《审计流控解决方案讲解.docx》由会员分享,可在线阅读,更多相关《审计流控解决方案讲解.docx(12页珍藏版)》请在三一办公上搜索。
1、SANGFOR深信服科技广东省交通运输高级技工学校解决方案深信服科技有限 公司2016年05月04日SANGFOR目录第1章概述需求分析第2章深信服解决方案2.1组网拓扑第3章方案价值3.1控制功能:细致的访问控制,有效管理用户上网3.2带宽及流量管理功能:强大流量分析及带宽划分与分配3.3网页过滤3.5发帖过滤3.6邮件过滤第4章设备选型第5章深信服品牌优势深信服科技版权所有第1章概述一一需求分析随着互联网行业的逐渐发展,网络已经发展成为广东省交通运输高级技工学校不可或缺 的办公依托,然而校园网内用户肆意的上网行为也带来挑战同时传统的流控方式是使用QoS 技术实现基于源地址、目的地址、源端口
2、、目的端口以及协议类型等“五元组”的流量控制。 通过“五元组”定义各种流量,针对不同流量实施不同的排队机制和拥塞机制以实现控制流 量的目的。但这种传统的IP数据包流量识别和QoS技术,仅根据数据包头中的“五元组” 信息进行分析,却无法识别出流量中所涉及的应用,因此,无法对应用进行精细的流控。网 络中心的监管压力,内部的管理压力,这一切都要求广东省交通运输高级技工学校对学校的 互联网进行有效的管理,具体问题如下:可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。 所以在方案设计中,必须具备全面的网络管理解决方案。网络设备必须采用智能化,可管理 的设备,同时实现
3、先进的分布式管理。最终能够实现监控、监测整个系统的运行情况,合理 分配资源、动态配置策略、可以迅速确定故障点等。通过先进的管理策略、管理工具提高系 统的运行性能、可靠性,简化维护工作,从而为办公、管理提供最有力的保障。带宽滥用随着互联网的普及,学校业务几乎都依托于互联网进行。OA、Mai 1、电子商务等系统 已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外, 还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成 了复杂的网络应用“脉络”。在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,P2P应用对 带宽占用比大致
4、是40%60%,在极端情况下占用比会达到80%90%。同时,再加上其他与工 作无关的应用占用了带宽资源。因此,在日常办公当中带宽有效利用率不到30%。数据泄密学校业务依托于互联网开展,都承载着有关于学校的机密信息,比如学生和老师的个 人信息,学校文档资料等。在没有任何网络安全防护措施下,学校将承受机密信息外泄风险。 因此,为了防止数据安全隐患,既要预防黑客入侵系统窃取资料,又要禁止学校内部人员主 动外发资料。违法行为学校师生在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外 发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违规违法行为,学校或个人 将承担法律责任。
5、安全隐患互联网的开放给学校带来了信息共享的便利,为业务系统提供了传输平台,但是正因 为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱 的师生,在互联网上随意打开网页、点击链接,中毒受感染,并且在内部网络中传播导致大 范围严重影响。因此,如何避免来自互联网的侵袭,解决内网安全管理问题,是信息化系统 建设中需要考虑的重点问题。第2章深信服解决方案充分考虑广东省交通运输高级技工学校的实际网络状况,建议采用上网行为管理的集中部署解决方案。上网行为管理策略:1)通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级
6、机制,进行带宽划分和分配,实现带宽资源利用率的最大化。2)内置千万级URL库,具备URL智能识别功能,对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。3)可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,可设置看帖看不允 许发帖,或者实行发帖关键字过滤,避免发表不良言论给学校带来法律追究责任的 风险。4)对所有日志进行报表呈现、数据分析,做到全网网络的透明化管理。5)学校的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,学校的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访
7、问。因此,学校需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。整套网络基于学校的实际网络进行设置和建设,在统一平台进行集中管控:1)方便快速部署:通过集中管理平台,实现对校区上网行为管理的配置、选型配置等, 实现快速的部署模式,且此种部署模式有利于最大程度的缩减实施成本及网络搭建成本。2)集中管理:网络中心管理人员可通过集中管理设备统一下发全局策略,并实现对全网上网行为管理的统一配置及更新,保障对全网网络行为的统一监管。3)实时监控:通过部署集中管理平台,通过集中监控模块可以查看校区上网行为管理 设备的运行状态,包括校区上网行为管理设备是否在线、CPU利用率、内存占用率、数据包
