园区网审计前端解决方案
园区网审计系统是防止在网上发布非法信息、泄密的事后取证系统。通常在园区网出入口处建立内容审计系统,对通过的流量进行应用恢复与还原,对非法流量进行自动备份,并由此确定发送者。系统自动运行,不需要人工干预。内容审计系统具有证据保留的作用,可作为司法追究的依据。
园区网审计系统主要有以下作用:
(1)检查网络用户在网络上发表的言论、发送的信息,保障其行为符合国家法律的要求,不损害国家和他人利益,保证互联网安全、和谐有序运行。
(2)在已知可疑人员部分网络信息,如邮件地址、QQ帐号的情况下,能够快速锁定目标当前的网络地址,并根据认证系统中的相应信息进行人员定位。
(3)在园区网络环境中,确保用户发送的信息满足单位信息安全要求,对特定信息外传进行报警和存档。
(4)检查经常使用特殊网络工具对外联系或者发送数据的人员。
一般性的园区网审计系统处理流程如图1所示。
各模块的作用如下:
戎腾网络是园区网审计系统的硬件提供商,所研制的多种设备和部件可以应用于不同的场合:
(1)TransCon2402(简称TC2402)汇聚分流设备:用于园区网有多个链路接入ISP时,数据的聚合、分流、过滤。TC2402系统应用于10G/1G LAN光线路中,支持将线路上接入的数据分流/汇聚,转发到1G/10G输出接口上,同时对数据做分析处理。TC2402主要实现10G LAN链路流量接收、过滤以及分流;千兆LAN链路流量接收、过滤以及汇聚,能高效地解决在网络接入层和汇聚层链路上进行内容审计、入侵检测、行为分析和流量统计所面临的数据获取问题。
(2)PCAP2智能网卡:采用多域过滤技术、零拷贝技术和多通道虚拟队列技术,用于衰减无关流量,实现报文到达服务器的高性能捕获。PCAP2支持最大64K条多元组规则,实现报文头的精确匹配、掩码匹配和范围匹配;
(3) SMA系列智能网卡:采用高性能连接跟踪技术,用于降低服务器在进行协议还原时会话管理的计算负载。SMA能够对TCP流执行顺序整理、重传报文清理等工作,并以一个完整会话形式提交分析服务器,从而显著提高分析服务器的性能。SMA还具备多元组过滤功能。SMA系列智能网卡包括SMA11(一个千兆电口和一个万兆光口)和SMA20(双万兆以太网)
相关产品,参见戎腾产品的“汇聚器 & 分流器”和“智能网卡”。