上網行為管理+防火墻解決方案
一、需求概述
1.1背景介紹
近幾年來,計算機和網絡攻擊的復雜性不斷上升,使用傳統的防火墻和入侵檢測系統(IDS)越來越難以檢測和阻擋。隨著每一次成功的攻擊,黑客會很快的學會哪種攻擊方向是最成功的。漏洞的發現和黑客利用漏洞之間的時間差也變得越來越短,使得IT和安全人員得不到充分的時間去測試漏洞和更新系統。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫,內容層和網絡層的安全威脅正變得司空見慣。復雜的蠕蟲和郵件病毒諸如Slammer、Blaster、Sasser、Sober、MyDoom等在過去幾年經常成為頭條新聞,它們也向我們展示了這類攻擊會如何快速的傳播——通常在幾個小時之內就能席卷全世界。IT和安全人員不僅需要擔心已知安全威脅,他們還不得不集中精力來防止各種被稱之為“零小時”(zero-hour)或“零日”(zero-day)的新的未知的威脅。
1.2需求分析
1.2.1下一代防火墻需求
·業務服務器自身存在的漏洞被黑客利用產生攻擊,操作系統,應用軟件或是應用協議都可能存在漏洞,如windows遠程桌面漏洞,apache struts2漏洞,OPEN SSL心臟出血漏洞,BASH破殼漏洞等;
·Web應用層面的安全威脅,如SQL注入攻擊,XSS攻擊,Webshell上傳等;
·網站管理后臺或者個人賬戶登錄系統遭到口令暴力破解;
·業務服務器上存儲的的敏感信息被竊;
·對外發布網站內容被篡改;
·終端自身系統或者應用軟件存在的漏洞防護;
·已知遠控木馬,蠕蟲病毒等惡意軟件被種植到終端,形成僵尸主機后的檢測識別;
·未知變種惡意軟件威脅的檢測與防護;
1.2.2上網行為管理需求
·工作效率低下
網絡的普及改變了傳統的辦公方式,而內網中總有部分用戶在上班時間有意無意的做與工作無關的網絡行為,比如聊天、炒股、玩網游、看視頻、網購等,而且越來越多的員工正在通過企業無線網絡來使用移動APP版的淘寶、陌陌。這嚴重影響工作效率,從而導致企業競爭力的下降。
所以,組織需要針對PC、移動終端等各種應用、APP進行更有效的識別和管控。
·帶寬濫用和浪費
互聯網中充斥著P2P下載、在線視頻、游戲、在線小說等耗費帶寬的非關鍵業務應用,用戶在使用這些應用的過程中必然會占用大量的帶寬,而關鍵的業務應用、關鍵人員角色則得不到足夠的資源。
此外,傳統的帶寬管理策略都是靜態的,當帶寬空閑時,依然會限制用戶的流量,帶寬價值被大大浪費。
所以,IT部門需要針對各種應用類型、用戶角色、帶寬占用情況等,提供更加靈活、細致、動態的帶寬管理策略,提升用戶上網體驗。
二、網絡拓撲
三、解決方案:
3.1對外Web應用安全防護
下一代防火墻具備專業的Web應用防護能力,針對互聯網出口對外發布業務可以提供安全防護功能主要有:
1. SQL注入,XSS攻擊,Webshell文件上傳,網站掃描,CSRF,文件包含攻擊,目錄遍歷攻擊,系統命令注入等OWASP TOP 10 Web安全威脅;
2. 針對常見網站內容管理系統CMS的安全防護;
3. 基于HTTP協議異常檢測,緩沖區溢出檢測等;
4. 服務器版本信息隱藏;
5. Web弱口令檢測以及口令暴力破解防護;
6. 提供網站管理后臺登錄二次認證;
3.2終端安全防護
3.2.1終端僵尸網絡檢測
