1、新华书店教材中心深信服上网行为管理解决方案浙江创智科技有限公司2012 年 7 月一、网络现状结合拓扑分析目前网络需要解决如下问题:1. 规范员工的上网行为,提高工作效率:禁止员工上班时间从事一些私人网络行为,比如网络游戏、网上看电影、BT 下载、炒股等。2. 日志信息的海量存储与快速定位,保证意外(泄密事件、非法言论、网络违法违规)发生时能够保留行为日志、快速定位责任人、及时规避法律责任。3. 流量管理与控制:如果不能够进行带宽划分、流量控制、P2P 限流等,将导致带宽压力大,工作用户上网慢的问题。4. 解决缺乏对网点访问控制的管理,网点拨入 VPN 能够同时访问内外网,存在安全隐患二、深信
2、服 AC 解决方案2.1部署拓扑采用透明模式部署 AC 拓扑如下:2.2实现功能(一)控制功能:细致的访问控制功能,有效管理用户上网SINFOR AC 安全网关不仅可以对员工访问 WEB、FTP、MAIL 等常用服务的内容进行控制,更可以对 QQ、BT、MSN、SKYPE 等各种 P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet 的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于 Web 的和 LDAP/Radius 集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。表 1:访问控制功能一览表功能 详细指标危险网站阻隔 使用
3、更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问访问控制策略 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略P2P 拦截 使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT 等任何 P2P 软件的流量阻隔用户认证 提供 Web 登录认证功能,提供本地用户数据库和 LDAP、RADIUS用户数据集成功能文件上传下载控制控制对 HTTP、FTP 文件上传、下载类型和大小进行控制,也能对QQ、MSN 等 P2P 软件的文件传送进行拦截IPMAC 绑定 提供灵活的 IPMAC 绑定策略代理识别功能 能识别采用 Http、Https、 Socks
4、 等代理服务器绕过防火墙检查的行为,从而进行阻断敏感数据拦截 对 HTTP、FTP、SMTP、IMAP 等应用协议做敏感数据拦截,以防泄密或引起法律纠纷(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。SINFOR AC 安全网关完善的访问审计和监控功能能够有效防止信息通过 Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC 的访问审计/监控模块为企业构筑了强大的内
5、部安全屏障。表 2:访问审计功能一览表功能 详细指标邮件延迟审计 对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄实时监控 实时监控用户的上网行为内网监控针对员工在网上的所有行为,包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录,以监控员工上班时间的工作行为,防止企业内部机密、情报等泄漏,并事后追查责任人(三)报表功能:强大的数据报表中心,提供直观的上网数据统计SINFOR AC 网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS 系统、准入规则、防火墙等详细信息,并可直接
6、打印和导出报表。SINFOR AC 网关强大的日志系统和丰富的报表功能,可详细分析出企业的 Internet 的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。表 3:数据中心功能一览表功能 详细指标 流量统计日志 包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名邮件日志 包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况网络监控日志 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况准入规则日志 包括准入规则摘要、准入排行、准入查询等功能
7、,管理员可对内部网络的违规机器进行详细统计和查看IPS 日志 包含 IPS 日志摘要、IPS 排行、IPS 查询、IPS 趋势等功能,可显示详细的网络安全情况防火墙日志 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能,管理员可以对防火墙的日志进行更为详细地分析日志库管理 主要包含日志库信息、日志库查询、日志库切换等功能用户管理 管理员可在此新增用户、查询用户(四)带宽及流量管理功能:强大的 QOS 功能及流量分析SINFOR AC 安全网关强大的访问控制和 QOS 功能可以使得企业合理利用 Internet 资源,为不同的用户分配不同的带宽和上网权限,使得 Internet 资源得到
8、有效利用,并大大提高员工的工作效率。SINFOR AC 安全网关可以详细记录和分析所有流量的内容,包括http、ftp、mail、telnet 等常用软件的内容和QQ、ICQ、MSN、YAHOO、MESSAGER 等 IM 软件的内容。另外还能按用户、用户组、协议和时间对 Internet 流量进行统计分析,以优化员工对 Internet 的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。表 4:QOS 及流量控制功能一览表功能 详细指标QOS 保证使用差分业务模型实现 QOS 使用随机早期检测 RED 丢弃算法提供流量控制流量控制 能针对内网每个用户或者不同的组,限定其上网能占用的带宽资源,使企业内网带宽资源得到充分有效的利用(五)网点用户访问控制由于网点是经过 VPN 隧道访问到内网资源,无法直接读取远程用户的 IP,给管理带来难度,但我们可通过在原有 VPN 防火墙上细化用户的访问权限同时配合深信服 AC 实现更安全的访问控制和记录(需要明确远程用户的 IP 地址段) 。
