《運(yùn)營解決方案》word版

1、Bluecoat安全控管理應(yīng)用之（NTT服務(wù)網(wǎng)絡(luò)安全服務(wù)方案）美國BlueCoat公司 2007年2月www.BlueC目錄 TOC o 1-3 h z u HYPERLINK l _Toc157920548 一、產(chǎn)品背景介紹 PAGEREF _Toc157920548 h 3 HYPERLINK l _Toc157920549 1.1BlueCoat公司 PAGEREF _Toc157920549 h 3 HYPERLINK l _Toc157920550 1.2BlueCoat用戶情況 PAGEREF _Toc157920550 h 5 HYPERLINK l _Toc157920551

2、1.3BlueCoat第三方評(píng)價(jià) PAGEREF _Toc157920551 h 5 HYPERLINK l _Toc157920552 1.4BlueCoat產(chǎn)品和技術(shù)路線 PAGEREF _Toc157920552 h 6 HYPERLINK l _Toc157920553 二、方案描述 PAGEREF _Toc157920553 h 7 HYPERLINK l _Toc157920554 2.1BlueCoat解決方案背景介紹 PAGEREF _Toc157920554 h 7 HYPERLINK l _Toc157920555 2.2目前NTT用戶上網(wǎng)的特點(diǎn)分析 PAGEREF _To

3、c157920555 h 7 HYPERLINK l _Toc157920556 三、NTT安全服務(wù)解決方案 PAGEREF _Toc157920556 h 10 HYPERLINK l _Toc157920557 3.1功能結(jié)構(gòu) PAGEREF _Toc157920557 h 10 HYPERLINK l _Toc157920558 企業(yè)側(cè)實(shí)施要點(diǎn) PAGEREF _Toc157920558 h 11 HYPERLINK l _Toc157920559 NTT數(shù)據(jù)中心側(cè)部署B(yǎng)luecoat的產(chǎn)品 PAGEREF _Toc157920559 h 12 HYPERLINK l _Toc15792

4、0560 Proxy AV的功能 PAGEREF _Toc157920560 h 19 HYPERLINK l _Toc157920561 日志分析管理功能描述 PAGEREF _Toc157920561 h 21 HYPERLINK l _Toc157920562 3.2部署方式 PAGEREF _Toc157920562 h 24 HYPERLINK l _Toc157920563 3.3Bluecoat SG和日志服務(wù)器的通信 PAGEREF _Toc157920563 h 25 HYPERLINK l _Toc157920564 通信流程 PAGEREF _Toc157920564 h

5、 25 HYPERLINK l _Toc157920565 日志分析服務(wù)器要求 PAGEREF _Toc157920565 h 26 HYPERLINK l _Toc157920566 四、系統(tǒng)主要功能 PAGEREF _Toc157920566 h 27 HYPERLINK l _Toc157920567 4.1產(chǎn)品整體功能描述 PAGEREF _Toc157920567 h 27 HYPERLINK l _Toc157920568 4.2WEB代理功能 PAGEREF _Toc157920568 h 27 HYPERLINK l _Toc157920569 4.3內(nèi)容過濾功能 PAGERE

6、F _Toc157920569 h 28 HYPERLINK l _Toc157920570 4.4認(rèn)證功能 PAGEREF _Toc157920570 h 29 HYPERLINK l _Toc157920571 4.5策略引擎功能 PAGEREF _Toc157920571 h 29 HYPERLINK l _Toc157920572 4.6統(tǒng)計(jì)報(bào)告功能 PAGEREF _Toc157920572 h 30 HYPERLINK l _Toc157920573 五、產(chǎn)品配置清單 PAGEREF _Toc157920573 h 31 HYPERLINK l _Toc157920574 Blue

7、Coat Proxy SG配置方案 (代理方式基本配置) PAGEREF _Toc157920574 h 31 HYPERLINK l _Toc157920575 六、解決方案的特點(diǎn) PAGEREF _Toc157920575 h 33產(chǎn)品背景介紹 BlueCoat公司Blue Coat公司專注于提供互聯(lián)網(wǎng)安全代理專用設(shè)備來控制和加速用戶的互聯(lián)網(wǎng)訪問。Blue Coat ProxySG專用設(shè)備在通過高效緩存提供互聯(lián)網(wǎng)訪問網(wǎng)絡(luò)性能的同時(shí)，集成了先進(jìn)的代理功能和安全服務(wù)，如內(nèi)容過濾（URL過濾等）、即時(shí)消息控制、Web病毒掃描和P2P文件共享應(yīng)用控制。Blue Coat目前在全球擁有超過3000個(gè)

8、用戶，總發(fā)貨數(shù)超過20000臺(tái)，已被許多世界上最具影響力的組織和機(jī)構(gòu)所信任，來確保Web環(huán)境的安全高效。 Blue Coat總部位于加州的 Sunnyvale。Blue Coat Systems成立于1996年，成立時(shí)公司名為CacheFlow，致力于通過領(lǐng)先的緩存專用設(shè)備改善互聯(lián)網(wǎng)訪問性能，并節(jié)省互聯(lián)網(wǎng)帶寬。隨著影響互聯(lián)網(wǎng)性能的因素增長，尤其是互聯(lián)網(wǎng)訪問的“應(yīng)用級(jí)威脅”的影響；我們?cè)诟咚倬彺娴幕A(chǔ)上，提供了更多的應(yīng)用級(jí)安全防護(hù)，從而為加速互聯(lián)網(wǎng)訪問性能和提高網(wǎng)絡(luò)可用性，提供更多的控制和安全功能，公司也在2002年8月為BlueCoat Systems , Inc，這反映了公司在保障互聯(lián)網(wǎng)訪問

