建设文明安全和高效的互联网
1 网康安全代理服务器简介
网康安全代理服务器(NPS)是专业的企业级硬件代理产品,能够为用户提供灵活高效
的代理服务解决方案,实现业务安全连通、WEB访问加速、内容实时安全扫描和网络透明可控,从而全面提升用户网络的使用价值。用户能够基于应用层路由灵活规划网络逻辑结构,规划用户上网权限,同时对外隐藏内网用户信息,有效防御外网攻击。通过内置的专业杀毒引擎,在互联网出口处监控和防范病毒、木马、间谍软件、蠕虫等恶意行为。NPS能够对Web访问内容进行缓存复用和实时更新,提升网页浏览速度,有效降低冗余流量。
2 功能介绍
2.1 业务代理
用户在互联网访问过程中,经常受到病毒、木马等安全威胁,因此如何有效抵抗网络威胁,在提供必要的外网访问服务的同时,能够保障企业网络的安全性,是所有用户需要面临的问题。
网康安全代理服务器为用户提供了丰富的业务代理功能,其作用相当于业务的中转站,能够替代用户获取网络资源,于此同时,又能够全方位屏蔽内网用户信息,对网络内容进行实时安全扫描,有效抵抗网络安全威胁,使用户在网络的连通性和可用性之间无需权衡与折中。对于潜在的恶意攻击者,通过连接只能找到代理服务器,由于代理服务器的安全性远高于普通的PC机,因此通过代理实现对内网安全的保护。
网康安全代理服务器支持的应用类型包括HTTP、HTTPS、SOCKS等应用,能够全方位满足用户的实际业务需要,同时支持灵活的端口配置和源/目的地址的代理配置,使业务的开启和服务能够根据实际需要灵活掌控。
网康安全代理服务器具备丰富的代理部署方式,可以在网关、透明网桥、单臂旁路的方式下提供代理服务。
第 5 页 共 19 页
建设文明安全和高效的互联网
2.2 Web加速
网康安全代理服务器支持Web访问加速功能,能够帮助用户高效访问Web资源,使基于HTTP的关键业务服务质量得到良好的保障。
Web缓存加速功能的工作机理,是在系统本地缓存Web服务器上的数据信息,使用户在进行HTTP访问时,无需在互联网远端的HTTP服务器上获取请求资源,而是直接将本地缓存的内容数据提供给客户,因此不会受到互联网访问速度的限制。于此同时,由于设备本身提供了缓存服务,实现了Web数据的一次缓存,多次复用,因此资源使用效率更高,同时能够避免在外网访问中,产生不必要的重复流量。
此外,网康安全代理服务器支持灵活的缓存加速参数设置,用户能够根据实际需要,设置缓存时间、缓存大小、缓存文件大小等参数。同时对于数据实时性要求高,无需进行本地缓存的内容,能够根据页面特征进行过滤,因此具有极强的可控性。
为避免串接在网络中实现网络加速带来的单点故障的隐患,网康安全代理服务器提供WCCP的部署方式,实现了旁路部署的缓存加速,在NPS出现故障时不会影响网络的正常使用。
2.3 视频加速
网康安全代理安全服务器提供了独有的视频缓存解决方案,针对国内主流视频网站分析了具体特征,针对每一个具体视频网站实现视频缓存加速,实现一次接入全网受益的要求,大大提高了用户的网络体验,并释放了大量网络带宽资源。
2.4 内容安全分析
据国际计算机安全协会(ICSA)的统计,目前超过 90%的病毒是通过互联网进行传播的。网康安全代理服务器提供了实时内容安全扫描分析,可以有效的阻止病毒、木马、恶意软件、间谍软件、蠕虫、键盘记录软件等通过网关进入企业内部。
结合网络安全代理服务器的用户准入控制识别系统,可以快速确定威胁来源及谁触发了安全威胁。
第 6 页 共 19 页
建设文明安全和高效的互联网
2.5 网页过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。网康安全代理服务器通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
? URL黑白名单
通过URL黑白名单,可以设置Web访问中的特例:对于一些网站可能需要跳过已定义
好的策略,而无条件地允许或阻塞,比如Windows自动更新服务,病毒库自动更新服务。被直接允许访问的网站列表称为URL白名单;相反地,被直接阻塞访问的网站列表称为URL黑名单。黑名单、白名单和策略的优先级从高到低为黑名单 -> 白名单 -> 策略。
2.6 用户管理
用户是网康安全代理服务器产品最核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定了管理的效果。网康安全代理服务器提供了丰富的用户认证方式以及符合企业实际的用户管理能力,很好地满足企业对于用户的管理要求。
2.6.1 按照企业组织结构建立用户组
当用户数目较多、组织结构比较复杂时,按照实际的组织结构管理用户是最有效的方式,易于管理员查询、定位和设置策略。网康安全代理服务器支持树型结构管理用户,能够完全按照企业的实际情况建立用户组。
2.6.2 IP网段自动分组
任何互联网行为管控和审计策略最终都将赋予到用户或用户组上,对于以IP网段划分部门的机构,如果用户数目众多或者IP分配变化频繁(如大学的院系),针对每一个用户进行单独的设置是不现实的,这些机构关心的更多的是对某一类用户进行管理,而不是特定的
第 7 页 共 19 页
建设文明安全和高效的互联网
用户。网康安全代理服务器可以按照网段进行分组并设置策略,属于某网段的IP会自动适用该网段的策略。代理服务器支持将新入网的未注册IP自动加入到所属的IP分组中,从而自动为该IP分配预定义的管控策略。对于那些临时来访的外来用户,管理员可以将其计算机设备统一划分在某一IP范围内,并对该IP网段分组制定相关限制性策略,大大增强了动态用户管理的灵活性。
此外,如果管理员没有预先设置IP网段,代理服务器可以将未注册的用户实时加入系统的未定义用户组中,管理员可以在合适的时机将其移动到已定义用户组中,从而逐步完善用户的定义。
2.6.3 丰富的用户认证方式
网康安全代理服务器提供多种用户认证和识别方式,为用户管理提供了灵活而完善的方案,包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别。此外,对于使用微软ISA系统的环境,代理服务器还支持NTLM认证和BASIC认证,实现与ISA的联动。对于每一种认证方式,代理服务器都支持分段/混合认证。通过规划并部署合适的认证方式,可以把互联网访问管理应用到具体用户,实现基于用户身份的访问管理。
在有些企业,实行规划合理并且严格执行的IP地址分配制度,那么通过IP地址和网卡MAC地址来确定用户身份是可靠的;但是在有些网络环境下,用IP或网卡MAC地址并不能确定一个人的身份,比如DHCP动态分配IP、或多人共用一台设备的时候,就需要其它方式确定用户身份,如网关本地Web认证或第三方认证。
在WEB认证方式下,管理员可以设定并分发统一的初始口令,并定义账号缓存的有效时间,保障用户身份的安全,使用户身份的确定与具体上网设备完全无关。要实现WEB认证,首先需要在网康安全代理服务器中建立用户信息。NS代理服务器支持多种用户信息获取方式,可以通过IP网段地址扫描,自动获取内网用户的IP地址、计算机名、MAC地址信息,也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息,支持RADIUS认证,此外,还可以使用网康自定义用户导入功能,将微软Excel表格整理的用户信息快速导入。
建立用户信息后,按照管理需求,基于网段、权限、行政职能自定义用户组和成员,并且可以在不同用户组之间灵活调整成员用户,最终形成清晰直观的树型组织结构。这样就解
第 8 页 共 19 页
