《E-GATE网络行为管理系统产品白皮书》由会员分享,可在线阅读,更多相关《E-GATE网络行为管理系统产品白皮书(24页珍藏版)》请在金锄头文库上搜索。
1、E-GateE-Gate 网络行为管理系统网络行为管理系统产品白皮书产品白皮书上海凌屹信息科技有限公司上海凌屹信息科技有限公司二零零九年三月二零零九年三月第一章第一章 概述概述随着信息技术的高速发展,互联网已经从高科技行业专用的网络转变成为我们日常工作、生活中必不可少的基础工具之一。互联网上的海量内容使我们几乎可以从中获得想要了解的一切信息。利用互联网的通信手段也日益普及,电子邮件(Email)、聊天工具(IM)、网络电话(VOIP)、视频会议等应用使沟通变得不仅便利,而且成本低廉。同时网络带宽的不断加大,也将互联网从传统的文字时代带入了多媒体时代,网络电视、视频分享、网络游戏、P2P等等应用
2、的出现,进一步拓宽了互联网的应用范围。人们可以随时随地的使用互联网上的各种资源和工具,获取其中的任意信息。但是丰富的信息和便利的获取方法也不可避免的带来了许多问题,主要可以分为以下几类: 1.1 信息安全问题信息安全问题 互联网的普及为病毒、蠕虫、木马、流氓软件等等恶意代码的传播提供了肥沃的土壤,在前网络时代,病毒、蠕虫加载在可执行文件中依靠人际传播;而在互联网时代,这些恶意代码开始利用浏览器、P2P下载、聊天工具等方式快速传播。由于缺乏对千变万化的网络内容的控制手段,无法落实互联网应用的安全策略,使得其防范越来越困难。 1.2 内容控制问题内容控制问题 互联网上的娱乐新闻、体育信息、网络购物
3、、游戏、聊天等等内容争夺者人们有限的时间和精力,不加管理的访问必然导致大量人力资源的浪费。而色情的、暴利的、邪教的、无政府的等等不良信息,则更是互联网管理中的痼疾。组织和单位的管理者需要能够根据网上信息的内容制定和落实互联网访问策略。 1.3 资产保护问题资产保护问题 对于政府、企业、学术机构等组织和单位,如何控制各种有价值的、保密的信息在网络上的流向也成为互联网应用中的一大难题。面对这些问题,我们需要一套能够根据内容、基于策略和用户的控制系统,才能保证互联网发挥更大的作用。 1.4 网络管理问题网络管理问题 根据权威部门的统计,当前超过70%的带宽资源都被消耗在P2P应用、在线音视频、网络游
4、戏等等高带宽应用上。特别是类似BitTorrent(BT)、Emule等P2P软件,由于使用了无上限的带宽应用策略,即便网络中只有个别人使用,仍会造成整个网络的拥塞。而这些工具为了能够绕过管理,采用了伪装、加密传输、动态变化通信端口等手段,使得传统的防火墙等系统无法对其进行有效管理。另一方面,网络管理人员使用普通的网络管理系统,无法从网络应用的角度了解当前网络状况,网络往往处在黑盒状态,使合理配置带宽变得困难重重。网络管理人员需要一种手段使得网络能够更加透明,以精确控制网络的使用。 E-Gate网络监管系统(以下简称E-Gate)正是针对以上几方面问题专门研发的软硬件结合的系统,拥有完全自主知
5、识产权,能够帮助组织单位实现基于每个网络用户的,量化的网络访问控制策略,确保互联网应用的可控、安全、高效。使用E-Gate能够收到以下效果: 落实互联网使用规定 组织单位往往只能通过限制互联网访问能力以期望达到规范互联网使用的目的,但这些手段只能限制应用而不能控制内容,因此很难达到预期的效果。E-Gate提供了精细的、基于内容的、量化的策略定义,帮助管理者制定和落实精确的互联网访问规范。 督促互联网的正确使用,提高工作效率 E-Gate中包含超过400万条网站信息,被精确分类为50余类别(详细分类参看附件),配合灵活多样的访问控制手段,达到督促网络用户合理分配工作、学习、娱乐时间,提高效率的目
