Web内容安全过滤设备应注重多层次管理功能
作者:子鉃 来源:赛迪网 发布时间:2008-11-12 17:13:00
保护企业免遭互联网威胁的最集中的硬件设备解决方案,除了集成最佳的URL过滤、WEB应用报告、实时监控以及内部威胁清除等功能之外,还应该包括多层次管理功能。当拥有分公司/子公司分布在各个不同城市或国家的中大型企业希望在公司大方向的安全策略下,给予不同分公司或子公司某种程度权限修改其适合的安全策略时,就需要采用分层管理功能协助企业完成目标。单一的管理层仅适用于独立企业集中管理的安全策略,无法因应不同分公司与子公司的Web需求,也会增加总公司IT人员的工作负担。
多层次管理功能应包含全球管理员、群组管理员、最低过滤级别、群组、子群组、检测范围、特别帐户、同步集中控制管理等方面。其中,全球管理员(Global Administrator)是一个拥有所有过滤设备绝对控制权的帐户。全球管理员能够根据公司安全策略,在Web内容安全过滤设备上建立不同的群组,并且再为每个群组建立一个小组。全球管理员能够无限制地控制所有Web内容安全过滤设备的功能。
群组管理员由全球管理员建立。在全球管理员授权修改的安全策略范围内,群组管理员帐户可以针对群组的需求修改适合的安全策略。群组管理员所修改的安全策略仅能影响到这个帐户所管理群组。每一个群组,可以只设立一个小组管理员账户。
最低过滤级别(Minimum Filtering Level (MFL))是由全球管理员定订的过滤级别。最低过滤级别是全公司无论哪一个群组必须一致执行的最低标准策略。例如,当公司定订最低限度的安全策略标准是过滤 * 与信息安全威胁相关类别,群组管理员就不能够从该群组的过滤器设备中取消任何与 * 和信息安全威胁类别相关的安全策略,仅能针对其它类别订定适合的安全策略。当公司要全面实行安全使用政的同时,又希望给予各群组某种程度的修改权限时,MFL就非常有用。下游的群组管理员可以增加最低过滤级别的类别,但是无法清除由全球管理员订定的最低过滤级别的。
群组的定义是由全球管理员设定的一群使用者。例如:全球管理员可以设定子网络 10.10.10.0/24 为一个群组。全球管理员或群组管理员均可以建立一个子群组。子群组用于更进一步描述小组的成员。以上面的例子为例,如果子群组以子网10.10.10.0 /24订定为一个群组,在这个群组下可以再创造子群组,例如10.10.10.0 /25和10.10.10.129 /25 。全球管理员可以确切判断某一个IP地址是来自哪一个网域。
特别帐户是一个用户名/密码,由全球管理员或群组管理员创建。其目的是要允许某其帐户可以不受安全使用策略的限制,造访任何网站。全球管理员可以选择允许特别帐户绕过最低过滤级别,也可以选择特别帐户仅受最低过滤级别限制。特别帐户可以分配给任何使用者。
当公司配置多台过滤设备时,可允许过滤设备之间建立主从关系,同步集中控制管理所有过滤设备。当主要的过滤设备有任何改变时,附属机上也会体现出来。这项功能在多台过滤设备环境下非常有帮助,管理员可以免除手动一一变更设定的作法。
既然我们了解了分层管理的功能,那么分层管理在实际的工作中有哪些用途呢?不妨以案例来说明。举例,一个有5所小学、3所中学和2所高中的学区办公室拥有T3互联网入口,利用T1连接每所学校。所有互联网接入必须通过学区办公室的端口连接互联网。学区有可接受使用策略,所有学生和学区员工均不得访问被分类为 * 、R级、 * 、非教育性在线游戏、基于互联网的电子邮件、暴力和歧视、酒、违禁药品、 * 和骇客相关的所有网站。然而,可接受使用策略中有一个例外:若经校长同意,学区里学校的心理辅导师以及顾问为了提升学生品质以研究为目的,可以访问被限制的网站。
在学区办公室安装8e6 R3000G网络安全行为管理设备,用以过滤所有透过学区端口出去的互联网流量。然后,学区的全球管理员建立一个最低过滤级别,用来阻挡学区可接受使用策略中最低应被限制访问的网站类别。建立最低过滤级别的同时,全球管理员也建立特别帐户给予学校的心理辅导师以及顾问并授权她们可以访问被最低过滤级别限制的网站。然后,再为每一所学校建立不同的群组与群组管理员账户,账户由每一所学校的校长控制,除了最低过滤级别不能清除之外,这些群组管理员账户均可以根据学校的策略设定符合学校需求的安全使用策略。任何用户的互联网访问行为不仅会被学区可接受使用策略的最低级别管理,还能开放给需要做研究的用户访问被限限制的网站。
以上是在校园环境下的分层管理,下面以企业为案例的分层管理实践。比如,一个集团网络的所有分公司均需经过总公司端口连结互联网,总公司的信息中心用OC-3互联网连接,并且拥有可改变到每分公司流量的连接。为了使每个子子公司和分公司能够访问互联网,这些子公司和分公司的连接必须经过集团的信息中心。
总公司发布可接受应用策略的执行,要求所有分公司不允许使用IM或访问含有恶意程序、股票、流媒体、在线购物、在线游戏、网络电邮、 * 、 * 、憎恨和歧视以及所有非法活动。可接受应用策略还说明每家分公司可以制订自己的可接受应用策略。在信息中心,网管员安装了3台负载平衡8e6 R3000、2台R3000S网络安全行为管理设备,来处理 155.5Mbps的流量,并且还安装了一台备用R3000.这些设备采用R3000上主机/附属机同步集中控制管理功能。网管员为R3000s做了配置,满足总公司可接受应用策略的最低过滤级别。他还为每分公司创建了一个群组,并且为每个群组设定了一个管理员。
