編者按：新的一年，“高手論技”繼續(xù)伴隨大家前行，身處一線的你，就那些技術(shù)上最常遇到的故障、最需要解決的難題、最成熟的應用……都可以在此暢所欲言，各抒己見。是繼續(xù)圍觀還是現(xiàn)身說法，新浪微群http：//q.t.sina.com.cn/264976，期待您的共同參與。

主持人：

陳守家 山東省濰坊商業(yè)學校

嘉賓：

劉宗凡 廣東省四會中學

邱元陽 河南省安陽縣職業(yè)中專

● 問題的提出

隨著互聯(lián)網(wǎng)的日益普及和發(fā)展，網(wǎng)絡安全問題和上網(wǎng)行為問題也越發(fā)突出。互聯(lián)網(wǎng)一方面能夠提高工作效率，促進社會發(fā)展；另一方面也會在管理、工作效率、信息安全、法律遵從、IT投資等方面對各行各業(yè)提出嚴峻的挑戰(zhàn)。不斷有人抱怨，單位的網(wǎng)速越來越慢，有限的帶寬資源被大量地濫用；來自單位內(nèi)部的安全隱患日益增多，由于內(nèi)網(wǎng)用戶不良上網(wǎng)行為而導致的網(wǎng)絡安全事故層出不窮；現(xiàn)代人更加依賴網(wǎng)絡，甚至在辦公期間也在進行著大量與工作無關(guān)的事務，嚴重影響了工作效率。更有甚者，有許多人利用單位的網(wǎng)絡做一些觸犯法律的事情，對其所在單位造成了不良的影響。

想要及早系統(tǒng)地解決上述問題，避免未來的隱患，我們就應該對單位網(wǎng)絡做全網(wǎng)行為管理。全網(wǎng)行為管理是將上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理、主機安全管理融為一體，借助處于網(wǎng)絡邊界位置的安全網(wǎng)關(guān)和安裝在每臺主機上的“主機威脅引擎”的聯(lián)動防御，將“本地局域網(wǎng)─遠地局域網(wǎng)─移動接入節(jié)點”的資源和安全策略進行統(tǒng)一管理，一體化解決互聯(lián)網(wǎng)訪問行為、內(nèi)網(wǎng)安全行為、主機安全行為的統(tǒng)一管理問題，確保用戶網(wǎng)絡平臺的可信、可控、可管。全網(wǎng)行為管理就是不僅要管控互聯(lián)網(wǎng)的訪問行為，而且要管控內(nèi)網(wǎng)及主機的安全行為。

● 網(wǎng)絡行為管理

網(wǎng)絡行為管理主要包括帶寬管理、網(wǎng)絡應用管控、URL過濾和管控、網(wǎng)絡訪問日志和報表、重點網(wǎng)絡應用的內(nèi)容審計等，下面主要討論前三個關(guān)鍵的方面。

1.帶寬管理

帶寬（流量）管理可有效提高用戶上網(wǎng)線路的利用率，保證用戶關(guān)鍵網(wǎng)絡業(yè)務的順暢。我們在流量控制時，可采用“應用流控”和“用戶流控”相結(jié)合的方式，既可根據(jù)用戶（如IP等）的控制來分配管理流量，也可按照網(wǎng)絡應用類型來管理流量。我們通過用戶流控和應用流控的靈活搭配使用，能夠全面解決各種環(huán)境下的帶寬分配需求。

（1）用戶流控。

提供基于用戶/用戶組的控制方式，能夠優(yōu)先保證指定用戶（IP地址）/用戶群（IP地址段）的上網(wǎng)帶寬，如確保學校校級領(lǐng)導上網(wǎng)帶寬的優(yōu)先級等。

（2）應用流控。

按照應用識別網(wǎng)絡應用，進行流量管理，主要用于限制或保證某一類應用。例如，保證ERP、OA應用的帶寬，限制P2P下載或網(wǎng)絡視頻的帶寬。對于一個擁有400個終端、寬帶接入通常在10M左右的小型企業(yè)網(wǎng)絡，最常見的問題就是帶寬的“緊缺”。如果對內(nèi)網(wǎng)用戶P2P應用、大量文件下載和傳播視頻文件等動作不加管理的話，那么帶寬資源永遠都不夠用，這會嚴重影響正常的業(yè)務，也會帶來效率的下降，這時用戶就需要對流量進行管理和安全控制。

