深信服流量控制功能说明
流量控制技术说明
1.带宽管理
1.1流量可视化
带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。
对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS 攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。
如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。
1.2流量管理
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。
1.2.1多线路复用和智能选路
很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
1.2.2基于应用/网站/文件类型的智能流量管理
有限的带宽资源如何分配给不同部门/用户、不同应用,如何保障核心用户核心业务带宽,限制网络杀手如BT迅雷等等占用资源?AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用,提升带宽使用效率。
1.2.3多级父子通道嵌套技术
AC采用“基于队列的流控技术”,即建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。
以一个实例来说明效果,假设我们要对一个出口带宽为1G(由数条线路组成)的高校做带宽管理,产品以网桥模式部署:
物理线路->虚拟线路:桥模式下建立虚拟线路,可分别映射外网物理线路;
父通道->二级子通道->三级子通道
将出口1000M按规模划分给下属3个校区:300M、300M、400M;
其中,A校区拥有300M出口,并为A校区设置分级IT管理员,允许根据校区内研究室、学院规模分配带宽;
子通道->虚拟子通道:每条通道可根据应用/文件/网站类型等进一步划分成虚拟通道;
A校区IT管理员为某研究生实验室(30人规模)分配带宽,将4M线路“动态”分配给上网用户(人数在0~30之间随意波动),并限定单用户下行不超过200Kb,其中每个人的P2P下载不超过50%,总线路的P2P应用不超过30%。
1.2.4动态带宽分配
组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,AC支持带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据在线的用户数量将带宽动态分配给在线用户,如4M的线路,可以动态分配给5个或者20个在线用户使用,从而实现带宽资源的充分利用。
1.2.5P2P的智能识别与灵活控制
通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
对于某些企业文化较为宽松的组织,完全封堵P2P可能实施困难,AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
2.技术创新
2.1功能创新背景
互联网业务的普及,网上内容的丰富也让企业的出口带宽捉襟见肘。如何避免企业带宽被P2P下载、视频所占用,是目前企业管理者面临的巨大难题。深信服上网行为管理的流控功能解决了企业对于带宽控制的烦恼,虚拟线路、多重父子通道等细致、精确的方法,有效的限制了P2P应用的带宽,保障了重要工作应用的带宽,使企业正常业务不受影响。
然后慢慢的在流控上也出现了一些问题,比如带宽浪费、流控策略过于死板等问题也渐渐浮现。深信服AC 4.2版本就着力解决这一系列问题,帮助用户更好的节约带宽,保障重要业务带宽,灵活、智能的流控,人性化管理,使用户使用舒适性更好。
一、功能说明
AC 4.2版本在流控方面有以下功能创新:
P2P流控改进:P2P下载、流媒体等应用程序,通常具备强烈的带宽侵
占特性,导致设备在下行方向接收到的流量大于设定的最大带宽,超出
的数据包被流量管理系统丢弃,而这部分丢弃的数据包实际上已经占用
了线路的带宽,导致带宽浪费以及下行方向的拥塞。
在限制通道中勾选[抑制P2P下行丢包]选项,可以抑制此类应用下行方向的丢包率,建议P2P限制通道才启用此选项。
原理:目前互联网上流行的P2P应用,通常是TCP,UDP混合协议传输,更强调带宽侵占性。普通流控手段是通过缓存和丢包手段来实现流速控制的目的,但是某些P2P应用(例如:P2P流媒体,P2P下载工具)自身缺乏流控机制,拥有强大的抢占带宽能力,所以即使被通道丢包依然不会主动降低速率。对于下行的接收流量来说,被丢弃的流量已经占用了外网带宽,这部分被浪费的带宽还会影响关键业务的带宽保证效果。
虽然基于UDP协议的P2P应用可能对丢包不敏感,但是下行流量与上行流量有显著的正相关性,只要控制住上行流量,下行流量就能得到控制。当开启“抑制P2P下行丢包”功能时,上行带宽会根据下行流量自动调整,以达到控制下行,减少下行丢包导致的外网带宽浪费的目的。
智能(动态)流控:在带宽有限时,企业客户希望通过流控来限制P2P、
流媒体等消耗带宽的应用,保障邮件、访问网站等与业务有关的重要应用。但当客户互联网出口带宽只有30%或者更低使用率时,可以不使用
流控策略,放通合法应用的带宽。而以往的流控设备,只能通过设置上下班时间来做,无法做到灵活的带宽管理,反而使得带宽在有时候被浪费掉了。
在限制通道中勾选[当线路空闲时,允许突破限制]选项,并在通道配置页面的[高级配置]中设置线路的上下行空闲阀值。
原理:通过配置线路空闲阀值,可以定义线路的空闲和繁忙状态。限制通道在开启浮动功能后,当线路空闲时可以上浮通道带宽,突破设定的最大带宽;当线路繁忙时可以下压通道带宽,回收浮动部分。
注意事项:线路空闲阀值和线路繁忙保护阀值是不同的概念,二者没有直接的关系。
线路繁忙保护:开启线路繁忙保护后,设置一个繁忙阈值,相当于手动