9、效率、安全方面的不斷發(fā)展。隨著企業(yè)越來越依賴于互聯(lián)網(wǎng)與客戶、合作伙伴和員工進(jìn)行通訊，Blue Coat具有巨大的成長機(jī)遇。Web瀏覽器已成為關(guān)鍵的業(yè)務(wù)通訊和信息交流的通用工具 ，但它同時(shí)也增加了企業(yè)的安全風(fēng)險(xiǎn)。直到現(xiàn)在，大多數(shù)企業(yè)都將其安全防范的精力主要放在預(yù)防外部惡意攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，但事實(shí)上，另一個(gè)關(guān)鍵的安全防范方面仍急待解決：來自內(nèi)部的威脅。當(dāng)企業(yè)內(nèi)所有用戶都使用Web瀏覽器時(shí)，不管是有意還是無意，他們就能夠而且有辦法去訪問一些對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施有害的內(nèi)容。不斷出現(xiàn)的新的Web應(yīng)用，諸如即時(shí)消息（IM）和點(diǎn)對(duì)點(diǎn)的文件共享（P2P）只會(huì)增加企業(yè)的安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括員工訪問不恰當(dāng)?shù)腤e

10、b內(nèi)容而導(dǎo)致生產(chǎn)力降低、由于保密信息或本應(yīng)保護(hù)的信息通過Web泄漏而導(dǎo)致法律責(zé)任、由于知識(shí)產(chǎn)權(quán)的泄密而導(dǎo)致競爭力下降、以及病毒不知不覺中被Web用戶帶進(jìn)企業(yè)的內(nèi)部而導(dǎo)致網(wǎng)絡(luò)可用性下降。顯然，僅靠防范黑客從外部攻入已不夠了，企業(yè)必須控制員工的Web通訊才能從本質(zhì)上保證網(wǎng)絡(luò)的安全。Source: IDC (2005) BlueCoat用戶情況我們的機(jī)遇保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊需要象防火墻和入侵檢測系統(tǒng)之類的安全設(shè)備，但管理和控制用戶的Web通訊則要靠安全的代理設(shè)備來完成。因此，越來越多的企業(yè)，包括70的道瓊斯上市工業(yè)公司都正依靠Blue Coat安全的代理專用設(shè)備來提供安全高效的企業(yè)Web環(huán)境。我

11、們的用戶Blue Coat目前在全球擁有超過4000個(gè)用戶，總發(fā)貨數(shù)超過30000臺(tái)，已被許多世界上最具影響力的組織和機(jī)構(gòu)所信任，來確保Web環(huán)境的安全高效。Blue Coat用戶群覆蓋各行各業(yè)，包括：電信、金融服務(wù)、高技術(shù)、零售、制造、消費(fèi)產(chǎn)品、政府、軍用和教育等行業(yè)。用戶包括市場領(lǐng)導(dǎo)者，例如：ABN-Amro、Aon Insurance、ATT、GE、Proctor & Gamble、Johnson Controls、Hewlett Packard、Sony、Toyota、Wal-Mart、Wachovia、Washington Mutual、Xerox、US Navy等。 BlueCoa

12、t第三方評(píng)價(jià)著名的市場調(diào)查公司IDC，重點(diǎn)突出了企業(yè)對(duì)Blue Coat安全代理專用設(shè)備不斷增長的需求，報(bào)告認(rèn)可了Blue Coat是安全內(nèi)容管理市場的領(lǐng)先者，市場占有率排名第一達(dá)37。IDC估計(jì)該市場在2007年將超過16億美元，且Blue Coat市場定位良好，必將抓住這個(gè)巨大的市場機(jī)遇。 BlueCoat產(chǎn)品和技術(shù)路線我們的產(chǎn)品Blue Coat ProxySG安全代理專用設(shè)備產(chǎn)品系列具有完整的Web代理功能，能夠?qū)崿F(xiàn)最強(qiáng)大的策略控制。這些ICSA Labs認(rèn)證的解決方案是基于Blue Coat開發(fā)的專用操作系統(tǒng)SGOS，包括擁有專利的策略處理引擎一個(gè)實(shí)現(xiàn)極其靈活的內(nèi)容策略、應(yīng)用策略、用

13、戶策略來控制Web通訊的框架結(jié)構(gòu)。Blue Coat端到端的產(chǎn)品系列包括全面的統(tǒng)計(jì)報(bào)告軟件、策略和配置管理解決方案、以及與第三方內(nèi)容過濾和病毒掃描廠商集成提供更多的高效安全的方案。我們的技術(shù)和解決方案伙伴Blue Coat和廣泛技術(shù)領(lǐng)先的公司以及系統(tǒng)集成商結(jié)成合作伙伴關(guān)系，為我們的客戶提供完整的解決方案。這種合作伙伴關(guān)系使用戶能夠選擇最適合他們網(wǎng)絡(luò)基礎(chǔ)設(shè)施的產(chǎn)品，然而不管選擇哪個(gè)伙伴的產(chǎn)品都能保證和 Blue Coat產(chǎn)品無縫集成。當(dāng)前的合作伙伴包括內(nèi)容過濾領(lǐng)域的8家公司的合作，當(dāng)然Bluecoat公司自己的WebFilter也是非常著名的URL過濾產(chǎn)品，多家的著名的安全廠家也OEM我方的產(chǎn)品

14、如：Sonicwall ,CA等，以及Web病毒掃描領(lǐng)域的Sophos、McAfee、 Panda、和Kaspersky等。方案描述BlueCoat解決方案背景介紹隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，整個(gè)社會(huì)，包括經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域，對(duì)網(wǎng)絡(luò)的依賴程度越來越大，其地位越來越重要。NTT給自己的客戶提供更高層次的服務(wù)，保證客戶網(wǎng)絡(luò)在自己的服務(wù)中高效快捷已經(jīng)成為服務(wù)外包運(yùn)營商考慮的問題。一方面，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不斷的擴(kuò)大和改變，另外一個(gè)方面就是被服務(wù)企業(yè)內(nèi)部對(duì)共享上網(wǎng)的需求也在不斷的增加，如何能夠做到對(duì)分布在Internet網(wǎng)絡(luò)上的流量進(jìn)行有效的控制，被服務(wù)企業(yè)員工的行為從技術(shù)的角度進(jìn)行有效的管理和保護(hù)，這個(gè)是我們