2.網(wǎng)絡應用管控

網(wǎng)絡應用管控主要是對各種網(wǎng)絡應用的訪問進行限制或封堵，當前主流的網(wǎng)絡應用近200種都可以進行管控，大致如下：

（1）辦公和自動化：POP3、SMTP協(xié)議。

（2）傳統(tǒng)協(xié)議：NTP、IRC、TFTP、RTSP、MMS、FTP等協(xié)議。

（3）遠程訪問：CVS、VNC、PCAnywhere、RDP、SSH、TELNET等協(xié)議。

（4）HTTP應用：開心網(wǎng)、人人網(wǎng)等主流SNS網(wǎng)站。

（5）代理和隧道：自由門、無界、SOCKS4/5、WaysOnline等。

（6）P2P協(xié)議：迅雷、BT、電驢、哇嘎嘎、FrostWire、FlashGet、WinMX、RaySource、SoulSeek、PP點點通、KuGoo、POCO、Gnutella、QQ音樂、Pando、漢魅、百寶、QQ旋風、看天下、搜娛、百度下吧等主流P2P程序。

（7）網(wǎng)絡電視：CCTVLive、PPLive、PPStream、酷6、TTLive、FlashTV、DopLive、MOP、天線視頻、51TV、BBsee、暴風影音、QVod、PPMate、UUSee、PP加速器、風行、QQLive、新浪TV、TVAnts、TVUPlayer、SopCast、皮皮影視、土豆視頻、優(yōu)酷、搜狐TV、沸點等主流網(wǎng)絡電視。

（8）IM程序：QQ登錄、QQ語音視頻、QQ離線傳輸、MSN登錄、Yahoo登錄、百度Hi、網(wǎng)易泡泡、淘寶旺旺、新浪UC、飛信、校內(nèi)通登錄、校內(nèi)通文件傳輸、Lava登錄、LAVA文件傳輸、Lava語音視頻、Skype、GTalk、WebIM、ICQ、搜Q等主流即時通訊軟件。

（9）股票：同花順、大智慧、分析家、證券之星、富貴滿堂、股票悄悄看、錢龍、通達信、指南針、和訊股票等主流股票軟件。

（10）游戲：永恒之塔、QQ游戲、聯(lián)眾游戲、誅仙、征途、夢幻西游、魔獸世界、熱血三國、大話西游、江湖、穿越火線、中國游戲中心、新浪UTGame、浩方游戲平臺等主流游戲程序。

例如，對于一些研發(fā)型公司、金融、政府或其他涉及保密的行業(yè)，網(wǎng)絡管理員尤其需要關(guān)注的是對其信息泄露的防范。這時就需要對一些外發(fā)途徑，像客戶端郵件/WebMail、IM通訊、FTP上傳、BBS上傳等行為進行管理和控制。管理措施的采用，除了起到保障作用，更可以提高員工的信息保密意識。

3.URL過濾和管控

我們在日常的網(wǎng)絡行為管理中，可針對URL地址庫進行過濾，屏蔽掉一些有安全威脅的惡意網(wǎng)址、游戲網(wǎng)址、娛樂網(wǎng)址、色情網(wǎng)址、聊天室網(wǎng)址等，給學生打造一個良好的上網(wǎng)學習環(huán)境。

互聯(lián)網(wǎng)網(wǎng)頁容量爆炸性增長，Google聲稱互聯(lián)網(wǎng)獨立網(wǎng)址超過1萬億個，如微博等新的網(wǎng)址每天層出不窮，靜態(tài)URL庫不足以有效應對，對于URL地址控制我們采用將本地URL庫和云端URL庫結(jié)合的辦法，實現(xiàn)效率和準確性的完美結(jié)合。

基于“云”的URL“零時”分類庫具備如下優(yōu)勢：①互聯(lián)網(wǎng)規(guī)模日益龐大，URL數(shù)據(jù)庫巨大，將URL庫遷移到“數(shù)據(jù)云”中，消除了本地存儲限制；②大型中央數(shù)據(jù)庫可以根據(jù)客戶需要存儲所有的URL分類信息；③持續(xù)跟蹤，確保每個URL每時每刻的分類始終正確無誤；⑤經(jīng)濟實用的輕量級本地客戶端只接收和存儲客戶需要的數(shù)據(jù)，避免了占用大量網(wǎng)關(guān)存儲資源；⑥當用戶瀏覽每個新站點時，觸發(fā)云端URL識別，并且單位的安全網(wǎng)關(guān)會在本地URL庫中添加URL記錄，那么以后再訪問同樣的URL將無需再訪問云端，從而實現(xiàn)了效率和準確性的完美結(jié)合。

