p><p>　　按照應(yīng)用識別網(wǎng)絡(luò)應(yīng)用，進(jìn)行流量管理，主要用于限制或保證某一類應(yīng)用。例如，保證ERP、OA應(yīng)用的帶寬，限制P2P下載或網(wǎng)絡(luò)視頻的帶寬。對于一個(gè)擁有400個(gè)終端、寬帶接入通常在10M左右的小型企業(yè)網(wǎng)絡(luò)，最常見的問題就是帶寬的“緊缺”。如果對內(nèi)網(wǎng)用戶P2P應(yīng)用、大量文件下載和傳播視頻文件等動(dòng)作不加管理的話，那么帶寬資源永遠(yuǎn)都不夠用，這會嚴(yán)重影響正常的業(yè)務(wù)，也會帶來效率的下降，這時(shí)用戶就需要對流量進(jìn)行

9、管理和安全控制。 </p><p><b>　　2.網(wǎng)絡(luò)應(yīng)用管控 </b></p><p>　　網(wǎng)絡(luò)應(yīng)用管控主要是對各種網(wǎng)絡(luò)應(yīng)用的訪問進(jìn)行限制或封堵，當(dāng)前主流的網(wǎng)絡(luò)應(yīng)用近200種都可以進(jìn)行管控，大致如下： </p><p>　　（1）辦公和自動(dòng)化：POP3、SMTP協(xié)議。 </p><p>　　（2）傳統(tǒng)協(xié)議：NTP、I

10、RC、TFTP、RTSP、MMS、FTP等協(xié)議。 </p><p>　?。?）遠(yuǎn)程訪問：CVS、VNC、PCAnywhere、RDP、SSH、TELNET等協(xié)議。 </p><p>　?。?）HTTP應(yīng)用：開心網(wǎng)、人人網(wǎng)等主流SNS網(wǎng)站。 </p><p>　　（5）代理和隧道：自由門、無界、SOCKS4/5、WaysOnline等。 </p><

11、;p>　?。?）P2P協(xié)議：迅雷、BT、電驢、哇嘎嘎、FrostWire、FlashGet、WinMX、RaySource、SoulSeek、PP點(diǎn)點(diǎn)通、KuGoo、POCO、Gnutella、QQ音樂、Pando、漢魅、百寶、QQ旋風(fēng)、看天下、搜娛、百度下吧等主流P2P程序。 </p><p>　?。?）網(wǎng)絡(luò)電視：CCTVLive、PPLive、PPStream、酷6、TTLive、FlashTV、Dop

12、Live、MOP、天線視頻、51TV、BBsee、暴風(fēng)影音、QVod、PPMate、UUSee、PP加速器、風(fēng)行、QQLive、新浪TV、TVAnts、TVUPlayer、SopCast、皮皮影視、土豆視頻、優(yōu)酷、搜狐TV、沸點(diǎn)等主流網(wǎng)絡(luò)電視。 </p><p>　?。?）IM程序：QQ登錄、QQ語音視頻、QQ離線傳輸、MSN登錄、Yahoo登錄、百度Hi、網(wǎng)易泡泡、淘寶旺旺、新浪UC、飛信、校內(nèi)通登錄、校內(nèi)通文

13、件傳輸、Lava登錄、LAVA文件傳輸、Lava語音視頻、Skype、GTalk、WebIM、ICQ、搜Q等主流即時(shí)通訊軟件。 </p><p>　?。?）股票：同花順、大智慧、分析家、證券之星、富貴滿堂、股票悄悄看、錢龍、通達(dá)信、指南針、和訊股票等主流股票軟件。 </p><p>　?。?0）游戲：永恒之塔、QQ游戲、聯(lián)眾游戲、誅仙、征途、夢幻西游、魔獸世界、熱血三國、大話西游、江湖、穿

