新ACM上网行为管理产品白皮书.docx
- 文档编号:18596665
- 上传时间:2023-08-20
- 格式:DOCX
- 页数:25
- 大小:109.40KB
新ACM上网行为管理产品白皮书.docx
《新ACM上网行为管理产品白皮书.docx》由会员分享,可在线阅读,更多相关《新ACM上网行为管理产品白皮书.docx(25页珍藏版)》请在冰点文库上搜索。
新ACM上网行为管理产品白皮书
天融信上网行为管理产品
技术白皮书
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:
+8610-82776666
传真:
+8610-82776677
服务热线:
+8610-8008105119
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印©2011天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC®天融信公司
信息反馈
1互联网给网络管理带来的挑战....................................................................4
1.1应用网络时代,网络面临的问题.............................................................4
1.2对网络的管控势在必行....................................................................5
2功能介绍........................................................................................6
1.3用户管理...............................................................................6
1.4组织结构................................................................................6
1.5自动分组...............................................................................6
1.6内网主机扫描...........................................................................7
1.7用户导入...............................................................................7
1.8多种身份认证方式.......................................................................7
1.9支持策略继承...........................................................................7
1.10IP/MAC/VLAN绑定......................................................................7
1.11认证账户有效期......................................................................8
1.12公用账户............................................................................8
1.13临时账户.............................................................................8
1.14登录重定向...........................................................................8
1.15网络流量识别........................................................................8
1.16带宽资源管理........................................................................10
1.17流量优先级的划分....................................................................10
1.18强大的带宽管理功能..................................................................10
1.18.1基于随机公平队列的流量整形和应用优化........................................11
1.18.2灵活的、强大的基于策略的带宽控制............................................11
1.18.3基于单IP/用户的带宽控制.....................................................11
1.18.4对各种入侵攻击的安全保护措施................................................11
