審計流控解決方案.doc

廣東省交通運輸高級技工學校解決方案 深信服科技有限公司2016年05月04日1 深信服上網(wǎng)行為集中管控解決方案 目錄第1章概述需求分析第2章深信服解決方案2.1組網(wǎng)拓撲第3章方案價值3.1控制功能：細致的訪問控制，有效管理用戶上網(wǎng)3.2帶寬及流量管理功能：強大流量分析及帶寬劃分與分配3.3網(wǎng)頁過濾3.5發(fā)帖過濾3.6郵件過濾第4章設(shè)備選型第5章深信服品牌優(yōu)勢2深信服科技版權(quán)所有 第1章 概述需求分析隨著互聯(lián)網(wǎng)行業(yè)的逐漸發(fā)展，網(wǎng)絡(luò)已經(jīng)發(fā)展成為廣東省交通運輸高級技工學校不可或缺的辦公依托，然而校園網(wǎng)內(nèi)用戶肆意的上網(wǎng)行為也帶來挑戰(zhàn)同時傳統(tǒng)的流控方式是使用QoS技術(shù)實現(xiàn)基于源地址、目的地址、源端口、目的端口以及協(xié)議類型等“五元組”的流量控制。通過“五元組”定義各種流量，針對不同流量實施不同的排隊機制和擁塞機制以實現(xiàn)控制流量的目的。但這種傳統(tǒng)的IP數(shù)據(jù)包流量識別和QoS技術(shù)，僅根據(jù)數(shù)據(jù)包頭中的“五元組”信息進行分析，卻無法識別出流量中所涉及的應(yīng)用，因此，無法對應(yīng)用進行精細的流控。網(wǎng)絡(luò)中心的監(jiān)管壓力，內(nèi)部的管理壓力，這一切都要求廣東省交通運輸高級技工學校對學校的互聯(lián)網(wǎng)進行有效的管理，具體問題如下：可管理性 由于系統(tǒng)本身具有一定復雜性，隨著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會日益繁重。所以在方案設(shè)計中，必須具備全面的網(wǎng)絡(luò)管理解決方案。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時實現(xiàn)先進的分布式管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個系統(tǒng)的運行情況，合理分配資源、動態(tài)配置策略、可以迅速確定故障點等。通過先進的管理策略、管理工具提高系統(tǒng)的運行性能、可靠性，簡化維護工作，從而為辦公、管理提供最有力的保障。帶寬濫用隨著互聯(lián)網(wǎng)的普及，學校業(yè)務(wù)幾乎都依托于互聯(lián)網(wǎng)進行。OA、Mail、電子商務(wù)等系統(tǒng)已成為基礎(chǔ)設(shè)施，共同構(gòu)成業(yè)務(wù)信息化平臺。但是在內(nèi)部網(wǎng)絡(luò)中，除了這些關(guān)鍵業(yè)務(wù)系統(tǒng)外，還存在著P2P下載、在線視頻、網(wǎng)絡(luò)炒股、購物、游戲、在線小說等非關(guān)鍵業(yè)務(wù)應(yīng)用，形成了復雜的網(wǎng)絡(luò)應(yīng)用“脈絡(luò)”。在眾多的網(wǎng)絡(luò)應(yīng)用中，尤以P2P應(yīng)用的帶寬侵蝕性最為強烈。據(jù)調(diào)查統(tǒng)計，P2P應(yīng)用對帶寬占用比大致是40%60%，在極端情況下占用比會達到80%90%。同時，再加上其他與工作無關(guān)的應(yīng)用占用了帶寬資源。因此，在日常辦公當中帶寬有效利用率不到30%。數(shù)據(jù)泄密學校業(yè)務(wù)依托于互聯(lián)網(wǎng)開展，都承載著有關(guān)于學校的機密信息，比如學生和老師的個人信息，學校文檔資料等。