Bluecoat网络应用建议

《Bluecoat网络应用建议》由会员分享，可在线阅读，更多相关《Bluecoat网络应用建议（18页珍藏版）》请在装配图网上搜索。

1、BlueQCoatSystemsProxySG在企业网络应用解决方案采用Blue Coat ProxySG实现企业网代理访问控制、企业用户网络访问行为监控、内容过滤、Web病毒扫描P2P控制及即时通讯控制的集中管理方案BLUE COAT 公司简介二、 银行业互联网应用的问题2.12.22.3信息安全的需求5性能方面的需求7管理方面的需求7BLUE COAT 银行互联网通讯控制方案83.1方案总体结构图83.2BLUE COAT 安全应用及实现机制104.1优越的代理缓存能力124.2集成的内容过滤能力134.3 集成的Web病毒扫描功能134.4 优秀的应用扩展能力134.5 为所有控制功能提

2、供集中管理点144.6 极大地提高员工的工作效率164.7 提高内部网络安全164.8 提高银行互联网流量审计能力164.9 非常易于部署17、 Blue Coat 公司简介Blue Coat 专注于提供互联网安全代理专用设备来控制和监控用户的 Web 访 问。Blue Coat ProxySG专用设备在不影响网络性能的前提下，集成了先进的代 理功能和安全服务，如内容过滤、即时消息控制、Web病毒扫描和P2P文件共 享应用控制。 Blue Coat 目前在全球拥有超过 3000个用户，总发货数超过 17000 台，已被许多世界上最具影响力的组织和机构所信任，来确保 Web 环境的安全 高效。

3、Blue Coat 总部位于加州的 Sunnyvale。市场及需求现状随着企业越来越依赖于互联网与客户、合作伙伴和员工进行通讯， Blue Coat 具有巨大的成长机遇。 Web 浏览器已成为关键的业务通讯和信息交流的通用工 具，但它同时也增加了企业的安全风险。直到现在，大多数企业都将其安全防范 的精力主要放在预防外部恶意攻击网络基础设施上，但事实上，另外关键的安全 防范方面仍急待解决：来自内部的威胁和应用层的攻击威胁。当企业内所有用户都使用 Web 浏览器时，不管是有意还是无意，他们就能 够而且有办法去访问一些对企业网络基础设施有害的内容。不断出现的新的 Web 应用，诸如即时消息（IM）和

4、点对点的文件共享（P2P），都会增加企业的安全 风险。这些风险包括员工访问不恰当的 Web 内容而导致生产力降低、由于保密 信息或本应保护的信息通过 Web 泄漏而导致法律责任、由于知识产权的泄密而 导致竞争力下降、以及病毒不知不觉中被 Web 用户带进企业的内部而导致网络 可用性下降。显然，仅靠防范黑客从外部攻入已不够了， IT 管理人员必须监控 和控制内部网络用户的 Web 通讯行为，才能从本质上保证网络的安全，使“好 员工更好。”我们的机遇保护内部网络免受外部的网络攻击需要像防火墙和入侵检测系统之类的安 全设备，但监控、管理和控制用户的 Web 通讯则要靠安全的代理设备来完成。因此，越来

5、越多的企业，包括70的道琼斯上市工业公司都正依靠 Blue Coat 安 全的代理专用设备来提供安全高效的企业 Web 环境。著名的市场调查公司IDC,重点突出了企业对Blue Coat安全代理专用设备 不断增长的需求，报告认可了 BlueCoat是安全内容管理市场的领先者，市场占 有率排名第一达33%，是与其排名最近的竞争者的3倍多IDC估计该市场在 2007年将超过16亿美元，且Blue Coat市场定位良好，必将抓住这个巨大的市 场机遇。我们的产品Blue Coat ProxySG 安全代理专用设备产品系列具有完整的 Web 代理功能， 能够实现最强大的策略控制。这些ICSA Labs认

6、证的解决方案是基于Blue Coat 开发的专用操作系统SGOS，包括拥有专利的策略处理引擎一一一个实现极其灵 活的内容策略、应用策略、用户策略来控制Web通讯的框架结构。Blue Coat端 到端的产品系列包括全面的统计报告软件、策略和配置管理解决方案、以及与第 三方内容过滤和病毒扫描厂商集成，提供更多的安全方案。我们的用户Blue Coat 用户群覆盖各行各业，包括：金融服务、高技术、零售、制造、 消费产品、政府、军用和教育等行业。用户包括市场领导者，例如：ABN-Amro、 Aon Insurance、 ATT、 GE、 Proctor & Gamble、 Johnson Control

