典型中小企业网络边界安全解决方案11338.docx

《典型中小企业网络边界安全解决方案11338.docx》由会员分享，可在线阅读，更多相关《典型中小企业网络边界安全解决方案11338.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、典型中小型企业网络边界安全解决方案典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc.2010年9月29日目录1前言441.1方方案目的的41.2方方案概述述42安全需需求分析析62.1典典型中小小企业网网络现状状分析662.2典典型中小小企业网网络安全全威胁882.3典典型中小小企业网网络安全全需求1102.3.1需要要进行有有效的访访问控制制102.3.2深度度应用识识别的需需求1112.3.3需要要有效防防范病毒毒112.3.4需要要实现实实名制管管理1112.3.5需要要实现全全面URRL过滤滤122.3.6需要要实现IIPSEEC VVPN1122

2、.3.7需要要实现集集中化的的管理1123安全技技术选择择133.1技技术选型型的思路路和要点点133.1.1首要要保障可可管理性性133.1.2其次次提供可可认证性性133.1.3再次次保障链链路畅通通性1443.1.4最后后是稳定定性1443.2选选择山石石安全网网关的原原因1443.2.1安全全可靠的的集中化化管理1153.2.2基于于角色的的安全控控制与审审计1663.2.3基于于深度应应用识别别的访问问控制1173.2.4深度度内容安安全(UUTMPPluss)1173.2.5高性性能病毒毒过滤1183.2.6灵活活高效的的带宽管管理功能能193.2.7强大大的URRL地址址过滤库库

3、213.2.8高性性能的应应用层管管控能力力213.2.9高效效IPSSEC VPNN223.2.10高高可靠的的冗余备备份能力力224系统部部署说明明234.1安安全网关关部署设设计2444.2安安全网关关部署说说明2554.2.1部署署集中安安全管理理中心2254.2.2基于于角色的的管理配配置2994.2.3配置置访问控控制策略略304.2.4配置置带宽控控制策略略314.2.5上网网行为日日志管理理334.2.6实现现URLL过滤3554.2.7实现现网络病病毒过滤滤364.2.8部署署IPSSEC VPNN374.2.9实现现安全移移动办公公385方案建建设效果果381 前言1.1

4、方案目的的本方案的的设计对对象为国国内中小小企业，方方案中定定义的中中小型企企业为：人员规规模在22千人左左右，在在全国各各地有分分支机构构，有一一定的信信息化建建设基础础，信息息网络覆覆盖了总总部和各各个分支支机构，业业务系统统有支撑撑企业运运营的EERP系系统，支支撑企业业员工处处理日常常事务的的OA系系统，和和对外进进行宣传传的企业业网站；业务集集中在总总部，各各个分支支机构可可远程访访问业务务系统完完成相关关的业务务操作。根据当前前国内企企业的发发展趋势势，中小小企业呈呈现出快快速增长长的势头头，计算算机系统统为企业业的管理理、运营营、维护护、办公公等提供供了高效效的运行行条件，为为企

5、业经经营决策策提供了了有力支支撑，为为企业的的对外宣宣传发挥挥了重要要的作用用，因此此企业对对信息化化建设的的依赖也也越来越越强，但但同时由由于计算算机网络络所普遍遍面临的的安全威威胁，又又给企业业的信息息化带来来严重的的制约，互互联网上上的黑客客攻击、蠕蠕虫病毒毒传播、非非法渗透透等，严严重威胁胁着企业业信息系系统的正正常运行行；内网网的非法法破坏、非非法授权权访问、员员工故意意泄密等等事件，也也是的企企业的正正常运营营秩序受受到威胁胁，如何何做到既既高效又又安全，是是大多数数中小企企业信息息化关注注的重点点。而作为信信息安全全体系建建设，涉涉及到各各个层面面的要素素，从管管理的角角度，涉涉

6、及到组组织、制制度、流流程、监监督等，从从技术的的角度，设设计到物物理层、网网络层、主主机层、应应用层和和运维层层，本方方案的重重点是网网络层的的安全建建设，即即通过加加强对基基础网络络的安全全控制和和监控手手段，来来提升基基础网络络的安全全性，从从而为上上层应用用提供安安全的运运行环境境，保障障中小企企业计算算机网络络的安全全性。1.2 方案概述述本方案涉涉及的典典型中小小型企业业的网络络架构为为：两级级结构，纵纵向上划划分为总总部与分分支机构构，总部部集中了了所有的的重要业业务服务务器和数数据库，分分支机构构只有终终端，业业务访问问则是通通过专线线链路直直接访问问到总部部；总部部及分支支机