在每个分公司,网络管理员能够利用提供的群组帐户登录。网络管理员可选择使用集团提供的最低过滤级别或者增加最低过滤级别。重要的是网络管理员不能提总公司设立的要求。比如,西分公司能够收到群组帐户,而永远不能登录R3000。这样做的结果就是所有分公司的用户能够在总公司可接受应用策略的基础之上实现过滤。
在东区分公司,网络管理员需要采用比总公司更加严格的可接受应用策略。因此,网络管理员可以利用现有群组帐户登录。为了满足分公司的可接受应用策略,他可以申请过滤额外的目录内容。在北区分公司,分公司的可接受应用策略会比总公司制订的严格并且还要符合总公司的制订的最低过滤级数的可接受应用策略。本案例中,北区网络管理员会利用群组帐户登录并且为北区中的各个分公司建立另一个子群组。如此一来,北区分公司可以自行制订更加严格的应用策略。在南区分公司,南区分公司的网络管理员是不支持互联网过滤。因此,他漠视总公司的可接受应用策略,并且想要利用群组帐户来取消互联网过滤限制规避总公司对分公司的互联网访问管控。然而,当他利用总公司提供的群组帐户登录R3000 GUI时,却发现他不能改变总公司的最低级数的可接受应用策略。因为尽管南区分公司没有自订的可接受应用策略,他们仍然被总公司的可接受应用策略管控。
以上两个案例,详细说明Web内容安全过滤设备中多层次管理功能在不同行业的应用及效益。选购设备时,除了应有的基本过滤功能外,拥有有完善的管理功能也能够协助大型教育、政府、企业单位更有弹性、更有效率的实行安全应用策略。8e6科技网络安全行为管理解决方案不仅仅拥有完善的过滤、报告、威胁分析等功能,在应用安全策略制订的方面的管理功能也非常弹性,其中包括:多层级管理(群组、部门、使用者IP、网域)、认证的整合(LDAP、AD、SSO、Radius以及Web Base使用者)、访问时间管理、访问日期管理、访问类别管理等等。
猜你喜欢
- 一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但
- 施密特:Chrome将成为PC和Mac之外第三种平台(图片来自互联网)腾讯科技讯(编译/晁晖)北京时间5月15日消息,据国外媒体报道,谷歌首
- 你的服务器上是否存有一些不能随意公开的重要数据呢?当然有吧。最近,偏偏服务器遭受的风险又特别大,越来越多的病毒、心怀不轨的黑客,以及那些商业
- 为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限&am
- 百度贴吧里至今还能搜出不少对曾先生的诽谤帖。本报记者陈伟斌摄昨日,记者接到惠东一位曾先生的求助电话,他说一个月前,百度贴吧里出现了几个透露了
- 中国互联网协会公布的2008年一季度中国反垃圾邮件调查结果显示,商业广告类是侵扰用户的垃圾邮件的主要来源;在用户最讨厌的垃圾邮件中,病毒型垃
- 用IIS,php4和mysql的软件包是php-4.0.1pl2-Win32.zip、mysql-3.23.19-beta-win.zip。
- 文件传输协议(FTP:File Transfer Protocol)使得主机间可以共享文件。 FTP 使用 TCP 生成一个虚拟连接用于控制
- 卖炒货的也已经开始需要建立自己的网店,让更多人可以在网上订购自己的瓜子和糖炒栗子。网店的丰富和普及,使得“办公地点”可以无处不在,很多无需和
- 搜索引擎优化(SEO)对于网络营销从业者来说一直都是一个热门话题,随着搜索引擎的营销价值被更多企业和消费者认识,SEO更加火爆,QQ也不断有
- 做网赚说复杂也复杂,说简单也会简单,但为什么新手做网赚往往感到很无力,找不到任何方向,在万般无奈的情况下找到一个网赚的项目到头来还发现居然是
- 原来qmail系统的邮箱一天起码要收十几份垃圾、病毒邮件,实在是比较烦,不是很喜欢qmail,特别是日志,让人不知所云,所以干脆考虑更换邮件
- server|window
- 将当前位置的“主页”字样,改为“你自己的网站名称”。这虽然是很小的事情,但首先它增强了网站的内链接,而且在文本链接中出现“网站名称”主关键字
- 我以前曾经提到过,网站的图片是非常耗费流量的,去年我就曾经统计过,两天的时间博客有20多G的访问流量,图片所在的目录upload占用了18.
- 服务器系统是WINDOWS2003, 启用了防火墙, 并开放了21号端口, 但是用ServU连接不上.....解决方法是在防火墙配置界面增加
- 一、什么是Google Sitelinks?Google Sitelinks也叫站内链接,这种方式的索引结果在Google搜索引擎上已经存在
- “我知道你想问什么,但是这件事情,目前我什么都不能说。”昨天晚上,申花队一行人飞抵重庆,备战明天下午与重庆力帆队的中超比赛。与以往经常随队出
- 为了更好的实现对社区热点信息的聚焦,Discuz! 7.1新增了“热点话题”功能,成为强化社区信息聚焦重要应用手段。重视细节改进是产品发展的
- 几天前,国内最大的电子阅读网站曾宣布,要在十一长假期间,将所有内容全部免费开放给人们阅读。今天,我们发现,这家网站已经开始免费开放了。据网站