安全組網(wǎng)方案
企業(yè)全網(wǎng)安全解決方案
1.1 企業(yè)網(wǎng)絡(luò)發(fā)展?fàn)顩r
互聯(lián)網(wǎng)是人類最偉大的發(fā)明?;ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設(shè),互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)大大提高了企業(yè)的生產(chǎn)力和工作效率,互聯(lián)網(wǎng)信息技術(shù)的持續(xù)使用,給企業(yè)的持續(xù)、快速、高效發(fā)展提供了助力,企業(yè)的管理成本和生產(chǎn)成本得到了持續(xù)降低。
然而,伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各類黑客行為和攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全的發(fā)展帶來(lái)了困擾。IDC報(bào)告指出針對(duì)企業(yè)的黑客攻擊事件呈現(xiàn)逐年遞增的趨勢(shì)。近年來(lái),大量的企業(yè)信息安全事件出現(xiàn)在我們的視野,如七天、如家等酒店的開房信息泄露,索尼影音官網(wǎng)被黑及用戶信息泄露,卡巴斯基總部被黑客侵入等,這些事件不僅對(duì)企業(yè)的商業(yè)活動(dòng)和企業(yè)信譽(yù)帶來(lái)?yè)p害,還對(duì)社會(huì)公民的正常生活造成干擾。普華永道針對(duì)中國(guó)企業(yè)的一份調(diào)研報(bào)告指出“已檢測(cè)到的信息安全事件對(duì)企業(yè)帶來(lái)的財(cái)務(wù)影響正在迅速增加,同時(shí)仍有許多攻擊沒(méi)被發(fā)現(xiàn)或者報(bào)告,僅在中國(guó)內(nèi)地與香港地區(qū),失竊的知識(shí)產(chǎn)權(quán)或者商業(yè)機(jī)密的實(shí)際價(jià)值已遠(yuǎn)超數(shù)十億美元”。事實(shí)充分說(shuō)明:網(wǎng)絡(luò)安全是企業(yè)單位網(wǎng)絡(luò)建設(shè)的重點(diǎn)內(nèi)容,網(wǎng)絡(luò)安全建設(shè)和加固是一個(gè)持續(xù)的工程。
1.2 企業(yè)網(wǎng)絡(luò)安全問(wèn)題
當(dāng)今企業(yè)都在廣泛使用網(wǎng)絡(luò)信息技術(shù),以不斷提高企業(yè)的核心競(jìng)爭(zhēng)力。由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性,網(wǎng)絡(luò)信息化給企業(yè)帶來(lái)效益的同時(shí),也給企業(yè)增加了風(fēng)險(xiǎn)隱患,企業(yè)網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重。那么,企業(yè)網(wǎng)絡(luò)到底面臨哪些主要的安全問(wèn)題呢?
外網(wǎng)安全問(wèn)題:非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅;
內(nèi)網(wǎng)安全問(wèn)題:帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴(kuò)散、信息泄露等已成為企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問(wèn)題;
安全連接問(wèn)題:內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全,如企業(yè)總部、各地分支機(jī)構(gòu)、第三方合作伙伴、移動(dòng)辦公人員之間,既要保障信息及時(shí)共享,又要防止機(jī)密信息泄露。對(duì)于不同接入方,其所擁有的權(quán)限,既要能夠滿足正常業(yè)務(wù)的需求,又不能超越其職能權(quán)限,避免越權(quán)訪問(wèn)和敏感信息泄露;
運(yùn)維管理安全:共享帳號(hào)安全隱患,設(shè)備繁多控制策略復(fù)雜,操作無(wú)法監(jiān)管,內(nèi)部操作不透明,外部操作不可控,沒(méi)有統(tǒng)一的身份管理平臺(tái),頻繁切換應(yīng)用程序登錄,日志分散不可用,不能集中有效審計(jì)等問(wèn)題困擾著企業(yè)網(wǎng)絡(luò)的安全運(yùn)維管理。
第2章 企業(yè)網(wǎng)絡(luò)安全需求分析
對(duì)于大部分企業(yè)來(lái)說(shuō),其IT網(wǎng)絡(luò)的建設(shè)可以劃分六個(gè)區(qū)域,分別為:互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。這六個(gè)區(qū)域因?yàn)槌休d的業(yè)務(wù)內(nèi)容和作用不同,所面臨的安全風(fēng)險(xiǎn)也有所不同,需要的安全防護(hù)措施亦有差別。
2.1 互聯(lián)網(wǎng)接入域安全需求分析
互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)挝粌?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的出口,同時(shí)承擔(dān)著兩方面的作用:一是內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的統(tǒng)一出口;二是為社會(huì)公眾和合作伙伴提供企業(yè)信息服務(wù)的入口?;ヂ?lián)網(wǎng)接入域是連接企業(yè)內(nèi)部與外部的橋梁,因此面臨著來(lái)自兩個(gè)方向的安全威脅:1)外部威脅,如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲侵襲、僵尸木馬、信息泄露等。2)內(nèi)部威脅,如無(wú)意識(shí)的風(fēng)險(xiǎn)引入、網(wǎng)絡(luò)資源濫用導(dǎo)致的新風(fēng)險(xiǎn),以及內(nèi)部的故意破壞等。
2.1.1 防火墻訪問(wèn)控制
通過(guò)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造一道保護(hù)屏障,從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入,通過(guò)防火墻將內(nèi)外部網(wǎng)絡(luò)隔離,實(shí)現(xiàn)有效的邊界訪問(wèn)控制,并界定用戶的訪問(wèn)請(qǐng)求是否符合安全規(guī)則,基于防火墻預(yù)設(shè)的訪問(wèn)控制規(guī)則、端口和協(xié)議的檢測(cè)和控制機(jī)制等手段使可信雙方進(jìn)行通信,并阻斷不可信的訪問(wèn)行為。
2.1.2 防止黑客掃描入侵
外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)內(nèi)網(wǎng)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描,獲取內(nèi)部網(wǎng)絡(luò)的安全漏洞,發(fā)起基于存在漏洞的惡意攻擊行為,從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。
2.1.3 防御DDoS攻擊
DDoS攻擊一般由黑客控制Internet上的“僵尸”系統(tǒng)完成,通過(guò)對(duì)互聯(lián)網(wǎng)上缺少防御的主機(jī)植入某些代碼,這些機(jī)器就會(huì)被DDoS攻擊者控制,當(dāng)黑客發(fā)動(dòng)DDoS攻擊時(shí),只需要同時(shí)向這些將僵尸機(jī)發(fā)送指令,攻擊就會(huì)由這些“僵尸”機(jī)器完成。DDoS攻擊主要有帶寬型攻擊、流量型攻擊和應(yīng)用型攻擊,其主要的表現(xiàn)為利用海量的數(shù)據(jù)包、請(qǐng)求或應(yīng)用消耗目標(biāo)網(wǎng)絡(luò)或設(shè)備資源,導(dǎo)致無(wú)法處理正常的業(yè)務(wù)或訪問(wèn)請(qǐng)求,造成公司的服務(wù)質(zhì)量下降、生產(chǎn)效率降低、信譽(yù)受損等一系列問(wèn)題。
2.1.4 防止病毒蠕蟲入侵
病毒蠕蟲等威脅內(nèi)容是黑客最常利用的網(wǎng)絡(luò)入侵工具。網(wǎng)絡(luò)蠕蟲病毒傳播速度快,一旦遭受了病毒和蠕蟲的侵襲,不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降,網(wǎng)絡(luò)擁塞,同時(shí)也會(huì)對(duì)核心敏感數(shù)據(jù)造成嚴(yán)重的威脅,導(dǎo)致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問(wèn)題。
2.1.5 防零時(shí)差攻擊
零時(shí)差攻擊(Zero-hour/day Attack)是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖,這相當(dāng)于在用戶沒(méi)有任何防備的情況下,黑客發(fā)起了閃電戰(zhàn),可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng),造成網(wǎng)絡(luò)癱瘓等風(fēng)險(xiǎn)。
2.1.6 防止間諜軟件
間諜軟件能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝,并且安裝后很難找到其蹤影,并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示,運(yùn)行時(shí)用戶也不知曉,刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng),并建立了一個(gè)進(jìn)入個(gè)人電腦的通道,很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計(jì)算能力,使計(jì)算機(jī)崩潰,并使用戶被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。因此,間諜軟件對(duì)企業(yè)網(wǎng)絡(luò)的危害非常巨大,需要一種有效的手段防止間諜軟件向企業(yè)內(nèi)部網(wǎng)絡(luò)滲透。
2.1.7 應(yīng)用帶寬管控
內(nèi)網(wǎng)用戶在上班時(shí)間有意無(wú)意的進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò)行為,比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購(gòu)、手機(jī)APP使用等,嚴(yán)重影響工作效率,并占用大量的帶寬,導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用或關(guān)鍵人員得不到足夠的帶寬資源,降低企業(yè)內(nèi)部的工作效率。
2.1.8 鏈路負(fù)載均衡
企業(yè)往往會(huì)部署多條鏈路,保證網(wǎng)絡(luò)服務(wù)的質(zhì)量,消除單點(diǎn)故障,減少停機(jī)時(shí)間。為提升外網(wǎng)用戶從外部訪問(wèn)內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能,就需要對(duì)多條鏈路進(jìn)行負(fù)載優(yōu)化,實(shí)現(xiàn)在多條鏈路上動(dòng)態(tài)平衡分配,并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路,保障業(yè)務(wù)應(yīng)用不中斷。
2.2 廣域網(wǎng)接入域安全需求分析
對(duì)于大部分企業(yè)來(lái)說(shuō),都可能存在企業(yè)集團(tuán)總部、子公司或各地分支辦事處,并且各個(gè)節(jié)點(diǎn)已形成自己的局域網(wǎng)結(jié)構(gòu),并通過(guò)廣域網(wǎng)互聯(lián)互通,實(shí)現(xiàn)集團(tuán)總部與子公司、辦事處之間多種資源信息的共享互通。因此,構(gòu)建一個(gè)高效、安全的廣域網(wǎng)絡(luò)系統(tǒng)勢(shì)必為企業(yè)的發(fā)展“添磚加瓦”。建立安全、可靠的高效廣域網(wǎng)系統(tǒng),需著重考慮和解決以下問(wèn)題:
2.2.1 安全互聯(lián)組網(wǎng)
目前很多企業(yè)的大型分支已經(jīng)采用專線與總部進(jìn)行互聯(lián),但部分中小分支由于較為分散,仍采用公網(wǎng)線路直接與總部互聯(lián)訪問(wèn)服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對(duì)外開放端口的方式,直接造成整體服務(wù)器區(qū)安全防護(hù)水平較低,很容易遭受互聯(lián)網(wǎng)絡(luò)攻擊的問(wèn)題。因此在總部和分支互聯(lián)建設(shè)中必須充分考慮安全互聯(lián)組網(wǎng)的需求,并防止外部人員的非法侵入。
2.2.2 數(shù)據(jù)安全性保障
在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信,組織信息平臺(tái)上的應(yīng)用系統(tǒng)如果不經(jīng)加密和認(rèn)證等安全處理,跑在互聯(lián)網(wǎng)這個(gè)不安全而又開放的網(wǎng)絡(luò)上,一旦重要數(shù)據(jù)如果遭到竊取,帶來(lái)的損失將無(wú)法估量。因此,有必要利用VPN等技術(shù)通過(guò)Internet建立安全可靠、經(jīng)濟(jì)便捷的虛擬專用網(wǎng)絡(luò)。
2.2.3 專網(wǎng)數(shù)據(jù)加固
在總部與大型分支之間采用專線組網(wǎng),保證內(nèi)網(wǎng)系統(tǒng)訪問(wèn)數(shù)據(jù)與互聯(lián)網(wǎng)的安全隔離。但是在專網(wǎng)內(nèi)同樣存在信息安全級(jí)別不同的應(yīng)用系統(tǒng)數(shù)據(jù),高安全級(jí)別的數(shù)據(jù)信息如果直接在網(wǎng)絡(luò)中明文傳輸,存在被竊聽(tīng)、篡改的風(fēng)險(xiǎn),從信息安全規(guī)劃及權(quán)限的安全方面進(jìn)行考慮,有必要在專網(wǎng)中對(duì)不同安全級(jí)別的應(yīng)用系統(tǒng)采取邏輯隔離、安全加密、權(quán)限劃分等加固手段。
2.2.4 移動(dòng)辦公安全
網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁,重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來(lái)越多,安全性要求也越來(lái)越重要。為了實(shí)現(xiàn)人們的遠(yuǎn)程辦公,需要保證人員外出時(shí)可以安全訪問(wèn)組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作,并同時(shí)確保數(shù)據(jù)的安全。因此在選擇方法時(shí),應(yīng)建立完整的安全準(zhǔn)入機(jī)制,實(shí)現(xiàn)對(duì)用戶的認(rèn)證鑒權(quán)。
2.2.5 第三方安全接入
隨著業(yè)務(wù)規(guī)模的擴(kuò)大,業(yè)務(wù)系統(tǒng)也在不斷延伸,除了建設(shè)內(nèi)部自己使用的業(yè)務(wù)系統(tǒng)外,還建立了第三人員使用的業(yè)務(wù)系統(tǒng),如供應(yīng)商接入系統(tǒng)、代理商接入系統(tǒng)等,這些業(yè)務(wù)系統(tǒng)提高了企業(yè)的業(yè)務(wù)運(yùn)作效率,但也帶來(lái)了眾多不可控風(fēng)險(xiǎn):如身份認(rèn)證單一、接入終端安全性無(wú)法控制、數(shù)據(jù)易被竊取、越權(quán)訪問(wèn)、惡意訪問(wèn)無(wú)法追蹤、訪問(wèn)速度慢。
2.2.6 廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化
分公司員工日常的工作都需要依靠信息平臺(tái)來(lái)完成,因此員工接入總部訪問(wèn)應(yīng)用的速度和其工作效率直接相關(guān)。如果全部使用專線進(jìn)行總部與分支互聯(lián),網(wǎng)絡(luò)成本太高,而且擴(kuò)展性較差。因此,廣域網(wǎng)接入域安全需求,就需要考慮廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化問(wèn)題,保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量和交付性能。如何消減總部節(jié)點(diǎn)、分支節(jié)點(diǎn)的吞吐瓶頸,提升員工訪問(wèn)速度;如何減少分支網(wǎng)絡(luò)丟包、延時(shí)現(xiàn)象問(wèn)題;如何避免應(yīng)用本身交互過(guò)多,遭遇廣域網(wǎng)后響應(yīng)速度慢,影響業(yè)務(wù)效率問(wèn)題。
2.3 外聯(lián)服務(wù)域安全需求分析
企業(yè)外聯(lián)服務(wù)域也叫DMZ。DMZ區(qū)域常存放對(duì)外門戶WEB、EMAIL、FTP、OA等服務(wù)器,主要用于提升企業(yè)網(wǎng)絡(luò)媒介宣傳、職員郵件辦公、文件上傳下載等需求。該區(qū)域是企業(yè)的展示窗口、對(duì)外業(yè)務(wù)的平臺(tái),該區(qū)域網(wǎng)絡(luò)質(zhì)量的好壞,直接影響著企業(yè)的形象和發(fā)展。該區(qū)域面臨來(lái)自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅,并且針對(duì)該區(qū)域的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)安全設(shè)備很難發(fā)現(xiàn)和阻止這些威脅。該區(qū)域主要的安全需求有:
2.3.1 系統(tǒng)漏洞攻擊保護(hù)
DMZ區(qū)域內(nèi)部有大量業(yè)務(wù)服務(wù)器,其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會(huì)不斷產(chǎn)生新的安全漏洞,給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)DMZ區(qū)的攻擊,比如mail漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫(kù)漏洞,實(shí)現(xiàn)對(duì)網(wǎng)站敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來(lái)識(shí)別并防護(hù)針對(duì)系統(tǒng)漏洞的攻擊。
