Hillstone山石網(wǎng)科上網(wǎng)行為管理白皮書

Hillstone山石網(wǎng)科上網(wǎng)行為管理白皮書概述互聯(lián)網(wǎng)的興起與普及為人們的工作和生活提供了極大的便利，與此同時，經(jīng)由內(nèi)部訪問互聯(lián)網(wǎng)導(dǎo)致的帶寬濫用、效率下降、信息泄漏、法律風(fēng)險、安全隱患等問題日益凸顯。例如，在企業(yè)內(nèi)部，部分員工利用工作時間在線炒股、玩在線游戲、欣賞音樂和視頻、通過P2P工具下載、使用即時通訊工具無節(jié)制地網(wǎng)絡(luò)聊天、通過網(wǎng)絡(luò)外泄公司機(jī)密；在網(wǎng)吧等一些公共上網(wǎng)場所，人們可以隨意瀏覽不健康網(wǎng)站、發(fā)表不負(fù)責(zé)任的言論、甚至參與非法網(wǎng)絡(luò)活動……針對互聯(lián)網(wǎng)所帶來的上述問題，StoneOS提供許可證控制的上網(wǎng)行為管理功能。該功能通過對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行控制和管理，有效解決因接入互聯(lián)網(wǎng)而可能引發(fā)的各種問題，優(yōu)化對互聯(lián)網(wǎng)資源的應(yīng)用。產(chǎn)品功能StoneOS上網(wǎng)行為管理功能對網(wǎng)絡(luò)游戲、在線聊天、在線炒股、P2P下載、網(wǎng)頁訪問、郵件外發(fā)及論壇發(fā)帖等各種網(wǎng)絡(luò)行為進(jìn)行全面控制管理，并可以根據(jù)需要針對不同用戶、不同網(wǎng)絡(luò)行為、不同時間進(jìn)行靈活的管理策略設(shè)置和日志記錄，同時能夠配合Hillstone山石網(wǎng)科集中網(wǎng)絡(luò)安全管理系統(tǒng)（HSM）對網(wǎng)絡(luò)行為日志進(jìn)行查詢統(tǒng)計與審計分析，從而為網(wǎng)絡(luò)管理者的決策和管理提供重要的數(shù)據(jù)依據(jù)。上網(wǎng)行為管理策略StoneOS上網(wǎng)行為管理功能主要通過策略機(jī)制實現(xiàn)，網(wǎng)絡(luò)管理者可以針對不同用戶制定適合的上網(wǎng)行為管理策略規(guī)則，系統(tǒng)則會根據(jù)策略規(guī)則對網(wǎng)絡(luò)應(yīng)用流量進(jìn)行行為控制和管理。上網(wǎng)行為管理策略規(guī)則共分為三類：網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則、網(wǎng)頁內(nèi)容控制策略規(guī)則和外發(fā)信息控制策略規(guī)則，每類中又包含若干子控制策略規(guī)則。策略規(guī)則名稱、優(yōu)先級、用戶、時間表、網(wǎng)絡(luò)行為以及控制動作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過WebUI配置上網(wǎng)行為管理策略規(guī)則，需要進(jìn)行下列基本元素的配置：?策略規(guī)則名稱-上網(wǎng)行為管理策略規(guī)則的名稱。優(yōu)先級-上網(wǎng)行為管理策略規(guī)則的優(yōu)先級。當(dāng)有多條匹配策略規(guī)則的時候，優(yōu)先級高的策略規(guī)則會被優(yōu)先使用。用戶-上網(wǎng)行為管理策略規(guī)則的用戶，即發(fā)起網(wǎng)絡(luò)行為的主體，比如某個用戶、用戶組、角色、IP地址?時間表-上網(wǎng)行為管理策略規(guī)則的生效時間，可以針對不同用戶控制其在特定時間段內(nèi)的網(wǎng)絡(luò)行為。?網(wǎng)絡(luò)行為-具體的網(wǎng)絡(luò)應(yīng)用行為，比如MSN聊天、網(wǎng)頁訪問、郵件發(fā)送、論壇發(fā)帖等。?控制動作-針對用戶的網(wǎng)絡(luò)行為所采取的控制動作，比如允許、拒絕某網(wǎng)絡(luò)行為或者對該行為或者內(nèi)容進(jìn)行日志記錄等。