15、探討的方案，也是本方案的重點(diǎn)。 目前NTT用戶上網(wǎng)的特點(diǎn)分析目前，NTT服務(wù)的客戶上網(wǎng)，都是相對(duì)獨(dú)立的上網(wǎng)，每個(gè)企業(yè)根據(jù)各自的情況，通過ADSL寬帶撥號(hào)或LAN接入到internet。他們目前上網(wǎng)的特點(diǎn)包括：上網(wǎng)直接通過防火墻，通過NAT上網(wǎng)在各個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)中間缺乏有效的安全設(shè)施，包括病毒的防護(hù)等措施，可能僅僅是桌面的一些安全（防病毒軟件等）各個(gè)企業(yè)上網(wǎng)的行為，沒有一個(gè)有效的控制/管理的手段，或者各自維護(hù)管理成本相對(duì)比較高。那末，對(duì)于NTT而言，提供的服務(wù)，從網(wǎng)絡(luò)到其他的一些外包服務(wù)，面臨很多問題：需要對(duì)每一個(gè)企業(yè)進(jìn)行各自的客戶化的服務(wù)，如果按照現(xiàn)有的模式服務(wù)/維護(hù)的成本很高。很多的被服務(wù)企

16、業(yè)內(nèi)部，NTT為了提高服務(wù)質(zhì)量，需要部署網(wǎng)絡(luò)層面的安全設(shè)施，從整體而言，設(shè)備的投入成本很高。從整體而言，對(duì)于被服務(wù)的企業(yè)還是NTT服務(wù)者自己都面臨如下的困惑：多數(shù)用戶抱怨上網(wǎng)速度慢，為什么？沒有緩存，熱門的內(nèi)容頻繁重復(fù)下載，降低帶寬利用率；不適當(dāng)使用，沒有控制如流媒體/P2P下載等帶寬消耗大的應(yīng)用，占用了大量帶寬；惡意應(yīng)用偷偷地消耗了網(wǎng)絡(luò)連接和帶寬，如病毒程序，間諜軟件（包括流氓軟件、木馬）等；應(yīng)用層安全管理缺乏手段通常會(huì)部署桌面/服務(wù)器/郵件防病毒系統(tǒng)，但對(duì)于文件下載/隱藏在網(wǎng)頁中惡意代碼/Web Mail中病毒威脅怎么辦？面對(duì)頻繁的惡意間諜軟件、流氓軟件、木馬程序感染，有高效的控制手段嗎？

17、面對(duì)對(duì)企業(yè)機(jī)密信息外泄，如何控制？上網(wǎng)行為管理工具缺乏傳統(tǒng)的管理工具多數(shù)是基于IP地址的，無法識(shí)別用戶/用戶組等應(yīng)用層用戶特征，對(duì)于規(guī)模稍大的網(wǎng)絡(luò)靈活性不足;一般的工具多基于端口進(jìn)行應(yīng)用控制，對(duì)于那些自動(dòng)選擇端口的應(yīng)用如Skype/BT等，就束手無策了：無法在應(yīng)用層進(jìn)行帶寬管理，保證關(guān)鍵應(yīng)用的帶寬，限制一班應(yīng)用或者惡意應(yīng)用程序的帶寬，制定訪問優(yōu)先級(jí)策略；根據(jù)NTT外包服務(wù)的特點(diǎn)，以及對(duì)被服務(wù)企業(yè)管理/控制的要求，本方案提供了解決方案。主要特點(diǎn)：實(shí)現(xiàn)集中的控制，而無須對(duì)不同的企業(yè)分別進(jìn)行網(wǎng)絡(luò)設(shè)備的實(shí)施和投入。根據(jù)各自企業(yè)的要求，僅僅在中心側(cè)，能夠?qū)Σ煌髽I(yè)不同的員工/科室進(jìn)行角色控制，能夠?qū)崿F(xiàn)更

18、多的客戶化要求，而維護(hù)/操作的成本不會(huì)提高。從提高服務(wù)質(zhì)量的角度，NTT還可以給服務(wù)企業(yè)提供統(tǒng)計(jì)服務(wù)，讓企業(yè)了解每月/每周自己員工使用網(wǎng)絡(luò)的情況（流量分布，訪問網(wǎng)站的情況等）NTT安全服務(wù)解決方案 功能結(jié)構(gòu)在NTT的數(shù)據(jù)中心，通過部署B(yǎng)lueCoat的產(chǎn)品系列，實(shí)現(xiàn)完整的安全的控制管理，在每個(gè)提供服務(wù)的企業(yè)，他們上網(wǎng)的行為是用代理方式實(shí)現(xiàn)的，代理服務(wù)器就是NTT數(shù)據(jù)中心的Bluecoat SG的代理服務(wù)器。企業(yè)側(cè)實(shí)施要點(diǎn)針對(duì)各個(gè)被服務(wù)企業(yè)，需要從新部署或設(shè)置防火墻，通過訪問策略，僅僅開放訪問NTT數(shù)據(jù)中心代理服務(wù)器的訪問權(quán)限，當(dāng)然對(duì)于郵件服務(wù)等需要對(duì)外開放端口。對(duì)于使用Web流量等客戶軟件，需

19、要通過代理設(shè)置方式，通過NTT數(shù)據(jù)中心代理服務(wù)器訪問網(wǎng)頁等。這樣，每個(gè)被服務(wù)企業(yè)的就可以通過NTT數(shù)據(jù)中心進(jìn)行集中的控制/保護(hù)了。NTT數(shù)據(jù)中心側(cè)部署B(yǎng)luecoat的產(chǎn)品Proxy SG是整個(gè)系統(tǒng)解決方案的為核心的控制設(shè)備，它綜合很多的功能，并負(fù)責(zé)集中的控制管理。核心功能：URL過濾數(shù)據(jù)庫的更新管理負(fù)責(zé)各個(gè)企業(yè)科室組/用戶的權(quán)限的控制管理負(fù)責(zé)復(fù)雜的控制邏輯的配置和實(shí)施管理日志文件的采集，和分發(fā)管理Web內(nèi)容加速控制和Bleucoat AV的殺毒服務(wù)器互動(dòng)實(shí)現(xiàn)實(shí)時(shí)的病毒和間諜軟件的清除和防護(hù)。用戶認(rèn)證服務(wù)器，負(fù)責(zé)用戶權(quán)限的管理。負(fù)責(zé)控制用戶組/用戶的設(shè)置和管理，很多的網(wǎng)絡(luò)采用Windows A