2.3.2 防止信息泄露和篡改
黑客通過(guò)漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統(tǒng),將可能竊取DMZ系統(tǒng)數(shù)據(jù)庫(kù)中儲(chǔ)存的用戶資料、身份信息、賬戶信息等敏感數(shù)據(jù),損害企業(yè)的經(jīng)濟(jì)利益;黑客也可能直接篡改企業(yè)對(duì)外Web網(wǎng)頁(yè)內(nèi)容,使企業(yè)的形象和信譽(yù)受損;黑客甚至?xí)谄髽I(yè)對(duì)外提供服務(wù)的網(wǎng)站掛載木馬病毒,網(wǎng)站的訪問(wèn)用戶也會(huì)被木馬病毒感染,這種情況下企業(yè)可能因此而承擔(dān)法律責(zé)任。
2.3.3 WEB應(yīng)用安全
針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問(wèn)題有:
由于Web應(yīng)用程序的編寫過(guò)程中引入的安全漏洞問(wèn)題,比如SQL注入、跨站腳本攻擊等;系統(tǒng)底層漏洞問(wèn)題,如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(如IIS、Apache),這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī);黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。
3.3.4 防止黑客掃描入侵
外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)外聯(lián)區(qū)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描,獲取內(nèi)部網(wǎng)絡(luò)的安全缺陷和漏洞,進(jìn)一步發(fā)起惡意攻擊行為,從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。
2.3.5 防止拒絕服務(wù)
黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺(tái)無(wú)法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web等系統(tǒng)充斥大量要求回復(fù)的信息,嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源,導(dǎo)致外聯(lián)服務(wù)平臺(tái)無(wú)法對(duì)外正常提供服務(wù),影響企業(yè)正常的業(yè)務(wù)開展。
2.3.6 防范內(nèi)部威脅
企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域的安全,比如網(wǎng)絡(luò)中存在的DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內(nèi)部員工的非法掃描和滲透攻擊,及非授權(quán)違規(guī)操作行為,這些問(wèn)題都會(huì)破壞外聯(lián)平臺(tái)的安全穩(wěn)定運(yùn)行。
2.3.7 服務(wù)器負(fù)載均衡
隨著訪問(wèn)用戶數(shù)量的不斷增加,給后臺(tái)的服務(wù)器帶來(lái)越來(lái)越大的壓力。需要通過(guò)服務(wù)器負(fù)載均衡機(jī)制,保證用戶訪問(wèn)流量能在各服務(wù)器上均衡分配,提高服務(wù)器資源的利用率,減輕服務(wù)器的壓力。從而保證訪問(wèn)的速度和穩(wěn)定性。
2.4 數(shù)據(jù)中心域安全需求分析
數(shù)據(jù)中心是IT建設(shè)的心臟,作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域,數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言,數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的目標(biāo)。所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。數(shù)據(jù)中心主要的安全需求包括:
2.4.1 防火墻隔離控制
通過(guò)防火墻在數(shù)據(jù)中心構(gòu)造一道網(wǎng)絡(luò)層保護(hù)屏障,通過(guò)防火墻的區(qū)域隔離和訪問(wèn)控制規(guī)則,來(lái)界定用戶的訪問(wèn)請(qǐng)求是否符合安全要求,并隔離來(lái)自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn),實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)接入安全。
2.4.2 防止病毒蠕蟲入侵
服務(wù)器是數(shù)據(jù)中心中計(jì)算資源的核心來(lái)源,也用于連接網(wǎng)絡(luò)資源、存儲(chǔ)資源,是數(shù)據(jù)中心中業(yè)務(wù)交付的重要支撐,因此也是網(wǎng)絡(luò)入侵者最主要的目標(biāo)。病毒、蠕蟲、木馬等惡意代碼一旦感染數(shù)據(jù)中心服務(wù)器,就可能在數(shù)據(jù)中心網(wǎng)絡(luò)快速傳播,消耗數(shù)據(jù)中心網(wǎng)絡(luò)資源,劫持服務(wù)器應(yīng)用,竊取敏感信息,發(fā)送垃圾信息,甚至重定向用戶到惡意網(wǎng)頁(yè)。所以數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)需要包含檢測(cè)和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。
2.4.3 漏洞攻擊保護(hù)
數(shù)據(jù)中心大量的服務(wù)器底層操作系統(tǒng)和業(yè)務(wù)應(yīng)用都可能存在安全漏洞,給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)數(shù)據(jù)中心業(yè)務(wù)服務(wù)器的攻擊,比如弱口令密碼攻擊、應(yīng)用程序弱點(diǎn)利用、服務(wù)弱點(diǎn)利用等,非法獲取更多的內(nèi)部操作管理權(quán)限,實(shí)現(xiàn)對(duì)內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來(lái)識(shí)別并防護(hù)針對(duì)數(shù)據(jù)中心服務(wù)器業(yè)務(wù)系統(tǒng)漏洞的攻擊。
2.4.4 防APT攻擊
黑客的攻擊手段越來(lái)越先進(jìn),并帶有很強(qiáng)的目的性。近幾年APT攻擊經(jīng)常見(jiàn)諸報(bào)端,這是一類攻擊手段很先進(jìn)、目的性和持續(xù)性很強(qiáng)的高級(jí)持續(xù)性威脅(APT)。通常這種攻擊方式都帶有明確的攻擊意圖和不達(dá)目的不休止的特點(diǎn),黑客往往應(yīng)用先進(jìn)的攻擊手段繞過(guò)防御體系,實(shí)現(xiàn)對(duì)企業(yè)高價(jià)值機(jī)密信息的破壞、竊取、篡改等目的,從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。因此,數(shù)據(jù)中心安全建設(shè)需要考慮防范APT攻擊,避免重要信息資產(chǎn)失竊或破壞。
2.4.5 防范內(nèi)部威脅
企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域數(shù)據(jù)中心的安全,比如內(nèi)部網(wǎng)絡(luò)中存在DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內(nèi)部員工的非法掃描和滲透攻擊,及非授權(quán)違規(guī)操作行為,這些問(wèn)題都會(huì)破壞數(shù)據(jù)中心的安全穩(wěn)定運(yùn)行。
2.4.6 防止拒絕服務(wù)
數(shù)據(jù)中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域,數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息,其業(yè)務(wù)的可靠性非常關(guān)鍵。黑客利用協(xié)議漏洞或控制“肉雞”向數(shù)據(jù)中心服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù),導(dǎo)致業(yè)務(wù)中斷等問(wèn)題,對(duì)數(shù)據(jù)中心的可靠造成危害。
2.4.7 WEB應(yīng)用安全
數(shù)據(jù)中心有大量的WEB應(yīng)用,黑客針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問(wèn)題有:
由于Web應(yīng)用程序的編寫過(guò)程中引入的安全漏洞問(wèn)題,比如SQL注入、跨站腳本攻擊等;系統(tǒng)底層漏洞問(wèn)題,如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(如IIS、Apache),這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī);黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。
2.4.8 虛擬云化風(fēng)險(xiǎn)保護(hù)
虛擬化云數(shù)據(jù)中心是數(shù)據(jù)中心的發(fā)展方向,通過(guò)虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施資源池,實(shí)現(xiàn)資源的按需分配,提高整體資源利用率。但云數(shù)據(jù)中心虛擬化也帶來(lái)了新的安全風(fēng)險(xiǎn),比如虛擬化導(dǎo)致了風(fēng)險(xiǎn)集中、流量復(fù)雜、邊界弱化、越權(quán)訪問(wèn)等問(wèn)題,因此需要一種適合虛擬化云數(shù)據(jù)中心的安全管控機(jī)制,提供虛擬化內(nèi)部的安全區(qū)域劃分、邊界管控、二到七層安全保護(hù)。
2.5 內(nèi)網(wǎng)辦公域安全需求分析
隨著全球信息化及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問(wèn)題特別是內(nèi)部網(wǎng)絡(luò)安全問(wèn)題正在日益突出。“堡壘最容易從內(nèi)部攻破”,因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè),對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。無(wú)論是內(nèi)部終端的違規(guī)外聯(lián)、違規(guī)接入和違規(guī)操作,還是內(nèi)部系統(tǒng)數(shù)據(jù)保密性、可控性和可用性要求,都是企業(yè)內(nèi)網(wǎng)辦公區(qū)域安全建設(shè)需要思考的問(wèn)題。那么,企業(yè)內(nèi)網(wǎng)辦公區(qū)主要有哪些安全需求呢?
2.5.1 上網(wǎng)行為管理
內(nèi)網(wǎng)辦公員工在上班時(shí)間有意無(wú)意的做與工作無(wú)關(guān)的網(wǎng)絡(luò)行為,比如炒股、玩網(wǎng)游、看視頻;隨著智能終端的普及,沒(méi)有提供Wlan的企業(yè),其內(nèi)部員工為了便捷性,往往會(huì)通過(guò)360隨身WiFi等方式私自建立個(gè)人Wlan,讓自己的移動(dòng)終端可以隨意使用單位的上網(wǎng)資源。這些行為嚴(yán)重影響單位工作效率,所以企業(yè)需要對(duì)內(nèi)部上網(wǎng)的員工行為進(jìn)行有效的識(shí)別和管理。
2.5.2 漏洞病毒防護(hù)
內(nèi)網(wǎng)辦公區(qū)分布有大量的終端設(shè)備,如果這些終端不能及時(shí)更新系統(tǒng)漏洞補(bǔ)丁,將會(huì)給黑客可乘之機(jī),一旦某臺(tái)終端感染病毒,很容易向全網(wǎng)擴(kuò)散。因此,內(nèi)網(wǎng)安全建設(shè)需要包括:具備快速發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁能力,具備快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)并及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)的能力。
2.5.4 Wlan安全需求
隨著無(wú)線技術(shù)的發(fā)展,BYOD、移動(dòng)辦公的普及,無(wú)線網(wǎng)絡(luò)覆蓋能使得在企業(yè)內(nèi)部,會(huì)議室、辦公區(qū)等任何區(qū)域接入辦公網(wǎng)絡(luò),簡(jiǎn)單方便。企業(yè)在構(gòu)建WLAN網(wǎng)絡(luò)過(guò)程中,不僅要考慮高速穩(wěn)定的網(wǎng)絡(luò)質(zhì)量,WLAN網(wǎng)絡(luò)安全問(wèn)題同樣需要重視。杜絕盜用賬號(hào)、非法接入的安全威脅,并針對(duì)外部訪客、內(nèi)部人員(不同部門、不同職位)分配不同的應(yīng)用訪問(wèn)權(quán)限,實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)接入控制,并避免復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)機(jī)制。
2.5.5 開發(fā)環(huán)境安全
開發(fā)部門由于其業(yè)務(wù)特殊性,對(duì)開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展,在開發(fā)項(xiàng)目中往往還會(huì)牽涉到很多第三方公司和外包項(xiàng)目,甚至于開發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公,這對(duì)開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此,需要有一套安全的開發(fā)環(huán)境,能夠讓開發(fā)項(xiàng)目的員工及外包員工在受控環(huán)境下,進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試,同時(shí)能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。
2.1.6 防止僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的,采用多種傳播手段,通過(guò)互聯(lián)網(wǎng)使大量主機(jī)感染僵尸程序,從而控制這些被感染的主機(jī),從而在控制者和被感染主機(jī)之間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò),黑客利用這些僵尸主機(jī)作為進(jìn)一步入侵的跳板。攻擊者通過(guò)控制大量僵尸主機(jī)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)本地?cái)U(kuò)散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。而企業(yè)內(nèi)部大量的終端設(shè)備往往是黑客種植僵尸網(wǎng)絡(luò)的目標(biāo),因此企業(yè)需要一種有效的措施來(lái)防止僵尸網(wǎng)絡(luò)的植入,并檢測(cè)和清除已存在的僵尸網(wǎng)絡(luò)。
2.6 運(yùn)維管理域安全需求分析
運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)能夠安全高效運(yùn)行的重要區(qū)域,該區(qū)域的重點(diǎn)是安全和穩(wěn)定性,從而為企業(yè)整體網(wǎng)絡(luò)構(gòu)造一個(gè)可靠的支撐平臺(tái)。該區(qū)域主要的安全需求如下:
2.6.1 防火墻區(qū)域隔離
運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)高效運(yùn)行的重要區(qū)域,企業(yè)內(nèi)部大部分IT設(shè)備和系統(tǒng)都在該區(qū)域維護(hù)管理,因此該區(qū)域一旦被黑客或不軌員工侵入,極可能造成全局網(wǎng)絡(luò)危害。利用防火墻可以給運(yùn)維管理區(qū)打造安全隔離區(qū),并基于嚴(yán)格的訪問(wèn)控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入;同時(shí)利用新型防火墻給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。
2.6.2 防范病毒類入侵
運(yùn)維區(qū)是IT信息系統(tǒng)的神經(jīng)中樞,一旦被病毒木馬、僵尸蠕蟲等侵入,將可能導(dǎo)致重要系統(tǒng)的系統(tǒng)配置、管理賬號(hào)、后臺(tái)數(shù)據(jù)等丟失或被篡改,直接造成生成運(yùn)營(yíng)故障,對(duì)企業(yè)的危害非常巨大。因此,該區(qū)域的安全建設(shè)需要包含檢測(cè)和清除病毒、木馬、蠕蟲、僵尸等惡意內(nèi)容的機(jī)制。
2.6.3 集中運(yùn)維管理
企業(yè)內(nèi)部安全設(shè)備較多,因此需要有集中的統(tǒng)一管理和審計(jì)分析平臺(tái),實(shí)現(xiàn)對(duì)設(shè)備的集中管理、集中監(jiān)控、集中配置、集中運(yùn)維、統(tǒng)一審計(jì)核查等要求,達(dá)到安全事件的監(jiān)控-響應(yīng)-再監(jiān)控的閉環(huán)操作,提升網(wǎng)絡(luò)運(yùn)維管理便捷性。
2.6.4 操作運(yùn)維審計(jì)
如果沒(méi)有有效的技術(shù)手段來(lái)保障運(yùn)維操作的正確執(zhí)行,那么將對(duì)運(yùn)維人員的違規(guī)操作無(wú)能為力。目前應(yīng)用程序都有相應(yīng)的審計(jì)日志,可以解決應(yīng)用系統(tǒng)層的審計(jì)問(wèn)題,但是對(duì)于操作系統(tǒng)層和數(shù)據(jù)庫(kù)層的違規(guī)操作(非法修改系統(tǒng)和應(yīng)用等),無(wú)從審計(jì)。因此,必須借助有效的技術(shù)手段監(jiān)管運(yùn)維人員的操作行為,做到實(shí)時(shí)監(jiān)控,快速取證,減少內(nèi)部的誤操作和違規(guī)操作,降低運(yùn)維過(guò)程中的操作風(fēng)險(xiǎn)。
