下载文档原格式
新华书店教材中心深信服上网行为管理解决方案浙江创智科技有限公司2012年7月一、网络现状结合拓扑分析目前网络需要解决如下问题:1.规范员工的上网行为,提高工作效率:禁止员工上班时间从事一些私人网络行为,比如网络游戏、网上看电影、BT下载、炒股等。
2.日志信息的海量存储与快速定位,保证意外(泄密事件、非法言论、网络违法违规)发生时能够保留行为日志、快速定位责任人、及时规避法律责任。
3.流量管理与控制:如果不能够进行带宽划分、流量控制、P2P限流等,将导致带宽压力大,工作用户上网慢的问题。
4.解决缺乏对网点访问控制的管理,网点拨入VPN能够同时访问内外网,存在安全隐患二、深信服AC解决方案2.1 部署拓扑采用透明模式部署AC拓扑如下:2.2 实现功能(一)控制功能:细致的访问控制功能,有效管理用户上网SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制,更可以对QQ、BT、MSN、SKYPE等各种P2P 软件的行为进行限制和控制。
丰富的报表功能还可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
基于Web的和LDAP/Radius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。
表1:访问控制功能一览表?功能?详细指标?危险网站阻隔?使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问?访问控制策略?提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略?P2P拦截?使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔?用户认证?提供Web登录认证功能,提供本地用户数据库和LDAP、RADIUS用户数据集成功能?文件上传下载控制控制?对HTTP、FTP文件上传、下载类型和大小进行控制,也能对QQ、MSN 等P2P软件的文件传送进行拦截?IPMAC绑定?提供灵活的IPMAC绑定策略?代理识别功能?能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为,从而进行阻断?敏感数据拦截?对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截,以防泄密或引起法律纠纷(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。
流量控制技术说明1.带宽管理1.1流量可视化带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。
对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS 攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。
如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。
当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。
1.2流量管理当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。
1.2.1多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。
再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
1.2.2基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用,如何保障核心用户核心业务带宽,限制网络杀手如BT迅雷等等占用资源?AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。
深信服超融合平台招标参数文档使用说明:1.招标参数分:“技术功能参数要求”、“产品及厂商资质要求”、“超融合一体机参数要求”三部分;2.其中技术功能参数包含了服务器虚拟化aSV、存储虚拟化aSAN、网络虚拟化aNet的技术参数要求;3.超融合一体机招标参数要求包含了硬件配置要求和功能性要求两个部分。
其中“硬件招标参数”请按照所投型号对应的参数填入即可;4.红色字体为差异化优势功能,注意重点引导客户并写入招标文档;5.蓝色字体为正在规划或者研发中的产品技术功能,需要时间点,根据项目具体情况和总部来沟通具体时间点问题,可联系马泽明和肖先东;6.“功能指标要求”如想更好的控标,可要求所有“功能指标要求”均提供设备界面截图”7. 对于带★号的参数需提供的证明资料,可在WEB知识库上搜索《超融合投标应答证明资料》,里面有给大家整理产品功能界面的证明,方便大家使用;8.在特别的项目中,可根据客户的项目实际情况或者需求,可将不需要的参数部分删除。
技术功能参数要求以下为招标使用的参数要求:1、对于带★号的参数,必须按照招标参数要求提供相应的证明资料并加盖原厂商公章2、招标人将参照预中标结果对预中标人的投标产品进行测试,必须完全满足招标方需求方可确定为最终中标人,对于提供虚假参数强行中标的供应商,经测试查实后将以废标处理并录入我单位采购黑名单。
服务器虚拟化分布式存储网络虚拟化超融合OS整体参数产品及厂商资质要求说明:1.标黄的参数为公司其它资质,请根据项目选择是否使用这些资质2. 对于带★号的参数需提供的证明资料,可在WEB知识库上搜索《超融合投标应答证明资料》,里面有给大家整理产品及企业资质的证明,方便大家使用3. 下表“产品售后服务”中的标黄处请注意自行修改超融合一体机招标参数要求配置要求:说明:前面标黄的部分,可参考超融合一体机硬件参数来填入到对应的栏目中超融合一体机硬件参数:8盘位:4盘位:。
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
深信服AC-1160一、性能参数:1. 吞吐量≥200Mbps,并发会话数≥5 万;至少具备4个千兆电口,标准1U设备,支持外置数据中心。
二、功能参数:1.设备必须支持内置业界知名杀毒引擎,提供杀毒模块,支持查杀网页、Email、FTP等流量中的病毒(提供产品配置界面截图证明),对于无线业务网可提供安全防护措施,如数据加密、防攻击等且具有一定的安全管理措施,如限制安装软件、限制访问网络、防病毒木马、系统自动还原等。
2.★支持安全桌面功能,即只能在虚拟桌面中上网,且退出后所有修改均恢复,防止终端中毒(提供产品配置界面截图证明)。
3.支持如下用户上网认证方式:用户名/密码认证、短信认证、微信认证(用户关注微信公众号后即通过身份认证,后台记录用户ID(提供界面证明))及二维码认证(管理员扫描访客的二维码后对其网络访问授权(提供界面证明))4.★设备内置应用识别规则库,支持超过2100种以上的应用,650种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;(提供产品配置界面截图证明),支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖等6大类(提供产品配置界面截图证明)。
5.★支持识别终端系统后台运行的进程信息,防止间谍软件的运行;(必须提供自主知识产权证明,加盖厂商公章)6.系统内置海量预分类的URL地址库、恶意网址库(提供产品配置界面证明);具备网址智能学习功能,支持根据用户训练的关键字、网址自动将未知网页分类和过滤(提供产品配置界面截图证明);7.★识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等(必须提供自主知识产权证明)。
8.自动发现网络中无线上网热点和移动终端的IP及类型,可阻止信任列表以外的非法热点及终端,向管理员告警且记录日志(提供产品界面截图证明)。
9.设备必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术。