20、D或Sun iPlant(LDAP)實(shí)現(xiàn)用戶/部門分類和員工的權(quán)限管理，Proxy SG通過LDAP協(xié)議實(shí)現(xiàn)通信。日志管理和分析服務(wù)器，主要負(fù)責(zé)Bleucoat SG日志的收集，備份，日志數(shù)據(jù)的分析等工作。Proxy SG通過FTP協(xié)議實(shí)現(xiàn)日志內(nèi)容的傳遞。URL過濾數(shù)據(jù)庫的更新管理Blue Coat SG設(shè)備提供功能強(qiáng)大、使用靈活的方法來執(zhí)行基于下列條件的互聯(lián)網(wǎng)訪問策略：內(nèi)容類別(色情、證券交易、體育、以及其它超過30個(gè)類別): 集成業(yè)界領(lǐng)先廠商的過濾數(shù)據(jù)庫，如SmartFilter和Websense。. 內(nèi)容類型 (http、ftp、流媒體、mime 類型等): 提供實(shí)時(shí)禁止Web頁面中某些

21、類型的內(nèi)容的能力。 用戶身份 (用戶、組、網(wǎng)絡(luò)標(biāo)識(shí)): 可基于用戶是誰以及該用戶的位置來定制控制策略。 Blue Coat 內(nèi)容過濾使企業(yè)能夠：通過限制用戶訪問不合適的內(nèi)容，使企業(yè)的法律責(zé)任降到最低，并提高用戶的生產(chǎn)力 通過集成的緩存，可獲得高達(dá)10倍的互聯(lián)網(wǎng)性能提高 使用專為Web內(nèi)容過濾而優(yōu)化的專用設(shè)備，簡化了系統(tǒng)管理和日常維護(hù) 實(shí)現(xiàn)基于用戶、組、時(shí)間、位置、網(wǎng)絡(luò)地址、用戶代理、以及其它屬性的細(xì)化的Web訪問策略，以滿足獨(dú)特的業(yè)務(wù)需求。 集成可訂購的過濾列表，能在Web改變時(shí)自動(dòng)地更新和分類 全面了解和報(bào)告整個(gè)企業(yè)內(nèi)Web訪問和使用情況 通過定制的彈出頁面提醒用戶公司的互聯(lián)網(wǎng)訪問政策。 將

22、現(xiàn)有傳統(tǒng)的、基于軟件的代理服務(wù)器方案升級(jí)成容易管理、可伸展的解決方案。 Blue Coat獨(dú)特的Web知識(shí)架構(gòu)和策略處理引擎使實(shí)現(xiàn)可伸展的決策成為可能。實(shí)現(xiàn)多條細(xì)化策略的有效組合要求系統(tǒng)具有更高層次的性能。例如，一個(gè)企業(yè)可能會(huì)決定賭博站點(diǎn)必須對(duì)所以人的訪問都禁止，然而體育類的站點(diǎn)可能只允許HR部門的人訪問，但所有的多媒體內(nèi)容將會(huì)用公司定制的安全警告頁面來替代。純軟件的過濾方案不能做到這么細(xì)致的決策同時(shí)保持良好的性能，用戶通常不得不在控制的細(xì)度和能夠接受的吞吐能力之間做出折衷的權(quán)衡。Blue Coat 解決方案結(jié)合了三方面的優(yōu)勢獨(dú)特的策略體系、優(yōu)化的操作系統(tǒng)和網(wǎng)絡(luò)硬件、存儲(chǔ)經(jīng)常訪問內(nèi)容的緩存，完

23、全能夠?qū)崿F(xiàn)必要的、更加細(xì)化的策略組合，并提供企業(yè)所需要的性能要求。在本方案當(dāng)中作為選件，推薦使用Bluecoat的WebFilter的數(shù)據(jù)庫，由于采用的on-Box（數(shù)據(jù)庫和引擎都內(nèi)置在硬件設(shè)備內(nèi)部）的模式，意味著proxy-SG負(fù)責(zé)URL過濾庫的管理。特點(diǎn)如下：URL過濾網(wǎng)站的數(shù)據(jù)庫全面，能覆蓋大多數(shù)國內(nèi)外較有名的網(wǎng)站，具有全面的Web分類和達(dá)到1000萬的Web的數(shù)量。通過GUI管理界面，能夠可方便地查詢某一網(wǎng)站在數(shù)據(jù)庫中是否已經(jīng)記錄，有的話在哪一類數(shù)據(jù)庫。通過GUI配置，提供靈活的數(shù)據(jù)庫更新策略，可以按照小時(shí)，天等靈活配置。內(nèi)部可以建立本地的WEB數(shù)據(jù)庫列表，本地WEB列表可以建立目錄分

24、類，從而實(shí)現(xiàn)Web網(wǎng)站的白名單、黑名單管理等靈活的功能。通過和策略管理及用戶管理實(shí)現(xiàn)對(duì)內(nèi)容的精細(xì)控制包括：可限制特定的企業(yè)科室組用戶只能上某一類或幾類特定的網(wǎng)站?？墒止⒛骋痪W(wǎng)站添加進(jìn)去讓用戶可以訪問或是禁止用戶訪問這一網(wǎng)站。限制類似QQ、MSN、YAHOO等可支持文件傳輸?shù)牧奶旃ぞ?。提供文件格式控制功能，可以?duì)用戶上傳下載特定格式的文件進(jìn)行控制。可以禁止Google、百度等搜索引擎的網(wǎng)頁快照功能?？梢愿鶕?jù)不同的時(shí)間段對(duì)企業(yè)員工上網(wǎng)行為進(jìn)行控制。企業(yè)科室組/用戶的權(quán)限的控制管理支持多種協(xié)議和認(rèn)證服務(wù)器通信，一般常用支持的協(xié)議包括：LDAP，Radius，它能夠方便的和Windwos AD ,S

