一体化安全网关选购指南
2010年4月
目录
前言、构建安全、可管理的内部网络 (3)
一、一体化安全网关----企业边界管理的利器 (4)
二、一体化安全网关应用效果 (6)
2.1. 规范员工上网行为、提升工作效率 (6)
2.2. 保护内部信息资产安全、防止机密信息泄漏 (6)
2.3. 强化带宽管理,提升带宽利用率 (6)
2.4. 降低组织机构的法律风险 (7)
2.5. 多种安全增强功能,全方位保障内网安全 (7)
三、一体化安全网关设备功能介绍 (8)
四、一体化安全网关设备技术优势 (12)
4.1. 深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12)
4.2. P2P智能识别(专利技术)--管控加密的、不常见和版本泛滥的P2P行为 (12)
4.3. SSL加密网站识别和过滤(专利技术)--反钓鱼网站等 (12)
4.4. 邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送 (13)
4.5. 免审计Key--从设备底层免除对高层领导的行为记录与审计 (13)
4.6. 强大的内容检索工具--方便对海量日志的检索、查询、审计 (13)
4.7. 细致的流量管理系统--优化带宽资源,提升带宽使用效率 (14)
4.8. 特有的网络准入规则(专利技术)--修补内网安全短板 (14)
五、一体化安全网关设备部署模式 (15)
5.1. 网关模式(路由模式) (15)
5.2. 网桥模式(透明模式) (15)
前言、构建安全、可管理的内部网络
互联网接入的普及和带宽的增加,改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制,给组织机构带来更多的安全威胁,互联网滥用等问题日益严重。
IDC对全球企业网络使用情况调查后发现,员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明:员工在上班时间发生的网络活动,30%-40%都与工作无关。
那么国内组织机构的互联网应用情况又如何呢?据有关机构调查统计,中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐,严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题,在中国的情况远比其它地区更为严峻!
另外,由于内部网络缺乏有效的管控技术措施,员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件,已逐渐成为内部网络安全的最大威胁。
据美国CSI/FBI的调查结果显示,政府、企业等机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。而据中国公安部最新统计,70%的泄密犯罪来自于机构内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问
题,已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂,借助组织现有的防火墙等传统网络安全设备,基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。
一、一体化安全网关----企业边界管理的利器
一体化安全网关系列产品,凭借其应用识别率最高、平台性能最强的核心优势,以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能,提供了涵盖防火墙、网关杀毒、网关+终端、行为+内容的完整解决方案,为组织机构提升工作效率、提升带宽效率、防范机密泄露、避免法律风险、保障内网安全等多重价值。
网络管理最基本也是最关键的要素是“用户”和“应用”,只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用,才能对其实施准确、清晰的管理。一体化安全网关提供了包括本地认证/第三方认证、静态认证/双因素认证在内的多种用户认证手段,不仅满足大型乃至超大型组织在用户管理上的快速部署、便捷管理的需求,而且针对强身份认证、高权限用户管理的需求也首次提出业界领先的基于USB KEY的身份认证和免监控管理技术。通过上述先进技术的应用,一体化安全网关可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。
用户身份的精确识别仅仅是一体化安全网关的基础,由于Internet的复杂性,很多时候用户的违规行为或是安全风险往往是在无意识的情况下产生的,与此同时,也有一些精通IT 技术的用户试图通过各种方法挑战IT管理者的权威(如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户),这就需要一体化安全网关方案能够具备终端管理的能力,通过终端管理有效判断客户桌面环境是否符合组织相关安全规定(如是否安装了指定的杀毒软件、个人防火墙等安全软件或是否安装相应系统补丁等),避免因桌面安全级别不足而导致的风险,同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。一体化安全网关通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测,实现了对终端的精准识别,使得一体化安全网关解决方案真正满足组织在一体化安全网关过程中对精确授权的需求。
