《内蒙古广电网络整改方案》由会员分享,可在线阅读,更多相关《内蒙古广电网络整改方案(17页珍藏版)》请在金锄头文库上搜索。
1、http:/ 1内蒙古广电网络整改方案北京远景助力科技有限公司2010 年 5 月 12 日http:/ 2内蒙古广电网络整改方案一:如何构建一个高效安全的网络 .2二:公司网络现状 .31:公司的网络现状 .32:公司现存在的网络问题 .3三:针对内蒙古广电网络整改建议 .41:深信服上网行为产品功能介绍 .42:针对存在问题建议实现的配置功能 .4四:安装售后及实施 .4五:典型的客户案例 .4六:深信服 AC 设备专利及荣誉 .4一:如何构建一个高效安全的网络:随着信息划时代的到临,企业办公越来越离不开网络,如:ERP(企业资源计划系统) ;CRM(客户关系管理系统) ;财务系统等。一个
2、高效安全的网络能够保证这些系统的高效运行和企业机密资料不被外泄,有效的提高企业的生产力和竞争力。高效安全网络的具体要求大致可分为以下几点:1:网络拓扑必须合理2:网络设备性能和兼容性要满足企业要求和和后续扩展3:客户端安全;员工权限必须明确4:带宽必须满足内部需求二:公司网络现状:1. 公司现有网络设备:工作站 60 台,交换机一台(二层部署) ,深信服 AC 设备 M5100 一台(路由模式部署)及其他设备若干。网络接入情况为:4M 电信接入。网络拓扑如下:2. 公司现阶段存在的网络问题:随着业务的发展和信息化建设步伐的加快,内蒙古广电的网络可用性和内网用户的互联网访问行为管控等问题日益严峻
3、,无孔不入的病毒(尤其是木马、ARP 欺骗) 、恶意软件、DOS 攻击等仍然大肆泛滥,严重影响了本机构应用系统的运行和业务的正常运作;据 google 调查表明互联网上独立网页超过一万亿,http:/ 3每天正以几十亿的速度在突飞猛涨。访问了挂马、含有恶意脚本、恶意插件的网页用户使内网安全经受巨大的考验,轻则导致内网用户断网,重则导致用户、企业机密信息被盗取,造成直接经济损失。另外,在针对内网安全方面(尤其是 PC 客户端准入安全检查) ,由于缺少专门的客户端安全检查设备,无法查找和修复内网的安全短板,从而无法有效的保护整个内部网络的安全性。更为重要的是上班时间内部用户的网络访问行为没有很好的
4、管理、控制方法,上班时间长时间使用 QQ 聊天、收发私人邮件、浏览无关网页、在 BBS、论坛上发帖等,不仅导致用户工作效率低下,还潜在可能向公网泄露机构内部机密信息,并可能因访问非法网站或发表非法言论而违反法律。由于员工的上网行为没有被管控,所以事后行为的审计成为企业面临的另一个大问题。单纯的靠人工进行审查,不但协调工作困难重重,造成周期冗长,而且统计的结果不一定是有效的,不能为企业的管理提供科学有效的管理依据。另外内网用户肆意使用 BT、PPLive 等 P2P 工具下载电影等、在线看电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。 员工一方面不断下载,一
5、方面抱怨上网速度慢,影响工作效率。为了满足员工的需求,企业不断扩充出口带宽,在耗费资金的同时也并没有从根本上解决制约速度的瓶颈。如何才能提高上网速度,怎么使有限的带宽资源得到最高效的利用?通过对本机构内部网络目前存在的问题,我们看到内蒙古广电在内网用户的互联网访问行为管控方面需要解决如下几个问题:1权限合理划分对于内蒙古广电内网网络的具体情况而言,需要做到给合适的用户以合适的权限,成为网络访问控制中首先需要考虑的问题,并且针对不同的用户发生的网络访问行为需要做到审计和记录功能。2.管理各种网络软件的使用用户在工作时间所从事的无关网络访问行为:对于内网用户在上班时间使http:/ 4用炒股软件进
6、行炒股行为;使用 QQ、MSN 等 IM 聊天软件;QQGame、传奇等各种网络游戏的使用;在线影音娱乐软件的使用; BT、迅雷等 P2P 下载软件对带宽的严重占用,都需要进行有效的管理和控制。3.阻挡不良站点访问和风险言论发布公网上的资源良莠不齐,存在着大量的色情,暴力,反动等网站,对于内蒙古广电来说,尤其需要对其内网用户所访问的公网站点进行严格管理和控制;对于内网用户向公网发布的各种言论,如何过滤,对于发布到公网的言论信息也需要进行详细记录,以备事后审计。4.保证客户端的安全性由于内网用户的机器没有限制,对于用户是否安装杀毒软件一无所知,也无法控制,所以无法保证在上网时的安全性,导致很容易
7、从访问网站中感染病毒,木马、被强制安装插件等不安全因素。5.统计内网的使用状况管理员无从得知网络的使用情况,只能根据内网用户反映,统计最多只能简单的记录一些 ip 访问情况,对于细致的带宽占用情况无法得知。6.记录用户的网络访问行为对于内网用户发生的各种网络访问行为,如访问了哪些公网网站、向公网论坛、BBS、发布了什么言论、发送的 Email 邮件信息等等行为需要进行记录,以便能具体到哪一位责任人。7.日志的海量存储和查询对于内蒙古广电来说,每天能够记录的用户公网访问行为信息量将是巨大的,对于已经记录的海量日志信息,通过怎样的方式进行方便和灵活的查询,上网记录能分时间段和帐号进行查询并打印,这
