安全組網(wǎng)方案
企業(yè)全網(wǎng)安全解決方案
1.1 企業(yè)網(wǎng)絡(luò )發(fā)展狀況
互聯(lián)網(wǎng)是人類(lèi)最偉大的發(fā)明?;ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設,互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò )基礎建設大大提高了企業(yè)的生產(chǎn)力和工作效率,互聯(lián)網(wǎng)信息技術(shù)的持續使用,給企業(yè)的持續、快速、高效發(fā)展提供了助力,企業(yè)的管理成本和生產(chǎn)成本得到了持續降低。
然而,伴隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展,各類(lèi)黑客行為和攻擊技術(shù)給企業(yè)的持續、快速、健康、安全的發(fā)展帶來(lái)了困擾。IDC報告指出針對企業(yè)的黑客攻擊事件呈現逐年遞增的趨勢。近年來(lái),大量的企業(yè)信息安全事件出現在我們的視野,如七天、如家等酒店的開(kāi)房信息泄露,索尼影音官網(wǎng)被黑及用戶(hù)信息泄露,卡巴斯基總部被黑客侵入等,這些事件不僅對企業(yè)的商業(yè)活動(dòng)和企業(yè)信譽(yù)帶來(lái)?yè)p害,還對社會(huì )公民的正常生活造成干擾。普華永道針對中國企業(yè)的一份調研報告指出“已檢測到的信息安全事件對企業(yè)帶來(lái)的財務(wù)影響正在迅速增加,同時(shí)仍有許多攻擊沒(méi)被發(fā)現或者報告,僅在中國內地與香港地區,失竊的知識產(chǎn)權或者商業(yè)機密的實(shí)際價(jià)值已遠超數十億美元”。事實(shí)充分說(shuō)明:網(wǎng)絡(luò )安全是企業(yè)單位網(wǎng)絡(luò )建設的重點(diǎn)內容,網(wǎng)絡(luò )安全建設和加固是一個(gè)持續的工程。
1.2 企業(yè)網(wǎng)絡(luò )安全問(wèn)題
當今企業(yè)都在廣泛使用網(wǎng)絡(luò )信息技術(shù),以不斷提高企業(yè)的核心競爭力。由于計算機網(wǎng)絡(luò )的開(kāi)放性,網(wǎng)絡(luò )信息化給企業(yè)帶來(lái)效益的同時(shí),也給企業(yè)增加了風(fēng)險隱患,企業(yè)網(wǎng)絡(luò )安全問(wèn)題日益嚴重。那么,企業(yè)網(wǎng)絡(luò )到底面臨哪些主要的安全問(wèn)題呢?
外網(wǎng)安全問(wèn)題:非法接入、網(wǎng)絡(luò )入侵、黑客攻擊、病毒傳播、蠕蟲(chóng)攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò )安全最為廣泛的威脅;
內網(wǎng)安全問(wèn)題:帶寬和應用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲(chóng)擴散、信息泄露等已成為企業(yè)內部網(wǎng)絡(luò )最主要的安全問(wèn)題;
安全連接問(wèn)題:內部網(wǎng)絡(luò )之間、內外網(wǎng)絡(luò )之間的連接安全,如企業(yè)總部、各地分支機構、第三方合作伙伴、移動(dòng)辦公人員之間,既要保障信息及時(shí)共享,又要防止機密信息泄露。對于不同接入方,其所擁有的權限,既要能夠滿(mǎn)足正常業(yè)務(wù)的需求,又不能超越其職能權限,避免越權訪(fǎng)問(wèn)和敏感信息泄露;
運維管理安全:共享帳號安全隱患,設備繁多控制策略復雜,操作無(wú)法監管,內部操作不透明,外部操作不可控,沒(méi)有統一的身份管理平臺,頻繁切換應用程序登錄,日志分散不可用,不能集中有效審計等問(wèn)題困擾著(zhù)企業(yè)網(wǎng)絡(luò )的安全運維管理。
第2章 企業(yè)網(wǎng)絡(luò )安全需求分析
對于大部分企業(yè)來(lái)說(shuō),其IT網(wǎng)絡(luò )的建設可以劃分六個(gè)區域,分別為:互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數據中心域、內網(wǎng)辦公域、運維管理域。這六個(gè)區域因為承載的業(yè)務(wù)內容和作用不同,所面臨的安全風(fēng)險也有所不同,需要的安全防護措施亦有差別。
