《方正应用管理(上网行为管理)系统》由会员分享,可在线阅读,更多相关《方正应用管理(上网行为管理)系统(8页珍藏版)》请在金锄头文库上搜索。
1、方正应用管理(上网行为管理)系统,NBAD application,安全高效,源自方正管理,Real-time Layer 7 behavior access control & flow traffic optimization,NBAD application系列设备是一款In-line模式的专用于网关的硬件产品,以DPI(Deep Packet Inspect,深度包检测)技术为核心,支持软/硬件Bypass,除了提供了基于七层应用的带宽管理和应用优化功能之外,也对7层应用程序/IM/P2P阻挡、过滤、管控、记录提供Web接口管理,以用户、时间、位置、通讯协议、内容格式进行管控或浏览;在
2、带宽管理方面,配合用户自定义的带宽策略以及核心带宽自动分配算法,可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能,保证关键应用带宽,限制非业务应用带宽,改善和保障了整体网络应用的服务质量。,中央式7层应用优化与带宽管理 分布式安全管理与主动式威胁防控,NBAD application,第七层的带宽分配和管理 作为业界领先的应用优化与流量管控解决方案,NBAD application系统结合带宽自动分配算法、令牌桶算法、随机公平队列等技术,能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库等在内的多种应用,
3、提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能,为用户提供主动式的、智能化的、可视化的带宽管理服务,达到可视、可测、可控、可优化的管理目标,为带宽优化与管控、网络规划提供科学的依据。,网络流量的实时监控与分析NBAD application提供了实时流量采集及分析,实时流量数据每隔5秒自动刷新,让用户可以全面掌控网络带宽的使用情况,使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。应用层自动识别和智能分类 - NBAD application提供50种以上网址分类数据库(URL DATABASE)并支持600多种协议和应用基础的自动识别,涵盖P2
4、P、IM(实时通讯)、视频/流媒体、网络游戏、炒股软件、企业内部核心应用等应用和协议,基本覆盖了目前主流的网络协议和应用类型。L7行为管控 NBAD application提供第7层应用层防火墙,可识别Telnet、ftp、http、IM、P2P等应用程序让管理员可以详细了解被阻断的协议以及源/目标IP地址、发生时间、源/目标、端口应用类型、协议类型等详细信息。同时提供被阻断的基于用户(IP地址)和基于协议的统计分析报告,提供可客制化禁止存取时的提示相关画面。,NBAD application,如下图所示, NBAD application系统的主要功能包括四个部分: Internet上网行为
5、管控 流量的实时检测、分类 应用优化与带宽控制 带宽控制策略的调整与优化,P2P/IM Source,Real-time Layer 7 behavior access control & flow traffic optimization,认证管理 Web认证-结合本地数据库、POP3、AD、LDAP或RADIUS服务器等认证方式,为接入使用者提供Web认证功能 IP/MAC绑定-支持IP和MAC绑定 用户分组-根据管理需要,可将使用者分配到不用级别的用户组中 免认证功能-可设定特殊IP不需要认证即可访问网络 认证通过后显示指定页面-可将认证通过的用户强制导向到企业入口网页,如组织的公告页面
6、等 认证冲突处理-支持账号重复登录,当超出最大登录允许数后,支持是否踢掉前一次登录IP使用者名称对照表-方便在统计时以用户名称为统计对象。支持手动配置和批量导入,基于策略的认证控制 NBAD application对于用户认证的方法,用户认证的授权是基于策略进行组合的,根据实际网络的需要,我们可以定制多种用户认证和管理的策略针对不同的用户类型,不同的用户群组进行更加有效和有针对性地管理配置。NBAD application采用的是非常灵活的基于安全策略的用户认证体制,不是所有接入网络的网络资源都需要认证,而是根据实际需要决定哪些需要进行用户认证,而且这些认证策略又可以和用户AAA策略进行任意组
7、合,提供非常灵活强大的用户认证管策略。例如:我们可以定制安全策略,让从IP地址是10.0.0.5-10.0.0.9的IP范围在访问服务器10.0.0.10的email服务的时候需要进行WEB认证,而10.0.0.5-10.0.0.9的IP范围在访问10.0.0.11的WEB服务的时候采用802.1x认证,这时也就是说除了上述条件之外,其他所有的访问服务都可以不需要认证,只有符合上述安全策略的时候,用户就必须先进行合法认证,然后才能获得相应的网络服务。,用户认证与黑名单管理(AAA) : 用户与认证管理是上网行为稽核审计最重要的元素之一,任何策略多是依据认证后的用户而设的,因此对于用户的识别、
8、认证与管理的能力决定了上网行为管理的效果。NBAD application可以通过本地或第三方用户认证和授权系统,对用户使用网络的合法性进行安全地身份认证,支持多种认证方式,包括web认证、802.1x的认证、第三方的RADIUS服务器认证和第三方LDAP服务器认证等方式,并通过授权用户的角色决定其访问网络的权限,网络服务质量,策略路由等属性;用户的身份认证的同时也可以对用户做Binding检查,对用户PC端的主机名,IP地址,MAC地址,VLANID,接入的虚拟端口号,接入的实体端口号的各种组合进行严格检查;不只是在认证的时刻才对用户进行Binding检查,而且在用户访问网络的整个过程中,发
