审计流控解决方案.docx

1、审计流控解决方案广东省交通运输高级技工学校解决方案 深信服科技有限公司2016年05月04日目录第1章 概述需求分析第2章 深信服解决方案2.1 组网拓扑第3章 方案价值3.1 控制功能：细致的访问控制，有效管理用户上网3.2 带宽及流量管理功能：强大流量分析及带宽划分与分配3.3 网页过滤3.5 发帖过滤3.6 邮件过滤第4章 设备选型第5章 深信服品牌优势第1章 概述需求分析随着互联网行业的逐渐发展，网络已经发展成为广东省交通运输高级技工学校不可或缺的办公依托，然而校园网内用户肆意的上网行为也带来挑战同时传统的流控方式是使用QoS技术实现基于源地址、目的地址、源端口、目的端口以及协议类型等

2、“五元组”的流量控制。通过“五元组”定义各种流量，针对不同流量实施不同的排队机制和拥塞机制以实现控制流量的目的。但这种传统的IP数据包流量识别和QoS技术，仅根据数据包头中的“五元组”信息进行分析，却无法识别出流量中所涉及的应用，因此，无法对应用进行精细的流控。网络中心的监管压力，内部的管理压力，这一切都要求广东省交通运输高级技工学校对学校的互联网进行有效的管理，具体问题如下：可管理性 由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在方案设计中，必须具备全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时实现先进的分布式管理。最终能够实现监控、

3、监测整个系统的运行情况，合理分配资源、动态配置策略、可以迅速确定故障点等。通过先进的管理策略、管理工具提高系统的运行性能、可靠性，简化维护工作，从而为办公、管理提供最有力的保障。带宽滥用随着互联网的普及，学校业务几乎都依托于互联网进行。OA、Mail、电子商务等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。在众多的网络应用中，尤以P2P应用的带宽侵蚀性最为强烈。据调查统计，P2P应用对带宽占用比大致是40%60%，在极端情况下占用比会达到80%90

4、%。同时，再加上其他与工作无关的应用占用了带宽资源。因此，在日常办公当中带宽有效利用率不到30%。数据泄密学校业务依托于互联网开展，都承载着有关于学校的机密信息，比如学生和老师的个人信息，学校文档资料等。在没有任何网络安全防护措施下，学校将承受机密信息外泄风险。因此，为了防止数据安全隐患，既要预防黑客入侵系统窃取资料，又要禁止学校内部人员主动外发资料。违法行为学校师生在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良信息，都属于网络违规违法行为，学校或个人将承担法律责任。安全隐患互联网的开放给学校带来了信息共享的便利，为业务系统提供

5、了传输平台，但是正因为互联网的开放，网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱的师生，在互联网上随意打开网页、点击链接，中毒受感染，并且在内部网络中传播导致大范围严重影响。因此，如何避免来自互联网的侵袭，解决内网安全管理问题，是信息化系统建设中需要考虑的重点问题。第2章 深信服解决方案充分考虑广东省交通运输高级技工学校的实际网络状况，建议采用上网行为管理的集中部署解决方案。上网行为管理策略：1） 通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。2） 内置千

6、万级URL库，具备URL智能识别功能，对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。3） 可对发帖进行关键字过滤。天涯、猫扑、XX贴吧等论坛网站，可设置看帖看不允许发帖，或者实行发帖关键字过滤，避免发表不良言论给学校带来法律追究责任的风险。4） 对所有日志进行报表呈现、数据分析，做到全网网络的透明化管理。5） 学校的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P应用，若不对这些应用加以限制管理，学校的带宽资源必会被抢占，而核心业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。因此，学校需要一种流量管理工具，识别应用流量，对现有的带宽