如果说精确的用户+终端的识别能力是一体化安全网关的基础,那精确的应用识别则是一体化安全网关的核心,只有实现了对Internet上纷繁复杂的各种应用的精确识别,管理员才不会面对用户庞大的流量而不知所措。一体化安全网关提供了数十类、200多条应用识别规则,使得组织能够轻松识别内网用户大部分的互联网访问行为,而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用,一体化安全网关强大的P2P智能识别、SSL加密流量识别等关键识别技术更是构筑了一体化安全网关业界最强的应用识别能力。
有了精确的用户识别、终端识别和应用识别,后续的精细化管理才成为可能,一体化安全网关提供了灵活的封堵、流量管理手段,帮助组织合理设置用户的上网访问权限,除了基于用户的网络行为(如炒股、IM聊天、网上购物、在线游戏、在线电影、P2P下载等)提供的封堵和流量管理外,一体化安全网关还提供了基于内容的管理手段,独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录QQ聊天内容)等技术,为防止机密信息资产通过Internet泄漏提供了最有效的保证。
完善的一体化安全网关不仅需要实时性,而且还需要可追溯、可统计,一个强大的数据中心是专业一体化安全网关解决方案的必备特征,一体化安全网关可全面记录各种网络行为日志,而且对组织关心的行为内容也提供了详细的记录功能,包括用户访问的URL、
QQ/MSN聊天内容、网络发帖、收发的Email/Webmail等各类行为和内容,使得组织能够详细掌握用户的具体访问内容;而一体化安全网关专为高端用户设计的强大的独立数据中心可以实现日志海量存储,并通过图形化的各种统计报表和海量日志内容检索工具,让管理者轻松获知网络使用情况,也避免法律违规后无据可查的尴尬。
以下是一体化安全网关的几个关键特性:
二、一体化安全网关应用效果
通过部署一体化安全网关解决方案,可以帮助组织实现完善的一体化安全网关、行为审计和内网安全保障,并达到如下效果:
2.1. 规范员工上网行为、提升工作效率
宽带的接入使得组织机构24小时连接在Internet上,而员工上班时间QQ聊天、新闻网站浏览、在线炒股等已经成为办公室皆知的秘密,工作效率的降低却要管理者为其买单。通过一体化安全网关的部署,可以把与工作无关的上网行为降到最低,祛除员工的分心,将精力聚焦于工作中。
2.2. 保护内部信息资产安全、防止机密信息泄漏
组织机构内部有太多的机密信息,关乎组织发展命运的机密、领导办公室内的八卦都是网络上常出现的内容,而存心的泄密者和忠实的干部都可能是造成泄密的关键人员。
一体化安全网关的邮件延迟审计专利,使得潜在的泄密邮件必须通过相应邮件审核人员审核后才发送到公网;对于加密的IM(如QQ)聊天内容、网络论坛发帖、webmail正文及附件、通过HTTP或FTP上传的文件等各种可能涉及泄密的数据内容,一体化安全网关提供了基于关键字的过滤手段屏蔽可能的泄密而保障信息资产安全,并且提供了全面的记录功能为组织留存了法律证据。
2.3. 强化带宽管理,提升带宽利用率
有限的Internet带宽始终无法满足组织日益增加的带宽需求,如何提升带宽利用率就成为一个重要的网络管理内容,一体化安全网关提供包括支持多链路和丰富流量管理策略在内的多种带宽管理手段帮助组织解决上述问题。一体化安全网关可以同时连接多条公网线路,实现以更低的成本扩展带宽,精确的应用识别为高效的流量管理策略的制定提供了可能,除了可以对各种滥用带宽的P2P行为、在线下载、特定类型网站进行流量管控外,一体化安全网关还可以为类似领导用户组的视频会议、市场部访问业务网站、设计部传输指定类型文件等业务行为提供带宽保障策略,帮助组织机构最大化网络建设的投资回报。
2.4. 降低组织机构的法律风险
员工利用组织机构提供的互联网连接访问反政府/邪教等不良网站、发表非法言论或从事其他网络非法活动等,可能导致组织遭受法律诉讼、行政处分等风险。一体化安全网关可以过滤员工访问非法网站、发表非法网络言论等不良行为,且对所有网络行为日志通过独立日志中心提供海量存储及审计支持,图形化的审计、统计、报表和内容检索工具,方便组织做到有据可查,降低组织的法律风险。
2.5. 多种安全增强功能,全方位保障内网安全
一体化安全网关设备作为组织网络的一个重要组成,在为组织提供管理服务的同时,也同样面临来自组织网络的各种挑战,来自内网的DOS攻击(不一定是人为的,内网大规模爆发的蠕虫病毒或是僵尸网络激活都将对组织网络造成极大的冲击)和ARP欺骗(一旦出现,将严重影响组织网络的稳定)等各种安全风险层出不穷,相对普通的上网管理方案,一体化安全网关独特的防DOS攻击、防ARP欺骗、网关杀毒等功能,帮助组织进一步保障内网安全,特有的网络准入规则的应用也极大提高了组织为应对网络风险而部署的网络杀毒、桌面管理等各种关键软件系统的部署率(不符合要求的终端将被剥夺上网的权限),从而为组织进一步提升网络抗风险能力提供了可能。
一体化安全网关设备部署图
三、一体化安全网关设备功能介绍
(一)控制功能:细致而全面的访问控制功能,有效管控员工的上网行为不能识别,何谈管控?基于精准用户身份识别、终端识别和行为识别,一体化安全网关为不同员工授予差异化的网络访问权限。一体化安全网关不仅对员工的WEB、FTP、MAIL 等常见行为及内容进行管控,更可以对QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控,从而规范了员工的上网行为,提升员工的工作效率。
表2.1:访问控制功能一览表
