典型企业网边界安全解决方案.docx

典型中小企业网络边界安全解决方案Hillstone Networks Inc.典型中小型企业网络边界安全解决方案2 / 43目录1前言.41.1方案目的.41.2方案概述.42安全需求分析.62.1典型中小企业网络现状分析 .62.2典型中小企业网络安全威胁 .82.3典型中小企业网络安全需求.102.3.1需要进行有效的访问控制.102.3.2深度应用识别的需求.112.3.3需要有效防范病毒 .112.3.4需要实现实名制管理.112.3.5需要实现全面 URL 过滤 .122.3.6需要实现 IPSEC VPN.122.3.7需要实现集中化的管理.123安全技术选择.133.1技术选型的思路和要点 .133.1.1首要保障可管理性 .133.1.2其次提供可认证性 .133.1.3再次保障链路畅通性.143.1.4最后是稳定性.143.2选择山石安全网关的原因.143.2.1安全可靠的集中化管理.153.2.2基于角色的安全控制与审计.163.2.3基于深度应用识别的访问控制.173.2.4深度内容安全(UTMPlus®).173.2.5高性能病毒过滤.183.2.6灵活高效的带宽管理功能.193.2.7强大的 URL 地址过滤库 .213.2.8高性能的应用层管控能力.213.2.9高效 IPSEC VPN.223.2.10高可靠的冗余备份能力.224系统部署说明.234.1安全网关部署设计.244.2安全网关部署说明.25典型中小型企业网络边界安全解决方案3 / 434.2.1部署集中安全管理中心.254.2.2基于角色的管理配置.294.2.3配置访问控制策略 .304.2.4配置带宽控制策略 .314.2.5上网行为日志管理 .334.2.6实现 URL 过滤.354.2.7实现网络病毒过滤 .364.2.8部署 IPSEC VPN.374.2.9实现安全移动办公 .385方案建设效果.38典型中小型企业网络边界安全解决方案4 / 431 前言1.1 方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在 2 千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的 ERP 系统，支撑企业员工处理日常事务的 OA 系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。1.2 方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部典型中小型企业网络边界安全解决方案5 / 43集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。典型中小型企业网络边界安全解决方案6 / 43保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用 P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为；保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；实现实名制的安全监控：中小型企业的特点是，主机 IP 地址不固定，但全公司有统一的用户管理措施，通常通过 AD 域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的 IPSEC VPN 功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；对移动办公的安全保障：利用安全网关的 SSL VPN 功能，提供给移动办公人员进行远程安全传输保护，确保数据的传输安全性；2 安全需求分析2.1 典型中小企业网络现状分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业典型中小型企业网络边界安全解决方案7 / 43务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过 VLAN 来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在 VLAN 的基础上还配置了 ACL，对不同 VLAN 间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：典型中小型企业网络边界安全解决方案8 / 43典型中小企业组网结构示意图2.2 典型中小企业网络安全威胁在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在 TCP/IP 网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括：【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的 ERP、OA 和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的） ，有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；【恶意代码传播】大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范 ARP 欺骗】大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播 ARP 地址，在相互交换 IP 地址和 ARP 地址后方可通讯，典型中小型企业网络边界安全解决方案9 / 43特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP 欺骗就是某台主机伪装成网关，发布虚假的 ARP 信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密；【恶意访问】对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。这种恶意访问行为包括：过度使用 P2P 进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】常见的访问控制措施，还是 QOS 措施，其控制依据都是 IP 地址，而众所周知 IP 地址是很容易伪造的，即使大多数的防火墙都支持 IP+MAC 地址绑定，MAC 地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的 IP 地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装成高级别员工的地址，从而可占用更多的资源。身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据 IP 地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】典型中小型企业网络边界安全解决方案10 / 43大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP 网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；【不安全的远程访问】对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。【缺乏集中监控措施】典型中小型企业的特点是，集中管理，分布监控，但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。2.3 典型中小企业网络安全需求针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。典型中小型企业网络边界安全解决方案11 / 432.3.1 需要进行有效的访问控制网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。2.3.2 深度应用识别的需求引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的 P2P 和 IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和 QOS，提升控制和限制的精度和力度。对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。2.3.3 需要有效防范病毒在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。