7、构均均有互联联网出口口，提供供给员工工进行上上网访问问，同时时总部的的互联网网出口也也作为网网站发布布的链路路途径。典型中小型企业的网络结构可表示如下：典型中小小型企业业网络结结构示意意图为保障中中小企业业网络层层面的安安全防护护能力，本本方案结结合山石石网科集集成化安安全平台台，在对对中小企企业信息息网络安安全域划划分的基基础上，从从边界安安全防护护的角度度，实现现以下的的安全建建设效果果：l 实现有效效的访问问控制：对员工工访问互互联网，以以及员工工访问业业务系统统的行为为进行有有效控制制，杜绝绝非法访访问，禁禁止非授授权访问问，保障障访问的的合法性性和合规规性；l 实现有效效的集中中安全

8、管管理：中中小型企企业的管管理特点点为总部部高度集集中模式式，通过过网关的的集中管管理系统统，中小小企业能能够集中中监控总总部及各各个分支支机构员员工的网网络访问问行为，做做到可视视化的安安全。l 保障安全全健康上网网：对员员工的上上网行为为进行有有效监控控，禁止止员工在在上班时时间使用用P2PP、网游游、网络络视频等等过度占占用带宽宽的应用用，提高高员工办办公效率率；对员员工访问问的网站站进行实实时监控控，限制制员工访访问不健健康或不不安全的的网站，从从而造成成病毒的的传播等等；l 保护网站站安全：对企业业网站进进行有效效保护，防防范来自自互联网网上黑客客的故意意渗透和和破坏行行为；l 保护

9、关键键业务安安全性：对重要要的应用用服务器器和数据据库服务务器实施施保护，防防范病毒毒和内部部的非授授权访问问；l 实现实名名制的安安全监控控：中小小型企业业的特点点是，主主机IPP地址不不固定，但但全公司司有统一一的用户户管理措措施，通通常通过过AD域域的方式式来实现现，因此此对于访访问控制制和行为为审计，可实现基于身份的监控，实现所谓的实名制管理；l 实现总部部与分支支机构的的可靠远远程传输输：典型型中小型型企业的的链路使使用模式式为，专专线支撑撑重要的的业务类类访问，互互联网链链路平时时作为员员工上网网使用，当当专线链链路故障障可作为为备份链链路，为为此通过过总部与与分支机机构部署署网关

10、的的IPSSEC VPNN功能，可可在利用用备份链链路进行行远程通通讯中，保保障数据据传输的的安全性性；l 对移动办办公的安安全保障障：利用用安全网网关的SSSL VPNN功能，提提供给移移动办公公人员进进行远程程安全传传输保护护，确保保数据的的传输安安全性；2 安全需求求分析2.1 典型中小小企业网网络现状状分析中小企业业的典型型架构为为两级部部署，从从纵向上上划分为为总部及及分支机机构，总总部集中中了所有有的重要要业务服服务器和和数据库库，分支支机构只只有终端端，业务务访问则则是通过过专线链链路直接接访问到到总部；总部及及分支机机构均有有互联网网出口，提提供给员员工进行行上网访访问，同同时

11、总部部的互联联网出口口也作为为网站发发布的链链路途径径。双链路给给中小企企业应用用访问带带来的好好处是，业业务访问问走专线线，可保保障业务务的高可可靠性；上网走走互联网网链路，增增加灵活活性，即即各个分分支机构构可根据据自己的的人员规规模，采采用合理理的价格格租用电电信宽带带；从网网络设计计上，中中小企业业各个节节点的结结构比较较简单，为为典型的的星形结结构设计计，总部部因用户户量和服服务器数数量较高高，因此此核心往往往采用用三层交交换机，通通过VLLAN来来划分不不同的子子网，并并在子网网内部署署终端及及各类应应用服务务器，有有些中小小型企业业在VLLAN的的基础上上还配置置了ACCL，对对

12、不同VVLANN间的访访问实行行控制；各分支支机构的的网络结结构则相相对简单单，通过过堆叠二二层交换换连接到到不同终终端。具具体的组组网结构构可参考考下图：典型中小小企业组组网结构构示意图图2.2 典型中小小企业网网络安全全威胁在没有采采取有效效的安全全防护措措施，典典型的中中小型企企业由于于分布广广，并且且架构在在TCPP/IPP网络上上，由于于主机、网网络、通通信协议议等存在在的先天天性安全全弱点，使使得中小小型企业业往往面面临很多多的安全全威胁，其其中典型型的网络络安全威威胁包括括：【非法和和越权的的访问】中小型企企业信息息网络内内承载了了与生产产经营息息息相关关的ERRP、OOA和网网