在沒有任何網(wǎng)絡(luò)安全防護措施下，學校將承受機密信息外泄風險。因此，為了防止數(shù)據(jù)安全隱患，既要預防黑客入侵系統(tǒng)竊取資料，又要禁止學校內(nèi)部人員主動外發(fā)資料。違法行為學校師生在日常辦公中擁有訪問互聯(lián)網(wǎng)的權(quán)限，可通過QQ、MSN、論壇或微博等方式外發(fā)信息，如果包含了色情、賭博、反動等不良信息，都屬于網(wǎng)絡(luò)違規(guī)違法行為，學?；騻€人將承擔法律責任。安全隱患互聯(lián)網(wǎng)的開放給學校帶來了信息共享的便利，為業(yè)務(wù)系統(tǒng)提供了傳輸平臺，但是正因為互聯(lián)網(wǎng)的開放，網(wǎng)絡(luò)病毒、蠕蟲、木馬等不安全因素也隨之出現(xiàn)。某些網(wǎng)絡(luò)安全意識薄弱的師生，在互聯(lián)網(wǎng)上隨意打開網(wǎng)頁、點擊鏈接，中毒受感染，并且在內(nèi)部網(wǎng)絡(luò)中傳播導致大范圍嚴重影響。因此，如何避免來自互聯(lián)網(wǎng)的侵襲，解決內(nèi)網(wǎng)安全管理問題，是信息化系統(tǒng)建設(shè)中需要考慮的重點問題。第2章 深信服解決方案充分考慮廣東省交通運輸高級技工學校的實際網(wǎng)絡(luò)狀況，建議采用上網(wǎng)行為管理的集中部署解決方案。上網(wǎng)行為管理策略：1） 通過強大的流量管理系統(tǒng)輕實現(xiàn)基于不同用戶/用戶組、時間段、應(yīng)用類型/網(wǎng)站類型/上傳下載文件類型、結(jié)合QoS優(yōu)先級機制，進行帶寬劃分和分配，實現(xiàn)帶寬資源利用率的最大化。2） 內(nèi)置千萬級URL庫，具備URL智能識別功能，對反人類、反政府、色情、賭博、毒品等包含不良信息的網(wǎng)頁進行過濾。3） 可對發(fā)帖進行關(guān)鍵字過濾。天涯、貓撲、百度貼吧等論壇網(wǎng)站，可設(shè)置看帖看不允許發(fā)帖，或者實行發(fā)帖關(guān)鍵字過濾，避免發(fā)表不良言論給學校帶來法律追究責任的風險。4） 對所有日志進行報表呈現(xiàn)、數(shù)據(jù)分析，做到全網(wǎng)網(wǎng)絡(luò)的透明化管理。5） 學校的出口帶寬有限，隨著網(wǎng)絡(luò)應(yīng)用的豐富，出現(xiàn)各種吞噬帶寬的應(yīng)用，如P2P應(yīng)用，若不對這些應(yīng)用加以限制管理，學校的帶寬資源必會被搶占，而核心業(yè)務(wù)卻得不到帶寬，從而導致整體網(wǎng)絡(luò)速度變慢，影響正常的郵件發(fā)送和網(wǎng)絡(luò)訪問。因此，學校需要一種流量管理工具，識別應(yīng)用流量，對現(xiàn)有的帶寬進行合理的分配。整套網(wǎng)絡(luò)基于學校的實際網(wǎng)絡(luò)進行設(shè)置和建設(shè)，在統(tǒng)一平臺進行集中管控：1）方便快速部署：通過集中管理平臺，實現(xiàn)對校區(qū)上網(wǎng)行為管理的配置、選型配置等，實現(xiàn)快速的部署模式，且此種部署模式有利于最大程度的縮減實施成本及網(wǎng)絡(luò)搭建成本。2）集中管理：網(wǎng)絡(luò)中心管理人員可通過集中管理設(shè)備統(tǒng)一下發(fā)全局策略，并實現(xiàn)對全網(wǎng)上網(wǎng)行為管理的統(tǒng)一配置及更新，保障對全網(wǎng)網(wǎng)絡(luò)行為的統(tǒng)一監(jiān)管。