安全網關在網絡安全中的管理策略和實施分析

陳啟濃

（佛山市華材職業技術學校 廣東 佛山 528000）

1 引言

隨著現代互聯網技術的推廣和應用，人們已經離不開互聯網、信息技術。尤其是在大數據時代、資源共享時代，如何有效加強網絡事業安全管理和建設，是當前一項重要的任務，也是一項重大戰略問題，我們必須養成網絡強國思想，安全、文明地使用網絡，沒有網絡安全就沒有國家的安全。

隨著計算機技術和通信技術發展，互聯網已成為了學習、生活、工作、生產、娛樂等方面必不可少的組成部分。網絡的普及已經使人們的生活方式、工作方式等發生了重大的變化，互聯網已經深入到生產生活的實踐中，但是，在便捷使用互聯網的同時，大數據安全問題也已經引起了人們的重視，如果企業網絡管理不當或者上網行為缺乏監管，網絡也會給企業帶來諸多問題，小到如帶寬濫用，上網速度慢、工作效率下降，大則機密信息被泄露，信息安全遭威脅，給生產、生活帶來嚴重損失或者困擾[1]。提高網絡的安全，規范用戶上網行為，加強網絡監管，防止輿論與法律風險，追蹤網絡安全事故的行為和責任人是企業保證自身安全的重要措施[2]。

2 單位網絡安全管理中面臨的問題

網絡黑客、網絡病毒等都是重大的安全隱患問題，單位網絡管理人員對于這些問題，一定要引起重視，必須采取先進的網絡結構技術加強預防，杜絕隱患。傳統的方式主要是采取更加先進的技術，例如，防火墻、殺毒軟件等，用來抵御和防止病毒入侵，以保證網絡安全[3]。

但是，有些企業內部網絡中儲存了非常重要的大客戶信息，一旦發生信息泄露問題，將帶來嚴重的經濟損失，為了進一步加強網絡安全管理，對于重大數據信息，一般網絡管理人員會組建內網局域保護，切斷與外來網絡的一切交互。但是，這種方法也會阻斷內部員工獲取信息的便捷性，可能會影響單位的信息溝通，對其長遠穩定的發展也會造成不利影響。

3 使用安全網關來規范和管理上網行為

對于單位內部人員的無序上網行為帶來的網絡安全隱患，防火墻和殺毒軟件是無計可施的，由此，安全網關（上網行為管理）產品應運而生，上網行為管理行業蓬勃發展起來。網關（Gateway）就是一個網絡連接到另一個網絡的“關口”，在Internet網中，網關是一種連接內部網與Internet上其它網的中間設備，安全網關又稱上網行為管理器，是互聯網用戶控制和管理對互聯網使用的一種硬件網絡設備，它有對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等功能，可以通過它來規范用戶的上網行為，加強網絡安全，安全網關支持路由、網橋以及旁路三種部署模式，各企業根據網絡安全需求，可以選擇不同的安全網關的模式進行部署及設置[4]。

4 安全網關在企業網絡的管理策略

網絡安全管理問題一直是人們關注的重點，但是傳統的防火墻、防毒軟件并不能滿足安全管理的需求，為了進一步有效防御病毒，還需要加強技術研究。當前，內網行為管理方面還存在很明顯的缺失，很多用戶在使用過程中還是會遇到信息丟失等問題。所以，加強企業網絡安全管理勢在必行。

4.1 規范員工上網行為

上班時間內員工內網從事逛淘寶、刷網頁等現象，管理人員很難每一個人都監測到位，例如，員工利用QQ、微信、阿里旺旺等從事私人聊天活動，工作效率降低，還會影響企業整體的工作氛圍，導致消極怠工等，通過網絡安全網卡AC管理，對工作時間內的私人行為進行局限，員工無法訪問其他工作無關的網頁或者軟件，讓他們專注于上班，提升工作的效率。

員工利用公司的互聯網，訪問邪教、反動等不良網站，甚至發表敏感話題和過激言論，以及收集色情圖片、登錄色情網站等行為，導致違法行為，觸犯了企業的規定，將直接承擔法律責任。安全網關AC對員工的不當上網行為進行監管，記錄員工的工作日志，保證隨時發現員工的違法行為，積極對其進行規避和管理，降低違法風險。

4.2 流量控制及帶寬管理

P2P已經成為公眾所熟知的一種流量控制行為，使得工作相關流量受限，嚴重影響工作的順利進行[5]。安全網關AC不僅能徹底封堵P2P壟斷流量行為，還能反向使用被控制的流量，徹底解封。在寬帶管理方面，從用戶身份到用戶使用時間、應用類型等多個方面多管齊下，根據QoS策略及機制，在保證企業工作寬帶傳輸速度需求的同時，保證使用的安全性和時效性。

4.3 提高內網安全級別

色情、反動網站的瀏覽器和未知文件的下載裝置，會導致木馬、病毒等趁機而入，嚴重威脅到內網的信息安全，甚至造成嚴重的網絡安全事故。安全網關AC可以直接對木馬、病毒、黑客進行過濾，提供網關殺毒功能，任何進入內網的文件都需要進行殺毒，從源頭上徹底消滅病毒的入侵。