1.19基于时间的管理......................................................................12
1.20上网行为管理........................................................................12
1.20.1网页过滤....................................................................12
1.20.1.1URL过滤....................................................12
1.20.1.2搜索引擎关键字过滤...........................................13
1.20.1.3发帖关键字过滤..............................................13
1.20.1.4文件下载过滤................................................13
1.20.2邮件过滤....................................................................13
1.20.3即时通讯管理................................................................14
1.21黑名单控制..........................................................................15
1.22白名单管理..........................................................................16
1.23即插即用............................................................................16
1.24统计与报表系统......................................................................16
1.24.1实时在线网络监控............................................................17
1.24.2上网行为监控................................................................17
1.24.3递进式的流量统计分析........................................................18
1.24.4会话记录....................................................................19
1.24.5阻断记录....................................................................19
1.24.6个人行为分项统计............................................................19
1.24.7报表分析....................................................................20
1.24.8无为而治的管理方式..........................................................20
3产品部署方式...................................................................................21
3.1旁路模式...............................................................................21
3.2网桥模式...............................................................................21
3.3路由模式...............................................................................22
1互联网给网络管理带来的挑战
随着信息技术的飞速发展和广泛应用,网络已经渗透到社会的各个领域,成为人们工作、学习、生活中不可或缺的一部分。
互联网的商业和通讯业务也随之得到快速增长,在为组织带来更多商业机会、提升组织生产效率的同时,相应地也降低了组织运营、生产和沟通成本。
目前,不论政府、学校、企事业单位或是个人与网络的联系越来越紧密,网络一旦出现故障,将严重影响到工作、学习、生活。
1.1应用网络时代,网络面临的问题
基于互联网的应用从最初的文件共享、文件传输(FTP)、静态网页浏览(HTML)以及Telnet等内容单一、静态的、简单、小规模的应用,逐步发展为包括E-Mail、ERP、OA、CRM、新闻信息、文件共享、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务等等在内的动态的、大规模的、复杂的应用。
网络承载的内容日益丰富,变得更加复杂、多样化。
当今,互联网进入了应用级网络时代,逐步成为一个虚拟的真实社会。