第3章 深信服企業(yè)全網(wǎng)安全解決方案
3.1 方案總體設(shè)計(jì)
為了解決企業(yè)網(wǎng)絡(luò)中遇到的各種安全問(wèn)題,深信服推出了企業(yè)全網(wǎng)安全解決方案,本著安全、可靠、全面、高效、易于管理維護(hù)等原則,給出可資借鑒的建設(shè)方案。
根據(jù)企業(yè)不同網(wǎng)絡(luò)區(qū)域定位不同,我們大致可以將企業(yè)網(wǎng)絡(luò)劃分為6個(gè)區(qū)域,分別為:互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。針對(duì)各區(qū)域?qū)嶋H的安全需求,深信服給出了貼合的安全防護(hù)建議。
3.2 互聯(lián)網(wǎng)接入域安全方案
3.1.1 方案說(shuō)明
互聯(lián)網(wǎng)接入?yún)^(qū)域承擔(dān)著內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的統(tǒng)一出口和為外部用戶提供企業(yè)信息服務(wù)的入口,其安全風(fēng)險(xiǎn)來(lái)源多且復(fù)雜。針對(duì)互聯(lián)網(wǎng)出口存在的安全問(wèn)題,通過(guò)在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應(yīng)用交付AD產(chǎn)品,可以很好的解決。
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力。深信服下一代防火墻NGAF為企業(yè)在網(wǎng)絡(luò)出口構(gòu)建一套安全長(zhǎng)城,實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離和訪問(wèn)控制,保護(hù)內(nèi)部網(wǎng)絡(luò)和用戶免受非法侵入,保障可信雙方安全通信。NGAF提供2到7層的安全保護(hù),通過(guò)入侵檢測(cè)與防御、病毒防護(hù)、協(xié)議異常保護(hù)等功能,可以精確實(shí)時(shí)地識(shí)別并防御來(lái)自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬、間諜軟件等網(wǎng)絡(luò)威脅,防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)的滲透和破壞,保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運(yùn)行;NGAF能實(shí)時(shí)感知來(lái)自互聯(lián)網(wǎng)上的大量異常請(qǐng)求,并第一時(shí)間予以清洗,防止DoS/DDoS攻擊的發(fā)生,保障正常合法的業(yè)務(wù)通訊不受影響;NGAF還提供了實(shí)時(shí)的漏洞檢測(cè)功能,該功能不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量,通過(guò)實(shí)時(shí)流量分析,可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部業(yè)務(wù)系統(tǒng)的安全漏洞,快速識(shí)別針對(duì)存在漏洞的有效攻擊,即使沒(méi)有攻擊行為也能發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。對(duì)于最新爆發(fā)的0DAY漏洞,深信服云安全中心會(huì)第一時(shí)間收集漏洞信息并生成防護(hù)規(guī)則,并通過(guò)云中心快速的下發(fā)到NGAF設(shè)備上,避免黑客發(fā)起閃電戰(zhàn)。
深信服上網(wǎng)行為管理AC設(shè)備能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行精細(xì)化控制管理。AC設(shè)備具備專業(yè)的身份認(rèn)證功能,能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略,AC支持本地認(rèn)證、外部認(rèn)證、短信認(rèn)證等多種方式;AC具備國(guó)內(nèi)最專業(yè)的應(yīng)用識(shí)別控制功能,全面的應(yīng)用識(shí)別幫助管理員掌控網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶行為,從而有針對(duì)性的制定流控策略,保障核心業(yè)務(wù)應(yīng)用使用效果,AC能夠有效識(shí)控當(dāng)前網(wǎng)絡(luò)中各種主流應(yīng)用,包括1500多種應(yīng)用、3000多種規(guī)則,以及一些SSL加密應(yīng)用;AC提供了基于應(yīng)用、基于時(shí)間、多級(jí)父子通道、動(dòng)態(tài)流控、智能流控等多種流控手段,滿足企業(yè)制定周期性、靈活、合理、智能調(diào)整的帶寬使用方案,最大滿足業(yè)務(wù)對(duì)帶寬的需求,實(shí)現(xiàn)帶寬的最大價(jià)值。
深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)互聯(lián)網(wǎng)接入域提供多鏈路負(fù)載均衡解決方案。企業(yè)往往部署了多條互聯(lián)網(wǎng)鏈路,由于使用設(shè)置等問(wèn)題,往往有的鏈路一直處于繁忙狀態(tài),而另外條鏈路卻處于閑置狀態(tài),造成互聯(lián)網(wǎng)資源的浪費(fèi)和用戶的訪問(wèn)速度得不到保障。深信服 AD設(shè)備能夠進(jìn)行DNS請(qǐng)求轉(zhuǎn)發(fā),通過(guò)深信服 AD尋找合適的DNS服務(wù)器返回給內(nèi)網(wǎng)電腦。利用鏈路繁忙控制、智能路由等技術(shù),通過(guò)事先設(shè)定好負(fù)載算法,就能按照事先設(shè)定的鏈路利用策略將流量分配到不同的鏈路之上,實(shí)現(xiàn)多條鏈路負(fù)載運(yùn)行,保障了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。
3.2.2 方案價(jià)值
相比傳統(tǒng)方案,NGAF提供全面的L2-L7威脅防護(hù),實(shí)現(xiàn)了更加完整高效的網(wǎng)絡(luò)安全,并減少了故障節(jié)點(diǎn);
單臺(tái)NGAF即可實(shí)現(xiàn)比過(guò)去多臺(tái)設(shè)備更好的防護(hù)效果,大大減少了設(shè)備購(gòu)買投資和運(yùn)維成本;
AC產(chǎn)品實(shí)現(xiàn)了更加細(xì)致精準(zhǔn)的應(yīng)用和帶寬控制,保障了正常業(yè)務(wù)帶寬需求,實(shí)現(xiàn)了帶寬高效利用,提升帶寬價(jià)值;
AD產(chǎn)品提供了精細(xì)智能的多鏈路負(fù)載均衡,滿足鏈路高效使用和自動(dòng)備份,實(shí)現(xiàn)了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。
3.3 廣域網(wǎng)接入域安全方案
3.1.1 方案說(shuō)明
企業(yè)總部與子公司、辦事處之間的廣域網(wǎng)通道建設(shè),能夠?qū)崿F(xiàn)多種資源信息的高效互通,而廣域網(wǎng)通道內(nèi)部傳輸?shù)臄?shù)據(jù)大多都是企業(yè)的重要信息資產(chǎn),對(duì)保密性和實(shí)效性要求較高。通過(guò)部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò)通信系統(tǒng)。
企業(yè)采用專線或VPN方式建立廣域網(wǎng)通道,如圖所示,在企業(yè)總部和分支機(jī)構(gòu)部署NGAF、SSL VPN和WOC廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以實(shí)現(xiàn)分支和總部安全通信和網(wǎng)絡(luò)鏈路優(yōu)化,并滿足外出員工移動(dòng)辦公安全接入需求;廣域網(wǎng)各個(gè)節(jié)點(diǎn)的NGAF設(shè)備結(jié)合SC集中管理平臺(tái)和外置數(shù)據(jù)中心,能夠?qū)崿F(xiàn)廣域網(wǎng)全網(wǎng)各節(jié)點(diǎn)安全監(jiān)測(cè)和防護(hù),使整個(gè)企業(yè)集團(tuán)全網(wǎng)安全狀況盡在掌握。
NGAF能夠識(shí)別和防御L2到L7的安全威脅,能檢測(cè)并防止病毒防、蠕蟲、木馬、漏洞、WEB應(yīng)用攻擊等安全威脅在廣域網(wǎng)內(nèi)部傳播,實(shí)現(xiàn)各分支機(jī)構(gòu)安全狀況實(shí)時(shí)上報(bào)監(jiān)控,及時(shí)了解全網(wǎng)安全動(dòng)態(tài),安全日志統(tǒng)一管理、集中分析,快速加固防護(hù)薄弱點(diǎn),優(yōu)化安全運(yùn)維,實(shí)現(xiàn)安全設(shè)備統(tǒng)一管理、集中特征更新與推送、安全策略快速同步,實(shí)現(xiàn)對(duì)廣域網(wǎng)各個(gè)節(jié)點(diǎn)一站式安全監(jiān)測(cè)和保護(hù)。
采用SSL VPN安全網(wǎng)關(guān),可以對(duì)應(yīng)用進(jìn)行安全發(fā)布,避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險(xiǎn)。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時(shí),可直接通過(guò)瀏覽器打開網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立,非常方便的實(shí)現(xiàn)網(wǎng)絡(luò)接入和數(shù)據(jù)安全保障。在系統(tǒng)安全加固方面,采用登錄SSL VPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證的主線進(jìn)行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合,多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進(jìn)行應(yīng)用訪問(wèn)權(quán)限的劃分對(duì)于享有訪問(wèn)權(quán)限的應(yīng)用系統(tǒng)采用主從賬號(hào)綁定SSL VPN登錄賬號(hào)和應(yīng)用系統(tǒng)賬號(hào)。用戶只可采用指定的賬號(hào)訪問(wèn)應(yīng)用系統(tǒng)。由于登錄SSL VPN的身份已通過(guò)多重認(rèn)證的確認(rèn),而后又進(jìn)行指定應(yīng)用賬號(hào)訪問(wèn),即可保障登錄應(yīng)用系統(tǒng)的人員的身份。對(duì)于已經(jīng)建立專線組網(wǎng)的分支,將應(yīng)用系統(tǒng)以SSL VPN資源的方式進(jìn)行,進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時(shí)實(shí)現(xiàn)統(tǒng)一應(yīng)用平臺(tái)的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對(duì)應(yīng)權(quán)限的開放/關(guān)閉,分支用戶登錄SSL VPN之后,在其資源列表界面將會(huì)顯示該用戶權(quán)限下可訪問(wèn)的應(yīng)用系統(tǒng),用戶可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪問(wèn)。同時(shí),可針對(duì)這些應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄設(shè)置,點(diǎn)擊鏈接即可自動(dòng)通過(guò)應(yīng)用本身的認(rèn)證,可直接進(jìn)行操作。由于所有訪問(wèn)總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進(jìn)行轉(zhuǎn)發(fā),對(duì)于用戶權(quán)限外的應(yīng)用,SSL VPN將自動(dòng)阻斷其連接,防止惡意盜鏈。并且SSL VPN設(shè)備對(duì)外只開放443端口,從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務(wù)器區(qū)結(jié)構(gòu),并對(duì)服務(wù)器訪問(wèn)的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶對(duì)服務(wù)器區(qū)發(fā)起的訪問(wèn)時(shí),采用SSL VPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問(wèn)授權(quán)、傳輸數(shù)據(jù)加密,從數(shù)據(jù)安全的角度提供隔離保護(hù)。SSL VPN的EasyConnect還能幫助企業(yè)內(nèi)網(wǎng)部署的終端服務(wù)器將應(yīng)用程序界面用圖形的方式呈現(xiàn)于智能終端之上,在部署過(guò)程中,無(wú)需對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變,輕松實(shí)現(xiàn)跨平臺(tái)訪問(wèn),解決企業(yè)用戶通過(guò)iPhone、Android等智能終端訪問(wèn)的問(wèn)題,實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)快速遷移,同時(shí)保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不落地,存儲(chǔ)在終端服務(wù)器。深信服SSL VPN網(wǎng)關(guān)提供專業(yè)的IPSec VPN功能,滿足企業(yè)建設(shè)IPSec VPN專網(wǎng)的需求,實(shí)現(xiàn)各區(qū)域安全互聯(lián)和數(shù)據(jù)加固的需求。
深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jī)?yōu)化等多種技術(shù),能夠幫助用戶加快關(guān)鍵應(yīng)用的響應(yīng)速度,大幅提升專網(wǎng)的傳輸效率。專線內(nèi)存在大量的冗余數(shù)據(jù)傳輸,容易導(dǎo)致專網(wǎng)帶寬壓力過(guò)大。WOC產(chǎn)品采用動(dòng)態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對(duì)專網(wǎng)中流量進(jìn)行大幅削減,降低帶寬負(fù)荷,實(shí)現(xiàn)帶寬增值。WOC還可以對(duì)ERP、郵件、FTP文件傳輸?shù)葢?yīng)用進(jìn)行優(yōu)化,減少數(shù)據(jù)交互,提升訪問(wèn)速度,提高工作效率。WOC通過(guò)快速重傳、選擇性重傳、改善擁塞機(jī)制、增大滑動(dòng)窗口大小等幾種技術(shù)手段對(duì)傳統(tǒng)的TCP傳輸協(xié)議做改進(jìn),提高鏈路質(zhì)量和訪問(wèn)速度。WOC還能夠?qū)崟r(shí)感知專網(wǎng)流量分布情況,從而實(shí)現(xiàn)業(yè)務(wù)流量整形和不斷調(diào)優(yōu)。
3.3.2 方案價(jià)值
NGAF提供全面的L2-L7威脅防護(hù),避免了各個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)在廣域網(wǎng)通道傳播;
NGAF全網(wǎng)統(tǒng)一安全監(jiān)控和防護(hù),實(shí)現(xiàn)了安全設(shè)備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統(tǒng)一運(yùn)維,快速提高整個(gè)廣域網(wǎng)全網(wǎng)的安全水平;
SSL VPN網(wǎng)關(guān)為企業(yè)提供了可靠的VPN組網(wǎng)、遠(yuǎn)程業(yè)務(wù)發(fā)布和員工遠(yuǎn)程接入需求,滿足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務(wù);
WOC產(chǎn)品通過(guò)流量削減和協(xié)議、應(yīng)用、鏈路質(zhì)量?jī)?yōu)化技術(shù),即使鏈路質(zhì)量不佳情況下,也能保障核心業(yè)務(wù)穩(wěn)定運(yùn)行,實(shí)現(xiàn)帶寬增值;
3.4 外聯(lián)服務(wù)域安全方案
3.1.1 方案說(shuō)明
DMZ區(qū)域是企業(yè)的對(duì)外展示和對(duì)外業(yè)務(wù)的平臺(tái),該區(qū)域的網(wǎng)絡(luò)安全和穩(wěn)定可靠關(guān)系著企業(yè)形象和品牌發(fā)展。針對(duì)該區(qū)域存在的網(wǎng)絡(luò)安全問(wèn)題,通過(guò)部署深信服下一代防火墻和應(yīng)用交付產(chǎn)品就可以完美解決。
深信服NGAF產(chǎn)品具備全面的二到七層安全功能,能一站式智能化解決DMZ區(qū)域的網(wǎng)絡(luò)安全問(wèn)題。通過(guò)啟用入侵防御、病毒防護(hù)、漏洞檢測(cè)保護(hù)等功能,可以實(shí)時(shí)發(fā)現(xiàn)DMZ區(qū)域業(yè)務(wù)系統(tǒng)存在的安全漏洞,實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬等網(wǎng)絡(luò)攻擊,防止攻擊者對(duì)外聯(lián)服務(wù)網(wǎng)絡(luò)的掃描、入侵和破壞,保障系統(tǒng)數(shù)據(jù)安全和業(yè)務(wù)的持續(xù)運(yùn)行。NGAF具備專業(yè)的WEB應(yīng)用安全防護(hù)功能,有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制,實(shí)現(xiàn)雙向的內(nèi)容檢測(cè),提供OWASP定義的十大安全威脅的攻擊防護(hù)能力,有效防止常見(jiàn)的web攻擊,防止網(wǎng)站被黑客掃描攻擊,NGAF還支持隱藏的服務(wù)器響應(yīng)信息,如http出錯(cuò)頁(yè)面、響應(yīng)報(bào)頭、FTP信息等;NGAF還提供了網(wǎng)頁(yè)防篡改功能,能夠?qū)崟r(shí)檢測(cè)并攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn),同時(shí)對(duì)外提供篡改重定向功能,提供正常界面或備份服務(wù)器的重定向,保證用戶仍可正常訪問(wèn)網(wǎng)站;NGAF提供了敏感信息防泄漏功能,能夠?qū)崟r(shí)檢測(cè)并阻斷網(wǎng)站源代碼、用戶帳號(hào)信息、服務(wù)器重要配置文件等敏感信息被泄露,實(shí)時(shí)記錄泄漏行為,并通過(guò)郵件等方式報(bào)警;NGAF提供專業(yè)的DoS/DDoS攻擊防護(hù)功能,能快速識(shí)別并清洗異常訪問(wèn)行為,保障正常合法的業(yè)務(wù)不受影響。NGAF還提供了待處理問(wèn)題板塊,該板塊展示了NGAF監(jiān)測(cè)發(fā)現(xiàn)的安全問(wèn)題,包括各類風(fēng)險(xiǎn)的分類匯總及問(wèn)題的詳細(xì)描述,同時(shí)NGAF還提供了風(fēng)險(xiǎn)問(wèn)題解決方案,即使不懂安全,也能自助化快速運(yùn)維,打破了傳統(tǒng)安全設(shè)備風(fēng)險(xiǎn)日志看不懂、運(yùn)維管理無(wú)目標(biāo)等問(wèn)題。
