深信服科技AC目标客户分析共36页
- 格式:ppt
- 大小:3.43 MB
- 文档页数:36
下载文档原格式
合集下载
深信服AC 配置手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 与路由器G0/0/0连接图2WEB登录页面4. 配置管理WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
图5管理员帐户列表如需对管理员帐户进行配置,直接单击蓝色用户名,如需创建新管理员,单击左上角“新增”图标,即可进入创建页面。
系统时间系统时间设置界面如图6所示。
SANGFOR_AC_防范泄密风险解决方案
深信服AC防范泄密风险解决方案深信服科技有限公司2012年10月目录第1章应用背景 (1)第2章问题分析 (1)第3章防泄密解决办法 (1)3.1封堵泄密风险网络行为 (2)3.1.1URL智能过滤,只许看帖不准发帖, (2)3.2禁止HTTP上传/FTP传文件,IM传文件 (2)3.3禁止远程登录软件的使用 (2)3.4全面的应用行为审计 (3)3.4.1BBS发帖,webmail等正文附件的详细审计 (3)3.4.2邮件延迟审计 (3)3.4.3IM聊天内容得审计 (3)3.4.4免审计Key功能 (4)3.5 3.3安全防范 (5)3.5.1危险行为识别及管控 (5)3.5.2外发文件告警 (5)3.6快速便捷的日志检索功能 (5)第1章应用背景随着综合国力的增强和国际地位的提高,我国已成为各种情报窃密活动的重点目标,同时发达的互联网也为泄密窃密提供了方便的渠道和途径,泄密已经危害到了国家的安全,而另一方基于经济利益的泄密也十分泛滥,黑客通过网络获取他人银行账户里的钱财,组织机构、竞争对手的内部员工通过主动或是被动泄露的商业机密给组织带来了极大的损失,类似的案例屡见不鲜,各个机构都在极力想办法解决泄密的问题针对用户互联网访问行为的管控与审计,美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求;而中国于2006年3月1日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款,也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留六十天以上,做到有据可查。
第2章问题分析面对上述问题,以下几个问题是需要迫切需要解决的1.黑客通过木马等方式窃取机密信息,上至国家机密,下至商业机密,银行账户信息等2.内网用户通过webmail、、BLOG、BBS发帖等方式人为的泄露商业机密的行为3.内网用户通过mail人为泄密的行为4.内网用户通过QQ/MSN等IM工具或是FTP的方式的泄密行为5.外网用户通过telnet、netmeeting等远程登录的方式导致的内网信息泄密行为第3章防泄密解决办法通过上面的分析我们得知内网目前存在的各种各样的问题会导致的泄密风险?那么我们如何来解决这些问题,任何的上网行为的管理和控制策略都必须要基于用户或是用户组来施行,只有很好的对人员进行认证和区分才能很好的保障上网行为管理策略的成功实施,另一方面,我们需要对应用进行细致全面的识别,只有合理的识别应用类型,进行细致的归类和区分,才能保障我们的上网行为管理的效果,并对相应的应用行为进行细致全面的审计,对泄密的行为做到有效地阻止,对相关的泄密行为进行细致的行为记录,以便在后期有据可查。
深信服AC基本功能介绍
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)
上网行为管理标准
OA
应用分析
SANGFOR AC能为我们带来什么?
