作者:网康科技 刘劲
信息来源:赛迪网
Internet的蓬勃发展,为各行各业提供了丰富信息资源。在享受互联网带给我们便利的同时,我们也应该清楚地意识到,经由互联网的访问而导致的安全威胁也日趋严重,已经成为安全防范的新重点。传统的防护手段面对新的安全威胁挑战显得力不从心,网络安全的发展,尤其是互联网内容安全,正在走向全方位,多角度的道路。如果能从管理的角度,提高对互联网访问的管理控制力度,杜绝可能带来的负面影响和安全隐患,防患于未然,将极大地提高内部网络的安全。
一、互联网访问控制的关键
互联网访问的管理和控制,归根到底是对访问者的管理和控制。一个好的互联网访问控制产品,要能做到基于用户的、细化、量化的访问策略定制。互联网访问主要包括Web访问和基于Internet的一些应用程序的使用。Web访问是指通过URL地址访问Web内容,相应的控制手段主要有内容实时过滤、预分类列表方式等。
内容实时过滤是指在访问Web内容时,对内容进行实时扫描,根据已知的敏感关键字/词、图片和页面构成特点,分析是否含有禁止访问的内容。这种方式不需要数据库的维护,但对分析算法的要求很高,否则会造成误判。实时的内容扫描分析,造成了网络延迟和较高的系统资源开销。而且,内容已经下载到本地,带宽已经浪费。
预分类列表是目前流行的内容过滤技术,实现基本原理是维护一个URL列表数据库。通过对互联网上各种各样的信息进行分类,精确地匹配URL和与之对应的页面内容。通过对各种分类列表数据的更新维护,保持分类的有效性。
评价URL分类数据库的原则:
* 数据库的生成
* URL数据来源于互联网,产品要具备高效、准确、智能、自动的整理分类技术
* 人工校验以核对分类的准确度
* 数据库规模
* 数据本地化
* 分类全面覆盖互联网内容
* URL数据项基本涵盖该区域所能访问到的全部网址
* 数据库更新
* 更新速度
* 更新频度和更新量
这样,从入口(Entry)级,实现内容过滤,节约了带宽,极大地降低了访问延迟,误判率也低。此外,基于预分类列表,可以灵活定制访问策略。
除了Web内容,一些基于Internet的应用程序,包括常用的即时通讯工具、P2P文件共享下载、在线游戏、流媒体播放和股票系统等,也需要加以控制。越来越多的问题滋生于此,通过聊天、文件下载、网络游戏或其他程序的应用,导致的安全风险、生产力下降、带宽滥用、法律风险等问题层出不穷。
有了合理的定位和管理措施,清晰直观的监控记录和灵活多样的数据统计报表,也是互联网访问控制类产品的一项重要功能。支持对访问事件(访问者、访问时间、访问内容、响应动作)的实时监控记录,自定义查找访问者、内容的记录、根据记录生成直观的统计数据等。帮助企业发现互联网访问趋势,了解企业内部互联网的使用情况。
二、产品功能
一般来说,该类产品具备的主要功能如下:
* 用户/用户组的管理
* 是否支持第三方的用户认证信息(LDAP、NTLM等)
* 是否支持层次结构的用户组织管理
* 是否支持IP地址和MAC地址绑定
* 细粒度的互联网访问策略定制和管理
* 是否支持基于网站URL分类的访问控制
* 是否支持基于正则表达式匹配的URL过滤
* 是否支持基于文件扩展名、类型的内容控制
* 是否支持基于时间段的互联网访问控制
* 是否支持策略优先级设置
* 是否支持自定义URL分类
* 是否支持Web访问的黑、白名单设置
* 是否支持IM即时通讯、P2P文件共享下载以及一些常见的联网应用程序的控制
* 是否支持流媒体在线播放及下载控制
* 互联网访问实时监控和记录
* 是否支持全网实时监控、记录
* 是否支持对特定用户/用户组的监控、记录
* 是否支持对特定用户/用户组的免监控、记录
* 是否支持Web访问监控记录组合条件查询
* 数据统计分析报告
* 是否支持基于不同数据项,分时段定制数据报表
* 是否支持图形方式的数据报表显示
* 是否支持基于不同数据项的统计排名
* 是否支持报告订阅
* 高速缓存和带宽管理
* 是否支持带宽的量化管理控制,比如文件大小,上传下载限额等
* 是否支持可选择的内容高速缓存
* 系统维护和管理
* 是否支持多种管理操作界面,常见的为Web方式
* 是否支持自定义的政策提示页面
* 是否支持设备运行状态监控
* 是否支持系统状态或异常情况通知设置
* 是否支持策略备份与恢复
* 是否支持本地数据库备份与恢复
* 是否支持多种方式的数据库更新
* 是否支持多种方式的系统升级
* 是否支持系统日志管理
三、产品形式
伴随着互联网的快速发展,与之对应的访问控制类产品逐渐受到人们的重视。从某种程度上讲,国外的产品从技术到理念,要优于国内的同类产品。而作为内容安全类产品,对本地化的要求非常之高。许多厂商都推出了各自的互联网访问控制类产品,形式主要有软件方式、防火墙集成模块和软硬件一体独立设备。
防火墙集成模块或软件方式控制的局限性
* 防火墙系统工作在网络边界,用以阻挡外界对内网的攻击。由于部署上的方便,目前很多防火墙系统内部集成了一定的互联网访问控制功能。但是防火墙主要工作还是在三/四层,其优势主要在基于封包的传输、访问控制,NAT地址转换等方面。而具体到应用层面,制定基于用户的、细粒度的访问策略,数据库更新维护,访问记录并生成详细的统计数据等工作,功能设计侧重点的不同以及额外的系统资源开销,导致防火墙集成方式的互联网访问控制无法满足用户对内容分析、过滤、管理和控制的需求。
* 而软件方式的互联网访问控制,由于受到宿主机系统资源配置情况、兼容性问题的影响,使得产品性能不能得到充分的发挥和稳定的运行。另一方面,采用软件方式的产品,在部署、管理和维护等方面,都存在着一些难以克服的不便因素。
软硬件一体设备的优势
* 专门定制的硬件配置和专用的操作系统,确保了系统高效、稳定地运行
* 无系统、配置等兼容性问题
* 易于安装、部署、管理和维护
四、部署方式
产品的部署方式,主要有串接和旁路两种,串接又分为透明网桥和网关模式。不同的部署方式,对互联网访问的控制效果也不一样。
以透明网桥模式部署产品,能完全控制网络进出数据,设备配置简单,基本上可以做到即插即用。而网关模式,能实现NAT、路由、防火墙等基本网关功能,完全控制网络进出数据,易于远程维护,但安装可能会影响到原有网络,且设备配置会复杂一些。所以,比较适合网络结构简单的小型单位。
旁路方式的设备部署,设备配置较简单,对原有网络中的数据传输影响最小。但不能实现UDP控制、带宽管理和部分网关具备的功能,且在大负载的情况下,控制效果不理想,会出现“漏网之鱼”。
五、有效的解决方案
理想的互联网访问控制解决方案应该是尽可能小的影响现有网络结构,采用软硬件一体的设备、实现基于用户的,全面的互联网访问控制管理。产品采用预分类列表技术,维护并不断更新一个较大规模的URL数据库,实现Web内容访问控制。并且支持对常用的联网应用程序的使用管理和控制,能够实时监控、记录访问事件,支持灵活多样的数据统计报表。通过配合防火墙、防病毒等安防设备使用,弥补现有产品功能上的不足,巩固内网的安全。