深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)外聯(lián)服務(wù)域提供多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),再通過(guò)AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器;當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí),深信服AD通過(guò)全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,能夠選擇性能最佳的服務(wù)器來(lái)響應(yīng)用戶的請(qǐng)求,從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現(xiàn)象的出現(xiàn)。
3.4.2 方案價(jià)值
NGAF提供了事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體Web保護(hù),可以有效過(guò)濾掃描、入侵、破壞過(guò)程中的各種安全威脅;
NGAF涵蓋了L2-L7全面的安全功能,可以全面替代FW、IPS、WAF等設(shè)備,提供基于黑客攻擊過(guò)程的L2-L7層完整安全防護(hù)。
NGAF提供了比傳統(tǒng)更加全面的風(fēng)險(xiǎn)識(shí)別和可視化風(fēng)險(xiǎn)報(bào)表,并匯總需要處理的安全問(wèn)題和建議的解決方案,幫助企業(yè)快速自助安全運(yùn)維。
AD產(chǎn)品提供了高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡,滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用,實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。
3.5 數(shù)據(jù)中心域安全方案
3.1.1 方案說(shuō)明
數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息,因此數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的攻擊目標(biāo),所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。通過(guò)部署深信服下一代防火墻、應(yīng)用交付等安全產(chǎn)品,可以幫助企業(yè)打造安全、可靠的數(shù)據(jù)中心網(wǎng)絡(luò)。
深信服NGAF給企業(yè)數(shù)據(jù)中心提供了一站式智能化的二到七層安全保護(hù)。通過(guò)啟用NGAF的防火墻、入侵防護(hù)、漏洞檢測(cè)、敏感信息防泄漏、DoS/DDoS攻擊防護(hù)、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò)、web應(yīng)用攻擊保護(hù)、網(wǎng)站篡改保護(hù)等功能,可以實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)域隔離,避免因業(yè)務(wù)系統(tǒng)漏洞導(dǎo)致的入侵,防范病毒、蠕蟲、僵尸網(wǎng)絡(luò)等威脅內(nèi)容在數(shù)據(jù)中心傳播,防止口令密碼被暴力破解,避免數(shù)據(jù)中心敏感信息被泄露,清洗數(shù)據(jù)中心異常流量,保護(hù)數(shù)據(jù)中心web應(yīng)用安全,保障數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)安全運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫(kù),通過(guò)分析內(nèi)網(wǎng)終端的異常行為(如連接惡意主機(jī)或URL)等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對(duì)外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵。NGAF還內(nèi)置了灰度威脅樣本庫(kù),通過(guò)多維歸并整理賦予每種威脅行為一個(gè)權(quán)值,NGAF計(jì)算用戶行為權(quán)值之和并對(duì)比威脅基線,從而能夠準(zhǔn)確判定威脅行為,對(duì)于無(wú)法確認(rèn)的可疑內(nèi)容,NGAF會(huì)實(shí)時(shí)上報(bào)到深信服云安全中心,由云中心執(zhí)行沙盒演練等方法進(jìn)行最終確認(rèn),基于這些技術(shù)手段,NGAF能夠準(zhǔn)確識(shí)別并防御未知威脅和APT攻擊。此外,對(duì)于大型企業(yè)來(lái)說(shuō),其數(shù)據(jù)中心內(nèi)部業(yè)務(wù)系統(tǒng)較多,安全防護(hù)需求各不相同,為了解決多樣化的安全防護(hù)需求,NGAF還提供了硬件一虛多技術(shù),實(shí)現(xiàn)將單臺(tái)NGAF劃分為邏輯上完全獨(dú)立的多臺(tái)設(shè)備,滿足不同業(yè)務(wù)系統(tǒng)獨(dú)立保護(hù)的安全需求,提升資源利用效率,降低了部署運(yùn)營(yíng)成本。
深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。多數(shù)據(jù)中心負(fù)載均衡解決方案中,每個(gè)數(shù)據(jù)中心前端均部署AD設(shè)備,并以路由模式接入各個(gè)數(shù)據(jù)網(wǎng)絡(luò)之中,負(fù)責(zé)將用戶的DNS訪問(wèn)請(qǐng)求引導(dǎo)到最快的鏈路進(jìn)行訪問(wèn)站點(diǎn);同時(shí)負(fù)責(zé)兩條線路的健康狀態(tài)的檢查,一旦檢測(cè)到線路的中斷,則停止相應(yīng)線路的地址解析。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),并通過(guò)AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器;當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí),深信服AD通過(guò)全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,能夠選擇性能最佳的服務(wù)器來(lái)響應(yīng)用戶的請(qǐng)求,從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現(xiàn)象的出現(xiàn)。
此外,為了滿足虛擬化云環(huán)境下數(shù)據(jù)中心的安全需求,深信服還專門研發(fā)了虛擬化軟件下一代防火墻和應(yīng)用交付產(chǎn)品,能夠以虛機(jī)方式無(wú)縫集成到虛擬化平臺(tái)內(nèi)部,滿足虛擬化云計(jì)算場(chǎng)景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上,提供虛擬化云平臺(tái)內(nèi)部靈活的安全區(qū)域劃分、2到7層安全保護(hù)和智能快速的應(yīng)用交付解決方案
3.5.2 方案價(jià)值
NGAF涵蓋了L2-L7全面的安全功能,提供比FW、IPS、WAF更多的安全防護(hù)層級(jí),全面滿足數(shù)據(jù)中心多維的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù);
NGAF通過(guò)多重的已知威脅識(shí)別、灰度威脅樣本庫(kù)、云端可疑威脅檢測(cè)等技術(shù)手段,有效識(shí)別和防范APT等高危威脅行為,確保數(shù)據(jù)中心的安全;
AD產(chǎn)品通過(guò)高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡,滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用,實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。
對(duì)于有備份數(shù)據(jù)中心的企業(yè)來(lái)說(shuō),AD還能提供了全局負(fù)載均衡功能,實(shí)現(xiàn)將用戶訪問(wèn)請(qǐng)求引導(dǎo)到最快最優(yōu)的數(shù)據(jù)中心進(jìn)行響應(yīng),并實(shí)現(xiàn)鏈路故障的快速切換。
3.6 內(nèi)網(wǎng)辦公域安全方案
3.1.1 方案說(shuō)明
“堡壘最容易從內(nèi)部攻破”,因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè),對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。通過(guò)深信服NGAF、AC和企業(yè)級(jí)無(wú)線,以及第三方終端防病毒軟件,可以較為完善的解決內(nèi)網(wǎng)辦公區(qū)域的安全問(wèn)題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠?qū)?nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行精細(xì)化識(shí)別和管控,深信服NGAF從網(wǎng)絡(luò)層面保障了辦公網(wǎng)絡(luò)的安全,終端防病毒軟件部署到辦公終端設(shè)備上,提供更加深度的安全保護(hù),也是網(wǎng)關(guān)安全設(shè)備的有效補(bǔ)充,而深信服企業(yè)無(wú)線產(chǎn)品能夠?yàn)槠髽I(yè)客戶提供安全、快速、可靠的無(wú)線網(wǎng)絡(luò),滿足企業(yè)無(wú)線辦公需求。
NGAF給企業(yè)辦公網(wǎng)絡(luò)構(gòu)建了立體的防護(hù)體系,防止內(nèi)部終端遭受各個(gè)層次的安全威脅。通過(guò)啟用入侵防御和防病毒等功能,NGAF提供了全面的虛擬補(bǔ)丁功能,有效防御各種攻擊和網(wǎng)絡(luò)蠕蟲病毒,保證辦公網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫(kù),通過(guò)分析內(nèi)網(wǎng)終端的異常行為(如連接惡意主機(jī)或URL)等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對(duì)外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵,鏟除APT攻擊的土壤。
AC設(shè)備具備專業(yè)的身份認(rèn)證功能,能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略;AC內(nèi)置了國(guó)內(nèi)最全面的應(yīng)用識(shí)別庫(kù),能精準(zhǔn)識(shí)別和控制內(nèi)部員工的上網(wǎng)行為,保障關(guān)鍵應(yīng)用,限制無(wú)關(guān)應(yīng)用,阻止非法應(yīng)用,避免員工在工作時(shí)間使用無(wú)關(guān)應(yīng)用影響工作、占用帶寬,提高企業(yè)帶寬的使用價(jià)值。
終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過(guò)在終端部署防病毒軟件,可以更加精準(zhǔn)的檢測(cè)終端設(shè)備潛藏的安全威脅,徹底清除病毒、蠕蟲、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心,可以集中管理眾多防病毒軟件,實(shí)現(xiàn)軟件集中管理、集中更新、統(tǒng)一運(yùn)維。
深信服企業(yè)無(wú)線產(chǎn)品(包括無(wú)線AP和無(wú)線控制器NAC)能夠幫助企業(yè)客戶打造安全、快速、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。深信服企業(yè)無(wú)線提供了端到端的網(wǎng)絡(luò)協(xié)議棧加速、網(wǎng)絡(luò)優(yōu)化、終端和應(yīng)用識(shí)別及流控技術(shù),能夠?yàn)槠髽I(yè)打造更快速、更穩(wěn)定的企業(yè)無(wú)線服務(wù);深信服企業(yè)無(wú)線提供了便捷的安全管理和全面的安全防護(hù),支持二維碼認(rèn)證、802.1X自動(dòng)配置、精細(xì)化角色授權(quán)管理等技術(shù),為企業(yè)打造更安全、更便捷的無(wú)線網(wǎng)絡(luò);深信服企業(yè)無(wú)線還內(nèi)置了信息推送中心,預(yù)留了企業(yè)微信公眾平臺(tái)對(duì)接模塊,全面滿足企業(yè)可運(yùn)營(yíng)化無(wú)線網(wǎng)絡(luò)。
3.6.2 方案價(jià)值
NGAF為企業(yè)辦公區(qū)域打造安全可靠的隔離區(qū)域,并提供二到七層的全面防護(hù),保護(hù)內(nèi)部用戶免受非法侵入。
防病毒軟件能夠從終端層面更加全面精準(zhǔn)的檢測(cè)內(nèi)部終端的安全威脅,并徹底清除這些威脅,營(yíng)造干凈的辦公網(wǎng)絡(luò)。
AC設(shè)備提供了精準(zhǔn)智能的應(yīng)用和流量控制策略,保障關(guān)鍵業(yè)務(wù)應(yīng)用體驗(yàn),避免無(wú)關(guān)應(yīng)用對(duì)帶寬的消耗,保障工作高效執(zhí)行。
深信服企業(yè)無(wú)線產(chǎn)品通過(guò)多種領(lǐng)先的技術(shù)手段幫助企業(yè)客戶打造安全、快速、穩(wěn)定、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。
3.7 運(yùn)維管理域安全方案
3.1.1 方案說(shuō)明
針對(duì)運(yùn)維區(qū)域存在的安全問(wèn)題,深信服推薦部署NGAF、集中管理設(shè)備SC和運(yùn)維審計(jì)產(chǎn)品,從而打造安全、可控、易運(yùn)維的運(yùn)維管理區(qū)域。
NGAF可以給運(yùn)維管理區(qū)打造安全隔離區(qū),并基于嚴(yán)格的訪問(wèn)控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入,同時(shí)NGAF還能夠防范病毒、僵尸、蠕蟲等威脅對(duì)運(yùn)維區(qū)的入侵和破壞,給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。
運(yùn)維審計(jì)產(chǎn)品可以為IT人員對(duì)各種設(shè)備、系統(tǒng)的運(yùn)維操作提供統(tǒng)一的接入門戶,實(shí)現(xiàn)資源的統(tǒng)一接入、資源自動(dòng)登錄、運(yùn)維會(huì)話記錄、實(shí)時(shí)告警提示、實(shí)時(shí)設(shè)備監(jiān)控;運(yùn)維審計(jì)產(chǎn)品提供了強(qiáng)大的身份管理、靈活細(xì)粒度的授權(quán)、多維度的日志采集和詳細(xì)的審計(jì)分析能力,實(shí)現(xiàn)操作的有效監(jiān)管和審計(jì)。
深信服SC集中管理平臺(tái)能夠?qū)ι钚欧O(shè)備進(jìn)行集中管理。SC集中平臺(tái)可以統(tǒng)一查看各個(gè)設(shè)備的實(shí)時(shí)信息,包括最近事件,cpu、內(nèi)存、磁盤使用信息,設(shè)備版本信息等,并能進(jìn)行安全策略統(tǒng)一管理下發(fā)和軟件規(guī)則庫(kù)自動(dòng)升級(jí)管理。配合SC平臺(tái)的外置虛擬數(shù)據(jù)中心軟件,可以對(duì)這些設(shè)備的狀態(tài)信息、日志信息進(jìn)行集中收集和管理,并支持進(jìn)一步的分析查詢和詳細(xì)信息提取。
3.7.2 方案價(jià)值
基于二到七層的深度內(nèi)容可視和嚴(yán)格的訪問(wèn)控制、安全保護(hù)策略,NGAF為企業(yè)運(yùn)維區(qū)提供了最安全的隔離保護(hù)。
通過(guò)SC集中監(jiān)管平臺(tái)和外置數(shù)據(jù)中心,可以對(duì)全網(wǎng)安全設(shè)備進(jìn)行集中運(yùn)維和審計(jì)分析,提升運(yùn)維效率。
運(yùn)維審計(jì)產(chǎn)品實(shí)現(xiàn)了IT源的統(tǒng)一接入、集中監(jiān)控、統(tǒng)一運(yùn)維、集中審計(jì),實(shí)現(xiàn)資源高效運(yùn)維和快速監(jiān)管。
第4章 深信服解決方案產(chǎn)品介紹
4.1 下一代防火墻NGAF介紹
4.2.1 下一代防火墻NGAF簡(jiǎn)介
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問(wèn)控制、內(nèi)容安全防護(hù)等方面的不足,同時(shí)開啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻,可以對(duì)全網(wǎng)流量進(jìn)行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面,區(qū)域別于傳統(tǒng)防火墻五元組安全策略,深信服NGAF可對(duì)L2-L7層更多的元素(如,用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等)制定雙向的安全訪問(wèn)策略,使安全策略更精細(xì)、更有效,且滿足業(yè)務(wù)的合規(guī)性;在安全防護(hù)能力方面,提升了傳統(tǒng)的抗攻擊的能力,不僅能防護(hù)網(wǎng)絡(luò)層的攻擊,針對(duì)來(lái)源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進(jìn)行防護(hù),實(shí)現(xiàn)L2-L7層的安全防護(hù)。同時(shí),深信服NGAF采用全新的軟硬件架構(gòu),減小在多種復(fù)雜的安全策略和L2-L7層多功能防護(hù)功能全部開啟時(shí)性能的消耗,實(shí)現(xiàn)應(yīng)用層高性能。
