收藏
下载资源

HC行为监管解决方案

上传人:pu****.1 文档编号:429907230 上传时间:2023-12-14 格式:DOCX 页数:18 大小:346.73KB
返回 下载 相关 举报
HC行为监管解决方案_第1页
第1页 / 共18页
HC行为监管解决方案_第2页
第2页 / 共18页
HC行为监管解决方案_第3页
第3页 / 共18页
HC行为监管解决方案_第4页
第4页 / 共18页
HC行为监管解决方案_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《HC行为监管解决方案》由会员分享,可在线阅读,更多相关《HC行为监管解决方案(18页珍藏版)》请在金锄头文库上搜索。

1、H3C 行为监管解决方案本文主要针对当前复杂的网络管理,介绍了 H3C行为监管的典型组网方案及其解决方 案组件。1行为监管需求分析随着现有互联网的迅速发展,各种互联网应用的逐步丰富,各种应用层出不穷,为我们的工 作和生活带来极大的便利。但是与此同时,这些应用也带来了一些负面影响P2P下载、即 时通讯、电子商务、网上证券交易、网络游戏等多种业务共存,用户行为越来越复杂和多样, 带来了以下问题:以BT为代表的P2P应用对现有网络提出了挑战,少量的P2P用户占用了大量的网络资 源,不但对网络的容量形成了压力,更是对其他用户合法应用造成了严重影响。即时通讯、网上炒股、网上购物等上网行为虽然对带宽的要求

2、不高,不会造成网络堵塞, 但是会使员工的工作效率下降,正常工作任务无法及时完成。对非法网站的访问容易感染病毒和蠕虫,对网络造成破坏;同时对一些不法网站的访问 也有可能造成政治上的问题。公安部第82号令要求能够保存用户上网记录,并且记录NAT前后的IP地址信息,进 行用户行为的审计。在这种情况下,对网络的应用进行深度的识别分析,并对这些应用加以疏导和控制,同 时对用户行为进行监管和审计成为必然,这将使得网络资源得到合理的配置和优化并保证了 网络的安全。2.H3C行为监管解决方案典型组网21解决方案总体描述H3C行为监管解决方案由应用控制网关和安全管理平台组成。应用控制网关有SecPathACG盒

3、式设备和SecBlade ACG插卡(应用于H3C S75E/S95核心交换机)两种产品形态, ACG可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有 效解决带宽滥用、访问非法网站感染病毒等问题;安全管理平台有SecCenter硬件设备和 ACG Manager管理软件两种产品形态,对应用控制网关检测出的网络安全事件进行深入分 析并输出审计报告,同时收集防火墙发送的NAT日志,帮助管理员全面了解用户行为和流 量趋势,为加强整网安全、满足合规性要求提供决策依据。22解决方案典型组网图23解决方案关键规格通过对种类繁多的应用协议进行模型化,分类进行识别,在模型化识别

4、的基础上进行智 能决策,从而准确识别多种应用协议,包括P2P、IM、炒股应用软件、游戏以及其它如流 媒体、WEB访问、FTP下载、网络管理等多种应用协议。提供可扩展、可升级的应用识别 和行为识别能力。可以动态的升级新的应用及其行为实体的定义,并及时扩展新的应用协 议的分析模块。2.3.1.ACG深度应用识别ACG深度应用识别技术的核心是H3C i-Ware软件平台的UAAE应用控制感知引擎。 它和i-Ware深度检测引擎配合,智能高效识别网络中的各种应用协议及其行为。i-Ware应 用识别引擎(UAAE)为解决复杂的应用识别需求,同时深入应用发掘其内容特征行为,尤 其是攻击行为,采用了一系列的

