安全網(wǎng)關(guān)在網(wǎng)絡(luò)安全中的管理策略和實(shí)施分析

陳啟濃

（佛山市華材職業(yè)技術(shù)學(xué)校 廣東 佛山 528000）

1 引言

隨著現(xiàn)代互聯(lián)網(wǎng)技術(shù)的推廣和應(yīng)用，人們已經(jīng)離不開互聯(lián)網(wǎng)、信息技術(shù)。尤其是在大數(shù)據(jù)時代、資源共享時代，如何有效加強(qiáng)網(wǎng)絡(luò)事業(yè)安全管理和建設(shè)，是當(dāng)前一項(xiàng)重要的任務(wù)，也是一項(xiàng)重大戰(zhàn)略問題，我們必須養(yǎng)成網(wǎng)絡(luò)強(qiáng)國思想，安全、文明地使用網(wǎng)絡(luò)，沒有網(wǎng)絡(luò)安全就沒有國家的安全。

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)發(fā)展，互聯(lián)網(wǎng)已成為了學(xué)習(xí)、生活、工作、生產(chǎn)、娛樂等方面必不可少的組成部分。網(wǎng)絡(luò)的普及已經(jīng)使人們的生活方式、工作方式等發(fā)生了重大的變化，互聯(lián)網(wǎng)已經(jīng)深入到生產(chǎn)生活的實(shí)踐中，但是，在便捷使用互聯(lián)網(wǎng)的同時，大數(shù)據(jù)安全問題也已經(jīng)引起了人們的重視，如果企業(yè)網(wǎng)絡(luò)管理不當(dāng)或者上網(wǎng)行為缺乏監(jiān)管，網(wǎng)絡(luò)也會給企業(yè)帶來諸多問題，小到如帶寬濫用，上網(wǎng)速度慢、工作效率下降，大則機(jī)密信息被泄露，信息安全遭威脅，給生產(chǎn)、生活帶來嚴(yán)重?fù)p失或者困擾[1]。提高網(wǎng)絡(luò)的安全，規(guī)范用戶上網(wǎng)行為，加強(qiáng)網(wǎng)絡(luò)監(jiān)管，防止輿論與法律風(fēng)險(xiǎn)，追蹤網(wǎng)絡(luò)安全事故的行為和責(zé)任人是企業(yè)保證自身安全的重要措施[2]。

2 單位網(wǎng)絡(luò)安全管理中面臨的問題

網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒等都是重大的安全隱患問題，單位網(wǎng)絡(luò)管理人員對于這些問題，一定要引起重視，必須采取先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)加強(qiáng)預(yù)防，杜絕隱患。傳統(tǒng)的方式主要是采取更加先進(jìn)的技術(shù)，例如，防火墻、殺毒軟件等，用來抵御和防止病毒入侵，以保證網(wǎng)絡(luò)安全[3]。

但是，有些企業(yè)內(nèi)部網(wǎng)絡(luò)中儲存了非常重要的大客戶信息，一旦發(fā)生信息泄露問題，將帶來嚴(yán)重的經(jīng)濟(jì)損失，為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理，對于重大數(shù)據(jù)信息，一般網(wǎng)絡(luò)管理人員會組建內(nèi)網(wǎng)局域保護(hù)，切斷與外來網(wǎng)絡(luò)的一切交互。但是，這種方法也會阻斷內(nèi)部員工獲取信息的便捷性，可能會影響單位的信息溝通，對其長遠(yuǎn)穩(wěn)定的發(fā)展也會造成不利影響。