下一代防火墻獨有的僵尸網絡檢測隔離功能,能夠實時對終端主動發起的外發流量進行檢測,協助用戶定位內網被黑客控制的服務器或終端。該功能利用業界領先的僵尸網絡識別檢測技術對黑客的攻擊行為進行有效識別,針對以反彈式木馬為代表的惡意軟件進行深度防護。僵尸網絡識別庫數量超過50萬條,并由攻防團隊實時更新。
3.2.2終端未知威脅檢測
除了建立惡意軟件樣本庫外,為了能夠應對惡意軟件的新型變種以及其他未知威脅,下一代防火墻搭建了云安全平臺,通過云平臺的沙箱檢測技術來識別未知的安全威脅。下一代防火墻能夠將檢測到的異常流量放到沙箱虛擬化環境中運行,通過監控注冊表修改、進程創建、文件系統修改來發現未知威脅。同時針對新發現的威脅樣本生成特征規則庫,并通過云安全平臺推送到所有接入互聯網的下一代防火墻設備上。
3.3實時漏洞分析,定位有效攻擊
下一代防火墻提供的實時漏洞分析功能,可以根據經過設備的業務流量分析其中是否存在漏洞。
通過結合針對已知漏洞發起的攻擊日志來定位對業務服務器能夠真正產生威脅的有效攻擊。
基于業務/用戶的安全運維
面對數據大集中,多業務運維場景,下一代防火墻還提供強大的綜合風險報表功能,首先能夠幫助用戶從當前發現的漏洞數量和檢測到的攻擊為網絡整體安全情況進行一個風險評估,并給出當前網絡安全環境的評級。
其次綜合風險報表從業務和用戶兩個維度對進行詳細分析,按照受攻擊類型、漏洞類型和威脅類型進行統計分析,并根據每個業務對應的服務器IP進行針對性的安全分析,提供相應的服務安全說明,使得報表的可讀性更高,方便用戶從報告中分析出下一步的安全加固策略。
3.4提升工作效率
3.4.1網頁過濾策略
上班時間從事私人活動,管理者卻難以阻止,如上班時間瀏覽購物網站、上微博、論壇發帖等。AC能針對不同用戶(組)提供基于角色的管理方法,讓管理者實現指定用戶和部門在工作時間只能訪問特定的網站,例如行業信息網站、公司門戶網站等,而其他未經允許的網頁瀏覽都將被拒絕。
3.4.2IM(即時通訊)聊天軟件的管理
上班時間使用QQ、MSN等私人聊天,不僅影響工作效率,還可能因IM傳文件而引入病毒和向外泄密。面對的眾多IM軟件, AC通過檢測應用數據包的特征字段,實現對IM聊天軟件的管控,提升工作效率。
3.4.3全面的行為管理
網頁過濾、IM聊天等管控只是內網行為管理的一部分。面對用戶上班即掛機下載,搜索最新網絡新聞、圖片,上班時間更新博客、上傳圖片、看在線視頻、網絡游戲等問題,AC支持應用識別規則庫,包含1500多種應用,對員工上網行為進行全面管理。
3.4.4上網時間管理
AC通過為不同部門、不同用戶,基于時間段進行權限分配,也可以限制用戶一天內總的上網時間,實現人性化管理。支持設定一定的上網時間值,當用戶超過這個閥值時,將自動彈出提醒頁面,提醒員工上班時間注意提高工作效率,不要從事與工作無關的網絡活動。
3.5提高帶寬利用率
3.5.1多線路策略
AC支持多線路復用、帶寬疊加技術(專利號:200310112006X),企業通過AC同時連接多條公網線路,提升整體帶寬水平。同時結合多線路智能選路技術(專利號:ZL03113974.4),做到流量的智能選路和負載均衡。
3.5.2 P2P軟件的控制
P2P行為對帶寬具有強烈的吞噬能力,而傳統的流控功能在P2P應用上不起作用。AC提供P2P智能識別專利技術(專利號: 200610156977.8),不僅能識別和管控常用P2P軟件及版本,對不常見的和未來將出現的P2P亦能管控。而AC提供的P2P流控技術,將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P,又不會濫用帶寬。
