1、1全网行为管理,还网络一片蓝天编者按:新的一年, “高手论技”继续伴随大家前行,身处一线的你,就那些技术上最常遇到的故障、最需要解决的难题、最成熟的应用都可以在此畅所欲言,各抒己见。是继续围观还是现身说法,新浪微群 http:/ 主持人: 陈守家 山东省潍坊商业学校 嘉宾: 刘宗凡 广东省四会中学 邱元阳 河南省安阳县职业中专 问题的提出 随着互联网的日益普及和发展,网络安全问题和上网行为问题也越发突出。互联网一方面能够提高工作效率,促进社会发展;另一方面也会在管理、工作效率、信息安全、法律遵从、IT 投资等方面对各行各业提出严峻的挑战。不断有人抱怨,单位的网速越来越慢,有限的带宽资源被大量地
2、滥用;来自单位内部的安全隐患日益增多,由于内网用户不良上网行为而导致的网络安全事故层出不穷;现代人更加依赖网络,甚至在办公期间也在进行着大量与工作无关的事务,严重影响了工作效率。更有甚者,有许多人利用单位的网络做一些触犯法律的事情,对其所在单位造成了不良的影响。 2想要及早系统地解决上述问题,避免未来的隐患,我们就应该对单位网络做全网行为管理。全网行为管理是将上网行为管理、内网安全管理、主机安全管理融为一体,借助处于网络边界位置的安全网关和安装在每台主机上的“主机威胁引擎”的联动防御,将“本地局域网远地局域网移动接入节点”的资源和安全策略进行统一管理,一体化解决互联网访问行为、内网安全行为、主
3、机安全行为的统一管理问题,确保用户网络平台的可信、可控、可管。全网行为管理就是不仅要管控互联网的访问行为,而且要管控内网及主机的安全行为。 网络行为管理 网络行为管理主要包括带宽管理、网络应用管控、URL 过滤和管控、网络访问日志和报表、重点网络应用的内容审计等,下面主要讨论前三个关键的方面。 1.带宽管理 带宽(流量)管理可有效提高用户上网线路的利用率,保证用户关键网络业务的顺畅。我们在流量控制时,可采用“应用流控”和“用户流控”相结合的方式,既可根据用户(如 IP 等)的控制来分配管理流量,也可按照网络应用类型来管理流量。我们通过用户流控和应用流控的灵活搭配使用,能够全面解决各种环境下的带
4、宽分配需求。 (1)用户流控。 提供基于用户/用户组的控制方式,能够优先保证指定用户(IP 地址)/用户群(IP 地址段)的上网带宽,如确保学校校级领导上网带宽的优先级等。 3(2)应用流控。 按照应用识别网络应用,进行流量管理,主要用于限制或保证某一类应用。例如,保证 ERP、OA 应用的带宽,限制 P2P 下载或网络视频的带宽。对于一个拥有 400 个终端、宽带接入通常在 10M 左右的小型企业网络,最常见的问题就是带宽的“紧缺” 。如果对内网用户 P2P 应用、大量文件下载和传播视频文件等动作不加管理的话,那么带宽资源永远都不够用,这会严重影响正常的业务,也会带来效率的下降,这时用户就需
5、要对流量进行管理和安全控制。 2.网络应用管控 网络应用管控主要是对各种网络应用的访问进行限制或封堵,当前主流的网络应用近 200 种都可以进行管控,大致如下: (1)办公和自动化:POP3、SMTP 协议。 (2)传统协议:NTP、IRC、TFTP、RTSP、MMS、FTP 等协议。 (3)远程访问:CVS、VNC、PCAnywhere、RDP、SSH、TELNET 等协议。(4)HTTP 应用:开心网、人人网等主流 SNS 网站。 (5)代理和隧道:自由门、无界、SOCKS4/5、WaysOnline 等。 (6)P2P 协议:迅雷、BT、电驴、哇嘎嘎、FrostWire、FlashGet
6、、WinMX、RaySource、SoulSeek、PP 点点通、KuGoo、POCO、Gnutella、QQ 音乐、Pando、汉魅、百宝、QQ 旋风、看天下、搜娱、百度下吧等主流 P2P 程序。 (7)网络电视:CCTVLive、PPLive、PPStream、酷46、TTLive、FlashTV、DopLive、MOP、天线视频、51TV、BBsee、暴风影音、QVod、PPMate、UUSee、PP 加速器、风行、QQLive、新浪TV、TVAnts、TVUPlayer、SopCast、皮皮影视、土豆视频、优酷、搜狐TV、沸点等主流网络电视。 (8)IM 程序:QQ 登录、QQ 语音视
7、频、QQ 离线传输、MSN 登录、Yahoo 登录、百度 Hi、网易泡泡、淘宝旺旺、新浪 UC、飞信、校内通登录、校内通文件传输、Lava 登录、LAVA 文件传输、Lava 语音视频、Skype、GTalk、WebIM、ICQ、搜 Q 等主流即时通讯软件。 (9)股票:同花顺、大智慧、分析家、证券之星、富贵满堂、股票悄悄看、钱龙、通达信、指南针、和讯股票等主流股票软件。 (10)游戏:永恒之塔、QQ 游戏、联众游戏、诛仙、征途、梦幻西游、魔兽世界、热血三国、大话西游、江湖、穿越火线、中国游戏中心、新浪 UTGame、浩方游戏平台等主流游戏程序。 例如,对于一些研发型公司、金融、政府或其他涉及
