《深信服上网行为管理项目解决方案》由会员分享,可在线阅读,更多相关《深信服上网行为管理项目解决方案(22页珍藏版)》请在金锄头文库上搜索。
1、有线无线网络统一上网行为管理方案市广云网络科技联系人:许应甫 076989868856 :35447664地址:市南城区第一国际D座1810室2015年8月10日 / 第1章 需求概述1.1 背景介绍随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:n 网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;n 沟通桥梁:部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;n 移动互联网:移动互联网的消费化趋势也逐渐影响到组织部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;因此,在员工的日常工作中
2、,ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。1.2 上网行为管理需求员工访问互联网的习惯正在发生变化,从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公,如果过度开放的上网环境会带来以下问题:1.2.1 工作效率低下网络的普与改变了传统的办公方式,而网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。所以,组织需要针对PC、移动终端等各种应用、APP进
3、行更有效的识别和管控。1.2.2 带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。1.2.3 BYOD难管理随着移动终端的普与,员工往往会采用PC、智能手机、Pad等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系
4、统。这种使用场景的多样化,让传统上网管理的手段,难以应对部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。1.2.4 WLAN安全隐患在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。1
5、.2.5 访客接入繁琐企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。1.2.6 数据泄密伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业部的敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。1.2.
6、7 网络违规企业网用户在日常办公中拥有访问互联网的权限,可通过 、MSN、论坛或微博等方式外发信息,如果包含了、赌博、反动等不良容,都属于网络违规行为,企业或个人将承担法律责任。所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。第2章 有线无线网络统一行为管理方案结合上述的用户需求以与IT系统的现状,深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。2.1 方案整体概述本次方案建议采用深信服上网行为管理设备AC 1台,部署在如下位置:n 互联网出口上网行为管理:部署深信服AC于互联网出口,针对有线网络终端和用户提供接
7、入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽控制策略。智能联动:此外,互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让多台AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。2.2 有线和无线网络统一上网行为管理部署了深信服上网行为管理设备,为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,还提升了用户上网的操作体验。2.2.1 安全便捷的用户认证为了
8、针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。2.2.1.1 部员工认证:AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复
9、认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。2.2.1.2 外来访客认证:为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。短信认证,来宾只需要输入手机,获得并输入短信验证码后,就可以获得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击3次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。微信认证,访客认证页面会自动提醒来宾需
10、要关注组织的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量,更好的帮助组织推广品牌宣传。二维码认证,访客认证页面会自动弹出一个二维码,只有部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。2.2.2 灵活细致的权限控制深信服上网行为管理系统具有千万级URL库和国最大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。同时,AC还能够识别SSL加密应用,如加
11、密、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。2.2.2.1 多维度的灵活策略为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控,深信服AC可以识别各种终端类型,包括windows、IOS、安卓、phone、pad等类型,还可以识别出用户接入网络的位置,包括有线、无线、办公位、会议室等等。从而制定用户的上网策略时,可以从用户角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如用户角色A,在办公位置上使用PC接入,可以访问权限较多;但在接待区通过无线网络,使用iPad接入网络时,只有上网权限,不能访
12、问部安全界别较高的应用系统等。2.2.2.2 移动APP管控为了满足移动终端的管理需要,深信服上网行为管理系统可以针对数百种移动终端的APP、云应用,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。2.2.2.3 防止非法AP和代理深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。2.2.2.4 应用标签化管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相
13、应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。2.2.2.5 加密应用识别SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取与窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、 、bbs甚至赌博,而因为采用了加密技术,普通的管理产品无法对其容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密、BBS、论坛发布的反动言论或者是向外发送组织的信息,导致管理漏洞。2.2.3 合理有效的流量控制深信服上
14、网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。2.2.3.1 父子通道通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障
15、其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。2.2.3.2 P2P智能流控目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制
