工作计划AC上网行为管理产品销售方案模板Word文档下载推荐.docx
《工作计划AC上网行为管理产品销售方案模板Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《工作计划AC上网行为管理产品销售方案模板Word文档下载推荐.docx(14页珍藏版)》请在冰豆网上搜索。
2.1.3监控与审计功能:
防止机密信息泄漏和法律违规事件6
2.1.4报表和检索:
直观的上网数据统计、报表和海量日志检索7
2.1.5丰富的安全增值功能,全面提升内网安全级别8
2.2解决方案拓扑9
上网行为管理解决方案
一、需求概述
1.1背景介绍
具有完备的内部网络,网关处已经部署了专用防火墙等网络安全设备。
机构内部也已经应用了众多信息系统,各业务应用系统都或多或少的通过互联网平台得到整体应用…
公司规模一个总部、两个分支
机构的员工分布情况如下:
总部200多客户端、两个分工厂相加100多客户端
1.2需求分析
随着Internet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。
据IDC调查发现,在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
IDC的数据统计显示,员工30%-40%的上网活动与工作无关;
而来自色情网站访问统计的分析表明:
70%的色情网站访问量发生在工作时间。
而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。
互联网滥用,给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。
员工随意使用网络将主要导致五个问题:
(1)工作效率低下、
(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。
1.3具体需求分析
一、(安全)公司的网络安全和内网员工的互联网访问行为管控等问题日益严峻,虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒仍然大肆泛滥,严重影响了本机构应用系统的运行和业务的正常运作。
二、(流控)员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。
三、(审计)2006年3月1日开始实施的“公安部82号令”及“公安部33号令”都对组织机构内网用户的互联网行为提出了管控和审计要求。
1.4客户网络现状分析
目前网络拓扑图:
通过以上机构的内网拓扑简图可见,机构内部众多用户和各种应用系统,通过位于外网接口的防火墙进行了防护和保障,对于来自外网的安全风险和威胁提供了一定的防御能力,但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控,同时内网员工的各种互联网访问行为也无法有效的监控和审计。
二、解决方案
2.1AC上网行为管理设备功能介绍
细致的访问控制,有效管理用户上网
对于内网员工访问各种网页的行为,AC通过内置URL库,关键字过滤等方式管控IM聊天工具、WEB、EMAIL等常用服务。
对于采用SSL方式加密的网页。
SANGFORAC具有国内最全的应用协议识别库。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SANGFORAC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
表3.1:
访问控制功能一览表
功能模块
功能
性能指标
身份认证
用户认证方式
支持触发式WEB认证;
支持用户名/密码方式认证;
支持USB-Key认证;
支持IP认证;
支持IP-MAC绑定认证等
IP-MAC绑定
支持跨三层交换机的IP-MAC绑定功能
第三方认证
不仅支持将用户账号/密码信息内建设备本身,亦支持与第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动
WEB认证
WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、微软AD域控服务器、Radius服务器,POP3服务器联动
单点登录
支持基于LDAP、微软AD域控服务器、POP3、PROXY服务器的单点登陆;
用户只要通过以上验证,则无需再次在WEB认证页面输入密码
未创建用户认证
AC支持将未创建用户自动创建并加入设备,并同时赋予该用户指定权限和用户分组
网页访问控制
URL(网址)过滤
AC内置超过800万条预分类的URL库,允许用户输入新URL地址和创建新分类;
关键字过滤
可限制通过搜索引擎搜索某些关键字(关键字可定义),可针对网页正文关键字进行网页过滤,可限制用户通过BBS、Webmail、Blog等方式发送带有敏感字样的言论
反钓鱼网站功能
支持对SSL加密网站的识别和过滤
文件类型限制
可限制和管理通过HTTP、FTP下载、上传指定类型的文件
邮件控制功能
邮件地址限制
可限制指定后缀的邮件地址通过SMTP发送邮件
可控制哪些用户可以使用哪些邮箱发送邮件,可控制用户发送邮件附件及附件类型等
可限制发送含有指定关键字的邮件
附件类型限制
可限制发送带有指定类型附件的邮件;
可限制发送超过指定大小附件的邮件
垃圾邮件过滤
可对接收的邮件进行垃圾邮件过滤
上网控制功能
上网控制
可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等)