8、 收发统计等信息,实现全网的维护与监控。4)智能升级:集中管理平台的智能升级功能,进行统一化远程升级,通过实时监控模 块显示被升级的上网行为管理设备的运行状态、是否在线等情况,极大的方便和简化了 IT 人员的工作量。2.1组网拓扑广东省交通运输高级技工学校希望通过统一的策略配置和下发,保证学校整个网络的 正常稳定的运行。解决方案网络拓扑如下:网络拓扑图说明:网络出口设备部署AC以网关模式部署于网络出口处,进行流控的同时,对内网用户上网行为进行识别与 审计。AC在网关模式下,具有路由选路、NAT地址转换等路由器功能,在网络出口充当“路 由器”的角色,满足三层组网要求。针对外网有多条连接互联网线路
9、时,AC具备的多线路 智能选路和多线路复用专利技术,可为出口的多条线路进行优化选择和流量均衡分配,为学 校出口线路提供优化的速度和平衡的流量负荷。第3章方案价值如上图,通过在网络出口部署上网行为管理设备并在总部部署集中管理设备,另外通 过数据中心来收集所有的上网行为管理设备的日志,就可以很方便的实现上网策略的统一下 发和上网行为的全员监控。3.1控制功能:细致的访问控制,有效管理用户上网对于校内师生访问各种网页的行为,通过内置URL库,关键字过滤等方式进行管控。对 于采用SSL方式加密的网页,如钓鱼网站等,上网行为管理的证书验证链接黑白名单技术同 样可以管控。上网行为管理安全网关不仅可以对师生
10、使用WEB、FTP. EMAIL等常用服务进行 控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE 等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏, 在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、上网行为管理的P2P智能识别技术 能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资 源的问题,提供流量控制功能。上网行为管理所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间段、 基于不同的目标行为进行灵活权限控制,实现人性化
11、要求。3.2带宽及流量管理功能:强大流量分析及带宽划分与分配通过上网行为管理的多线路复用专利技术,一台上网行为管理网关最多可以同时连接四 条公网线路,扩展了机构的Internet出口带宽,多线路间互为备份,提升了可靠性;同时 上网行为管理的多线路智能选路和负载均衡技术,将内网师生的流量智能分担到各线路间, 解决了跨运营商的带宽瓶颈问题。网络中心管理者需要详细了解当前带宽资源的使用情况,这可以通过访问上网行为管理 的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步网络中心管理者就需要对非业务流量如P2P行为等进行带宽限制,对业务部门的 应用流量需求进行满足,这可以
12、通过上网行为管理强大的流量管理系统轻松实现,基于不同 用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进 行带宽划分和分配,实现带宽资源利用率的最大化。3.3网页过滤校内师生在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了 资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、 毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过 滤等技术来控制网页访问行为。AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护 URL 库。URL库列表| URL智能识别系统4
13、新增X03手动更新内置库Q URL查询 肉置规则库日期:2013-03-04 09:00:00升级有效期至:2013-06-06us唉别名称描述类型删除|口|求职招睥包括各种涉及求职和招聘相关信息的网站内置X- .成大内容包括含有成人用品、性教育、不露点裸体、人体艺术、夜总会等成人娱乐场所资料和点评、销售女士内衣和泳. .内置X网1脚规包括支持在线购买商品与服务的网站内置X-k新间门户包括提供最新新闻和时事评论的网站,包括网络媒体、各种报刊、发行流通的杂志或其它媒体所创办的网站内置Xiit相关包括IT行业资讯、IT人物、编程设计、网络资料及各种针对开发者的论任内置X- 11敦盲包括各种文化和教
14、育机构,及销售和提供教肓资料、书霜、考试信息等网站内置XI- 包括国家宗教管理部门及各类宗教组织网站,各种合法宗教相关信息网站内置X非萱利绢如包括慈善机构、义工组织、行业协会等各种不以盈利为目的的社会组织创办的网站内置X1-科学坊术包括有关研究客观事物存在及其相关规律的学说及传输科学技术的网站内置X盹b应用制由包括提供一种可以即时发布消息,类似博客系统的非正式的迷你型博客内置X牛涕邮箱包括提供电子邮件服务的网站内置X-例索引壑包括提供搜索、网页目录、索引等服务的网站内置X-1-社区论在包括提供留言板、BBS等各种论任的网站,行业相关的社区论任除外内置X-网卜聊天包括即时通设软件的Neb版本,以
