Web內容安全過濾設備應注重多層次管理功能

【賽迪網-IT技術報道】保護企業免遭互聯網威脅的最集中的硬體設備解決方案，除了集成最佳的URL過濾、WEB應用報告、實時監控以及內部威脅清除等功能之外，還應該包括多層次管理功能。當擁有分公司/子公司分佈在各個不同城市或國家的中大型企業希望在公司大方向的安全策略下，給予不同分公司或子公司某種程度權限修改其適合的安全策略時，就需要採用分層管理功能協助企業完成目標。單一的管理層僅適用於獨立企業集中管理的安全策略，無法因應不同分公司與子公司的Web需求，也會增加總公司IT人員的工作負擔。

多層次管理功能應包含全球管理員、群組管理員、最低過濾級別、群組、子群組、檢測範圍、特別帳戶、同步集中控制管理等方面。其中，全球管理員（Global Administrator）是一個擁有所有過濾設備絕對控制權的帳戶。全球管理員能夠根據公司安全策略，在Web內容安全過濾設備上建立不同的群組，並且再為每個群組建立一個小組。全球管理員能夠無限制地控制所有Web內容安全過濾設備的功能。

群組管理員由全球管理員建立。在全球管理員授權修改的安全策略範圍內，群組管理員帳戶可以針對群組的需求修改適合的安全策略。群組管理員所修改的安全策略僅能影響到這個帳戶所管理群組。每一個群組，可以只設立一個小組管理員賬戶。

最低過濾級別（Minimum Filtering Level (MFL)）是由全球管理員定訂的過濾級別。最低過濾級別是全公司無論哪一個群組必須一致執行的最低標準策略。例如，當公司定訂最低限度的安全策略標準是過濾色情與信息安全威脅相關類別，群組管理員就不能夠從該群組的過濾器設備中取消任何與色情和信息安全威脅類別相關的安全策略，僅能針對其它類別訂定適合的安全策略。當公司要全面實行安全使用政的同時，又希望給予各群組某種程度的修改權限時，MFL就非常有用。下游的群組管理員可以增加最低過濾級別的類別，但是無法清除由全球管理員訂定的最低過濾級別的。

群組的定義是由全球管理員設定的一群使用者。例如：全球管理員可以設定子網絡 10.10.10.0/24 為一個群組。全球管理員或群組管理員均可以建立一個子群組。子群組用於更進一步描述小組的成員。以上面的例子為例，如果子群組以子網10.10.10.0 /24訂定為一個群組，在這個群組下可以再創造子群組，例如10.10.10.0 /25和10.10.10.129 /25 。全球管理員可以確切判斷某一個IP地址是來自哪一個網域。

特別帳戶是一個用戶名/密碼，由全球管理員或群組管理員創建。其目的是要允許某其帳戶可以不受安全使用策略的限制，造訪任何網站。全球管理員可以選擇允許特別帳戶繞過最低過濾級別，也可以選擇特別帳戶僅受最低過濾級別限制。特別帳戶可以分配給任何使用者。

當公司配置多台過濾設備時，可允許過濾設備之間建立主從關係，同步集中控制管理所有過濾設備。當主要的過濾設備有任何改變時，附屬機上也會體現出來。這項功能在多台過濾設備環境下非常有幫助，管理員可以免除手動一一變更設定的作法。

既然我們瞭解了分層管理的功能，那麼分層管理在實際的工作中有哪些用途呢？不妨以案例來說明。舉例，一個有5所小學、3所中學和2所高中的學區辦公室擁有T3互聯網入口，利用T1連接每所學校。所有互聯網接入必須通過學區辦公室的端口連接互聯網。學區有可接受使用策略，所有學生和學區員工均不得訪問被分類為色情、R級、賭博、非教育性在線遊戲、基於互聯網的電子郵件、暴力和歧視、酒、違禁藥品、邪教和駭客相關的所有網站。然而，可接受使用策略中有一個例外：若經校長同意，學區裡學校的心理輔導師以及顧問為了提升學生品質以研究為目的，可以訪問被限制的網站。

