深信服上网行为管理解决方案(样例) 2017-11-22 09:29
上网行为管理系统建设必须适应当前企业各项应用,又可面向未来信息化发展的需要,系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。
设计思路
通过针对企业信息网络业务需求分析,结合上网行为管理系统建设原则,总结出本次方案的设计思路:
- 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。
- 在企业内部办公场所部署无线AP,由上网行为管理系统统一控制。
- 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组织架构,为后续网络管理奠定基础。
- 通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。
- 在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引起法律纠纷。
- 通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。
- 由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效管理,在总部部署一台集中管理设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。
方案介绍
解决方案
通过在网络出口处部署上网行为管理系统(以下简称AC),对员工上网行为进行精细化控制,以及对内网无线AP实现统一管理。
部署方式
网关
AC以网关模式部署于网络出口处,对内网用户上网行为进行识别与控制。 AC在网关模式下,具有路由选路、NAT地址转换等路由器功能,在网络出口充当“路由器”的角色,满足三层组网要求。针对外网有多条连接互联网线路时,AC具备的多线路智能选路和多线路复用专利技术,可为出口的多条线路进行优化选择和流量均衡分配,为企业出口线路提供优化的速度和平衡的流量负荷。
网桥
在核心交换机和防火墙之间部署AC,AC以网桥模式部署,实现对内网用户上网行为管理,并且不用更改网络结构、路由配置以及IP配置,部署简单快捷。
同时,AC具有Bypass功能,在网桥模式部署下关机、开机、重启或者出现故障,则通过Bypass功能实现两端接口二层连通,避免出现链路断开状态,保证业务持续性。
AP部署
根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。
区域一放置XX个AP负责覆盖XXX
(平面图)
区域二放置XX个AP负责覆盖XXX
(平面图)
区域三放置XX个AP负责覆盖XXX
(平面图)
……
设备清单及位置统计如下:
| 序号 |
设备类型 |
设备品牌 |
设备型号 |
放置区域 |
设备数量 |
合计 |
| 1 |
无线接入点AP |
深信服 |
|
区域1 |
|
|
|
|
区域2 |
|
||||
|
|
区域3 |
|
||||
|
|
区域4 |
|
||||
|
|
区域5 |
|
||||
| 2 |
上网行为管理 |
|
核心机房 |
|
|
|
| 3 |
POE交换机 |
|
1楼弱电井 |
|
|
|
|
|
2楼弱电井 |
|
||||
|
|
3楼弱电井 |
|
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
信道规划如下图:
图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。
身份认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。
内部用户
对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
无线临时用户
对于无线临时用户,通过(短信认证、微信认证)方式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现状和用户行为,保障管理效果。
应用控制
互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。AC内置庞大应用特征识别库,包含2000多种应用,4500种规则,600种移动应用。可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控制,还能够通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势, AC的P2P智能识别技术基于P2P行为进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识别库动态更新。
发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
加密应用识别
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
多线路复用和智能选路
企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路,大小不一,流量分配不均,达不到预期的使用效果。
AC拥有专利技术(ZL 200610061591.9,一种基于网关/网桥的线路自动选路方法),可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。通过部署AC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题, AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链路。在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术,实现更灵活的带宽分配。
