互联网出口安全控制改造方案建议书 2.4测试与回退

使用需要进行身份认证客户机通过代理上网，在跳出的认证窗口处输入帐密，成功认证后可正常上网，测试通过。

如果认证错误，且无法上网，为不影响业务，则进行回退操作，回退步骤为删除VPM中新建的web authentication layer或者删除该layer的具体认证rule。

2.5方案特点

该改造方案从原本简单的IP管理方式转移到IP与用户身份认证的混合管理模式,大大加强了上网的安全性,追诉性.

同时ProxySG运行的SGOS操作系统还具有更多的关键能力：包括：

? 简便的管理： Blue Coat Systems产品设计为在数分钟内就可安装，几乎没有日常管理的工作，它们是自适应、能自愈的专用设备。其它厂商的解决方案往往要求定期的维护和停机，Blue Coat Systems提供的是使用简便的真正的专用设备。

? 维护简单： 在现存网络体系中使用专用设备的首要目的，就是减轻维护服务器和防火墙带来的“头疼”问题。Blue Coat Systems专用设备可以通过命令行或浏览器界面进行远程管理。

? Web内容的安全控制： SGOS是从最底层开发出的安全产品，具有高性能的操作信托，始终考虑的一个功能就是让Web内容快速、安全地通过整个网络。 Blue Coat Systems ProxySG专用设备提供最好的用户响应时间，从而保证员工的积极性及生产力；SGOS的专利特性使Blue Coat ProxySG专用设备成为运用Web服务器体系结构的企业网络的必备产品

Blue Coat Systems, Inc

Page 25 互联网出口安全控制改造方案建议书 三、主要技术及产品描述

以下部分简单叙述Blue Coat ProxySG，及其Blue Coat产品，它们通过优化为大型企业系统提供Web 内容缓存和互联网访问控制、管理。

3.1 Blue Coat互联网代理技术――用户认证、授权和统计

有效的企业安全基础设施始于3A――即认证、授权和统计。这些服务是用户和内容的保护、控制的起点。每个网络都已经实施了认证系统，当用户开机后，它们即被要求输入有效的用户名和密码以访问网络资源。 Blue Coat的 ProxySG设备可以与LDAP、Radius和NTLM等认证系统协调工作，在这些系统中保存有效用户信息，当用户访问Web资源时Blue Coat ProxySG设备将提示用户输入认证信息，并透明与认证服务系统校验；Blue Coat ProxySG设备可以同时支持多个并存的认证系统。如下图示：

识别一个用户有许多途径，包括：

?

用户标识: 如果提示用户输入口令成功，并将输入的口令和安全数据库或目录中的信息校验，成功认证后就会产生用户标识。认证的方法可以多种形式出现，例如密码、证书和令牌。认证凭据传送至安全数据库或目录来进行认证。成功的认证可识别用户。

?

组标识: 和针对某个用户的认证类似，基于组的标识决定某个用户在一个组织中的角色。典型地，这是一个组的会员或在一个给定名字空间内的属性条件。

Blue Coat Systems, Inc

Page 26 互联网出口安全控制改造方案建议书 ?

网络标识: 基于网络IP地址、子网地址、或其它网络标识。

一旦系统确定了访问请求者的身份，下一步即开始授权，也就是将策略和认证过程中的用户标识勾联起来。简单地说，授权就是一组规则，这些规则决定哪些用户可以访问哪些资源以及这些用户可对这些资源执行什么样的操作。

Blue Coat提供一个简单直观的工具―――Visual Policy Manager （VPM）来帮助您建立这样的授权规则，这些规则可以针对现有认证服务中的单个用户或者一组用户来制订。

AAA中最后一个环节就是统计了。一个允许访问某些资源的系统同时也必须有效地跟踪这些资源的使用情况。在出现欺诈、恶意使用时，这些统计信息对于审计是必须的。Blue Coat ProxySG设备提供丰富、详细的访问日志，能够记录用户的所有Internet访问。

3.1.1 内容安全控制

Blue Coat的ProxySG互联网通讯控制专用设备还能帮助您分析来自互联网的Web和多媒体内容、去除恶意代码以及其他安全设备无法屏蔽的动态内容，实现用户访问内容的安全性控制。

Internet为广大用户访问互联网内容和下载软件提供了方便。而在过去，管理员可以容易地将用户的软盘拔掉来“锁住”用户的计算机，互联网的出现使得任何一个人通过浏览器下载大量的内容。这些内容可能是和业务相关的信息或软件，也可能是耗时的游戏，也可能是盗版的电影或MP3文件。为使企业在为员工提供工作所必需的上网的同时，企业的网络不被潜在的危险内容所充塞，对网络管理员来说，最根本的任务就是建立一套能够控制谁能够从互联网上下载什么内容的策略，并用这个策略来管理所有的员工对网络的访问。尽管企业采取许多措施来提高企业网络的安全性，然而很多新的移动代码病毒，新出现的Nimda和红色代码病毒却以嵌入在网页中的可执行代码的形式（例如ActiveX, JavaScript, Visual Basic Scripts等）进入内部网络。

Blue Coat Systems, Inc

Page 27 互联网出口安全控制改造方案建议书 不幸的是，当今的防火墙不是为检查位于多个包中传输的内容的检查而设计的，或者说不是为防范内容级的检查而设计的，它不能防御恶意的内容级的移动代码病毒。

可幸的是，内容安全的基础设施中出现了一个新的层次，它和防火墙结合在一起工作，优化地保护网络免受内容级的威胁。

Blue Coat的 ProxySG设备提供强劲的、灵活的方法来管理网络上内容级威胁，不管它们来自于防火墙之内，还是来自于防为墙之外。

另外，SG800系列 和 SG6000系列 产品提供管理和实施企业Web安全策略所必需的可视化、灵活管理策略的能力。

利用Blue Coat产品，安全管理员能够：

? ?

挡住存在潜在危险的活动内容

剥除并替换网页中存在潜在危险的活动内容，同时仍然服务网页中的其它内容。

?

基于设定的安全策略（例如内容类型、用户名、目的IP地址等），将存在潜在危险的活动内容传送到另外一台扫描移动代码病毒的服务器。

?

实现细化的活动内容去除。

o

例如，对于所有用户去除Visual Basic脚本代码，但对于某些用户，允许访问ActiveX内容。

? ?

对指定用户组的用户，挡住具有特定后缀或MIME类型的文件 限制用户的某些请求方式。

Blue Coat Systems, Inc

Page 28