全網行為管理，還網絡一片藍天

編者按：新的一年，“高手論技”繼續伴隨大家前行，身處一線的你，就那些技術上最常遇到的故障、最需要解決的難題、最成熟的應用……都可以在此暢所欲言，各抒己見。是繼續圍觀還是現身說法，新浪微群http：//q.t.sina.com.cn/264976，期待您的共同參與。

主持人：

陳守家 山東省濰坊商業學校

嘉賓：

劉宗凡 廣東省四會中學

邱元陽 河南省安陽縣職業中專

● 問題的提出

隨著互聯網的日益普及和發展，網絡安全問題和上網行為問題也越發突出。互聯網一方面能夠提高工作效率，促進社會發展；另一方面也會在管理、工作效率、信息安全、法律遵從、IT投資等方面對各行各業提出嚴峻的挑戰。不斷有人抱怨，單位的網速越來越慢，有限的帶寬資源被大量地濫用；來自單位內部的安全隱患日益增多，由于內網用戶不良上網行為而導致的網絡安全事故層出不窮；現代人更加依賴網絡，甚至在辦公期間也在進行著大量與工作無關的事務，嚴重影響了工作效率。更有甚者，有許多人利用單位的網絡做一些觸犯法律的事情，對其所在單位造成了不良的影響。

想要及早系統地解決上述問題，避免未來的隱患，我們就應該對單位網絡做全網行為管理。全網行為管理是將上網行為管理、內網安全管理、主機安全管理融為一體，借助處于網絡邊界位置的安全網關和安裝在每臺主機上的“主機威脅引擎”的聯動防御，將“本地局域網─遠地局域網─移動接入節點”的資源和安全策略進行統一管理，一體化解決互聯網訪問行為、內網安全行為、主機安全行為的統一管理問題，確保用戶網絡平臺的可信、可控、可管。全網行為管理就是不僅要管控互聯網的訪問行為，而且要管控內網及主機的安全行為。

● 網絡行為管理

網絡行為管理主要包括帶寬管理、網絡應用管控、URL過濾和管控、網絡訪問日志和報表、重點網絡應用的內容審計等，下面主要討論前三個關鍵的方面。

1.帶寬管理

帶寬（流量）管理可有效提高用戶上網線路的利用率，保證用戶關鍵網絡業務的順暢。我們在流量控制時，可采用“應用流控”和“用戶流控”相結合的方式，既可根據用戶（如IP等）的控制來分配管理流量，也可按照網絡應用類型來管理流量。我們通過用戶流控和應用流控的靈活搭配使用，能夠全面解決各種環境下的帶寬分配需求。

（1）用戶流控。

提供基于用戶/用戶組的控制方式，能夠優先保證指定用戶（IP地址）/用戶群（IP地址段）的上網帶寬，如確保學校校級領導上網帶寬的優先級等。

（2）應用流控。

按照應用識別網絡應用，進行流量管理，主要用于限制或保證某一類應用。例如，保證ERP、OA應用的帶寬，限制P2P下載或網絡視頻的帶寬。對于一個擁有400個終端、寬帶接入通常在10M左右的小型企業網絡，最常見的問題就是帶寬的“緊缺”。如果對內網用戶P2P應用、大量文件下載和傳播視頻文件等動作不加管理的話，那么帶寬資源永遠都不夠用，這會嚴重影響正常的業務，也會帶來效率的下降，這時用戶就需要對流量進行管理和安全控制。

2.網絡應用管控

網絡應用管控主要是對各種網絡應用的訪問進行限制或封堵，當前主流的網絡應用近200種都可以進行管控，大致如下：

（1）辦公和自動化：POP3、SMTP協議。

（2）傳統協議：NTP、IRC、TFTP、RTSP、MMS、FTP等協議。

（3）遠程訪問：CVS、VNC、PCAnywhere、RDP、SSH、TELNET等協議。

（4）HTTP應用：開心網、人人網等主流SNS網站。

（5）代理和隧道：自由門、無界、SOCKS4/5、WaysOnline等。

（6）P2P協議：迅雷、BT、電驢、哇嘎嘎、FrostWire、FlashGet、WinMX、RaySource、SoulSeek、PP點點通、KuGoo、POCO、Gnutella、QQ音樂、Pando、漢魅、百寶、QQ旋風、看天下、搜娛、百度下吧等主流P2P程序。

（7）網絡電視：CCTVLive、PPLive、PPStream、酷6、TTLive、FlashTV、DopLive、MOP、天線視頻、51TV、BBsee、暴風影音、QVod、PPMate、UUSee、PP加速器、風行、QQLive、新浪TV、TVAnts、TVUPlayer、SopCast、皮皮影視、土豆視頻、優酷、搜狐TV、沸點等主流網絡電視。

（8）IM程序：QQ登錄、QQ語音視頻、QQ離線傳輸、MSN登錄、Yahoo登錄、百度Hi、網易泡泡、淘寶旺旺、新浪UC、飛信、校內通登錄、校內通文件傳輸、Lava登錄、LAVA文件傳輸、Lava語音視頻、Skype、GTalk、WebIM、ICQ、搜Q等主流即時通訊軟件。