安全防护
AC在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是一个和谐的内网环境。内网用户中毒,感染局域网,导致业务中断,这在很多企业中曾经出现过。因此,通过AC安全防护功能,从外至内提供牢固的内网安全防线。
网关杀毒、防火墙
作为一个全面的内网管理设备, AC提供了丰富的安全增值功能。AC集成杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项,病毒库实时升级,帮助组织查杀病毒,支持杀毒引擎在线自动升级,也支持用户手工升级病毒库。
AC具备强大的防火墙功能,不仅是对内网的环境保护,也是对设备自身的一个保护,保证设备在内网中的稳定性。
危险行为识别
内网用户将PC带出企业,不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒,当其他用户接受这些看似正常的邮件时,就会无意间受感染。AC通过危险行为智能识别、告警和阻断功能,防止企业遭受来自内部网络的安全威胁,并及时告警,帮助管理员快速定位安全隐患,及时响应,避免损失。
危险插件过滤
企业员工在访问互联网网页时,经常出现打开网页后,未等用户反应看清插件名字时,插件已自动安装。部分插件提示用户安装,但用户在不清楚插件是否合法的情况点了安装。随着电脑中安装插件的个数增加,用户电脑处理任务的速度越来越慢,甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。因此,AC在注重用户网络安全方面提出了危险插件过滤功能。
AC将判断插件的数字签名是否合法,插件是否被修改过数据,证书是否过期等信息,自动过滤不合法的插件。同时,AC可设置信任插件,如常用的在线杀毒插件、播放器插件、休闲娱乐插件等,避免误杀情况。
网络准入规则
AC的网络准入规则通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。准入的设计意义在于三个方面:
- 仅靠网络边缘的外围设备已经无法保证安全性。
- 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
- 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、不安装防火墙和杀毒软件等,都成为局域网安全中的漏洞。
鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略,如操作系统版本和补丁安装情况、杀毒/防火墙软件安装情况、系统进程、硬盘文件、注册表等。不满足预设要求的接入端点,禁止其访问互联网或仅提交报告。
通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,利于企业推行统一的IT政策。
防ARP欺骗
ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包,从而导致整个广播域用户无法访问外部网络资源。
如何有效防控ARP欺骗是目前用户和业界的难题之一。AC通过网络准入规则插件结合防ARP欺骗技术,保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题,而且网络准入规则技术还将进一步加强端点安全级别,提升整个网络安全级别。
外发文件告警
数据泄密通常在HTTP、FTP、Email附件外发文件时会篡改、删除扩展名,压缩、加密再外发。AC能够对外发文件进行深度识别,一旦发现文件后缀名被篡改或删除则定义为安全威胁,并且执行报警工作。
自动告警
AC支持在一定时间段里内网用户流量超过一定阀值时,实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时,内网由DOS攻击、ARP攻击产生的流量值会增加,当超过管理员设定的值时,自动告警提醒管理员内网安全存在隐患,以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警,AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。
防代理功能
部分员工为了逃避网络管理员对他的网络管控,通过使用代理、翻墙软件,越过网络规章制度,毫无顾忌的上网,给企业的网络管理和内网安全带来了一定的威胁。
AC可自动识别内网中使用代理、翻墙软件的终端,可对HTTP代理、SOCKS4、SOCKS5代理实行控制,禁止在HTTP协议和SSL 协议标准端口使用其他的协议,从浏览器的根源处防止代理行为的发生。一旦用户使用自由门、无界浏览器,AC将自动记录并阻断代理违禁行为,避免出现泄密和网络不可控的事件发生。
行为审计
许多企业网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公开,给企业将带来泄露商业机密、触犯法律风险等违规违法的隐患。当这类事情出现的时候,为了在最短的时间内找到网络违法的当事人,避免由企业承担相应法律责任。因此,通过AC的应用审计功能,详细记录员工的日常上网行为。
实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖, AC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。
通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