13、站系统统，在缺缺乏访问问控制的的前提下下很容易易受到非非法和越越权的访访问；虽虽然大多多数软件件都实现现了身份份认证和和授权访访问的功功能，但但是这种种控制只只体现在在应用层层，如果果远程通通过网络络层的嗅嗅探或攻攻击工具具（因为为在网络络层应用用服务器器与任何何一台企企业网内内的终端端都是相相通的），有有可能会会获得上上层的身身份和口口令信息息，从而而对业务务系统进进行非法法及越权权访问，破破坏业务务的正常常运行，或或非法获获得企业业的商业业秘密，造造成泄露露；【恶意代代码传播播】大多数的的中小企企业，都都在终端端上安装装了防病病毒软件件，以有有效杜绝绝病毒在在网络中中的传播播，但是是随着蠕

14、蠕虫、木木马等网网络型病病毒的出出现，单单纯依靠靠终端层层面的查查杀病毒毒显现出出明显的的不足，这这种类型型病毒的的典型特特征是，在在网络中中能够进进行大量量的扫描描，当发发现有弱弱点的主主机后快快速进行行自我复复制，并并通过网网络传播播过去，这这就使得得一旦网网络中某某个节点点（可能能是台主主机，也也可能是是服务器器）被感感染病毒毒，该病病毒能够够在网络络中传递递大量的的扫描和和嗅探性性质的数数据包，对对网络有有限的带带宽资源源造成损损害。【防范AARP欺欺骗】大多数的的中小企企业都遭遭受过此此类攻击击行为，这这种行为为的典型型特点是是利用了了网络的的先天性性缺陷，即即两台主主机需要要通讯时

15、时，必须须先相互互广播AARP地地址，在在相互交交换IPP地址和和ARPP地址后后方可通通讯，特特别是中中小企业业都需要要通过边边界的网网关设备备，实现现分支机机构和总总部的互互访；AARP欺欺骗就是是某台主主机伪装装成网关关，发布布虚假的的ARPP信息，让让内网的的主机误误认为该该主机就就是网关关，从而而把跨越越网段的的访问数数据包（比比如分支支机构人人员访问问互联网网或总部部的业务务系统）都都传递给给该主机机，轻微微的造成成无法正正常访问问网络，严严重的则则将会引引起泄密密；【恶意访访问】对于中小小型企业业网而言言，各个个分支机机构的广广域网链链路带宽宽是有限限的，因因此必须须有计划划地分

16、配配带宽资资源，保保障关键键业务的的进行，这这就要求求无论针针对专线线所转发发的访问问，还是是互联网网出口链链路转发发的访问问，都要要求对那那些过度度占用带带宽的行行为加以以限制，避避免因某某几台终终端过度度抢占带带宽资源源而影响响他人对对网络的的使用。这种恶意意访问行行为包括括：过度度使用PP2P进进行大文文件下载载，长时时间访问问网游，长长时间访访问视频频网站，访访问恶意意网站而而引发病病毒传播播，直接接攻击网网络等行行为。【身份与与行为的的脱节】常见的访访问控制制措施，还还是QOOS措施施，其控控制依据据都是IIP地址址，而众众所周知知IP地地址是很很容易伪伪造的，即即使大多多数的防防火

17、墙都都支持IIP+MMAC地地址绑定定，MAAC地址址也是能能被伪造造的，这这样一方方面造成成策略的的制定非非常麻烦烦，因为为中小型型企业内内员工的的身份是是分级的的，每个个员工因因岗位不不同需要要访问的的目标是是不同的的，需要要提供的的带宽保保障也是是不同的的，这就就需要在在了解每每个人的的IP地地址后来来制定策策略；另另一方面面容易形形成控制制缺陷，即即低级别别员工伪伪装成高高级别员员工的地地址，从从而可占占用更多多的资源源。身份与行行为的脱脱节的影影响还在在于日志志记录上上，由于于日志的的依据也也是根据据IP地地址，这这样对发发生违规规事件后后的追查查造成极极大的障障碍，甚甚至无法法追查

18、。【拒绝服服务攻击击】大多数中中小型企企业都建建有自己己的网站站，进行行对外宣宣传，是是企业对对外的窗窗口，但但是由于于该平台台面向互互联网开开放，很很容易受受到黑客客的攻击击，其中中最典型型的就是是拒绝服服务攻击击，该行行为也利利用了现现有TCCP/IIP网络络传输协协议的先先天性缺缺陷，大大量发送送请求连连接的信信息，而而不发送送确认信信息，使使得遭受受攻击的的主机或或网络设设备长时时间处于于等待状状态，导导致缓存存被占满满，而无无法响应应正常的的访问请请求，表表现为就就是拒绝绝服务。这这种攻击击常常针针对企业业的网站站，使得得网站无无法被正正常访问问，破坏坏企业形形象；【不安全全的远程程