6、的。 E-Gate能够控制超过100种应用协议,包括即时通讯、P2P工具、网络游戏、炒股软件等(详细列表参看附件),管理者可以精确控制各种应用的行为能力。 阻止不良、非法和不健康的互联网内容 E-Gate网站分类信息能够杜绝色情、邪教、违法信息等的访问,净化网络环境,避免由于这些内容的访问和散布带来不必要的麻烦乃至法律风险。 优化网络带宽,提高网络利用率 E-Gate的带宽管理功能能够帮助管理者达成合理分配网络带宽,优化网络状况的目标,提高网络设备和带宽的利用率。 防止通过网络泄露机要信息 E-Gate能够对MSN、QQ、电子邮件、文件共享、FTP等等多种信息交换应用实现精确的控制,防止通过这
7、些手段造成有价值信息的外泄。第二章第二章 产品构架产品构架E-Gate网络监管系统是一套软硬件结合的系统,采用B/S架构。以串路搭接方式接入到网络的一个或多个点上,不会被网络用户感知,也不会对现有网络产生任何影响。网络监控器通过与策略服务的协同工作达到管理的目的。E-Gate内建了完整的策略体系,配合系统不同模块间功能,使得系统部署后可以立即发挥作用,甚至在系统上线部署过程中,对网络用户正在进行的通信也不会有影响,实现了真正的即插即用。 URL分类数据库参照国家相关法律,结合国内互联网的应用特点,将互联网上的网站根据不同的内容和目的分为超过50种类别。利用完全自主开发的内容分类搜索引擎,在互联
8、网上抓取URL以及其内容,对结果进行相关性的链接分析,经过智能分类分析系统,对网站进行验证和分类,并由专业人员验证计算机智能分类结果,确保分类的准确性。除此之外,协议特征数据库采用不间断的更新分析方式,覆盖即时通讯软件、P2P下载软件、炒股软件、在线游戏等众多应用和工具,确保应用协议特征能够即时地反应各个应用软件的版本升级。这种基于内容特征的应用协议识别方式,可以从根本上解决企图通过代理绕过管理的问题。 URL的分类结果和应用协议的特征库通过互联网自动更新到安装在用户环境的系统中,全过程无需用户干预。通过对系统软件的自动升级,可以确保用户购买的产品始终处于完备稳定的状态。 第三章第三章 产品特
9、性产品特性3.1 网络设备以及客户端没有任何影响网络设备以及客户端没有任何影响 E-Gate的网络监控器部署采用串路或旁路可选的方式,采用高性能专用平台,对现有网络没有任何影响。不需要在客户端安装任何软件模块,即插即用。 精细而灵活的上网行为管理能力 E-Gate提供了丰富而灵活的上网活动管控机制。这些机制包括允许、阻断、配额、询因等多种控制手段,配合流量、访问内容等多种条件参数,满足不同管理要求。 不当网站与危险内容隔离 E-Gate中包含有近400万条经过验证的URL地址库,依据其内容划分为超过50余种类别,不间断运行的自动升级功能,确保用户随时获得最新的分类结果。 细粒度的应用协议有效监
10、管 E-Gate能够支持超过300余种主流应用协议的有效地检查和管理。不仅如此,E-Gate具有精确到每个动作的应用控制粒度,如对IM可以单独控制其会话、文件传输、视频等不同操作,可以在严格控制的前提下,充分发挥网络的便捷和成本优势。 可视化的网络分析和管理 E-Gate能够清楚地提供从网络层到应用层的用户、应用、流量、带宽等多种网络行为特征的展示、分析能力。大大提高对网络的透明度,有效控制那些消耗网络带宽的非关键应用,改善网络性能,保证关键业务的顺畅运行 多角度的报表系统 E-Gate为上网行为和网络事件分析提供超过30种报表,为运营管理、用户行为管理、IT管理提供数据支持,不但能够向用户展
11、现详细的网络活动特征,还能够根据用户需要计算网络运营成本与IT资源的整体效率。 与现有IT架构无缝集成 E-Gate可与现有的IT基础架构集成,使得管理员可以直接对网络用户、小组、部门配置策略。 第四章第四章 功能介绍功能介绍4.1 支持多种用户认证方式支持多种用户认证方式 E-Gate在对网络用户的上网行为应用管理策略前,必须首先验证每个用户的身份信息。在E-Gate中支持两种用户身份认证方式,包括IP方式、帐号方式。系统支持用户分组,管理员可以将根据实际的部门情况,将多个IP地址分到不同的组中,以组为管理单位。 用户管理 用户网段管理在使用动态IP地址(DHCP)的网络中,每台客户机登录网
