《深信服 上网行为及负载均衡 技术方案》由会员分享,可在线阅读,更多相关《深信服 上网行为及负载均衡 技术方案(28页珍藏版)》请在金锄头文库上搜索。
1、技术方案本方案包含两个部分,上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: 网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; 沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系; 移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的 IT 系统,员工更喜欢通过 WLAN、移动终端类开展工作;因此,在员工的日常工作中,ISD 需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个
2、更安全、更高效的上网环境。上网行为管理需求员工访问互联网的习惯正在发生变化,从最早使用 PC、有线局域网,到更多使用移动终端、WLAN 来进行办公,如果过度开放的上网环境会带来以下问题:工作效率低下网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动 APP 版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。所以,组织需要针对 PC、移动终端等各种应用、APP 进行更有效的识别和管控。带宽滥用和浪费互联网中充斥着 P2P 下载、在线视频、游戏、在线小说
3、等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。所以,IT 部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。BYOD 难管理随着移动终端的普及,员工往往会采用 PC、智能手机、Pad 等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业 IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动 A
4、PP 难以管控等管理问题。所以,IT 部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。WLAN 安全隐患在一些没有提供 Wlan 的单位,员工为了便捷性,往往会通过 360 随身WiFi、家用 WiFi 路由器等方式私自建立个人 Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。所以,IT 部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。访客接入繁琐企业组建 WLan 后,当有来宾访客需要上网时,要么直接开放,安全风险高,人
5、员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。数据泄密伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。网络违规违法企业内网用户在日常办公中拥有访问互联网的权限,可通过 QQ、MSN、论坛或微博等方式外发信息,如果包
6、含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。所以,组织需要根据 82 令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。2、有线无线网络统一行为管理方案结合上述的用户需求以及 IT 系统的现状,深信服可以为 ISD 提供一套完整、可视、智能联动的互联网出口安全解决方案。方案整体概述 互联网出口上网行为管理:部署深信服 AC 于互联网出口,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽控制策略。智能联动:此外,互联网出口上网行为管理设备和无线网络上网行为
7、管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让多台 AC 同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。有线和无线网络统一上网行为管理部署了深信服上网行为管理设备,为可以帮助 ISD 提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了 IT 运维效率,还提升了用户上网的操作体验。安全便捷的用户认证为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。内部员工认证:AC 支持本地认证功能,包括
8、 Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定、USB-Key 等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。AC 支持与 LDAP、Radius、POP3 等外部认证服务器或者 SAM、CAMS 等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC 能够获取用户认证信息,用户不用在 AC 上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC 能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。外来访客认证:为了
9、省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求。深信服上网行为管理 AC 提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。短信认证,来宾只需要输入手机号码,获得并输入短信验证码后,就可以获得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击 3 次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。微信认证,访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量,更好的帮助组织推广品牌宣传。二维码认证,访客认证页面
10、会自动弹出一个二维码,只有内部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。灵活细致的权限控制深信服上网行为管理系统具有千万级 URL 库和国内最大的应用识别规则库,包含 1100 多种应用、2400 多种规则,可识别目前网络中各种主流应用,如 IM 聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。同时,AC 还能够识别 SSL 加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。多维度的灵活策略为了针对一个
11、用户有多台 BYOD 终端进行灵活、细致的策略管控,深信服AC 可以识别各种终端类型,包括 windows、IOS、安卓、phone、pad 等类型,还可以识别出用户接入网络的位置,包括有线、无线、办公位、会议室等等。从而制定用户的上网策略时,可以从用户角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如用户角色 A,在办公位置上使用 PC 接入,可以访问权限较多;但在接待区通过无线网络,使用 iPad接入网络时,只有上网权限,不能访问内部安全界别较高的应用系统等。移动 APP 管控为了满足移动终端的管理需要,深信服上网行为管理系统可以针对数百种移动终端的 APP、云应用
12、,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。防止非法 AP 和代理深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线 AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法 AP 接入企业网络入侵。应用标签化管理员可通过 AC 对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。加密应用识别SSL (Secure Socket Layer)协议,被广泛地用于 Web 浏览器与服
13、务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL 加密,如 Google 搜索、Gmail、QQ 邮箱、bbs 甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过 SSL 加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。合理有效的流量控制深信服上网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分
14、配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。在 P2P 应用流量控制方面,通过深信服 P2P 智能流控技术,能够有效的抑制 P2P 流量,使得核心业务应用有足够的带宽资源。父子通道通过部署 AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC 支持多级父子通道,即在父通道中嵌套子通道,最大可支持 8 级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的
15、通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。P2P 智能流控目前,通过封 IP、端口等限制“带宽杀手”P2P 应用的方式不起作用。加密 P2P、非主流 P2P、新型 P2P 工具等让众多 P2P 管理手段形同虚设。AC 凭借 P2P 智能识别技术,不仅识别和管控常用 P2P、加密 P2P,还能对不常见和未来将出现的 P2P 应用加以控制。目前互联网上流行的 P2P 下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些 P2P 应用如 P2P 流媒体、P2P 下载工具等缺乏自身流控机制,即使被丢包依然不会
16、主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。针对这些问题, AC 通过智能流控功能,能有效解决 P2P 应用的问题。虽然基于 UDP 协议的 P2P 应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启 AC 的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制 P2P 流量。动态流量控制当带宽有限时,企业希望通过限制 P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。针对此类问题, AC 提供了动态流控功能。