免审计Key
机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
日志审查Key
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
方案优势
全面
深信服上网行为管理基于对网络应用的识别,通过识别出应用的类型、特征,从对应用封堵、限制和记录其内容进行审计。AC具有千万级的URL库和国内最大的应用识别规则库,包含2000多种应用,4500种规则,600种移动应用,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频和移动APP等。同时,AC还能够识别SSL加密应用,如加密邮箱、加密网页等。
通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,保障核心业务应用,限制与工作无关的行为。同时,通过应用识别,管理员能够准确的记录内网用户的上网行为,如访问了哪些网站、使用了什么软件,全面管理无漏洞。
细致
上网行为管理不是简单的对应用进行封堵,而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制,如分别识别出网盘应用中的登陆、浏览、上传和下载等动作,根据企业中防泄密需求,实现允许浏览下载,同时禁止上传。通过细分控制,能够更细致的对员工的上网行为进行管理。
在审计方面,深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
灵活
AC支持父子通道技术,最高可支持八级,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,由于通道具有父子关系属性,在后期维护中既能整体调整带宽,又能局部调节,带宽分配更灵活。
在应用管理方面,引入标签化的概念,对应用打上标签,通过选择标签来指定多个应用,而无须再一个一个的查找,使得应用管理更加灵活高效。
有效
P2P应用具有强烈的带宽侵蚀特性,为了保护带宽资源不被滥用,必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用,外网线路依然被占用,影响核心业务应用。通过深信服P2P智能流控技术,能够有效的从源端抑制P2P下行流量,使得核心业务应用有足够的带宽资源。
同时,AC具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
应用价值
通过在网络出口部署深信服上网行为管理系统AC,对企业网络的进出数据流量进行管理。
提升工作效率
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件, AC通过检测应用数据包的特征字段,实现对IM聊天软件的管控,提升工作效率。
全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、网络游戏等问题,AC支持应用识别规则库,包含2000多种应用,4500种规则,600种移动应用,对员工上网行为进行全面管理。
上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
提高带宽利用率
多线路策略
AC支持多线路复用、带宽叠加技术(专利号:200310112006X),企业通过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。
P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。
动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单一、死板的流控方法更有效的提升带宽利用率。
带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
避免泄密和法律风险
在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
保障内网安全
防病毒
内网用户在访问internet时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃,使员工无法正常工作。而如果在上网过程中使用上网安全桌面,则可以有效的防止这些病毒程序对本机造成破坏。
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。
同时,AC具有网关杀毒功能,集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网用户访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。
插件、脚本过滤
网络上“危机四伏”到处存在安全隐患,使得用户防不胜防。AC的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。
由于网络应用的不断发展,网页上提供的功能越来越多样化,要求用户安装插件的情况越来越普遍。AC支持插件过滤,能够根据插件的名称、签名、证书等过滤掉IE插件,同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况,阻止恶意监控软件盗取个人信息、企业机密。
文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,使整个网络瘫痪。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
修复内网安全短板