4.2.2 產(chǎn)品功能列表
項(xiàng)目 | 具體描述 |
部署方式 | 支持路由,透明,旁路,虛擬網(wǎng)線,混合部署模式; |
設(shè)備形態(tài) | 硬件物理網(wǎng)關(guān),硬件一虛多網(wǎng)關(guān),軟件虛擬化網(wǎng)關(guān); |
實(shí)時(shí)監(jiān)控 | 實(shí)時(shí)提供CPU、內(nèi)存、磁盤占用率、會(huì)話數(shù)、在線用戶數(shù)、網(wǎng)絡(luò)接口等設(shè)備資源信息;提供安全事件信息,包括最近安全事件、服務(wù)器安全事件、終端安全事件等,事件信息提供發(fā)生事件、源IP、目的IP、攻擊類型以及攻擊的URL等;提供實(shí)時(shí)智能模塊間聯(lián)動(dòng)封鎖的源IP以便實(shí)現(xiàn)動(dòng)態(tài)智能安全管理; |
網(wǎng)絡(luò)適應(yīng)性 | 支持ARP代理、靜態(tài)ARP綁定,配置DNS及DNS代理、支持DHCP中繼、DHCP服務(wù)器、DHCP客戶端;支持SNMP v1,v2,v3,支持SNMP Trap;支持靜態(tài)路由、RIP v1/2、OSPF、策略路由;支持鏈路探測(cè),端口聚合,接口聯(lián)動(dòng); |
包過(guò)濾與狀態(tài)檢測(cè) | 提供靜態(tài)的包過(guò)濾和動(dòng)態(tài)包過(guò)濾功能;支持的應(yīng)用層報(bào)文過(guò)濾,包括:應(yīng)用層協(xié)議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協(xié)議:TCP、UDP; |
NAT地址轉(zhuǎn)換 | 支持多個(gè)內(nèi)部地址映射到同一個(gè)公網(wǎng)地址、多個(gè)內(nèi)部地址映射到多個(gè)公網(wǎng)地址、內(nèi)部地址到公網(wǎng)地址一一映射、源地址和目的地址同時(shí)轉(zhuǎn)換、外部網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)部服務(wù)器、支持DNS映射功能;可配置支持地址轉(zhuǎn)換的有效時(shí)間;支持多種NAT ALG,包括DNS、FTP、H.323、SIP等 |
抗攻擊特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防范、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達(dá)報(bào)文控制等功能,此外還支持靜態(tài)和動(dòng)態(tài)黑名單功能、MAC和IP綁定功能;支持CC攻擊防護(hù); |
IPSEC VPN | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持?jǐn)U展國(guó)密辦SCB2等其他加密算法支持MD5及SHA-1驗(yàn)證算法;支持各種NAT網(wǎng)絡(luò)環(huán)境下的VPN組網(wǎng);支持第三方標(biāo)準(zhǔn)IPSec VPN進(jìn)行對(duì)接;*總部與分支有多條線路,可在線路間一一進(jìn)行IPSecVPN隧道建立,并設(shè)置主隧道及備份隧道,對(duì)主隧道可進(jìn)行帶寬疊加、按包或會(huì)話進(jìn)行流量平均分配,主隧道斷開備份隧道自動(dòng)啟用,保證IPSecVPN連接不中斷;可為每一分支單獨(dú)設(shè)置不同的多線路策略;單臂部署下同樣支持多線路策略; |
SSL VPN | 支持SSL VPN; |
應(yīng)用訪問(wèn)控制策略 | 支持對(duì)1000種以上應(yīng)用、2500種以上應(yīng)用動(dòng)作,可以識(shí)別P2P、IM、OA辦公應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、ERP應(yīng)用、軟件升級(jí)應(yīng)用、木馬外聯(lián)、炒股軟件、視頻應(yīng)用、代理軟件、網(wǎng)銀等協(xié)議;支持自定義規(guī)則; 提供基于應(yīng)用識(shí)別類型、用戶名、接口、安全域、IP地址、端口、時(shí)間進(jìn)行應(yīng)用訪問(wèn)控制列表的制定; |
APT檢測(cè) | 內(nèi)置超過(guò)60萬(wàn)的病毒,木馬,間諜軟件等惡意軟件特征庫(kù),并且在不斷的持續(xù)更新特征內(nèi)容;支持通過(guò)安全云實(shí)現(xiàn)虛擬沙盒動(dòng)態(tài)檢測(cè)技術(shù)??蓹z測(cè)未知威脅在沙盒中對(duì)注冊(cè)表、文件系統(tǒng)等的修改,通過(guò)云端聯(lián)動(dòng)的方式快速更新到各節(jié)點(diǎn)設(shè)備中,可實(shí)現(xiàn)快速統(tǒng)一的防護(hù)未知攻擊;支持異常流量檢測(cè)功能,能夠區(qū)分正常業(yè)務(wù)流量和潛藏在其中的危險(xiǎn)流量。能夠有效區(qū)分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服務(wù)器上常見(jiàn)應(yīng)用流量中的危險(xiǎn)流量,也能對(duì)常規(guī)應(yīng)用運(yùn)行在非標(biāo)準(zhǔn)端口的為進(jìn)行預(yù)警; |
IPS入侵防護(hù) | 微軟“MAPP”計(jì)劃會(huì)員,漏洞特征庫(kù): 3900+并獲得CVE“兼容性認(rèn)證證書”,能夠自動(dòng)或者手動(dòng)升級(jí);防護(hù)類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測(cè)/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等;防護(hù)對(duì)象分為保護(hù)服務(wù)器和保護(hù)客戶端兩大類,便于策略部署;漏洞詳細(xì)信息顯示:漏洞ID、漏洞名稱、漏洞描述、攻擊對(duì)象、危險(xiǎn)等級(jí)、參考信息、地址等內(nèi)容;支持自動(dòng)攔截、記錄日志、上傳灰度威脅到“云端”; |
Web攻擊防護(hù) | 支持Web攻擊特征數(shù)3000+;支持Web網(wǎng)站隱藏,包括HTTP響應(yīng)報(bào)文頭出錯(cuò)頁(yè)面的過(guò)濾,Web響應(yīng)報(bào)文頭可自定義;支持FTP服務(wù)應(yīng)用信息隱藏包括:服務(wù)器信息、軟件版本信息等;支持OWASP定義10大web安全威脅,保護(hù)服務(wù)器免受基于Web應(yīng)用的攻擊,如SQL注入防護(hù)、XSS攻擊防護(hù)、CSRF攻擊防護(hù);支持Web站點(diǎn)防掃描;可嚴(yán)格控制上傳文件類型,支持識(shí)別PHP,JSP,ASP腳本編寫的Webshell腳本文件上傳;支持對(duì)常見(jiàn)Web內(nèi)容管理系統(tǒng)的防護(hù),如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
口令暴力破解防護(hù) | 支持對(duì)常見(jiàn)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)軟件,如HTTP,F(xiàn)TP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防護(hù)功能; |
敏感信息防泄漏 | 內(nèi)置常見(jiàn)敏感信息的特征,如身份證信息、MD5、手機(jī)號(hào)碼、銀行卡號(hào)、郵箱等,并可自定義具有特殊特征的敏感信息;支持正常訪問(wèn)http連接中非法敏感信息的外泄防護(hù);支持?jǐn)?shù)據(jù)庫(kù)文件敏感信息檢測(cè),防止數(shù)據(jù)庫(kù)文件被“拖庫(kù)”、“暴庫(kù)”; |
風(fēng)險(xiǎn)評(píng)估 | 支持服務(wù)器、客戶端的漏洞風(fēng)險(xiǎn)評(píng)估功能,支持對(duì)目標(biāo)IP進(jìn)行端口、服務(wù)掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網(wǎng)上鄰居NetBIOS、VNC等多種應(yīng)用的弱口令評(píng)估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請(qǐng)求偽造(CSRF),操作系統(tǒng)命令,本地文件包含,遠(yuǎn)程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務(wù)器端包含(SSI)等豐富的Web應(yīng)用服務(wù)漏洞檢測(cè);風(fēng)險(xiǎn)評(píng)估可以實(shí)現(xiàn)與FW、IPS、服務(wù)器防護(hù)模塊的智能策略聯(lián)動(dòng),自動(dòng)生成策略; |
實(shí)時(shí)漏洞分析 | 支持對(duì)經(jīng)過(guò)設(shè)備的流量被動(dòng)進(jìn)行分析,分析內(nèi)容包括底層軟件漏洞分析,Web應(yīng)用風(fēng)險(xiǎn)分析,Web不安全配置檢測(cè)以及服務(wù)器弱密碼檢測(cè),并實(shí)時(shí)生成分析報(bào)告。具備單獨(dú)的針對(duì)服務(wù)器安全風(fēng)險(xiǎn)和潛在威脅的特征識(shí)別庫(kù); |
業(yè)務(wù)風(fēng)險(xiǎn)報(bào)表 | 提供基于用戶/業(yè)務(wù)的綜合風(fēng)險(xiǎn)報(bào)表,統(tǒng)計(jì)維度為用戶和業(yè)務(wù)而非IP地址;根據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況提供優(yōu)、良、中、差評(píng)級(jí);攻擊統(tǒng)計(jì)提供所有檢測(cè)攻擊數(shù)和有效攻擊數(shù)兩個(gè)維度;報(bào)表內(nèi)容呈現(xiàn)主動(dòng)掃描的漏洞分布情況,匹配攻擊日志輸出已被攻擊的漏洞數(shù)和發(fā)現(xiàn)的所有漏洞數(shù)的統(tǒng)計(jì)報(bào)表;業(yè)務(wù)安全報(bào)表提供攻擊分析、漏洞評(píng)估、業(yè)務(wù)系統(tǒng)漏洞詳情等信息;用戶安全報(bào)表提供遭攻擊最多的用戶詳情、異常連接用戶詳情等信息;安全風(fēng)險(xiǎn)類型匯總基于業(yè)務(wù)系統(tǒng)遭受攻擊類型、業(yè)務(wù)系統(tǒng)存在最多漏洞類型、用戶遭受最多威脅類型進(jìn)行統(tǒng)計(jì); |
網(wǎng)頁(yè)篡改防護(hù) | 網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改,無(wú)需在服務(wù)器中安裝任何插件;支持文件比對(duì)、特征碼比對(duì)、網(wǎng)站元素、數(shù)字指紋比對(duì)多種比對(duì)方式,保證網(wǎng)站安全;全面保護(hù)網(wǎng)站的靜態(tài)網(wǎng)頁(yè)和動(dòng)態(tài)網(wǎng)頁(yè),支持網(wǎng)頁(yè)的自動(dòng)發(fā)布、篡改檢測(cè)、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù),保證傳輸、鑒別、地址訪問(wèn)、表單提交、審計(jì)等各個(gè)環(huán)節(jié)的安全,完全實(shí)時(shí)杜絕篡改后的網(wǎng)頁(yè)被訪問(wèn)的可能性及任何使用Web方式對(duì)后臺(tái)數(shù)據(jù)庫(kù)的篡改;支持各級(jí)頁(yè)面模糊框架匹配、精確匹配的方式適用不同的網(wǎng)頁(yè)類型;支持提供管理員業(yè)務(wù)操作界面與網(wǎng)管管理界面分離功能,方便業(yè)務(wù)人員更新網(wǎng)站內(nèi)容;支持通過(guò)替換、重定向等技術(shù)手段,防護(hù)篡改頁(yè)面;網(wǎng)站維護(hù)管理員必須通過(guò)短信認(rèn)證才可進(jìn)行網(wǎng)站更新業(yè)務(wù)操作(選配);支持短信報(bào)警、郵件報(bào)警、控制臺(tái)報(bào)警等多種篡改報(bào)警方式; |
病毒防護(hù) | 支持基于流引擎查毒技術(shù),可以針對(duì)HTTP、FTP、SMTP、POP3等協(xié)議進(jìn)行查殺;能實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒;并采用新一代虛擬脫殼和行為判斷技術(shù),準(zhǔn)確查殺各種變種病毒、未知病毒;內(nèi)置10萬(wàn)條以上的病毒庫(kù),并且可以自動(dòng)或者手動(dòng)升級(jí);檢測(cè)到病毒后支持記錄日志、阻斷連接; |
Web過(guò)濾 | 對(duì)用戶web行為進(jìn)行過(guò)濾,保護(hù)用戶免受攻擊;支持只過(guò)濾HTTP GET、HTTP POST、HTTPS等應(yīng)用行為;并進(jìn)行阻斷和記錄日志;支持針對(duì)上傳、下載等操作進(jìn)行文件過(guò)濾;支持自定義文件類型進(jìn)行過(guò)濾;支持基于時(shí)間表的策略制定;支持的處理動(dòng)作包括:阻斷和記錄日志 |
流量管理 | 支持將多條外網(wǎng)線路虛擬映射到設(shè)備上,實(shí)現(xiàn)對(duì)多線路的分別流控;支持基于應(yīng)用類型、網(wǎng)站類型、文件類型的帶寬劃分與分配;支持時(shí)間和IP的帶寬劃分與分配; |
用戶管理 | 支持基于用戶名/密碼、單點(diǎn)登陸以及基于IP地址、MAC地址、計(jì)算機(jī)名的識(shí)別等多種認(rèn)證方式;支持AD域結(jié)合、Proxy、POP3、web表單等多種單點(diǎn)登陸方式,簡(jiǎn)化用戶操作;*可強(qiáng)制指定用戶、指定IP段的用戶必須使用單點(diǎn)登錄;支持添加到指定本地組、臨時(shí)賬號(hào)和不允許新用戶認(rèn)證等新用戶認(rèn)證策略;支持強(qiáng)制AD域認(rèn)證,指定用戶必須用AD域賬戶登錄操作系統(tǒng),否則禁止上網(wǎng);認(rèn)證成功的用戶支持頁(yè)面跳轉(zhuǎn),包括最近請(qǐng)求頁(yè)面、管理員制定URL、注銷頁(yè)面等;支持CSV格式文件導(dǎo)入、掃描導(dǎo)入和從外部LDAP服務(wù)器上導(dǎo)入等賬戶導(dǎo)入方式;用戶分組支持樹形結(jié)構(gòu),支持父組、子組、組內(nèi)套組等組織結(jié)構(gòu); |
關(guān)鍵頁(yè)面雙因素認(rèn)證 | 支持管理員頁(yè)面、管理后臺(tái)的短信強(qiáng)認(rèn)證機(jī)制,要求至少提供URL、telnet、ssh三種方式的短信認(rèn)證 |
高可用性 | 支持A/A,A/S模式部署,支持會(huì)話同步,配置同步和用戶信息同步; |
網(wǎng)關(guān)管理 | 網(wǎng)管管理員具備安全管理員,審計(jì)員和系統(tǒng)管理員三種權(quán)限,安全管理員默認(rèn)只允許安全策略和安全日志的查看和編輯權(quán)限;審計(jì)員默認(rèn)只開放數(shù)據(jù)中心日志的查看和編輯權(quán)限,不具備設(shè)備的管理權(quán)限;系統(tǒng)管理員默認(rèn)具備除安全功能外的其他系統(tǒng)管理權(quán)限,不具備設(shè)備的日志查看權(quán)限;支持SSL加密WEB方式管理設(shè)備;支持郵件、短信(可擴(kuò)展)等告警方式,可提供管理員登錄、病毒、IPS、web攻擊以及日志存儲(chǔ)空間不足等告警設(shè)置;提供圖形化排障工具,便于管理員排查策略錯(cuò)誤等故障;提供路由、網(wǎng)橋、旁路等部署模式的配置引導(dǎo),提供保護(hù)服務(wù)器、保護(hù)內(nèi)網(wǎng)用戶上網(wǎng)安全、保證內(nèi)網(wǎng)用戶上網(wǎng)帶寬、保證遭到攻擊及時(shí)提醒和保留證據(jù)等網(wǎng)關(guān)應(yīng)用場(chǎng)景的配置引導(dǎo),簡(jiǎn)化管理員配置; |
日志管理與報(bào)表 | 能夠自定義時(shí)間段查詢DOS攻擊、web防護(hù)、IPS、病毒、web威脅、網(wǎng)站訪問(wèn)、應(yīng)用控制、用戶登錄、系統(tǒng)操作等多種安全日志查詢;提供可定義時(shí)間內(nèi)安全趨勢(shì)分析報(bào)表;支持自定義統(tǒng)計(jì)指定IP/用戶組/用戶/應(yīng)用在指定時(shí)間段內(nèi)的服務(wù)器安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)等內(nèi)容,并形成報(bào)表;支持將統(tǒng)計(jì)/趨勢(shì)等報(bào)表自動(dòng)發(fā)送到指定郵箱;支持導(dǎo)出安全統(tǒng)計(jì)/趨勢(shì)等報(bào)表,包括網(wǎng)頁(yè)、PDF等格式; |
全網(wǎng)安全監(jiān)控平臺(tái) | 支持全網(wǎng)集中管控,提供獨(dú)立外置數(shù)據(jù)中心軟件,實(shí)時(shí)匯總收集分支設(shè)備的安全日志,并在外置數(shù)據(jù)中心集中展現(xiàn)全網(wǎng)所有安全設(shè)備的安全狀態(tài),包括安全等級(jí),攻擊趨勢(shì),最近有效事件,用戶安全,服務(wù)器安全情況以及攻擊來(lái)源,實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)匯總,統(tǒng)一分析和統(tǒng)一展現(xiàn); |
4.4 安全網(wǎng)關(guān)SSL VPN介紹
4.4.1 SSL VPN簡(jiǎn)介
作為國(guó)家SSL VPN標(biāo)準(zhǔn)的核心制定者之一,深信服SSL VPN產(chǎn)品擁有業(yè)界最多的專利技術(shù),是國(guó)內(nèi)業(yè)界應(yīng)用最廣泛、最完善的SSL安全訪問(wèn)解決方案。
據(jù)國(guó)際權(quán)威調(diào)查機(jī)構(gòu)FROST & SULLIVAN 2012年和2013年調(diào)查報(bào)告顯示,深信服SSL VPN分別以40.3%和39.8%的市場(chǎng)占有率獨(dú)占鰲頭。深信服SSL VPN大量大規(guī)模、高并發(fā)客戶案例為同行業(yè)之最,已連續(xù)六年保持國(guó)內(nèi)市場(chǎng)占有率第一。
