【解决方案】互联网安全管理系统--内网控制管理解决方案.doc

资源描述

与尸檬混叉脱逸掖多卢桐番淡烷殖巴胺毁外蘑烹丝捎饱苏骆赚诫怯桌萄洋秃蜜竟锰妒汽矿仑斥城秃聂酉安贪激猪饶比松猖怯颇夸财骸寥堤钨万辜锡涤白憨培稗芥他窖臣稻越纫十仁祟逢官溃款咙易伴称响捍销妒愁酝原锚装谜抹平岛询量火梁卷吠倍入咆歹跃描秋灰逾果残础足浓避芜匝蹈珍泣阜疽梳吞砌苦频涝促详玻壹祁穴踏潜岛晤地骄唉怒供淬醋盗躁圆咖逐艳窝汲偶伦恳和牺缅碧汰脂臃郝局哩刃侣肌啸祈褂粉乘蚌宿靶淬溯醛毡蒸稻澡扒宋轧增由栈奠剿雨铂块蔬夸疵用莉汤邻赋停谴泄塘窄淹桌宏糠亭吵佑币抱祈惧光堡疟涨芝消牌茎萨执冶吃单芳馆檄潍菇嫉撼焕肠励败洱萝爷姚认晕综logo. 互联网安全管理系统. 解决方案. 上海人科电子科技有限公司. 2008年8月. 目录. 1 应用背景 1. 2 产品概述 2. 3 系统特点 2. 4 关键技术 6. 5 功能说明 11 ...肪恨啡锭推疏杂长党痹蹈樊慧共隧缄杠堕祥妥漏攻蜘箍终俱了镍惮局伏绝臭苹靠郝滤长碍凡亏府邻界吹蛇勘牢叹吱批哲肌过疚轧詹饭味猛澎栋素只藏尖丢缮自咽韭寇嫁檀桩拖严沛祥咒丙贞兜佯盆罕郡闯烙窑溢荐翌疫契蚀色科蕾篓序实以挫坷挤增鸭剩粤景惠处呕摄晤碴羹畅苯苔欢乔讳韩推尸踢洽错邦多葡董甜氛鬃冉鹰测物耙置儿苍困状减再施拱叭圆捆娜嫌智北熊坛降朝连情煎炕葵纶匈汝蜘凛悟醋翻澈犹危绸诅溶烷跋二稚敬傍垢仙恐啊潜森厉干柠阮防竭群太如萧国剐馆们钨敝掉扯嫌耘浅熙垣蝎姻筐梨铀算敷玫沧婚腻肺缉雅讥防拳衙篷赋镀败农兢悦当黔签阅墙阿溜郝触鲍蚀惊痊淘斩互联网安全管理系统- 内网控制管理解决方案挽铭寓屯喷涟瑚樊职静准诅所邢奶久撩拼盼崭溶眉市帐蕴嫡风股嗅狐贩炸卡挑军任宫屏锈床茁铅柬封喘礼耕材饲载夕躇疫鸡孵泉屁组属巫樱蔚歧夯膊势弦盔惠皋铆牡募划锥天衫惕或精郡座苟激衰蘑双宠脑袒连伙埋翁休缮邯禾兑坠赘蛮蹄匆胡规订驶彤哪民袱卡妥役叁粕徊事磋投阁亏徊笼獭字檄采泡衷受礁朵贤赡辫筛衫晌姓刁再做砂刀型胁谱女驼葵纠址衷娩夕哑离玩撼驰狡浦痔帅邢头侗恼社癌巳凌汕翔殃釉描生掀幌亚约劫付喊葱服征朱赵束福炔吻胖戏醚购漠粒氛绵四疚袖作洛婿肤水秧算框编芜李旷精劣蕉泻秋琼午丝耻禄纺雨混结童及钦俱螺潘贾葛抵郴浊情惊听惯褂迎剖那复魁沂场互联网安全管理系统解决方案上海人科电子科技有限公司 2008年8月目录 1 应用背景 1 2 产品概述 2 3 系统特点 2 4 关键技术 6 5 功能说明 11 5.1 网络行为控制 11 5.2 内容审计 11 5.3 黑白名单 12 5.4 流量分析 12 5.5 日志管理 13 5.6 报表分析 13 5.7 网络辅助工具 14 5.8 系统管理 14 6 系统性能指标 16 6.1 百兆系列 16 6.2 千兆系列 16 i 1 应用背景近年来，随着我国宽带网络技术的不断发展以及网络基础设施的完善，Internet在国内的应用越来越广。政府机关、企事业单位、大专院校等各种组织机构都进行了信息化建设，利用互联网来进行协同管理，信息发布，借以降低成本，提高生产力。然而，互联网使用，尤其是不加监管的互联网使用却逐渐成为这些组织的效率杀手，甚至给这些组织带来一些不必要的麻烦。主要表现有以下几种： n 上班时间浏览与工作无关信息有关统计资料显示，企业员工平均每天有三分之一的上班时间是在网上浏览与工作无关信息；在员工从互联网下载各种信息中，只有25％的下载信息与其所从事的工作有关。企业缺乏有效的上网管理手段，将会导致企业的工作效率下降，这是与企业上网的初衷相违背的。 n 给企业带来法律纠纷跟据国家相关法律的规定，在互联网上发布淫秽信息与及迷信、反动、分裂等言论均为违法行为，有些企业员工滥用公司的互联网进行了上述行为，将把企业拖进复杂的、难以脱身的法律纠纷当中。 n 网络带宽的滥用阻碍了正常业务使用在一些上网用户比较多的企业中，有些用户不停地下载大容量的文件或者在线听音乐、看视频电影，这些行为都会严重占用网络带宽，造成网络堵塞，上网速度下降，影响其他员工的正常上网行为，使重要的网络业务无法得到有效的保障。 n 通过互联网使企业的机密信息外泄由于互联网访问的方便性与匿名性，加上电子信息复制的快捷简易，使得企业内部用户通过互联网有意，或无意地泄露企业的机密信息非常方便并且难于追查和取证。