7、s、 Hewlett Packard、 Sony、 Toyota、 Wal-Mart、 Wachovia、 Washington Mutual、 Xerox、 US Navy 等 等全球著名的用户。我们的技术和解决方案伙伴Blue Coat 和广泛技术领先的公司以及系统集成商结成合作伙伴关系，为我 们的客户提供完整的解决方案。这种合作伙伴关系使用户能够选择最适合他们网 络基础设施的产品，然而不管选择哪个伙伴的产品都能保证和Blue Coat产品无 缝集成。当前的合作伙伴包括内容过滤领域的 Secure Computing、 SurfControl 和 Websense，以及 Web 病毒扫描领

8、域的 Finjan Software、Symantec 和 Trend Micro。另外，Blue Coat的合作伙伴还包括在分布在全球的100多家分销商和系统集成商。Blue Coat帮助您控制Web通讯Blue Coat Systems 是所有具有高安全防范意识、需要控制员工 Web 访问的企业的正确选择。二、 互联网应用的隐患和问题2.1 信息安全的需求信息安全管理和控制是企业非常重要的工作，很多不惜代价地在网络安全方 面投入资金，购买防火墙、电子邮件防毒系统或桌面防毒系统，来阻止病毒泛滥 和黑客攻击。然而，许多 IT 管理者发现，本来用于方便员工获取信息并提高工 作效率的互联网却成为员

9、工工作效率下降，并导致病毒泛滥和成为恶意代码攻击 内网的后门，同时，这些 Web 相关无用或有害的流量已经超过了正常的电子邮 件和业务的流量，成为银行互联网出口主要的流量。这些隐患和问题包括：1. Web邮件系统为病毒的传播提供后门。Web邮件用户可以随意地收发附件，使病毒可以绕过 SMTP 邮件扫描系统的检查而传播到用户的内 部网上，而一旦内网的一台机器被感染，将对内网的信息安全造成不 可估量的损失。2. 还有目前IT安全管理者最为关注的间谍程序问题。在今天，间谍软 件已经成为严重影响信息安全与IT支持方面的问题。据全球著名的 调查研究机构Forrester经调查后发现，未来12个月，被间谍

10、软件感染的用户机器将上升至 25%，而且越来越具有攻击性。一旦用户内部 网络的电脑被植间谍软件，这台机器很有可能成为黑客攻击存有重要 数据的内部服务器的跳板。3. 通过聊天系统，如MSN、Yahoo!或AOL的Messenger软件，在聊 天过程中，进行文件交换，这与上述第 1、 2 点的描述，其道理完全 一样。聊天文字中也有可能泄露银行的机密信息。4. P2P下载不但严重浪费宝贵的出口带宽，同样也可以将病毒带入内网。5. 员工在上班时间内浏览工作无关甚至有害内容，分散了工作注意力， 使工作效率降低。因此，为使互联网使用得更好、更高效，许多IT管理人员都希望：1. 详细了解员工的上网行为，对上

11、网访问，包括网页浏览和聊天内容进 行记录，并对这些记录进行统计和分析。2. 对不良站点进行按用户或用户组严格控制。3. 对工作无关站点进行适度控制，如按时间、时长、用户等保证员工的 工作效率。4. 对通过Web传输的、可能含有病毒的内容强制进行病毒扫描。5. 对Web防毒扫描进行日志并产生相应的安全报告，及早地发现隐藏 问题，并及时排除。6. 策略控制应尽量细化，如可根据用户名、用户组、时间、时长、站点类型、内容类型、 MIME 类型（防止文件名后缀欺骗攻击）、协议、协议方法、浏览器类型及版本、请求或应答的各个字段特征、聊天内容关键字等信息进行详细的控制。7. 访问日志应基于策略，即可对满足某

12、种特征的流量进行日志记录。2.2 性能方面的需求从网络技术上讲，Web流量的控制对系统消耗最大，例如，防火墙只要检 查单个的数据表并根据相关规则进行过滤，好一点的防火墙具有状态检测功能， 但都是工作在数据包层面上。而Web流量的安全管理则需将承载一个内容的成 百上千甚至上万的数据包组装起来，分析其中传输的内容，并根据丰富的策略进 行不同程度的控制。因此，对性能的要求相当高。而当进行实时的Web防毒时, 对性能的要求就更高了。这也是防火墙无法完美实现应用级控制的原因。因此，要求实现各种Web应用的控制，如内容过滤、Web防毒、聊天控制、P2P 下载控制时，应保持良好的响应性。2.3 管理方面的需