3 使用安全網(wǎng)關(guān)來規(guī)范和管理上網(wǎng)行為

對于單位內(nèi)部人員的無序上網(wǎng)行為帶來的網(wǎng)絡(luò)安全隱患，防火墻和殺毒軟件是無計(jì)可施的，由此，安全網(wǎng)關(guān)（上網(wǎng)行為管理）產(chǎn)品應(yīng)運(yùn)而生，上網(wǎng)行為管理行業(yè)蓬勃發(fā)展起來。網(wǎng)關(guān)（Gateway）就是一個網(wǎng)絡(luò)連接到另一個網(wǎng)絡(luò)的“關(guān)口”，在Internet網(wǎng)中，網(wǎng)關(guān)是一種連接內(nèi)部網(wǎng)與Internet上其它網(wǎng)的中間設(shè)備，安全網(wǎng)關(guān)又稱上網(wǎng)行為管理器，是互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)使用的一種硬件網(wǎng)絡(luò)設(shè)備，它有對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析等功能，可以通過它來規(guī)范用戶的上網(wǎng)行為，加強(qiáng)網(wǎng)絡(luò)安全，安全網(wǎng)關(guān)支持路由、網(wǎng)橋以及旁路三種部署模式，各企業(yè)根據(jù)網(wǎng)絡(luò)安全需求，可以選擇不同的安全網(wǎng)關(guān)的模式進(jìn)行部署及設(shè)置[4]。

4 安全網(wǎng)關(guān)在企業(yè)網(wǎng)絡(luò)的管理策略

網(wǎng)絡(luò)安全管理問題一直是人們關(guān)注的重點(diǎn)，但是傳統(tǒng)的防火墻、防毒軟件并不能滿足安全管理的需求，為了進(jìn)一步有效防御病毒，還需要加強(qiáng)技術(shù)研究。當(dāng)前，內(nèi)網(wǎng)行為管理方面還存在很明顯的缺失，很多用戶在使用過程中還是會遇到信息丟失等問題。所以，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理勢在必行。

4.1 規(guī)范員工上網(wǎng)行為

上班時間內(nèi)員工內(nèi)網(wǎng)從事逛淘寶、刷網(wǎng)頁等現(xiàn)象，管理人員很難每一個人都監(jiān)測到位，例如，員工利用QQ、微信、阿里旺旺等從事私人聊天活動，工作效率降低，還會影響企業(yè)整體的工作氛圍，導(dǎo)致消極怠工等，通過網(wǎng)絡(luò)安全網(wǎng)卡AC管理，對工作時間內(nèi)的私人行為進(jìn)行局限，員工無法訪問其他工作無關(guān)的網(wǎng)頁或者軟件，讓他們專注于上班，提升工作的效率。

員工利用公司的互聯(lián)網(wǎng)，訪問邪教、反動等不良網(wǎng)站，甚至發(fā)表敏感話題和過激言論，以及收集色情圖片、登錄色情網(wǎng)站等行為，導(dǎo)致違法行為，觸犯了企業(yè)的規(guī)定，將直接承擔(dān)法律責(zé)任。安全網(wǎng)關(guān)AC對員工的不當(dāng)上網(wǎng)行為進(jìn)行監(jiān)管，記錄員工的工作日志，保證隨時發(fā)現(xiàn)員工的違法行為，積極對其進(jìn)行規(guī)避和管理，降低違法風(fēng)險(xiǎn)。

4.2 流量控制及帶寬管理

P2P已經(jīng)成為公眾所熟知的一種流量控制行為，使得工作相關(guān)流量受限，嚴(yán)重影響工作的順利進(jìn)行[5]。安全網(wǎng)關(guān)AC不僅能徹底封堵P2P壟斷流量行為，還能反向使用被控制的流量，徹底解封。在寬帶管理方面，從用戶身份到用戶使用時間、應(yīng)用類型等多個方面多管齊下，根據(jù)QoS策略及機(jī)制，在保證企業(yè)工作寬帶傳輸速度需求的同時，保證使用的安全性和時效性。

4.3 提高內(nèi)網(wǎng)安全級別

色情、反動網(wǎng)站的瀏覽器和未知文件的下載裝置，會導(dǎo)致木馬、病毒等趁機(jī)而入，嚴(yán)重威脅到內(nèi)網(wǎng)的信息安全，甚至造成嚴(yán)重的網(wǎng)絡(luò)安全事故。安全網(wǎng)關(guān)AC可以直接對木馬、病毒、黑客進(jìn)行過濾，提供網(wǎng)關(guān)殺毒功能，任何進(jìn)入內(nèi)網(wǎng)的文件都需要進(jìn)行殺毒，從源頭上徹底消滅病毒的入侵。