(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏组织机构的信息资产很多是通过内部泄漏。一体化安全网关完善的访问审计和监控功能有效防止信息通过Internet泄漏,形成内部安全威慑,减少内部泄密行为,而对于防止过度监控导致的组织高层领导访问网络过程中涉及机密信息泄密的可能,一体化安全网关也提供“免审计KEY”这样的关键特性,满足组织差异管理的需求。
表2.2:访问审计/监控功能一览表
(三)报表功能:强大的数据报表中心,提供直观的上网数据统计
一体化安全网关不仅内置数据中心,且支持强大的外置数据中心,可实现海量存储行为日志,并且所有的查询、统计等功能不影响网关设备性能。
对于组织的上网行为审计要求,管理者可分组、用户、规则、协议等多种查询对象,按饼状图、柱状图、曲线图等方式进行统计,直观查看网络流量、邮件、网络行为、上网时间等多种详细日志信息,并可打印和导出报表;一体化安全网关的自动报表功能将管理者指定的统计、审计结果发送到指定邮箱,而强大的内容检索功能,通过类似Google的搜索界面,实现海量日志的检索和审计。一体化安全网关详细分析组织机构的Internet使用情况,为管理者的决策提供了最有效的数据支撑。
表2.3:报表和数据中心功能一览表
(四)带宽及流量管理功能:强大的线路管理、流量分析、带宽分配功能一体化安全网关具有强大的带宽管理和流量控制功能,独有的多线路复用专利让一台一体化安全网关可连接四条公网线路,多条线路间互为备份,实现带宽叠加、负载均衡和智能选路。一体化安全网关的流量管理系统可基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型进行带宽分配,既可以控制非业务流量对带宽的滥用,又能够实现对重要业务流量的带宽保证,实现了带宽资源利用率的最大化。
表2.4:带宽划分与流量管理功能一览表
(五)多种内网安全增强功能:网关杀毒、防DOS、防ARP欺骗等
安全取决于最薄弱的一环!内网终端电脑使用过时的操作系统、不更新补丁、不安装指定的杀毒/防火墙软件或不更新、运行违规软件等,必将极大降低组织内网安全级别,组织不仅面临的来自Internet的病毒等威胁,源自内网的DOS攻击和ARP欺骗也给组织的网络管理带来了极大的挑战,一体化安全网关提供了完善的防御和解决方案,全面保障和提升组织机构的网络安全等级。
四、一体化安全网关设备技术优势
4.1. 深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件
传统设备和方案如通过防火墙封端口/封服务器IP等方式管控QQ、通过封服务器IP/封种子网站/封端口等方式封堵P2P下载行为等管理方式来应对泛滥的互联网应用行为已经无能为力,费时费力且无法彻底封堵。一体化安全网关产品利用绝大部分应用协议在数据包传输过程中都会有的特定特征字段来识别相应的应用,如此的深度内容检测技术检测互联网流量中相应的特征码字段识别正在传输的应用及协议,并根据预置策略进行及时封堵或流控。
一体化安全网关内置自动更新的超过20大类、200多条应用识别规则,能够准确识别并封堵各种IM聊天工具、网络炒股、网络游戏、在线视听软件及常见的P2P工具等,提高员工的工作效率和组织的生产效率。
4.2. P2P智能识别(专利技术)--管控加密的、不常见和版本泛滥的P2P行为
泛滥的P2P行为滥用了组织机构有限的带宽资源,致使视频会议、VOIP等业务难以开展。而普通的管理手段除了难以封堵加密BT、加密电骡等加密P2P外,就连版本泛滥、不断更新的P2P软件也难以控制,只能封堵“昨天的BT”。一体化安全网关通过P2P智能识别技术,基于统计学的网络行为智能分析,实现各种P2P行为的全面识别,包括加密的、不常见的、版本泛滥和未来可能出现的P2P行为,并施以封堵和流控等措施,为管理者提供了一劳永逸的解决方案。一体化安全网关既可彻底封堵P2P行为,又可允许内网指定员工在有限范围内使用P2P,AC可对内网用户使用P2P时占用的带宽进行控制,既避免P2P 应用对带宽的滥用,又实现人性化的管理方式、避免推行一体化安全网关所遭遇的阻力。4.3. SSL加密网站识别和过滤(专利技术)--反钓鱼网站等
互联网的发展日新月异,越来越多的在线交易类(包括炒股、网银、网上购物以及电子商务)网站使用了SSL等加密技术来确保数据安全,而与此同时,假冒网上银行的钓鱼网站、刻意躲避政府过滤的色情、反动网站等各种不良站点也出于各种目的纷纷采用SSL加
密方式提供访问,普通的一体化安全网关方案根本无法有效甄别和过滤SSL加密网页,给组织的管理带来很大风险。
一体化安全网关一方面能够提取SSL访问页面中的URL地址,并对其依据URL的管理策略进行相应的控制,同时还通过全球可信任数字证书颁发机构信息,对SSL网站提供的数字证书进行证书链深度验证,从而实现对SSL加密网站可信度的识别和过滤,为组织机构提供了完备的URL地址及内容安全管理解决方案。
4.4. 邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送
电子邮件已经成为人们最重要的沟通方式之一。组织机构需要通过电子邮件与外部保持沟通和交流,而电子邮件也成为泄漏组织机构重要信息的途径之一。
一体化安全网关独创的邮件延迟审计专利技术,能够根据管理者预设的过滤条件对指定内网员工向外发送的指定邮件进行延迟审计,只有具有权限的特定审核人员审核通过后才能发出,通过人工审核确保组织机构信息资产不外泄,保证了组织内网信息资产的安全,避免了传统邮件管理方案只能审核邮件备份记录以追究法律责任却无法阻止泄密发生的尴尬局面。
4.5. 免审计Key--从设备底层免除对高层领导的行为记录与审计
随着越来越多的业务和沟通通过互联网进行,高层领导的网络行为中往往涉及组织最重要的业务机密和信息资产,关系到组织机构的发展和前途。如何确保高层领导的网络行为不被一体化安全网关设备错误监控和记录就成了判断一体化安全网关产品专业性的一个重要标准。
