互联网管理产品分析和比较.doc

互联网网关管理产品分析和比较 在企业网络的外围，防火墙和入侵检测系统极好地保护内部网络免收外部攻击，但它们并不能帮助企业控制内网用户对互联网的访问 ── 通过认证、授权、日志记录、统计报告和策略实施──建立一个高效率的、安全的Web环境。进行控制的正确选择是采用专用设备实现Web访问代理。 现在市场上有很多种互联网网关管理类产品，以下对主要三个产品和解决房案进行分析，它们分别为： Blue Coat公司产品SG网关代理解决方案 深信服Sinfo AC上网行为管理解决方案 网康互联网控制网关 选择互联网网关管理产品，主要考虑以下两个方面的管理要求： 互联网行为管理：主要针对员工互联网访问的内容和应用进行控制和管理，包括应用（HTTP、Streaming、P2P等）检测、访问策略控制、URL过滤、带宽管理等方面的功能。 互联网安全控制：互联网访问造成愈来愈多的网络安全问题，病毒、流氓软件等均能够通过互联网侵入到企业网络中，互联网网关管理解决方案必须对这种侵入进行严格的控制和管理，包括Spyware（流氓软件）的防御、Web病毒扫描、有害网站的过滤（URL过滤）等。 以下针对这两方面的解决方案对三家的技术和解决方案进行比较。 一、公司背景分析 Blue Coat公司专业致力于安全代理专用设备的开发和研究，是内容安全专用设备市场最大占有者（超过60%）（根据IDC统计报告），并投入大量人力和物力不断开发出代理安全控制方面的新功能和特性。Blue Coat公司是NASDAQ上市公司（BCSI），业绩优良。 深信服科技是国内一家主要提供防火墙和VPN解决方案的公司，在其防火墙技术基础上，通过AC系列产品实现互联网行为管理功能。 网康科技是国内一家提供互联网控制网关设备的公司，其主要致力于URL分类和互联网应用协议分析的公司，通过其互联网控制网关设备为企业提供互联网访问的行为管理功能。 二、产品特性比较 2.1 产品类型 Blue Coat公司SG是专用的Web代理设备，基于专用的硬件平台和操作系统，采用代理方式实现用户行为控制和安全控制功能，代理工作方式将在应用级截断所有用户与外网的联系，并进行严格的应用协议检查；Web代理方式是企业互联网访问控制的标准模式， 深信服AC上网行为管理系统是基于防火墙的深度包检测技术来实现的，而防火墙技术本身更注重于对外部攻击的防御，包检测并不真正检查用户通讯的应用层协议，而且，通过包检测来检查应用层信息将使系统损失大部分性能，通过超过80%。 网康互联网控制网关是典型的URL过滤解决方案，并利用防火墙的包检测功能实现应用通讯的识别，URL过滤能够帮助企业实现互联网访问和安全管理，但还是不够的，例如：典型的Spyware（流氓软件）和网络钓鱼网站平均存在只有5天，它们很可能还没有加入到URL列表，就消失了。 2.2 互联网行为管理 通过网络行为管理可以对企业中什么人、什么时候、上什么网站、做什么样的应用访问进行控制和管理，其中，主要包括三个方面：用户认证，用户授权和稽核。 用户认证 Bluecoat SG支持多种用户认证服务器，包括：Windows AD、LDAP、Radius、证书认证等各种方式；而且支持多种用户认证模式，包括：基于IP的认证、基于Session的认证等，其中基于Session的认证是企业互联网访问控制中，最安全的用户认证模式。 而深信服和网康虽能能够支持LDAP、Radius等常用的用户认证模式，但由于其实现技术方面的限制，只能支持基于IP的认证方式，问题在于当员工正在上网浏览，其浏览器通过用户认证后，其IP地址就都通过认证，在其电脑中的所有应用的互联网访问就均通过了认证，这会产生极大的安全问题。 应用检测 应用检测时用户应用授权的基础，Bluecoat SG专用操作系统的应用检测是真正应用级的，例如：P2P的访问无论是通过本身协议，还是通过HTTP和HTTPS包装均会被检测出来，以便进行控制和管理。 深信服和网康基于深度包检测技术的应用检测，主要是检测应用的本身协议，如果这些应用通过包装将无法进行检测，而今天几乎所有的应用都可以包装在HTTP协议中，包括：P2P、流媒体等。 内容检测 内容检测同样是访问授权的基础，Bluecoat SG专用操作系统的强大的策略，能够检查最多的应用级协议条件，互联网上的内容无论是通过隐藏后缀、隐藏文件类型等，SG均能够将其检测出来。 深信服和网康解决方案均只能通过URL中的后缀信息来确认内容类型，有很大的局限性，尤其是在破解黑客和流氓软件的假冒手段时，无从解决。 稽核 Bluecoat SG记录用户互联网访问的详细日志，并通过Reporter软件进行分析，可以获得150多个预先定义的访问行为、流量状况、安全统计等方面的报告。 深信服和网康解决方案