典型中小型企业网络边界安全解决方案12 / 432.3.4 需要实现实名制管理应对依托 IP 地址进行控制，QOS 和日志的缺陷，应实现基于用户身份的访问控制、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，先进行准入验证，验证通过后将验证信息 PUSH 给网关，网关拿到此信息，在用户发出上网请求时，根据 IP 地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。2.3.5 需要实现全面 URL 过滤应引入专业性的 URL 地址库，并能够分类和及时更新，保障各个分支机构在执行 URL 过滤策略是，能够保持一致和同步。2.3.6 需要实现 IPSEC VPN利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。但是由于互联网平台的开放性，如果将原本在专线上运行的 ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供 IPSEC VPN 功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。典型中小型企业网络边界安全解决方案13 / 432.3.7 需要实现集中化的管理集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。3 安全技术选择3.1 技术选型的思路和要点现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。3.1.1 首要保障可管理性网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的典型中小型企业网络边界安全解决方案14 / 43特点，在不违背全局性策略的前提下，进行灵活定制。3.1.2 其次提供可认证性设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在 QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。对于中小企业而言，设备必须能够与中小企业的 AD 域管理整合，通过 AD 域来鉴别用户的身份和角色信息，并根据角色执行访问控制和 QOS，根据身份来记录上网行为日志。3.1.3 再次保障链路畅通性对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的 URL 地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的 URL 地址库，并能够自动升级，降低管理难度，提高控制精度。中小企业的链路是有限的，因此应有效封堵 P2P、IM 等过度占用带宽的业务访问，保障链路的有效性。3.1.4 最后是稳定性选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网典型中小型企业网络边界安全解决方案15 / 43通信的故障，因此采取集成化的安全产品应当是必然选择。另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。3.2 选择山石安全网关的原因基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核 Plus G2 硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。山石网科安全网关在技术上具有如下的安全技术优势，包括：3.2.1 安全可靠的集中化管理山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN 配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。 利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建典型中小型企业网络边界安全解决方案16 / 43安全策略或管理软件升级。同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过 CLI 接入。 山石网科安全管理中心还带有一种高性能日志存储机制，使 IT 部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。 山石网科安全管理中心采用了一种 3 层的体系结构，该结构通过一条基于 TCP 的安全通信信道安全服务器协议（SSP）相连接。SSP 可以通过 AES 加密和 SHA1 认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密 TCP 通信链路，就不需要在不同分层之间建立VPN 隧道，从而大大提高了性能和灵活性。 山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。3.2.2 基于角色的安全控制与审计针对传统基于 IP 的访问控制和资源控制缺陷，山石网科采用 RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免 IP盗用或者 PC 终端被盗用引发的数据泄露等问题。另外，在采用了 RBNS 技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事典型中小型企业网络边界安全解决方案17 / 43件的定位。在本方案中，利用山石网科安全网关的身份认证功能，可结合 AD 域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的 QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。3.2.3 基于深度应用识别的访问控制中小型企业的主要业务应用系统都建立在 HTTP/HTTPS 等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。Hillstone 山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括 P2P、IM(即时通讯)、游戏、办公软件以及基于 SIP、H.323、HTTP 等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。3.2.4 深度内容安全(UTMPlus®)山石网科安全网关可选 UTMPlus®软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过 2000 万域名的 Web 页面分类数据库可以帮助管理员典型中小型企业网络边界安全解决方案18 / 43轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL 库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的 URL做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击后，不会影响到其他节点。并且山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。3.2.5 高性能病毒过滤对于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通信速度形成很大影响。山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也就是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。流扫描策略传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。典型中小型企业网络边界安全解决方案19 / 43文件接受扫描文件发送延迟山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，如果没有检查到病毒，则发送数据包流。由此，用户将看到明显的延迟改善，并且他们的应用程序也将更快响应。文件接收扫描文件发送延迟流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。基于策略的病毒过滤功能山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保护。3.2.6 灵活高效的带宽管理功能山石网科产品提供专有的智能应用识别(Intelligent Application Ide