19、访问】对于中小小型企业业，利用用互联网网平台，作作为专线线的备份份链路，实实现分支支机构与与总部的的连接，是是很一种种提高系系统可靠靠性，并并充分利利用现有有网络资资源的极极好办法法；另外外远程移移动办公公的人员员也需要要通过互互联网来来访问企企业网的的信息平平台，进进行相关关的业务务处理；而互联联网的开开放性使使得此类类访问往往往面临临很多的的安全威威胁，最最为典型型的就是是攻击者者嗅探数数据包，或或篡改数数据包，破破坏正常常的业务务访问，或或者泄露露企业的的商业秘秘密，使使企业遭遭受到严严重的损损失。【缺乏集集中监控控措施】典型中小小型企业业的特点点是，集集中管理理，分布布监控，但但是在安

20、安全方面面目前尚尚缺乏集集中的监监控手段段，对于于各分支支机构员员工的上上网行为为，访问问业务的的行为，以以及总部部重要资资源的受受访问状状态，都都没有集集中的监监控和管管理手段段，一旦旦发生安安全事件件，将很很难快速速进行察察觉，也也很难有有效做出出反应，事事后也很很难取证证，使得得企业的的安全管管理无法法真正落落地。2.3 典型中小小企业网网络安全全需求针对中小小企业在在安全建建设及运运维管理理中所暴暴露出的的问题，山山石网科科认为，应应当进行行有针对对性的设设计和建建设，最最大化降降低威胁胁，并实实现有效效的管理理。2.3.1 需要进行行有效的的访问控控制网络安全全建设的的首要因因素就是

21、是访问控控制，控控制的核核心是访访问行为为，应实实现对非非许可访访问的杜杜绝，限限制员工工对网络络资源的的使用方方式。中小企业业的业务务多样化化，必然然造成访访问行为为的多样样化，因因此如何何有效鉴鉴别正常常的访问问，和非非法的访访问是非非常必要要的，特特别是针针对中小小企业员员工对互互联网的的访问行行为，应应当采取取有效的的控制措措施，杜杜绝过度度占用带带宽的访访问行为为，保障障正常的的业务和和上网访访问。对于中小小企业重重要的应应用服务务器和数数据库资资源，应应当有效效鉴别出出合法的的业务访访问，和和可能的的攻击访访问行为为，并分分别采取取必要的的安全控控制手段段，保障障关键的的业务访访问

22、。2.3.2 深度应用用识别的的需求引入的安安全控制制系统，应应当能够够支持深深度应用用识别功功能，特特别是对对使用动动态端口口的P22P和IIM应用用，能够够做到精精准鉴别别，并以以此为基基础实现现基于应应用的访访问控制制和QOOS，提提升控制制和限制制的精度度和力度度。对于分支支机构外外来用户户，在利利用分支支机构互互联网出出口进行行访问时时，基于于身份识识别做到到差异化化的控制制，提升升系统总总体的维维护效率率。2.3.3 需要有效效防范病病毒在访问控控制的技技术上，需需要在网网络边界界进行病病毒过滤滤，防范范病毒的的传播；在互联联网出口口上要能能够有效效检测出出挂马网网站，对对访问此此

23、类网站站而造成成的病毒毒下发，能能够快速速检测并并响应；同时也也能够防防范来自自其他节节点的病病毒传播播。2.3.4 需要实现现实名制制管理应对依托托IP地地址进行行控制，QQOS和和日志的的缺陷，应应实现基基于用户户身份的的访问控控制、QQOS、日日志记录录，应能能够与中中小企业业现有的的安全准准入系统统整合起起来，当当员工接接入办公公网并对对互联网网访问时时，先进进行准入入验证，验验证通过过后将验验证信息息PUSSH给网网关，网网关拿到到此信息息，在用用户发出出上网请请求时，根根据IPP地址来来索引相相关的认认证信息息，确定定其角色色，最后后再根据据角色来来执行访访问控制制和带宽宽管理。在

24、日志记记录中，也也能够根根据确定定的身份份来记录录，使得得日志可可以方便便地追溯溯到具体体的员工工。2.3.5 需要实现现全面UURL过过滤应引入专专业性的的URLL地址库库，并能能够分类类和及时时更新，保保障各个个分支机机构在执执行URRL过滤滤策略是是，能够够保持一一致和同同步。2.3.6 需要实现现IPSSEC VPNN利用中小小企业现现有的互互联网出出口，作作为专线线的备份份链路，在在不增加加链路投投资的前前提下，使使分支机机构和总总公司的的通信得得到更高高的可靠靠性保障障。但是由于于互联网网平台的的开放性性，如果果将原本本在专线线上运行行的ERRP、OOA、视视频会议议等应用用切换到