13、求对上述安全应用方面的管理需求包括：1. 简单的设备管理2. 灵活的策略管理：策略的制定、排错应容易，且应能实现层次化的控制以便于3. 方便的集中管理：当需要在多个分支机构实现分布式控制时，应能进行全网设备和策略、配置的集中管理。4. 安全应用应能在同一台设备中完成，如果采用独立的系统孤立地完成内容过滤、病毒扫描、网络聊天控制、P2P控制、Web缓存等功能，将对 管理带来了极大的麻烦。从管理角度来看，IT管理者希望能有一个统一 的、有机的、完整的系统，集中提供上述各种功能，从一个单一的管理 界面提供简单高效的管理。即使有些安全应用暂时还不需要，但在需要 时应能方便地扩展这些应用。目前，许多用户

14、都采用 Blue Coat ProxySG/ProxyAV 解决方案实施一个或多 个安全应用。如国家开发银行：ProxySG安全代理，并实施了病毒扫描中国民生银行： ProxySG 安全代理中国建设银行总行：一台用于 ProxySG 安全代理、并结合 WebSense 实现内 容过滤、另一台用于安全代理和网上银行保护。三、 Blue Coat 互联网通讯控制方案3.1 方案总体结构图Blue Coat 互联网通讯控制解决方案总体结构如下图所示：Blue Coat互联网访问控制解决方案SECUREBlue E Din*申* 理&ijw 8 时 Rtpprtigir :& 计扭岂PUTINaSur

15、fCantrcI*& McAfee” EL i T V svmantec.Pro*yAV rWfrbPfOXySG&GOp韋沆媒体控制即时通fll控制InternetProxy SG4D0ProxySaOPrOXySG400BlueCoat70*11 m在方案中，我们建议采用Blue Coat ProxySG安全代理专用设备部署于用户 网络各互联网接入点，实施互联网访问的各项控制。根据用户办公网络的实际情 况，建议在总部网络出口部署Blue Coat ProxySG 8000系列；在当前或后期建设 中，根据每个区域性或远程网络的实际情况，分别部署Blue Coat ProxySG 800 系列

16、和400系列产品。Blue Coat产品线还包括用于全网所有ProxySG专用设备集中管理的BlueCoat Director，实现全网的：集中设备管理；集中策略管理；集中配置管理； 内容定时预置;在总部管理中心配置一台高能PC,运行Blue Coat Reporter访问日志统计报 告软件，可了解员工访问网络的Top N用户、Top N内容、流量峰值时段、消耗 带宽最多的内容类型、统计用户一段时间内访问哪些内容、统计某种内容一段时 间内哪些用户访问过等非常详细的互联网的使用报告。部署了上述方案后，将能对网络所有用户访问互联网进行全面的、深层次监 控、策略控制和管理，使互联网真正成为提升员工工

17、效率的工具，从而实现最大 的用户利益。3.2 Blue Coat 安全应用及实现机制Blue Coat Proxy SG 实现员工访问 Web 的各种控制：应用类型实现机制典型用户软件代理服务器替换Proxy SG超级硬件代理 在安全性、性能、管理、 功能全面性、扩展性、 策略细致程度等方面都 比软件代理强，替换软 件代理是Proxy SG相当 大的应用国家开发银行总行 民生银行总行中国建设银行总行中铁工程总公司大众投资中国有限公司 普华永道中国有限公司等Web缓存加速通过硬件化的代理专用 设备，取代现有的基于 通用系统的纯软件缓存 系统；中国联通中国网通中信实业银行总行其它电信及企业单位内容

18、过滤集成业界广泛使用的Websense、SmartFilter 或SurfControl的商业性国家开发银行总行（Blue Coat 策略控制+自定义列表）质的内容过滤数据库， 实现Web访问过滤；也 可米用Blue Coat提供的 免费URL列表库（约 45MB），可涵盖互联网 90%以上的站点，但 Blue Coat不保证该库的 更新工作。中国建行总行（WebSense）美国空军（SmartFilter）美国陆军（WebSense）美国海军（SmartFilter）Web病毒扫扌田通过采用Blue CoatProxyAV，运行 SOPHOS、McAfee、 Panda、Trend Micr

19、o 的扫 描引擎，由于独特的设 计，可达到10倍以上的 性能。也可通过ICAP协议，与 Symantec、Trend Micro 或Finjan的病毒扫描引 擎服务器互联，实现 Web病毒网关扫描；国家开发银行总行美国盐湖电力公司（全美第三 大电力公司）聊天控制ProxySG可对用户MSN、Yahoo、及 AOL 的聊天软件进行实时通 讯控制，包括：聊天关 键字检测、聊天内容日 志、聊天功能控制（收 发文件、语音视频控 制）、内部员工之间通 讯不出外网，而在内部 进行，保证通讯安全CompuUSA （全美最大的IT产品连锁销售商，拥有225家大型连锁店）P2P下载控制由于P2P文件共享应用 在