把线路的带宽设置得比实际值小一些。在流量高峰时段依然会预留部分带宽来提高关键业务的服务质量,以减少线路占满导致关键应用速度慢的问题。
在通道配置界面的[高级配置]中,勾选[启用线路繁忙保护]选项,并设置对应的上下行繁忙阀值。
原理:由于线路实际带宽与ISP提供的线路标称值之间往往存在差异(实际带宽小于标称值),导致经过流控后的流量在Internet中依然有大量的丢包,影响关键业务的带宽保障质量,例如视频会议出现马赛克现象。开启线路繁忙保护后,在流量高峰时段依然会预留部分带宽来提高关键业务的服务质量,以防止线路满载后关键业务被ISP网络丢包。
注意事项:
?开启本功能后,因为需要预留少量带宽,用户设置的通道带宽和实际带宽之间会产生细微误差。如果线路实际带宽与配置的带宽之间差距较大,线路繁忙保护的效果会变差,甚至没有效果。
?直接将通道带宽设置成比实际带宽略小,也有同样的效果。但需要手动控制比较麻烦。
多流速单位进制:之前版本的单位换算上跟运营商以及通信企业(如
CISCO、HW、TP-LINK等)不一致(我们的单位换算:1 Kbps = 1024 bps,运营商及CISCO通常是:1 Kbps = 1000 bps),因此导致有5-7% 的差别,
这个也会影响流量管理的效果。
在[系统配置]->[高级配置]->[WebUI选项]选型中,进行1000进制和1024进制的切换即可。
深信服上网行为管理产品功能
深信服上网行为管理 主要作用: 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能,防止机密泄露 全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果: 1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率 上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。 2.流量控制、带宽管理,提升带宽利用率 对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。
深信服上网行为管理产品白皮书
构建健康安全、高效可管的互联网 SANFOR AC上网行为管理 产品白皮书 目录 1 互联网对组织提出的挑战................................... 错误!未定义书签。 2 上网行为管理给用户带来的价值............................. 错误!未定义书签。 管理网络带宽......................................... 错误!未定义书签。 避免法律和泄密风险................................... 错误!未定义书签。 提升工作效率......................................... 错误!未定义书签。 提升内网可靠可用性................................... 错误!未定义书签。 管理网络带宽......................................... 错误!未定义书签。 3 功能实现................................................. 错误!未定义书签。 规划用户分组结构..................................... 错误!未定义书签。 建立身份认证体系..................................... 错误!未定义书签。 分析网络流量......................................... 错误!未定义书签。 优化和分配带宽资源................................... 错误!未定义书签。 网页访问控制......................................... 错误!未定义书签。 管理IM即时通讯工具.................................. 错误!未定义书签。 控制BT等P2P行为.................................... 错误!未定义书签。 控制其他网络应用行为................................. 错误!未定义书签。 防泄密和法律风险..................................... 错误!未定义书签。 日志审计和报表中心................................... 错误!未定义书签。 内网可靠可用性增强................................... 错误!未定义书签。 管理和配置的易用性................................... 错误!未定义书签。 4 领先的技术优势........................................... 错误!未定义书签。
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能 1) 控制功能:细致的访问控制,有效管理用户上网 对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。 表1:访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构,支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类; 关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤; 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件;