2.1 互聯(lián)網(wǎng)接入域安全需求分析
互聯(lián)網(wǎng)接入區域將企業(yè)內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口, 其中互聯(lián)網(wǎng)接入區域將單位內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)邏輯隔離,作為內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口,同時(shí)承擔著(zhù)兩方面的作用:一是內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的統一出口;二是為社會(huì )公眾和合作伙伴提供企業(yè)信息服務(wù)的入口?;ヂ?lián)網(wǎng)接入域是連接企業(yè)內部與外部的橋梁,因此面臨著(zhù)來(lái)自?xún)蓚€(gè)方向的安全威脅:1)外部威脅,如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲(chóng)侵襲、僵尸木馬、信息泄露等。2)內部威脅,如無(wú)意識的風(fēng)險引入、網(wǎng)絡(luò )資源濫用導致的新風(fēng)險,以及內部的故意破壞等。
2.1.1 防火墻訪(fǎng)問(wèn)控制
通過(guò)防火墻在內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間構造一道保護屏障,從而保護內部網(wǎng)絡(luò )免受非法用戶(hù)的侵入,通過(guò)防火墻將內外部網(wǎng)絡(luò )隔離,實(shí)現有效的邊界訪(fǎng)問(wèn)控制,并界定用戶(hù)的訪(fǎng)問(wèn)請求是否符合安全規則,基于防火墻預設的訪(fǎng)問(wèn)控制規則、端口和協(xié)議的檢測和控制機制等手段使可信雙方進(jìn)行通信,并阻斷不可信的訪(fǎng)問(wèn)行為。
2.1.2 防止黑客掃描入侵
外部黑客出于好奇、報復或經(jīng)濟利益等目的會(huì )對內網(wǎng)服務(wù)器和業(yè)務(wù)系統發(fā)起非法掃描,獲取內部網(wǎng)絡(luò )的安全漏洞,發(fā)起基于存在漏洞的惡意攻擊行為,從而獲取到未授權的機密信息或內部系統的控制權限。
2.1.3 防御DDoS攻擊
DDoS攻擊一般由黑客控制Internet上的“僵尸”系統完成,通過(guò)對互聯(lián)網(wǎng)上缺少防御的主機植入某些代碼,這些機器就會(huì )被DDoS攻擊者控制,當黑客發(fā)動(dòng)DDoS攻擊時(shí),只需要同時(shí)向這些將僵尸機發(fā)送指令,攻擊就會(huì )由這些“僵尸”機器完成。DDoS攻擊主要有帶寬型攻擊、流量型攻擊和應用型攻擊,其主要的表現為利用海量的數據包、請求或應用消耗目標網(wǎng)絡(luò )或設備資源,導致無(wú)法處理正常的業(yè)務(wù)或訪(fǎng)問(wèn)請求,造成公司的服務(wù)質(zhì)量下降、生產(chǎn)效率降低、信譽(yù)受損等一系列問(wèn)題。
2.1.4 防止病毒蠕蟲(chóng)入侵
病毒蠕蟲(chóng)等威脅內容是黑客最常利用的網(wǎng)絡(luò )入侵工具。網(wǎng)絡(luò )蠕蟲(chóng)病毒傳播速度快,一旦遭受了病毒和蠕蟲(chóng)的侵襲,不僅會(huì )造成網(wǎng)絡(luò )和系統處理性能的下降,網(wǎng)絡(luò )擁塞,同時(shí)也會(huì )對核心敏感數據造成嚴重的威脅,導致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問(wèn)題。
2.1.5 防零時(shí)差攻擊
零時(shí)差攻擊(Zero-hour/day Attack)是指從系統漏洞、協(xié)議弱點(diǎn)被發(fā)現到黑客制造出針對該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。零時(shí)差攻擊對應用系統和網(wǎng)絡(luò )的威脅和損害令人恐怖,這相當于在用戶(hù)沒(méi)有任何防備的情況下,黑客發(fā)起了閃電戰,可能在極短的時(shí)間內摧毀關(guān)鍵的應用系統,造成網(wǎng)絡(luò )癱瘓等風(fēng)險。