9、出的和接收的每一个packet都做Binding检查,在结合Session状态检测功能后,可以完全杜绝在整个认证和访问过程中任何非法仿冒用户的行为。另外NBAD application还可以设置静态用户,该种用户不需要进行认证,而是开机后直接可以访问网络资源,在所有访问过程中都会进行严格的终端Binding检查,以保证用户的合法性。支持自动Binding功能和用户自动学习功能,这样可以减少管理员手工配置用户的工作量。,用户授权 针对不同的用户组提供各种不同的授权策略,包括: 到达目的地授权,即授权用户可以访问哪些网络资源,不可以访问哪些网络资源,这个资源可以是某一个服务器,或某个IP网段地址。
10、 使用时间的授权,即授权用户什么时间可以访问哪些网络资源,什么时间不可以访问哪些网络资源。 使用带宽的授权,即授权用户以多大上行和下载带宽来访问网络。 使用类型的授权,即授权用户访问某个服务器的某种特定的服务,其他未授权的服务则禁止访问,比如,对Email服务器的访问,只允许一般用户访问Email服务,只有网管才能访问Email服务器的其他服务(telnet,web,P2P , IM等)。 用户可以同时发起的session数的授权,这个功能可以限制用户过度占用网络资源,同时也可以有效的降低内网用户在感染病毒或木马后,对整个网络的影响,从而减少从内网内部发起网络攻击的机率。 用户黑名单和警告,系
11、统自动检测和统计所有用户的流量和Session数,一旦用户的网络访问超过正常水平,可以自动把用户加入黑名单,进行惩罚,并产生警告日志。,Real-time Layer 7 behavior access control & flow traffic optimization,NBAD application,网站与网页过滤 URL / Web filter 大量的网络应用,如IM 、 P2P 、网络电视、游戏等等,也借助HTTP协议或port 80,一方面躲避防火墙的封锁,一方面携带病毒或者后门程序,为内网带来极大的风险,NBAD application内建丰富的URL分类数据库引擎及设定策略
12、, 对于危害国家社会或儿童的网站可予以过滤:,行为与内容管理:掌握员工或学生、客户等网络的行为管理需掌握四大要素, 第一、上网的人是谁( Who )? 第二、上网时间何时( When )?第三、存取哪些网络资源( Where )? 如网站、网页、下载文件、邮件、聊天等 。第四、具体的内容是什么( What )? 针对日趋复杂的网络行为,NBAD application提供丰富而完整的上网行为管理包括:URL网站过滤、HTTP/HTTPS网页过滤、MAIL邮件过滤与稽核、IM即时消息的控制,甚至上网内容的记录。,邮件过滤与稽核 MAIL filter NBAD application具备完整的邮
13、件过滤及稽核管理的功能,针对网络SMTP、POP3、Webmail服务协议进行控管,具体的控管方式说明如下: 根据发件人的地址进行邮件发送的过滤 邮件的标题关键词和正文关键词进行邮件发送的过滤 邮件附件的类型进行邮件发送的过滤 WebMail正文关键词过滤通过WebMail发送的邮件 根据符合特定条件对发送的邮件进行拦截,人工稽核后才决定是否允许外发;这些条件包括:收件人地址、邮件标题关键词和正文关键词、邮件大小、附件个数。,URL数据库-预先分类的URL地址数据库 非标准端口URL管理-可以识别和管理部分论坛、网络聊天室等采用的非TCP/80端口的URL地址 引擎搜索关键词过滤 HTTPS网
14、页识别和过滤,防止用户访问钓鱼网站、SSL加密的色情、反动网站 过滤包含默认关键词的网络帖子;可加强论坛管理,禁止发布不良信息发布 可识别FTP/HTTP网页的文件上传和下载,并进行过滤,即时消息管制- IM filterIM是网络族群沟通极重要的工具,适当的使用可增进办公效率,甚至增加业绩;不当的使用则为企业带来怠惰、病毒等不良影响,因此IT部门对IM的管理不可不慎重。NBAD application可以管理的IM很多,而对于IM这样的工具除了可以阻挡之外,并提供多样化选择: 对IM的登录、文字聊天、语音聊天及文件传输进行过滤 可以根据内网主机的IP地址对各种IM软件进行过滤 可以根据使用者
15、组对对各种IM软件进行过滤 可以根据不同的时间段,进行差异化的IM过滤左图说明企业有限度的开放网际应用服务的使用,同时也以限制带宽及监视记录方式积极控管这些工具不被滥用,Real-time Layer 7 behavior access control & flow traffic optimization,NBAD application,内容记录与统计分析 设备内置Reporter,实现日志的存储、查询、稽核等,图形化日志统计工具,通过图形化的Reporter,方便用户对行为日志的查询、稽核、统计,并支持以饼状图、柱状图、曲线图等形式直观显示统计结果如下:,内容记录 Web, ftp网页记
16、录 (1)记录用户所访问网站的URL地址(2)记录内网用户向公网BBS、论坛、部落格发布的内容及附件(3)记录用户所访问网页的标题内容(4)对在搜索引擎中搜索的关键词进行记录(5)记录用户通过HTTP上传的文件信息和文件名(6)记录用户通过FTP下载的文件信息,记录上传的文件信息。 Mail邮件记录- (1)记录用户通过客户端(SMTP协议)发送邮件的信息及通过客户端(POP3协议)接收邮件的信息,包括:发件人、收件人、邮件主题、正文、附件、日期、邮件大小等(2)记录用户通过WebMail收发邮件的信息,包括:发件人、收件人、邮件主题、正文、附件、日期、邮件大小、邮件提供商等。 IM聊天记录-记录MSN、Yahoo messager、QQ、ICQ等登录信息、聊天内容及文件传输记录。,统计分析 URL访问排名-根记录内网站访问次数进行排名统计。 网页下载文件类型排名-可基于IP地址排名,也可基于文件类型排名。 查看前十名服务流量的统计分析。 查看前十名IP或认证用户的传输速率、新建会话数、在线会话数。 根据实际端口查看IP/服务流量的统计分析。,