应用授权
网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒
带宽管理
多线路流控 用户/组流控 应用流控 网站流控 文件流控
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道 +
虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
深信服培训讲义
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
深信服AC功能介绍
深信服科技:产品系列
自2007年上网行为管理获市场第一 自2008年SSL VPN获市场第一
自2005年IPSec VPN获市场第一
2002 2005 2006 2007
2008
2009 2010 …
深信服科技:市场份额
“能够提供VPN硬件的厂商不 在少数,从数量对比上看仍然以 国际厂商居多,但是从市场份额 上看,国内厂商深信服一枝独秀,
深信服科技:客户满意
服务理念
客户至上 满意第一
“深信服”在‘满足用 户需求’和‘ROI’两项 均获得突出得分,说明深 信服在安全市场的努力获 得了中国企业用户的认可。
此外,深信服提供的 服务也得到了用户肯定。
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
以30.5%的市场占比排在第一
位”
来源: IDC
“在安全内容管理硬件市场,有 超过17家主流安全厂商可以提 供该产品;排在第一位是深信
服,市场占比为33.8%。”
来源: Frost & Sullivan
深信服科技:服务体系
37 个城市,设立直
属办事处
8 个大区备品备件库 60 坐席的CTI呼叫
中心
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-全面报表
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-快速检索
基于多关键字快速检索海量日志(支持附件正文检索),精确定位事 件源和责任人
上网行为安全-危险插件与恶意脚本过滤
避免无安全防护的终端染毒、被劫持,提升内网安全
上网行为安全-危险插件与恶意脚本过滤
与AD域进行无缝集成,支持细致的管理员分级管 理功能,方便各部门、地市公司自行调整各自的上 网权限
SANGFOR_AC_内网安全解决方案
深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能,有效管理用户上网 (3)4.2防DOS攻击功能,有效防御内外网的DOS攻击 (3)4.3IPS系统,保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能,保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。
回顾2004年以来,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。
据统计,仅2005年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。
与此同时,越来越多的企业发现,安全威胁不仅来自外部,企业内部的不当互联网访问、滥用互联网以及泄密行为等等,同样会带来安全问题。
据IDC报告,70%的安全损失是由企业内部原因造成的,而不当的资源利用及员工上网行为往往是“罪魁祸首”。
比如:网页浏览、BT下载、IM实时通信、P2P文件共享等行为。
不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒,导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。
此时,传统的防火墙已经显得无能为力。
例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。
传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
深信服科技AC目标客户分析
2005、2006中国高科技高成长50强 2005、2006中国高科技高成长50 中国高科技高成长50强
目标客户—政府
可横向挖掘的客户: 可横向挖掘的客户: • (1)目前信息化建设比较热的几类政府部门,比如省市社保局、财政局、国税局、 目前信息化建设比较热的几类政府部门,比如省市社保局、财政局、国税局、 地税局、工商局、公安局、检察院、法院、海关、 地税局、工商局、公安局、检察院、法院、海关、省市县区政府及其信息中心 ; (2)对信息保密比较敏感的政府部门比如机要局、保密局、档案局等; 对信息保密比较敏感的政府部门比如机要局、保密局、档案局等; (3)对于政府基层部门(比如街道办、县区政府),因为预算有限,可以结合上 对于政府基层部门(比如街道办、县区政府),因为预算有限, ),因为预算有限 网行为管理和UTM降低成本的需求一起进行挖掘。 UTM降低成本的需求一起进行挖掘 网行为管理和UTM降低成本的需求一起进行挖掘。 (4)军方市场 • 主要联系部门 一般为市或区信息中心,决策高层一般为信息中心主任或副主任,中间层可能有信 一般为市或区信息中心,决策高层一般为信息中心主任或副主任, 息科科长级别,下面是直接负责防火墙、安全的工程师,由工程师负责实际的测试, 息科科长级别,下面是直接负责防火墙、安全的工程师,由工程师负责实际的测试, 逐层或直接向高层。 逐层或直接向高层。 • • • • • • 公司典型成功案例: 公司典型成功案例: 北京外交人员服务局、国家计划生育委员会、国家档案局、 北京外交人员服务局、国家计划生育委员会、国家档案局、 云南省司法厅、 玉溪市统计局、 云南省司法厅、云南省监狱管理局 、玉溪市统计局、湖北省统计局 曲靖市经贸委 济南市粮食局 南昌市经济信息中心