根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个内网用户群。借助网络准入规则技术(专利号:200510037455.1),AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,从而修复内网安全短板。
防DOS、防ARP欺骗
即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击,而AC通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。
ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
综合网管功能介绍
DCN(Data Communication Network)是电信运营商为其各类支撑系统提供专用数据通信的网络,旨在为各类业支、网管系统提供通用的业务传送平台。DCN的组建能为各专业网的OSS提供统一的业务传送平台,承担综合BSS以及CRM系统的数据共享;同时,DCN还承载全省内部的OA办公、邮件系统、公文流转、企业内部网站应用和管理支撑系统(MSS),包括ERP系统、数据仓库等。
DCN及其承载的各应用系统的访问质量、用户体验成为运营商关注的重点。
APM提供面向网络和应用的质量监测及性能分析解决方案
深信服提供的APM(应用性能管理)产品,聚焦运营商所关注的DCN及其承载的核心应用系统,针对网络性能、应用性能进行建模实时质量监控,并提供进一步的性能分析报告,提升DCN及BSS系统的稳定性和访问体验质量。
以省级DCN为例,通过在省级运营商DCN节点部署APM设备,APM通过分析镜像过来的数据,实现对省内各级营业厅的网络接入质量、访问核心应用系统的用户体检进行实时监测分析,当出现网络质量下降、用户访问体验下降时,可通过短信或邮件实现提前预警。
- DCN质量监测及性能分析
APM可基于DCN业务分支(各营业厅)维度,提供DCN流量构成分析功能。可以帮助用户实现对DCN总流量可视、每条分支(每个营业厅)流量构成可视。
如各营业厅通过DCN访问省级数据中心业务,流量分布是否合理,是否需要扩容;有无异常事件,有无中断风险等,APM都可以按照用户需求进行友好的呈现分析。
此外,APM提供DCN网络性能的IP SLA建模分析监控,提供定期的网络运行分析报告,除此之外,当线路及线路承载的业务出现故障风险时,可提前预警,帮助用户规避业务风险。
各营业厅网络质量一览
DCN质量分析参数表
| 各营业厅网络质量详细 |
应用流速趋势、网络时延趋势、重传率趋势、连接可用性趋势、服务器响应时延趋势、带宽利用率趋势 |
| 各营业厅网络异常事件 |
链路层、IP层、传输层、应用层、网络攻击等异常事件 |
| 各营业厅活跃用户 |
按总流量排行、按连接失败次数排行 |
| 各营业厅应用流量分布 |
业务系统总流量排行、应用流速趋势、7层应用流量 |
| 各营业厅数据包长度分析 |
数据包分布、数据包趋势 |
| 各营业厅访问的目标服务器 |
目标服务器总流量排行、连接失败次数排行 |
| 各营业厅访问的系统 |
系统按总流量排行、连接次数排行 |
DCN质量分析实际效果图
- BSS系统可用性质量监测及性能分析
深信服APM通过主动探测+旁路被动实监测分析双重机制,针对运营商所关注的BSS/OSS/MSS等应用系统进行7*24小时的健康度、可用性监控,在故障前实现预警。此外,提供针对系统的健康度评分报告,帮助用户掌控系统运行状况,为优化系统提供数据支撑。
BSS系统可用性主动探测
APM可以直接通过TCP握手探测,来判断系统是否存活,当然这还不够,仅通过TCP握手无法判断应用层的状态,可能系统存活,但是已经工作不正常了。因此APM还可以通过定义应用层交互内容,来判断系统应用层的状态。
| 健康状态监测 |
支持BSS、OSS、MSS、HTT、FTP、Mail等各类应用 |
| 状态参数 |
提供系统状态、可用性、响应时延、告警状态等信息 |
| 探测技术 |
支持TCP CONNECT、URL探测、自定义探测、支持正则表达式 |
| 阀值告警 |
可根据不同的健康等级定为阀值告警 |
BSS系统质量旁路被动分析
通过旁路数据包解包和协议解码技术,提供7层WEB应用的性能监控,系统页面、终端用户数、页面加载时间、RTT、带宽利用率、TCP/HTTP错误、网络/服务时延、吞吐率、丢包率等用户体验因素可自动关联判断。
| BSS系统质量详情 |
该系统总流速趋势、网络时延趋势、重传/乱序趋势、首次应答时延趋势、HTTP请求应答时延分布、TCP发送窗口趋势、连接可用性趋势、并发会话数趋势 |
| BSS系统会话详情 |
按总流量排行、按会话峰值排行 |
| BSS系统来访分支营业厅/区域/用户 |
按总流量排行、按访问连接失败数排行 |
此外,APM可实时监视指定WEB应用的性能、页面加载时间、受影响用户数、错误数等信息,支持直观展现访问该页面速度慢的用户来源区域分布(营业厅)。
所有访问用户(营业厅)详情
出现变慢/异常的BSS系统URL分析
- DCN及BSS质量下降智能预警及报表功能
智能预警
APM智能预警功能默认含线路流量异常告警、区域网络异常告警、线路网络异常告警、网络攻击告警、区域流量异常告警、系统可用性告警、系统响应缓慢告警等信息,并可根据APM设备监控、应用系统监控、流量监控等信息为特定的服务器量身定做自定义告警策略,提高管理的效率及响应及时性。
质量报表自动生成
针对运营商所关注DCN质量、BSS等应用系统的质量,用户访问体验是否下降,有无异常事件等,APM提供报表自动生成功能,基于网络、应用两个维度,将相关信息汇总呈现给用户,为用户优化当前网络、应用提供客观的数据支撑。设备内置相关质量报表模板,同样支持用户自定义模板。
|
||||||
|
||||||