有别于传统设备通过产品控制界面人为取消审计配置的方式(可以取消也可能被悄悄的重新加上),一体化安全网关采用的是权限不可复制、免监控状态不可取消的USB KEY技术,高层领导将一体化安全网关颁发的“免审计Key”插入任一电脑,即从设备底层免除对高层该领导网络行为的记录,而且这种免审计状态是不可更改的,避免了被错误更改状态后而受到AC监控的情况。
4.6. 强大的内容检索工具--方便对海量日志的检索、查询、审计
2006年3月1日开始实施的公安部82号令要求:组织机构必须留存员工的上网行为记录至少60天。由于网关设备自身容量的限制,大型组织每天产生的以G为单位的海量日
志存储于设备本身并不现实。一体化安全网关创造性的支持第三方日志服务器,通过独立的数据中心实现日志无限量存储(最大容量取决于日志服务器的硬盘空间),帮助组织实现超长时间的日志记录。
日志的记录是为了日后的审计及查询,在缺乏有效的技术帮助下从海量日志中找寻管理者感兴趣的内容是异常困难的,一体化安全网关创新性的提供了类似互联网搜索引擎技术的内容检索工具,从海量存储的网页、邮件正文、搜索关键字、Webmail/BBS内查询到包含特定关键字的内容,实现对海量日志的检索、审计等,并支持将管理者感兴趣的检索结果定期自动形成报表,发送到指定邮箱。
4.7. 细致的流量管理系统--优化带宽资源,提升带宽使用效率
组织机构有限的带宽资源,如何限制非业务应用对带宽的占用,同时保证关键部门/员工的业务应用对带宽的需求?一体化安全网关细致的流量管理系统做到了:针对应用类型(如P2P、邮件等)、网站类型(如业务网站类、新闻网站类等)、上传下载的文件类型进行带宽划分与分配。基于不同用户/用户组,时间段,结合智能QoS功能,一体化安全网关优化了组织机构带宽资源的使用,提升带宽使用效率。
4.8. 特有的网络准入规则(专利技术)--修补内网安全短板
组织机构的安全风险,往往是由于内网终端的安全隐患导致,一体化安全网关准入规则专利技术,修补内网终端安全短板。
一体化安全网关所支持的网络准入规则是一个可选项目,当管理者期望通过准入规则实现对内网终端的各种安全属性进行检测并以此为依据赋予上网权限时,管理者在一体化安全网关上可预设各种安全策略进而检查接入终端安全状况:包括指定员工的终端操作系统版本及补丁状况、杀毒/防火墙软件安装及更新情况、注册表、后台进程、硬盘文件等内容。不符合管理者预设安全策略的终端,将不允许访问互联网,避免其轻易感染病毒、木马,进而危害整个内网安全的可能,为组织机构提供了全面的安全保障手段。
五、一体化安全网关设备部署模式
一体化安全网关设备可提供多种部署方式,以适应不同组织机构的网络环境及需求。
5.1. 网关模式(路由模式)
一体化安全网关网关模式的典型部署如下图所示:
网关模式是将一体化安全网关作为本网的出口网关,一般作为NAT设备分割外网和内网,并代理内网员工上网所使用。一体化安全网关的LAN口接内网交换机,WAN口接外网的接入设备,如路由器、ADSL Modem等。
采用网关模式的主要优点是:
●能实现NAT、路由等网络功能,并代理内网员工上网
●完全监控和管控进出设备的数据
5.2. 网桥模式(透明模式)
一体化安全网关网桥模式的典型部署如下图所示:
网桥模式是将一体化安全网关如同交换机一样配置和部署。一体化安全网关的LAN口接内网交换机,WAN口连接出口网关等设备。
采用透明模式的主要优点是:
●设备的部署、安装基本不影响原有网络结构
●完全监控和管控进出设备的数据
3.旁路模式
一体化安全网关旁路模式的典型部署如下图所示:
旁路监听部署模式对组织机构的网结构影响最小,不需要改变原有网络的任何路由配置,只需在出口交换机上配置端口镜像。其主要原理是监听并分析TCP/IP数据包以实现监控,通过改变IP包头信息来调节和控制IP连接。
采用旁路模式的主要优点是:
●设备的安装完全不影响原有的网络结构,实施部署简单方便。
采用旁路模式的不足是:
●因为获得的是“镜像”的数据流,所以设备部分功能不能实现如:带宽限制、邮件
延迟审计、网络准入规则,及不能控制采用UDP协议的部分应用。
建议:若主要用于控制、拦截、流量管控等功能,则推荐网关或网桥模式部署;若将一体化安全网关设备主要用于监控或审计等功能,则推荐采用旁路模式部署;
新一代的SSL VPN产品 网康应用安全网关6.2 产品白皮书 北京网康科技有限公司 2012年5月
版权声明 北京网康科技有限公司?2012版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。 适用版本 本文档适用于ASG 6.2版本。 免责条款 根据适用法律的许可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 期望读者 期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解: ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统