4.4 優(yōu)化共享上網(wǎng)環(huán)境

網(wǎng)絡(luò)黑客、病毒入侵等已經(jīng)成為普遍的網(wǎng)絡(luò)犯罪行為，當(dāng)用戶以假冒身份訪問內(nèi)網(wǎng)時，此時很容易導(dǎo)致內(nèi)網(wǎng)入侵，非法軟件立即會插入到內(nèi)部網(wǎng)絡(luò)中。安全網(wǎng)卡AC具有濾過功能，辨識假冒身份，防治不明身份的終端訪問，從而切斷病毒源；還會自動檢測網(wǎng)絡(luò)中的異常流量，對其進(jìn)行掃描和查殺，發(fā)現(xiàn)異常自動封鎖，立即發(fā)起系統(tǒng)警告，提升局域網(wǎng)絡(luò)的安全防護(hù)功能。

5 安全網(wǎng)關(guān)實(shí)施方案設(shè)計(jì)

5.1 網(wǎng)絡(luò)環(huán)境與需求分析

（1）某客戶原有網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，客戶網(wǎng)絡(luò)出口20 M，內(nèi)網(wǎng)LAN有600人左右上網(wǎng)。由于帶寬本身不足，加上上班時間經(jīng)常有人看電影、下載等導(dǎo)致公司網(wǎng)絡(luò)無法正常辦公，網(wǎng)頁打開緩慢?？蛻粝Ｍㄟ^安全網(wǎng)關(guān)AC設(shè)備來解決客戶的以上問題。

（2）客戶需求：①所有公司電腦用戶上網(wǎng)均需要綁定IP/MAC，以解決濫用IP問題；②管理用戶組192.168.10.0/24上網(wǎng)不受控制，也不需做審計(jì)，上班時間要保證領(lǐng)導(dǎo)組的帶寬；③普通用戶組192.168.20.0/24上班時間不允許使用優(yōu)酷、視頻直播等全部在線流媒體，迅雷和P2P等下載限制在50 Kbps，下班時間不做控制。全天都需要對發(fā)郵件、BBS論壇發(fā)帖、訪問網(wǎng)站等所有上網(wǎng)行為進(jìn)行審計(jì)，并且這些數(shù)據(jù)希望在外置的服務(wù)器上查詢，以降低AC設(shè)備的性能損耗；④通過AC提高網(wǎng)頁訪問速度。

5.2 安全網(wǎng)關(guān)接入部署

通過在核心交換機(jī)和防火墻之間部署一臺安全網(wǎng)關(guān)AC設(shè)備來實(shí)現(xiàn)公司上網(wǎng)速度。同時通過AC設(shè)備設(shè)置上網(wǎng)權(quán)限、流控等策略實(shí)現(xiàn)客戶的需求。部署AC設(shè)備時必須是LAN區(qū)網(wǎng)口接核心交換機(jī)，WAN區(qū)網(wǎng)口接防火墻。本案例中配置的LAN區(qū)網(wǎng)口是eth0，WAN區(qū)網(wǎng)口是eth2，部署后拓?fù)淙鐖D2所示。

圖1 原網(wǎng)絡(luò)環(huán)境拓?fù)浣Y(jié)構(gòu)

圖2 部署后拓?fù)浣Y(jié)構(gòu)

5.3 安全網(wǎng)關(guān)配置思路和策略

（1）配置基礎(chǔ)網(wǎng)絡(luò)，根據(jù)企業(yè)網(wǎng)絡(luò)安全需求使用配置網(wǎng)橋模式、配置系統(tǒng)路由等信息。

（2）配置用戶組，為了使不同層次的用戶和部門授予有差異的Internet訪問、控制和審計(jì)權(quán)限，需要規(guī)劃和創(chuàng)建用戶分組結(jié)構(gòu)，按客戶的需求新建管理層用戶組與普通用戶組兩個組，并創(chuàng)建用戶，將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。

（3）配置認(rèn)證策略，新建兩條認(rèn)證策略，管理層用戶組綁定IP/MAC，自動添加到管理層用戶組，普通用戶組綁定IP/MAC，自動添加到普通用戶組。

（4）配置上網(wǎng)策略，上網(wǎng)策略是網(wǎng)絡(luò)管理員根據(jù)內(nèi)網(wǎng)用戶的權(quán)限分配情況，設(shè)置不同的上網(wǎng)策略。通過設(shè)置，可以對內(nèi)網(wǎng)用戶連接公網(wǎng)的應(yīng)用進(jìn)行控制，允許或拒絕某些上網(wǎng)應(yīng)用。新建普通用戶組策略，上班時間不允許看流媒體，審計(jì)所有行為。

