上网行为管理AC11.0主打PPT
CONTENTS 1 产品市场表现 2 为什么需要上网行为管理? 3 深信服AC11.0解决方案 4 单击此处添加文字信息
1 产品市场表现 2019/1/2
一推出 以领先 率先提出 “上网行为管理”理念 2005 推出国内第一款上网行为管理产品 2006
市场领导者 IDC China 保持领先地位,遥遥领先于其他竞争对手 国内唯一一家入选Gartner SWG“内容安全网关”魔力象限的厂商 40% 41.4% 39.3% 38.6% 36.5% 33.8% 保持领先地位,遥遥领先于其他竞争对手 国内唯一一家入选Gartner SWG“内容安全网关”魔力象限的厂商
成功案例
2 问题:为什么需要上网行为管理? 2019/1/2
现状 有线无线网络管理难 BYOD难管理 工作效率低 SANGFOR 带宽滥用 非法Wi-Fi热点难管控 网络违法 信息泄露 网络故障难定位
网络故障难定位 现 象 分 析 客户内网用户访问外网体验性不好,经常遭到其他部门投诉; IT部门技术实力一般,不能很快定位出问题并解决问题; 个别用户访问网络差,但无从定位原因 缺乏技术手段对网站访问质量进行检测; 难以综合分析定位具体问题; 分 析
有线无线难运维 现 象 分 析 有线网络和无线网络两套管理系统,不同风格界面; 用户信息需要在有线和无线网络分别维护一份; 管理界面风格不一致,配置管理困难,学习成本高; 有线网络和无线网络不能联动,用户信息不能内部同步,运维困难; 分 析
工作效率低 现 象 分 析 上班时间网络聊天、炒股、网游、看新闻、看小说等行为泛滥,办公室沦为免费的网吧; 员工成为低头一族,刷微博、聊微信、逛论坛; 用户上网权限缺乏管理; 互联网/移动应用泛滥、复杂、更新快等加大管理的困难性; 分 析
带宽滥用 现 象 分 析 互联网总流量中P2P流量超过60%,夜间甚至达到90%; 语音视频系统断断续续;访问主页、ERP等出现“该页无法显示”; 员工抱怨网速慢;IT部门屡遭投诉,部门绩效受到影响; P2P下载、流媒体等滥用带宽;带宽缺乏划分与分配措施; 单纯扩容带宽,治标不治本; 昂贵的带宽费用被浪费! 分 析
BYOD难管理 现 象 分 析 各种终端接入到网络中,PC、手机、平板等; 无线网络覆盖整个企业,用户接入场景不再仅仅是有线办公区,还有会议室、接待区; 移动终端日渐普及,属个人设备,其安全性难以保障,; 不同场景有不同的业务特性,一刀切的管理方式不能满足多样化的业务需求; 分 析
非法Wi-Fi 热点难管控 现 象 分 析 360、小米、小度等随身Wi-Fi工具价格便宜,使用简单,迅速普及; 内网被公开,不法分子可趁机入侵,盗取资料、破坏网络; 分 析
访客接入繁琐 现 象 分 析 接入用户越来越多,不仅仅是内部员工,合作伙伴、临时访客等外部用户也需要接入无线网络; 如何保障网络安全?大量的外部访客接入,如何保障管理效率? 实施严密的安全接入认证?——大量的配置工作,增加网络管理员负担; 无线网络完全开放不设密码?——任意用户都可随时接入内网,极大的安全隐患; 分 析
信息泄露 现 象 分 析 我国每年因网络泄密导致的经济损失高达上百亿; 高层领导的邮件信息、公司研发代码等泄漏; 公司经营决策、内幕消息等甚至被竞争对手提前知晓; 上网授权缺失,用户肆意上网,为通过网络泄密提供了通道; 主动外发信息泄密,或被黑客远程控制而被动泄密并存; 泄密后无据可查,漏洞难弥补,责任难追究,难以形成威慑; 分 析
网络违法 现 象 分 析 Sex Tracker报告显示:色情网站70%的访问量集中在上班时间; 天涯、百度贴吧等已经成为网络造谣、人身攻击的重灾区; 流行的自由门、无界浏览器等代理/翻墙软件,绕过公司管理; 上网授权缺失,用户肆意上网; 老板快捷键、无痕模式让网络违法更具隐僻性; 缺乏日志记录,无法举证追踪; 分 析
我们做得更好:深信服上网行为管理AC11.0解决方案 3 我们做得更好:深信服上网行为管理AC11.0解决方案 2019/1/2
Web访问质量检测 ● 提供清晰的整体网络访问质量评级; ● 列出访问质量差的用户名单; ● 快速指出故障排查方向及潜在问题原因; ● 支持对单用户进行网络排障,支出网络访问问题和改进建议;
有线无线统一上网行为管理 上网行为管理同时管理有线和无线网络: ● 有线无线统一运维,节省运维成本 ● 页面风格一致,降低学习和管理成本 无线AP 上网行为管理AC 上网行为管理同时管理有线和无线网络: ● 有线无线统一运维,节省运维成本 ● 页面风格一致,降低学习和管理成本