12、络时其IP地址都可能发生变化,此时管理员可以使用帐号作为用户管理的依据。在使用帐号方式的情况下,当网络用户首次访问互联网时,系统首先会提示使用帐号密码进行身份认证,只有在认证通过后,网络用户才能访问互联网。 使用帐号方式作为身份认证的依据时,可以有效的防止非法用户通过本地网络访问互联网。在任意时刻,同一个帐号只能登录一次,从而有效防止同一个帐号被冒用的情况发生。 4.2 即时的流量展示即时的流量展示 E-Gate 的核心功能之一就是实时再现网络流量;总流量展示;协议流量展示;IP 流量展示;流量构成一目了然,多角度的的分析即时流量,快速找到网络中存在的问题,及时解决。1、总流量包括即时动态的曲
13、线图,有上行流量、下行流量和总流量。柱状图是表达最近一小时的流量和当日流量。流量监控流量展示总流量2、Top10-IP流量 查看网内占用带宽最高的10个Ip地址,并可根据实际情况将其放入黑名单,阻断该ip上网,还可以根据这个流量图,作为在带宽管理模块划分通道的依据。流量监控流量展示Top10-IP流量3、Top10-网络软件的流量,查看网络软件的流量构成,找出与主业务无关的的网络软件,对其做阻挡设置或是在带宽管理中作为划分带宽的依据。流量监控流量展示Top10-网络软件流量4.3 搜索引擎控制搜索引擎控制 谷歌(Google)、百度(baidu)等各大搜索引擎已经成为事实上的互联网入口,不断地
14、提供各种细分的搜索功能。而在实际的应用中,搜索引擎的强大功能却有被滥用的危险,如图片搜索功能常常被用来搜索带有色情内容的图片;页面缓存功能被用来浏览那些已经被控制的页面内容;E-Gate针对这些问题,提供了独立的搜索引擎控制功能,管理者可以精确定义网络用户使用搜索引擎的能力,规范搜索引擎的使用。策略管理网页和网络软件的控制关键词4.4 网络应用管理控制网络应用管理控制 除了网上冲浪,互联网上层出不穷的各种网络应用也对组织和单位的管理提出了新的挑战。诸如当前的各种网络应用,如即时聊天、P2P等等,越来越倾向于采用多种算法和动态技术通信。这使得传统的基于防火墙、应用网关等控制方法变得不再可靠,甚至
15、已经完全失效。实践证明,传统防火墙等设备因受其技术原理所限,已不能保证企业精确管理目标的实现。 E-Gate系统中包含了超过300种国内流行和常见的网络应用特征库,包括即时通讯、P2P、网络游戏、炒股软件、网络电视等等(详细列表参看附录)。采用深度内容检测方法,准确识别不同的应用,对于那些企图通过代理等手段绕过管理的应用也能够毫无遗漏。管理者使用E-Gate只需要关心对于何种应用采取适当的管理措施,而不用关心这些应用协议的技术层面问题。协议特征库随时保持与各种应用协议的同步更新,并通过网络自动升级到用户系统。 策略管理网页和网络软件的控制协议E-Gate根据管理者制定的管理策略,确定每个网络用
16、户是否被允许使用请求的网络应用,管理者还可以基于当前的网络流量状况来更为灵活的控制网络用户的行为,如在网络带宽紧张时禁止某些优先级较低的应用,待带宽缓解后系统将自动恢复允许其应用。 4.5 网络带宽保障、流量控制网络带宽保障、流量控制 P2P应用是新一代的网络通信技术,拥有无中心节点,信息资源异常丰富的特点。随着该类应用的普及,网络带宽资源被迅速的消耗。由于P2P应用均采用动态变化、加密传输的方法,使得对其的管理变得异常困难。E-Gate具有根据用户的要求从而确保网络带宽的合理分配,既能满足各种应用的正常使用要求,又能保证关键应用始终拥有充分的带宽资源。 1、条件设置:根据企业自己的实际情况,填写申请宽带的的带宽,包括上行总带宽和下行总带宽。设置默认通道指的是给没有被分配的ip或应用协议留的通道。注意:1M带宽下载速度的理论值就是 1Mb/s, 换成KB/S就是 1024/8 = 128 KB/S。 具体的实际带宽可以根据实际的网络情况。流量监控流量控制条件设置2、简单流控 适用于那些仅对单个ip或ip段分配