深信服用户管理以及流量管理配置教程
深信服用户管理以及流量管理配置教程 新增用户组 登陆设备后点击左边的“导航菜单” “用户与策略管 理” “组/用户” 在右边会出现设备的用户组织结构,这里出现了 default 、公司领导、普通员工、服务器和网络管理中 心五个用户组。其中default 用户组是系统默认存在的, 其它四个是通过以下方法增加的。 如下图所示,点击右边的“成员管理” “新增” 5 也网踣曽理中壯 选择“组”选项,就会出现如下界面 SANGFOR I 心口 导菜单 ? b 对尊定袈 >上网荒略 /用户管理 卜组/用戶 用尸辱人 LDAF 自动同步 丿用尸认证 认证谑顼 外部认证服备器 悽索;输丄关龍字模翔攫素涓 ^default 熨公司鞍 导 记普逼员工 也网貉昔理中心 点击这里增 加新用户组 纽曙徑: 描述宿息: 鈕信息; 策略引用: 子组牛數:h 直J 横有策略 4 直服雰蛊 爼织嬴員及上网策略设置 r*fc 田口 約用L 新増▼ X 删底 #批垦會
需in组 在“组名列表”种输入工作组的名称点击“提交”即可。 公司领导、普通员工、服务器和网络管理中心四个用户组都 是这样添加进去的。 二、在用户组中添加用户 如下图所示,以在“网络管理中心”用户组增加新用户为例,点击“网络管理中心”用户组,右边会列出该用户组中的所有用户,点击“成员管理”“新增”“用户”
出现如下图界面,其中在“启用此用户”那里打钩,这里的 策略是用IP 地址作为用户名,在“显示名”那里填写了显 示名后,该显示名会附加出现在登陆名后 SANGFOR I Aca.D 搜亲:辐I 实键孚模釉援索爼 ^defauLt 旦公司 颉导 记普il 最工 題服务器 展隔管强中石 爼跖径: 齟信息: 策曙引鹅: 『网络管理中心 子飽个数:0 - 毂:育策喀 J 成员笞逢 策略列表 1+新— x 删除豪扌比 点击这里新 增用户 92 125 92.13 爭用尸 冶 W.此一凸2 一 147 務组
深信服上网行为管理功能参数
AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps,标配6个千兆电口,4个千兆光口,标准2U设备,配备冗余电源 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计; 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; 被控设备加入统一平台支持以硬件证书验证身份; 告警管理支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 加密连接具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问; 排障工具提供图形化排障工具,便于管理员排查策略错误等故障; 上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证; 短信认证支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码; 短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑 内容包括文字、颜色风格、图片,且图片支持轮询播放 公用账户支持多人使用同一帐号登录,且支持重复登陆检测机制; 账户有效期指定账户支持有效期限制,并支持自动过期; 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作; 可强制指定用户、指定IP段的用户使用单点登录;
深信服流量控制功能说明
流量控制技术说明 1.带宽管理 1.1流量可视化 带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。 对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS 攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。 此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。 如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。 1.2流量管理 当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。 1.2.1多线路复用和智能选路 很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
深信服上网行为管理M5000-AC产品参数及介绍
南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点: 1.深度内容检测技术,封堵所有P2P软件(BT、电驴等); 2.邮件延迟审计专利,保证所有邮件先延迟、后发送; 3.监控所有即时通讯软件(QQ、MSN等)聊天记录; 4.独有网络访问准入规则,只允许符合上网策略的用户连接Internet; 5.详细的日志中心,记录所有上网行为; 6.分组管理,对特定组启用监控/不监控; 适用于内网用户数在100人以下的小型网络 功能特性: 一、上网行为控制,规范员工上网行为,提高工作效率; 多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限; 独特的WEB认证、基于浏览器实现方便的用户识别与认证; 网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。 独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现; 特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏; 独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