25、un iPlant等LDAP服務(wù)器通信獲得用戶權(quán)限或分類信息。由于用戶的權(quán)限控制管理，URL管理和策略管理是內(nèi)置在Proxy-SG中的功能，能夠?qū)崿F(xiàn)一次用戶驗(yàn)證。策略配置和實(shí)施管理Proxy SG的GUI策略管理界面，對(duì)需求邏輯進(jìn)行編輯和管理，這種管理叫虛擬策略管理（VPM）。Blue Coat Systems 可視化策略管理器Blue Coat ProxySG互聯(lián)網(wǎng)通訊控制專用設(shè)備操作系統(tǒng)集成的功能模塊，以直觀的、圖形化的方式幫助您完成管理一個(gè)網(wǎng)絡(luò)Web安全相關(guān)的復(fù)雜策略。管理基于Web的安全問題是一項(xiàng)要求正確工具的復(fù)雜工作。隨著用戶數(shù)量的和Web應(yīng)用的增加，制訂Web安全策略的復(fù)雜性和因失

26、誤帶來的風(fēng)險(xiǎn)也隨之增加。 Blue Coat可視化策略管理器簡化安全策略的建立和管理。管理員能迅速地建立復(fù)雜的策略規(guī)則，并容易地評(píng)估其影響。直觀的圖形用戶界面，對(duì)安全管理員來說很熟悉，使得在跨越整個(gè)Blue Coat ProxySG組成的網(wǎng)絡(luò)上細(xì)化的、多層的安全策略變得很容易?？梢暬呗怨芾砥魇构芾韱T能夠： 使用強(qiáng)勁的策略加強(qiáng)互聯(lián)網(wǎng)訪問的安全 使用圖形界面建立和維護(hù)策略 在裝有Web瀏覽器的任意PC或工作站上啟動(dòng)和使用 簡化安全策略的生成工作 Blue Coat Systems的可視化策略管理提供了強(qiáng)勁的圖形化工具來生成、實(shí)現(xiàn)和管理企業(yè)的安全策略。使用 Blue Coat 可視化策略管理，安全

27、和網(wǎng)絡(luò)管理員能夠迅速地為SG系列ProxySG專用設(shè)備建立策略規(guī)則，這套策略規(guī)則可根據(jù) Blue Coat功能強(qiáng)大的 Web知識(shí)架構(gòu)所涉及的每個(gè)技術(shù)細(xì)節(jié)來建立，并利用策略處理引擎的高性能處理能力進(jìn)行策略的執(zhí)行。 功能特性 :直觀的策略生成界面 快速生成復(fù)雜的基于用戶、用戶組、網(wǎng)絡(luò)、目錄屬性、以及內(nèi)容類型、瀏覽器類型、協(xié)議以及其它更多屬性的Web安全策略和控制策略。 策略分層 將相似的策略規(guī)則分組有利于簡化管理工作。例如，內(nèi)容過濾策略和病毒掃描策略能合并在一個(gè)獨(dú)立的層次，使管理變得簡單。另外，如有需要，安全管理員能對(duì)某些用戶定義例外策略，而不需影響公司統(tǒng)一的標(biāo)準(zhǔn)策略。 同時(shí)支持多個(gè)認(rèn)證域 定義必

28、須使用哪臺(tái)認(rèn)證服務(wù)器/認(rèn)證領(lǐng)域（realm）來進(jìn)行認(rèn)證。即使用戶信息定義在不同的認(rèn)證系統(tǒng)中，管理員也能夠?yàn)檫@些用戶定義一致的安全策略。例如，管理員能在企業(yè)范圍內(nèi)定義一條策略，哪怕有的用戶定義在NT域中，有的用戶定義在LDAP目錄中。 策略分發(fā)自動(dòng)化 與 Blue Coat Director集中管理設(shè)備結(jié)合在一起，管理員就能夠根據(jù)地區(qū)來分發(fā)策略，而且，在策略修改時(shí)，能夠自動(dòng)化分發(fā)修改后的策略。 內(nèi)容策略語言（CPL） 處理可視化的策略生成，管理員還能夠根據(jù)內(nèi)容策略語言定義內(nèi)容策略，使用高級(jí)宏語言定義策略。 暫時(shí)禁止 為查錯(cuò)方便，您可暫時(shí)進(jìn)行某些策略規(guī)則的執(zhí)行，而無需刪除它們。 基于瀏覽器 基于J

29、ava的用戶界面，可運(yùn)行于任何基于Java的Web瀏覽器。 系統(tǒng)需求可視化策略管理器要求 Java Runtime Environment 1.5來運(yùn)行，支持Microsoft 和 Netscape 的web瀏覽器。如果沒有安裝 JRE，那么可視化策略管理器在它第一次運(yùn)行時(shí)，自動(dòng)下載并安裝它。能夠滿足如下需求：可為文件上傳限制添加組策略，可根據(jù)用戶屬于不同的組對(duì)上傳文件的大小進(jìn)行限制?？捎涗浰杏脩羯蟼魑募脑敿?xì)信息，包括但不限于用戶名、上傳網(wǎng)站、文件大小、上傳的時(shí)間等?？伸`活對(duì)組策略進(jìn)行設(shè)置，可限定特定的組只能上傳文件到特定的網(wǎng)站。限制類似SkyPE、MSN、YAHOO等可支持文件傳輸?shù)牧奶?/p>

30、工具。提供文件格式控制功能，可以對(duì)用戶上傳下載特定格式的文件進(jìn)行控制?？梢越笹oogle、百度等搜索引擎的網(wǎng)頁快照功能。可以根據(jù)不同的時(shí)間段對(duì)員工上網(wǎng)行為進(jìn)行控制。可禁止彈出廣告。審計(jì)功能管理員的權(quán)限分組，比如說有些管理員的賬號(hào)是用來審計(jì)的，只能查看不能編輯和修改系統(tǒng)的配置。有些賬號(hào)只能對(duì)策略進(jìn)行修改。還有些是系統(tǒng)管理員賬號(hào)，可以對(duì)系統(tǒng)進(jìn)行任何操作。當(dāng)系統(tǒng)發(fā)生故障時(shí)，可以自動(dòng)郵件報(bào)警。日志文件的采集分發(fā)管理可以根據(jù)管理的要求，靈活的配置和管理日志文件的項(xiàng)目，增加需要的項(xiàng)目，可以根據(jù)服務(wù)類型選擇不同的日志格式。可以靈活的設(shè)定Proxy SG內(nèi)部緩沖日志文件的尺寸，可以制定上傳計(jì)劃，如：每天傳送