14、越火線、中國游戲中心、新浪UTGame、浩方游戲平臺等主流游戲程序。 </p><p>　　例如，對于一些研發(fā)型公司、金融、政府或其他涉及保密的行業(yè)，網(wǎng)絡(luò)管理員尤其需要關(guān)注的是對其信息泄露的防范。這時(shí)就需要對一些外發(fā)途徑，像客戶端郵件/WebMail、IM通訊、FTP上傳、BBS上傳等行為進(jìn)行管理和控制。管理措施的采用，除了起到保障作用，更可以提高員工的信息保密意識。 </p><p>　

15、　3.URL過濾和管控 </p><p>　　我們在日常的網(wǎng)絡(luò)行為管理中，可針對URL地址庫進(jìn)行過濾，屏蔽掉一些有安全威脅的惡意網(wǎng)址、游戲網(wǎng)址、娛樂網(wǎng)址、色情網(wǎng)址、聊天室網(wǎng)址等，給學(xué)生打造一個(gè)良好的上網(wǎng)學(xué)習(xí)環(huán)境。 　　互聯(lián)網(wǎng)網(wǎng)頁容量爆炸性增長，Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)址超過1萬億個(gè)，如微博等新的網(wǎng)址每天層出不窮，靜態(tài)URL庫不足以有效應(yīng)對，對于URL地址控制我們采用將本地URL庫和云端URL庫結(jié)合的辦法，實(shí)

16、現(xiàn)效率和準(zhǔn)確性的完美結(jié)合。 </p><p>　　基于“云”的URL“零時(shí)”分類庫具備如下優(yōu)勢：①互聯(lián)網(wǎng)規(guī)模日益龐大，URL數(shù)據(jù)庫巨大，將URL庫遷移到“數(shù)據(jù)云”中，消除了本地存儲限制；②大型中央數(shù)據(jù)庫可以根據(jù)客戶需要存儲所有的URL分類信息；③持續(xù)跟蹤，確保每個(gè)URL每時(shí)每刻的分類始終正確無誤；⑤經(jīng)濟(jì)實(shí)用的輕量級本地客戶端只接收和存儲客戶需要的數(shù)據(jù)，避免了占用大量網(wǎng)關(guān)存儲資源；⑥當(dāng)用戶瀏覽每個(gè)新站點(diǎn)時(shí)，觸發(fā)云端

17、URL識別，并且單位的安全網(wǎng)關(guān)會在本地URL庫中添加URL記錄，那么以后再訪問同樣的URL將無需再訪問云端，從而實(shí)現(xiàn)了效率和準(zhǔn)確性的完美結(jié)合。 </p><p>　　例如，對于中小學(xué)或者職業(yè)院校的網(wǎng)絡(luò)，由于網(wǎng)絡(luò)使用者大多是學(xué)生，因此作為學(xué)校的網(wǎng)絡(luò)管理員更關(guān)注的是對內(nèi)容的管控。學(xué)生沉溺于網(wǎng)絡(luò)游戲而放棄了學(xué)業(yè)，受網(wǎng)上不健康圖文影響走上犯罪道路，無休止的網(wǎng)絡(luò)聊天導(dǎo)致心理扭曲，這些血淋淋的例子告訴我們，學(xué)校的網(wǎng)絡(luò)環(huán)境需要

18、凈化，需要建立一個(gè)綠色的校園網(wǎng)絡(luò)環(huán)境。綠色校園，就應(yīng)該能對內(nèi)容進(jìn)行過濾，能對網(wǎng)絡(luò)游戲、聊天工具等進(jìn)行屏蔽，還學(xué)生上網(wǎng)一片藍(lán)天。 </p><p>　　● 內(nèi)網(wǎng)安全和主機(jī)行為管理 </p><p>　　內(nèi)網(wǎng)安全和主機(jī)行為管理主要包括對內(nèi)部用戶網(wǎng)絡(luò)接入認(rèn)證、準(zhǔn)入控制、主機(jī)外設(shè)管理及移動(dòng)存儲介質(zhì)（透明）加密、軟件分發(fā)及補(bǔ)丁管理等幾方面，通過以上網(wǎng)絡(luò)控制可以有效防御來自網(wǎng)絡(luò)和主機(jī)的安全威脅，加強(qiáng)內(nèi)