（9）股票：同花順、大智慧、分析家、證券之星、富貴滿堂、股票悄悄看、錢龍、通達信、指南針、和訊股票等主流股票軟件。

（10）游戲：永恒之塔、QQ游戲、聯眾游戲、誅仙、征途、夢幻西游、魔獸世界、熱血三國、大話西游、江湖、穿越火線、中國游戲中心、新浪UTGame、浩方游戲平臺等主流游戲程序。

例如，對于一些研發型公司、金融、政府或其他涉及保密的行業，網絡管理員尤其需要關注的是對其信息泄露的防范。這時就需要對一些外發途徑，像客戶端郵件/WebMail、IM通訊、FTP上傳、BBS上傳等行為進行管理和控制。管理措施的采用，除了起到保障作用，更可以提高員工的信息保密意識。

3.URL過濾和管控

我們在日常的網絡行為管理中，可針對URL地址庫進行過濾，屏蔽掉一些有安全威脅的惡意網址、游戲網址、娛樂網址、色情網址、聊天室網址等，給學生打造一個良好的上網學習環境。

互聯網網頁容量爆炸性增長，Google聲稱互聯網獨立網址超過1萬億個，如微博等新的網址每天層出不窮，靜態URL庫不足以有效應對，對于URL地址控制我們采用將本地URL庫和云端URL庫結合的辦法，實現效率和準確性的完美結合。

基于“云”的URL“零時”分類庫具備如下優勢：①互聯網規模日益龐大，URL數據庫巨大，將URL庫遷移到“數據云”中，消除了本地存儲限制；②大型中央數據庫可以根據客戶需要存儲所有的URL分類信息；③持續跟蹤，確保每個URL每時每刻的分類始終正確無誤；⑤經濟實用的輕量級本地客戶端只接收和存儲客戶需要的數據，避免了占用大量網關存儲資源；⑥當用戶瀏覽每個新站點時，觸發云端URL識別，并且單位的安全網關會在本地URL庫中添加URL記錄，那么以后再訪問同樣的URL將無需再訪問云端，從而實現了效率和準確性的完美結合。

例如，對于中小學或者職業院校的網絡，由于網絡使用者大多是學生，因此作為學校的網絡管理員更關注的是對內容的管控。學生沉溺于網絡游戲而放棄了學業，受網上不健康圖文影響走上犯罪道路，無休止的網絡聊天導致心理扭曲，這些血淋淋的例子告訴我們，學校的網絡環境需要凈化，需要建立一個綠色的校園網絡環境。綠色校園，就應該能對內容進行過濾，能對網絡游戲、聊天工具等進行屏蔽，還學生上網一片藍天。

● 內網安全和主機行為管理

內網安全和主機行為管理主要包括對內部用戶網絡接入認證、準入控制、主機外設管理及移動存儲介質（透明）加密、軟件分發及補丁管理等幾方面，通過以上網絡控制可以有效防御來自網絡和主機的安全威脅，加強內網和主機的安全管理。

1.用戶接入認證

用戶認證方式包括：賬號/口令、數字證書、USB KEY等，我們在網絡管理中可以結合Windows AD、LDAP、Radius等第三方認證服務器協助用戶認證，另外還可以用手機短信、主機特征碼和動態口令牌等方式驗證。

2.準入控制

目前基于“主機風險評估”的準入控制技術是非常先進的，單位中的客戶端會根據出口安全網關的指令對接入內網的主機進行全面的主機安全評估，如果發現主機上存在安全威脅或未達到該接入網絡要求的安全級別，如沒有啟用殺毒軟件、防火墻、殺毒軟件沒有及時更新病毒庫、操作系統未按規定打補丁、有非法外聯等問題時，則不允許該主機訪問外網或限制其對內網的資源訪問。利用準入控制可以確保那些疏于防范的內網主機不能輕易上網，避免將Internet上的木馬、病毒等帶進內網，也不會使帶有安全風險的主機將風險通過VPN隧道帶進單位內網，從而確保整個單位網絡平臺的安全可信。

3.U盤加密和主機外設管理

作為網絡管理員，也不能忽視對USB存儲設備的管理，可以采用在客戶端安裝控件的方式，自動跟蹤記錄USB存儲設備的插拔使用情況，并且對USB存儲設備進行授權管理，只有授權過的USB存儲設備才允許在內部使用，未授權U盤無法在內網的計算機上使用。而經過授權的U盤當離開了我們系統保護的網絡后，如攜帶回家，就無法正常使用了，所有存儲在授權U盤上的文件均被自動加密，無法在非安全的環境下正常使用。

同時也不能忽略對1394接口、藍牙、串并口、光驅和紅外線等外設的啟禁控制。這些方面的管理控制對于上面提到的那些研發型公司、金融、政府或其他涉及保密的行業，都能起到非常重要的保護作用。

4.補丁管理和軟件分發

大多數單位都部署有一臺WSUS服務器，能夠實現直接從互聯網上下載升級補丁，然后再給內網機器升級，這樣內外網交叉必然會存在不安全因素，我的建議是部署兩臺同樣的WSUS服務器，這兩臺機器要完全物理隔離，一臺連接外網，下載好補丁后，將下載的整體目錄復制到另外一臺WSUS服務器對應的目錄下就行，或者是部署三臺，中間這臺可以用來補丁測試，關于WSUS服務器的具體搭建細節，很多文章都有明確的說明，這里就不再做詳細討論了。