3）實時監(jiān)控：通過部署集中管理平臺，通過集中監(jiān)控模塊可以查看校區(qū)上網(wǎng)行為管理設(shè)備的運行狀態(tài)，包括校區(qū)上網(wǎng)行為管理設(shè)備是否在線、CPU利用率、內(nèi)存占用率、數(shù)據(jù)包收發(fā)統(tǒng)計等信息，實現(xiàn)全網(wǎng)的維護與監(jiān)控。4）智能升級：集中管理平臺的智能升級功能，進行統(tǒng)一化遠程升級，通過實時監(jiān)控模塊顯示被升級的上網(wǎng)行為管理設(shè)備的運行狀態(tài)、是否在線等情況，極大的方便和簡化了IT人員的工作量。2.1 組網(wǎng)拓撲 廣東省交通運輸高級技工學校希望通過統(tǒng)一的策略配置和下發(fā)，保證學校整個網(wǎng)絡(luò)的正常穩(wěn)定的運行。解決方案網(wǎng)絡(luò)拓撲如下：網(wǎng)絡(luò)拓撲圖說明：網(wǎng)絡(luò)出口設(shè)備部署AC以網(wǎng)關(guān)模式部署于網(wǎng)絡(luò)出口處，進行流控的同時，對內(nèi)網(wǎng)用戶上網(wǎng)行為進行識別與審計。 AC在網(wǎng)關(guān)模式下，具有路由選路、NAT地址轉(zhuǎn)換等路由器功能，在網(wǎng)絡(luò)出口充當“路由器”的角色，滿足三層組網(wǎng)要求。針對外網(wǎng)有多條連接互聯(lián)網(wǎng)線路時，AC具備的多線路智能選路和多線路復用專利技術(shù)，可為出口的多條線路進行優(yōu)化選擇和流量均衡分配，為學校出口線路提供優(yōu)化的速度和平衡的流量負荷。第3章 方案價值 如上圖，通過在網(wǎng)絡(luò)出口部署上網(wǎng)行為管理設(shè)備并在總部部署集中管理設(shè)備，另外通過數(shù)據(jù)中心來收集所有的上網(wǎng)行為管理設(shè)備的日志，就可以很方便的實現(xiàn)上網(wǎng)策略的統(tǒng)一下發(fā)和上網(wǎng)行為的全員監(jiān)控。3.1 控制功能：細致的訪問控制，有效管理用戶上網(wǎng)對于校內(nèi)師生訪問各種網(wǎng)頁的行為，通過內(nèi)置URL庫，關(guān)鍵字過濾等方式進行管控。對于采用SSL方式加密的網(wǎng)頁，如釣魚網(wǎng)站等，上網(wǎng)行為管理的證書驗證鏈接黑白名單技術(shù)同樣可以管控。上網(wǎng)行為管理安全網(wǎng)關(guān)不僅可以對師生使用WEB、FTP、EMAIL等常用服務(wù)進行控制，通過深度內(nèi)容檢測技術(shù)，根據(jù)應(yīng)用數(shù)據(jù)包四層到七層的特征碼，實現(xiàn)對QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具，網(wǎng)絡(luò)游戲，在線炒股等網(wǎng)絡(luò)應(yīng)用行為進行管理和控制。針對目前P2P行為泛濫和P2P工具版本泛濫的趨勢、上網(wǎng)行為管理的P2P智能識別技術(shù)能夠?qū)Σ怀Ｓ玫摹⑽磥砜赡艹霈F(xiàn)的P2P軟件進行有效管控。并且對P2P行為嚴重吞噬帶寬資源的問題，提供流量控制功能。上網(wǎng)行為管理所具備的各種網(wǎng)絡(luò)訪問控制功能，可以基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權(quán)限控制，實現(xiàn)人性化要求。3.2 帶寬及流量管理功能：強大流量分析及帶寬劃分與分配通過上網(wǎng)行為管理的多線路復用專利技術(shù)，一臺上網(wǎng)行為管理網(wǎng)關(guān)最多可以同時連接四條公網(wǎng)線路，擴展了機構(gòu)的Internet出口帶寬，多線路間互為備份，提升了可靠性；同時上網(wǎng)行為管理的多線路智能選路和負載均衡技術(shù)，將內(nèi)網(wǎng)師生的流量智能分擔到各線路間，解決了跨運營商的帶寬瓶頸問題。