4.4.2 產(chǎn)品功能列表
功能列表 | |
功能 分類 | 詳細(xì)指標(biāo) |
部署 模式 | 網(wǎng)關(guān)模式、單臂(旁路)模式、 多機(jī)熱備模式、集群模式、分布式集群模式 |
支持性 | 完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、Mac OS等主流操作系統(tǒng) |
完整支持IE、Firefox、Safari、Google Chrome、Opera等主流瀏覽器 | |
快速性 | 支持路由和單臂模式下的基于Web的多線路智能選路(選配),客戶端無(wú)需安裝插件 |
支持Web服務(wù)壓縮、C/S服務(wù)壓縮(LZO、GZIP)、動(dòng)態(tài)壓縮算法、Web優(yōu)化技術(shù)、WebCache技術(shù)、IPTunnel加速技術(shù),全面提升B/S應(yīng)用和C/S應(yīng)用的訪問(wèn)速度 | |
支持單邊加速功能,支持web服務(wù),TCP服務(wù),L3VPN服務(wù),遠(yuǎn)程應(yīng)用發(fā)布的單邊加速 | |
支持HTP高速傳輸協(xié)議,保證高丟包高延時(shí)環(huán)境下的快速訪問(wèn) | |
支持資源負(fù)載均衡,根據(jù)不同的權(quán)值實(shí)現(xiàn)負(fù)載接入,提高接入效率 | |
安全性 | 支持AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法,支持加載擴(kuò)展安全算法模塊 |
支持本地認(rèn)證、基于短信貓、短信網(wǎng)關(guān)的短信認(rèn)證(支持重發(fā)功能)(選配)、動(dòng)態(tài)令牌(選配)、硬件特征碼(自動(dòng)收集獲取、支持與身份多對(duì)多、支持批量導(dǎo)入導(dǎo)出和自動(dòng)審批、可分級(jí)管理)、有驅(qū)及無(wú)驅(qū)USB Key(選配)、第三方與自建CA、LDAP(讀取分組權(quán)限、手機(jī)號(hào)碼、虛擬IP)、RADIUS(讀取手機(jī)號(hào)碼、虛擬IP)等多種認(rèn)證方式的組合認(rèn)證,可支持5因素捆綁認(rèn)證;支持終端的基于IP和用戶名的防暴破登錄和多種密碼安全策略(數(shù)字字母組合的圖形驗(yàn)證碼、動(dòng)態(tài)變換的軟鍵盤、定時(shí)修改密碼、密碼強(qiáng)度、首次登陸修改密碼);獨(dú)有的專利技術(shù)主從綁定實(shí)現(xiàn)SSL VPN賬號(hào)與應(yīng)用系統(tǒng)賬號(hào)的唯一綁定 | |
支持安全桌面功能:利用安全桌面,強(qiáng)制受保護(hù)的指定資源僅可在安全桌面下使用;安全桌面下默認(rèn)僅可與SSLVPN通信,斷開互聯(lián)網(wǎng)鏈接;在安全桌面內(nèi)默認(rèn)禁止外網(wǎng)和本地局域網(wǎng)通訊,禁止和本機(jī)默認(rèn)桌面的通信,防止使用包括USB口設(shè)備、打印機(jī)等外設(shè)的信息外泄。退出安全桌面后清除安全桌面內(nèi)一切操作和遺留的痕跡,保證重要應(yīng)用使用的安全性。安全桌面根據(jù)用戶需要自行配置按用戶組、單獨(dú)用戶啟用;可配置安全桌面下可訪問(wèn)的指定網(wǎng)段;可配置允許使用COM端口、允許使用打印機(jī)、允許與切換到默認(rèn)桌面、允許本地通信;支持更換安全桌面壁紙、文件明文導(dǎo)出及審計(jì)、數(shù)據(jù)加密保存、離線訪問(wèn)等功能(選配) | |
支持客戶端安全配置權(quán)限控制,允許或禁止私用用戶自行配置密碼、手機(jī)號(hào)碼及用戶描述;支持客戶端注銷后自動(dòng)清除所有緩存、瀏覽器歷史記錄、保存的表單信息等,實(shí)現(xiàn)零痕跡訪問(wèn);可配置含Vista/Win7下的VPN專線功能 | |
支持進(jìn)行操作系統(tǒng)、文件、進(jìn)程、注冊(cè)表、用戶接入IP、登錄IP、登錄時(shí)間、接入終端等規(guī)則的“與或”組合進(jìn)行登錄前和登錄后的客戶端安全檢測(cè),可配置準(zhǔn)入和授權(quán)策略;支持客戶端安全策略庫(kù),并支持自動(dòng)升級(jí) | |
可配置匿名登錄用戶,只提供SSL加密隧道傳輸 | |
支持服務(wù)資源隱藏、URL地址偽裝 | |
實(shí)現(xiàn)針對(duì)資源的IP地址、端口、服務(wù)、URL級(jí)別等實(shí)現(xiàn)基于角色的細(xì)粒度權(quán)限分配功能 | |
支持基于狀態(tài)監(jiān)測(cè)的防火墻功能,支持防DoS攻擊;支持防火墻過(guò)濾規(guī)則在線虛擬測(cè)試 | |
支持開放數(shù)據(jù)庫(kù)給第三方;支持與第三方數(shù)據(jù)庫(kù)結(jié)合認(rèn)證 | |
易用性 | 支持B/S、C/S應(yīng)用的單點(diǎn)登錄,可允許用戶自行修改SSO登錄帳號(hào),支持NTLM、BASIC單點(diǎn)登錄 |
支持無(wú)插件的Web文件共享功能,僅通過(guò)Web頁(yè)面即可實(shí)現(xiàn)文件服務(wù)器的文件上傳、下載、復(fù)制、剪切、粘貼、重命名、新建文件夾等常用文件操作 | |
支持虛擬門戶功能,為不同的用戶配置獨(dú)立擁有IP、域名、認(rèn)證方式、訪問(wèn)資源等元素,實(shí)現(xiàn)更高隔離的安全性。 | |
支持遠(yuǎn)程應(yīng)用發(fā)布:只傳輸鼠標(biāo)、鍵盤操作和顯示數(shù)據(jù),無(wú)需安裝客戶端即可支持C/S模式軟件系統(tǒng)的遠(yuǎn)程使用。支持客戶端、服務(wù)端權(quán)限細(xì)化控制、遠(yuǎn)程存儲(chǔ),支持虛擬打印機(jī)、本地輸入法映射;支持遠(yuǎn)程應(yīng)用單點(diǎn)登錄(選配) | |
支持EMM企業(yè)移動(dòng)管理功能,包括設(shè)備注冊(cè)、數(shù)據(jù)擦除、企業(yè)應(yīng)用商店、APP安全加固等功能,保障客戶移動(dòng)業(yè)務(wù)安全 | |
支持系統(tǒng)托盤及懸浮窗口;支持SSL VPN開機(jī)自動(dòng)登錄、桌面快捷方式啟動(dòng)、C/S客戶端方式啟動(dòng);可配置用戶登錄后默認(rèn)服務(wù)頁(yè)面;支持自定義資源組、資源圖標(biāo)化顯示;管理員可在線對(duì)登錄用戶發(fā)布即時(shí)廣播消息 | |
支持User權(quán)限登錄正常使用SSL VPN;支持域控下發(fā)控件;支持ISA代理環(huán)境下無(wú)縫接入;支持內(nèi)網(wǎng)DNS | |
支持用戶、用戶組、各種資源的查詢和排行功能;支持資源導(dǎo)入導(dǎo)出,支持csv格式導(dǎo)出 | |
支持4套頁(yè)面模板和頁(yè)面完全定制,支持界面顏色、頁(yè)面標(biāo)題、LOGO、用戶公告信息自定義 | |
支持智能遞推功能,防止資源漏訪 | |
支持用戶/用戶組的流量管理、會(huì)話控制、超時(shí)時(shí)間設(shè)置、閑置時(shí)間設(shè)置;會(huì)話管理可全局配置 | |
支持LDAP、RADIUS分配虛擬IP,支持基于用戶、用戶組分配不同的虛擬IP | |
支持16級(jí)用戶分級(jí),支持下級(jí)組對(duì)上級(jí)組的角色、組屬性及認(rèn)證方式繼承 | |
穩(wěn)定性、可擴(kuò)展性 | 支持VPN隧道的斷線自動(dòng)重連;多線路部署下,客戶端可實(shí)時(shí)監(jiān)控隧道健康狀態(tài)并進(jìn)行隧道的線路間切換,切換過(guò)程中保持SSLVPN連接不中斷 |
支持高達(dá)253個(gè)站點(diǎn)集群功能,支持不同型號(hào)、低端型號(hào)設(shè)備集群(選配),支持集群設(shè)備間的Session同步,承載設(shè)備切換后用戶無(wú)需重新登錄SSLVPN;可擴(kuò)展異地分布式集群功能(選配) | |
可管理功能 | 支持管理員16級(jí)分級(jí)分權(quán)限管理,支持配置模塊、用戶/資源/角色的查看、配置權(quán)限授予不同管理員;支持用戶組流量、會(huì)話配置的強(qiáng)制繼承,支持用戶組屬性的強(qiáng)制繼承和可選繼承;支持管理員登錄IP限制 |
支持系統(tǒng)實(shí)時(shí)監(jiān)控,實(shí)時(shí)顯示CPU、內(nèi)存、硬盤、線路運(yùn)行狀態(tài),查看實(shí)時(shí)接入用戶會(huì)話數(shù)、發(fā)送/接收流速、發(fā)送/接收流量、接入時(shí)間等信息,并可在線中斷指定用戶;支持查看歷史最高并發(fā)用戶數(shù) | |
支持Web/CLI/SSH管理,支持Telnet管理;支持SNMP、Syslog;支持本地和遠(yuǎn)程備份及恢復(fù);支持SSLVPN配置的單獨(dú)備份及恢復(fù),支持配置的回滾 | |
支持獨(dú)立日志服務(wù)器提供多種日志類型,支持基于用戶、用戶組、流量、資源多因素的柱狀圖、曲線圖等多種報(bào)表,可定時(shí)發(fā)送報(bào)表;支持多臺(tái)設(shè)備日志統(tǒng)一到一臺(tái)日志服務(wù)器,支持日志服務(wù)器的管理員分級(jí)管理。 | |
IPSec功能 | 支持IPSec VPN,支持與第三方國(guó)際標(biāo)準(zhǔn)的IPSec VPN進(jìn)行對(duì)接 |
4.5 廣域網(wǎng)優(yōu)化WOC介紹
4.5.1 廣域網(wǎng)優(yōu)化產(chǎn)品簡(jiǎn)介
深信服2007年正式推出亞太地區(qū)首款廣域網(wǎng)優(yōu)化產(chǎn)品,也是業(yè)內(nèi)第一款集成應(yīng)用加速、流量削減、流量管理、加速VPN、應(yīng)用虛擬化等一體化的產(chǎn)品。推出至今通過(guò)持續(xù)創(chuàng)新,提升用戶體驗(yàn),目前已發(fā)展為中國(guó)廣域網(wǎng)優(yōu)化市場(chǎng)的領(lǐng)導(dǎo)者。
深信服廣域網(wǎng)優(yōu)化產(chǎn)品為中國(guó)最完整的廣域網(wǎng)優(yōu)化解決方案,具有協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jī)?yōu)化等多種技術(shù),能夠幫助用戶加快關(guān)鍵應(yīng)用的響應(yīng)速度,為用戶帶來(lái)更高的投資回報(bào)比,該產(chǎn)品在惡劣的網(wǎng)絡(luò)傳輸環(huán)境中的加速效果尤為明顯。
功能全面:深信服廣域網(wǎng)優(yōu)化產(chǎn)品擁有VPN、流量管理、流量削減、應(yīng)用加速、智能報(bào)表等多合一功能,幫助用戶提高廣域網(wǎng)帶寬資源的利用率。
價(jià)值最高:可大幅度提高關(guān)鍵業(yè)務(wù)系統(tǒng)的響應(yīng)速度;削減傳輸線路中60%~90%的冗余數(shù)據(jù),緩解帶寬壓力;在高時(shí)延,高丟包的鏈路環(huán)境下?lián)碛懈@著的加速效果。
品牌首選:擁有7項(xiàng)專利技術(shù);連續(xù)多年入圍Gartner WOC魔力象限和中央政府采購(gòu)名單;用戶數(shù)量超過(guò)2000 多家,囊括政府、金融、運(yùn)營(yíng)商、能源、教育、企業(yè)等各行業(yè)用戶。
4.5.2 產(chǎn)品功能列表
功能列表 | |
功能 分類 | 詳細(xì)指標(biāo) |
設(shè)備部署 | 支持路由、網(wǎng)關(guān)、單臂、網(wǎng)橋、網(wǎng)橋多線路等部署模式 |
支持集加速、流控、IPsec VPN、遠(yuǎn)程應(yīng)用發(fā)布一體化功能 | |
支持虛擬化版本,實(shí)現(xiàn)快速部署 | |
支持網(wǎng)橋部署建立VPN,無(wú)需更改網(wǎng)絡(luò)拓?fù)?,提高部署的易用?/span> | |
安全性 | 支持AES、DES、3DES、MD5、SHA1等算法,并且支持?jǐn)U展國(guó)密辦SM3、SM4等加密算法,保證數(shù)據(jù)安全 |
內(nèi)置基于狀態(tài)檢測(cè)的企業(yè)級(jí)防火墻功能,提供包過(guò)濾、URL過(guò)濾、訪問(wèn)監(jiān)控、DHCP服務(wù)等 | |
可對(duì)來(lái)自外部和內(nèi)部的DoS攻擊進(jìn)行有效防護(hù) | |
可根據(jù)設(shè)備本身的硬件信息生成證書,分支設(shè)備接入總部根據(jù)該證書進(jìn)行驗(yàn)證,防止非法網(wǎng)關(guān)的接入 | |
高速性 | 支持高速TCP和HTP傳輸協(xié)議,自適應(yīng)高延遲高丟包網(wǎng)絡(luò)環(huán)境 |
支持多磁盤、雙向、基于分片數(shù)據(jù)包的字節(jié)流緩存加速,支持共享流緩存功能,提高整體削減效果 | |
持TCP、CIFS、HTTP、HTTPS、FTP、POP3/SMTP、MAPI、Citrix、RDP、Oracle EBS(含Socket、HTTPS模式)協(xié)議的代理;支持對(duì)WEB、HTTPS、FTP、網(wǎng)上鄰居(含Kerberos模式)、Lotus Notes、Exchange(含2010版本Kerberos模式)、Oracle、MS-SQL、SAP、用友NC金蝶EAS等應(yīng)用的加速 | |
支持GZIP、LZO高速流壓縮算法 | |
支持UDP丟包優(yōu)化算法,通過(guò)對(duì)視頻會(huì)議傳輸鏈路優(yōu)化來(lái)提升視頻會(huì)議流暢效果 | |
基于應(yīng)用的精細(xì)化流量管理,保障核心應(yīng)用帶寬,封堵無(wú)關(guān)應(yīng)用,內(nèi)置2000多條應(yīng)用識(shí)別規(guī)則列表 | |
易用性 | 支持標(biāo)準(zhǔn)的網(wǎng)管協(xié)議SNMP,可采用配置向?qū)нM(jìn)行快速配置 |
支持超級(jí)管理員和受限管理員設(shè)置 | |
可查看系統(tǒng)信息,告警日志,錯(cuò)誤日志,調(diào)試日志等多種日志,支持獨(dú)立日志服務(wù)器,支持實(shí)時(shí)和歷史流量的察看、加速和非加速流量和會(huì)話的查看,可自動(dòng)生成報(bào)表,并發(fā)送到指定郵箱 | |
支持設(shè)備的自動(dòng)路徑發(fā)現(xiàn),支持WCCP、PBR、CDP、NQA | |
支持內(nèi)置數(shù)據(jù)中心,支持IP流量排行和應(yīng)用流量排行報(bào)表查看,并支持基于IP、應(yīng)用、加速用戶、設(shè)備進(jìn)行加速削減報(bào)表查看;為方便管理員定期查看,要求支持周期性生成PDF報(bào)表,通過(guò)郵件自動(dòng)發(fā)送給管理員 | |
支持集中管理,可集中管控、查看設(shè)備中關(guān)鍵功能模塊 | |
穩(wěn)定性 | 支持動(dòng)態(tài)IP,并采用主備份雙尋址系統(tǒng),可自建尋址服務(wù)器 |
可支持多達(dá)4條Internet線路的帶寬疊加和備份,增加穩(wěn)定性 | |
支持多線路的應(yīng)用選路,能夠?qū)崿F(xiàn)流量的分擔(dān)和負(fù)載功能,同時(shí)自動(dòng)檢查機(jī)制檢測(cè)線路,保障某一鏈路故障時(shí)的業(yè)務(wù)切換 | |
支持透明部署在專線中的,同時(shí)能夠基于互聯(lián)網(wǎng)線路建立專線備份線路,可自動(dòng)探測(cè)專線質(zhì)量若故障中斷可自動(dòng)切換到專線備份鏈路,保障業(yè)務(wù)的連續(xù)性 | |
擴(kuò)展性 | 內(nèi)置IPSEC VPN模塊,支持與第三方標(biāo)準(zhǔn)IPSec VPN進(jìn)行對(duì)接 |
內(nèi)置流控模塊,支持基于應(yīng)用的智能流控,實(shí)現(xiàn)廣域網(wǎng)流量整形 | |
支持通過(guò)在客戶端PC安裝PACC軟件實(shí)現(xiàn)移動(dòng)加速效果 | |
支持雙機(jī)備份,硬件ByPass功能(低端設(shè)備為可選) |
4.2 上網(wǎng)行為管理AC介紹
4.2.1 上網(wǎng)行為管理AC簡(jiǎn)介
2005年,深信服科技推出中國(guó)第一款專業(yè)上網(wǎng)行為管理產(chǎn)品,得益于深信服提供的專業(yè)上網(wǎng)行為管理技術(shù)和業(yè)界性能最強(qiáng)的處理平臺(tái),該產(chǎn)品的用戶數(shù)量已達(dá)13000多家,其中超過(guò)5000家為中高端客戶。正是由于客戶的大力支持,深信服上網(wǎng)行為管理產(chǎn)品才能獲得市場(chǎng)占有率第一,成為業(yè)界第一品牌。
2011年底,深信服根據(jù)市場(chǎng)需求,及時(shí)推出了業(yè)內(nèi)真正高性能大并發(fā)的萬(wàn)兆性能上網(wǎng)行為管理設(shè)備。采用最新的高性能硬件平臺(tái),獨(dú)立的內(nèi)存管理系統(tǒng),高度網(wǎng)絡(luò)處理架構(gòu)及最新的全業(yè)務(wù)識(shí)別引擎,深信服萬(wàn)兆性能上網(wǎng)行為管理產(chǎn)品滿足大企業(yè)、運(yùn)營(yíng)商、高效等高帶寬行業(yè)客戶需求,全面助力高帶寬場(chǎng)景下的上網(wǎng)行為管控。
4.2.2 產(chǎn)品功能列表
功能列表 | |
分類 | 詳細(xì)指標(biāo) |
部署模式 | 支持網(wǎng)橋、旁路等部署模式; |
設(shè)備管理 | 支持通過(guò)IE、Firefox等瀏覽器通過(guò)SSL加密WEB方式、SSH命令行方式管理設(shè)備;支持v1、v2、v3方式連接設(shè)備SNMP服務(wù);支持接口bypass功能;支持千兆和萬(wàn)兆,多模和單模的任意搭配;提供圖形化排障工具,便于管理員排查策略錯(cuò)誤等故障; |
設(shè)備部署 | 支持對(duì)網(wǎng)絡(luò)中IPv4/IPv6的流量進(jìn)行管理和控制;支持在IPv4/IPv6環(huán)境下的靜態(tài)路由功能;支持對(duì)IPv4/IPv6的L2TP、MPLS、PPPoE、QinQ的協(xié)議剝離,支持在L2TP、MPLS、PPPoE、QinQ環(huán)境中的行為管理; |
實(shí)時(shí)監(jiān)控 | 支持提供設(shè)備實(shí)時(shí)CPU、內(nèi)存、硬盤占有率、會(huì)話數(shù)、在線用戶數(shù)、系統(tǒng)時(shí)間、網(wǎng)絡(luò)接口等設(shè)備資源信息;支持實(shí)時(shí)提供在線用戶信息、應(yīng)用流量排名、連接排名、所有線路應(yīng)用流速趨勢(shì)、流量管理狀態(tài)、連接監(jiān)控信息等;支持實(shí)時(shí)查看各帶寬通道的使用情況; |