（5）配置流控策略，為了合理分配帶寬資源，防止流量干涸和網(wǎng)絡(luò)堵塞，它可以限制P2P等下載軟件的使用，力保網(wǎng)速平穩(wěn)，保證公司正常業(yè)務(wù)順暢運(yùn)作，避免工作效率受網(wǎng)絡(luò)堵塞影響。新建流控策略，限制普通用戶組上班時間單用戶帶寬不超過50 Kbps，保證管理層組上班時間帶寬最低占總帶寬的25%。

（6）配置上網(wǎng)加速，加速選項(xiàng)啟用上網(wǎng)加速系統(tǒng)?，F(xiàn)代辦公網(wǎng)絡(luò)中，一個企業(yè)所擁有的互聯(lián)網(wǎng)線路網(wǎng)線通常是有限的，上網(wǎng)加速功能的目的是在內(nèi)網(wǎng)完成第一次到某網(wǎng)站的請求之后，對初期的數(shù)據(jù)做一個緩存，當(dāng)內(nèi)網(wǎng)其他人訪問相同的外網(wǎng)資源時，直接從緩存中發(fā)送數(shù)據(jù)給請求用戶，無需再次從互聯(lián)網(wǎng)上請求該資源。上網(wǎng)加速的過程對內(nèi)網(wǎng)用戶是透明的，也就是內(nèi)網(wǎng)用戶不用做任何設(shè)置，只需通過設(shè)備的配置就可以實(shí)現(xiàn)上網(wǎng)加速。

6 安全網(wǎng)關(guān)在網(wǎng)絡(luò)管理中的實(shí)施效果

企業(yè)上網(wǎng)行為系統(tǒng)部署后，不同的部門設(shè)置不同的互聯(lián)網(wǎng)訪問策略，對可訪問的互聯(lián)網(wǎng)內(nèi)容做了嚴(yán)格的限制，不同崗位的員工擁有相應(yīng)的互聯(lián)網(wǎng)訪問權(quán)限，對每一項(xiàng)互聯(lián)網(wǎng)業(yè)務(wù)按需分配了網(wǎng)絡(luò)帶寬，保證了主要業(yè)務(wù)的暢通無阻，對所有部門的上網(wǎng)行為進(jìn)行了實(shí)時監(jiān)控管理，保留詳細(xì)用戶訪問記錄備查。通過一段時間的使用發(fā)現(xiàn)，公司內(nèi)網(wǎng)越來越穩(wěn)定，網(wǎng)絡(luò)速度明顯改善。阻止了不良網(wǎng)站的訪問，減少惡意軟件的侵?jǐn)_，終端故障率降低。由于控制了網(wǎng)絡(luò)游戲的使用，員工工作效率有較大提高。同時，系統(tǒng)加強(qiáng)了對E—mail、BBS等外發(fā)信息的監(jiān)管，減少了企業(yè)機(jī)密信息外泄的可能。通過對上網(wǎng)行為的分析，可以掌控各部門的上網(wǎng)情況，提高網(wǎng)絡(luò)可管理性，便于網(wǎng)絡(luò)與行政管理。

7 結(jié)語

在現(xiàn)代這個越來越依賴互聯(lián)網(wǎng)的時代，對于單位而言，內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行，是保證企業(yè)正常運(yùn)行的基礎(chǔ)，只有確保一個安全、穩(wěn)定的信息化環(huán)境，才能確保單位正常有序的生產(chǎn)與健康有序的發(fā)展。安全網(wǎng)關(guān)可以在企業(yè)內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間起到防護(hù)功能，通過接入和正確的設(shè)置安全網(wǎng)關(guān)設(shè)備，可以效地為單位提供一個安全的網(wǎng)絡(luò)環(huán)境。系統(tǒng)建成后，為企業(yè)提供完整的解決方案以實(shí)現(xiàn)統(tǒng)一的用戶管理。提高員工的工作效率和企業(yè)的整體創(chuàng)新和管理能力。