網(wǎng)絡(luò)中心管理者需要詳細了解當前帶寬資源的使用情況，這可以通過訪問上網(wǎng)行為管理的數(shù)據(jù)中心實現(xiàn)，如查看指定時間周期內(nèi)應(yīng)用流量分布情況，用戶流量分布和排名等。下一步網(wǎng)絡(luò)中心管理者就需要對非業(yè)務(wù)流量如P2P行為等進行帶寬限制，對業(yè)務(wù)部門的應(yīng)用流量需求進行滿足，這可以通過上網(wǎng)行為管理強大的流量管理系統(tǒng)輕松實現(xiàn)，基于不同用戶/用戶組、時間段、應(yīng)用類型/網(wǎng)站類型/上傳下載文件類型、結(jié)合QoS優(yōu)先級機制，進行帶寬劃分和分配，實現(xiàn)帶寬資源利用率的最大化。3.3網(wǎng)頁過濾校內(nèi)師生在日常需要使用網(wǎng)絡(luò)的工作中，需要搜索訪問互聯(lián)網(wǎng)。互聯(lián)網(wǎng)的開放性帶來了資源的傳播和共享，同時也為不良資源提供了擴散的平臺。反人類、反政府、色情、賭博、毒品等包含不良信息的網(wǎng)頁屢見不鮮、層出不窮，因此，需要網(wǎng)頁分類、搜索引擎關(guān)鍵字過濾等技術(shù)來控制網(wǎng)頁訪問行為。AC內(nèi)置千萬級URL庫，將互聯(lián)網(wǎng)網(wǎng)頁分成60多個類別，同時每半個月實時更新和維護URL庫。AC提供自行添加URL的功能，在查詢URL庫中沒有此URL地址時，用戶可自行在設(shè)備界面進行添加，也可自定義URL類型，對學校內(nèi)部網(wǎng)頁進行管理。AC具備URL智能識別功能，可對未知的網(wǎng)頁進行自動學習、判別、歸類，保持URL識別庫動態(tài)更新。3.4發(fā)帖過濾網(wǎng)絡(luò)的開放性給人們帶來更多的言論自由，但發(fā)表一些類似色情、反動、迷信或者暴力的信息，影響社會安定，造成了不必要的影響，學?；騻€人也要承擔法律責任。AC可對發(fā)帖進行關(guān)鍵字過濾。天涯、貓撲、百度貼吧等論壇網(wǎng)站，AC可設(shè)置只允許登陸、看帖，但不允許發(fā)帖，或者實行發(fā)帖關(guān)鍵字過濾，靈活避免學校內(nèi)出現(xiàn)泄密或者發(fā)表不良言論帶來法律追究責任的風險。3.5郵件過濾Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。AC支持基于關(guān)鍵字、收發(fā)地址、附件類型/個數(shù)/大小過濾外發(fā)郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識別并進行報警。同時，對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數(shù)據(jù)中心方便管理員對郵件日志進行查詢、審計、報表統(tǒng)計等操作。第4章 設(shè)備選型項設(shè)備型號授權(quán)內(nèi)容臺數(shù)購買預算（元）1AC-1700適用帶寬300Mbps；用戶規(guī)模3000；6個電口，包含上網(wǎng)認證、終端檢查、訪問控制、行為監(jiān)控、外發(fā)管理、帶寬管理、行為審計、統(tǒng)計報表和安全增強等功能，提供3年軟硬件質(zhì)保和URL升級服務(wù)；1170000元產(chǎn)品介紹為了滿足學?，F(xiàn)階段上網(wǎng)行為審計需求，同時滿足建設(shè)實用性和先進性，在本次項目中上網(wǎng)行為審計設(shè)備選擇SANGFOR AC-1700。