7、进行合理的分配。整套网络基于学校的实际网络进行设置和建设，在统一平台进行集中管控：1）方便快速部署：通过集中管理平台，实现对校区上网行为管理的配置、选型配置等，实现快速的部署模式，且此种部署模式有利于最大程度的缩减实施成本及网络搭建成本。2）集中管理：网络中心管理人员可通过集中管理设备统一下发全局策略，并实现对全网上网行为管理的统一配置及更新，保障对全网网络行为的统一监管。3）实时监控：通过部署集中管理平台，通过集中监控模块可以查看校区上网行为管理设备的运行状态，包括校区上网行为管理设备是否在线、CPU利用率、内存占用率、数据包收发统计等信息，实现全网的维护与监控。4）智能升级：集中管理平台的

8、智能升级功能，进行统一化远程升级，通过实时监控模块显示被升级的上网行为管理设备的运行状态、是否在线等情况，极大的方便和简化了IT人员的工作量。2.1 组网拓扑 广东省交通运输高级技工学校希望通过统一的策略配置和下发，保证学校整个网络的正常稳定的运行。解决方案网络拓扑如下：网络拓扑图说明：网络出口设备部署AC以网关模式部署于网络出口处，进行流控的同时，对内网用户上网行为进行识别与审计。 AC在网关模式下，具有路由选路、NAT地址转换等路由器功能，在网络出口充当“路由器”的角色，满足三层组网要求。针对外网有多条连接互联网线路时，AC具备的多线路智能选路和多线路复用专利技术，可为出口的多条线路进行优

9、化选择和流量均衡分配，为学校出口线路提供优化的速度和平衡的流量负荷。第3章 方案价值 如上图，通过在网络出口部署上网行为管理设备并在总部部署集中管理设备，另外通过数据中心来收集所有的上网行为管理设备的日志，就可以很方便的实现上网策略的统一下发和上网行为的全员监控。3.1 控制功能：细致的访问控制，有效管理用户上网对于校内师生访问各种网页的行为，通过内置URL库，关键字过滤等方式进行管控。对于采用SSL方式加密的网页，如钓鱼网站等，上网行为管理的证书验证链接黑白名单技术同样可以管控。上网行为管理安全网关不仅可以对师生使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，根据应用

10、数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、上网行为管理的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。上网行为管理所具备的各种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人性化要求。3.2 带宽及流量管理功能：强大流量分析及带宽划分与分配通过上网行为管理的多线路复用专利

11、技术，一台上网行为管理网关最多可以同时连接四条公网线路，扩展了机构的Internet出口带宽，多线路间互为备份，提升了可靠性；同时上网行为管理的多线路智能选路和负载均衡技术，将内网师生的流量智能分担到各线路间，解决了跨运营商的带宽瓶颈问题。网络中心管理者需要详细了解当前带宽资源的使用情况，这可以通过访问上网行为管理的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步网络中心管理者就需要对非业务流量如P2P行为等进行带宽限制，对业务部门的应用流量需求进行满足，这可以通过上网行为管理强大的流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载

12、文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。3.3网页过滤校内师生在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，因此，需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。AC内置千万级URL库，将互联网网页分成60多个类别，同时每半个月实时更新和维护URL库。AC提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对学校内部网页进行管理。AC具备U

13、RL智能识别功能，可对未知的网页进行自动学习、判别、归类，保持URL识别库动态更新。3.4发帖过滤网络的开放性给人们带来更多的言论自由，但发表一些类似色情、反动、迷信或者暴力的信息，影响社会安定，造成了不必要的影响，学校或个人也要承担法律责任。AC可对发帖进行关键字过滤。天涯、猫扑、XX贴吧等论坛网站，AC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免学校内出现泄密或者发表不良言论带来法律追究责任的风险。3.5邮件过滤Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改后缀名、删

14、除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。第4章 设备选型项设备型号授权内容台数购买预算（元）1AC-1700适用带宽300Mbps；用户规模3000；6个电口，包含上网认证、终端检查、访问控制、行为监控、外发管理、带宽管理、行为审计、统计报表和安全增强等功能，提供3年软硬件质保和URL升级服务；1170000元产品介绍为了满足学校现阶段上网行为审计需求，同时满足建设实用性和先进性，在本