2.1.6 防止間諜軟件
間諜軟件能夠在用戶(hù)不知情的情況下偷偷進(jìn)行非法安裝,并且安裝后很難找到其蹤影,并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示,運行時(shí)用戶(hù)也不知曉,刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶(hù)計算機中、秘密監視用戶(hù)活動(dòng),并建立了一個(gè)進(jìn)入個(gè)人電腦的通道,很容易對用戶(hù)電腦做后續的攻擊。間諜軟件能夠消耗計算能力,使計算機崩潰,并使用戶(hù)被淹沒(méi)在網(wǎng)絡(luò )廣告的汪洋大海中。它還能夠竊取密碼、信用卡號和其它機密數據。因此,間諜軟件對企業(yè)網(wǎng)絡(luò )的危害非常巨大,需要一種有效的手段防止間諜軟件向企業(yè)內部網(wǎng)絡(luò )滲透。
2.1.7 應用帶寬管控
內網(wǎng)用戶(hù)在上班時(shí)間有意無(wú)意的進(jìn)行與工作無(wú)關(guān)的網(wǎng)絡(luò )行為,比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購、手機APP使用等,嚴重影響工作效率,并占用大量的帶寬,導致關(guān)鍵業(yè)務(wù)應用或關(guān)鍵人員得不到足夠的帶寬資源,降低企業(yè)內部的工作效率。
2.1.8 鏈路負載均衡
企業(yè)往往會(huì )部署多條鏈路,保證網(wǎng)絡(luò )服務(wù)的質(zhì)量,消除單點(diǎn)故障,減少停機時(shí)間。為提升外網(wǎng)用戶(hù)從外部訪(fǎng)問(wèn)內部網(wǎng)站和應用系統的速度和性能,就需要對多條鏈路進(jìn)行負載優(yōu)化,實(shí)現在多條鏈路上動(dòng)態(tài)平衡分配,并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路,保障業(yè)務(wù)應用不中斷。
2.2 廣域網(wǎng)接入域安全需求分析
對于大部分企業(yè)來(lái)說(shuō),都可能存在企業(yè)集團總部、子公司或各地分支辦事處,并且各個(gè)節點(diǎn)已形成自己的局域網(wǎng)結構,并通過(guò)廣域網(wǎng)互聯(lián)互通,實(shí)現集團總部與子公司、辦事處之間多種資源信息的共享互通。因此,構建一個(gè)高效、安全的廣域網(wǎng)絡(luò )系統勢必為企業(yè)的發(fā)展“添磚加瓦”。建立安全、可靠的高效廣域網(wǎng)系統,需著(zhù)重考慮和解決以下問(wèn)題:
2.2.1 安全互聯(lián)組網(wǎng)
目前很多企業(yè)的大型分支已經(jīng)采用專(zhuān)線(xiàn)與總部進(jìn)行互聯(lián),但部分中小分支由于較為分散,仍采用公網(wǎng)線(xiàn)路直接與總部互聯(lián)訪(fǎng)問(wèn)服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對外開(kāi)放端口的方式,直接造成整體服務(wù)器區安全防護水平較低,很容易遭受互聯(lián)網(wǎng)絡(luò )攻擊的問(wèn)題。因此在總部和分支互聯(lián)建設中必須充分考慮安全互聯(lián)組網(wǎng)的需求,并防止外部人員的非法侵入。
2.2.2 數據安全性保障
在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信,組織信息平臺上的應用系統如果不經(jīng)加密和認證等安全處理,跑在互聯(lián)網(wǎng)這個(gè)不安全而又開(kāi)放的網(wǎng)絡(luò )上,一旦重要數據如果遭到竊取,帶來(lái)的損失將無(wú)法估量。因此,有必要利用VPN等技術(shù)通過(guò)Internet建立安全可靠、經(jīng)濟便捷的虛擬專(zhuān)用網(wǎng)絡(luò )。
2.2.3 專(zhuān)網(wǎng)數據加固
