《深信服上网行为管理解决方案模板.doc》由会员分享,可在线阅读,更多相关《深信服上网行为管理解决方案模板.doc(44页珍藏版)》请在金锄头文库上搜索。
1、深信服上网行为管理解决方案22020年4月19日文档仅供参考深信服上网行为管理解决方案建设原则上网行为管理系统建设必须适应当前企业各项应用,又可面向未来信息化发展的需要,因此必须是高质量的。在建设过程中,需要遵循以下原则:实用性和先进性采用先进成熟的技术满足大规模数据、语音、视频综合业务需求,兼顾其它相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。安全可靠性为保证各项业务应用,系统必须具有高可靠性,尽量避免单点故障。要对结构、设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可
2、靠性技术的基础上,在系统设计方案中要应用网络管理手段,保证接入网络用户身份的合法性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。灵活性和可扩展性上网行为管理系统是一个不断发展的系统,因此它必须具有良好的灵活性和可扩展性,能够根据企业不断深入发展的需要,方便灵活的扩展应用覆盖范围、扩大存储容量和增加系统功能。具备支持多种网络协议、多种物理接口的能力,提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本系统的基础设施的作用能够充分的发挥。在结构上真正实现开放,基于开放式标准,坚持统一规范的
3、原则,从而为未来的发展奠定基础。设备及端口模块的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。经济性和投资保护应以较高的性能价格比构建本系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。因此在方案设计中,必须具备全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时实现先进的分布式管理。最终能够实现监控、监测整个系统的运行情况,合理分配资源、动态配
4、置策略、能够迅速确定故障点等。经过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维护工作,从而为办公、管理提供最有力的保障。因此,系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。设计思路经过针对企业信息网络业务需求分析,结合上网行为管理系统建设原则,总结出本次方案的设计思路:1. 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。2. 在企业内部办公场所部署无线AP,由上网行为管理系统统一控制。3. 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业当前组织架构,为后续网络管理奠定基础。4. 经过上网行为管理系统,对员工在
5、日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。5. 在部署上网行为管理系统后,经过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引起法律纠纷。6. 经过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。7. 由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效管理,在总部部署一台集中管理
6、设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。方案介绍解决方案经过在网络出口处部署上网行为管理系统(以下简称AC),对员工上网行为进行精细化控制,以及对内网无线AP实现统一管理。部署方式网关AC以网关模式部署于网络出口处,对内网用户上网行为进行识别与控制。 AC在网关模式下,具有路由选路、NAT地址转换等路由器功能,在网络出口充当“路由器”的角色,满足三层组网要求。针对外网有多条连接互联网线路时,AC具备的多线路智能选路和多线路复用专利技术,可为出口的多条线路进行优化选择和流量均衡分配,为企业出口线路提供优化的速度和平衡的流量负荷。网桥在核心交换机和防火墙之间部署AC
7、,AC以网桥模式部署,实现对内网用户上网行为管理,而且不用更改网络结构、路由配置以及IP配置,部署简单快捷。同时,AC具有Bypass功能,在网桥模式部署下关机、开机、重启或者出现故障,则经过Bypass功能实现两端接口二层连通,避免出现链路断开状态,保证业务持续性。AP部署根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。区域一放置XX个AP负责覆盖XXX(平面图)区域二放置XX个AP负责覆盖XXX(平面图)区域三放置XX个AP负责覆盖XXX(平面图)设备清单及位置统计如下:序号设备类型设备品牌设备型号放置区域设备数量合计1无线接入点AP深信服区域1区域2区
8、域3区域4区域52上网行为管理核心机房3POE交换机1楼弱电井2楼弱电井3楼弱电井使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多能够提供3个不重叠的频点同时工作,一般采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图:图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。身份认证为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。内部用户对于有线用户AC经过(W
9、eb认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未经过认证的用户则限制其网络访问权限。同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。经过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未经过认证的用户则限制其网络访问权限。无线临时用户对于无线临时用
10、户,经过(短信认证、微信认证)方式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。上网行为控制网络应用极其丰富,特别随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现状和用户行为,保障管理效果。应用控制互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。AC内置庞大应用特征识别库,包含 多种应用,4500种规则,600种移动应用。可识别当前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用,AC支持自定义功能,用户可经过协议、IP、端口等元素定义内网
11、系统应用,从而对不同用户进行控制。AC不但能够针对用户使用WEB、FTP、EMAIL等常见服务的情况进行控制,还能够经过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。针对当前P2P应用泛滥的趋势, AC的P2P智能识别技术基于P2P行为进行识别,不但能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常见的、未来可能出现的P2P软件进行有效管控。而且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,AC内置应用智
12、能识别库,自动判断新出现应用特征,从而归类管理。AC具备多种网络访问控制功能,能够基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。应用标签化管理员可经过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可经过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。网页过滤企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见
13、不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识别库动态更新。发帖过滤网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。AC可对发帖进行关键字过滤。天涯、猫扑、
14、百度贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。邮件过滤Email不但是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都能够全面记录并完整还原原邮件,并经过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。文件传输过滤利用网络来进行文件传输在日
15、常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户经过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后经过HTTP、FTP、Email附件等形式外发。AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其它站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现而且告警,保护企业的信息资产安全。加密应用识别SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用