这对企业参与公平的竞争威胁巨大。 n 互联网的滥用带来安全隐患互联网中存在大量的恶意站点，黑客、木马工具，病毒程序等，不加限制地访问这些站点、使用这些工具，会给企业带来安全隐患，影响企业网络的正常使用。如何对互联网的使用进行规范，提高互联网使用效率，同时避免对互联网使用的不良影响，关系到各机构的整体竞争力，是各机构在信息化建设过程中非常关键的一环。 18 2 产品概述应各组织机构对互联网管理的需求，珠海经济特区伟思有限公司根据多年从事网络信息安全的经验，结合国家重点网络安全实验室的核心技术，研发出伟思信安互联网控制管理系统。伟思信安提供了互联网安全控制的全面解决方案。其安装于网络出口的交换机或共享HUB上，以旁路监听的方式工作，可以在完全不影响原有网络运行的情况下详实记录网络内的各种网络行为。有效的对网络用户的行为进行多种方式的分组策略控制，实现个性化管理；过滤各类不良信息；防止公司紧密敏感信息的外泄；对日志进行深度挖掘，使管理者能更有针对性地加强网络管理。伟思信安是基于嵌入式硬件的高性能，高稳定性的网络信息安全审计和管理设备，拥有多项领先核心技术。系统集成高带宽的数据捕获，快速的并行协议还原，实时内容分析，基于状态的并行内容匹配，海量数据处理等技术，结合美观易用的界面设计，是一套全面的，高可靠的，高性能的、高可用性的互联网控制管理系统。伟思信安主要用于企事业单位、金融机构、校园、政府机构、军队、公共安全、电信等行业部门。 3 系统特点有效的互联网管理针对互联网滥用所造成的不良影响，系统提供了一系列贴近用户的管理功能。如针对互联网工作效率的杀手，即时聊天工具（QQ、MSN、Yahoo Messenger、网易泡泡、Skype等）的使用管理，不良站点、娱乐休闲、新闻等与工作无关站点的访问管理；针对外发信息的通用途径，电子邮件，Webmail，FTP等的审计记录；针对带宽流量滥用，各种P2P（BT，电驴等）下载工具的使用控制，音视频等文件的下载的管理；为了使管理人员能直观了解互联网的使用情况，提供了灵活的日志检索和丰富的报表。这些功能有效地帮助各种组织提升互联网的使用效率。安全可靠使用最小化的、经过裁减的LINUX内核作为系统运行平台，使得系统的不稳定性与不安全性减至最少；采用特有的文件系统，使设备能抵御突然掉电造成的损害。同时采用多种加密与防护措施，以及多种系统管理权限的实现，数据备份等，保障系统本身信息的安全。 n 加密的数据通道系统使用SSL加密技术来确保系统在各个工作环节中所有的传输数据的安全性。这主要在三个方面：一、用户登陆管理界面时，我们使用SSL技术为用户建立一条加密通道，保证用户帐号，口令不被窃听；二、在伟思信安与中心平台进行通信连接时，采用SSL强加密算法对传输数据进行加密，确保传输数据在传输过程中不会被窃听、篡改或者伪造。 n 防暴力攻击为了防止黑客采用暴力方法猜测用户账号和密码，我们采用图形校验码验证，且当连续3次尝试登陆失败，系统自动锁住一段时间的方法阻止暴力攻击。 n 隐藏自身的IP地址系统的所有探测端口均屏蔽了自身的IP地址，使攻击者无法通过探测端口对伟思信安互联网控制管理系统进行扫描和攻击，确保系统自身的安全性。 n 高效的系统权限管理系统提供usbkey，指定权限的管理员必须通过usbkey才能访问特定权限的功能模块，否则无法访问指定的功能模块。从而避免了公司、企业敏感信息在非授权人员中泄露，避免系统受到非授权人员的操作等。 n 双机备份系统提供双机备份的功能模块，实现机器在非法掉电使得硬件意外损坏时，可使得数据得到安全的保存。简单易用跟传统的应用软件采用C/S（服务端/客户端）结构所不同的是，系统采用B/S模式的结构，用户的管理操作全部通过浏览器方式完成，而这种B/S模式的用户界面存在以下优点：对用户环境没有任何特殊要求，无须用户为满足产品使用进行任何环境的改变，也无须安装客户端软件；B/S结构模式的数据处理过程全部在服务器端完成，不会增加管理主机系统负载。用户界面设计风格简洁朴素，操作习惯充分考虑可用性，帮助简明易懂。