20、企业内没有合理的理 由存在，通过ProxySG 可屏蔽P2P应用，极大 地节省企业网络的出口 带宽；方法是防火墙上 关闭P2P使用的Native 端口，P2P客户端将自 动转到80端口，通过 HTTP绕过防火墙，Blue Coat将其流量截获并屏 蔽。CompuUSA内部员工培训CDN (IntranetCDN)ProxySG可预置各种 Web内容，通过ProxySG 自带的DNS代理功能， 及 Blue Coat Director 即 可实现企业CDN,用于 内部员工的培训等等。ChinaCache （中国最大的商用公网CDN）软件代理服务器替换ProxySG超级硬件代理 在安全性、性能、管

21、理、 功能全面性、扩展性、 策略细致程度等方面都 比软件代理强，替换软 件代理是ProxySG相当 大的应用国家开发银彳丁总行民生银行总行中国建设银行总行中铁工程总公司大众投资中国有限公司普华永道中国有限公司等Blue Coat 方案特点4.1 优越的代理缓存能力Blue Coat ProxySG 是 Blue Coat 开发的世界上第一台控制互联网通讯的专用 设备，包含了多项 Blue Coat 独有的专利技术，实现其它基于通用系统的软件无 法比拟的高性能，替代现有软件代理的超级代理硬件化代理专用设备。这些专利 技术包括：基于对象的存储技术提高内容的存储和检索速度，达到比文件 系统方式高 3

22、 倍的访问性能。 Full Pipelining技术使用户第一次访问的内容也就是说内容不命 中的情况下也能提高响应速度。适应性主动更新算法保持缓存内容的新鲜。 Content Policy Language构建强大的策略控制体系。Blue Coat成熟的代理缓存技术将使员工访问互联网的速度大大提高。同时, 可使出口带宽的利用率提高。另外，通过对P2P应用的控制，将最大程度地 使出口带宽得到最大限度的合理使用。4.2 集成的内容过滤能力Blue Coat内容过滤方案将业界领先的内容过滤数据库安装在ProxySG本地, 通过Blue Coat强大的策略引擎实现深层次的过滤控制，与通过防火墙使用IC

23、AP 协议与其它的内容过滤服务器通讯进行过滤的解决方案相比，极大地提高了过滤 的性能和控制的细致度。Blue Coat也提供免费的URL列表库（约45MB），可 涵盖 90Web 站点。Blue Coat集成URL列表的过滤方案（on-box方式）比通过ICAP协议和过 滤服务器通讯的方式（off-box方式）提高性能5倍。4.3集成的Web病毒扫描功能Blue Coat ProxySG作为全网出口的代理控制点，在对互联网访问进行访问 控制的同时，支持Web病毒的网关扫描。同是结合了 Blue Coat ProxySG强大的 策略处理引擎和多项专利技术，使Web病毒扫描的性能提高10倍以上。4

24、.4 优秀的应用扩展能力虽然目前用户可能尚未要求对所有新Web应用进行控制，但随着使用这些 新应用的用户不断增加，将给企业的带来新的安全威胁， Blue Coat 解决方案使 用户能够很容易地扩展以支持这些新应用的安全控制。例如，Blue Coat解决方案现在就已经支持即时通讯控制、P2P应用控制及弹出广告的网关屏蔽功能。当IT 管理人员发现内部网络需要对这些存在安全隐患的应用进行控制时，只需激 活 Blue Coat ProxySG 上的这些应用控制功能即可，而无需再部署其它的应用系 统，既可以迅速地进行控制，又可避免部署新系统的麻烦，同时简化的控制的管 理工作。4.5 为所有控制功能提供集

25、中管理点Blue Coat 完整的解决方案，为用户带来的最大好处在于它提供了一个集成多种应用于一体的方案，Blue Coat控制互联网访问的各项功能可在一个统一的管理界面内实现，无需单独管理各个分散的独立的子系统。而如果其中所涉及到的各种应用，都采用独立的系统来实现，将使管理变得十分困难。具体来说，通过一台 Blue Coat ProxySG 安全代理专用设备，可同时提供内 容过滤、Web缓存加速、Web病毒网关扫描、实时聊天控制、P2P文件共享控 制、内部员工培训CDN(Intranet CDN)等多种应用，这些应用如果采用分散的、 独立的子系统来完成，如采用某厂商A的产品实现内容过滤，采用