用戶管理 | 用戶默認(rèn)以IP作為用戶名添加到組織結(jié)構(gòu)中,用戶分組支持樹形結(jié)構(gòu),支持父組、子組、組內(nèi)嵌套組等;支持PPPoE、Web單點(diǎn)登錄,以單點(diǎn)登錄用戶名添加到組織結(jié)構(gòu)、簡(jiǎn)化用戶操作; |
網(wǎng)頁(yè)管控 | 內(nèi)置海量預(yù)分類的URL地址庫(kù),支持基于URL地址、搜索詞條、關(guān)鍵字過(guò)濾網(wǎng)頁(yè)訪問(wèn)行為;同時(shí)可基于關(guān)鍵字過(guò)濾網(wǎng)絡(luò)發(fā)帖行為,支持能看帖但不準(zhǔn)發(fā)帖等細(xì)致管控功能;對(duì)于未包含在URL庫(kù)里的其他海量網(wǎng)頁(yè)通過(guò)網(wǎng)頁(yè)智能識(shí)別管控; |
應(yīng)用識(shí)別 | 內(nèi)置支持1100種以上網(wǎng)絡(luò)主流應(yīng)用,2400條以上規(guī)則識(shí)別和管理IM、web IM、微博、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股、P2P、流媒體、遠(yuǎn)程控制、木馬、代理翻墻軟件等用戶常用網(wǎng)絡(luò)應(yīng)用;支持應(yīng)用更新版本后的主動(dòng)識(shí)別和控制; |
P2P智能識(shí)別 | 通過(guò)DPI技術(shù)識(shí)別BT、迅雷、電騾等30余種常見(jiàn)P2P應(yīng)用協(xié)議,利用智能P2P識(shí)別技術(shù)實(shí)現(xiàn)變種P2P、未知P2P應(yīng)用的全面識(shí)別和管理; |
流量管理 | 支持對(duì)IPv6流量進(jìn)行控制;支持虛擬線路、2級(jí)流控虛擬子通道等功能;可基于應(yīng)用類型、網(wǎng)站類型及用戶、時(shí)間、目標(biāo)IP等條件分配帶寬資源; |
上網(wǎng)審計(jì) | 記錄訪問(wèn)的網(wǎng)頁(yè)的URL地址審計(jì);記錄用戶明文發(fā)帖、微博內(nèi)容、支持記錄P2P、流媒體、炒股、網(wǎng)絡(luò)游戲、Telnet等應(yīng)用行為;支持記錄通過(guò)網(wǎng)頁(yè)上傳的文本內(nèi)容;支持記錄其他網(wǎng)絡(luò)行為,包括IP、端口等信息;支持記錄用戶在指定時(shí)間段內(nèi)產(chǎn)生的總流量和使用指定應(yīng)用的總流量;支持記錄管理員的操作日志、系統(tǒng)日志等; |
免審計(jì)Key | 避免對(duì)持有免審計(jì)Key人員的上網(wǎng)審計(jì),且免審計(jì)狀態(tài)不可由系統(tǒng)管理員私自變更(選配); |
日志審查Key | 管理過(guò)程記錄的各類審計(jì)日志,數(shù)據(jù)中心管理員需持日志審查Key才能查看詳細(xì)日志信息(選配); |
數(shù)據(jù)中心 | 支持內(nèi)置和獨(dú)立數(shù)據(jù)中心,海量存儲(chǔ)日志,可實(shí)現(xiàn)不同管理員根據(jù)自己的管理對(duì)象分級(jí)審計(jì); |
報(bào)表 | 支持多種報(bào)表,包括統(tǒng)計(jì)報(bào)表、趨勢(shì)報(bào)表、匯總報(bào)表、對(duì)比報(bào)表、自定義報(bào)表等;支持查看、導(dǎo)出報(bào)表,并定時(shí)發(fā)送到指定郵箱;實(shí)現(xiàn)用戶及用戶組的上網(wǎng)流量、行為的查詢、統(tǒng)計(jì)、排行等各類統(tǒng)計(jì)報(bào)表功能; |
內(nèi)容檢索 | 提供類似Google的日志檢索工具,管理者可輸入多個(gè)關(guān)鍵字實(shí)現(xiàn)對(duì)日志的快速定位,包括對(duì)日志附件正文內(nèi)容的檢索和定位;支持主題訂閱,自動(dòng)將檢索結(jié)果以Email形式發(fā)送到指定郵箱; |
4.3 應(yīng)用交付AD介紹
4.3.1 應(yīng)用交付AD簡(jiǎn)介
深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)橛脩舻膽?yīng)用發(fā)布提供包括多數(shù)據(jù)中心負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。配合性能優(yōu)化、單邊加速以及多重智能管理等技術(shù),實(shí)現(xiàn)對(duì)各個(gè)數(shù)據(jù)中心、鏈路以及服務(wù)器狀態(tài)的實(shí)時(shí)監(jiān)控,同時(shí)根據(jù)預(yù)設(shè)規(guī)則將用戶的訪問(wèn)請(qǐng)求分配給相應(yīng)的數(shù)據(jù)中心、鏈路以及服務(wù)器,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)流的合理分配,使所有的數(shù)據(jù)中心、鏈路和服務(wù)器都得到充分的利用。不僅擴(kuò)展應(yīng)用系統(tǒng)的整體處理能力,提高其穩(wěn)定性,更可切實(shí)改善用戶的訪問(wèn)體驗(yàn),降低組織的IT投資成本。
多合一負(fù)載均衡
功能全面:深信服應(yīng)用交付解決方案包含全局負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡三位一體,幫助用戶提高多數(shù)據(jù)中心、多鏈路、服務(wù)器資源的利用率。
高性價(jià)比:深信服AD系列應(yīng)用交付產(chǎn)品打破國(guó)外廠商壟斷,在無(wú)需購(gòu)買額外授權(quán)的情況下,一臺(tái)設(shè)備具備了三大負(fù)載均衡功能,并直接開通SSL加速、緩存、壓縮等眾多優(yōu)化功能,獲得超出業(yè)界同類產(chǎn)品的投資回報(bào)。
快速、智能
單邊加速功能:獨(dú)一無(wú)二的單邊加速功能,用戶客戶端無(wú)需安裝任何插件或軟件即可提升訪問(wèn)速度。打造穩(wěn)定智能的業(yè)務(wù)發(fā)布平臺(tái),使得用戶可以更快更穩(wěn)定地訪問(wèn)發(fā)布內(nèi)容。
商業(yè)智能分析:深信服AD應(yīng)用交付產(chǎn)品在保證數(shù)據(jù)交互穩(wěn)定性的前提下,不僅可以知悉組織網(wǎng)絡(luò)、服務(wù)器以及數(shù)據(jù)中心的運(yùn)行狀況,更可幫助組織分析自身的業(yè)務(wù)系統(tǒng)運(yùn)行狀況,進(jìn)而為高層的網(wǎng)絡(luò)優(yōu)化和業(yè)務(wù)優(yōu)化提供決策依據(jù)。
智能優(yōu)化技術(shù):DNS透明代理、鏈路/服務(wù)器擁塞繁忙保護(hù)、智能路由、短信/郵件智能告警技術(shù)進(jìn)一步提升各類資源的利用率,增強(qiáng)用戶的訪問(wèn)體驗(yàn)。
4.3.2 產(chǎn)品功能列表
功能分類 | 詳細(xì)指標(biāo) |
部署與管理 | 支持路由模式、旁路模式(單臂/多臂模式、三角模式) |
支持雙機(jī)熱備部署以及多臺(tái)設(shè)備組成集群部署,并支持多種高可用性模式,包括A/A模式,A/S模式,M+N模式等組合 | |
支持在一臺(tái)高端設(shè)備上劃分配置多個(gè)虛擬vAD設(shè)備,按需分配給多個(gè)租戶使用,vAD之間相互隔離,不受影響 | |
內(nèi)置告警系統(tǒng), 可自定義告警觸發(fā)事件,在出現(xiàn)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全問(wèn)題時(shí)自動(dòng)發(fā)送郵件和短信。 | |
支持全中文管理界面和HTTPS方式登錄、用戶角色管理、多級(jí)授權(quán)管理;支持SNMP管理,SSH CLI,中心端集中管理 | |
鏈路負(fù)載 | 支持智能DNS解析功能;支持DNS內(nèi)網(wǎng)記錄,支持A記錄、CNAME記錄、MX記錄和TXT記錄類型 |
支持輪詢、加權(quán)輪詢、加權(quán)最小連接、加權(quán)最小流量、帶寬比例、哈希、主備、首個(gè)可用等負(fù)載均衡算法 | |
支持基于域名鏈路負(fù)載均衡策略,實(shí)現(xiàn)域名與公網(wǎng)IP多對(duì)一的關(guān)系 | |
支持RIP v1、RIP v2、OSPF等動(dòng)態(tài)路由協(xié)議 | |
支持智能路由,根據(jù)用戶需求定制負(fù)載策略,可基于訪問(wèn)目的域名選擇出站鏈路,自定義時(shí)間段實(shí)現(xiàn)對(duì)智能路由的時(shí)間段控制 | |
可同時(shí)實(shí)現(xiàn)Inbound和Outbound流量的負(fù)載均衡 | |
支持鏈路擁塞控制技術(shù)和DNS透明代理技術(shù),解決鏈路使用不均衡問(wèn)題,提升鏈路利用率 | |
支持單邊加速技術(shù),不需要在客戶端安裝任何軟件或插件即可提升用戶的訪問(wèn)速度 | |
針對(duì)多條ISP鏈路,同時(shí)支持動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)就近性和以地址段判斷的靜態(tài)就近性判斷,并以此為依據(jù)選擇最優(yōu)的ISP鏈路 | |
提供多種可疊加的鏈路健康檢查方法,能將發(fā)生故障的鏈路流量透明的轉(zhuǎn)移到其他可用鏈路 | |
應(yīng)用負(fù)載 | 支持完善的L4/L7內(nèi)容交換與負(fù)載均衡策略,可針對(duì)不同的業(yè)務(wù)應(yīng)用系統(tǒng)劃分配置成多個(gè)虛擬服務(wù) |
支持服務(wù)器溫暖上線和平滑退出,便于維護(hù)管理;支持服務(wù)器最大連接限制和并發(fā)限制,避免服務(wù)器過(guò)載 | |
支持基于SNMP、ICMP、UDP、TCP、DNS、RADIUS、HTTP、數(shù)據(jù)庫(kù)(MYSQL/MSSQL/Oracle)及自定義健康檢查方式 | |
支持基于TCP和HTTP的被動(dòng)式健康檢查,通過(guò)對(duì)業(yè)務(wù)流持續(xù)觀測(cè)來(lái)判定服務(wù)器節(jié)點(diǎn)是否有效 | |
支持基于TCP行為觀測(cè)的調(diào)控機(jī)制,當(dāng)判斷出服務(wù)器性能不足時(shí)對(duì)其過(guò)載保護(hù),實(shí)現(xiàn)應(yīng)用系統(tǒng)彈性負(fù)載 | |
支持浪涌保護(hù),對(duì)于超過(guò)服務(wù)器性能上限的新建連接在負(fù)載均衡器上緩存起來(lái)放入隊(duì)列中緩慢發(fā)給服務(wù)器,不直接丟棄數(shù)據(jù) | |
支持圖片優(yōu)化技術(shù),將網(wǎng)頁(yè)中的圖片做優(yōu)化處理,保證圖片清晰度的同時(shí)減少圖片文件大小,提高傳輸速率 | |
支持HTTP請(qǐng)求/應(yīng)答改寫、HTTP/HTTPS請(qǐng)求內(nèi)容匹配、頁(yè)面跳轉(zhuǎn)、丟棄等高級(jí)調(diào)度策略 | |
支持SSL加速、HTTP壓縮、內(nèi)存緩存、連接復(fù)用技術(shù),提升用戶訪問(wèn)速度,同時(shí)節(jié)省硬件投資成本 | |
支持輪詢、加權(quán)輪詢、加權(quán)最小連接、哈希、動(dòng)態(tài)反饋、最快響應(yīng)、UDP強(qiáng)行負(fù)載、優(yōu)先級(jí)等負(fù)載均衡算法 | |
支持基于源IP、Cookie(插入/ 被動(dòng)/ 改寫)、HTTP (Header/ Body)、RADIUS、SSL Session ID的會(huì)話保持技術(shù) | |
支持對(duì)Oracle、SQL Server數(shù)據(jù)庫(kù)和Weblogic中間件的關(guān)鍵性能指標(biāo)做詳細(xì)監(jiān)控,提供可視化性能分析報(bào)表 | |
支持針對(duì)Web服務(wù)器的漏洞掃描,根據(jù)漏洞識(shí)別庫(kù)進(jìn)行對(duì)比分析,幫助客戶找出潛在風(fēng)險(xiǎn) | |
全局負(fù)載 | 支持輪詢、加權(quán)輪詢、首個(gè)可用、哈希、加權(quán)最小連接、靜態(tài)就近性、動(dòng)態(tài)就近性、加權(quán)最小流量、返回所有IP、返回備用IP、拒絕、丟棄等策略 |
支持全部及部分設(shè)備的配置同步,支持手動(dòng)創(chuàng)建還原點(diǎn)和從還原點(diǎn)還原配置文件 | |
支持手動(dòng)創(chuàng)建還原點(diǎn)和從還原點(diǎn)還原配置文件 | |
支持統(tǒng)計(jì)各個(gè)數(shù)據(jù)中心的訪問(wèn)次數(shù)和按LDNS來(lái)源分類的訪問(wèn)次數(shù) | |
支持查看遠(yuǎn)端數(shù)據(jù)中心的報(bào)表數(shù)據(jù) | |
商業(yè)智能分析 | 統(tǒng)計(jì)鏈路的使用率及鏈路上應(yīng)用的分布情況(包括上行和下行) |
統(tǒng)計(jì)多條鏈路上各服務(wù)的連接次數(shù) | |
統(tǒng)計(jì)鏈路上的各服務(wù)的IP訪問(wèn)次 | |
統(tǒng)計(jì)節(jié)點(diǎn)池和節(jié)點(diǎn)的流量、新建連接數(shù)、并發(fā)連接數(shù) | |
支持對(duì)鏈路穩(wěn)定性和服務(wù)器穩(wěn)定性進(jìn)行統(tǒng)計(jì) | |
支持查詢服務(wù)器節(jié)點(diǎn)的異常狀態(tài)信息,并提供分析出的可能故障原因 |
4.6 集中管理平臺(tái)SC介紹
4.6.1 集中管理平臺(tái)簡(jiǎn)介
隨著信息化建設(shè)的不斷擴(kuò)張,面對(duì)設(shè)備數(shù)量較多、地域分布廣的網(wǎng)絡(luò)部署,如何高效、快速的對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理,成為系統(tǒng)管理人員首要考慮的問(wèn)題。
深信服推出了集中管理平臺(tái)SC產(chǎn)品,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的上網(wǎng)行為管理產(chǎn)品和VPN產(chǎn)品進(jìn)行集中式統(tǒng)一的管理,管理人員只需簡(jiǎn)單幾步的操作即可對(duì)分布各地的網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控、策略下發(fā)、日志查詢和升級(jí)維護(hù)等。集中管理平臺(tái)支持強(qiáng)、弱管理結(jié)合,分支機(jī)構(gòu)能夠在總部下發(fā)的策略配置模板中,根據(jù)實(shí)際情況進(jìn)行細(xì)微調(diào)整,貼合管理需求。通過(guò)部署深信服集中管理平臺(tái),能夠有效提高網(wǎng)絡(luò)管理效率,降低管理成本,減輕管理員負(fù)擔(dān)。
4.6.2 產(chǎn)品功能列表
功能列表 | |
分類 | 詳細(xì)指標(biāo) |
部署模式 | 支持網(wǎng)關(guān)模式和單臂模式; |
設(shè)備管理 | 支持Web、CLI、SSH等管理方式;支持分級(jí)新建受控網(wǎng)點(diǎn)區(qū)域,并實(shí)現(xiàn)網(wǎng)點(diǎn)區(qū)域的嵌套管理;支持快速導(dǎo)入、自動(dòng)生成的網(wǎng)點(diǎn)帳戶建立方式;支持管理員分權(quán)分域管理; |
實(shí)時(shí)監(jiān)控 | 支持所有在線網(wǎng)點(diǎn)上傳的應(yīng)用流量信息、當(dāng)前用戶流量信息排行;支持顯示所有在線網(wǎng)點(diǎn)的內(nèi)置庫(kù)版本信息、規(guī)則庫(kù)狀態(tài); |
配置 | 支持對(duì)單臺(tái)或多臺(tái)設(shè)備及移動(dòng)客戶端的配置管理;支持對(duì)單臺(tái)或多臺(tái)設(shè)備及移動(dòng)客戶端進(jìn)行統(tǒng)一升級(jí),并可自定義任務(wù)計(jì)劃;支持升級(jí)包斷點(diǎn)續(xù)傳功能;支持設(shè)備配置復(fù)制;支持分支上傳配置; |
網(wǎng)點(diǎn)監(jiān)控 | 支持即時(shí)查看受控設(shè)備狀態(tài),包括CPU、內(nèi)存、磁盤占用,以及內(nèi)外網(wǎng)接口流量等信息;支持受控設(shè)備異常情況的即時(shí)查看;支持即時(shí)查看受控設(shè)備的版本信息及同步情況;支持即時(shí)查看整網(wǎng)受控設(shè)備的運(yùn)行情況及鏈路狀態(tài);支持拓?fù)鋵?dǎo)出,并根據(jù)網(wǎng)點(diǎn)運(yùn)行情況實(shí)時(shí)更新整網(wǎng)拓?fù)洌鶕?jù)不同顏色標(biāo)示各網(wǎng)點(diǎn)狀態(tài),點(diǎn)擊網(wǎng)點(diǎn)可查看網(wǎng)點(diǎn)狀態(tài); |
安全 | 支持本地用戶名/密碼認(rèn)證;支持硬件DKEY認(rèn)證;支持基于硬件HARD CA身份認(rèn)證,實(shí)現(xiàn)管理員賬號(hào)與接入計(jì)算機(jī)硬件信息進(jìn)行捆綁認(rèn)證,并可同一帳號(hào)綁定多臺(tái)計(jì)算機(jī)硬件信息來(lái)方便管理人員登陸;支持IP認(rèn)證功能,可以指定管理員登陸設(shè)備的IP地址范圍及時(shí)間段;支持第三方的LDAP、Radius認(rèn)證;支持內(nèi)置備份數(shù)據(jù)庫(kù),可制定數(shù)據(jù)備份時(shí)間以進(jìn)行自動(dòng)備份; |
日志 | 內(nèi)置日志中心,詳細(xì)記錄管理員操作日志及系統(tǒng)日志信息;支持受控設(shè)備日志上傳;支持同步受控端數(shù)據(jù)中心的日志到同一個(gè)外置數(shù)據(jù)中心,支持對(duì)內(nèi)網(wǎng)中所有受控端日志的統(tǒng)計(jì)、排行和導(dǎo)出; |
告警 | 支持對(duì)受控端的網(wǎng)點(diǎn)離線告警、網(wǎng)點(diǎn)開直通告警和配置下發(fā)失敗告警 |
數(shù)據(jù)中心 | 支持以柱狀圖顯示所有連接線路的上下行流量,可根據(jù)網(wǎng)點(diǎn)分布情況進(jìn)行篩選查詢和輸出報(bào)表,可設(shè)置TOP N排行中的多少名排行,點(diǎn)擊詳細(xì)可提供一天流量變化趨勢(shì)圖;支持顯示包括受控端連接在內(nèi)的所有網(wǎng)點(diǎn)VPN連通時(shí)間,可選擇區(qū)域進(jìn)行柱狀圖顯示,可根據(jù)聯(lián)通時(shí)間、斷開次數(shù)、時(shí)間、TOP N進(jìn)行組合查詢,點(diǎn)擊詳情可顯示每天VPN連接時(shí)間柱狀圖;支持查看具體一天中失敗的具體原因;可根據(jù)區(qū)域網(wǎng)點(diǎn)、時(shí)間、登錄時(shí)間最長(zhǎng)來(lái)輸出報(bào)表,通過(guò)詳情可查看那些賬號(hào)沒(méi)有登錄,那些賬號(hào)登錄時(shí)間較長(zhǎng)。 |