25、到互联网网链路上上时，容容易遭到到窃听和和篡改的的风险，为为此需要要设备提提供IPPSECC VPPN功能能，对传传输数据据进行加加密和完完整性保保护，保保障数据据传输的的安全性性。2.3.7 需要实现现集中化化的管理理集中化的的管理首首先要求求日志信信息的集集中分析析，各个个分支机机构既能能够在本本地查看看详细的的访问日日志，总总部也能能够统一一查看各各个分支支机构的的访问日日志，从从而实现现总部对对分支机机构的有有效监管管。总部能够够统一对对各个分分支机构构的安全全设备进进行全局局性配置置管理，各各个分支支机构也也能够在在不违背背全局性性策略的的前提下下，配置置符合本本节点特特点的个个性化

26、策策略。由于各个个厂商的的技术壁壁垒，不不同产品品的功能能差异，因因此要实实现集中中化管理理的前提提就是统统一品牌牌，统一一设备，而而从投资资保护和和便于维维护的角角度，中中小企业业应当选选择具有有多种功功能的安安全网关关设备。3 安全技术术选择3.1 技术选型型的思路路和要点现有的安安全设备备无法解解决当前前切实的的安全问问题，也也无法进进一步扩扩展以适适应当前前管理的的需要，因因此必须须进行改改造，统统一引入入新的设设备，来来更好地地满足运运行维护护的要求求，在引引入新设设备的时时候，必必须遵循循下属的的原则和和思路。3.1.1 首要保障障可管理性性网络安全全设备应应当能够够被集中中监控，

27、由由于安全全网关部部署在中中小企业业办公网网的重要要出口上上，详细细记录了了各节点点的上网网访问行行为，因因此对全全网监控控有着非非常重要要的意义义，因此此系统必必须能够够被统一一管理起起来，实实现日志志行为，特特别是各各种防护护手段形形成的记记录进行行集中的的记录与与分析。此外，策策略也需需要分级级集中下下发，总总部能够够统一下下发集中中性的策策略，各各分支机机构可根根据自身身的特点点，在不不违背全全局性策策略的前前提下，进进行灵活活定制。3.1.2 其次提供供可认证证性设备必须须能够实实现基于于身份和和角色的的管理，设设备无论论在进行行访问控控制，还还是在QQOS，还还是在日日志记录录过程

28、中中，依据据必须是是真实的的访问者者身份，做做到精细细化管理理，可追追溯性记记录。对于中小小企业而而言，设设备必须须能够与与中小企企业的AAD域管管理整合合，通过过AD域域来鉴别别用户的的身份和和角色信信息，并并根据角角色执行行访问控控制和QQOS，根根据身份份来记录录上网行行为日志志。3.1.3 再次保障障链路畅畅通性对于多出出口链路路的分支支机构，引引入的安安全设备备应当支支持多链链路负载载均衡，正正常状态态下设备备能够根根据出口口链路的的繁忙状状态自动动分配负负载，使使得两条条链路都都能够得得到充分分利用；在某条条链路异异常的状状态下，能能够自动动切换负负载，保保障员工工的正常常上网。目

29、前中小小企业利利用互联联网的主主要应用用就是上上网浏览览，因此此系统应应提供强强大的UURL地地址过滤滤功能，对对员工访访问非法法网站能能够做到到有效封封堵，这这就要求求设备应应提供强强大的UURL地地址库，并并能够自自动升级级，降低低管理难难度，提提高控制制精度。中小企业业的链路路是有限限的，因因此应有有效封堵堵P2PP、IMM等过度度占用带带宽的业业务访问问，保障障链路的的有效性性。3.1.4 最后是稳稳定性选择的产产品必须须可靠稳稳定，选选择产品品形成的的方案应应尽量避避免单点点故障，传传统的网网络安全全方案总总是需要要一堆的的产品去去解决不不同的问问题，但但这些产产品接入入到网络络中，

30、任任何一台台设备故故障都会会造成全全网通信信的故障障，因此此采取集集成化的的安全产产品应当当是必然然选择。另外，安安全产品品必须有有多种稳稳定性的的考虑，既既要有整整机稳定定性措施施，也要要有接口口稳定性性措施，还还要有系系统稳定定性措施施，产品品能够充充分应对对各种突突发的情情况，并并保持系系统整体体工作的的稳定性性。3.2 选择山石石安全网网关的原因基于中小小企业的的产品选选型原则则，方案案建议采采用的山山石网科科安全网网关，在在多核PPluss G22硬件架架构的基基础上，采采用全并并行架构构，实现现更高的的执行效效率。并并综合实实现了多多个安全全功能，完完全能够够满足中中小企业业安全产