在總部與大型分支之間采用專(zhuān)線(xiàn)組網(wǎng),保證內網(wǎng)系統訪(fǎng)問(wèn)數據與互聯(lián)網(wǎng)的安全隔離。但是在專(zhuān)網(wǎng)內同樣存在信息安全級別不同的應用系統數據,高安全級別的數據信息如果直接在網(wǎng)絡(luò )中明文傳輸,存在被竊聽(tīng)、篡改的風(fēng)險,從信息安全規劃及權限的安全方面進(jìn)行考慮,有必要在專(zhuān)網(wǎng)中對不同安全級別的應用系統采取邏輯隔離、安全加密、權限劃分等加固手段。
2.2.4 移動(dòng)辦公安全
網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來(lái)越頻繁,重要的數據和信息在網(wǎng)絡(luò )中的傳輸也越來(lái)越多,安全性要求也越來(lái)越重要。為了實(shí)現人們的遠程辦公,需要保證人員外出時(shí)可以安全訪(fǎng)問(wèn)組織內部網(wǎng)絡(luò )進(jìn)行日常操作,并同時(shí)確保數據的安全。因此在選擇方法時(shí),應建立完整的安全準入機制,實(shí)現對用戶(hù)的認證鑒權。
2.2.5 第三方安全接入
隨著(zhù)業(yè)務(wù)規模的擴大,業(yè)務(wù)系統也在不斷延伸,除了建設內部自己使用的業(yè)務(wù)系統外,還建立了第三人員使用的業(yè)務(wù)系統,如供應商接入系統、代理商接入系統等,這些業(yè)務(wù)系統提高了企業(yè)的業(yè)務(wù)運作效率,但也帶來(lái)了眾多不可控風(fēng)險:如身份認證單一、接入終端安全性無(wú)法控制、數據易被竊取、越權訪(fǎng)問(wèn)、惡意訪(fǎng)問(wèn)無(wú)法追蹤、訪(fǎng)問(wèn)速度慢。
2.2.6 廣域網(wǎng)鏈路質(zhì)量?jì)?yōu)化
分公司員工日常的工作都需要依靠信息平臺來(lái)完成,因此員工接入總部訪(fǎng)問(wèn)應用的速度和其工作效率直接相關(guān)。如果全部使用專(zhuān)線(xiàn)進(jìn)行總部與分支互聯(lián),網(wǎng)絡(luò )成本太高,而且擴展性較差。因此,廣域網(wǎng)接入域安全需求,就需要考慮廣域網(wǎng)鏈路質(zhì)量?jì)?yōu)化問(wèn)題,保障關(guān)鍵應用的服務(wù)質(zhì)量和交付性能。如何消減總部節點(diǎn)、分支節點(diǎn)的吞吐瓶頸,提升員工訪(fǎng)問(wèn)速度;如何減少分支網(wǎng)絡(luò )丟包、延時(shí)現象問(wèn)題;如何避免應用本身交互過(guò)多,遭遇廣域網(wǎng)后響應速度慢,影響業(yè)務(wù)效率問(wèn)題。
2.3 外聯(lián)服務(wù)域安全需求分析
企業(yè)外聯(lián)服務(wù)域也叫DMZ。DMZ區域常存放對外門(mén)戶(hù)WEB、EMAIL、FTP、OA等服務(wù)器,主要用于提升企業(yè)網(wǎng)絡(luò )媒介宣傳、職員郵件辦公、文件上傳下載等需求。該區域是企業(yè)的展示窗口、對外業(yè)務(wù)的平臺,該區域網(wǎng)絡(luò )質(zhì)量的好壞,直接影響著(zhù)企業(yè)的形象和發(fā)展。該區域面臨來(lái)自?xún)韧饩W(wǎng)多個(gè)區域的安全威脅,并且針對該區域的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中,導致傳統安全設備很難發(fā)現和阻止這些威脅。該區域主要的安全需求有:
2.3.1 系統漏洞攻擊保護
DMZ區域內部有大量業(yè)務(wù)服務(wù)器,其底層和業(yè)務(wù)應用系統會(huì )不斷產(chǎn)生新的安全漏洞,給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對DMZ區的攻擊,比如mail漏洞、后門(mén)漏洞、操作系統漏洞、ftp漏洞、數據庫漏洞,實(shí)現對網(wǎng)站敏感信息監控、竊取、篡改等目的。因此需要有效的工具來(lái)識別并防護針對系統漏洞的攻擊。
2.3.2 防止信息泄露和篡改
黑客通過(guò)漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統,將可能竊取DMZ系統數據庫中儲存的用戶(hù)資料、身份信息、賬戶(hù)信息等敏感數據,損害企業(yè)的經(jīng)濟利益;黑客也可能直接篡改企業(yè)對外Web網(wǎng)頁(yè)內容,使企業(yè)的形象和信譽(yù)受損;黑客甚至會(huì )在企業(yè)對外提供服務(wù)的網(wǎng)站掛載木馬病毒,網(wǎng)站的訪(fǎng)問(wèn)用戶(hù)也會(huì )被木馬病毒感染,這種情況下企業(yè)可能因此而承擔法律責任。