4.4 優化共享上網環境

網絡黑客、病毒入侵等已經成為普遍的網絡犯罪行為，當用戶以假冒身份訪問內網時，此時很容易導致內網入侵，非法軟件立即會插入到內部網絡中。安全網卡AC具有濾過功能，辨識假冒身份，防治不明身份的終端訪問，從而切斷病毒源；還會自動檢測網絡中的異常流量，對其進行掃描和查殺，發現異常自動封鎖，立即發起系統警告，提升局域網絡的安全防護功能。

5 安全網關實施方案設計

5.1 網絡環境與需求分析

（1）某客戶原有網絡結構如圖1所示，客戶網絡出口20 M，內網LAN有600人左右上網。由于帶寬本身不足，加上上班時間經常有人看電影、下載等導致公司網絡無法正常辦公，網頁打開緩慢。客戶希望通過安全網關AC設備來解決客戶的以上問題。

（2）客戶需求：①所有公司電腦用戶上網均需要綁定IP/MAC，以解決濫用IP問題；②管理用戶組192.168.10.0/24上網不受控制，也不需做審計，上班時間要保證領導組的帶寬；③普通用戶組192.168.20.0/24上班時間不允許使用優酷、視頻直播等全部在線流媒體，迅雷和P2P等下載限制在50 Kbps，下班時間不做控制。全天都需要對發郵件、BBS論壇發帖、訪問網站等所有上網行為進行審計，并且這些數據希望在外置的服務器上查詢，以降低AC設備的性能損耗；④通過AC提高網頁訪問速度。

5.2 安全網關接入部署

通過在核心交換機和防火墻之間部署一臺安全網關AC設備來實現公司上網速度。同時通過AC設備設置上網權限、流控等策略實現客戶的需求。部署AC設備時必須是LAN區網口接核心交換機，WAN區網口接防火墻。本案例中配置的LAN區網口是eth0，WAN區網口是eth2，部署后拓撲如圖2所示。

圖1 原網絡環境拓撲結構

圖2 部署后拓撲結構

5.3 安全網關配置思路和策略

（1）配置基礎網絡，根據企業網絡安全需求使用配置網橋模式、配置系統路由等信息。

（2）配置用戶組，為了使不同層次的用戶和部門授予有差異的Internet訪問、控制和審計權限，需要規劃和創建用戶分組結構，按客戶的需求新建管理層用戶組與普通用戶組兩個組，并創建用戶，將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。

（3）配置認證策略，新建兩條認證策略，管理層用戶組綁定IP/MAC，自動添加到管理層用戶組，普通用戶組綁定IP/MAC，自動添加到普通用戶組。

（4）配置上網策略，上網策略是網絡管理員根據內網用戶的權限分配情況，設置不同的上網策略。通過設置，可以對內網用戶連接公網的應用進行控制，允許或拒絕某些上網應用。新建普通用戶組策略，上班時間不允許看流媒體，審計所有行為。

（5）配置流控策略，為了合理分配帶寬資源，防止流量干涸和網絡堵塞，它可以限制P2P等下載軟件的使用，力保網速平穩，保證公司正常業務順暢運作，避免工作效率受網絡堵塞影響。新建流控策略，限制普通用戶組上班時間單用戶帶寬不超過50 Kbps，保證管理層組上班時間帶寬最低占總帶寬的25%。

（6）配置上網加速，加速選項啟用上網加速系統。現代辦公網絡中，一個企業所擁有的互聯網線路網線通常是有限的，上網加速功能的目的是在內網完成第一次到某網站的請求之后，對初期的數據做一個緩存，當內網其他人訪問相同的外網資源時，直接從緩存中發送數據給請求用戶，無需再次從互聯網上請求該資源。上網加速的過程對內網用戶是透明的，也就是內網用戶不用做任何設置，只需通過設備的配置就可以實現上網加速。

6 安全網關在網絡管理中的實施效果

企業上網行為系統部署后，不同的部門設置不同的互聯網訪問策略，對可訪問的互聯網內容做了嚴格的限制，不同崗位的員工擁有相應的互聯網訪問權限，對每一項互聯網業務按需分配了網絡帶寬，保證了主要業務的暢通無阻，對所有部門的上網行為進行了實時監控管理，保留詳細用戶訪問記錄備查。通過一段時間的使用發現，公司內網越來越穩定，網絡速度明顯改善。阻止了不良網站的訪問，減少惡意軟件的侵擾，終端故障率降低。由于控制了網絡游戲的使用，員工工作效率有較大提高。同時，系統加強了對E—mail、BBS等外發信息的監管，減少了企業機密信息外泄的可能。通過對上網行為的分析，可以掌控各部門的上網情況，提高網絡可管理性，便于網絡與行政管理。

7 結語

在現代這個越來越依賴互聯網的時代，對于單位而言，內部網絡的安全運行，是保證企業正常運行的基礎，只有確保一個安全、穩定的信息化環境，才能確保單位正常有序的生產與健康有序的發展。安全網關可以在企業內部網絡和因特網之間起到防護功能，通過接入和正確的設置安全網關設備，可以效地為單位提供一個安全的網絡環境。系統建成后，為企業提供完整的解決方案以實現統一的用戶管理。提高員工的工作效率和企業的整體創新和管理能力。