15、次项目中上网行为审计设备选择SANGFOR AC-1700。AC-1700吞吐量为适用带宽300M，可满足学校未来带宽升级的需求，性能满足目前学校应用需求，并在未来三年内保证适用性。AC-1700提供6个千兆电口满足学校组网需求。同时AC-1700支持3对Bypass和提供冗余电源，保证系统稳定可靠性。AC-1700支持全面上网行为识别，从而对内网用户的上网行为进行记录审计。通过查看审计日志，管理员可全面了解内网用户的上网行为，并在发生网络违法事件的时候通过审计日志追查相关责任人。第五章 深信服品牌优势4.1 公司概览创立时间：2000年员工数：2300人客户数：21,000家年增长率：超过5

16、0%专利数：申请超过350项研发中心：深圳、北京、洛杉矶客服中心：深圳、长沙、马来西亚（数据更新于2015年12月1日）4.2 关于深信服深信服公司成立于2000年12月，是中国规模最大的前沿网络厂商。多年来在网络安全与虚拟化领域持续发展，致力于提供创新的IT基础设施虚拟化与云建设解决方案。 目前，深信服在全球共设有55个直属分支机构，其中包括香港、新加坡、马来西亚、印尼、泰国、英国和美国等七个海外办事处和分公司，员工规模超过2300名。随着企业规模的扩大发展，深信服也获得了多方认可。先后获得了“CMMI5国际认证”、“第一批国家高新技术企业”、“国家规划布局内重点软件企业”“亚太地区德勤高科

17、技高成长500强”等殊荣。同时，深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位、并受邀参与制定第二代防火墙标准。在行业合作上，深信服是互联网应急中心应急服务支撑单位、国家信息安全漏洞共享平台CNVD成员单位、中国国家信息安全漏洞库CNNVD技术支撑单位和公共漏洞和暴露组织CVE认证合作单位。目前，全球有近40,000家用户正在使用深信服的产品。其中，在中国入选世界500强的企业有80%的企业都是深信服的用户。同时，凭借优秀的产品表现，深信服多款产品入围了包括国家税务总局、国家电网、建设银行、工商银行、中国移动和中国电信在内的各行业集采，各款产品均得到了广泛应用。时刻走在

18、行业前沿，深信服始终保持着创新能力多年来，深信服持续将年收入的20%投入到研发，并在深圳、北京和硅谷设立了研发中心，研发人员比例达到了40%。在对创新发展的持续投入下，深信服一直保持着每1-2年推出一款新产品、每季度更新1个新版本的研发速度。截至2015年，深信服共申请超过334项国内发明专利以及20项美国专利。此外，深信服是推出了全球第一台IPSec VPN 和 SSL VPN二合一VPN，中国第一台上网行为管理和第一台下一代防火墙的厂商。将产品和服务做到最好，深信服快速响应市场需求深信服研发人员每月都会进行例行的客户拜访以收集产品需求，每年都能收到超过1000条有效需求，并在研发工作中将其迅速转化为产品新版本。同时，深信服在深圳、长沙、吉隆坡三地设有超过100坐席的CTI中心，提供7*24小时的电话咨询和远程调试服务。在全国范围内，深信服在49个城市设立了备品备件库，配有原厂工程师第一时间提供技术支持。进入的每一个细分市场，深信服都会努力成为No.1深信服的硬件VPN、SSL VPN两款产品连续7年保持着市场占有率第一；上网行为管理产品连续9年市场占有率排名第一；广域网优化产品保持在市场第一位；应用交付产品市场排名第二、也是排名第一的国产品牌。目前，深信服SSL VPN、上网行为管理、下一代防火墙、广域网优化、应用交付5款产品均入围了Gartner魔力象限，获得国际认可。