31、一次或每小時(shí)/分鐘傳送。當(dāng)然，可以通過GUI界面觀察實(shí)時(shí)的Log紀(jì)錄和log文件的尺寸信息。Proxy AV的功能隨著技術(shù)的發(fā)展，技術(shù)帶來的安全危險(xiǎn)也就隨之增大。 由于當(dāng)今許多的業(yè)務(wù)都是通過互聯(lián)網(wǎng)絡(luò)上的應(yīng)用程序來完成，Email和Web訪問等都會(huì)使您的企業(yè)內(nèi)部網(wǎng)絡(luò)打開了對(duì)外的大門。 在Internet的訪問入口處進(jìn)行病毒掃描對(duì)企業(yè)網(wǎng)絡(luò)的安全起著關(guān)鍵的作用，它可在您網(wǎng)絡(luò)的外圍去除有害的內(nèi)容在其進(jìn)入并影響您的網(wǎng)絡(luò)之前。就象在企業(yè)的email系統(tǒng)上實(shí)施病毒掃描，使SMTP的服務(wù)變得安全一樣， 企業(yè)正在對(duì)使用80端口的服務(wù)進(jìn)行病毒掃描，以保護(hù)網(wǎng)絡(luò)免受新的基于Web的病毒威脅。 最近的關(guān)于這些新的Web

32、威脅的例子是“紅色代碼”和“Nimda”病毒。這些病毒能夠通過防火墻允許的特別協(xié)議，發(fā)現(xiàn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的途徑。聰明的病毒制造者使用諸如HTTP之類的協(xié)議，因?yàn)樗麄冎?0端口這個(gè)標(biāo)準(zhǔn)的HTTP流量的端口，基本上對(duì)企業(yè)的網(wǎng)絡(luò)來講是個(gè)沒有上鎖的大門。而且，由于防火墻的設(shè)計(jì)是工作在包檢查這一級(jí)，它們不適合處理這些隱藏在某種內(nèi)容之中，分散在多個(gè)包中進(jìn)行傳輸?shù)膽?yīng)用層的病毒。 在當(dāng)今通過Web來進(jìn)行的企業(yè)業(yè)務(wù)中，有效的網(wǎng)絡(luò)安全要求企業(yè)的安全基礎(chǔ)設(shè)施包含一個(gè)工作在內(nèi)容級(jí)別的新的層次。 為了保護(hù)網(wǎng)絡(luò)免受來自外網(wǎng)和內(nèi)網(wǎng)的基于Web的病毒威脅，許多企業(yè)部署了Blue Coat ProxySG專用設(shè)備，它們是專門為

33、優(yōu)化80端口流量安全而設(shè)計(jì)的，Web病毒和惡意代碼無法通過Blue Coat ProxySG專用設(shè)備。這些專門的設(shè)備彌補(bǔ)了防火墻和當(dāng)今病毒防范產(chǎn)品的不足， 是總體安全體系中不可缺少的部分； 它們優(yōu)化內(nèi)容和對(duì)象級(jí)處理，包含了功能強(qiáng)大的、擁有專利的技術(shù)，這些正是檢查Web流量并根據(jù)管理員制訂的策略執(zhí)行相關(guān)控制所必須的技術(shù)前提。 Blue Coat Systems 的 ProxySG設(shè)備與領(lǐng)先的病毒掃描產(chǎn)品合作，提供基于策略的內(nèi)容級(jí)的實(shí)時(shí)病毒掃描。 完整的Web病毒掃描方案 Blue Coat Systems已經(jīng)發(fā)展了多個(gè)戰(zhàn)略性的合作伙伴Kaspersky, McAfee, Panda, Sopho

34、s，以完善公司的針對(duì)Web流量進(jìn)行病毒掃描的解決方案，公司的ProxySG專用設(shè)備已經(jīng)和它們的病毒掃描方案無縫集成。利用ICAP+協(xié)議(Internet Content Adaptation Protocol), 我們和合作伙伴之間的合作包括聯(lián)合進(jìn)行Web病毒掃描解決方案的技術(shù)開發(fā)、產(chǎn)品測試和市場推廣。ICAP+ICAPBasic (no detail) Error CommunicationIntegrated Reporting (Proxy and ICAP server)ICAP+ (deeper integration w/ proxy for performance and rel

35、iability)Detailed Error Reporting and Granular Response:AV Engine FailureAV Load FailureConnection FailureDecode ErrorFile Extension BlockedInsufficient SpaceInternal ErrorMaximum File Size ExceededMaximum Total Files ExceededMaximum Total Size ExceededPassword Protected ArchiveRequest TimeoutScan T

36、imeoutServer ErrorServer Unavailable這使得企業(yè)用戶們第一次實(shí)現(xiàn)了完整的、基于策略的、高性能的Web病毒掃描。例如， 管理員可以決定那些類型的內(nèi)容可以認(rèn)為是安全的，就象來自于受信任源的圖像，對(duì)它們就不必轉(zhuǎn)送到病毒掃描服務(wù)器進(jìn)行掃描；其它來自于內(nèi)部站點(diǎn)的數(shù)據(jù)可能被送到病毒掃描服務(wù)器進(jìn)行輕度掃描，而所有其它內(nèi)容則送到另一臺(tái)病毒掃描服務(wù)器進(jìn)行重度掃描。 日志分析管理功能描述Blue Coat 訪問報(bào)告工具提供基于用戶身份的互聯(lián)網(wǎng)訪問流量統(tǒng)計(jì)報(bào)告，使企業(yè)能夠評(píng)估Web安全策略，更好地管理網(wǎng)絡(luò)資源。隨著Web應(yīng)用的使用和不斷增長，IT部門需要依據(jù)持續(xù)的、準(zhǔn)確的信息流以對(duì)