深信服上网行为管理安全网关
深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台适用中型网络,标配2个100M电口4个1000M 电口; SINFOR M5400-AC-P 150000元/台适用中大型网络,标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 (2)分组模块
(3)控制模块 (4)流量控制模块 (5)记录审计模块
三、深信服产品介绍 针对网络安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P 应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC 的其他安全扩展功能,全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点: 网关+终端、行为+内容的完整上网行为管理解决方案; 业界最丰富的用户认证方式,网络准入规则提供安全终端接入; 针对用户组、用户、应用提供更细粒度的访问控制; 针对应用协议、网站类型、文件类型等智能流量管理; URL库数量:1000万以上 最全的应用识别协议库,24大类,370多条应用识别规则; 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容; 独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
深信服用户管理以及流量管理配置教程
深信服用户管理以及流量管理配置教程 一、新增用户组 登陆设备后点击左边的“导航菜单”→“用户与策略管 理”→“组/用户” 在右边会出现设备的用户组织结构,这里出现了 default、公司领导、普通员工、服务器和网络管理中 心五个用户组。其中default用户组是系统默认存在的,其它四个是通过以下方法增加的。 如下图所示,点击右边的“成员管理”→“新增” 选择“组”选项,就会出现如下界面
在“组名列表”种输入工作组的名称点击“提交”即可。公司领导、普通员工、服务器和网络管理中心四个用户组都是这样添加进去的。 二、在用户组中添加用户 如下图所示,以在“网络管理中心”用户组增加新用户为例,点击“网络管理中心”用户组,右边会列出该用户组中的所有用户,点击“成员管理”→“新增”→“用户”
出现如下图界面,其中在“启用此用户”那里打钩,这里的策略是用IP地址作为用户名,在“显示名”那里填写了显示名后,该显示名会附加出现在登陆名后。
有时候会出现下面的警告
这是因为该IP地址以前已经被设备识别了,被设备默认加入了default用户组中了,而同一个用户是不能同时存在两个不同的用户组中的。因此,去default用户组寻找到该用户,并将该用户移动到“网络管理中心”用户组中。如下图所示: 出现以下界面 单击选择“网络管理中心”,出现以下界面
点击“移动”即可。 这样,就可以把所有需要的用户添加到相应的用户组中了。 三、新增线路 所谓线路这里就是指出去外网的链路,藤县水利电业有限公司现在只有一条正在使用的外网链路,所以只需要设置一条线路即可。 如上图所示,进入导航菜单→流量管理→虚拟线路配置 在右边的“虚拟线路列表”中点击“新增”出现以下界面
深信服流控方案
深信服上网流量管理 解决方案 深信服科技有限公司 2013年XX月XX日
目录 第1章概述 (4) 第2章需求分析 (5) 第3章建设原则 (6) 第4章设计思路 (9) 第5章方案介绍 (10) 5.1解决方案 (10) 5.1.1部署模式 (10) 5.1.2身份认证 (12) 5.1.3应用识别 (14) 5.1.4流量控制 (17) 5.2设备选型 (23) 5.2.1公司介绍 (23) 5.2.2产品介绍 (24) 5.3方案优势 (24) 5.3.1全面 (24)
5.3.2灵活 (25) 5.3.3有效 (25) 5.4应用价值 (25) 5.4.1提升工作效率 (26) 5.4.2提高带宽利用率 (26) 第6章典型案例 (28) 6.1中粮集团 (28) 6.2清远供电局 (31) 6.3其他部分用户名单 (33) 第7章售后服务 (35) 7.1深信服服务体系介绍 (35) 7.1.1简述 (35) 7.1.2技术支持及服务内容 (36) 7.2深信服服务及维修流程 (37)
项目概述,客户背景介绍……
第2章需求分析 (拓扑图,网络结构描述,应用描述,现存问题……) 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网流量管理带来了新的挑战。随着互联网的普及,企业业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,P2P应用对带宽占用比大致是40%~60%,在极端情况下占用比会达到80%~90%。同时,再加上其他与工作无关的应用占用了带宽资源。核心业务应用得不到充分的带宽资源,员工在日常工作中反应网络慢,严重影响工作效率。因此,企业需要完善的上网流量管理方案,对带宽资源进行合理的分配。 传统的流控方式是使用QoS技术实现基于源地址、目的地址、源端口、目的端口以及协议类型等“五元组”的流量控制。通过“五元组”定义各种流量,针对不同流量实施不同的排队机制和拥塞机制以实现控制流量的目的。但这种传统的IP数据包流量识别和QoS技术,仅根据数据包头中的“五元组”信息进行分析,却无法识别出流量中所涉及的应用,因此,无法对应用进行精细的流控。