目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用,完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆(SSO) (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点,支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用,快速部署 (22) 3.16.1 无需安装客户端软件,即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术,完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置,方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化,无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)
5.4.2测试结果分析 LoadRunner性能测试结果分析是个复杂的过程,通常可以从结果摘要、并发数、平均事务响应时间、每秒点击数、业务成功率、系统资源、网页细分图、Web服务器资源、数据库服务器资源等几个方面分析,如图5- 1所示。性能测试结果分析的一个重要的原则是以性能测试的需求指标为导向。我们回顾一下本次性能测试的目的,正如错误!未找到引用源。所列的指标,本次测试的要求是验证在30分钟内完成2000次用户登录系统,然后进行考勤业务,最后退出,在业务操作过程中页面的响应时间不超过3秒,并且服务器的CPU 使用率、内存使用率分别不超过75%、70%,那么按照所示的流程,我们开始分析,看看本次测试是否达到了预期的性能指标,其中又有哪些性能隐患,该如何解决。 图5- 1性能测试结果分析流程图 结果摘要 LoadRunner进行场景测试结果收集后,首先显示的该结果的一个摘要信息,如图5- 2所示。概要中列出了场景执行情况、“Statistics Summary(统计信息摘要)”、“Transaction Summary(事务摘要)”以及“HTTP Responses Summary(HTTP响应摘要)”等。以简要的信息列出本次测试结果。 图5- 2性能测试结果摘要图
场景执行情况 该部分给出了本次测试场景的名称、结果存放路径及场景的持续时间,如图5- 3所示。从该图我们知道,本次测试从15:58:40开始,到16:29:42结束,共历时31分2秒。与我们场景执行计划中设计的时间基本吻合。 图5- 3场景执行情况描述图 Statistics Summary(统计信息摘要) 该部分给出了场景执行结束后并发数、总吞吐量、平均每秒吞吐量、总请求数、平均每秒请求数的统计值,如图5- 4所示。从该图我们得知,本次测试运行的最大并发数为7,总吞吐量为842,037,409字节,平均每秒的吞吐量为451,979字节,总的请求数为211,974,平均每秒的请求为113.781,对于吞吐量,单位时间内吞吐量越大,说明服务器的处理能越好,而请求数仅表示客户端向服务器发出的请求数,与吞吐量一般是成正比关系。 图5- 4统计信息摘要图 Transaction Summary(事务摘要) 该部分给出了场景执行结束后相关Action的平均响应时间、通过率等情况,如图5- 5所示。从该图我们得到每个Action的平均响应时间与业务成功率。
XXX项目 性能测试方案
修订记录
目录 1项目简介 (1) 1.1测试目标 (1) 1.2测试范围 (1) 1.3性能测试指标要求 (2) 1.3.1 交易吞吐量 (2) 1.3.2 交易响应时间 (2) 1.3.3并发交易成功率 (2) 1.3.4资源使用指标 (2) 2测试环境 (3) 2.1网络拓扑图 (3) 2.2软硬件配置 (3) 3测试方案 (5) 3.1交易选择 (5) 3.2测试数据 (5) 3.2.1 参数数据 (5) 3.2.2 存量数据 (6) 3.3资源监控指标 (6) 3.3.1台式机 (6) 3.3.2服务器 (6) 3.4测试脚本编写与调试 (6) 3.5测试场景设计 (6) 3.5.1典型交易基准测试 (6) 3.5.2典型交易常规并发测试 (7) 3.5.3稳定性测试 (8) 3.6测试场景执行与数据收集 (9) 3.7性能优化与回归 (9) 4测试实施情况 (10) 4.1测试时间和地点 (10) 4.2参加测试人员 (10) 4.3测试工具 (10) 4.4性能测试计划进度安排 (11) 5专业术语 (12)
1 项目简介 1.1测试目标 通过对XXXXXX系统的性能测试实施,在测试范围内可以达到如下目的: 了解XXX系统在各种业务场景下的性能表现; 了解XXX业务系统的稳定性; 通过各种业务场景的测试实施,为系统调优提供数据参考; 通过性能测试发现系统瓶颈,并进行优化。 预估系统的业务容量 1.2测试范围 XXX系统说明以及系统业务介绍和需要测试的业务模块,业务逻辑图如下:
本公司服务器环境以及架构图 为了真实反映XXXX系统自身的处理能力,本次测试范围只包(XXX服务器系统和Web服务系统、数据库服务器系统)。 1.3性能测试指标要求 本次性能测试需要测试的性能指标包括: 1、交易吞吐量:后台主机每秒能够处理的交易笔数(TPS) 2、交易响应时间(3-5-8秒) 3、并发交易成功率99.999% 4、资源使用指标:前置和核心系统各服务器CPU(80%)、内存占用率(80%)、Spotlighton 数据库;LoadRunner压力负载机CPU占用率、内存占用率 1.3.1 交易吞吐量 根据统计数据,XXX系统当前生产环境高峰日交易总量为【】万笔。根据二八原则(80%的交易量发生在20%的时间段内),当前生产环境对主机的交易吞吐量指标要求为:TPS_1 ≥【】 * 80% / (24 * 20% * 3600) = 【】笔/秒 为获取系统主机的最大处理能力,在本次性能测试中可通过不断加压,让数据系统主机CPU利用率达到【】%,记录此时的TPS值,作为新主机处理能力的一个参考值。 1.3.2 交易响应时间 本次性能测试中的交易响应时间是指由性能测试工具记录和进行统计分析的、系统处理交易的响应时间,用一定时间段内的统计平均值ART来表示。 本次性能测试中,对所有交易的ART指标要求为: ART ≤ 5 秒 1.3.3并发交易成功率 指测试结束时成功交易数占总交易数的比率。交易成功率越高,系统越稳定。 对典型交易的场景测试,要求其并发交易成功率≥ 99.999% 。 1.3.4资源使用指标 在正常的并发测试和批处理测试中,核心系统服务器主机的资源使用指标要求:CPU使用率≤ 80% 内存使用率≤ 80%