2.3.3 WEB應用安全
針對Web應用的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中,導致傳統防火墻、入侵防御系統無(wú)法發(fā)現和阻止這些攻擊。針對web應用的安全問(wèn)題有:
由于Web應用程序的編寫(xiě)過(guò)程中引入的安全漏洞問(wèn)題,比如SQL注入、跨站腳本攻擊等;系統底層漏洞問(wèn)題,如服務(wù)器底層的操作系統和Web業(yè)務(wù)常用的發(fā)布系統(如IIS、Apache),這些系統本身存在諸多的安全漏洞給了入侵者可乘之機;黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對網(wǎng)站進(jìn)行攻擊。
3.3.4 防止黑客掃描入侵
外部黑客出于好奇、報復或經(jīng)濟利益等目的會(huì )對外聯(lián)區服務(wù)器和業(yè)務(wù)系統發(fā)起非法掃描,獲取內部網(wǎng)絡(luò )的安全缺陷和漏洞,進(jìn)一步發(fā)起惡意攻擊行為,從而獲取到未授權的機密信息或內部系統的控制權限。
2.3.5 防止拒絕服務(wù)
黑客通過(guò)DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺無(wú)法響應正常請求。這種攻擊行為使得Web等系統充斥大量要求回復的信息,嚴重消耗網(wǎng)絡(luò )系統資源,導致外聯(lián)服務(wù)平臺無(wú)法對外正常提供服務(wù),影響企業(yè)正常的業(yè)務(wù)開(kāi)展。
2.3.6 防范內部威脅
企業(yè)內部網(wǎng)絡(luò )安全狀況也影響著(zhù)外聯(lián)區域的安全,比如網(wǎng)絡(luò )中存在的DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內部員工的非法掃描和滲透攻擊,及非授權違規操作行為,這些問(wèn)題都會(huì )破壞外聯(lián)平臺的安全穩定運行。
2.3.7 服務(wù)器負載均衡
隨著(zhù)訪(fǎng)問(wèn)用戶(hù)數量的不斷增加,給后臺的服務(wù)器帶來(lái)越來(lái)越大的壓力。需要通過(guò)服務(wù)器負載均衡機制,保證用戶(hù)訪(fǎng)問(wèn)流量能在各服務(wù)器上均衡分配,提高服務(wù)器資源的利用率,減輕服務(wù)器的壓力。從而保證訪(fǎng)問(wèn)的速度和穩定性。
2.4 數據中心域安全需求分析
數據中心是IT建設的心臟,作為業(yè)務(wù)集中化部署、發(fā)布、存儲的區域,數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息。對于惡意攻擊者而言,數據中心永遠是最具吸引力的目標。所以數據中心的安全建設顯得格外重要。數據中心主要的安全需求包括:
2.4.1 防火墻隔離控制
通過(guò)防火墻在數據中心構造一道網(wǎng)絡(luò )層保護屏障,通過(guò)防火墻的區域隔離和訪(fǎng)問(wèn)控制規則,來(lái)界定用戶(hù)的訪(fǎng)問(wèn)請求是否符合安全要求,并隔離來(lái)自internet、intranet、extrane等區域的安全風(fēng)險,實(shí)現數據中心網(wǎng)絡(luò )接入安全。
2.4.2 防止病毒蠕蟲(chóng)入侵
服務(wù)器是數據中心中計算資源的核心來(lái)源,也用于連接網(wǎng)絡(luò )資源、存儲資源,是數據中心中業(yè)務(wù)交付的重要支撐,因此也是網(wǎng)絡(luò )入侵者最主要的目標。病毒、蠕蟲(chóng)、木馬等惡意代碼一旦感染數據中心服務(wù)器,就可能在數據中心網(wǎng)絡(luò )快速傳播,消耗數據中心網(wǎng)絡(luò )資源,劫持服務(wù)器應用,竊取敏感信息,發(fā)送垃圾信息,甚至重定向用戶(hù)到惡意網(wǎng)頁(yè)。所以數據中心網(wǎng)絡(luò )安全建設需要包含檢測和清除病毒蠕蟲(chóng)木馬等惡意內容的機制。
2.4.3 漏洞攻擊保護