31、产品的选选型要求求。山石网科科安全网网关在技技术上具具有如下下的安全全技术优优势，包包括：3.2.1 安全可靠靠的集中中化管理理山石网科科安全管管理中心心采用了了一种全全新的方方法来实实现设备备安全管管理，通通过提供供集中的的端到端端生命周周期管理理来实现现精细的的设备配配置、网网络设置置、VPPN配置置和安全全策略控控制。山山石网科科安全管管理中心心可以清清楚地分分配角色色和职责责，从而而使设备备技术人人员、网网络管理理员和安安全管理理员通过过相互协协作来提提高网络络管理效效率，减减少开销销并降低低运营成成本。 利用山石石网科安安全管理理中心，可可以为特特定用户户分配适适当的管管理接入入权限

32、（从从只读到到全面的的编辑权权限）来来完成多多种工作作。可以以允许或或限制用用户接入入信息，从从而使用用户可以以作出与与他们的的角色相相适应的的决策。山石网科科安全管管理中心心的一个个关键设设计理念念是降低低安全设设备管理理的复杂杂性，同同时保证证足够的的灵活性性来满足足每个用用户的不不同需求求。为了了实现这这一目标标，山石石网科安安全管理理中心提提供了一一个综合合管理界界面以便便从一个个集中位位置上控控制所有有设备参参数。管管理员只只需要点点击几下下鼠标就就可以配配置设备备、创建建安全策策略或管管理软件件升级。同同时，只只要是能能够通过过山石网网科安全全管理中中心进行行配置的的设备都都可以通

33、通过CLLI接入入。 山石网科科安全管管理中心心还带有有一种高高性能日日志存储储机制，使使IT部部门可以以收集并并监控关关键方面面的详细细信息，如如网络流流量、设设备状态态和安全全事件等等。利用用内置的的报告功功能，管管理员还还可以迅迅速生成成报告来来进行调调查研究究或查看看是否符符合要求求。 山石网科科安全管管理中心心采用了了一种33层的体体系结构构，该结结构通过过一条基基于TCCP的安安全通信信信道安全服服务器协协议（SSSP）相相连接。SSSP可可以通过过AESS加密和和SHAA1认证证来提供供受到有有效保护护的端到到端的安安全通信信功能。利利用经过过认证的的加密TTCP通通信链路路，就

34、不不需要在在不同分分层之间间建立VVPN隧隧道，从从而大大大提高了了性能和和灵活性性。 山石网科科安全管管理中心心提供统统一管理理功能，在在一个统统一界面面中集成成了配置置、日志志记录、监监控和报报告功能能，同时时还使网网络管理理中心的的所有工工作人员员可以协协同工作作。山石石网科网网络公司司的集中中管理方方法使用用户可以以在安全全性和接接入便利利性之间间达成平平衡，对对于安全全网关这这类安全全设备的的大规模模部署非非常重要要。3.2.2 基于角色色的安全全控制与与审计针对传统统基于IIP的访访问控制制和资源源控制缺缺陷，山山石网科科采用RRBNSS（基于于身份和和角色的的管理）技技术让网网络

35、配置置更加直直观和精精细化，不不同基于于角色的的管理模模式主要要包含基基于“人”的访问问控制、基基于“人”的网络络资源(服务)的分配配、基于于”人“的日志志审计三三大方面面。基于于角色的的管理模模式可以以通过对对访问者者身份审审核和确确认，确确定访问问者的访访问权限限，分配配相应的的网络资资源。在在技术上上可避免免IP盗用用或者PPC终端端被盗用用引发的的数据泄泄露等问问题。另外，在在采用了了RBNNS技术术后，使使得审计计记录可可以直接接反追溯溯到真实实的访问问者，更更便于安安全事件件的定位位。在本方案案中，利利用山石石网科安安全网关关的身份份认证功功能，可可结合AAD域认认证等技技术，提提

36、供集成成化的认认证+控控制+深深度检测测+行为为审计的的解决方方案，当当访问者者需跨网网关访问问时，网网关会根根据确认认的访问问者身份份，自动动调用邮邮件系统统内的邮邮件组信信息，确确定访问问者角色色，随后后根据角角色执行行访问控控制，限限制其访访问范围围，然后后再对访访问数据据包进行行深度检检测，根根据角色色执行差差异化的的QOSS，并在在发现非非法的访访问，或或者存在在可疑行行为的访访问时，记记录到日日志提供供给系统统员进行行事后的的深度分分析。3.2.3 基于深度度应用识识别的访访问控制制中小型企企业的主主要业务务应用系系统都建建立在HHTTPP/HTTTPSS等应用用层协议议之上，新的