15、及聊天室等可以即时发送和接受消息的网站肉置X网络存储包括将文件存储在因特网服务器上以用于音份或共享的网站内置X-钗件下载提供各种软件下载或者主要以软件下载为服务的网站内置X-个A阈站孩捕喜句枉临玄、士布本1、小人回沽笙士再关干个人即占、隹目的回沽;行妙拍关的临空足小人双姑瞭林内- TAC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备 界面进行添加,也可自定义URL类型,对学校内部网页进行管理。AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识 别库动态更新。3.4发帖过滤网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动
16、、迷信或者暴力 的信息,影响社会安定,造成了不必要的影响,学校或个人也要承担法律责任。AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置只允许登 陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免学校内出现泄密或者发表不 良言论带来法律追究责任的风险。3.5邮件过滤Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键 字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名, 或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行 报警。同时,对于所有收发的webmail、Email邮
17、件AC都可以全面记录并完整还原原邮件, 并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。第四章设备选型项设备型号授权内容台数购买预算(兀)1AC-1700适用带宽300Mbps;用户规模3000; 6个 电口,包含上网认证、终端检查、访问控制、行为监控、外发管理、带宽管理、行 为审计、统计报表和安全增强等功能,提供3年软硬件质保和URL升级服务;1170000 元产品介绍为了满足学校现阶段上网行为审计需求,同时满足建设实用性和先进性,在本次项目 中上网行为审计设备选择SANGFOR AC-1700O AC-1700吞吐量为适用带宽300M,可满足学校 未来带宽升级的需求,性能
18、满足目前学校应用需求,并在未来三年内保证适用性。AC-1700 提供6个千兆电口满足学校组网需求。同时AC-1700支持3对Bypass和提供冗余电源,保 证系统稳定可靠性。AC-1700支持全面上网行为识别,从而对内网用户的上网行为进行记录审计。通过查看审计 日志,管理员可全面了解内网用户的上网行为,并在发生网络违法事件的时候通过审计日志 追查相关责任人。第五章深信服品牌优势4.1公司概览创立时间:2000年员工数:2300人客户数:21,000家年增长率:超过50%专利数:申请超过350项研发中心:深圳、北京、洛杉矶客服中心:深圳、长沙、马来西亚(数据更新于2015年12月1日)4.2关于
19、深信服深信服公司成立于2000年12月,是中国规模最大的前沿网络厂商。多年来在网络安全 与虚拟化领域持续发展,致力于提供创新的IT基础设施虚拟化与云建设解决方案。目前,深信服在全球共设有55个直属分支机构,其中包括香港、新加坡、马来西亚、 印尼、泰国、英国和美国等七个海外办事处和分公司,员工规模超过2300名。随着企业规模的扩大发展,深信服也获得了多方认可。先后获得了 “CMMI5国际认证”、 “第一批国家高新技术企业”、“国家规划布局内重点软件企业” “亚太地区德勤高科技高 成长500强”等殊荣。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单 位、并受邀参与制定第
20、二代防火墙标准。在行业合作上,深信服是互联网应急中心应急 服务支撑单位、国家信息安全漏洞共享平台CNVD成员单位、中国国家信息安全漏洞库CNNVD 技术支撑单位和公共漏洞和暴露组织CVE认证合作单位。目前,全球有近40,000家用户正在使用深信服的产品。其中,在中国入选世界500强 的企业有80%的企业都是深信服的用户。同时,凭借优秀的产品表现,深信服多款产品入围 了包括国家税务总局、国家电网、建设银行、工商银行、中国移动和中国电信在内的各行业 集采,各款产品均得到了广泛应用。时刻走在行业前沿,深信服始终保持着创新能力多年来,深信服持续将年收入的20%投入到研发,并在深圳、北京和硅谷设立了研发
21、中 心,研发人员比例达到了 40%。在对创新发展的持续投入下,深信服一直保持着每1-2年推 出一款新产品、每季度更新1个新版本的研发速度。截至2015年,深信服共申请超过334 项国内发明专利以及20项美国专利。此外,深信服是推出了全球第一台IPSec VPN和SSL VPN二合一 VPN,中国第一台上网行为管理和第一台下一代防火墙的厂商。将产品和服务做到最好,深信服快速响应市场需求深信服研发人员每月都会进行例行的客户拜访以收集产品需求,每年都能收到超过1000条有效需求,并在研发工作中将其迅速转化为产品新版本。同时,深信服在深圳、长 沙、吉隆坡三地设有超过100坐席的CTI中心,提供7*24小时的电话咨询和远程调试服务。 在全国范围内,深信服在49个城市设立了备品备件库,配有原厂工程师第一时间提供技术 支持。进入的每一个细分市场,深信服都会努力成为No.1深信服的硬件VPN、SSL VPN两款产品连续7年保持着市场占有率第一;上网行为管理 产品连续9年市场占有率排名第一;广域网优化产品保持在市场第一位;应用交付产品市场 排名第二、也是排名第一的国产品牌。目前,深信服SSLVPN、上网行为管理、下一代防火 墙、广域网优化、应用交付5款产品均入围了 Gartner魔力象限,获得国际认可。11