數據中心大量的服務(wù)器底層操作系統和業(yè)務(wù)應用都可能存在安全漏洞,給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對數據中心業(yè)務(wù)服務(wù)器的攻擊,比如弱口令密碼攻擊、應用程序弱點(diǎn)利用、服務(wù)弱點(diǎn)利用等,非法獲取更多的內部操作管理權限,實(shí)現對內部敏感信息監控、竊取、篡改等目的。因此需要有效的工具來(lái)識別并防護針對數據中心服務(wù)器業(yè)務(wù)系統漏洞的攻擊。
2.4.4 防APT攻擊
黑客的攻擊手段越來(lái)越先進(jìn),并帶有很強的目的性。近幾年APT攻擊經(jīng)常見(jiàn)諸報端,這是一類(lèi)攻擊手段很先進(jìn)、目的性和持續性很強的高級持續性威脅(APT)。通常這種攻擊方式都帶有明確的攻擊意圖和不達目的不休止的特點(diǎn),黑客往往應用先進(jìn)的攻擊手段繞過(guò)防御體系,實(shí)現對企業(yè)高價(jià)值機密信息的破壞、竊取、篡改等目的,從而給業(yè)務(wù)系統造成不可挽回的損失。因此,數據中心安全建設需要考慮防范APT攻擊,避免重要信息資產(chǎn)失竊或破壞。
2.4.5 防范內部威脅
企業(yè)內部網(wǎng)絡(luò )安全狀況也影響著(zhù)外聯(lián)區域數據中心的安全,比如內部網(wǎng)絡(luò )中存在DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內部員工的非法掃描和滲透攻擊,及非授權違規操作行為,這些問(wèn)題都會(huì )破壞數據中心的安全穩定運行。
2.4.6 防止拒絕服務(wù)
數據中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲的區域,數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息,其業(yè)務(wù)的可靠性非常關(guān)鍵。黑客利用協(xié)議漏洞或控制“肉雞”向數據中心服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù),導致業(yè)務(wù)中斷等問(wèn)題,對數據中心的可靠造成危害。
2.4.7 WEB應用安全
數據中心有大量的WEB應用,黑客針對Web應用的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中,導致傳統防火墻、入侵防御系統無(wú)法發(fā)現和阻止這些攻擊。針對web應用的安全問(wèn)題有:
由于Web應用程序的編寫(xiě)過(guò)程中引入的安全漏洞問(wèn)題,比如SQL注入、跨站腳本攻擊等;系統底層漏洞問(wèn)題,如服務(wù)器底層的操作系統和Web業(yè)務(wù)常用的發(fā)布系統(如IIS、Apache),這些系統本身存在諸多的安全漏洞給了入侵者可乘之機;黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對網(wǎng)站進(jìn)行攻擊。
2.4.8 虛擬云化風(fēng)險保護
虛擬化云數據中心是數據中心的發(fā)展方向,通過(guò)虛擬化技術(shù)構建基礎設施資源池,實(shí)現資源的按需分配,提高整體資源利用率。但云數據中心虛擬化也帶來(lái)了新的安全風(fēng)險,比如虛擬化導致了風(fēng)險集中、流量復雜、邊界弱化、越權訪(fǎng)問(wèn)等問(wèn)題,因此需要一種適合虛擬化云數據中心的安全管控機制,提供虛擬化內部的安全區域劃分、邊界管控、二到七層安全保護。
2.5 內網(wǎng)辦公域安全需求分析
隨著(zhù)全球信息化及網(wǎng)絡(luò )技術(shù)的不斷發(fā)展,網(wǎng)絡(luò )安全問(wèn)題特別是內部網(wǎng)絡(luò )安全問(wèn)題正在日益突出?!氨咀钊菀讖膬炔抗テ啤?,因此做好企業(yè)內網(wǎng)辦公區域的網(wǎng)絡(luò )安全建設,對于企業(yè)整體網(wǎng)絡(luò )的安全保護意義重大。無(wú)論是內部終端的違規外聯(lián)、違規接入和違規操作,還是內部系統數據保密性、可控性和可用性要求,都是企業(yè)內網(wǎng)辦公區域安全建設需要思考的問(wèn)題。那么,企業(yè)內網(wǎng)辦公區主要有哪些安全需求呢?