IM控制
可分组、分用户、分时段封堵所有聊天软件如:
QQ、MSN、新浪UC、YahooMessenger、网易泡泡、Skype、飞信等
P2P控制
可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive等P2P软件;
并能够对非常见/未来可能出现的P2P软件进行管控
SSL控制
支持SSL控制功能,可控制用户通过SSL协议访问的URL,并可对SSL协议的证书做有效性检查,允许或拒绝用户访问持有指定X.509证书的网站,以防止用户通过SSL协议泄密和访问色情、反动、和钓鱼网站
代理识别
可以识别并禁止使用HTTP、Socks代理;
对HTTP/HTTPS端口中封装的其他协议进行封堵;
可禁止内网员工使用代理软件代理他人上网
访问控制策略
支持基于组、时间、服务、网址策略、内容策略等多种对象组合
上网计时控制
控制用户总的上网时长;
支持对用户上网时长进行统计
强大流量分析及带宽划分与分配
一台AC网关最多可以同时连接四条公网线路,扩展了机构的Internet出口带宽,多线路间互为备份,提升了可靠性;
同时AC的多线路智能选路和负载均衡技术,将内网员工的流量智能分担到各线路间,解决了跨运营商的带宽瓶颈问题。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统、业务部门的应用流量需求进行满足。
表3.2:
带宽及流量管理功能一览表
详细指标
多线路复用
一台AC网关,最多同时连接四条公网线路,提升机构的出口带宽
多线路智能选路
多线路之间互为备份,且内网员工的流量可以智能分担到多线路之间,解决了跨运营商的带宽瓶颈问题
流量分配和控制
针对内网每个用户或者不同的组,限定其各种应用/网站类型/上传下载文件类型能占用的带宽资源,使机构的带宽资源得到充分有效的利用
P2P管控
不仅可以全面封堵P2P的应用,还可对P2P行为进行流量控制,控制其上行流量和下行流量,节省机构网络资源
QOS保证
使用差分业务模型实现QOS
使用随机早期检测RED丢弃算法提供流量控制
防止机密信息泄漏和法律违规事件
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:
而高层领导的网络行为、收发的Email等关乎机构的发展命运,AC通过业界独有的“免审计Key”技术,从底层免除对其行为的监控和记录,达到全面和灵活的统一。
表3.3:
访问审计功能一览表
实时会话监控
实时对用户会话数进行排名;
可查看指定用户当前具体会话信息;
实时流量监控和用户冻结
实时对用户产生的流量,包括上行和下行流量,进行排名和查看;
对于异常流量用户,支持对其进行临时冻结,阻止其网络访问,并能够在冻结时间段结束后,自动解冻
实时连接监控
实时监控用户的连接情况,并能够断开指定用户的指定连接;
访问网站监控
分组、分用户监控用户访问的所有网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容
网络言论监控
分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论
邮件监控
可监控用户发送、接收的所有邮件包含附件
邮件延迟审计
对于敏感邮件,AC先拦截,经人工审核后再决定是否发送到公网
IM软件监控
能够监控和记录QQ聊天内容,以及市面上流行的所有聊天软件的聊天内容,包括:
QQ、Gtalk、新浪UC、网易泡泡、Skype等
FTP监控
分组、分用户监控记录通过FTP上传的文件(内容)和FTP上传下载行为
Telnet监控
可监控用户Telnet行为
其它网络行为监控
可监控用户的其它所有网络行为
管理员/系统日志记录
支持对所有管理员的操作日志,系统日志的记录和审计
免监控功能
支持指定用户使用“免审计key”,实现对该用户所有网络访问行为的免监控功能
自动邮件告警
对特定安全事件支持通过邮件自动告警
直观的上网数据统计、报表和海量日志检索
机构内网员工每天的各种行为日志记录可达数十G,为了满足公安部82号令存储至少60天的要求,SANGFORAC网关通过外置数据中心实现了日志的海量存储,强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。
而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容,甚至是查找内网员工的泄密证据、法律违规证据?
AC数据中心提供的内容检索工具,通过类似Google的界面,让您轻松实现。
表3.4:
数据中心功能一览表
流量统计日志
包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名
邮件日志
包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况
网络监控日志
包括监控统计摘要、监控排行、监控查询、监控趋势等功能。
管理员可详细监控内网员工使用互联网资源的具体使用情况
准入规则日志
包括准入规则摘要、准入排行、准入查询等功能,管理员可对内部网络的违规机器进行详细统计和查看
安全日志
包含防火墙相关日志信息,及机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息
数据报表功能
支持独立于网关的网络监控数据报表中心,可在一个报表中心以WEB方式查看多台网关设备的监控数据
报表分析功能