37、安安全威胁胁也随之之嵌入到到应用之之中，而而传统基基于状态态检测的的防火墙墙只能依依据端口口或协议议去设置置安全策策略，根根本无法法识别应应用，更更谈不上上安全防防护。Hilllstoone山山石网科科新一代代防火墙墙可以根根据应用用的行为为和特征征实现对对应用的的识别和和控制，而而不依赖赖于端口口或协议议，即使使加密过过的数据据流也能能应付自自如。StonneOSS识别的的应用多多达几百百种，而而且跟随随着应用用的发展展每天都都在增加加；其中中包括PP2P、IIM(即即时通讯讯)、游游戏、办办公软件件以及基基于SIIP、HH.3223、HHTTPP等协议议的应用用。同时时，应用用特征库库通过

38、网网络服务务可以实实时更新新，无须须等待新新版本软软件发布布。3.2.4 深度内容容安全(UTMMPluus)山石网科科安全网网关可选选UTMMPluus软件包包提供病病毒过滤滤，入侵侵防御，内内容过滤滤，上网网行为管管理和应应用流量量整形等等功能，可可以防范范病毒，间间谍软件件，蠕虫虫，木马马等网络络的攻击击。关键键字过滤滤和基于于超过220000万域名名的Weeb页面面分类数数据库可可以帮助助管理员员轻松设设置工作作时间禁禁止访问问的网页页，提高高工作效效率和控控制对不不良网站站的访问问。病毒毒库，攻攻击库，UURL库库可以通通过网络络服务实实时下载载，确保保对新爆爆发的病病毒、攻攻击、新

39、新的URRL做到到及时响响应。由于中小小企业包包含了多多个分支支机构，一一旦因某某个节点点遭到恶恶意代码码的传播播，病毒毒将会很很快在企企业的网网络内传传播，造造成全网网故障。在在使用了了山石网网科安全全网关后后，并在在全网各各个节点点的边界界部署后后，将在在逻辑上上形成不不同的隔隔离区，一一旦某个个节点遭遭遇到病病毒攻击击后，不不会影响响到其他他节点。并并且山石石支持硬硬件病毒毒过滤技技术，在在边界进进行病毒毒查杀的的时候，对对性能不不会造成成过多影影响。3.2.5 高性能病病毒过滤滤对于中小小企业而而言，在在边界进进行病毒毒的过滤滤与查杀杀，是有有效防范范蠕虫、木木马等网网络型病病毒的有有

40、效工具具，但是是传统病病毒过滤滤技术由由于需要要在应用用层解析析数据包包，因此此效率很很低，导导致开启启病毒过过滤后对对全网的的通信速速度形成成很大影影响。山石安全全网关在在多核的的技术上上，对病病毒过滤滤采取了了全新的的流扫描描技术，也也就是所所谓的边边检测边边传输技技术，从从而大大大提升了了病毒检检测与过过滤的效效率。l 流扫描策策略传统的病病毒过滤滤扫描是是基于文文件的。这这种方法法是基于于主机的的病毒过过滤解决决方案实实现的，并并且旧一一代病毒毒过滤解解决方案案也继承承这一方方法。使使用这种种方法，首首先需要要下载整整个文件件，然后后开始扫扫描，最最后再将将文件发发送出去去。从发发送者

41、发发送出文文件到接接收者完完成文件件接收，会会经历长长时间延延迟。对对于大文文件，用用户应用用程序可可能出现现超时。山石网科科扫描引引擎是基基于流的的，病毒毒过滤扫扫描引擎擎在数据据包流到到达时进进行检查查，如果果没有检检查到病病毒，则则发送数数据包流流。由此此，用户户将看到到明显的的延迟改改善，并并且他们们的应用用程序也也将更快快响应。流扫描技技术仅需需要缓存存有限数数量的数数据包。它它也不像像文件扫扫描那样样受文件件大小的的限制。低低资源利利用率也也意味着着更多文文件流的的同时扫扫描。出出于对高高性能、低低延迟、高高可升级级性的首首要考虑虑，流扫扫描技术术适合网网关病毒毒过滤解解决方案案。

42、l 基于策略略的病毒毒过滤功功能山石网科科病毒过过滤功能能与策略略引擎完完全集成成。管理理员能够够完全控控制以下下各方面面：哪些些域的流流量需要要进行病病毒过滤滤扫描，哪哪些用户户或者用用户组进进行扫描描，以及及哪些服服务器和和应用被被保护。3.2.6 灵活高效效的带宽宽管理功功能山石网科科产品提提供专有有的智能能应用识识别(IInteelliigennt AAppllicaatioon IIdenntifficaatioon)功功能，称称为IAAI。IIAI能能够对百百余种网网络应用用进行分分类，甚甚至包括括对加密密的P22P应用用（Biit TTorrrentt、迅雷雷、Emmulee、E

