[工作计划]AC上网行为管理产品销售方案模板

《[工作计划]AC上网行为管理产品销售方案模板》由会员分享，可在线阅读，更多相关《[工作计划]AC上网行为管理产品销售方案模板（11页珍藏版）》请在装配图网上搜索。

1、 上网行为管理解决方案深信服科技上网行为解决方案 厦门市浩华工贸有限公司提供2011年05月23日目 录一、 需求概述211 背景介绍212 需求分析213 客户具体需求分析214 客户网络现状分析2二、解决方案421 AC上网行为管理设备功能介绍42.1.1 控制功能：细致的访问控制，有效管理用户上网42.1.2 带宽及流量管理功能：强大流量分析及带宽划分与分配52.1.3 监控与审计功能：防止机密信息泄漏和法律违规事件62.1.4 报表和检索：直观的上网数据统计、报表和海量日志检索72.1.5 丰富的安全增值功能，全面提升内网安全级别822 解决方案拓扑9上网行为管理解决方案 一、 需求概

2、述11 背景介绍具有完备的内部网络，网关处已经部署了专用防火墙等网络安全设备。机构内部也已经应用了众多信息系统，各业务应用系统都或多或少的通过互联网平台得到整体应用公司规模一个总部、两个分支机构的员工分布情况如下：总部200多客户端、两个分工厂相加100多客户端 12 需求分析 随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的

3、上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。员工随意使用网络将主要导致五个问题：(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。13 具体需求分析一、（安全）公司的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作。 二、（

4、流控）员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的开展。 三、（审计）2006年3月1日开始实施的“公安部82号令”及“公安部33号令”都对组织机构内网用户的互联网行为提出了管控和审计要求。14 客户网络现状分析目前网络拓扑图：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问行

5、为也无法有效的监控和审计。 二、解决方案 21 AC上网行为管理设备功能介绍2.1.1 控制功能：细致的访问控制，有效管理用户上网对于内网员工访问各种网页的行为，AC通过内置URL库，关键字过滤等方式管控IM聊天工具、WEB、EMAIL等常用服务。对于采用SSL方式加密的网页。SANGFOR AC具有国内最全的应用协议识别库。针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SANGFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，

6、实现人性化要求。表3.1：访问控制功能一览表功能模块功能性能指标身份认证用户认证方式支持触发式WEB认证；支持用户名/密码方式认证；支持USB-Key认证；支持IP认证；支持IP-MAC绑定认证等IPMAC绑定支持跨三层交换机的IP-MAC绑定功能第三方认证不仅支持将用户账号/密码信息内建设备本身，亦支持与第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动WEB认证WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、微软AD域控服务器、Radius服务器，POP3服务器联动 单点登录支持基于LDAP、微软AD域控服务器、POP3、PROXY服务器的单点登陆；

7、用户只要通过以上验证，则无需再次在WEB认证页面输入密码未创建用户认证AC支持将未创建用户自动创建并加入设备，并同时赋予该用户指定权限和用户分组网页访问控制URL（网址）过滤AC内置超过800万条预分类的URL库，允许用户输入新URL地址和创建新分类；关键字过滤可限制通过搜索引擎搜索某些关键字（关键字可定义），可针对网页正文关键字进行网页过滤，可限制用户通过BBS、Webmail、Blog等方式发送带有敏感字样的言论反钓鱼网站功能支持对SSL加密网站的识别和过滤文件类型限制可限制和管理通过HTTP、FTP下载、上传指定类型的文件邮件控制功能邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮

8、件邮件控制功能可控制哪些用户可以使用哪些邮箱发送邮件，可控制用户发送邮件附件及附件类型等关键字过滤可限制发送含有指定关键字的邮件附件类型限制可限制发送带有指定类型附件的邮件；可限制发送超过指定大小附件的邮件垃圾邮件过滤可对接收的邮件进行垃圾邮件过滤上网控制功能上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email等）IM控制可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P控制可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive等P2P软件；并能够对非

9、常见/未来可能出现的P2P软件进行管控SSL控制支持SSL控制功能，可控制用户通过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝用户访问持有指定X.509证书的网站，以防止用户通过SSL协议泄密和访问色情、反动、和钓鱼网站代理识别可以识别并禁止使用HTTP、Socks代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网员工使用代理软件代理他人上网访问控制策略支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2.1.2 带宽及流量管理功能：强大流量分析及带宽划分与分配一台AC网关最多可以同时

10、连接四条公网线路，扩展了机构的Internet出口带宽，多线路间互为备份，提升了可靠性；同时AC的多线路智能选路和负载均衡技术，将内网员工的流量智能分担到各线路间，解决了跨运营商的带宽瓶颈问题。IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统、业务部门的应用流量需求进行满足。 表3.2：带宽及流量管理功能一览表功能详细指标多线路复用一台AC网关，最多同时连接四条公网线路，提升机构的出口带宽多线路智能选路多线路之间互为备份，