8、都是公司迫切需要解决的问题。三针对内蒙古广电网络整改的建议1.AC 上网行为管理设备功能介绍:1.1.1 识别:识别是管理的基础识别作为管理的基础,是上网行为管理产品功能是否健全的有利保障。http:/ 5SANGFOR AC 上网行为管理具有强大的识别功能。基于用户识别的功能支持以IP、MAC、IP/MAC 绑定、用户名密码、USB-Key 识别,公用账号认证,同时支持LDAP 认证、Radius 认证、POP3 认证、WEB 认证等等,其中 WEB 认证支持以windows 认证框方式实现 web 认证也支持以 HTTP POST 方式实现 web 认证。其次 SANGFOR AC 还能够
9、对终端进行识别,包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。面对互联网应用的不断扩大,SANGFOR AC 具备强大的应用识别功能,能帮助客户识别各种互联网应用,特别是目前 SSL 加密网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用,能够识别 SSL 加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过 SSL 加密的论坛/BBS 发帖、webmail 外发邮件、SMTP/POP3,AC 都能对其进行识别。1.1.2 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC 不仅通过内置
10、 URL 库,关键字过滤等方式进行管控。对于采用 SSL 加密的网页,如钓鱼网站等,AC 的证书验证链接黑白名单技术同样可以管控。AC 不仅管理用户使用 WEB、FTP、EMAIL 等常用服务,通过深度内容检测技术,实现对 QQ、MSN、SKYPE 等 IM 聊天工具,BT、电骡等P2P 下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。针对目前 P2P 行为泛滥的趋势,SANGFOR AC 的 P2P 智能识别技术能够对不常用的、未来可能出现的 P2P 软件进行有效管控。并且对 P2P 行为严重吞噬带宽资源的问题,提供流量控制功能。AC 所
11、具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。1.1.3 带宽及流量管理功能:强大流量分析及带宽划分与分配SANGFOR AC 的多线路复用专利技术使一台 AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。通过部署 SANGFOR AC 网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。SANGFOR AC 支持父通道中嵌套子通道,可支持 8 级子通道,最多能形成 11http:/ 6级流量通道,为用户提供细致的流量管理手段,实现大流量划分成小流量通道,分级管理。IT 管理者需要详细了解当前带宽资源的
12、使用情况,这可以通过访问 AC 的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步 IT 管理者就需要对非业务流量如 P2P 行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过 AC 智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合 QoS 优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。1.1.4 监控与审计功能:防止机密信息泄漏和法律违规事件谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。SANGFOR AC 关完善的访问审计和监控功能有效防止信息通
13、过Internet 泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送;对于通过 Webmail 发送邮件,AC 全面记录邮件正文和附件等;对于 QQ、MSN、Gtalk 等聊天内容提供全面记录功能;对于 BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的 URL 地址、网页标题、甚至整个网页内容,AC 也能完全监控和记录等。值得一提的是对于经过 SSL 加密的 webmail 外发邮件、SSL 加密的 SMTP/POP3,AC 也都可以基于关键字过滤和内容审计记录;SANGFOR AC 的访问审计/监控模块为机构构筑了强大的内部安全屏障。针对不同的用户、用户组,通过数据简单的勾