26、某厂商B的 产品进行Web缓存、采用厂商C的产品进行Web病毒扫描，采用厂商D的产 品进行聊天控制，以及采用厂商E的产品进行P2P应用的控制，这样，对用户 来说，其管理的复杂性可想而知，而且，如果采用多个独立的产品实现这些功能 那么，每种应用的流量都有可能必需通过那些不相关的控制系统，造成用户访问 速度的延迟。而通过Blue Coat ProxySG，则可在一台设备中完成上述功能，用户可自由地选择启用哪些应用的控制，且提供单一的管理界面，免去了通过不同的系统管理界面管理不同的独立子系统的烦恼。F面为采用Blue Coat解决方案前后，网络结构及功能特点的对比:互联网内部网病毒扫描 服务器代理

27、服务器I所有流护二 目录服务器%过滤服 务器互联网内部网内容过滤 代理缓存带宽管理 Web病毒扫描即时通讯控制P2P控制目录服务器、聒病毒扫描 服务器非WebWeb防火墙仅能保护网络免受外部攻击URL过滤由过载的防火墙或 通用操作系统 之上，导致网络性能降低及用户访问响应速 度变慢对“存储再转发”的内容进行内容扫描，例 如emai 1,但其不是针对Web流量病毒扫描的 实时性要求而设计的。不能处理恶意代码导致的安全问题带宽管理需要部署并管理多台设备传统的基于软件的代理服务器提供有限的 伸展能力且管理成本高防火墙保护网络免受外部攻击，而代理控制 用户的Web通讯内置集成的URL过滤提供全面的We

28、b通讯控 制且改善用户的响应时间优化的、高性能的、基于策略的病毒扫描实 时扫描基于Web的安全威胁具有对上传和下载的Web内容实现安全策略 的灵活性集成的缓存、内容预置、带宽节省和带宽管 理在控制Web应用时提供优越的性能专为Web代理而优化的专用设备带来更高的 性能和更低的管理成本4.6 极大地提高员工的工作效率Blue Coat完整的解决方案将使员工工作效率极大地提升，使员工对网络资源的使用得到有效的控制，互联网资源得以用在与工作相关的任务上同时避免由于不恰当的互联网冲浪带来的对工作的负面影响。4.7 提高内部网络安全Blue Coat ProxySG作为全网出口的安全代理控制点和访问控制

29、点，其 自身的安全性也非常高，ProxySG是唯一获得ICSA证书的代理专用设备产 品，也是唯一出现在 NIAP 证书列表中的该类产品。通过对员工访问互联网流量的在线实时病毒扫描，将 Web 病毒阻挡在 网络的入口处，这样就可以避免网络病毒进入内部网络。由于许多用户认为 的网络安全的考虑仅局限在部署防火墙上，许多攻击行为都在防火墙这一层 次被挡住了，于是攻击者把目光转向到通过Web进行攻击，如通过网页上 的脚本程序在内网PC上执行非法操作。出现这种变化的原因是因为90%的 防火墙上针对Web的80端口都是打开的。据统计，目前，网络上80%的 攻击发生在通过Web进入内部网络进行。通过部署Blu

30、e Coat的Web流量 在线病毒扫描方案，可以防止攻击进入到内部网络，严重的情况下这些病毒 能引起内部网络或出口的瘫痪，甚至引起重要业务数据的破坏。4.8 提高用户互联网流量审计能力Blue Coat实时聊天控制可以对特定情况下的聊天内容进行完整的记录，并对违反公司聊天制度（例如聊天中涉及到关于机密的关键词）的用户进行实时的警告。同时，可限制聊天程序传输文件，提示用户通过公司制定 的邮件策略通过公司指定的邮件服务器发送文件，以便审计。同时 Blue Coat 的解决方案可限制员工使用Web Mai 1,进一步加强信息审计的能力。4.9 非常易于部署部署能力是Blue Coat Secure

31、Proxy专用设备的一个关键特点，Blue CoatProxySG 支持传统的代理方式,也支持与业界主流的四层交换机配合,或与支持WCCP协议的路由器或交换机配合实现透明代理应用。此外，Blue Coat ProxySG 还是业界唯一具有Bridging功能的产品和唯一具有Pass-thru支持的产品，这就 使 Blue Coat ProxySG 应用到现有网络中的方式非常灵活，它可以透明的串接 的网络中的流量通路上，自动实现透明流量截获，而无需其它任何设备或协议的 配合。如果采用 Blue Coat 提供的 Pass-Thru 卡实现透明流量截获，刚设备掉电或 故障时，Pass-Thru卡的两个网络接口将自动连通，避免单点故障。Blue CoatProxySG 是目前唯一具有这种高级转发功能的产品。