37、安全問題作出快速反應(yīng)和決策。 Blue Coat訪問報(bào)告工具監(jiān)控流經(jīng)網(wǎng)絡(luò)的所有內(nèi)容級(jí)流量，以勾畫出網(wǎng)絡(luò)的穩(wěn)定性、性能和不恰當(dāng)?shù)氖褂谩Ｓ捎诰哂嗅槍?duì)單個(gè)用戶的統(tǒng)計(jì)報(bào)告能力，Blue Coat使了解誰在不恰當(dāng)?shù)氖褂肐nternet變得非常容易，包括訪問的站點(diǎn)類型，下載的內(nèi)容以及由此帶來的對(duì)業(yè)務(wù)的影響。 Blue Coat 訪問報(bào)告工具使管理員能夠： 評(píng)估現(xiàn)有安全策略的有效性 在它們影響您的業(yè)務(wù)之前發(fā)現(xiàn)可能的安全問題 跟蹤潛在的危險(xiǎn)的用戶活動(dòng) 基于用戶、MIME類型、文件類型、訪問內(nèi)容的類別、URL以及更多類型的流量統(tǒng)計(jì)報(bào)告 通過發(fā)現(xiàn)濫用帶寬的情況達(dá)到管理網(wǎng)絡(luò)資源的目的 Blue Coat 訪問報(bào)告系

38、統(tǒng)特性 Blue Coat 訪問報(bào)告系統(tǒng)為整個(gè)企業(yè)的Web訪問生成靈活的安全和網(wǎng)絡(luò)報(bào)告。具有記錄集中能力和按地理位置分別報(bào)告的能力，Blue Coat訪問報(bào)告系統(tǒng)能夠?yàn)榇笃髽I(yè)內(nèi)產(chǎn)生的巨大信息量進(jìn)行統(tǒng)計(jì)。同時(shí)，由于具有通過易于使用的瀏覽器界面進(jìn)行基于角色的管理，整個(gè)企業(yè)的管理可以分布到多個(gè)管理員來完成。 靈活的安全和流量報(bào)告 Blue Coat訪問報(bào)告系統(tǒng)具有定制報(bào)告分析的能力，并自帶廣泛的預(yù)先定義的報(bào)告。 Blue Coat預(yù)先定義的報(bào)告包括: 用戶報(bào)告：跟蹤Web用戶的使用模式，不管其位置或應(yīng)用。顯式訪問總計(jì)、被阻擋訪問的站點(diǎn)、按站點(diǎn)類別歸類的站點(diǎn)訪問統(tǒng)計(jì)、及其它等。 網(wǎng)絡(luò)流量報(bào)告：衡量We

39、b流量性能、趨勢、錯(cuò)誤、帶寬影響、流媒體流量級(jí)別、及其它等。 安全報(bào)告：評(píng)估安全危險(xiǎn)并跟蹤用戶潛在的危險(xiǎn)活動(dòng)。快速地確定哪些用戶訪問過惡意的內(nèi)容，并對(duì)進(jìn)出防火墻的活動(dòng)進(jìn)行報(bào)告。 Top Ten總計(jì)：列出前10大訪問站點(diǎn)、用戶、類別、內(nèi)容類型及其它等。User/Session跟蹤：報(bào)告用戶和會(huì)話的活動(dòng)情況。Blue Coat訪問報(bào)告系統(tǒng)顯示會(huì)話總數(shù)、重復(fù)的訪問者、入口/出口頁面、訪問每頁所花費(fèi)的時(shí)間。它能統(tǒng)計(jì)出訪問者綜合的方方面面或者個(gè)體的點(diǎn)擊路徑。 按地理位置監(jiān)控 能夠根據(jù)位置來監(jiān)控企業(yè)的網(wǎng)絡(luò)訪問情況。管理員能夠查看某個(gè)特定組或特定區(qū)域用戶的訪問統(tǒng)計(jì)報(bào)告。 實(shí)時(shí)報(bào)告 Blue Coat專用設(shè)備

40、的訪問記錄流能實(shí)時(shí)進(jìn)行匯合，生成實(shí)時(shí)報(bào)告。 自動(dòng)化Email報(bào)告 Blue Coat訪問報(bào)告系統(tǒng)能將意外情況自動(dòng)以Email形式發(fā)給多個(gè)管理員，也能夠根據(jù)自帶的定時(shí)設(shè)置或通過外部命令行腳本自動(dòng)定時(shí)報(bào)告。 基于瀏覽器的訪問界面 Blue Coat訪問報(bào)告系統(tǒng)提供靈活的能通過瀏覽器查看的報(bào)告，只要有網(wǎng)絡(luò)連接，您可從任何地方查看這些訪問報(bào)告。 基于角色的管理 管理員可以允許多個(gè)用戶代表管理員查看特定的報(bào)告。 LDAP認(rèn)證 管理員能通過LDAP或本地username/password進(jìn)行安全的身份認(rèn)證。 支持HTTPS 除HTTP之外，報(bào)告還可以以HTTPS的方式查看，極大地提高了安全性。 跨平臺(tái) B

41、lue Coat訪問報(bào)告系統(tǒng)的處理和報(bào)告引擎可以跨平臺(tái)運(yùn)行，包括Windows NT, Windows 2000, Linux, Sun Solaris, and AIX。 與大多數(shù)訪問記錄格式兼容 Blue Coat訪問報(bào)告系統(tǒng)與廣泛的訪問記錄格式兼容，包括W3C、Squid、Common log、IIS和其它許多的格式。用戶也能夠定制訪問記錄的格式，并和Blue Coat訪問報(bào)告系統(tǒng)集成。 提供的日志管理結(jié)合Proxy SG的控制功能，能夠?qū)崿F(xiàn)：提供報(bào)表及審計(jì)功能，能對(duì)用戶在過去一段時(shí)間（至少半年一年）內(nèi)的行為進(jìn)行審計(jì)。要有完善的數(shù)據(jù)備份、恢復(fù)機(jī)制?？梢越y(tǒng)計(jì)用戶上過的網(wǎng)站的類別及各類別所點(diǎn)