P2P传输、网络电视、网络游戏、在线聊天、Web视频、股票软件、网上银行、数据库、物流供应链、各种论坛以及大量未知的内容和信息纷纷涌进网络。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,无法应对日新月异的网络应用给网络管理者们带来的严峻挑战。
具体表现如下:
带宽资源浪费,关键业务得不到保障
据IDC统计数据显示,2007年P2P下载、网络视频等非关键业务的流量横行大肆吞噬了网络67.5%的带宽资源,降低了企业30%-40%的生产率。
尽管带宽一扩再扩,却总是很快又拥挤不堪。
这不仅造成带宽资源大量浪费,还使得网络关键业务(与用户生产经营、信息安全、关键用户息息相关的各类网络应用,包括ERP、数据库、中间件、电子商务、视频会议等)的带宽无法保证,最终会造成直接的经济损失。
工作效率低下
据一项调查显示,普通企业员工每天的互联网访问活动40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股等无时无刻不在占用正常的工作时间。
在降低工作效率的同时还侵占了大量带宽。
在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形中浪费巨大。
敏感信息泄露
电子邮件、MSN/QQ以及BBS论坛等网络应用,已经成为提高工作效率的工具,但如果不加监管,也可能成为泄密的工具。
对于政府机关、上市公司以及知识密集型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部,给组织造成重大损失。
网络安全方面存在的隐忧
网络技术的发展相应的也给网络安全带来了挑战。
有数据表明超过20%的用户遭受了黑客的攻击,给网络运营和数据安全带来了困扰和损失。
同时,令人忧虑的是,尽管网络安全问题造成的损失越来越大,仍然有大量的用户没有引起足够的重视或者说没有找到合适的方法有效提高网络的安全性。
因此在确保组织正常工作和关键业务的安全、高效运行的同时,如何从根本上解决上述问题,才能在显著提高企业的生产效率同时来保障IT投资的回报率,这是大部分组织目前在网络管理和运维中亟待解决的问题。
网络应用可见性差,存在法律风险
一份来自于IDC的权威数据显示:
80%以上的IT管理人员无法准确了解自己的网络。
对网络管理来说,自己的网络就像一个黑盒子,里面都跑了些什么应用以及网络的状况根本不清楚,而管理员无法知道异常流量的类型、来源、具体流向、流量大小、持续的时间等,也无法有效规划网络资源的使用,导致网络管理处于无序状态。
为了加强对互联网的控制和管理,公安部颁发的82号令要求各机构要保存至少3个月的访问日志,以便协助公安调查取证。
因此,如无有效的管理手段,企业内部对互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。
1.2对网络的管控势在必行
员工的不当行为引发的问题无法通过传统的网络安全设备来实现,网络管理者必须要对网络使用基于内容进行管理,包括以下几点:
谁能上网(哪个部门的哪个员工)
什么时间可以上网(工作时间/周末、上班时间/休息时间、上午/下午)
允许访问哪些业务(浏览网页、收发邮件、下载文件、聊天、游戏)
具体允许访问什么内容(哪个网站、邮件内容、聊天内容)
允许占用的带宽、会话、流量是多大(每种应用占用了多大的带宽、多少会话数、流量有多大)
2功能介绍
对于网络资源的滥用,封堵还是放任,这是摆在网络管理者面前的难题,上网行为管理产品提供了灵活的管理策略,根据企业的需求,定制个性化的管理方案,帮助各企业建立安全、高效、健康、和谐的网络环境。
2.1用户管理
用户是上网行为管理产品的基本要素,任何的行为管理策略都是以用户为核心。
因此,对于用户的识别、认证与管理成了行为管理的前提要素,同时也决定了行为管理的效果。
上网行为管理产品通过不断地深入实践与研发,提供了灵活而全面的用户管理方式,很好的满足了广大企业对用户管理的需求。
2.1.1组织结构
对于用户数比较多的企业,有一个清晰的组织结构非常重要,便于管理员对用户的管理、查询和定位。
上网行为管理设备支持树型结构的用户管理,并且不同的用户组之间可以灵活的调整成员用户,从而可建立与企业行政组织结构相同的网络组织结构,如下图所示:
2.1.2自动分组
对于用户数比较多的网络环境,第一次构建组织结构时,如果让管理员手动的去建立每一个组和用户是很不现实的。
在大多数情况下,管理员并不会对每一个用户单独的设定一个管理策略,而是针对某一类用户进行统一的管理。
所以自动的创建用户组和自动的分配用户就显得非常重要。
上网行为管理设备支持将新入网还未在组织结构中的用户根据预设的IP网段进行自动分组并设定策略。
新入网的用户可以根据其IP地址、MAC地址、主机名、VLANID等多种方式来定义用户名,可以达到各种网络环境的需求,如静态IP环境、DHCP环境等等。
每个用户还支持别名的功能,管理员可以为其添加别名,以更加直观的方式来呈现用户,为后续的行为审计、统计奠定了基础。
对于外来访问的临时用户,管理员可以为其分配一个特定网段,将其加入临时用户组,并预设一定的访问权限。
同时可以设定用户离线多久就自动删除该用户,从而大大的简化了动态用户的管理,增强了用户管理的灵活性。
2.1.3内网主机扫描
上网行为管理设备可通过NetBIOS协议扫描内网的主机信息,扫描结果将列出每个主机的IP地址、MAC地址和主机名等,然后可以将其加入某个用户组中,逐步完善组织结构的管理。
另外,在对用户进行IP/MAC绑定时,管理员只需要输入某个主机的IP或者MAC等信息,就可以扫描出对应的其它信息,从而大大简化了管理员的工作。
2.1.4用户导入
除了自动分组和内网主机扫描以外,上网行为管理设备还支持批量导入用户的方式,以多种灵活的方式方便管理员建立组织结构:
自定义文件:
可将管理员定义的包含批量用户的Excel文件导入系统,从而批量建立用户组和用户。
LDAP/AD用户导入:
可将LDAP/AD服务器中的用户信息导入组织结构中,并自动创建默认的组权限,同时,上网行为管理设备还支持定期与LDAP/AD服务器同步用户信息,实现用户的定期更新。
从而实现了与原有网络管理平台的结合,达到了全网用户统一管理的目的。
2.1.5多种身份认证方式
用户身份认证有两种方式:
客户端认证和免客户端认证。
上网行为管理设备支持免客户端的WEB认证,即通过浏览器就可以完成全部的认证。
上网行为管理设备除了支持本地的用户名/密码的认证外,还可以结合LDAP、AD域、Radius、POP3等外部服务器实现用户的身份认证。
上网行为管理设备也支持多种认证方式的混合使用,可为不同的用户配置不同的认证方式,实现用户的差异化管理。
比如,一部分用户使用本地服务器认证、一部分用户结合LDAP服务器认证,一部分用户不需要进行身份认证。
2.1.6支持策略继承
上网行为管理设备提供了多种配置策略的方式。
每个组都可以有自己独立的上网策略,子组也可以继承父组的策略,父组也可以强制子组继承自己的策略。
2.1.7IP/MAC/VLAN绑定
上网行为管理设备支持二层网络环境和三层网络环境的IP、MAC、IP+MAC和VLANID的绑定,可自动阻断哪些非法占用他人IP的用户上网。
2.1.8认证账户有效期
对于一些临时的用户,通过有效期的限定可以控制这些用户的上网时间范围,当用户超出预设的时间有效期,就不能上网。
很好的控制了外来用户上网的准入性和上网时长。
同时可以设定用户离线多久就自动删除该用户,从而大大的简化了动态用户的管理,增强了用户管理的灵活性。
2.1.9公用账户
上网行为管理设备的认证账户可支持多人同时登录,比如一个员工有2台电脑,那么可以用同一个账户认证,这样两台电脑的流量和行为都记录在同一个账户上,以便统一网络中的流量统计和行为审计与行为分析。
2.1.10临时账户
支持临时用户自主申请临时账户,方便于外来的临时用户上网使用。
支持自动审核和管理员手动审核的核定方法将临时账户加入到组织结构中,从而减少管理员对临时账户的频繁配置,同时统一了临时账户的上网权限和使用期限的管理。
2.1.11登录重定向
上网行为管理设备支持网页重定向的功能。
当用户认证成功后,上网行为管理设备可以将其第一次的WEB访问重定向到预设的URL链接。
此功能适合于政府机关、企业集团、大中小学等、或者酒店等网络环境,便于用户上网的时候直接导向最新的公告信息。
2.2网络流量识别
要控制好各种应用,必须首先准确的识别。
传统的安全设备通过IP或者端口封堵各种协议,但这只能局限于网络层和传输层的标准协议,如HTTP、FTP等。
P2P、网络游戏、网络电视等一系列应用都是通过协商动态产生的端口,不再是固定的端口,而且诸如电驴、Skype等协议还是加密的,面对这种应用传统的设备完全无能为力。
上网行为管理设备以DPI(DeepPacketInspect,深度包检测)技术为核心,结合基于报文内容及基于行为特征的技术,实现网络中应用的自动识别和智能分类。
上网行为管理设备可以探测和跟踪动态端口分配,通过比对协议的特征库,能够识别变动端口的流量,并能够对使用同一端口的不同协议进行自动识识别。
下图就是上网行为管理设备识别各种应用采取的方法。
到目前为止,上网行为管理设备已经支持多种协议的识别,如下所示:
常用协议:
HTTP,HTTPS,FTP,Telnet,DNS,SMTP,POP3,Lotus_Notes,IMAP,NetBIOS,CVS,DHCP,NTP,NFS,ESP,AH,NNTP,SNMP,TFTP,BGP,VRRP,HSRP,VNC,UPNP,Syslog,SSL,SSH,SQL,MySQL,SOCKS,SCTP,RIP,OSPF,Remote_Desktop,PPTP,PING,PING_v6,LDAP,L2TP,IKE,IGMP等。
HTTP应用:
HTTP代理,Web下载,HTTP多线程下载,伪IE下载,其他HTTP下载,Facebook,Plurk(噗浪),QQ农场,欢乐斗地主,开心网(kaixin001),开心网(kaixin),人人网,搜狐•白社会,163邮箱、QQ邮箱、126邮箱、新浪邮箱、搜狐邮箱、21cn邮箱、Tom邮箱、雅虎邮箱、yeah邮箱、Hotmail邮箱、eyou邮箱、Live邮箱、东方邮箱等。
WEB视频:
六间房,土豆,新浪视频,腾讯宽频,我乐网,搜狐视频,酷六视频,葫芦网视频,优酷,CCTV,东方宽频,凤凰宽频,NBA中国官方网视频,天线高清,飞速土豆,激动网,BBSee,i酷,网易视频,金鹰网视频(芒果TV),第一财经网,新华网视频,YouTube,乐视网,17173游戏视频,旅视网,爱播网视频,音悦台,国际在线视频,电影网视频等。
P2P下载:
酷狗,XX下吧,PP点点通,酷我音乐盒,迅雷,QQ音乐,脱兔下载,QQ(超级)旋风下载,BT,Gnutella,电驴,网际快车(FlashGet),360下载,POCO,汉魅,RealLink,Raysource,顶悦视听盒,宝酷噢,foxy,LimeWire,ZCOM杂志订阅器,搜娱,Soulseek,天网Maze,屁屁狗,百宝,P8数字娱乐传播平台,酷宝娱乐互动,网络蚂蚁,飞鱼娱乐,酷猴,WinMX,DirectConnect等。
流媒体:
pplive、ppstream、qqlive、UUsee、sopcast、pstv、Qvod(UDP)、netitv、MMS、RTSP、蚂蚁网络电视、风行网络电视、青娱乐、极速酷六、V
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ACM 上网 行为 管理 产品 白皮书