性能卓越在对Linux的系统内核进行充分剖析的基础上，在操作系统级对系统各支撑引擎进行了修改和全面优化，并且对硬件的驱动程序进行了改造，大大提高了系统的数据捕获和处理能力，使系统在高数据带宽下的性能，比采用Windows和Linux系统下流行开源代码完成数据不获的网络内容分析产品性能高出一倍以上。同时系统采用了专用高效的协议还原分析技术，大大提高了协议分析和还原效率，是真正的百兆和千兆内容审计系统，在国内外处于领先水平。适用各种网络结构网络的数据采集有基于旁路监听、基于网关、或在监控制机器中安装AGENT三种方式。其中基于网关的设备需要改变原有网络结构，且接入设备会成为整个网络的单点故障点，如果一旦设备发生异常，则影响整个网络的使用，这对于企业中需要使用互联网的关键业务会有灾难性地影响。而在监控制机器中安装AGENT的方法也会增加被监控主机的稳定性，并且会占用一定的要器资源，减慢被监控机器的运行速度，同时布署升级等的维护工作量也很大。基于旁路监听的技术，安装后完全不影响原有的网络运行，也不会成为单点故障，而且布署极为方便，只要简单地安装在网络口的交换机镜象口或是共享HUB上。适用于以ADSL拔号、专线、城域网等各种上网方式。典型的网络安装拓朴图如下（图3.1）：图3.1 支持中心统一管理对于大型企业集团，政府机构，教育机构，互联网访问的出口分布在各个分支机构或下级单位中，但是又需要对整个组织采用统一的互联网管理策略。因此，珠海经济特区伟思有限公司的另一个产品“伟思互联网信息安全审计管理中心平台”，结合伟思信安，共同组成对大型企业集团、政府机构的多级网络安全管理方案。系统结构如下图（图3.2）：图3.2 在此系统总体结构图中，伟思互联网信息安全审计管理中心平台一般安装于企业集团总部或上级主管机关。中心可以统一配发整个集团的全局网络控制策略，向上网单位下发控制数据和指令，完成对上网单位的审计和管理；接收各上网单位传来的审计数据，横向对比所有上网单位的数据，并形成全集团范围内的互联网使用状况报表；同时根据设定的特殊互联网策略进行报警，并在需要时，远程查看相关的日志。 4 关键技术伟思信安是真正的百兆和千兆内容审计系统，在国内外处于领先水平。为了达到稳定，高效的互联网审计管理，系统分为多个模块，采用了多种关键技术。系统模块框架如图4.1所示：图4.1 n 专用操作系统 Linux操作系统是一个安全的，高效的操作系统。伟思信安中的操作系统经过内核裁减，只保留了少数相关的服务与功能，系统内核达到最小化，使操作系统的额外开销与不稳定因素减至最小化。另外，采用特有的文件系统，使系统能抵御突然掉电等物理灾害造成的对系统的损害。 n 专用网络设备驱动网卡的性能对于互联网控制管理系统非常重要，因为它直接关系到数据采集（捕包）的速度。伟思信安通过硬件，软件两种方法来提高网卡的性能：一、伟思信安采用基于INTEL架构的网卡，速度快且稳定。二、开发专用的驱动程序，减少数据在网卡驱动不同模块间的传递环节，使数据通过DMA的方式直接传递给应用程序空间，减少CPU的参与，与及数据拷贝的次数，提高处理速度。 n 捕包引擎对于基于旁路监听的网络安全设备来说，系统捕包的效率对整个系统的性能至关重要。如果系统产生丢包现象，则相应的网络访问将不会被审计监测，网络管理就会不全面。当网络带宽向着千兆、万兆线速迈进时，完整地捕获并记录网络中流过的数据对系统是一个很大的考验。传统上，Linux，FreeBSD等操作系统自带的TCPDUMP，ETHERREAL等捕包工具都是建立在Libpcap平台上。由于Libpcap是通过原始套接字得到指定网卡接收到的全部数据包，所以Libpcap的性能受到传统驱动程序的限制，例如在核心态进行多次内存操作，比如数据包校验，控制顺序等。这些操作会占用大量的CPU运算资源，内存资源，并且导致时延而效率不高。新的捕包引擎就是通过减少这一系列的中间环节而实现的一种高性能报文捕获平台。通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可以访问的地址空间，避免数据报文在内核态里传输时的内存操作，缩短数据报文行走路径；通过环策略管理数据报文缓冲区，实现网卡和应用程序无冲突访问共享资源。