有线无线统一上网行为管理 数据中心 DMZ OA、财务等应用 网站、Mail 有线用户 上网行为管理 AP 无线用户 局域网 互联网接入区
有线无线统一上网行为管理 用户认证 权限控制 无线网络管理 流量控制 行为审计 丰富的认证方式 全面的应用识别控制 针对于不同用户 安全、便捷 全面的应用识别控制 提高工作效率 无线网络管理 内置无线控制器直接管理AP 降低成本 简化运维 流量控制 行为审计 合理分配带宽 保证核心业务运行 精细的上网行为审计 规避违法和泄密风险
用户认证 针对不同用户提供不同的认证方式, 既保证用户身份合法性,同时认证过程方便快捷, 降低管理成本
用户认证 内部员工 外来访客 IP/MAC绑定 本地用户名-密码认证 第三方服务器认证 短信认证 DKEY双因素认证 微信认证 单点登录 802.1x认证(WAC模块) 短信认证 微信认证 二维码认证
内部员工的认证方式 IP/MAC绑定 用户名/密码 第三方认证 认证KEY(绿) IP/MAC/IP-MAC绑定,支持跨三层绑定; 本地用户名+密码认证; 第三方认证 支持与第三方认证服务器结合,如Radius、LDAP、POP3或数据库; 认证KEY(绿) 支持USB-KEY双因素认证。
单点 登录 内部员工认证方式 同步 SSO—Single Sign On 微软 AD域 邮件 服务器 数据库 Web认证服务器 第三方计费系统 Proxy代理服务器 单点 登录 同步 SSO—Single Sign On 当网络中已经有身份认证系统,AC能够与之相结合,同步组织架构、在线用户列表、认证成功和注销信息等,实现单点登录,从而避免多次认证登录 AD域、CAMS、SAM、城市热点
外来访客-短信认证 ● 用户输入手机号,获取验证码,即可通过认证上网; ● 商家获取用户手机号,可以有针对性的推广新产品和服务; ● 多张广告图片轮播,营销增值;
外部访客-微信认证 关注微信公众号,迅速增粉
外部访客-二维码审核认证 扫描 授权人 用户
全面细致的权限划分
四维一体的权限划分策略 位置 用户 业务 终端
四维一体的权限划分策略 仓库 研发测试区 只允许扫码枪接入 只允许手机接入,且禁止访问外网 有线办公区 普通员工:禁止工作无关应用 高层领导:无限制 禁止移动终端接入 接待区 给访客接入无线网络,流控、审计
全面的应用识别 2200种应用 每2周更新一次、全面管控无漏洞 220多种云应用 300种WEB应用 350+人 700种移动APP 专业团队 每2周更新一次、全面管控无漏洞
应用细分控制 √ 登录账号 上传文档 √ 下载资料 发布信息
模板 千万级URL识别库 云共享 研发专业工具分析 99.9% 99.9% 千万级 云共享 研发专业工具 AC将学习到的URL上传到云平台,共享到其他AC的URL库中; 研发专业工具分析 通过云共享收集到的URL由深信服自主研发的专业工具进行分析,精准识别URL类型; 99.9% 准确识别目前主流网站,识别率高达99.9%,有效实现网页过滤。 千万级 URL库 云共享 研发专业工具 分析 99.9% 识别率
SSL加密应用识别 AC通过配置URL列表,对列表中指定的SSL加密网站或Web邮箱进行过滤和审计
防共享上网 Internet 防止多个非法用户通过合法的账 号共享上网,给网络管理带来漏洞 上网行为管理AC
应用管理标签化 通过标签化,更快速全面实现应用管理 标签化 P2P、P2P流媒体、下载工具、视频点播 外发文件 泄密风险 网盘上传、IM外发文件、邮件发送 安全风险 钓鱼及恶意网站、翻墙代理、非法网页、病毒、木马 降低 工作效率 微博、聊天软件、网络游戏、股票行情、网上购物 微博论坛 微博发布、社交论坛发帖 高带宽 消耗 P2P、P2P流媒体、下载工具、视频点播 通过标签化,更快速全面实现应用管理
精准的流量控制
通道化 限制/保证带宽 8级父子通道 多级父子通道,更加灵活 将总体带宽细分通道化,可根据用户或应用进行划分; 总带宽 1级通道 2级通道 通道化 将总体带宽细分通道化,可根据用户或应用进行划分; 限制/保证带宽 根据用户或应用的重要性,通道可设置为带宽限制或带宽保证; 8级父子通道 最高支持8级通道(包括虚拟线路),可匹配组织架构,实现带宽精细划分;