3.5.3 動態調節
AC支持動態流控功能,通過設定閾值,實現當整體帶寬利用率過低時自動調整釋放更多的帶寬資源,讓帶寬得到有效利用,避免浪費,比傳統單一、死板的流控方法更有效的提升帶寬利用率。
3.5.4 帶寬統計和管理
AC數據中心對內網用戶的各種網絡行為進行統計及趨勢、報表等。借助圖形化報表、曲線和統計結果,可以幫助IT管理者輕松掌控網絡行為分布和帶寬資源使用等情況。
同時,AC基于用戶(組)、應用類型、網站類型、文件類型、目標IP等的智能流控,細致劃分與分配帶寬資源,如保障領導的視頻會議、市場部訪問行業網站、設計部傳輸CAD文件等行為得到帶寬保障,提升整個機構的帶寬使用效率。
3.6終端上網安全
3.6.1防病毒、木馬
內網用戶在訪問internet時,常常會無意中下載到一些包含惡意病毒的文件,這些病毒程序通常是極具破壞力的,嚴重時會造成計算機系統的崩潰,使員工無法正常工作。而如果在上網過程中使用上網安全桌面,則可以有效的防止這些病毒程序對本機造成破壞。
當內網用戶使用安全桌面上網,文件、注冊表重定向技術使本機內真實文件與注冊表得到了保護,而訪問目錄權限功能使病毒無法訪問繼而感染本機內部文件,有效地防止了病毒對本機系統的破壞,彌補殺毒軟件對安全事件事前防護的不足。上網安全桌面采用國際領先的沙盒技術保證了它能給用戶帶來一個干凈、安全的網絡應用環境,讓用戶使用起來再也不受病毒、木馬泛濫的困擾。
同時,AC具有網關殺毒功能,對內網用戶接收的郵件、訪問的網頁、下載的文件進行病毒過濾,降低內網用戶感染病毒的風險。
3.6.2攔截不良網頁
AC內置自動更新的海量URL庫,包括色情、反動等分類,潛藏在此類網站中的威脅將被AC過濾;AC允許用戶手工添加新URL分類;再過濾用戶通過搜索引擎搜索的關鍵字、過濾URL地址關鍵字和網頁正文關鍵字,實現對各類網頁的全面過濾,降低內網用戶訪問不良網頁和危險網頁的可能。
假冒網上銀行的釣魚網站、加密的反動網站等,顯示“加密化”已經成為趨勢,而業界多數設備無法對SSL加密網頁進行管控。AC通過證書驗證鏈接黑白名單技術,過濾含有不可信任數字證書的SSL網站,實現對SSL加密過的色情、邪教、釣魚網站等的過濾。
3.6.3文件傳輸控制
針對QQ、MSN等IM軟件的病毒,通過引誘用戶下載指定文件或打開指定URL鏈接而傳播;AC的“攔截不良網頁”措施將避免用戶訪問含病毒URL地址;AC還可限制使用QQ、MSN等傳遞文件。
通過HTTP、FTP從互聯網下載的文件,往往打開或運行后導致用戶電腦感染病毒、木馬,甚至癱瘓。該風險“感染點”還會伺機爆發,感染更多用戶,使整個網絡癱瘓。而此類行為和流量經過AC時,AC首先限制用戶通過HTTP、FTP上傳下載指定類型的文件,對于允許傳輸的文件,AC的網關殺毒功能將查殺該文件中潛藏的病毒、木馬。
3.7避免泄密和法律風險
在部署上網行為管理系統后,通過定義關鍵字的方式,實現對發送郵件、網上搜索、網上發布、文件外發等行為進行過濾,從而避免敏感信息泄露問題給企業帶來經濟損失。同時,有效防止不良信息外發行為,避免引來法律糾紛。即使發生了不良信息外發行為,也能夠通過對內網用戶上網行為實施記錄審計,能夠在發生網絡違法事件的時候通過審計日志追查相關責任人,避免由企業承擔相應法律責任。
同時,上網安全桌面根據規則對本機文件數據進行了隔離,安全桌面內的任何程序試圖獲取本機被隔離文件數據的行為都將被禁止,防止終端被木馬入侵后文件信息遭竊取,從而幫助用戶有效保護了敏感數據的安全性。