上述四部分中，用戶表、時間及網(wǎng)絡(luò)行為構(gòu)成策略規(guī)則的控制條件，只有符合這些條件的網(wǎng)絡(luò)應(yīng)用流量才稱為與策略規(guī)則相匹配的流量；控制動作即為對滿足控制條件的網(wǎng)絡(luò)應(yīng)用流量（也即與策略規(guī)則相匹配的流量）所采取的控制動作。網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則對網(wǎng)絡(luò)應(yīng)用的使用進(jìn)行控制。StoneOS根據(jù)不同的協(xié)議及應(yīng)用領(lǐng)域?qū)⒕W(wǎng)絡(luò)應(yīng)用分為網(wǎng)絡(luò)游戲、即時通訊、在線炒股、P2P協(xié)議、流媒體協(xié)議、其他協(xié)議、FTP控制以及HTTP控制等等大類，每一大類中又包含若干具體的子應(yīng)用和協(xié)議。網(wǎng)絡(luò)管理者可以根據(jù)需要，對各種應(yīng)用和協(xié)議制定基于用戶和時間表的策略規(guī)則，以實現(xiàn)對用戶上網(wǎng)行為的控制。網(wǎng)頁內(nèi)容控制策略規(guī)則網(wǎng)頁內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁進(jìn)行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別，對用戶所訪問的網(wǎng)頁進(jìn)行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對用戶所訪問的網(wǎng)頁進(jìn)行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁進(jìn)行過濾。外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對郵件的發(fā)送進(jìn)行限制。同時，能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTPPost方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。例外設(shè)置對于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對象，可以通過例外設(shè)置實現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。免監(jiān)督用戶免監(jiān)督用戶中可以設(shè)置一些特殊用戶，這些用戶的所有網(wǎng)絡(luò)行為將不受上網(wǎng)行為管理策略規(guī)則的控制，比如將公司領(lǐng)導(dǎo)層或者某些特殊部門設(shè)置為免監(jiān)督用戶。StoneOS支持IP子網(wǎng)、IP范圍、用戶、用戶組、角色和地址簿條目類型的免監(jiān)督用戶。黑白名單黑白名單中可以設(shè)置一些特殊URL,用戶對這些URL的訪問會跳過已定義好的上網(wǎng)行為管理策略規(guī)則，無條件地允許或者禁止。黑白名單包括以下部分：?黑名單：包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數(shù)不同。?白名單：包含允許訪問URL。不同平臺白名單包含的最大URL條數(shù)不同。?關(guān)鍵字列表：如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字，則PC不可以訪問該URL。不同平臺關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。?只允許通過域名訪問：如果開啟該功能，用戶只可以通過域名訪問lnternet,IP地址類型的URL將被拒絕訪問。?禁止訪問白名單以外的所有網(wǎng)站：如果開啟該功能，用戶只可以訪問白名單中的URL,其它地址都會被拒絕。Bypass域名Bypass域名中可以設(shè)置一些特殊域名，用戶對這些域名的訪問將無條件地允許。