19、網(wǎng)和主機(jī)的安全管理。 </p><p><b>　　1.用戶接入認(rèn)證 </b></p><p>　　用戶認(rèn)證方式包括：賬號/口令、數(shù)字證書、USB KEY等，我們在網(wǎng)絡(luò)管理中可以結(jié)合Windows AD、LDAP、Radius等第三方認(rèn)證服務(wù)器協(xié)助用戶認(rèn)證，另外還可以用手機(jī)短信、主機(jī)特征碼和動(dòng)態(tài)口令牌等方式驗(yàn)證。 </p><p><b&

20、gt;　　2.準(zhǔn)入控制 </b></p><p>　　目前基于“主機(jī)風(fēng)險(xiǎn)評估”的準(zhǔn)入控制技術(shù)是非常先進(jìn)的，單位中的客戶端會根據(jù)出口安全網(wǎng)關(guān)的指令對接入內(nèi)網(wǎng)的主機(jī)進(jìn)行全面的主機(jī)安全評估，如果發(fā)現(xiàn)主機(jī)上存在安全威脅或未達(dá)到該接入網(wǎng)絡(luò)要求的安全級別，如沒有啟用殺毒軟件、防火墻、殺毒軟件沒有及時(shí)更新病毒庫、操作系統(tǒng)未按規(guī)定打補(bǔ)丁、有非法外聯(lián)等問題時(shí)，則不允許該主機(jī)訪問外網(wǎng)或限制其對內(nèi)網(wǎng)的資源訪問。利用準(zhǔn)入控制

21、可以確保那些疏于防范的內(nèi)網(wǎng)主機(jī)不能輕易上網(wǎng)，避免將Internet上的木馬、病毒等帶進(jìn)內(nèi)網(wǎng)，也不會使帶有安全風(fēng)險(xiǎn)的主機(jī)將風(fēng)險(xiǎn)通過VPN隧道帶進(jìn)單位內(nèi)網(wǎng)，從而確保整個(gè)單位網(wǎng)絡(luò)平臺的安全可信。 </p><p>　　3.U盤加密和主機(jī)外設(shè)管理 </p><p>　　作為網(wǎng)絡(luò)管理員，也不能忽視對USB存儲設(shè)備的管理，可以采用在客戶端安裝控件的方式，自動(dòng)跟蹤記錄USB存儲設(shè)備的插拔使用情況，并且對

22、USB存儲設(shè)備進(jìn)行授權(quán)管理，只有授權(quán)過的USB存儲設(shè)備才允許在內(nèi)部使用，未授權(quán)U盤無法在內(nèi)網(wǎng)的計(jì)算機(jī)上使用。而經(jīng)過授權(quán)的U盤當(dāng)離開了我們系統(tǒng)保護(hù)的網(wǎng)絡(luò)后，如攜帶回家，就無法正常使用了，所有存儲在授權(quán)U盤上的文件均被自動(dòng)加密，無法在非安全的環(huán)境下正常使用。 </p><p>　　同時(shí)也不能忽略對1394接口、藍(lán)牙、串并口、光驅(qū)和紅外線等外設(shè)的啟禁控制。這些方面的管理控制對于上面提到的那些研發(fā)型公司、金融、政府或其他

23、涉及保密的行業(yè)，都能起到非常重要的保護(hù)作用。 </p><p>　　4.補(bǔ)丁管理和軟件分發(fā) </p><p>　　大多數(shù)單位都部署有一臺WSUS服務(wù)器，能夠?qū)崿F(xiàn)直接從互聯(lián)網(wǎng)上下載升級補(bǔ)丁，然后再給內(nèi)網(wǎng)機(jī)器升級，這樣內(nèi)外網(wǎng)交叉必然會存在不安全因素，我的建議是部署兩臺同樣的WSUS服務(wù)器，這兩臺機(jī)器要完全物理隔離，一臺連接外網(wǎng)，下載好補(bǔ)丁后，將下載的整體目錄復(fù)制到另外一臺WSUS服務(wù)器對應(yīng)的目