42、的百分比?？梢赃M(jìn)行帶寬管理。 部署方式NTT的服務(wù)結(jié)構(gòu)，決定了被服務(wù)企業(yè)訪問代理都是采用“Explicit Proxy”方式，即被服務(wù)企業(yè)用戶的IE瀏覽器或其它Web應(yīng)用的客戶端必須將代理設(shè)置為代理服務(wù)器SG的公網(wǎng)IP地址及相應(yīng)的端口。這種方式部署起來非常簡單，管理也不復(fù)雜，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的變動(dòng)也是最小，幾乎無需對(duì)網(wǎng)絡(luò)進(jìn)行任何的改動(dòng)。目前，90%的企業(yè)都是采用這種方式，本方案推薦使用這種方式，Bluecoat SG產(chǎn)品可以直接部署在NTT 數(shù)據(jù)中心的區(qū)域（如：DMZ），客戶端直接通過代理配置指向Proxy SG。采用“Explicit Proxy”，簡單地說代理方式無論從管理、成本等各方面都很合適

43、。Bluecoat SG和日志服務(wù)器的通信通信流程Proxy SG設(shè)置日志選項(xiàng)Proxy SG內(nèi)部管理界面設(shè)置日志的格式啟動(dòng)日志記錄的選項(xiàng)，此時(shí)啟動(dòng)日志記錄的功能設(shè)定定時(shí)的日志上傳得計(jì)時(shí)引擎，確定通過FTP上傳的周期和時(shí)間點(diǎn)內(nèi)部引擎會(huì)根據(jù)上傳的定時(shí)觸發(fā)器，按時(shí)上傳日志文件到FTP服務(wù)器上，當(dāng)流量很大的情況下，建議Proxy Sg的另外的網(wǎng)絡(luò)接口和日志分析服務(wù)器直接相連，提高上傳速度，同時(shí)也不會(huì)占用正常的流量。日志服務(wù)器內(nèi)部在日志分析服務(wù)器上建立FTP服務(wù)器，同時(shí)為Proxy SG日志上傳建立FTP的帳號(hào)和密碼，以及目錄樹Bluecoat的ReporterV8內(nèi)置在此服務(wù)器，他提供了對(duì)日志的分析

44、等功能日志分析服務(wù)器要求Bluecoat的日志分析軟件Reporter V8 ,能夠?qū)luecoat的日志的原始文件進(jìn)行精細(xì)的分析，根據(jù)Benchmark的測試，處理的速度從Reporter V7的每秒鐘16,000行增長到62,000行，處理速度有了很大的提高，Bluecoat的Reporter V8當(dāng)處理大數(shù)據(jù)量時(shí)，和服務(wù)器的CPU數(shù)量和速度以及內(nèi)存的容量有很大關(guān)系，建議在做大數(shù)據(jù)量的處理的時(shí)候，需要一臺(tái)性能等參數(shù)較高的機(jī)器處理，建議如下：項(xiàng)目描述CPU采用雙CPU以上的志強(qiáng)CPU =2.8GHZ內(nèi)存內(nèi)存也是影響速度的主要因素，建議在=4G 硬盤最好采用高速的硬盤，如：15000(轉(zhuǎn)速)

45、RPM容量根據(jù)每天峰值500M日志計(jì)算，一年有180G的日志，建議硬盤在300-400G操作系統(tǒng)采用windwos2003 或XP系統(tǒng)主要功能產(chǎn)品整體功能描述WEB代理功能BlueCoat的專用的設(shè)備替代或升級(jí)現(xiàn)有的代理服務(wù)器，實(shí)現(xiàn)更高的性能和更好的擴(kuò)展能力可以代理的協(xié)議如下：HTTPHTTPSFTPSocksAOL IMYahoo IMMSN IMMMSRTSPQiuckTimeTcp-Tunnel在本項(xiàng)目當(dāng)中，主要考慮HTTP協(xié)議的控制和管理。內(nèi)容過濾功能BlueCoat的專用的設(shè)備集成了URL過濾功能，本方案選擇了ON-BOX的方式，即URL過濾數(shù)據(jù)庫和引擎是內(nèi)置在Proxy SG系統(tǒng)當(dāng)

46、中的，這樣URL過濾數(shù)據(jù)庫可以和自定義的URL類別和數(shù)據(jù)庫一起工作。主要支持URL列表，自定義列表，通過內(nèi)置Caching功能獲得優(yōu)異的性能，也可以自定義附加分類。采用On-BOX的優(yōu)勢如下：整體擁有成本較低On-Box模式降低了整體擁有成本，因?yàn)樗恍枰硗獾挠布磉\(yùn)行第三方組件；另外，Blue Coat ProxySG的一些基本功能，在Off-Box模式下需要另加License來實(shí)現(xiàn)；而且管理不同的Web組件的工作在On-Box模式下可以省掉。高性能由于基礎(chǔ)體系結(jié)構(gòu)的，采用On-Box模式將提供比Off-Box模式更好的性能。在Off-Box運(yùn)用模式中，每個(gè)URL請(qǐng)求在轉(zhuǎn)發(fā)/屏蔽前，需要從

47、ProxySG發(fā)給過濾服務(wù)器，這個(gè)額外的跳轉(zhuǎn)將產(chǎn)生延遲，而且可能影響系統(tǒng)性能。便于管理在On-Box運(yùn)用模式中，由于無需管理另外的第三方組件，它將簡化管理員的管理工作，而且，在On-Box模式下，ProxySG是集中的策略設(shè)備，所有的Web使用策略可以使用Blue Coat VPM工具實(shí)現(xiàn)，在Off-Box模式，Web使用策略在第三方策略服務(wù)器中，其它協(xié)議（FTP、流媒體、IM等）在ProxySG中，將策略分散在兩個(gè)系統(tǒng)中，增加了管理的難度。認(rèn)證功能利用現(xiàn)有的認(rèn)證系統(tǒng)如：LDAP或AD，就可以實(shí)現(xiàn)用戶及用戶組對(duì)上網(wǎng)的控制，當(dāng)然也可以和URL過濾分類數(shù)據(jù)庫結(jié)合，實(shí)現(xiàn)復(fù)雜的上網(wǎng)URL過濾的組合功能。策略引擎功能擁有技術(shù)專利的策略引擎，能夠?qū)崿F(xiàn)精密的安全檢查，可以基于用戶，用戶組，時(shí)間，位置，協(xié)議，用戶瀏覽器類型，內(nèi)容類型以及其他屬性來觸發(fā)策略定義的相關(guān)動(dòng)作。功能強(qiáng)大的管理界面：基于Web管理界面可