Web内容安全过滤设备应重视多层次治理功能

核心提示：保护企业免遭互联网要挟的最集中的硬件设备解决方案，除集成最好的URL过滤、WEB利用报告、实时监控和内部要挟清除等功能之外，还应当包括多层次治理功能....

保护企业免遭互联网要挟的最集中的硬件设备解决方案，除集成最好的URL过滤、WEB利用报告、实时监控和内部要挟清除等功能之外，还应当包括多层次治理功能。当具有分公司/子公司散布在各个不同城市或国家的中大型企业希看在公司大方向的安全策略下，给予不同分公司或子公司某种程度权限修改其合适的安全策略时，就需要采取分层治理功能协助企业完成目标。单1的治理层仅适用于独立企业集中治理的安全策略，没法因应不同分公司与子公司的Web需求，也会增加总公司IT职员的工作负担。

多层次治理功能应包括全球治理员、群组治理员、最低过滤级别、群组、子群组、检测范围、特别帐户、同步集中控制治理等方面。其中，全球治理员（Global Administrator）是1个具有所有过滤设备尽对控制权的帐户。全球治理员能够根据公司安全策略，在Web内容安全过滤设备上建立不同的群组，并且再为每个群组建立1个小组。全球治理员能够无穷制地控制所有Web内容安全过滤设备的功能。

群组治理员由全球治理员建立。在全球治理员授权修改的安全策略范围内，群组治理员帐户可以针对群组的需求修改合适的安全策略。群组治理员所修改的安全策略仅能影响到这个帐户所治理群组。每1个群组，可以只设立1个小组治理员账户。

最低过滤级别（Minimum Filtering Level (MFL)）是由全球治理员定订的过滤级别。最低过滤级别是全公司不管哪1个群组必须1致履行的最低标准策略。例如，当公司定订最低限度的安全策略标准是过滤色情与信息安全要挟相干种别，群组治理员就不能够从该群组的过滤器设备中取消任何与色情和信息安全要挟种别相干的安全策略，仅能针对其它种别订定合适的安全策略。当公司要全面实行安全使用政的同时，又希看给予各群组某种程度的修改权限时，MFL就非常有用。下游的群组治理员可以增加最低过滤级别的种别，但是没法清除由全球治理员订定的最低过滤级别的。

群组的定义是由全球治理员设定的1群使用者。例如：全球治理员可以设定子网络 10.10.10.0/24 为1个群组。全球治理员或群组治理员都可以建立1个子群组。子群组用于更进1步描写小组的成员。以上面的例子为例，假设子群组以子网10.10.10.0 /24订定为1个群组，在这个群组下可以再创造子群组，例如10.10.10.0 /25和10.10.10.129 /25 。全球治理员可以确切判定某1个IP地址是来自哪1个网域。

特别帐户是1个用户名/密码，由全球治理员或群组治理员创建。其目的是要答应某其帐户可以不受安全使用策略的限制，造访任何网站。全球治理员可以选择答应特别帐户绕过最低过滤级别，也能够选择特别帐户仅受最低过滤级别限制。特别帐户可以分配给任何使用者。

当公司配置多台过滤设备时，可答应过滤设备之间建立主从关系，同步集中控制治理所有过滤设备。当主要的过滤设备有任何改变时，附属机上也会体现出来。这项功能在多台过滤设备环境下非常有帮助，治理员可以免除手动逐1变更设定的作法。

既然我们了解了分层治理的功能，那末分层治理在实际的工作中有哪些用处呢？无妨以案例来讲明。举例，1个有5所小学、3所中学和2所高中的学区办公室具有T3互联网进口，利用T1连接每所学校。所有互联网接进必须通过学区办公室的端口连接互联网。学区有可接受使用策略，所有学生和学区员工均不得访问被分类为色情、R级、赌博、非教育性在线游戏、基于互联网的电子邮件、暴力和轻视、酒、背禁药品、邪教和骇客相干的所有网站。但是，可接受使用策略中有1个例外：若经校长同意，学区里学校的心理辅导师和顾问为了提升学生品质以研究为目的，可以访问被限制的网站。