43、ddonkkey等等）和即即时消息息流量进进行分类类。山石石网科QQoS首首先根据据流量的的应用类类型对流流量进行行识别和和标记。然然后，根根据应用用识别和和标记结结果对流流量带宽宽进行控控制并且且区分优优先级。一一个典型型应用实实例是：用户可可以为关关键网页页浏览设设置高优优先级保保证它们们的带宽宽使用；对于PP2P下下载流量量，用户户可以为为它们设设置最低低优先级级并且限限制它们们的最大大带宽使使用量。将山石网网科的角角色鉴别别以及IIP QQoS结结合使用用，用户户可以很很容易地地为关键键用户控控制流量量并区分分流量优优先级。山山石网科科设备最最多可支支持200,0000个不不同IPP地

44、址及及用户角角色的流流量优先先级区分分和带宽宽控制（入入方向和和出方向向），这这就相当当于系统统中可容容纳最多多40,0000的QooS队列列。结合应用用QoSS，山石石网科设设备可提提供另一一层的流流量控制制。山石石网科设设备可以以为每个个用户控控制应用用流量并并对该用用户的应应用流量量区分优优先级。例例如，对对于同一一个IPP地址产产生的不不同流量量，用户户可以基基于应用用分类结结果指定定流量的的优先级级。在IIP QQoS里里面使用用应用QQoS，甚甚至可以以对每个个IP地地址进行行流量控控制的同同时，还还能够对对该IPP地址内内部应用用类型的的流量进进行有效效管控。除了高峰峰时间，用用

45、户经常常会发现现他们的的网络带带宽并没没有被充充分利用用。山石石网科的的弹性QQoS功功能（FFlexxQoSS）能够够实时探探测网络络的出入入带宽利利用率，进进而动态态调整特特定用户户的带宽宽。弹性性QoSS（FllexQQoS）既既能为用用户充分分利用带带宽资源源提供极极大的灵灵活性，又又能保证证高峰时时段的网网络使用用性能。总之，通通过采取取山石网网科产品品所集成成的带宽宽管理功功能，可可以在用用户网络络中做到到关键应应用优先先，领导导信息流流量优先先，非业业务应用用限速或或禁用，VVoIPP、视频频应用保保证时延延低、无无抖动、音音质清晰晰、图片片清楚，这这些有效效管理带带宽资源源和区

46、分分网络应应用的效效果都能能给用户户带来更更高效、更更灵活、更更合理的的带宽应应用，使使得昂贵贵的带宽宽能获取取最高的的效益和和高附加加值应用用。3.2.7 强大的UURL地地址过滤滤库山石网科科结合中中国地区区内容访访问的政政策、法法规和习习惯量身身定制了了一套完完整的UURL地地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；全面的UURL地地址库也也改变了了现在各各个分支支机构自自行手动动配置UURL地地址的局局限性，当当时设备备被部署署到网络络中

47、后，各各个设备备均采用用统一标标准的过过滤地址址库，在在进行UURL访访问日志志中也可可以保持持日志内内容的一一致性。3.2.8 高性能的的应用层层管控能能力安全和速速度始终终是两个个对立面面的事物物。追求求更高的的网络安安全是需需要以牺牺牲网络络通讯速速度为代代价的，而而追求更更高的网网络通讯讯速度则则需要降降低网络络安全标标准。在在目前依依赖于网网络应用用的时代代，能够够做到应应用层的的安全检检测以及及安全防防护功能能是所有有安全厂厂商的目目标。由由于应用用层的检检测需要要进行深深度的数数据包解解析，而而使用传传统网络络平台所所带来的的网络延延迟将是是不可接接受的。好好的安全全功能同同样需

48、要要好的硬硬件平台台去实现现。山石网科科安全网网关具有有丰富的的应用层层管控能能力，包包括URRL地址址过滤功功能、网网页内容容关键字字过滤功功能、网网页敏感感文件过过滤功能能、网页页控件过过滤功能能、协议议命令控控制功能能等，能能够通过过简单的的配置来来实现敏敏感的UURL地地址、敏敏感关键键字以及及敏感文文件等内内容过滤滤，防止止潜在的的安全风风险。此外，山山石网科科安全网网关均采采用多核核系统架架构，在在性能上上具有很很高的处处理能力力，能够够实现大大并发处处理。3.2.9 高效IPPSECC VPPN所有的山山石网科科安全网网关设备备都支持持对IPPSecc的硬件件加速。每每一个CCPU核核都有一一个内嵌嵌的IPPSecc处理引引擎，这这保证了了在CPPU核数数增加时时，IPPSecc的性能能得到相相应提高高，不会会成为瓶瓶颈。山山石网科科安全网网关设备备的IPPSecc吞吐率率最高可以以达到88Gbpps，达达到和防防火墙一一样的性性能