无线wifi上网行为管理方案

《无线wifi上网行为管理方案》由会员分享，可在线阅读，更多相关《无线wifi上网行为管理方案（11页珍藏版）》请在装配图网上搜索。

1、银行Wifi上网行为审计方案一、 无线wifi的安全审计功能人员通过银行wifi访问互联网信息，如果向互联网发布一些过激言论、反 动信息等，不仅会对银行形象产生负面影响，甚至如果触犯了国家的法律招致有 关部门的调查，还会牵连面临法律风险，因此，必须对用户的上网行为进行管理 并审计风险行为，以便有据可查。上网行为管理产品，能为用户提供专业的用户管理、应用控制、网站过滤、 内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少 安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等等实 用功能。通过选用通过公安部安全审计入围设备，结合中国电信综合信息服务提供商 在网络接

2、入与安全的专业技术优势，提供安全接入综合解决方案，合理配置安全 策略，提供可视化管理工具，用户行为分析等应用功能，为银行提供用户 wifi 接入安全审计，满足互联网上网规范，同时可以满足银行业务的营销分析需求。上网行为管理设备功能列表如下：业务功能说明详细描述公安安全标准审计安全审计访问审计记录用户、IP地址、链接、网站类别、 时间、网页标题，并支持网页快照，网 页内容直观显示。公安部第82号令第八条（三）点：记录、跟踪网 络运行状态，监测、记录 网络安全事件等安全审 计功能。公安部第82号令第九条（四）点：开办电子公告 服务的，具有用户注册信 息和发布信息申计功能；（此条针对网站）聊天审计对

3、IM聊天软件、论坛微博发帖等内容进 行审计。文件审计对外发文件进行申计，防止机密文件外 泄。用户审计身份认证用户使用互联网应用时，由管理服务器 推送PORTAL界面,提供用户输入手机号 并获取动态验证码，输入验证码通过验 证后即可访问互联网。公安部第82号令第八条（一）点：记录并留存用 户注册信息上网审计手机号作为用户的唯一标识，作为用户 申计信息记录用户上网行为与安全申 计。包括：用户登录退出时间、账号、 上网访问地址、聊天纪录等。公安部第82号令第七条（三）点：记录并留存用 户登录和退出时间、主叫 号码、账号、互联网地址 或域名、系统维护日志的 技术措施。监控功 能应用可视 化通过对网络应

4、用的精确识别，实现网内 应用的可视化管理。通过识别结果，制 定有针对性的网络优化方案。设备提供增强功能告警功 能违规告警违规操作的告警，告警分级管理，并支 持自定义告警规则。设备提供增强功能mac地址 过滤mac地址过 滤支持MAC地址黑名单过滤，网点移动办 公电脑的MAC地址加入互联网无线网络 黑名单，禁止行内计算机违规上网设备提供增强功能网站过 滤网站过滤配置网站黑名单，阻止访问恶意网站、 不良网站保障上网安全。设备提供增强功能P2P过滤P2P过滤限制视频、流媒体带宽、p2p下载等， 提高用户上网感受。设备提供增强功能流量控 制带宽控制智能动态的流量控制管理，保障关键业 务，灵活分配带宽资

5、源。亦可对单IP 限速，平均分配带宽资源，现在对现有 资源的最优化管理。设备提供增强功能防共享防代理共享限制一拖N上网，防止代理共享上网功 能。设备提供增强功能流量状 态流量统计实时查看本日应用排名、本日活跃用户 （用户名、IP、流量）、本日访问网点 （网址、分类、请求数）。设备提供增强功能查询统计应用统计支持应用日志查询统计，域名统计、共 享用户统计等。公安部第82号令第十三 条：互联网服务提供者 和联网使用单位依照本 规定落实的记录留存技 术措施，应当具有至少保 存八十天记录备份的功 能。应用统 计明细统计网络应用报表在指定时间段中，对网络中各种应用进 行统计分析，分析每类应用在网络中的

6、连接数占用比例，分析客户行为。访问网站报表分析在指定时间段中，访问含某个关键 字（URL）的网页的客户记录。上网行为报表分析指定时间段中，统计每位客户对互 联网的访问情况，包括：网络应用、上 下行流量，并可查看详细资料。功能统计事件统计事件日志QQ、MSN、URL帐号、POP3帐号、微博账 号等登录事件日志查询统计；登陆时间 日志查询统计，DNS事件日志。报表功创建报表报表创建、PDF格式导出，自定义报表。能扌艮表导出各类分项日志支持Excel格式导出。设备管 理集中管控对全网中的上网行为管理设备AC进行 集中管理，实现策略配置统一下发、设 备升级统一维护。设备提供增强功能告警管 理告警功能提

7、供对违规操作的告警，支持攻击、泄 密告警，危险行为告警、邮件延迟审计 告警等，并支持自定义规则。设备提供增强功能账号管 理认证功能支持本地认证功能，包括Web认证、用 户名/密码认证、IP/MAC/IP-MAC绑定 等，支持外部认证，与LDAP、Radius、 POP3等外部认证服务器或者SAM、CAMS 等认证计费系统结合进行身份认证。设备提供增强功能管理二、上网行为管理部署可选方案AC工作模式有两种：一种是集中管理，集中转发。即所有AP的管理数据流和 终端的业务数据流都需要由AC来转发；另外一种是集中管理，分布转发。即所 有AP的管理数据流由AC转发，而业务数据流则在部署在本地的三层设备转