动态流控,提高带宽利用率 繁忙期 空闲期 业务 其他 业务 其他 动态流控 动态调节 带宽保障 带宽限制 空闲带宽 静态流控 动态流控 设定阈值(%)来区分空闲和繁忙状态,当整体带宽利用率低于阈值时,通道的最大带宽 限制将上浮,直到整体利用率超过了阈值,才回收上浮的部分,实现带宽利用率最大化。 繁忙期 空闲期 动态调节 带宽保障 带宽限制 业务 其他 业务 其他 空闲带宽 动态流控 静态流控
流 控 传统流控的缺陷 传统流控:基于缓存丢包方式,UDP协议自身没有速率调整机制,且P2P传输模式 Data Data Data Data 业务 >>> >>> Data Data Data 流 控 P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P >>> P2P P2P P2P P2P P2P P2P P2P >>> P2P P2P P2P P2P 丢包 P2P 带宽浪费 P2P P2P
有效识别P2P应用,精确控制上下行流量,保护核心业务系统和用户体验 上行流量 Data Data Data Data 业务 >>> >>> Data Data Data 流 控 P2P Data Data P2P Data P2P Data Data Data Data P2P P2P P2P P2P P2P P2P >>> P2P P2P P2P P2P P2P >>> P2P P2P P2P P2P 利用率提高30% P2P P2P流量减少 P2P P2P 丢包 带宽浪费 那是不是实施了动态流控这种方案之后就完全没问题了呢?显然事情没那么简单,对于带宽资源,还有一种杀手级的应用,那就是P2P。要实现P2P应用的流控,传统的基于丢包的流控方式是无效的,因为外网带宽资源仍然会被大量P2P流量所占用,而核心业务能够利用的带宽资源有限,经过丢包后仍然存在带宽浪费现象。而真正能实现P2P应用流控的,其核心是双向控制,达到内外平衡。通过限制上行流量,来干扰P2P协议,从源端直接控制P2P的下载流量,这样就有足够的带宽资源给我们的核心业务使用,使得带宽利用率提高30%以上 有效识别P2P应用,精确控制上下行流量,保护核心业务系统和用户体验
流控黑名单 当用户应用的流量、流速、时长超过了限额时,限额策略将用户的应用流量划分到流量惩罚通道中进行限速惩罚 用户限额通道 P2P 用户流量 流 量 限 额 策 略 流量惩罚通道 合理分配带宽、更加人性化、保障核心业务和用户体验
全面完整的行为审计
网页访问审计 日志信息 用户、IP地址、链接、网站类别、时间、网页标题,并支持网页快照,网页内容直观显示
邮件审计 邮件内容审计:邮件标题、正文内容、收/发件地址、用户、时间和附件下载审计,并支持SMTP、POP3、IMAP等标准协议的SSL加密邮件审计。 附件审计 2019/1/2
IM聊天审计 2019/1/2
微博论坛审计 真实还原 2019/1/2
审计USB-KEY 免审计KEY(紫) 日志审计KEY(棕)
灵活易用的数据中心
下钻查询 统计页面(流量时长分析、用户行为分析、终端接入分析)支持对统计结果的向下钻取查询,增加易用性和用户体验
递进查询 部分页面(应用流量排行、网站分类流量排行、应用时长排行、网站分类时长排行)支持在应用类型,网站类型上进行两个维度查询; 满足更加细致直观的统计需求
自定义报表 自定义报表支持自定义拖拽功能,所有的统计查询页面,都支持直接拖拽到报表中,按照拖拽顺序形成报表,真正做到完全自定义,满足客户任何场景下的报表需求
搜索中心 搜索中心
方案优势 灵活 有效 全面 完整 有线无线 统一上网 行为管理 细致 精准 高效 便捷 2019/1/2
全面 完整 灵活 有效 方案优势 核心的封堵、流控、审计功能 有线无线统一上网行为管理 BYOD的权限控制 移动APP/云应用管控和审计 父子通道技术,带宽整体调整与局部调节 P2P智能流控,有效抑制P2P应用流量 动态流控,提升带宽利用率,避免资源浪费 多维度策略管理,适用于每一种应用场景 2019/1/2
细致 精准 高效 便捷 网络应用进行细分控制 上网行为内容进行深入审计 如IM聊天、微博论坛、邮件收发和上传文件内容 SSL加密内容审计 二维码、短信、微信等多种认证方式 应用标签化管理,策略配置更简便 有线无线统一管理界面,用户内部联动,简化运维 2019/1/2
方案价值 提高工作效率 规避违法风险 提高带宽利用率 安全保障 通过应用控制,限制与工作无关的上网行为 记录审计用户上网行为,避免肆意外发非法言论 提高带宽利用率 安全保障 合理分配带宽,动态调节,减 少浪费,提高带宽应用价值 拦截不良网页,提供安全接入 提高内网安全性
Thank you!