4.7 WLAN產(chǎn)品介紹
4.7.1 WLAN產(chǎn)品簡(jiǎn)介
深信服萬(wàn)兆系列無(wú)線控制器是深信服自主研發(fā)的集中管理無(wú)線接入點(diǎn)的控制設(shè)備,集防火墻,用戶認(rèn)證服務(wù)器,證書頒發(fā)中心,無(wú)線射頻管理軟于一體。具有多元化的認(rèn)證方式,精細(xì)化的用戶管理,協(xié)議優(yōu)化,射頻優(yōu)化,二三層漫游,靈活的Q0S控制,本地轉(zhuǎn)發(fā)、應(yīng)用識(shí)別管控等功能。能夠減少企業(yè)部署復(fù)雜度,降低企業(yè)部署成本,為客戶打造安全、快速、可運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)。
配合深信服無(wú)線AP系列,定位于大型WLAN接入業(yè)務(wù),如:企業(yè)、商超連鎖、校園、酒店、醫(yī)院等高速的wifi應(yīng)用場(chǎng)景。
更安全
? 更全面的安全
n 端到端防護(hù),全面保障無(wú)線業(yè)務(wù)安全
除了數(shù)據(jù)加密、身份認(rèn)證、攻擊防護(hù)等傳統(tǒng)安全措施以外,額外提供精細(xì)化授權(quán)、企業(yè)級(jí)防火墻與內(nèi)置CA等高級(jí)安全特性,構(gòu)建端到端的無(wú)線安全架構(gòu)。
n 更安全的專業(yè)模塊
無(wú)需額外搭建CA證書服務(wù)器,內(nèi)置CA快速構(gòu)建更可靠的無(wú)線安全認(rèn)證體系;
內(nèi)置企業(yè)級(jí)防火墻。
n 更精細(xì)的認(rèn)證與授權(quán)
支持預(yù)共享密鑰、portal、802.1x、CA證書、短信、微信、二維碼等多種用戶認(rèn)證機(jī)制;
支持基于用戶身份、終端類型、地理位置、時(shí)間等不同使用環(huán)境的訪問(wèn)許可和流量策略。
n 全面的終端識(shí)別、應(yīng)用識(shí)別、URL識(shí)別
基于接入終端類型、操作系統(tǒng)的精細(xì)化識(shí)別,并作相應(yīng)控制。
能精確識(shí)別無(wú)線流量屬于具體的什么應(yīng)用,設(shè)備內(nèi)置應(yīng)用識(shí)別規(guī)則庫(kù),支持超過(guò)1500種以上的應(yīng)用,并保持每?jī)蓚€(gè)星期更新一次,保證應(yīng)用識(shí)別的準(zhǔn)確率,
設(shè)備內(nèi)置海量預(yù)分類的URL地址庫(kù),支持根據(jù)URL類別實(shí)現(xiàn)URL控制。有效的豐富了無(wú)線網(wǎng)絡(luò)應(yīng)用層的管理。
? 更便捷的安全
n 802.1X認(rèn)證一鍵配置
無(wú)需依賴IT人員的協(xié)助,用戶通過(guò)web界面下載安全配置工具,一鍵即能完成802.1x的自動(dòng)配置,簡(jiǎn)單便捷的加入到企業(yè)安全架構(gòu)中。
n 用戶和終端自動(dòng)綁定
可實(shí)現(xiàn)用戶首次登錄時(shí),系統(tǒng)自動(dòng)完成賬號(hào)與終端MAC綁定,無(wú)需管理員參與,實(shí)現(xiàn)“人-機(jī)”唯一對(duì)應(yīng)。同時(shí),針對(duì)用戶擁有多種終端的情況,可實(shí)現(xiàn)用戶與多終端綁定關(guān)系,防止越權(quán)訪問(wèn),加強(qiáng)安全性。
? 訪客管理便捷
n 二維碼訪客認(rèn)證—助企業(yè)提升品牌形象
內(nèi)置二維碼認(rèn)證模塊,訪客連接WiFi后,內(nèi)網(wǎng)系統(tǒng)向訪客終端自動(dòng)推送二維碼,內(nèi)部接待員工掃一掃,系統(tǒng)通過(guò)認(rèn)證返回提示,只需簡(jiǎn)單2步即可完成認(rèn)證過(guò)程。
更快速
? 協(xié)議棧加速
針對(duì)協(xié)議棧加速,提升傳輸效率。針對(duì)干擾的無(wú)線網(wǎng)絡(luò)環(huán)境下,無(wú)線網(wǎng)絡(luò)速度提升2到8倍,解決無(wú)線網(wǎng)絡(luò)由于干擾導(dǎo)致的無(wú)線傳輸速率低、丟包等網(wǎng)絡(luò)質(zhì)量問(wèn)題。同時(shí),客戶端無(wú)需安裝任何插件,對(duì)用戶側(cè)透明。
? 智能射頻優(yōu)化
當(dāng)部署的AP功率太大會(huì)干擾到周圍的其他無(wú)線設(shè)備,同時(shí)浪費(fèi)電能和增加輻射;但是AP功率太小,無(wú)法滿足覆蓋要求。由于無(wú)線射頻環(huán)境是動(dòng)態(tài)變化的,所以深信服千兆系列無(wú)線控制器能夠?qū)P實(shí)現(xiàn)射頻智能功率調(diào)整,改善射頻環(huán)境。同時(shí),也能夠?qū)ぷ餍诺肋M(jìn)行調(diào)整,有效的避開干擾信道。
? 智能負(fù)載均衡
能夠根據(jù)AP當(dāng)前的負(fù)載情況及其他條件(如:流量、接入人數(shù)、頻段等),控制終端的接入,達(dá)到無(wú)線網(wǎng)絡(luò)負(fù)載均衡,提高網(wǎng)絡(luò)吞吐量和服務(wù)質(zhì)量的目的。終端請(qǐng)求接入某個(gè)AP,無(wú)線控制器根據(jù)該AP與鄰居AP的負(fù)載,決定是否允許新的客戶端接入,終端可自動(dòng)連接其他空閑AP,達(dá)到負(fù)載分擔(dān)的效果。
? 平均帶寬分配
由于所有終端搶到的空口機(jī)會(huì)差不多相等,高速率終端每次快速發(fā)完自己的數(shù)據(jù)后都要等待低速終端慢騰騰的發(fā)完它的數(shù)據(jù),所以,高速率終端的性能基本上與低速率終端的性能是一樣的,顯然,整體的性能也被大幅拉了下來(lái)。所以,當(dāng)環(huán)境中存在低速率用戶時(shí),需降低其對(duì)整體性能的影響。因此深信服無(wú)線控制器支持用戶平均分配帶寬,根據(jù)時(shí)間公平算法,防止單個(gè)用戶拉低網(wǎng)絡(luò)整體速度。
可運(yùn)營(yíng)
? 大屏顯示
內(nèi)置大屏顯示功能,能夠顯示實(shí)時(shí)狀態(tài),每個(gè)AP位置、接入用戶數(shù),接入用戶的用戶名。
? 智能頁(yè)面推送
能夠自定義頁(yè)面推送,可以基于SSID,AP,用戶組去推送不同的頁(yè)面。并且也能夠?qū)崿F(xiàn)認(rèn)證前推送以及認(rèn)證后推送。并且終端自適應(yīng)技術(shù)能夠保障終端頁(yè)面自適應(yīng),提高了用戶體驗(yàn)。
? 短信認(rèn)證—內(nèi)置廣告推送中心,實(shí)現(xiàn)定向營(yíng)銷
內(nèi)置短信認(rèn)證模塊, 終端連接WiFi后,通過(guò)接收短信獲取驗(yàn)證碼,快速認(rèn)證,方便快捷。同時(shí),用戶通過(guò)短信認(rèn)證上網(wǎng),支持手機(jī)號(hào)采集與導(dǎo)出,為商業(yè)營(yíng)銷及分析提供依據(jù);在用戶接入無(wú)線網(wǎng)絡(luò)時(shí),根據(jù)用戶名、用戶組、位置的區(qū)別進(jìn)行個(gè)性化通知和廣告推送;支持WiFi在線時(shí)長(zhǎng)管理,促進(jìn)用戶互動(dòng),同時(shí)防止蹭網(wǎng)、長(zhǎng)時(shí)間在線等方式造成資源耗用
? 微信認(rèn)證—為企業(yè)微信公眾賬號(hào)加油
內(nèi)置微信認(rèn)證模塊,通過(guò)獨(dú)有的應(yīng)用識(shí)別進(jìn)行微信識(shí)別,認(rèn)證前放通微信流量,待訪客終端關(guān)注某官方微信過(guò)后,通過(guò)微信進(jìn)行認(rèn)證上網(wǎng)。并且后期可以通過(guò)此微信推送廣告,達(dá)到良好的營(yíng)銷效果。
4.7.2 產(chǎn)品功能列表
802.11mac | 802.11協(xié)議簇 | 支持802.11a/b/g/n模式 |
虛擬AP | 支持 | |
隱藏SSID | 支持 | |
多國(guó)家碼部署 | 支持 | |
功率、信道調(diào)整 | 具備自動(dòng)和手動(dòng)兩種方式調(diào)整功能 | |
用戶在線檢測(cè) | 支持 | |
無(wú)線用戶隔離 | 具備二層隔離和基于SSID的隔離功能 | |
無(wú)線用戶強(qiáng)制斷連 | 支持 | |
多SSID個(gè)數(shù) | 32 | |
用戶無(wú)流量自動(dòng)老化 | 支持 | |
在線檢測(cè) | 具備AP和用戶在線檢測(cè)功能 | |
40MHz模式的20MHz/40MHz自動(dòng)切換 | 支持 | |
防火墻 | 新建連接數(shù) | |
并發(fā)連接數(shù) | ||
數(shù)據(jù)轉(zhuǎn)發(fā) | 本地轉(zhuǎn)發(fā) | 支持:具備SSID+VLAN的本地轉(zhuǎn)發(fā) |
集中轉(zhuǎn)發(fā) | 支持 | |
部分集中轉(zhuǎn)發(fā)部分本地轉(zhuǎn)發(fā) | 支持 | |
漫游 | 二層漫游 | 支持 |
三層漫游 | 支持 | |
IP | DHCP | 支持DHCP Client,DHCP服務(wù)器,DHCP中繼,DHCP Snooping |
NAT | 支持 | |
DNS代理 | 支持 | |
靜態(tài)路由 | 支持 | |
策略路由 | 支持 | |
三層物理端口鏈路檢測(cè) | 支持 | |
二層 | 鏈路聚合 | 支持 |
鏈路狀態(tài)檢測(cè) | 支持 | |
ARP代理 | 支持 | |
802.1x | 支持 | |
流量管理 | 基于單用戶 | 實(shí)現(xiàn)基于單用戶的上下行流量管控 |
基于應(yīng)用 | 實(shí)現(xiàn)基于應(yīng)用的流量保障 | |
基于終端類型 | 實(shí)現(xiàn)基于終端類型(手機(jī)、電腦等)的流量管控 | |
基于終端操作系統(tǒng) | 能夠?qū)崿F(xiàn)基于終端操作系統(tǒng)(安卓、IOS、windows phone等)的流量管控 | |
基于不同無(wú)線網(wǎng)絡(luò) | 滿足基于不同無(wú)線網(wǎng)絡(luò)進(jìn)行帶寬權(quán)重分配 | |
單用戶流量限速 | 可基于不同SSID靈活設(shè)置 | |
802.11e/WMM | 可基于不同SSID靈活設(shè)置 | |
射頻管理 | 功率自動(dòng)調(diào)整 | 支持 |
功率手動(dòng)調(diào)整 | AP可手動(dòng)功率調(diào)整,調(diào)整粒度為1dBm,調(diào)整范圍為1dBm~國(guó)家規(guī)定功率范圍 | |
信道自動(dòng)調(diào)整 | 支持 | |
AP負(fù)載均衡 | 多個(gè)AP間實(shí)現(xiàn)負(fù)載均衡,在雙頻情況下,實(shí)現(xiàn)2.4G和5G的雙頻負(fù)載 | |
無(wú)線防廣播泛洪(arp代理) | 支持 | |
安全防御 | DoS攻擊防御 | 支持 |
WIPS | 支持 | |
接入認(rèn)證 | 認(rèn)證類型 | 支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、開放式+web認(rèn)證、WPA-PSK/WPA2-PSK+web認(rèn)證、WPA(企業(yè))、WPA2(企業(yè))、WPA/WPA2(企業(yè)) |
二維碼認(rèn)證 | 訪客終端接入無(wú)線網(wǎng)絡(luò)后,終端自動(dòng)彈出二維碼頁(yè)面,企業(yè)審核人通過(guò)手機(jī)掃描訪客終端二維碼,訪客即可上網(wǎng)。 | |
微信認(rèn)證 | 用戶接入無(wú)線后關(guān)注指定微信賬號(hào)(商戶或企業(yè)官方帳號(hào))即可實(shí)現(xiàn)上網(wǎng)。增加商家/企業(yè)關(guān)注度,提供后續(xù)營(yíng)銷平臺(tái)。 | |
短信認(rèn)證 | 用戶接入網(wǎng)絡(luò)后彈出認(rèn)證頁(yè)面,用戶輸入手機(jī)號(hào)碼以獲取驗(yàn)證碼,輸入驗(yàn)證碼后可以實(shí)現(xiàn)正常上網(wǎng)。 | |
臨時(shí)訪客認(rèn)證 | 內(nèi)置臨時(shí)用戶信息管理系統(tǒng),臨時(shí)用戶在有效期內(nèi)可以登錄,超過(guò)有效期無(wú)法登錄;內(nèi)置臨時(shí)賬號(hào)管理的二級(jí)權(quán)限系統(tǒng),該系統(tǒng)僅能進(jìn)行臨時(shí)帳號(hào)的創(chuàng)建、管理功能 | |
證書認(rèn)證 | 支持內(nèi)置CA證書頒發(fā)中心,無(wú)需額外搭建證書服務(wù)器,同時(shí)支持外部證書服務(wù)器導(dǎo)入證書認(rèn)證 | |
加密方式 | 支持TKIP和AES | |
MAC+用戶名綁定 | 具備自動(dòng)綁定和管理員審核功能 | |
域計(jì)算機(jī)認(rèn)證 | 支持 | |
EAP類型 | 支持中繼模式、終結(jié)EAP-PEAP模式、終結(jié)EAP-TLS模式 | |
支持使用本地?cái)?shù)據(jù)庫(kù) | 支持 | |
使用LDAP服務(wù)器作為認(rèn)證服務(wù)器 | 用戶實(shí)時(shí)同步 | |
MAC靜態(tài)白名單 | 支持 | |
MAC靜態(tài)黑名單 | 支持 | |
動(dòng)態(tài)黑名單 | 支持 | |
智能識(shí)別 | 應(yīng)用識(shí)別 | 能精確識(shí)別無(wú)線流量屬于具體的什么應(yīng)用,設(shè)備內(nèi)置應(yīng)用識(shí)別規(guī)則庫(kù),支持超過(guò)1500種以上的應(yīng)用,并保持每?jī)蓚€(gè)星期更新一次,保證應(yīng)用識(shí)別的準(zhǔn)確率 |
URL識(shí)別 | 設(shè)備內(nèi)置海量預(yù)分類的URL地址庫(kù),支持根據(jù)URL類別實(shí)現(xiàn)URL控制 | |
終端識(shí)別 | 能識(shí)別接入終端的類型、操作系統(tǒng),并作相應(yīng)控制 | |
應(yīng)用流量查詢 | 能查看基于應(yīng)用的實(shí)時(shí)和一段時(shí)間的流量情況 | |
授權(quán)管理 | 多角度的角色分配 | 基于用戶帳號(hào)/SSID/區(qū)域/接入終端的角色分配管理 |
基于終端類型的權(quán)限控制 | 實(shí)現(xiàn)基于終端類型如手機(jī)、電腦、平板等的靈活權(quán)限管控 | |
基于操作系統(tǒng)類型的權(quán)限控制 | 實(shí)現(xiàn)基于終端操作系統(tǒng)如安卓、IOS、windows phone等的靈活權(quán)限管控 | |
基于具體應(yīng)用的權(quán)限控制 | 實(shí)現(xiàn)基于具體應(yīng)用如QQ、迅雷、P2P等的權(quán)限控制 | |
基于用戶角色的訪問(wèn)權(quán)限控制 | 支持 | |
以ssid為單位靈活配置規(guī)則確定用戶的用戶角色 | 支持 | |
以ssid為單位靈活配置規(guī)則確定用戶的vlan | 支持 | |
備份 | 雙機(jī)1+1熱備 | 支持 |
AC間AP快速切換 | 支持 | |
雙機(jī)配置同步 | 支持 | |
備份配置和備份恢復(fù) | 支持 | |
實(shí)時(shí)狀態(tài)顯示 | 流量歷史查詢 | 支持WAC及AP歷史流量查詢 |
local wac狀態(tài)顯示 | 支持系統(tǒng)狀態(tài)顯示 | |
動(dòng)態(tài)黑名單顯示 | 支持 | |
AP在線、離線提醒 | 支持 | |
在線用戶信息顯示 | 支持 | |
網(wǎng)絡(luò)攻擊實(shí)時(shí)告警 | 支持 | |
接口狀態(tài)告警 | 支持 | |
雙機(jī)切換告警 | 支持 | |
AP信息顯示 | 支持 | |
射頻信息顯示 | 支持 | |
WLAN信息顯示 | 支持 | |
系統(tǒng)日志查詢 | 支持 | |
熱點(diǎn)分析 | 依據(jù)用戶顯示繁忙或空閑AP | 支持 |
依據(jù)流量顯示繁忙或空閑AP | 支持 | |
顯示信號(hào)好和信號(hào)差的AP | 支持 | |
網(wǎng)管與配置 | WEB UI 配置 通過(guò)HTTPS訪問(wèn) | 支持 |
AP升級(jí)計(jì)劃 | 支持 | |
記錄用戶上線、下線信息 | 支持 | |
日志管理 | 具備查看和導(dǎo)出系統(tǒng)日志功能 | |
策略故障排除功能 | 支持 | |
自動(dòng)更新升級(jí) | 支持 | |
重啟設(shè)備、重啟服務(wù) | 支持 | |
配置時(shí)間日期、NTP服務(wù) | 支持 | |
配置管理員帳號(hào) | 支持 | |
配置序列號(hào) | 支持 | |
工堪管理 | 內(nèi)置工堪圖管理軟件 | 通過(guò)導(dǎo)入部署地場(chǎng)景圖,在場(chǎng)景圖上設(shè)置相應(yīng)參數(shù),然后自動(dòng)或是手動(dòng)的生成無(wú)線網(wǎng)絡(luò)部署熱點(diǎn)分析圖 |
大屏顯示 | 顯示AP實(shí)時(shí)動(dòng)態(tài)信息 | 每個(gè)AP位置、接入用戶數(shù),近十個(gè)接入用戶的用戶名 |
建筑圖導(dǎo)入 | 支持手動(dòng)調(diào)整背景,導(dǎo)入建筑圖,自由布放AP示意點(diǎn)位置 | |
頁(yè)面推送 | 根據(jù)SSID推送 | 能夠根據(jù)不同SSID推送不同頁(yè)面 |
根據(jù)AP推送 | 能夠根據(jù)不同AP推送不同頁(yè)面 | |
自定義portal界面 | 具備自定義動(dòng)態(tài)頁(yè)面功能 | |
根據(jù)用戶組推送 | 能夠根據(jù)不同用戶組推送不同頁(yè)面 | |
認(rèn)證前后區(qū)別推送 | 能夠在認(rèn)證前和認(rèn)證后推送不同頁(yè)面 | |
終端自適應(yīng)技術(shù) | 能夠根據(jù)不同終端推送不同頁(yè)面,而且可以推送合適匹配終端的尺寸頁(yè)面 | |
網(wǎng)絡(luò)加速 | 協(xié)議棧加速 | 針對(duì)協(xié)議棧進(jìn)行加速,在無(wú)線干擾環(huán)境下,提升傳輸速度 |
自動(dòng)廣播提速 | 將廣播包原有的發(fā)送速度提高,加快廣播包的傳輸效率 | |
接入終端速度限制 | 對(duì)接入終端的速度做門檻,禁止低于一定速度的終端接入,提升整體網(wǎng)絡(luò)速度 | |
平均帶寬分配 | 支持用戶平均分配帶寬,根據(jù)時(shí)間公平算法,防止單個(gè)用戶拉低網(wǎng)絡(luò)整體速度 |
- 上一條Vmware虛擬化解決方案
- 下一條信銳無(wú)線解決方案