8、保密的行业,网络管理员尤其需要关注的是对其信息泄露的防范。这时就需要对一些外发途径,像客户端邮件/WebMail、IM 通讯、FTP 上传、BBS 上传等行为进行管理和控制。管理措施的采用,除了起到保障作用,更可以提高员工的信息保密意识。 3.URL 过滤和管控 我们在日常的网络行为管理中,可针对 URL 地址库进行过滤,屏蔽掉一些有安全威胁的恶意网址、游戏网址、娱乐网址、色情网址、聊天室网址等,给学生打造一个良好的上网学习环境。 互联网网页容5量爆炸性增长,Google 声称互联网独立网址超过 1 万亿个,如微博等新的网址每天层出不穷,静态 URL 库不足以有效应对,对于 URL 地址控制我
9、们采用将本地 URL 库和云端 URL 库结合的办法,实现效率和准确性的完美结合。 基于“云”的 URL“零时”分类库具备如下优势:互联网规模日益庞大,URL 数据库巨大,将 URL 库迁移到“数据云”中,消除了本地存储限制;大型中央数据库可以根据客户需要存储所有的 URL 分类信息;持续跟踪,确保每个 URL 每时每刻的分类始终正确无误;经济实用的轻量级本地客户端只接收和存储客户需要的数据,避免了占用大量网关存储资源;当用户浏览每个新站点时,触发云端 URL 识别,并且单位的安全网关会在本地 URL 库中添加 URL 记录,那么以后再访问同样的URL 将无需再访问云端,从而实现了效率和准确性
10、的完美结合。 例如,对于中小学或者职业院校的网络,由于网络使用者大多是学生,因此作为学校的网络管理员更关注的是对内容的管控。学生沉溺于网络游戏而放弃了学业,受网上不健康图文影响走上犯罪道路,无休止的网络聊天导致心理扭曲,这些血淋淋的例子告诉我们,学校的网络环境需要净化,需要建立一个绿色的校园网络环境。绿色校园,就应该能对内容进行过滤,能对网络游戏、聊天工具等进行屏蔽,还学生上网一片蓝天。 内网安全和主机行为管理 内网安全和主机行为管理主要包括对内部用户网络接入认证、准入控制、主机外设管理及移动存储介质(透明)加密、软件分发及补丁管6理等几方面,通过以上网络控制可以有效防御来自网络和主机的安全威
11、胁,加强内网和主机的安全管理。 1.用户接入认证 用户认证方式包括:账号/口令、数字证书、USB KEY 等,我们在网络管理中可以结合 Windows AD、LDAP、Radius 等第三方认证服务器协助用户认证,另外还可以用手机短信、主机特征码和动态口令牌等方式验证。 2.准入控制 目前基于“主机风险评估”的准入控制技术是非常先进的,单位中的客户端会根据出口安全网关的指令对接入内网的主机进行全面的主机安全评估,如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别,如没有启用杀毒软件、防火墙、杀毒软件没有及时更新病毒库、操作系统未按规定打补丁、有非法外联等问题时,则不允许该主机访问外网或
12、限制其对内网的资源访问。利用准入控制可以确保那些疏于防范的内网主机不能轻易上网,避免将 Internet 上的木马、病毒等带进内网,也不会使带有安全风险的主机将风险通过 VPN 隧道带进单位内网,从而确保整个单位网络平台的安全可信。 3.U 盘加密和主机外设管理 作为网络管理员,也不能忽视对 USB 存储设备的管理,可以采用在客户端安装控件的方式,自动跟踪记录 USB 存储设备的插拔使用情况,并且对 USB 存储设备进行授权管理,只有授权过的 USB 存储设备才允许在内部使用,未授权 U 盘无法在内网的计算机上使用。而经过授权的 U7盘当离开了我们系统保护的网络后,如携带回家,就无法正常使用了
13、,所有存储在授权 U 盘上的文件均被自动加密,无法在非安全的环境下正常使用。 同时也不能忽略对 1394 接口、蓝牙、串并口、光驱和红外线等外设的启禁控制。这些方面的管理控制对于上面提到的那些研发型公司、金融、政府或其他涉及保密的行业,都能起到非常重要的保护作用。 4.补丁管理和软件分发 大多数单位都部署有一台 WSUS 服务器,能够实现直接从互联网上下载升级补丁,然后再给内网机器升级,这样内外网交叉必然会存在不安全因素,我的建议是部署两台同样的 WSUS 服务器,这两台机器要完全物理隔离,一台连接外网,下载好补丁后,将下载的整体目录复制到另外一台 WSUS 服务器对应的目录下就行,或者是部署三台,中间这台可以用来补丁测试,关于 WSUS 服务器的具体搭建细节,很多文章都有明确的说明,这里就不再做详细讨论了。