在学区办公室安装8e6 R3000G网络安全行动治理设备，用以过滤所有透过学区端口出往的互联网流量。然后，学区的全球治理员建立1个最低过滤级别，用来阻挡学区可接受使用策略中最低应被限制访问的网站种别。建立最低过滤级别的同时，全球治理员也建立特别帐户给予学校的心理辅导师和顾问并授权她们可以访问被最低过滤级别限制的网站。然后，再为每1所学校建立不同的群组与群组治理员账户，账户由每1所学校的校长控制，除最低过滤级别不能清除之外，这些群组治理员账户都可以根据学校的策略设定符合学校需求的安全使用策略。任何用户的互联网访问行动不但会被学区可接受使用策略的最低级别治理，还能开放给需要做研究的用户访问被限限制的网站。

以上是在校园环境下的分层治理，下面以企业为案例的分层治理实践。比如，1个团体网络的所有分公司均需经过总公司端口连结互联网，总公司的信息中心用OC⑶互联网连接，并且具有可改变到每分公司流量的连接。为了使每个子子公司和分公司能够访问互联网，这些子公司和分公司的连接必须经过团体的信息中心。

总公司发布可接受利用策略的履行，要求所有分公司不答应使用IM或访问含有恶意程序、股票、流媒体、在线购物、在线游戏、网络电邮、色情、赌博、仇恨和轻视和所有非法活动。可接受利用策略还说明每家分公司可以制定自己的可接受利用策略。在信息中心，网管员安装了3台负载平衡8e6 R3000、2台R3000S网络安全行动治理设备，来处理 155.5Mbps的流量，并且还安装了1台备用R3000.这些设备采取R3000上主机/附属机同步集中控制治理功能。网管员为R3000s做了配置，满足总公司可接受利用策略的最低过滤级别。他还为每分公司创建了1个群组，并且为每个群组设定了1个治理员。

在每个分公司，网络治理员能够利用提供的群组帐户登录。网络治理员可选择使用团体提供的最低过滤级别或增加最低过滤级别。重要的是网络治理员不能提总公司设立的要求。比如，西分公司能够收到群组帐户，而永久不能登录R3000。这样做的结果就是所有分公司的用户能够在总公司可接受利用策略的基础之上实现过滤。

在东辨别公司，网络治理员需要采取比总公司更加严格的可接受利用策略。因此，网络治理员可以利用现有群组帐户登录。为了满足分公司的可接受利用策略，他可以申请过滤额外的目录内容。在北辨别公司，分公司的可接受利用策略会比总公司制定的严格并且还要符合总公司的制定的最低过滤级数的可接受利用策略。本案例中，北区网络治理员会利用群组帐户登录并且为北区中的各个分公司建立另1个子群组。如此1来，北辨别公司可以自行制定更加严格的利用策略。在南辨别公司，南辨别公司的网络治理员是不支持互联网过滤。因此，他漠视总公司的可接受利用策略，并且想要利用群组帐户来取消互联网过滤限制规避总公司对分公司的互联网访问管控。但是，当他利用总公司提供的群组帐户登录R3000 GUI时，却发现他不能改变总公司的最低级数的可接受利用策略。由于虽然南辨别公司没有自订的可接受利用策略，他们依然被总公司的可接受利用策略管控。

以上两个案例，具体说明Web内容安全过滤设备中多层次治理功能在不同行业的利用及效益。选购设备时，除应有的基本过滤功能外，具有有完善的治理功能也能够协助大型教育、政府、企业单位更有弹性、更有效率的实行安全利用策略。8e6科技网络安全行动治理解决方案不单单具有完善的过滤、报告、要挟分析等功能，在利用安全策略制定的方面的治理功能也非常弹性，其中包括：多层级治理（群组、部份、使用者IP、网域）、认证的整合（LDAP、AD、SSO、Radius和Web Base使用者）、访问时间治理、访问日期治理、访问种别治理等等。

评论加载中... 内容： 评论者： 验证码：