5、自主研发技术。它的整体架构如图2-1所示:UAAE引擎对种类繁多的应用协议进行模型化,分类进行识别,同时在模型化识别的基 础上进行智能决策;UAAE为在应用中识别攻击等特征行为,对重要的应用协议进行数据解析,结合应用对 数据进行分类深度检测,同时UAAE对深度检测结果再次结合应用环境进行分析;UAAE 可以对应用的数据特征进行有状态的跟踪,而不仅仅依据单个数据报文特征做出判决;UAAE内置提供统一的定义语言,为i-Ware平台可扩展、可升级的应用识别和行为识 别能力。2.3.2用户上网行为控制通过有状态的特征状态机可更精确的识别出多种P2P/IM等应用类型,如BitTorent、Thunder

6、(迅雷)、eMule(电骡)、eDonkey(电驴)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、 Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、 QQ、Yahoo Messenger、GTalk等等。可以通过限流措施对P2P/IM业务带宽进行限制,同 时提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息。同时,采用先进的技术分析手段,全面分析网络应用的流量类型和流量流向趋势,能对 网络多媒体、网络游戏、网络炒股等应用进行识别与控制,通过URL过滤

7、、关键字过滤、 内容过滤等多种Internet访问控制策略,规范内网用户上网行为。支持的主要应用类型包括:应用类型说明P2P监控Bit Torre nt、eMule、Kugoo、Thunder (迅雷)、Tence ntDownload、 PPLive Stream、 PPStreAM 即时通讯MSN、QQ、Google Talk、Yahoo Messenger炒股软件Big Wisdom (大智慧)、Straight Flush (冋花顺)游戏World of Warcraft (魔兽世界)、Globallink其它流媒体、WEB访问、FTP下载、网络管理233应用流量分析根据ACG上报的流

8、量信息,安全管理平台进行应用流量分析,通过对用户、时间、协 议、IP地址、端口的纵深分析,提供基于应用协议的流量趋势、详细数据、使用排名等信息并生成分析报告,为管理员进行流量管理提供有力依据234用户行为审计安全管理平台收集ACG记录的用户应用访问信息和防火墙发送的NAT日志,对HTTP、Email、FTP、IM等行为进行分析,记录网页域名、地址、邮件收发人、主题、附件名FTP1to图5图6上传下载文件等内容,实时输出用户行为审计报告,满足公安部第82号令要求。当发生安全事故后,可以根据记录的信息对用户既往行为进行分析和追根朔源,对潜在的破坏者可起到威慑作用。HiJMw auH vw-II !

9、M !l ili :5m0jcgm弓技圧成就寿萸3解决方案组件介绍31 SecPath/SecBlade ACG 系列产品ACG (Application Control Gateway)是H3C公司面向大中型企业、教育、政府等用户 推出的应用控制网关产品。根据对性能的不同要求,分别开发了 SecPath ACG2000-M盒式 设备、SecBlade插卡和ACG8800-S3高性能电信级产品。ACG盒式设备及SecBlade插卡基于新一代的多核处理器硬件平台,产品提供搞性能深度 应用检测、流量统计以及基于用户和应用的带宽控制能力。设备支持分布式部署和集中管理, 可灵活扩展。通过基于浏览器的管

10、理界面,管理员可以快速熟悉系统的操作管理。32安全管理平台安全管理平台包括SecCenter A1000硬件管理设备和ACG Manager软件产品,两种产品形态可以任选其一,在行为监管解决方案中功能完全相同。SecCenter/ACG Manager具有以下主要功能可对ACG产品进行图形化集中配置,并可针对不同用户定制不同的安全策略;收集ACG发送的的用户应用访问信息,实时输出审计报告。当发生安全事故后,可以 根据记录的信息对用户既往行为进行分析和追根朔源,对潜在的破坏者可起到威慑作用。4.H3C行为监管解决方案技术特点41最全面的协议识别种类基于H3C特有的H3C协议特征签名技术,全面识别