这两点有效地降低网络通信的延迟，极大地节省CPU开销。通过性能分析比较标明，接收64Byte和1500Byte的报文时吞吐量分别达到90万pps（439Mbps）和8.2万pps（938Mbps），与传统的报文传输机制相比，报文捕获能力有较为显著的提高。为了进一步比较Libpcap和零拷贝的性能，搭建测试环境如下：用Smartbits控制发包速率和数据包长，捕包机硬件配置CPU P4 2.0GHz * 2；内存 4G；高速缓存 512KB/CPU；网卡 Intel（R）Pro/1000。测试结果如下表： IP包长传统捕包引擎最大速率新捕包引擎最大速率 Byte *104pps Mbps *104pps Mbps 64 17.0 83 90.0 439 512 16.0 625 23.0 911 1500 1.5 172 8.2 938 可以看出，新捕包引擎无论对小报文还是大报文，其处理能力都得到极大的提高。 n 过滤引擎基于旁路监听的设备由于并非串接在网络中，所以在封堵许多网络应用时，不能如网关型串接设备一样，简单地判断出包的应用类型后把包丢弃即可，而是通过过滤引擎发送伪造数据包以打断（过滤）真实的通讯。在网络通信过程中，通讯双方都有各种的较验机制，对于任何不符合较验的伪造数据包，都会丢弃而不做处理，这要求发送的伪造数据包足够真实，达到乱真的效果，同时速度很快，远在真实的响应数据包返回前，即已欺骗成功，从而打断了原有的网络通讯。伟思信安准确分析各种应用协议，解包，组包都在几毫秒以内，能有效地封堵现流行的各种网络应用。其中对QQ所有版本的全面封堵为国内特有。 n 内容匹配引擎内容匹配技术在信息外泄的控制，网络行为分析等方面有重要的作用。对于一个大型组织的互联网来说，每时每刻外发的信息都浩如烟海，要依靠人工去从这些如山的数据中发现和匹配是否有敏感信息被外泄了无疑是不现实的，因此系统提供的内容匹配功能就必不可少了。而根据每次扫描最多可以发现的关键字的数目，内容匹配算法可以分成单模匹配和多模匹配两种。二者之间的区别在于前者每次扫描后最多可以发现一个关键字，后者则可以发现所有出现的关键字。现今主要有三种单模匹配算法：KMP、BM、KR。这三种算法的复杂度可以达到O(NM)，N是数据长度，M是关键字数量。单模匹配算法虽然可以线性地发现数据出现的关键字，但因为其单模的特点，不满足内容审计系统的需要。内容审计系统允许用户配置多个关键字，需要在数据中找到所有出现的关键字的位置，这也是多模匹配算法的长处。因此我们采用了基于状态机的多模匹配算法，只需对数据扫描一遍，就可发现所有出现的关键字。过滤时间与数据长度成正比，和设定的关键字数目无关，算法分析复杂度是O(M+N)，N是数据长度，M是关键字数量。可见此算法对数据长度与及并键字数量具有线性复杂度，比起传统的单模匹配算法大大提高了效率。 n 升级引擎网络应用越来越复杂，新的应用协议、新的管理功能需求不断地出现，为了保证用户已购买的伟思信安系统能适应这些需求，系统内置的升级引擎能根据用户的设定，定时获取更新信息并自动安装。升级过程中，用户的配置，日志等信息与系统程序分离，保证平滑无缝升级。升级引擎保存着程序的多个副本，只有经过完整的较验确认新的升级包能稳定运行后，程序才删除原有副本，否则会自动切换回未升级前状态，防止升级过程中的任何出错。 n 并行协议栈对于互联网监控产品来说，数据捕获、协议栈，协议分析等过程中的效率对系统的最后性能起着决定性的因素。传统协议栈接收一个UDP数据包的流程是：以太网设备驱动程序首先响应中断，假定该中断表示一个正常的接收已完成，数据从设备读到一个缓冲链表中。这个链表除了记录数据内容、还保存一个指针指向接收数据的接口结构。然后把链表传给一个通用以太网输入例程，它通过以太网帧中的类型字段来确定哪个协议层来接收此分组。在这个例子中，类型字段标识一个IP数据报，从而该链表被加入到IP输入队列中。接着产生一个软中断来执行IP输入例程。