2005、2006中国高科技高成长50强 2005、2006中国高科技高成长50 中国高科技高成长50强
目标客户—政府
可横向挖掘的客户: 可横向挖掘的客户: • (1)目前信息化建设比较热的几类政府部门,比如省市社保局、财政局、国税局、 目前信息化建设比较热的几类政府部门,比如省市社保局、财政局、国税局、 地税局、工商局、公安局、检察院、法院、海关、 地税局、工商局、公安局、检察院、法院、海关、省市县区政府及其信息中心 ; (2)对信息保密比较敏感的政府部门比如机要局、保密局、档案局等; 对信息保密比较敏感的政府部门比如机要局、保密局、档案局等; (3)对于政府基层部门(比如街道办、县区政府),因为预算有限,可以结合上 对于政府基层部门(比如街道办、县区政府),因为预算有限, ),因为预算有限 网行为管理和UTM降低成本的需求一起进行挖掘。 UTM降低成本的需求一起进行挖掘 网行为管理和UTM降低成本的需求一起进行挖掘。 (4)军方市场 • 主要联系部门 一般为市或区信息中心,决策高层一般为信息中心主任或副主任,中间层可能有信 一般为市或区信息中心,决策高层一般为信息中心主任或副主任, 息科科长级别,下面是直接负责防火墙、安全的工程师,由工程师负责实际的测试, 息科科长级别,下面是直接负责防火墙、安全的工程师,由工程师负责实际的测试, 逐层或直接向高层。 逐层或直接向高层。 • • • • • • 公司典型成功案例: 公司典型成功案例: 北京外交人员服务局、国家计划生育委员会、国家档案局、 北京外交人员服务局、国家计划生育委员会、国家档案局、 云南省司法厅、 玉溪市统计局、 云南省司法厅、云南省监狱管理局 、玉溪市统计局、湖北省统计局 曲靖市经贸委 济南市粮食局 南昌市经济信息中心
2005、2006中国高科技高成长50强 2005、2006中国高科技高成长50 中国高科技高成长50强
深信服ac基本功能介绍
报表分析
了解应用现状,验证管理效果,是制定和调整策略的依据
安全防护
识别异常流量,阻断网络攻击与异常外发行为 过滤恶意脚本与危险插件、过滤挂马网页,避免无安全防护的终端 感染病毒、被劫持,提升内网安全
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
千万级 静态URL库
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
使用一根交叉线连接设备和电脑,如果连接电脑和设备的eth0口,电脑配置 一个10.251.251.0网段的IP地址(10.251.251.251除外),确保电脑和设备 eth0口IP在同网段后,在电脑的浏览器中输入https://10.251.251.251 登录设 备的网关控制台,控制台默认的账号密码为Admin/Admin
行为
封堵QQ等 IM传文件
识别并告警: 篡改/删除扩展名 压缩/加密再外发
行为管理:应用授权—带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
行为管理:应用授权—带宽管理
深信服AC系列介绍
深信服AC上网行为管理系统介绍1)AC产品简况深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。
深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力,除了识别普通的明文数据外,AC还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。
由于采用了高性能的硬件平台,以及不受硬盘空间限制、可独立部署的数据中心,深信服AC的性能领先于其他同类产品,更好的满足了大规模网络的苛刻要求。
目前,在中国上网行为管理的高端市场中,深信服AC拥有着极高的占有率,其客户包括:中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。
2)AC功能特点高性价比✓百兆设备,多WAN口设计;✓支持2条Internet线路的带宽叠加,扩大网络出口带宽;主要技术特点:✓深度内容检测技术,封堵所有P2P软件✓邮件延迟审计专利,保证所有邮件先延迟、后发送;✓监控所有即时通讯软件(QQ、MSN等)聊天记录;✓独有的网络访问准入规则,只允许符合上网策略的用户连接Internet;✓详细的日志中心,记录所有上网行为;✓分组管理,对特定组启用监控/不监控;三.产品安装及测试1.AC核心价值介绍下面介绍AC为用户带来的几大核心价值:1)网络带宽管理网络流量管理AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能,协助管理者全面分析和优化广域网带宽资源。
AC 的数据中心(Network Data Center, NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。
借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是P2P 下载。
同样,我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃,哪些部门在上班时间观看了最多的在线影片。
深信服上网行为管理AC解决方案
新华书店教材中心深信服上网行为管理解决方案浙江创智科技有限公司2012年7月一、网络现状结合拓扑分析目前网络需要解决如下问题:1.规范员工的上网行为,提高工作效率:禁止员工上班时间从事一些私人网络行为,比如网络游戏、网上看电影、BT下载、炒股等。
2.日志信息的海量存储与快速定位,保证意外(泄密事件、非法言论、网络违法违规)发生时能够保留行为日志、快速定位责任人、及时规避法律责任。