11、BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用;能对网络游戏、炒股等应用进行识别与 控制,控制非法应用;通过URL过滤、关键字过滤等多种访问控制策略,过滤非法网站, 规范用户上网行为。42最易用的集中管理和策略下发支持图形化策略配置,并可实现配置和策略的集中下发。43最灵活的控制手段具有对应用进行限流,阻断,干扰,告警等多种控制手段。44最丰富的产品形态产品形态丰富,除了盒式设备之外,具有H3C S95/S75E核心交换机中的SecBlade ACG 模块,便于管理,简化网络结构,实现安全与网络的深度融合。H3C 用户识别与管理技术白皮书本

12、文介绍了 H3C用户识别与管理技术的白皮书,通过RADIUS协议报文分析技术, i-Ware可以识别出用户上线、下线过程,获得用户信息,从而可以基于用户、用户组进行用 户流量分析、控制。不需要改变现有组网,也不需要重新部署用户认证方案。1概述11产生背景网络应用多种多样,不断涌现出新的应用。新应用的出现一方面方便了网络用户,另一 方面对于网络资源、企业的正常应用造成了一定的冲击。例如,随着P2P下载、网络电视、 网络电话的出现,丰富了人们的生活,同时也严重侵蚀着网络带宽,占用网络连接资源,影 响其他正常用户对网络的使用。例如,网络电话的出现,使电信运营商的收入下降;P2P软 件的使用严重占用了

13、企业有限的网络带宽,影响了企业正常业务的运行;P2P软件大量消耗 网络带宽和连接资源,影响运营商的其他用户,增加了运营商的维护成本和设备投资成本。因此,需要对一些可能影响其它用户,以及对公共资源占用严重的应用进行控制,保证 企业正常业务的良好运行,以及运营商为用户提供良好的服务保障。同时,运营商可以针对 需要P2P服务的用户提供有针对性的服务收费。对于宽带接入来说,通常是采用动态分配用户的IP地址,事先无法根据用户的IP指定 控制策略,在用户上线后才能获取到用户名和用户IP的对应关系。事先只能根据用户名和 用户组来配置控制策略。H3C通过用户识别以及基于用户的服务控制策略,实现了对宽带接入(x

14、DSL、小区宽 带等),以及企业员工的服务控制。在已经部署的组网中,不需要改变用户的认证方案,只 是将认证协议报文镜像到设备上,通过对认证协议的分析,识别出用户上线、下线行为,以 及用户名与用户IP对应关系等信息,实现基于用户名、用户组的服务控制。12技术优点H3C的用户识别与管理技术具有以下优点:支持在线模式、旁挂模式,部署方便。支持大用户量,可支持同时在线6万用户。与用户策略配合可实现用户访问的内容审计、服务访问控制、带宽控制、连接数限制、 VoIP控制、P2P控制等。支持丰富的报表。2用户识别技术2.1概念介绍用户识别,是通过对流经设备的认证协议报文进行分析,识别出用户的用户名、IP地

15、址、用户上线时间、下线时间等用户信息。2.2运行机制2.2.1 RADIUS 协议RADIUS协议是IETF制定的用于远程接入用户的认证协议。支持用户的认证、计费。 该协议采用UDP作为传输协议。RADIUS协议认证中的角色分为接入用户、接入控制设备 (BAS)、认证服务器,接入用户属于被认证的实体。接入控制设备负责控制只有认证通过的用户才能接入网络,对于没有认证的用户,BAS 负责将接入用户的身份信息通过RADIUS协议发送给认证服务器对用户进行认证,RADIUS 协议在接入控制设备和RADIUS服务器之间。Radius协议是请求/响应模式。一个交互由一个请求报文和一个响应报文组成。Radius 的基本交互包括:认证:验证用户的身份信息,确定用户是否可以访问网络。计费开始:计费更新:对于需要计费的,在认证成功后进行进行计费开始交互。计费停止:用户下线前,通知服务器停止计费。RATll:S Server认址Acrass Acraplit费开始计-费电新i卜费结山Acct ResporiEe i: Start 1( LrpnaChi)Ac-cLRespcTFse ( UpdateAcct RBsp

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 机械/制造/汽车 > 电气技术

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号