11、且内网员工的流量可以智能分担到多线路之间，解决了跨运营商的带宽瓶颈问题流量分配和控制针对内网每个用户或者不同的组，限定其各种应用/网站类型/上传下载文件类型能占用的带宽资源，使机构的带宽资源得到充分有效的利用P2P管控不仅可以全面封堵P2P的应用，还可对P2P行为进行流量控制，控制其上行流量和下行流量，节省机构网络资源QOS保证使用差分业务模型实现QOS使用随机早期检测RED丢弃算法提供流量控制2.1.3 监控与审计功能：防止机密信息泄漏和法律违规事件针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能：而高层领导的网络行为、收发的Email等关乎机构的发展命运，AC通过业

12、界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。表3.3：访问审计功能一览表功能详细指标实时会话监控实时对用户会话数进行排名；可查看指定用户当前具体会话信息；实时流量监控和用户冻结实时对用户产生的流量，包括上行和下行流量，进行排名和查看；对于异常流量用户，支持对其进行临时冻结，阻止其网络访问，并能够在冻结时间段结束后，自动解冻实时连接监控实时监控用户的连接情况，并能够断开指定用户的指定连接；访问网站监控分组、分用户监控用户访问的所有网址、网页标题或整个网页内容，或只记录含有指定关键字的网页内容网络言论监控分组、分用户监控用户通过BBS、WEBMail、BLo

13、g等发送的网络言论邮件监控可监控用户发送、接收的所有邮件包含附件邮件延迟审计对于敏感邮件，AC先拦截，经人工审核后再决定是否发送到公网IM软件监控能够监控和记录QQ聊天内容，以及市面上流行的所有聊天软件的聊天内容，包括：QQ、Gtalk、新浪UC、网易泡泡、Skype等FTP监控分组、分用户监控记录通过FTP上传的文件（内容）和FTP上传下载行为Telnet监控可监控用户Telnet行为其它网络行为监控可监控用户的其它所有网络行为管理员/系统日志记录支持对所有管理员的操作日志，系统日志的记录和审计免监控功能支持指定用户使用“免审计key”，实现对该用户所有网络访问行为的免监控功能自动邮件告警对

14、特定安全事件支持通过邮件自动告警2.1.4 报表和检索：直观的上网数据统计、报表和海量日志检索机构内网员工每天的各种行为日志记录可达数十G，为了满足公安部82号令存储至少60天的要求，SANGFOR AC网关通过外置数据中心实现了日志的海量存储，强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容，甚至是查找内网员工的泄密证据、法律违规证据？AC数据中心提供的内容检索工具，通过类似Google的

15、界面，让您轻松实现。表3.4：数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况网络监控日志包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网员工使用互联网资源的具体使用情况准入规则日志包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看安全日志包含防火墙相关日志信息，及机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息数据报表功能支持独立于网

16、关的网络监控数据报表中心，可在一个报表中心以WEB方式查看多台网关设备的监控数据报表分析功能支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理员设定，数据中心能够自动将指定时间段的指定统计查询结果汇总成PDF、Excel等报表文件，发送到指定Email邮箱内容检索通过类似Google的搜索界面，实现对海量日志信息的内容搜索日志库管理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可创建不同权限的数据中心管理员2.1.5 丰富的安全增值功能，全面提升内网安全级别作为一个全面的内网管理设备SANGFOR AC安全网关还提供了丰富的安全增值

17、功能。除了强大的防火墙模块外，SANGFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网员工接收的邮件、访问的网页、下载的文件进行病毒过滤，潜藏在压缩数据包中的安全威胁，AC同样可以过滤和查杀，降低了内网员工感染病毒的风险。防DOS攻击功能，不仅防御来自公网的DOS攻击，对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构先前遭遇的整个子网用户无法上网的故障得以根除。AC具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的

18、终端设备才允许接入Internet，修复了内网的安全短板。表3.5：安全增值功能一览表网关防毒功能集成F-PORT的杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能查杀压缩文件支持对压缩包的病毒查杀（包括zip、rar、gzip、tar、bz2等）杀毒豁免支持对指定网站的免病毒检查；支持仅对指定的文件类型进行病毒查杀病毒库升级支持杀毒引擎在线自动升级；支持用户手工升级病毒库防DOS攻击不仅防止来自外网的DOS攻击行为，还能防范来自内网的DOS攻击，侦测出内部发起攻击的终端，并提供对该终端在指定时间段内的冻结和封锁防ARP欺骗无需第三方软件，实现对终端用户和网关的双

19、向防ARP欺骗功能网络准入规则提供网络准入规则，保证只有安装了指定的防毒软件和指定系统补丁（和检查注册表，硬盘文件，后台进程等）的主机才能使用Internet，大大减少主机被植入钓鱼软件和木马的风险作为部署于机构网络出口处的核心网络设备，SANGFOR AC网关支持双机热备功能。22 解决方案拓扑部署总部网拓扑网桥模式将SANGFOR AC等同于一根连接在网关和交换机之间的“智能网线”，可以对所有流经AC的数据流进行审计、管理和控制。如上部署，采用网桥模式的主要优点是：设备的部署、安装基本不影响原有网络结构。与分公司结合效果如图：从图中看出在实施深信服的上网行位管理后不仅在内网管理方面得到了很好的支持，并且解决了机构分支互联的安全性问题。10深信服科技 提升带宽价值 第 页