例如，對于中小學或者職業(yè)院校的網(wǎng)絡，由于網(wǎng)絡使用者大多是學生，因此作為學校的網(wǎng)絡管理員更關(guān)注的是對內(nèi)容的管控。學生沉溺于網(wǎng)絡游戲而放棄了學業(yè)，受網(wǎng)上不健康圖文影響走上犯罪道路，無休止的網(wǎng)絡聊天導致心理扭曲，這些血淋淋的例子告訴我們，學校的網(wǎng)絡環(huán)境需要凈化，需要建立一個綠色的校園網(wǎng)絡環(huán)境。綠色校園，就應該能對內(nèi)容進行過濾，能對網(wǎng)絡游戲、聊天工具等進行屏蔽，還學生上網(wǎng)一片藍天。

● 內(nèi)網(wǎng)安全和主機行為管理

內(nèi)網(wǎng)安全和主機行為管理主要包括對內(nèi)部用戶網(wǎng)絡接入認證、準入控制、主機外設管理及移動存儲介質(zhì)（透明）加密、軟件分發(fā)及補丁管理等幾方面，通過以上網(wǎng)絡控制可以有效防御來自網(wǎng)絡和主機的安全威脅，加強內(nèi)網(wǎng)和主機的安全管理。

1.用戶接入認證

用戶認證方式包括：賬號/口令、數(shù)字證書、USB KEY等，我們在網(wǎng)絡管理中可以結(jié)合Windows AD、LDAP、Radius等第三方認證服務器協(xié)助用戶認證，另外還可以用手機短信、主機特征碼和動態(tài)口令牌等方式驗證。

2.準入控制

目前基于“主機風險評估”的準入控制技術(shù)是非常先進的，單位中的客戶端會根據(jù)出口安全網(wǎng)關(guān)的指令對接入內(nèi)網(wǎng)的主機進行全面的主機安全評估，如果發(fā)現(xiàn)主機上存在安全威脅或未達到該接入網(wǎng)絡要求的安全級別，如沒有啟用殺毒軟件、防火墻、殺毒軟件沒有及時更新病毒庫、操作系統(tǒng)未按規(guī)定打補丁、有非法外聯(lián)等問題時，則不允許該主機訪問外網(wǎng)或限制其對內(nèi)網(wǎng)的資源訪問。利用準入控制可以確保那些疏于防范的內(nèi)網(wǎng)主機不能輕易上網(wǎng)，避免將Internet上的木馬、病毒等帶進內(nèi)網(wǎng)，也不會使帶有安全風險的主機將風險通過VPN隧道帶進單位內(nèi)網(wǎng)，從而確保整個單位網(wǎng)絡平臺的安全可信。

3.U盤加密和主機外設管理

作為網(wǎng)絡管理員，也不能忽視對USB存儲設備的管理，可以采用在客戶端安裝控件的方式，自動跟蹤記錄USB存儲設備的插拔使用情況，并且對USB存儲設備進行授權(quán)管理，只有授權(quán)過的USB存儲設備才允許在內(nèi)部使用，未授權(quán)U盤無法在內(nèi)網(wǎng)的計算機上使用。而經(jīng)過授權(quán)的U盤當離開了我們系統(tǒng)保護的網(wǎng)絡后，如攜帶回家，就無法正常使用了，所有存儲在授權(quán)U盤上的文件均被自動加密，無法在非安全的環(huán)境下正常使用。

同時也不能忽略對1394接口、藍牙、串并口、光驅(qū)和紅外線等外設的啟禁控制。這些方面的管理控制對于上面提到的那些研發(fā)型公司、金融、政府或其他涉及保密的行業(yè)，都能起到非常重要的保護作用。

4.補丁管理和軟件分發(fā)

大多數(shù)單位都部署有一臺WSUS服務器，能夠?qū)崿F(xiàn)直接從互聯(lián)網(wǎng)上下載升級補丁，然后再給內(nèi)網(wǎng)機器升級，這樣內(nèi)外網(wǎng)交叉必然會存在不安全因素，我的建議是部署兩臺同樣的WSUS服務器，這兩臺機器要完全物理隔離，一臺連接外網(wǎng)，下載好補丁后，將下載的整體目錄復制到另外一臺WSUS服務器對應的目錄下就行，或者是部署三臺，中間這臺可以用來補丁測試，關(guān)于WSUS服務器的具體搭建細節(jié)，很多文章都有明確的說明，這里就不再做詳細討論了。