AC-1700吞吐量為適用帶寬300M，可滿足學校未來帶寬升級的需求，性能滿足目前學校應(yīng)用需求，并在未來三年內(nèi)保證適用性。AC-1700提供6個千兆電口滿足學校組網(wǎng)需求。同時AC-1700支持3對Bypass和提供冗余電源，保證系統(tǒng)穩(wěn)定可靠性。AC-1700支持全面上網(wǎng)行為識別，從而對內(nèi)網(wǎng)用戶的上網(wǎng)行為進行記錄審計。通過查看審計日志，管理員可全面了解內(nèi)網(wǎng)用戶的上網(wǎng)行為，并在發(fā)生網(wǎng)絡(luò)違法事件的時候通過審計日志追查相關(guān)責任人。第五章 深信服品牌優(yōu)勢4.1 公司概覽創(chuàng)立時間：2000年員工數(shù)：2300人客戶數(shù)：21,000家年增長率：超過50%專利數(shù)：申請超過350項研發(fā)中心：深圳、北京、洛杉磯客服中心：深圳、長沙、馬來西亞（數(shù)據(jù)更新于2015年12月1日）4.2 關(guān)于深信服深信服公司成立于2000年12月，是中國規(guī)模最大的前沿網(wǎng)絡(luò)廠商。多年來在網(wǎng)絡(luò)安全與虛擬化領(lǐng)域持續(xù)發(fā)展，致力于提供創(chuàng)新的IT基礎(chǔ)設(shè)施虛擬化與云建設(shè)解決方案。 目前，深信服在全球共設(shè)有55個直屬分支機構(gòu)，其中包括香港、新加坡、馬來西亞、印尼、泰國、英國和美國等七個海外辦事處和分公司，員工規(guī)模超過2300名。隨著企業(yè)規(guī)模的擴大發(fā)展，深信服也獲得了多方認可。先后獲得了“CMMI5國際認證”、“第一批國家高新技術(shù)企業(yè)”、“國家規(guī)劃布局內(nèi)重點軟件企業(yè)”“亞太地區(qū)德勤高科技高成長500強”等殊榮。同時，深信服還是IPSec VPN和SSL VPN兩項國家標準的主要承建單位、并受邀參與制定第二代防火墻標準。在行業(yè)合作上，深信服是互聯(lián)網(wǎng)應(yīng)急中心應(yīng)急服務(wù)支撐單位、國家信息安全漏洞共享平臺CNVD成員單位、中國國家信息安全漏洞庫CNNVD技術(shù)支撐單位和公共漏洞和暴露組織CVE認證合作單位。目前，全球有近40,000家用戶正在使用深信服的產(chǎn)品。其中，在中國入選世界500強的企業(yè)有80%的企業(yè)都是深信服的用戶。同時，憑借優(yōu)秀的產(chǎn)品表現(xiàn)，深信服多款產(chǎn)品入圍了包括國家稅務(wù)總局、國家電網(wǎng)、建設(shè)銀行、工商銀行、中國移動和中國電信在內(nèi)的各行業(yè)集采，各款產(chǎn)品均得到了廣泛應(yīng)用。時刻走在行業(yè)前沿，深信服始終保持著創(chuàng)新能力多年來，深信服持續(xù)將年收入的20%投入到研發(fā)，并在深圳、北京和硅谷設(shè)立了研發(fā)中心，研發(fā)人員比例達到了40%。在對創(chuàng)新發(fā)展的持續(xù)投入下，深信服一直保持著每1-2年推出一款新產(chǎn)品、每季度更新1個新版本的研發(fā)速度。截至2015年，深信服共申請超過334項國內(nèi)發(fā)明專利以及20項美國專利。此外，深信服是推出了全球第一臺IPSec VPN 和 SSL VPN二合一VPN，中國第一臺上網(wǎng)行為管理和第一臺下一代防火墻的廠商。將產(chǎn)品和服務(wù)做到最好，深信服快速響應(yīng)市場需求深信服研發(fā)人員每月都會進行例行的客戶拜訪以收集產(chǎn)品需求，每年都能收到超過1000條有效需求，并在研發(fā)工作中將其迅速轉(zhuǎn)化為產(chǎn)品新版本。同時