上網(wǎng)行為庫StoneOS上網(wǎng)行為庫包括預(yù)定義URL數(shù)據(jù)庫、自定義URL數(shù)據(jù)庫和關(guān)鍵字?jǐn)?shù)據(jù)庫。預(yù)定義URL數(shù)據(jù)庫和自定義URL數(shù)據(jù)庫能夠為上網(wǎng)行為管理策略規(guī)則配置提供URL類別，網(wǎng)絡(luò)管理者可以通過設(shè)置上網(wǎng)行為管理策略規(guī)則，對特定的URL類別進(jìn)行過濾，從而控制用戶的URL訪問行為；關(guān)鍵字?jǐn)?shù)據(jù)庫能夠為上網(wǎng)行為管理策略規(guī)則配置提供關(guān)鍵字類別，網(wǎng)絡(luò)管理者可以通過設(shè)置上網(wǎng)行為管理策略規(guī)則，對用戶進(jìn)行訪問網(wǎng)頁內(nèi)容關(guān)鍵字過濾、外發(fā)郵件關(guān)鍵字控制和論壇發(fā)帖關(guān)鍵字控制。預(yù)定義URL數(shù)據(jù)庫StoneOS內(nèi)置許可證控制的預(yù)定義URL數(shù)據(jù)庫，即為支持預(yù)定義URL數(shù)據(jù)庫的StoneOS系統(tǒng)安裝URL數(shù)據(jù)庫許可證后，預(yù)定義URL數(shù)據(jù)庫才能使用。預(yù)定義URL數(shù)據(jù)庫中的URL按照中國的文化背景、倫理道德、法律法規(guī)、應(yīng)用領(lǐng)域、上網(wǎng)習(xí)慣等進(jìn)行分類。目前，StoneOS預(yù)定義URL數(shù)據(jù)庫共提供幾千萬條的URL。URL數(shù)據(jù)庫更新默認(rèn)情況下，StoneOS會每日自動更新預(yù)定義URL數(shù)據(jù)庫，用戶可以根據(jù)需要更改數(shù)據(jù)庫更新配置。Hillstone山石網(wǎng)科提供兩個默認(rèn)數(shù)據(jù)庫更新服務(wù)器，分別是和 。StoneOS支持在線更新和本地更新兩種方式供用戶進(jìn)行選擇。自定義URL數(shù)據(jù)庫除了預(yù)定義URL數(shù)據(jù)庫中的URL類別外，用戶還可以根據(jù)需要自定義URL類別。自定義的URL類別將顯示在系統(tǒng)URL類別列表中。關(guān)鍵字?jǐn)?shù)據(jù)庫用戶可以定義關(guān)鍵字類別，用于網(wǎng)頁內(nèi)容關(guān)鍵字過濾、外發(fā)郵件關(guān)鍵字控制和論壇發(fā)帖關(guān)鍵字控制。日志管理StoneOS上網(wǎng)行為管理日志信息可以對用戶的上網(wǎng)行為進(jìn)行全面記錄，包括網(wǎng)絡(luò)游戲記錄、IM行為及聊天內(nèi)容記錄、在線炒股記錄、FTP/HTTP使用記錄、P2P下載記錄、在線視頻訪問記錄、Web訪問記錄、外發(fā)郵件行為、內(nèi)容及附件記錄以及論壇發(fā)帖記錄等等，這些記錄為HSM（HillstoneSecurityManagementTM,Hillstone山石網(wǎng)科集中網(wǎng)絡(luò)安全管理系統(tǒng)）的上網(wǎng)行為管理日志查詢統(tǒng)計與審計分析提供完整的數(shù)據(jù)信息。產(chǎn)品特點URL內(nèi)容分類訪問控制結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制具有超過2千萬條域名的分類web頁面庫，實時同步更新基于深度應(yīng)用特征的行為控制及時跟蹤應(yīng)用特征變化，定期分類更新深度數(shù)據(jù)流識別，確保識別的精準(zhǔn)度先于NAT進(jìn)行數(shù)據(jù)流特征識別，不受透傳影響手段多樣性，優(yōu)于簡單的服務(wù)器地址阻斷日志審計獨立于網(wǎng)關(guān)設(shè)備降低日志數(shù)據(jù)分析對網(wǎng)關(guān)性能的影響可插卡式存儲支持典型案例上網(wǎng)行為管理作為山石網(wǎng)科UTM中一部分，與訪問控制、Qos、IPS等