企业信息化安全服务
上网行为管理解决方案
1.方案背景
随着Internet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。IDC的数据统计显示,员工30%-40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用,给中国企业、高校、行业用户等各行业带来了巨大的损失。
员工随意使用网络将主要导致五个问题:(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。
2.解决方案
2.1 AC上网行为管理设备功能介绍
2.1.1 控制功能:细致的访问控制,有效管理用户上网
对于内网员工访问各种网页的行为,AC通过内置URL库,关键字过滤等方式进行管控。对于采用SSL方式加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
AC所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
未创建用户认证
AC支持将未创建用户自动创建并加入设备,并同时赋予该用户指定权限和用户分组
2.1.2 带宽及流量管理功能:强大流量分析及带宽划分与分配
管理者需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统、业务部门的应用流量需求进行满足,这可以通过AC强大的流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的较大化。
带宽及流量管理功能一览表
2.1.3 监控与审计功能:防止机密信息泄漏和法律违规事
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:
访问审计功能一览表
而高层领导的网络行为、收发的Email等关乎机构的发展命运,AC通过业界的“免审计Key”技术,从底层免除对其行为的监控和记录,达到灵活的统一。
2.1.4 报表和检索:直观的上网数据统计、报表和海量日志检索
机构内网员工每天的各种行为日志记录可达数十G, SINFOR AC网关通过外置数据中心实现了日志的海量存储,强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出机构的Internet的详细使用情况,为网络管理员和决策者提供了有效的数据支持。
而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容,甚至是查找内网员工的泄密证据、法律违规证据?AC数据中心提供的内容检索工具,通过类似Google的界面,让您轻松实现。
数据中心功能一览表
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了防御;防ARP欺骗,让机构先前遭遇的整个子网用户无法上网的故障得以消除。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
2.1.5 丰富的安全增值功能,提升内网安全级别
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。
安全增值功能一览表
网关防毒功能
集成F-PORT的杀毒引擎;可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能
查杀压缩文件
支持对压缩包的病毒查杀(包括zip、rar、gzip、tar、bz2等)
杀毒豁免
支持对指定网站的免病毒检查;支持仅对指定的文件类型进行病毒查杀
病毒库升级
支持杀毒引擎在线自动升级;支持用户手工升级病毒库
防DOS攻击
不仅防止来自外网的DOS攻击行为,还能防范来自内网的DOS攻击,侦测出内部发起攻击的终端,并提供对该终端在指定时间段内的冻结和封锁
防ARP欺骗
无需第三方软件,实现对终端用户和网关的双向防ARP欺骗功能
网络准入规则
提供网络准入规则,保障只有安装了指定的防毒软件和指定系统补丁(和检查注册表,硬盘文件,后台进程等)的主机才能使用Internet,大大减少主机被植入钓鱼软件和木马的风险
作为部署于机构网络出口处的核心网络设备,网关支持双机热备功能,高端设备的Bypass功能等,为用户提供了高可用的内网行为管理解决方案。通过多种管控、审计及安全增值功能,管控机构内网员工上网行为,改善内网安全环境,提升带宽价值。
3.方案总结
多WAN口保障入网方式的灵活多变,实现网络的畅通稳定;专业PPPoE拨号以及网络尖兵限制共享上网为小区宽带出租商提供了完整的解决方案;多种流量控制方式满足企业不同部门的网络需求与控制;防火墙防ARP攻击网站过滤等安全策略则能提供稳定的网络环境,丰富的上网行为管理在做到网络资源的有效利用的同时,也保障了员工的工作效率;支持多种VPN协议保障异地办公的数据安全传输
网络流量监控系统的解决方案
1.方案背景