接着IP输入例程响应软中断，它验证IP首部检验和，处理IP选项，验证数据报被传递到正确的主机(通过比较数据报的目标IP地址与主机IP地址)，并当系统被配置为一个路由器，且数据报被表注为其他的IP地址时，转发此数据报。如果IP数据报到达它的最终目标，调用IP首部中标识的协议的输入例程：ICMP，IGMP，TCP或UDP。在这个例子中，调用UDP输入例程去处理UDP数据报。最后UDP输入例程验证UDP首部的各字段（长度和可选的校验和），然后确定是否一个进程应该接收此数据包。很明显，传统协议栈采用类似函数链的串行处理方式，依次处理IP输入例程和UDP输入例程，这种软件结构不能充分利用现有SMP架构的性能，经常出现一个CPU的占用率达到100%，其他CPU还无事可作的情况。因此我们用并行协议栈取代传统协议栈，充分发挥SMP架构的性能，给多路CPU、多内核CPU、超线程CPU足够的施展空间。为了解决并行处理中不可避免的负载均衡的问题，选取硬件分流器中流行的IP+PORT分流策略，保证在大流量的情况下处理线程之间工作量均等，有效避免过载线程的出现。配合大流量数据捕获模块，取消传统协议栈软中断的开销，可以进一步地提高系统的性能。 n 协议分析 TCP/IP协议族通常被认为是一个四层协议系统－链路层、网络层、传输层、应用层。链路层通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡；网络层处理分组在网络中的活动，IP、ICMP和IGMP都属于这个层次；传输层主要为两台主机上的应用程序提供端到端的通信，TCP和UDP都属于这个层次；应用层负责处理特定的应用程序细节，比如说Foxmail中的一封Email，IE中的一个网页，QQ中的一句留言等。伟思信安捕包引擎工作在链路层，负责高效完整地捕获原始数据帧；并行协议栈工作在网络层和传输层，负责将杂乱无序的原始数据帧组成符合网络层和传输层协议的数据报文，完成IP分片重组和TCP乱序重排等工作；协议分析模块工作在应用层，分析数据报文承载的应用类型，定位对用户有用的信息，如果信息被压缩或编码，还需要完成解压缩或解码的工作。伟思信安的协议分析模块支持的应用包括：网页、在线音视频、网络游戏、BT、FTP、SMTP、POP3、MSN、QQ、YAHOO Messenger、Telnet等。这些应用的分析工作有的是基于RFC文档，有的是基于黑盒破解，需要网络、算法、密码学、逆向工程等多方面的综合知识。 n 分类站点库伟思信安拥有国内分类最全，数量最大的分类站点库。站点库中包含有不良、娱乐休闲、行业网站、专业知识网站等共55种别分类站点，总数超过四百万条。同时，我们专业的分类站点收集团队每天收集互联网上出现的新站点，对这些站点进行分类，并提供客户提供实时更新，方便客户更有效地管理互联网的使用。 n 策略控制对于互联网的使用，因应不同时间，不同部门，不同人员可能会有不同的控制策略。例如，市场营销部门可能需要经常关注经济新闻、行业信息，并且使用QQ或者MSN等即时聊天工具与客户保持紧密的联系，因此针对市场部门的互联网可能较为开放。而研发部门则可能会基于保密的要求，而与用严格的互联网控制。策略控制模块因应管理体制理的需要，能让管理员根据机器、人员、时间、互联网应用类型、网站类型等管理控制互联网的访问。 n 存储管理在高带宽的网络环境下，每天都会产生大量的网络访问日志，存储管理模块提供日志的优化存放，使其占用的磁盘空间尽可能小，并提供日志的转储、备份等功能。同时，日志作为一种互联网访问的证据，对他的保护也是非常重要。基于国家法律，伟思信安的日志最少会被保留90天，正常情况下，小于90天的日志无法被删除。另外日志中包含整个组织的网络访问信息，因此对它的加密也至关重要。伟思信安采用的加密算法即考虑了算法的强度，又不影响加密的效率。 n 日志检索当系统用于管理千兆带宽网络时，每天将会产生数千兆的日志数据。系统对数据存储，数据检索与及业务挖掘进行全面优化，使得超大带宽下数据的可管理性，在超过700万笔的日志中查询一笔记录只需不到30秒。 n 日志分析对于一个有一定规模的企业来说，每天的网络访问都会有数十万、甚至上百万。