一体化安全网关选购指南

一体化安全网关选购指南

2010年4月

目录

前言、构建安全、可管理的内部网络 (3)

一、一体化安全网关----企业边界管理的利器 (4)

二、一体化安全网关应用效果 (6)

2.1.规范员工上网行为、提升工作效率 (6)

2.2.保护内部信息资产安全、防止机密信息泄漏 (6)

2.3.强化带宽管理，提升带宽利用率 (6)

2.4.降低组织机构的法律风险 (7)

2.5.多种安全增强功能，全方位保障内网安全 (7)

三、一体化安全网关设备功能介绍 (8)

四、一体化安全网关设备技术优势 (12)

4.1.深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12)

4.2.P2P智能识别（专利技术）--管控加密的、不常见和版本泛滥的P2P行为 (12)

4.3.SSL加密网站识别和过滤（专利技术）--反钓鱼网站等 (12)

4.4.邮件的延迟审计（专利技术）--敏感邮件先延迟、审计后再发送 (13)

4.5.免审计Key--从设备底层免除对高层领导的行为记录与审计 (13)

4.6.强大的内容检索工具--方便对海量日志的检索、查询、审计 (13)

4.7.细致的流量管理系统--优化带宽资源，提升带宽使用效率 (14)

4.8.特有的网络准入规则（专利技术）--修补内网安全短板 (14)

五、一体化安全网关设备部署模式 (14)

5.1.网关模式（路由模式） (15)

5.2.网桥模式（透明模式） (15)

前言、构建安全、可管理的内部网络

互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。

IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明：员工在上班时间发生的网络活动，30%-40%都与工作无关。

那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐，严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！

另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。

据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。而据中国公安部最新统计，70％的泄密犯罪来自于机构内部，电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。

如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。

一、一体化安全网关----企业边界管理的利器

一体化安全网关系列产品，凭借其应用识别率最高、平台性能最强的核心优势，以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能，提供了涵盖防火墙、网关杀

毒、网关+终端、行为+内容的完整解决方案，为组织机构提升工作效率、提升带宽效率、防范机密泄露、避免法律风险、保障内网安全等多重价值。

网络管理最基本也是最关键的要素是“用户”和“应用”，只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用，才能对其实施准确、清晰的管理。一体化安全网关提供了包括本地认证/第三方认证、静态认证/双因素认证在内的多种用户认证手段，不仅满足大型乃至超大型组织在用户管理上的快速部署、便捷管理的需求，而且针对强身份认证、高权限用户管理的需求也首次提出业界领先的基于USB KEY的身份认证和免监控管理技术。通过上述先进技术的应用，一体化安全网关可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。

用户身份的精确识别仅仅是一体化安全网关的基础，由于Internet的复杂性，很多时候用户的违规行为或是安全风险往往是在无意识的情况下产生的，与此同时，也有一些精通IT

技术的用户试图通过各种方法挑战IT管理者的权威（如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户），这就需要一体化安全网关方案能够具备终端管理的能力，通过终端管理有效判断客户桌面环境是否符合组织相关安全规定（如是否安装了指定的杀毒软件、个人防火墙等安全软件或是否安装相应系统补丁等），避免因桌面安全级别不足而导致的风险，同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。一体化安全网关通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测，实现了对终端的精准识别，使得一体化安全网关解决方案真正满足组织在一体化安全网关过程中对精确授权的需求。

如果说精确的用户+终端的识别能力是一体化安全网关的基础，那精确的应用识别则是一体化安全网关的核心，只有实现了对Internet上纷繁复杂的各种应用的精确识别，管理员才不会面对用户庞大的流量而不知所措。一体化安全网关提供了数十类、200多条应用识别规则，使得组织能够轻松识别内网用户大部分的互联网访问行为，而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用，一体化安全网关强大的P2P智能识别、SSL加密流量识别等关键识别技术更是构筑了一体化安全网关业界最强的应用识别能力。

有了精确的用户识别、终端识别和应用识别，后续的精细化管理才成为可能，一体化安全网关提供了灵活的封堵、流量管理手段，帮助组织合理设置用户的上网访问权限，除了基于用户的网络行为（如炒股、IM聊天、网上购物、在线游戏、在线电影、P2P下载等）提供的封堵和流量管理外，一体化安全网关还提供了基于内容的管理手段，独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录QQ聊天内容)等技术，为防止机密信息资产通过Internet泄漏提供了最有效的保证。

完善的一体化安全网关不仅需要实时性，而且还需要可追溯、可统计，一个强大的数据中心是专业一体化安全网关解决方案的必备特征，一体化安全网关可全面记录各种网络行为日志，而且对组织关心的行为内容也提供了详细的记录功能，包括用户访问的URL、QQ/MSN聊天内容、网络发帖、收发的Email/Webmail等各类行为和内容，使得组织能够详细掌握用户的具体访问内容；而一体化安全网关专为高端用户设计的强大的独立数据中心可以实现日志海量存储，并通过图形化的各种统计报表和海量日志内容检索工具，让管理者轻松获知网络使用情况，也避免法律违规后无据可查的尴尬。

以下是一体化安全网关的几个关键特性：