在學區辦公室安裝8e6 R3000G網絡安全行為管理設備，用以過濾所有透過學區端口出去的互聯網流量。然後，學區的全球管理員建立一個最低過濾級別，用來阻擋學區可接受使用策略中最低應被限制訪問的網站類別。建立最低過濾級別的同時，全球管理員也建立特別帳戶給予學校的心理輔導師以及顧問並授權她們可以訪問被最低過濾級別限制的網站。然後，再為每一所學校建立不同的群組與群組管理員賬戶，賬戶由每一所學校的校長控制，除了最低過濾級別不能清除之外，這些群組管理員賬戶均可以根據學校的策略設定符合學校需求的安全使用策略。任何用戶的互聯網訪問行為不僅會被學區可接受使用策略的最低級別管理，還能開放給需要做研究的用戶訪問被限限制的網站。

以上是在校園環境下的分層管理，下面以企業為案例的分層管理實踐。比如，一個集團網絡的所有分公司均需經過總公司端口連結互聯網，總公司的信息中心用OC-3互聯網連接，並且擁有可改變到每分公司流量的連接。為了使每個子子公司和分公司能夠訪問互聯網，這些子公司和分公司的連接必須經過集團的信息中心。

總公司發佈可接受應用策略的執行，要求所有分公司不允許使用IM或訪問含有惡意程序、股票、流媒體、在線購物、在線遊戲、網絡電郵、色情、賭博、憎恨和歧視以及所有非法活動。可接受應用策略還說明每家分公司可以制訂自己的可接受應用策略。在信息中心，網管員安裝了3台負載平衡8e6 R3000、2台R3000S網絡安全行為管理設備，來處理 155.5Mbps的流量，並且還安裝了一台備用R3000.這些設備採用R3000上主機/附屬機同步集中控制管理功能。網管員為R3000s做了配置，滿足總公司可接受應用策略的最低過濾級別。他還為每分公司創建了一個群組，並且為每個群組設定了一個管理員。

在每個分公司，網絡管理員能夠利用提供的群組帳戶登錄。網絡管理員可選擇使用集團提供的最低過濾級別或者增加最低過濾級別。重要的是網絡管理員不能提總公司設立的要求。比如，西分公司能夠收到群組帳戶，而永遠不能登錄R3000。這樣做的結果就是所有分公司的用戶能夠在總公司可接受應用策略的基礎之上實現過濾。

在東區分公司，網絡管理員需要採用比總公司更加嚴格的可接受應用策略。因此，網絡管理員可以利用現有群組帳戶登錄。為了滿足分公司的可接受應用策略，他可以申請過濾額外的目錄內容。在北區分公司，分公司的可接受應用策略會比總公司制訂的嚴格並且還要符合總公司的制訂的最低過濾級數的可接受應用策略。本案例中，北區網絡管理員會利用群組帳戶登錄並且為北區中的各個分公司建立另一個子群組。如此一來，北區分公司可以自行制訂更加嚴格的應用策略。在南區分公司，南區分公司的網絡管理員是不支持互聯網過濾。因此，他漠視總公司的可接受應用策略，並且想要利用群組帳戶來取消互聯網過濾限制規避總公司對分公司的互聯網訪問管控。然而，當他利用總公司提供的群組帳戶登錄R3000 GUI時，卻發現他不能改變總公司的最低級數的可接受應用策略。因為儘管南區分公司沒有自訂的可接受應用策略，他們仍然被總公司的可接受應用策略管控。

以上兩個案例，詳細說明Web內容安全過濾設備中多層次管理功能在不同行業的應用及效益。選購設備時，除了應有的基本過濾功能外，擁有有完善的管理功能也能夠協助大型教育、政府、企業單位更有彈性、更有效率的實行安全應用策略。8e6科技網絡安全行為管理解決方案不僅僅擁有完善的過濾、報告、威脅分析等功能，在應用安全策略制訂的方面的管理功能也非常彈性，其中包括：多層級管理（群組、部門、使用者IP、網域）、認證的整合（LDAP、AD、SSO、Radius以及Web Base使用者）、訪問時間管理、訪問日期管理、訪問類別管理等等。

(