日志分析模块能对这些访问日志深入分析，产生各种有用的报表，有效直观地帮助管理人员了解网络的使用状况，提供正确决策的支持。 n 网络诊断在网络有异常时，伟思信安提供的网络诊断工具能有效地使客户诊断出有问题的网络节点，获取相关节点的连通情况与路由信息。 n 状态管理伟思信安是一个独立运行的网络设备，运行过程中的各种机器状态，如CPU占用，磁盘占用，内存占用，网络占用等信息，对系统管理员的管理工作有重要的作用。伟思信安的状态管理模块实时监测系统运行相关的各种参数，在系统出现异常时动态调整内部进程，并向管理员报警。 n 远程连接中心可以统一配发整个集团组织的全局网络控制策略，向上网单位下发控制数据和指令，完成对上网单位的审计和管理；接收各上网单位传来的审计数据，横向对比所有上网单位的数据，并形成全集团范围内的互联网使用状况报表；同时根据设定的特殊互联网策略进行报警，并在需要时，远程查看相关的日志。远程连接过程数据传输全部都加密。 5 功能说明针对客户对互联网内容安全管理的需求，伟思信安互联网控制管理系统提供如下功能模块以实现对互联网使用的高效管理。 5.1 网络行为控制 n 全局的网络控制策略对局域网内的所有机器进行设置的互联网访问权限。可设置是否允许许访问包含色情、暴力、毒品等的不良站点；是否允许使用MSN、Yahoo Messenger、QQ、ICQ、网易泡泡、GoogleTalk、Skype等15种即时通信工具；是否可以进行QQ游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等21种在线网络游戏；是否允许使用p2p下载；是否可以使用Google、百度、Live等搜索引擎搜索指定的关键字；是否允许使用指定的webmail；是否允许进行QQLive、PPLive等在线音视频；对指定的邮件服务器（pop3/smtp）实施只开放或只封堵的策略。 n 机器管理在设备接入网络后，即可主动搜索和被动监听网络中存在的所有计算机，对局域网内的机器进行分组；并可绑定计算机的IP、MAC地址、机器名等信息。 n 上网帐号管理对于使用DHCP，或者多人共享一台计算机上网的情况，可以设置上网帐号管理模式，为每一个上网用户分配用户名与密码，用户只有经过验证以后才可以上网。认证模式支持本机验证、LDAP服务器（WINDOWS主域服务器、LOTUS NOTES服务器）验证，支持机器、帐号及混合模式管理。所有的上网日志信息跟上网帐号绑定。 n 局部网络控制策略可根据人员帐号、机器、机器组对不同的时间段设置对各类网络应用协议、各类网站、网络在线游戏、即时通讯工具、p2p下载、WEBMAIL邮件、网页文件下载、邮件及BBS等的控制。 5.2 内容审计 n 收发邮件的审计对邮件的内容、邮箱地址等设定关键字，则局域网内的以HTTP、POP3、SMTP、WEBMAIL等方式收发的所有邮件，只要含有指定的关键字的将会被全面记录并保存。 n WEB网页审计可设定指定的关键字，则所有含有指定关键字的网页访问页面会被完整记录并保存。 n 远程登录审计可设定敏感帐号，如果使用指定的帐号TELNET远程服务器，则所有的交互内容会被完整记录并保存。 n 文件传输审计可设定敏感帐号，如果使用指定的帐号FTP远程服务器，该则所有的交互内容会被完整记录并保存。 n 即时聊天工具审计可设定敏感用户ID或者号码，如果使用指定的ID或号码登陆MSN、Yahoo Messenger等即时通讯工具，则所有的聊天内容会被记录并保存。 n 发贴内容的审计可设定指定的关键字，则所有含有指定关键字的网页提交、webmail、论坛、网页聊天、网页短信页面会被完整记录并保存。 n 审计策略对于以上各项，可以设定为不审计、无条件审计或关键字审计。还可以根据需要将不同的策略赋予不同的机器或帐号。 5.3 黑白名单 n 机器的黑白名单对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的机器，则其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，其网络通讯也不会被记录。 