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
安全网关产品说明书集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350
安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局
网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
智能建筑和IT运维 1、运维管理的方式除完全客户管理或外包商管理外,还有? A 用户管理 B 项目管理 C 外包管理 D 客户和外包商分别负责 2、组织管理中建议成熟的组织形式为? A 项目型组织 B 技术型组织 C 服务或复合型组织 D 梯队型组 3、确保系统稳定性为什么重要,理由不包括? A 客户最关注 B 工作出发点 C 投入最大 D 业务系统不能断 4、系统稳定强调冗余备份和。 A 应急响应 B 提前规划 C 技术先进 D 业务集中 5、应用系统管理为什么需要通过需求管理尽量减少变更? A 可能产生风险影响系统稳定。 B 客户时间宝贵。 C 运维人员不够。 D 合同中不支持变更。 6、数据系统管理需要对哪项资源提出标准要求? A 应用系统
B 硬件系统 C 环境系统 D 桌面系统 7、数据系统管理为什么要考虑组件的兼容性? A 有效整合资源。 B 成套购买降低成本。 C 方便人员维护。 D 保证系统之间数据通信传输没有障碍。 8、数据系统管理的对象不包含? A 数据库 B 计算机 C 中间件 D 操作系统 9、人员管理中涉及需求管理的主要是? A 用户管理 B 工程师管理 C 客户管理 D 项目经理管理 10、人员管理中客户的定义是? A 负责运维服务提供和操作的人员。 B 使用服务的人员。 C 确保运维项目正常交付的人员。 D 负责服务评价、验收和付费的人员。 11、邀请用户参与运维过程的目的不包括? A 感知运维的实际情况。 B 提出改进的建议。 C 让用户承担责任。 D 与运维团队熟悉互动。 12、组织管理中建议成熟的组织形式为? A 项目型组织 B 技术型组织
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.doczj.com/doc/623138040.html,的示例 (8) https://www.doczj.com/doc/623138040.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
思博伦技术专栏 1 家庭网络部署存在挑战 随着电信增值业务的发展以及固网与移动网络 的融合,目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外,正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。例如,中国电信正在通过“我的e家”品牌,向家庭用户推出家庭网络的概念,并将以此作为大规模家庭网络增值服务的基础。 据统计,2005年全球家庭网关的销量达到1500多万台。2006年,由于中国宽带用户的急速增长使得国内家庭网关的市场需求也增长迅速,预计到2008年我国将超过美国成为全球最大的家庭网关消费国。 但是,在家庭网关的应用过程中,电信运营商的确遇到了一些麻烦。家庭网络是电信运营商网络的延伸,是IP网络,无线Wi-Fi网络,以及传统电信网络的融合结果。而家庭网关需要连接传统电信网络和Internet网络,帮助用户在家里实现网上漫游、语音通话和IPTV等多种业务,实现语音流、数据流、视频流的Triple-Play,并提供有线和无线多种接口,为将来实现家庭全面智能化打下坚实的基础。家庭网关的出现,既给电信运营商找到了新的业务增长点,又给传统电信用户提供了更加便宜、更加方便的服务。一切似乎都是美好的,但现实总是残酷的。VoIP中的语音流本身就存在语音质量不稳定的问题,再加上数据流和视频流的干扰,家庭网关能够长时间提供稳定的让用户满意的服务吗?这样的担心是很有道理的。最简单的一个问题———如何保证用户的语音通话质量不 思博伦家庭网关/IAD语音测试解决方案 思博伦通信 编者按:随着电信增值业务的发展以及固网与移动网络的融合,目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外,正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。思博伦通信的《思博伦家庭网关/IAD语音测试解决方案》一文详细介绍了思博伦公司的家庭网关/IAD的语音测试解决方案。 思博伦公司的家庭网关/IAD的语音测试解决方案,主要使用Abacus50测试系统,帮助设备制造商和运营商降低测试成本,减少因为语音质量不稳定而造成的系统风险。本文对目前正在加紧推进面向家庭用户电信综合业务的电信运营商具有很好的参考意义。 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!"