3.流量管理与控制:如果不能够进行带宽划分、流量控制、P2P限流等,将导致带宽压力大,工作用户上网慢的问题。
4.解决缺乏对网点访问控制的管理,网点拨入VPN能够同时访问内外网,存在安全隐患二、深信服AC解决方案2.1 部署拓扑采用透明模式部署AC拓扑如下:2.2 实现功能(一)控制功能:细致的访问控制功能,有效管理用户上网SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制,更可以对QQ、BT、MSN、SKYPE等各种P2P 软件的行为进行限制和控制。
丰富的报表功能还可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
基于Web的和LDAP/Radius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。
表1:访问控制功能一览表?功能?详细指标?危险网站阻隔?使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问?访问控制策略?提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略?P2P拦截?使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔?用户认证?提供Web登录认证功能,提供本地用户数据库和LDAP、RADIUS用户数据集成功能?文件上传下载控制控制?对HTTP、FTP文件上传、下载类型和大小进行控制,也能对QQ、MSN 等P2P软件的文件传送进行拦截?IPMAC绑定?提供灵活的IPMAC绑定策略?代理识别功能?能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为,从而进行阻断?敏感数据拦截?对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截,以防泄密或引起法律纠纷(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。
深信服AC介绍-概述篇V3.0
大企业
深信服上网行为管理产品(AC) 目前在大企业行业中 涉及客户达到1800家以上,涵盖央企、国资委下属 企业、航空公司、科技集团、烟草、汽车、钢铁、制 造业、房地产等多个细分行业
北京王府井通过深信服上网行为管理产品(AC) 的营 销增值方案,提高营销效率,实现O2O战略转型
运营商
深信服上网行为管理产品(AC)应用于移动、联通、 电信、广电四大运营商,涵盖全国18个省240个市 级分公司 中国移动通信集团广东省有限公司集中采购600台深 信服上网行为管理产品(AC);
品牌
2005年
首推
8年
No.1
唯一入围
Gartner SWG
上网行为管理产品价值
提高 工作效率
提高带宽 利用率
规避 违法风险
安全保障
客户案例
政府行业
政府行业已销售的客户过万,共计覆盖了60多个政 府的细分行业,其中在60%的电子政务外网都在使 用深信服上网行为管理产品(AC)。多款产品入围中 央政府采购清单 在新疆自治区14个地州,96个县的电子政务外网出 口部署110多台的深信服上网行为管理产品(AC)
金融行业
深信服上网行为管理产品(AC) 目前在金融行业中客 户数达到430家,其中银行客户有180家,包括四大 行、招商银行、交通银行等,80家保险类客户, 160多家基金和证券公司
河北省中国银行共部署466台深信服上网行为管理产 品(AC) ,实现营业网点的网络管控
教育
深信服上网行为管理产品(AC)目前在教育行业中客 户量达到9ห้องสมุดไป่ตู้0家以上,包括280多所高校、200多所 高/中职院校、300多个地区的教育局和50多个研究 机构等 中山大学隶属于全国211、985高校,互联网出口带 宽为7G,全校师生5万多,实际处理超过5G的流量, 同时包含IPV6和IPV4网络,设备运行稳定,性能和 功能上均满足了学校的要求
深信服ac设备部署.ppt
• 部署模式_简介
部署模式是指设备以什么样的工作模式部署到客户网络中去,不 同的部署模式对客户原有网络的影响各有不同;设备在不同模式下支 持的功能也各不一样,设备以何种方式部署需要综合用户具体的网络 环境和功能需求而定。
根据工作方式的不同,AC设备支持路由、网桥、旁路三种部署模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的 路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。
路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,
其它工作模式不支持实现这些功能。
2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由, 将到内网各网段的数据回指给设备下接的三层设备。
3、用户是否需要通过AC设备上网,如果是的话,需要设置代理上网规则,填 写需要代理上网的内网网段。
典型部署模式与配置
路由模式_应用举例
需求:某用户网络环境如右图, 现将AC部署在网络出口,实现 AC代理内网所有用户上网。
略”, 如下图:
多线路选路和策略路由功能注意事项
1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路,在序列号中至少开启2条外网线路
的授权。
防DOS攻击功能介绍
防DOS攻击功能简介及配置
• 防DOS攻击功能介绍
1、防DOS攻击即设备对于DOS攻击的防护,通过设备能够阻止此类攻击, 不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起 的攻击。
典型部署模式与配置
网桥模式-应用举例