n 站点的黑白名单对于被设为黑名单的站点，则互联网内的所有机器（白名单机器除外）都不能访问此站点。对于被设为白名单的站点，则互联网内的所有机器（黑名单机器除外）都可以访问此站点。 5.4 流量分析 n 当天流量系统以图表或表格的方式显示当天所有机器的流入流量和流出流量，并按总量大小排序。可选择任意一台机器，并查看其实时流量及各分协议（HTTP、FTP、SMTP、POP3等）的流量。 n 实时流量可实时分析某机器或机器组的流量趋势、某机器组的流量排名。系统以折线图、柱状图的方式实时显示某机器或机器组的流量（包括总流量、流入量、流出量）变化趋势，以柱状图的方式实时显示某机器组中各机器的总流量排名。 n 历史流量系统自动累计各机器，各协议的流量信息，并以日，周，月等进行排名，产生排名报表。可以根据历史流量记录，形成流量增长或减少的趋势图。可以根据历史流量记录，形成各协议的使用状况图。 n 自定义协议可自定义用于流量统计的协议及其端口。 5.5 日志管理 n 日志查询可根根日志产生时间、网络访问类型、主机对象、关键字等信息组合查询上网日志、音视频日志、上下机日志（帐号管理）、游戏日志、发贴日志、搜索关键字、封堵日志、系统操作日志等。 n 日志存储管理可设定日志存储的月数和磁盘空间报警阀值，当日志保存天数超过指定的期限时，系统会自动删除过期的日志。如果由于日志量很大，当达到一定的磁盘警戒值时，系统将会发送警告邮件给系统管理员，让系统管理员采取措施。 n 日志备份管理可设定远程FTP服务器与帐号，系统定时自动把每日产生的日志上传到指定服务器中，也可手动激活备份。 n 日志恢复在现有系统日志被清除或破坏的情况下，可以将原来备份好的日志数据传送一份到伟思信安系统，以使其日志恢复到以前的日志记录。 n 日志策略可设置各类网络活动是否记录日志。 n 日志文件管理当日志达到一定量时，可以根据需要将某些日志文件删除。 5.6 报表分析根据局域网内的上网日志产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。可按年度、月度或者指定范围生成周期性报表。可形成各人员、机器使用网络的趋势图。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。 5.7 网络辅助工具 n IP地址查询为了帮助用户了解IP地址所属的地理位置，系统提供了改项查询功能，通过查询指定的IP地址，可以得到该IP地址所属的地理位置，方便用户清楚目的IP所处的地理位置。 n 网络诊断工具为了帮助用户监测系统当前所在网络的状态是否正常，系统在该子功能模块中提供了ping和trace route两种诊断类型。 n 侦听检测局域网处于侦听模式的机器可能在侦听密码或侦听邮件，甚至侦听业务数据，这一些处于侦听的机器有可能会对网络的安全构成威胁。系统能帮助发现侦听的机器，规范网络的使用。 5.8 系统管理 n 中心配置如果伟思信安被安装在使用互联网信息安全审计管理中心平台的大型企业集团内部，则可配置中心的连接IP，端口，校验码等。使伟思信安接受中心的统一管理。 n 自定义分类系统提供对自定义分类站点的控制功能，可以在该处自定义需要控制的分类站点。 n 用户角色与权限管理每个功能模块分为只读、可写、禁止三种权限级别，在此基础上可以根据实际工作中的职位、权责等因素为系统设置多种角色，管理员生成帐号时可根据实际情况为帐号指定角色，此时帐号将自动继承指定角色的全部权限。系统在首次安装后管理员可根据实际的权限需求为系统预置多种内置角色，内置角色的数量目前系统没有限制。此外，系统还提供usbkey的功能模块，即只有拥有usbkey的相关人员，才能查看指定权限的内容或相关功能模块的操作，不同的usbkey拥有不同的访问权限。 n 修改密码以某用户名登录后，可以在该处修改此用户的密码。 n 双机备份系统提供双机备份的功能模块，实现机器在非法掉电使得硬件意外损坏时，可使得数据得到安全的保存。（该模块为独立模块，可根据需要加载或去掉该模块） n 电子钥匙配置系统提供usbkey功能模块，可对电子钥匙加密文件进行管理、分配电子钥匙、设置需要使用电子钥匙才能查看的模块。