软件性能测试结果分析总结 平均响应时间:在互联网上对于用户响应时间,有一个普遍的标准。2/5/10秒原则。 也就是说,在2秒之内给客户响应被用户认为是“非常有吸引力”的用户体验。在5秒之内响应客户被认为“比较不错”的用户体验,在10秒内给用户响应被认为“糟糕”的用户体验。如果超过10秒还没有得到响应,那么大多用户会认为这次请求是失败的。 定义:指的是客户发出请求到得到响应的整个过程的时间。在某些工具中,请求响应时间通常会被称为“TTLB”(Time to laster byte) ,意思是从发起一个请求开始,到客户端收到最后一个字节的响应所耗费的时间。 错误状态情况分析:常用的HTTP状态代码如下: 400 无法解析此请求。 401.1 未经授权:访问由于凭据无效被拒绝。 401.2 未经授权: 访问由于服务器配置倾向使用替代身份验证方法而被拒绝。 401.3 未经授权:访问由于ACL 对所请求资源的设置被拒绝。 401.4 未经授权:Web 服务器上安装的筛选器授权失败。 401.5 未经授权:ISAPI/CGI 应用程序授权失败。 401.7 未经授权:由于Web 服务器上的URL 授权策略而拒绝访问。 403 禁止访问:访问被拒绝。 403.1 禁止访问:执行访问被拒绝。 403.2 禁止访问:读取访问被拒绝。 403.3 禁止访问:写入访问被拒绝。 403.4 禁止访问:需要使用SSL 查看该资源。 403.5 禁止访问:需要使用SSL 128 查看该资源。 403.6 禁止访问:客户端的IP 地址被拒绝。
403.7 禁止访问:需要SSL 客户端证书。 403.8 禁止访问:客户端的DNS 名称被拒绝。 403.9 禁止访问:太多客户端试图连接到Web 服务器。 403.10 禁止访问:Web 服务器配置为拒绝执行访问。 403.11 禁止访问:密码已更改。 403.12 禁止访问:服务器证书映射器拒绝了客户端证书访问。 403.13 禁止访问:客户端证书已在Web 服务器上吊销。 403.14 禁止访问:在Web 服务器上已拒绝目录列表。 403.15 禁止访问:Web 服务器已超过客户端访问许可证限制。 403.16 禁止访问:客户端证书格式错误或未被Web 服务器信任。 403.17 禁止访问:客户端证书已经到期或者尚未生效。 403.18 禁止访问:无法在当前应用程序池中执行请求的URL。 403.19 禁止访问:无法在该应用程序池中为客户端执行CGI。 403.20 禁止访问:Passport 登录失败。 404 找不到文件或目录。 404.1 文件或目录未找到:网站无法在所请求的端口访问。 需要注意的是404.1错误只会出现在具有多个IP地址的计算机上。如果在特定IP地址/端口组合上收到客户端请求,而且没有将IP地址配置为在该特定的端口上侦听,则IIS返回404.1 HTTP错误。例如,如果一台计算机有两个IP地址,而只将其中一个IP地址配置为在端口80上侦听,则另一个IP地址从端口80收到的任何请求都将导致IIS返回404.1错误。只应在此服务级别设置该错误,因为只有当服务器上使用多个IP地址时才会将它返回给客户端。404.2 文件或目录无法找到:锁定策略禁止该请求。 404.3 文件或目录无法找到:MIME 映射策略禁止该请求。
安全网关部署方案 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网安全。因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图: (图1)
上图为安全网关部署示意图,包含了组建局域网网的基本要素。下面对其各个部分进行讲解。 一、安全网关接入网络。 安全网关一般具有2个W AN口以及4个LAN口。如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署 图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置,实现路由、NAT转发功能。同时可以开启Qos (流量)控制、URL过滤、IM限制等功能,这种部署模式是最为常见的部署模式,应用客户最多。 2. 透明模式部署拓扑图
1.请问什么是性能测试、负载测试、压力测试? 性能测试:对一个软件系统而言,包括执行效率、资源占用、系统稳定性、安全性兼容性、可扩展性等。 负载测试:通过逐步加压的方式来确定系统的处理能力,确定系统能承受的各项阀值。 压力测试:逐步增加负载,使系统某些资源达到饱和甚至失效的测试。 2.请分别针对性能测试、负载测试和压力测试试举一个简单的例子? 性能测试例子:公司开发了一个小型项目管理系统,上线前需要做负载、压力、大数据量、强度测试等。 负载测试:逐步加压,从而得到“响应时间不超过10秒”,“服务器平均CPU利用率低于85%”等指标阀值。 “服务器平均CPU利用率高于90%” 压力测试:逐步加压,从而使“响应时间超过10秒”, 等指标来确定系统能承受的最大负载量。 3.请例举出常用的性能测试工具,并指出这些工具的优缺点? LoadRunner,录制脚本快捷操作简便,需要一定的学习时间,有采购成本。 4.请问您是如何得到性能测试需求?怎样针对需求设计、分析是否达到需求? 在查看需求文档,从中提取性能测试需求,与用户交流,了解实际使用情况。 结合业务信息设计操作场景总结出需测试的性能关键指标。 执行用例后根据提取关键性能指标来分析是否满足性能需求。 5.什么时候可以开始执行性能测试? 在产品相对比较稳定,功能测试结束后。灵活性比较强。 6.什么是集合点?设置集合点有什么意义?LoadRunner中设置集合点的函数是哪个? 集合点可以控制各个Vuser以便在同一时刻执行任务。 借助集合点,可以再LoadRunner中实现真正意义上的并发。 lr_rendezvous()
7.性能测试时,是不是必须进行参数化?为什么要创建参数?LoadRunner中如何创建参数? 8是。 模拟用户真实的业务操作。 创建参数列表,用参数替换固定的文本。 8.您了解关联吗?如何找出哪里需要关联?请给一些您所在项目的实例。 了解。 使用LoadRunner自动关联功能。手动关联:录制两份相同操作步骤的脚本,找出不同的部分进行判断。 一个项目管理系统,每次登录后服务器都自动分配一个sessionID以便之后每次表单提交后验证。 9.您如何调试LoadRunner脚本? 设置断点、增加log。 10.在LoadRunner中如何编写自定义函数?请给出一个您在以前项目中编写的函数。 11.请问您是如何理解LoadRunner中集合点、事务以及检查点等概念? 集合点:可以控制各个Vuser以便在同一时刻执行任务,可实现真正意义上的并发。 事务:事务是用来度量服务器响应时间的操作集。 检查点:在回放脚本期间搜索特定内容,从而验证服务器响应内容的正确性。 12.如何应用LoadRunner进行性能测试? 使用虚拟用户生成器创建脚本,使用控制器设定场景、运行脚本,使用分析器分析运行后得到的数据。 13.LoadRunner中思考时间有什么作用? 用户执行两个连续操作期间等待的时间。模拟用户真实的使用情况。 14.LoadRunner中如何实现多用户并发操作,需要进行哪些设置? 设置集合点来实现,在脚本中加入lr_rendezvous(),然后可以在控制器中设定集结百分
