无线wifi上网行为管理方案final19Word文件下载.docx
《无线wifi上网行为管理方案final19Word文件下载.docx》由会员分享,可在线阅读,更多相关《无线wifi上网行为管理方案final19Word文件下载.docx(17页珍藏版)》请在冰豆网上搜索。
用户审计
身份认证
用户使用互联网应用时,由管理服务器推送PORTAL界面,提供用户输入手机号并获取动态验证码,输入验证码通过验证后即可访问互联网。
公安部第82号令第八条
(一)点:
记录并留存用户注册信息
上网审计
手机号作为用户的唯一标识,作为用户审计信息记录用户上网行为与安全审计。
包括:
用户登录退出时间、账号、上网访问地址、聊天纪录等。
公安部第82号令第七条(三)点:
记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。
功能
监控功能
应用可视化
通过对网络应用的精确识别,实现网内应用的可视化管理。
通过识别结果,制定有针对性的网络优化方案。
设备提供增强功能
告警功能
违规告警
违规操作的告警,告警分级管理,并支持自定义告警规则。
mac地址过滤
支持MAC地址黑名单过滤,网点移动办公电脑的MAC地址加入互联网无线网络黑名单,禁止行内计算机违规上网
网站过滤
配置网站黑名单,阻止访问恶意网站、不良网站保障上网安全。
P2P过滤
限制视频、流媒体带宽、p2p下载等,提高用户上网感受。
流量控制
带宽控制
智能动态的流量控制管理,保障关键业务,灵活分配带宽资源。
亦可对单IP限速,平均分配带宽资源,现在对现有资源的最优化管理。
防共享
防代理共享
限制一拖N上网,防止代理共享上网功能。
流量状态
流量统计
实时查看本日应用排名、本日活跃用户(用户名、IP、流量)、本日访问网点(网址、分类、请求数)。
统计
查询统计
应用统计
支持应用日志查询统计,域名统计、共享用户统计等。
公安部第82号令第十三条:
互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。
明细统计
✓
网络应用报表
在指定时间段中,对网络中各种应用进行统计分析,分析每类应用在网络中的连接数占用比例,分析客户行为。
访问网站报表
分析在指定时间段中,访问含某个关键字(URL)的网页的客户记录。
上网行为报表
分析指定时间段中,统计每位客户对互联网的访问情况,包括:
网络应用、上下行流量,并可查看详细资料。
事件统计
事件日志
QQ、MSN、URL帐号、POP3帐号、微博账号等登录事件日志查询统计;
登陆时间日志查询统计,DNS事件日志。
报表功能
创建报表
报表创建、PDF格式导出,自定义报表。
报表导出
各类分项日志支持Excel格式导出。
管理
设备管理
集中管控
对全网中的上网行为管理设备AC进行集中管理,实现策略配置统一下发、设备升级统一维护。
告警管理
提供对违规操作的告警,支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等,并支持自定义规则。
账号管理
认证功能
支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定等,支持外部认证,与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。
二、上网行为管理部署可选方案
AC工作模式有两种:
一种是集中管理,集中转发。
即所有AP的管理数据流和终端的业务数据流都需要由AC来转发;
另外一种是集中管理,分布转发。
即所有AP的管理数据流由AC转发,而业务数据流则在部署在本地的三层设备转发。
方案一:
AC的工作模式设置为集中管理,集中转发。
上网行为管理设备可部署在2个位置,汇聚出口或者AC与核心交换机之间。
可根据设备的多少选择部署上网行为设备管理平台和专用的上网行为管理日志服务器,以便于管理。
图示如下:
1、选择上网行为管理设备部署在AC与核心交换机之间,那么可根据用户数量的增长,相应的扩容行为管理设备,不会造成投资浪费,同时安全性相对较高。
2、选择上网行为管理设备部署在上网出口,那么需评估总体用户数量,设备性能需能够支撑未来的用户增长。
方案优点:
网络结构简单,上网行为管理设备部署集中,管理维护方便。
缺点:
出口汇聚流量过于集中,出口带宽成本高,地市分行无直接管理权限。
成本核算:
设备厂家
设备型号
产品描述
单价
数量
金额/1年服务
金额/2年服务
单ap/2年期租赁价格(3000AP测算)
深信服
AC-9600-L
具备4个千兆电口,4个千兆光口,2个万兆光口;
吞吐量4Gbps
并发会话数3200000
并发用户数50000
¥
500,000
1
550,000
7.64
网纵
Netzone-4G
具备6个千兆电口,4个万兆光口,4个万兆电口;
并发会话数3000000
并发用户数100000
170,000
187,000
2.60
网康
400,000
440,000
6.11
方案二:
AC的工作模式设置为集中管理,分布转发。
省行和地市分行分别汇聚本地市的管理流量,业务流量通过本地汇聚核心交换机在本地汇聚后上Internet。
上网行为管理设备部署到各分行的汇聚核心网络出口,省行部署上网行为管理设备专用的管理平台,配置专用的管理日志服务器,以便于管理。
优点:
1、各地市分行可以管控自己的上网行为管理设备,并根据自己的需求定制个性化的上网行为管理规则。
2、地市分行及省行汇聚各地市的业务流量,出口流量比较分散,有更高的安全性与可靠性。
1、涉及到21个地市,投入的设备多,投资偏大。
2、设备增多,维护管理难度加大。
成本核算:
AC-E690-10
吞吐量1Gbps
85,000
21
1,785,000
1,963,500
27.90
SC-470-AC-L
集中管理平台
集中管理中心端网关(可管理800个AC节点)
18,070
19,877
SC管理AC网关授权
每增加一个被管理的上网行为管理(AC)网关
1,100
23,100
25,410
汇总报价:
1,826,170
2,008,787
E9800
具备6个千兆电口,4个千兆光口;
吞吐量2Gbps
并发会话数1000000
并发用户数10000
38,000
798,000
877,800
12.46
集中管理中心端网关
6,800
7,480
500
10,500
11,550
815,300
896,830
NI5000-MN
具备4个千兆光口,4个千兆电口;
含专用操作系统与智能流量管理标准软件;
含一年软件升级与数据库更新服务,含一年硬件质保服务。
支持用户数5000
84,800
1,780,800
1,958,880
28.32
CMP-LBA
26,800
29,480
CMP-LIS-M
2,200
46,200
50,820
1,853,800
2,039,180
方案三
省行AC集中管理所有AP网点,业务上网通过网点汇聚设备直接上网,上网行为管理设备下移至营业厅汇集网点。
省行部署上网行为管理设备专用的管理平台,配置专用的管理日志服务器。
1、网点用上网行为管理设备替换普通的路由器,即可实现上网,也能完成上网行为审计功能。
2、通过本地AD上网,降低链路租用成本。
1、分散上网,管理节点多,维护管理难。
2、网点多,投资成本大。
投资预算:
AC-550-GD
吞吐量20Mbps
4,200
3000
12,600,000
13,860,000
244.92
SC-570-AC-L
集中管理中心端网关(可管理10000个AC节点)
131,200
144,320
3,300,000
3,630,000
16,031,200
17,634,320
E5800
具备6个千兆电口;
吞吐量500Mbps
并发会话数100000
并发用户数1000
4,000
12,000,000
13,200,000
206.80
35,800
39,380
1,500,000
1,650,000
13,535,800
14,889,380
NI3000-HN
具备4个千兆电口;
支持用户数300
22,800
68,400,000
75,240,000
1,103.03
CMP-HBA
高端集中管理平台
48,000
52,800
1,250
3,750,000
4,125,000
72,198,000
79,417,800
四、问题讨论
需要了解目前网络方案的设计情况,选定具体安全审计方案;
升级会员 