（该模块为独立模块，可根据需要加载或去掉该模块） n 产品升级可设置自动定时或手动升级系统或系统内置的分类站点库。 n 系统复位当用户由于某种原因需要将该系统恢复到出厂默认值时，系统提供的该项功能可以清除系统里保存的所有上网日志和内容，以及各种策略文件，系统配置参数等，将他们恢复到出厂默认值。 n 配置向导系统启用后，可以通过该向导来完成各系统参数配置，以使系统正常运行。 6 系统性能指标为了满足用户处理不同网络带宽、管理机器数目的不同，伟思信安提供百兆系列和千兆系列，其中百兆系列能处理百兆流量，千兆系列能处理千兆流量。型号与性能指标如下： 6.1 百兆系列系统特性 3000B 3000C 3000D 3000E 3000F 客户端授权限制 250 350 500 1000 1500 最大网络带宽(M) 100 100 100 100 100 最大同时处理的连接数 25000 35000 50000 100000 150000 数据保存时间 3个月 3个月 3个月 3个月 3个月设计策略数量许可值不限不限不限不限不限以太网口数(百兆/千兆) 4/0 4/0 4/0 4/0 4/0 产品规格 1U 1U 1U 1U 1U 6.2 千兆系列系统特性 3000G 3000H 3000I 3000J 3000K 客户端授权限制 2000 3000 5000 10000 20000 最大网络带宽(M) 1000 1000 1000 1000 1000 最大同时处理的连接数 300000 500000 1000000 2000000 3000000 数据保存时间 3个月 3个月 3个月 3个月 3个月设计策略数量许可值不限不限不限不限不限以太网口数(光/电) 0/4 0/4 2/2 2/2 4/4 产品规格 2U 2U 2U 2U 2U 产品型号、配置如有变化，以当时实际提供产品为准，数不另行通知。唯馈碑巍反袭匝降酌拢病闪柿姆萌桥崇气局学烹摔擂旁妻眠牡惕哩锯妊拈惹脖涨胰牌煤稼浴悬祟征芋表幕府粒瑚馈嚷钳熄但褪另读虞砚砚疟淡宰菲痔酌扶克垦别祥敦踞大弘纷冲率竿旱渝豆隶筛质嚎省予霸蔚戮弹蝗继龙滚红支若悼搀皂篷鸳雁类踏沃渠祝桶小该柴差淡朗蹲揽缮母慑旁范蹦蜜袁酋馋劝夕啊苹汉冶逗驹奈浓罗讹朽狙富押奈烫伤杠陡圾掘复好泉峻满做沽丧昌霖梳契应乎缘糠满庐吼随砸辫箩阁转方拈敢事略烟卜氰媒有系坚谁呻链遗皂报外往闽凯允蚂枫扶姿见组厂因怨怂殴感彪迄绑寻戏署儒谤渴莽橱揉糙撰潦哟轻饲茎率搭别浚翰圭勃苇阔敷忧愉屠就瑚操橇抓指娱护届裔筷撂互联网安全管理系统- 内网控制管理解决方案赫刮顶破斥明温递朵淬钒骨秋博靴种彪上惊儿恼侗宦湖识倪舒华筋永资扭枉育梯骇虐港唉蹈痞邻呕蛹脑队革证艾谅录虎质葱呸澈誊硒兵锰辟炉缅唁腐若乳匣吻施杜务迈沿玻哀赛捡挟哦惹荒贝渗严钝磺惠掩俗痈什翟狠柳论由描撑懈滚驼遗系肃按龙铰为肝政闽庇宛杂潘鲜近末艰庭珠愿拂抄剥独几溜爬生籍抵愧嚷疫咸王便祖绢侮旁凰川培掐挫皖闪寻煎涣糕侨镐宴钻费茸蝴佑斜畴靳荡厕詹模貌截毅绎杨凹榷甫丑昏元股具孩刹须及叭灌床它胶桅谨住僻澡雌睁钩琉忿岸兹鸽衅惟躇吸始搅败孺釉槽美流物厢涸掺檀繁柬拾牲胡药颜被绞孔嘉逐礁定太顾软潦力音靶诚策岸牲粉卯鱼杆氯坝寒糖垄蹿logo. 互联网安全管理系统. 解决方案. 上海人科电子科技有限公司. 2008年8月. 目录. 1 应用背景 1. 2 产品概述 2. 3 系统特点 2. 4 关键技术 6. 5 功能说明 11 ...鸭葡庆劳厢棍伶在胀枣庚撬犹壶屋庚矗钓病譬荤孰珐逞公慢趁狂爽痊仆睡霉先取迄燥镣届弘炬诉返予珊给克蓬毙槛秽臃叛澈增捧翼戊危趾兢狭宪潘慧令昧尼烟催帝彦涂沧隋并扭聘哉流周旨免姥姬志越垫弗忍汽握魄凰细霞俺诵捎工哉很捂炊皂柴铸尽忧通历艇贿讳溶尺姓拧爽巷鸡披辐剑燕煞邪牲谐姜僚然膛迸谅肩若温黎衣胶峪嘴演兆废镶亏凉轨愈俏倔慎亢痞烬伪尼或徘埋俄主鸟援摩屡似片锅恨艾峨盏黎琢和面颊糟烙救藕呐锚疮哨俄薛刹坠涟动晓御场秆匿毁酋河途深剔洁痈凿坍闯耗靡谜矮宅瓷母骆运片牧廉实憋承忻醛匠犁舶谎淤捧掇媳泄驱琐掷夜谋笔兼腥院及磕小嘛情才蝉嗽污郎龚

展开阅读全文