8、发。 方案一：AC的工作模式设置为集中管理，集中转发。上网行为管理设备可部署在2 个位置，汇聚出口或者AC与核心交换机之间。可根据设备的多少选择部署上 网行为设备管理平台和专用的上网行为管理日志服务器，以便于管理。图示如 下：I网芬为许Q LT叽订用曲計/ 71地爭番1、选择上网行为管理设备部署在AC与核心交换机之间，那么可根据用户数量的增长，相应的扩容行为管理设备，不会造成投资浪费，同时安全性相对较高。2、选择上网行为管理设备部署在上网出口，那么需评估总体用户数量，设备性 能需能够支撑未来的用户增长。方案优点：网络结构简单，上网行为管理设备部署集中，管理维护方便。缺点：出口汇聚流量过于集中，

9、出口带宽成本高，地市分行无直接管理权限。成本核算：设备 厂家设备型号产品描述单价数 量金额/1年服务金额/2年服务单 ap/2 年期租 赁价格（3000A P测算）深信 服AC-9600-L具备4个千兆电口，4 个千兆光口，2个万 兆光口；吞叶量4Gbps 并发会话数3200000 并发用户数50000500,0001500,000550,0007.64网纵Netzone 4G具备6个千兆电口，4 个万兆光口，4个万 兆电口；吞叶量4Gbps并发会话数3000000并发用户数100000170,0001170,000187,0002.60网康具备6个千兆电口，4 个万兆光口，4个万 兆电口；吞

10、叶量4Gbps并发会话数3000000并发用户数100000400,0001400,000440,0006.11方案二：AC 的工作模式设置为集中管理，分布转发。省行和地市分行分别汇聚本 地市的管理流量，业务流量通过本地汇聚核心交换机 在本地 汇聚后 上In terne t。上网行为管理设备部署到各分行的汇聚核心网络出口，省行部署上网行为管理设备专用的管理平台，配置专用的管理日志服务器，以便于管理。管理平ftPart*l 13 务:城域网/ll1HKTJESS安骨仍略吐务咼9认证M第器上网廿沟iSt丽珥皆超平白駐邙K一.=打曽理管理平台地市分行/支行核心交换机M：2网行対设备_、:、，:匚聚交

11、换机地市叫山优点：1、各地市分行可以管控自己的上网行为管理设备，并根据自己的需求定制 个性化的上网行为管理规则。2、地市分行及省行汇聚各地市的业务流量，出口流量比较分散，有更高的 安全性与可靠性。缺点：1、涉及到21 个地市，投入的设备多，投资偏大。2、设备增多，维护管理难度加大。成本核算：设备厂家设备型号产品描述单价数量测算)深信 服AC-E690-10吞叶量lGbps85,000211,785,0001,963,50027.90SC-470-AC-L集中管理平台 集中管理中心端网 关(可管理800个AC 节点)18, 0701,100118, 07019,877SC管理AC网 关授权每增加

12、一个被管理 的上网行为管理 (AC)网关2123,10025,410汇总报价：1,826,1702,008,787网纵E9800具备6个千兆电 口，4个千兆光口； 吞叶量2Gbps 并发会话数 1000000并发用户数1000038,00021798,000877,80012.46集中管理平台 集中管理中心端网 关6,80050016,8007,480SC管理AC网 关授权每增加一个被管理 的上网行为管理 (AC)网关2110,50011,550汇总报艮价：815,300896,830网康NI5000-MN具备4个千兆光 口，4个千兆电口； 含专用操作系统 与智能流量管理 标准软件；含一年 软

13、件升级与数据 库更新服务，含一 年硬件质保服务。 支持用户数500084,800211,780,8001,958,88028.32CMP-LBA集中管理平台 集中管理中心端网 关26,800126,80029,480CMP-LIS-M每增加一个被管理 的上网行为管理 (AC)网关2,2002146,20050,820汇总报价：1,853,8002,039,180方案三AC的工作模式设置为集中管理，分布转发。省行AC集中管理所有AP网点，业务 上网通过网点汇聚设备直接上网，上网行为管理设备下移至营业厅汇集网点。省 行部署上网行为管理设备专用的管理平台，配置专用的管理日志服务器。方案优点：1、网点

14、用上网行为管理设备替换普通的路由器，即可实现上网，也能完成上 网行为审计功能。2、通过本地 AD 上网，降低链路租用成本。缺点：1、分散上网，管理节点多，维护管理难。2、网点多，投资成本大。投资预算：设 备 厂 家设备型号产品描述单价数量金额/1年服务金额/2年服务单ap/2年期 租赁价格 (3000AP 测 算)深 信 服AC-550-GD吞叶量20Mbps4,200131,2001,100300012,600,00013,860,000244.92SC-570-AC-L集中管理平台 集中管理中心端网 关(可管理10000 个AC节点)1131,200144,320SC管理AC网 关授权每增

15、加一个被管理 的上网行为管理 (AC)网关30003,300,0003,630,000汇总报艮价：16,031,20017,634,320网 纵E5800具备6个千兆电 口； 吞叶量500Mbps 并发会话数 100000并发用户数10004,000300012,000,00013,200,000206.80集中管理平台 集中管理中心端网 关35,800135,80039,380SC管理AC网 关授权每增加一个被管理 的上网行为管理 (AC)网关50030001,500,0001,650,000汇总报价：13,535,80014,889,380网 康NI3000-HN具备4个千兆电 口；含专用操作 系统与智能流量 管理标准软件； 含一年软件升级 与数据库更新服 务，含一年硬件 质保服务。支持用户数30022,800300068,400,00075,240,0001,103.03CMP-HBA高端集中管理平台48,000148,00052,800SC管理AC网 关授权每增加一个被管理 的上网行为管理 (AC)网关1,25030003,750,0004,125,000汇总报价：72,198,00079,417,800四、 问题讨论需要了解目前网络方案的设计情况，选定具体安全审计方案