一体化安全网关选购指南 2010年4月
目录 前言、构建安全、可管理的内部网络 (3) 一、一体化安全网关----企业边界管理的利器 (4) 二、一体化安全网关应用效果 (6) 2.1.规范员工上网行为、提升工作效率 (6) 2.2.保护内部信息资产安全、防止机密信息泄漏 (6) 2.3.强化带宽管理,提升带宽利用率 (6) 2.4.降低组织机构的法律风险 (7) 2.5.多种安全增强功能,全方位保障内网安全 (7) 三、一体化安全网关设备功能介绍 (8) 四、一体化安全网关设备技术优势 (12) 4.1.深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12) 4.2.P2P智能识别(专利技术)--管控加密的、不常见和版本泛滥的P2P行为 (12) 4.3.SSL加密网站识别和过滤(专利技术)--反钓鱼网站等 (12) 4.4.邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送 (13) 4.5.免审计Key--从设备底层免除对高层领导的行为记录与审计 (13) 4.6.强大的内容检索工具--方便对海量日志的检索、查询、审计 (13) 4.7.细致的流量管理系统--优化带宽资源,提升带宽使用效率 (14) 4.8.特有的网络准入规则(专利技术)--修补内网安全短板 (14) 五、一体化安全网关设备部署模式 (14) 5.1.网关模式(路由模式) (15) 5.2.网桥模式(透明模式) (15)
前言、构建安全、可管理的内部网络 互联网接入的普及和带宽的增加,改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制,给组织机构带来更多的安全威胁,互联网滥用等问题日益严重。 IDC对全球企业网络使用情况调查后发现,员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明:员工在上班时间发生的网络活动,30%-40%都与工作无关。 那么国内组织机构的互联网应用情况又如何呢?据有关机构调查统计,中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐,严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题,在中国的情况远比其它地区更为严峻! 另外,由于内部网络缺乏有效的管控技术措施,员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件,已逐渐成为内部网络安全的最大威胁。 据美国CSI/FBI的调查结果显示,政府、企业等机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。而据中国公安部最新统计,70%的泄密犯罪来自于机构内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。 如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题,已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂,借助组织现有的防火墙等传统网络安全设备,基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。 一、一体化安全网关----企业边界管理的利器 一体化安全网关系列产品,凭借其应用识别率最高、平台性能最强的核心优势,以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能,提供了涵盖防火墙、网关杀
编号:CCRC-IR-042:2019 IT产品信息安全认证实施规则 物联网感知层网关 2019-04-26发布 2019-04-30实施中国网络安全审查技术与认证中心发布
目录 1.适用范围 (1) 2.认证模式 (1) 3.认证的基本环节 (1) 3.1认证申请及受理 (1) 3.2文档审核 (1) 3.3型式试验委托及实施 (1) 3.4认证结果评价与批准 (1) 3.5获证后监督 (1) 4.认证实施 (1) 4.1认证流程 (1) 4.2认证申请及受理 (1) 4.3文档审核 (2) 4.4型式试验委托及实施 (2) 4.5认证结果评价与批准 (3) 4.6获证后监督 (3) 5.认证时限 (5) 6.认证证书 (5) 6.1认证证书的保持 (5) 6.2认证证书的变更 (5) 6.3认证证书覆盖产品的扩展 (5) 6.4认证证书的暂停、注销和撤销 (6) 6.5获证产品名录的发布 (6) 7认证标志的使用 (6) 7.1认证标志的样式 (6) 7.2认证标志的使用 (6) 7.3加施位置 (6) 8收费 (7) 附件1: (8) 附件2: (10)
1.适用范围 本规则适用于中国网络安全审查技术与认证中心(CCRC)针对物联网感知层网关开展的信息安全认证。 感知层网关是指实现感知网络与通信网络、不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备。 2.认证模式 型式试验 + 获证后监督 3.认证的基本环节 3.1认证申请及受理 3.2文档审核 3.3型式试验委托及实施 3.4认证结果评价与批准 3.5获证后监督 4.认证实施 4.1认证流程 申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、相关安全保障能力文档进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 4.2认证申请及受理 申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。 4.2.1认证的单元划分
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: 应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如,虚拟域以及RIP与OSPF路由协议。 ZXSECUS120