深信服AC系列上网行为管理
深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场(上网行为管理市场)报告中占有率达到40%,在2009年占有率达到33.8%,蝉联市场占有率第一。 深信服上网行为管理为您解决以下问题: 防止带宽资源滥用 深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。 防止无关网络行为影响工作效率 深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。 记录上网轨迹满足法规要求 深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。 管控外发信息,降低泄密风险 深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
掌握组织动态、优化员工管理 深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。 为网络管理与优化提供决策依据 深信服AC系列上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。 防止病毒木马等网络风险 通过部署深信服AC系列上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。 低成本且有效推行IT制度 深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。 深信服"第二代上网行为管理"推出的上网安全桌面产品,弥补了传统上网行为管理在安全方面的不足。上网安全桌面产品采用了业内领先的"沙盒"以及"重定向"等技术,仅占用电脑极小部分内存,在不改变用户使用习惯、不增加操作复杂度的前提下,将内网与风险重重的互联网隔离开,防止病毒、木马对电脑和内部局域网的侵袭,保护内网电脑与企业信息、个人隐私安全。同时,位于网关处的上网行为管理设备与终端安全桌面形成了端到端的安全解决方案,上网安全桌面与AC设备的恶意网址过滤等创新技术相结合,实现立体式安全护航,形成一套真正适合企业级市场的上网行为管理方案。 目前在上网安全领域,深信服上网安全桌面产品得到了大量客户的认可,已有招商银行等大型金融、企业客户使用。 防止病毒对电脑的破坏: 访问互联网时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃。当内网用户使用安全桌面上网,"沙盒"以及"重定向"技术使本机内真实系统与文件、注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补传统杀毒产品对安全事件事前防护的不足。 防止电脑数据泄露: 互联网上同样充斥着各种木马程序,当用户上网时,木马就可能通过一封经过伪装的邮件附件,非正规网站上下载的文件,甚至是浏览器程序漏洞,悄悄潜入这台电脑。这样黑客便可以肆无忌惮的通过木马
深信服上网行为及负载均衡技术方案
技术方案 本方案包含两个部分,上网行为管理技术方案和负载均衡技术方案 一、上网行为管理技术方案 1、需求概述 背景介绍 随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: ?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; ?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系; ?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作; 因此,在员工的日常工作中,ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。 上网行为管理需求 员工访问互联网的习惯正在发生变化,从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公,如果过度开放的上网环境会带来以下问题:工作效率低下 网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。 所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
带宽滥用和浪费 互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。 此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。 所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。 BYOD难管理 随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT 系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。 所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。 WLAN安全隐患 在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。 所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。 访客接入繁琐 企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。 所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的