随着信息化的建设,网络结构日趋复杂,各种网络业务也迅猛发展,对网络的可靠性与可用性的依赖程度也越来越高,微小的网络流量变化都可能对网络关键应用造成重大的影响。因此,网络的流量分析尤显重要,直接分析网络实时流量,将具有非常重要的意义。它可以直接指导网络管理员分析网络应用、规划流量;对网络以及网络所承载的各类业务进行及时、流量和流向分析,进而挖掘网络资源潜力;提供立即的安全审计,病毒预警等功能;并为网络规划、优化调整和业务发展提供基础依据。
网络监控的基本手段是简单网络管理协议(SNMP),它很好地满足了网元性能监控需要,但在流量方面,只能提供粗糙、简略的流量统计资料。网络探针(sniffer)或是类似的监听工具可以弥补SNMP的缺陷,但它的问题是数据庞大,对CPU、内存等资源消耗过大,难以适应高速网络的要求。Cisco公司于1996年开发的NetFlow技术,现在有很多路由器支持,它利用路由器上提供高层的IP流量统计信息,其特性是通常基于软件架构,对主机间流量的描述准,但问题是当数据包流量很大时,可能会给采集器带来负担。sFlow(RFC 3176)是基于标准的新网络导出协议,能够解决当前网络管理人员面临的很多问题。可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使面向每一个端口的络监视解决方案成为可能,其不足是对网络传输流的描述不如NetFlow准。本方案采用NetFlow与PRTG相结合的方式,构建一个多层次的网络流量监控系统。
2.解决方案
2.1系统结构
基于Web方式的网络流量监控系统结构如图2.1所示。按功能分为三层:设备层、数据处理层、Web管理层,用户可以通过Web进行网络信息查询和管理。
该网络流量监控系统支持以图形方式或数据表提供实时数据流分析。
在数据源上,系统支持通过设定数据流特征,在海量数据中实时滤取特定数据流,数据特征可以是:
1、流出或流入指定设备端口的数据。
2、源或目的IP地址指定的数据(IP地址、地址范围或网段)。
3、IP包内高层协议指定的数据。
4、TCP / UDP / RIP / OSPF等等。
5、指定高层协议端口的数据。
6、Telnet / Http / ICMP / Smtp / Ftp /NetBIOS / SMB等等。
7、指定数据包大小的数据。
8、在数据的图形输出上,系统支持按时间展开数据流,或按TopN排序方式展示 各数据分量的即时比特流、帧流量。
9、在数据的表格输出方式上支持将某时刻原始数据进行展示,允许在原始数据基础上进行排序、归类、过滤等分析操作。
10、系统保留原始数据以供事后分析,避免了异常事件转瞬即逝的困境,可以进行“数据回放”分析。
图2.1 网络流量监控系统模型
该系统支持事件的预警处理,通过事前定义数据滤取规则,即时数据门限,在指定的时间段中,系统不断地实时监测原始数据流,分析数据流,一旦数据门限被触发,系统将提出事件告警,以明确的信息一方面进行屏幕提示,另一方面将警示信息用邮件发送到引发事件的数据源处或网络管理员处。
2.2系统设计与实现
网络流量监控系统分两部分监测网络,并将监测数据送到监控器进行处理和图形显示(如图3.1所示):
1、 利用PRTG工具监测内网服务器的流量。
2、 利用内部、边界路由器的NetFlow技术,实现内、外网流量监控。
图3.1 网络流量监控过程
2.3 PRTG在流量监测中的应用
PRTG(Multi Router Traffic Grapher)是一个跨平台的监控网络链路流量负载的工具软件,它利用SNMP协议从设备取得流量统计数据。PRTG利用的是UDP协议的161端口,该端口被设备代理监听,等待接受管理者进程发送的管理信息查询请求消息。
PRTG通过MIB管理信息库取回被监视设备的输入或输出流量值信息(如图2.1)。经计算后写入内部的日志文件,并生成反映流量情况的GIF / PNG曲线图及包含流量图的HTML页面。由于PRTG可以监控任意支持SNMP的网络设备,因此使用该工具可以方便地查明设备和网络的性能问题,另外PRTG还可监视主要服务器CPU、DNS、IIS6.0的工作情况.
根据日志或图表,还可以帮助进行预测网络。可以预测网络使用的峰值,从而避免网络饱和可能带来的低性能。另外,还可以用来判定使用率高的时间。知道了这一点,就可以把大量数据传送任务安排在避开高峰时刻的时间里。通过数据分析还可以得到网络应用的重要信息,若发现某端口输出量长时间偏高,可能是局域网内建有共享文件或FTP下载。若输入量偏高,则可配合NetFlow监测软件进一步分析,单纯PRTG信息在网络流量增加时不能对网络异常情况定位,因此在核心交换机或路由器出口可以使用NetFlow进行监测。
1、流量统计
包括:网络流量统计(流量总数)、网络利用率、广播包流量、广播包占有率、指定包长的数据包数量及占有率、以柱状图、饼图、和表格显示当前流量TopN IP地址、广播包流量及广播包占有率、TopN IP地址。
2、协议分析
包括:(1)二层的协议分布:IP、IPX、ARP、NetBEUI协议的字节数、数据包数、及所占百分比数及产生这些流量的对应MAC地址及占的比例。
(2)IP层的协议分布:HTTP、DNS、ICMP、FTP、NetBios及指定协议的字节数、数据包数及所占的百分比及产生这些流量的对应地址及占的比例。
(3)网络应用分析
统计各类网络应用的情况,并以柱状图、饼图、和表格显示网络应用分布的当前TopN的IP地址,对网络异常情况进行告警。