部署模式是指设备以什么样的工作模式部署到客户网络中去,不 同的部署模式对客户原有网络的影响各有不同;设备在不同模式下支 持的功能也各不一样,设备以何种方式部署需要综合用户具体的网络 环境和功能需求而定。
根据工作方式的不同,AC设备支持路由、网桥、旁路三种部署模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的 路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。
路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,
其它工作模式不支持实现这些功能。
2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由, 将到内网各网段的数据回指给设备下接的三层设备。
3、用户是否需要通过AC设备上网,如果是的话,需要设置代理上网规则,填 写需要代理上网的内网网段。
典型部署模式与配置
路由模式_应用举例
需求:某用户网络环境如右图, 现将AC部署在网络出口,实现 AC代理内网所有用户上网。
略”, 如下图:
多线路选路和策略路由功能注意事项
1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路,在序列号中至少开启2条外网线路
的授权。
防DOS攻击功能介绍
防DOS攻击功能简介及配置
• 防DOS攻击功能介绍
1、防DOS攻击即设备对于DOS攻击的防护,通过设备能够阻止此类攻击, 不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起 的攻击。
典型部署模式与配置
网桥模式-应用举例
深信服AC流控技术原理介绍
一、功能创新背景互联网业务的普及,网上内容的丰富也让企业的出口带宽捉襟见肘。
如何避免企业带宽被P2P下载、视频所占用,是目前企业管理者面临的巨大难题。
深信服上网行为管理的流控功能解决了企业对于带宽控制的烦恼,虚拟线路、多重父子通道等细致、精确的方法,有效的限制了P2P应用的带宽,保障了重要工作应用的带宽,使企业正常业务不受影响。
然后慢慢的在流控上也出现了一些问题,比如带宽浪费、流控策略过于死板等问题也渐渐浮现。
深信服AC 4.2版本就着力解决这一系列问题,帮助用户更好的节约带宽,保障重要业务带宽,灵活、智能的流控,人性化管理,使用户使用舒适性更好。
二、功能说明AC 版本在流控方面有以下功能创新:P2P流控改进:P2P下载、流媒体等应用程序,通常具备强烈的带宽侵占特性,导致设备在下行方向接收到的流量大于设定的最大带宽,超出的数据包被流量管理系统丢弃,而这部分丢弃的数据包实际上已经占用了运营商分配给企业的线路带宽,导致带宽浪费以及下行方向的拥塞。
在限制通道中勾选[抑制P2P下行丢包]选项,可以抑制此类应用下行方向的丢包率,建议P2P限制通道才启用此选项。
原理:目前互联网上流行的P2P应用,通常是TCP,UDP混合协议传输,更强调带宽侵占性。
普通流控手段是通过缓存和丢包手段来实现流速控制的目的,但是某些P2P应用(例如:P2P流媒体,P2P下载工具)自身缺乏流控机制,拥有强大的抢占带宽能力,所以即使被通道丢包依然不会主动降低速率。
对于下行的接收流量来说,被丢弃的流量已经占用了外网带宽,这部分被浪费的带宽还会影响关键业务的带宽保证效果。
即虽然经过流控之后,内网PC的P2P(主要针对UDP协议的P2P流量)下载流量已经得到流控的控制而得到削减,但是由于是P2P数据到达AC 设备后才做了控制,实际上这部分被流控丢弃的流量已经占用了运营商给企业分配的带宽,而造成带宽浪费和带宽拥塞。
对TCP协议的流控没有问题,因为在流控对TCP丢包之后,TCP协议自身的拥塞控制协议会自动带来服务器端发送数据的降速,所以不会造成带宽浪费。
深信服ac管理方案
深信服AC管理方案1. 引言深信服AC(Access Control)是一种网络设备,用于管理和控制网络上各种终端设备的接入和访问。
深信服AC管理方案是基于深信服AC设备的网络接入管理解决方案,可以有效地提供网络接入管理功能,确保网络的安全和稳定。
本文将详细介绍深信服AC管理方案的架构、功能和特点,帮助读者全面了解和应用该解决方案。
2. 方案架构深信服AC管理方案由以下几个关键组件构成:2.1 AC设备AC设备是深信服AC管理方案的核心组件,用于控制和管理网络终端设备的接入和访问。
AC设备具有强大的接入控制和用户认证功能,可以对接入网络的设备进行身份验证和访问控制,保护网络的安全。
2.2 AP设备AP设备(Access Point)是用于提供无线网络覆盖的设备。
在深信服AC管理方案中,AP设备与AC设备相连,通过AC设备进行管理和控制。
通过AP设备,用户可以接入网络并享受无线网络服务。
2.3 用户终端设备用户终端设备是指连接网络的终端设备,包括电脑、手机、平板等。
用户终端设备通过AP设备接入网络,并通过AC设备进行访问控制。
3. 方案功能深信服AC管理方案提供以下功能:3.1 接入控制AC设备可以对接入网络的终端设备进行接入控制,通过设定接入策略,限制终端设备的接入权限,避免未授权设备接入网络。
3.2 用户认证AC设备支持多种用户认证方式,包括基于用户名和密码的认证、基于证书的认证等。
用户在接入网络时,需要进行身份验证,确保只有合法用户可以访问网络。
AC设备可以对接入网络的流量进行管理和控制,包括上传和下载流量的限制、流量优先级的调整等。
通过流量管理,可以合理分配网络资源,提高网络的整体性能。
3.4 安全防护AC设备提供多种安全防护机制,包括入侵检测、防火墙、虚拟专用网(VPN)等。
这些安全防护机制可以有效地保护网络免受各种威胁和攻击。
4. 方案特点深信服AC管理方案具有以下特点:4.1 高可靠性AC设备具有高可靠性和冗余性设计,可以实现设备的备份和冗余,从而保证网络的稳定运行。