2.5.1 上網(wǎng)行為管理
內網(wǎng)辦公員工在上班時(shí)間有意無(wú)意的做與工作無(wú)關(guān)的網(wǎng)絡(luò )行為,比如炒股、玩網(wǎng)游、看視頻;隨著(zhù)智能終端的普及,沒(méi)有提供Wlan的企業(yè),其內部員工為了便捷性,往往會(huì )通過(guò)360隨身WiFi等方式私自建立個(gè)人Wlan,讓自己的移動(dòng)終端可以隨意使用單位的上網(wǎng)資源。這些行為嚴重影響單位工作效率,所以企業(yè)需要對內部上網(wǎng)的員工行為進(jìn)行有效的識別和管理。
2.5.2 漏洞病毒防護
內網(wǎng)辦公區分布有大量的終端設備,如果這些終端不能及時(shí)更新系統漏洞補丁,將會(huì )給黑客可乘之機,一旦某臺終端感染病毒,很容易向全網(wǎng)擴散。因此,內網(wǎng)安全建設需要包括:具備快速發(fā)現終端設備的系統漏洞并自動(dòng)分發(fā)補丁能力,具備快速有效的定位網(wǎng)絡(luò )中病毒、蠕蟲(chóng)、黑客的引入點(diǎn)并及時(shí)、準確的切斷安全事件發(fā)生點(diǎn)的能力。
2.5.4 Wlan安全需求
隨著(zhù)無(wú)線(xiàn)技術(shù)的發(fā)展,BYOD、移動(dòng)辦公的普及,無(wú)線(xiàn)網(wǎng)絡(luò )覆蓋能使得在企業(yè)內部,會(huì )議室、辦公區等任何區域接入辦公網(wǎng)絡(luò ),簡(jiǎn)單方便。企業(yè)在構建WLAN網(wǎng)絡(luò )過(guò)程中,不僅要考慮高速穩定的網(wǎng)絡(luò )質(zhì)量,WLAN網(wǎng)絡(luò )安全問(wèn)題同樣需要重視。杜絕盜用賬號、非法接入的安全威脅,并針對外部訪(fǎng)客、內部人員(不同部門(mén)、不同職位)分配不同的應用訪(fǎng)問(wèn)權限,實(shí)現精細化網(wǎng)絡(luò )接入控制,并避免復雜的臨時(shí)賬號申請機制。
2.5.5 開(kāi)發(fā)環(huán)境安全
開(kāi)發(fā)部門(mén)由于其業(yè)務(wù)特殊性,對開(kāi)發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展,在開(kāi)發(fā)項目中往往還會(huì )牽涉到很多第三方公司和外包項目,甚至于開(kāi)發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公,這對開(kāi)發(fā)系統的安全構成了極大的挑戰。因此,需要有一套安全的開(kāi)發(fā)環(huán)境,能夠讓開(kāi)發(fā)項目的員工及外包員工在受控環(huán)境下,進(jìn)行相關(guān)應用的開(kāi)發(fā)和調試,同時(shí)能有效保護應用代碼及企業(yè)數據的安全。
2.1.6 防止僵尸網(wǎng)絡(luò )
僵尸網(wǎng)絡(luò )是攻擊者出于惡意目的,采用多種傳播手段,通過(guò)互聯(lián)網(wǎng)使大量主機感染僵尸程序,從而控制這些被感染的主機,從而在控制者和被感染主機之間形成一個(gè)一對多控制的網(wǎng)絡(luò ),黑客利用這些僵尸主機作為進(jìn)一步入侵的跳板。攻擊者通過(guò)控制大量僵尸主機實(shí)現僵尸網(wǎng)絡(luò )本地擴散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。而企業(yè)內部大量的終端設備往往是黑客種植僵尸網(wǎng)絡(luò )的目標,因此企業(yè)需要一種有效的措施來(lái)防止僵尸網(wǎng)絡(luò )的植入,并檢測和清除已存在的僵尸網(wǎng)絡(luò )。
2.6 運維管理域安全需求分析
運維管理區是保障企業(yè)網(wǎng)絡(luò )能夠安全高效運行的重要區域,該區域的重點(diǎn)是安全和穩定性,從而為企業(yè)整體網(wǎng)絡(luò )構造一個(gè)可靠的支撐平臺。該區域主要的安全需求如下:
2.6.1 防火墻區域隔離
運維管理區是保障企業(yè)網(wǎng)絡(luò )高效運行的重要區域,企業(yè)內部大部分IT設備和系統都在該區域維護管理,因此該區域一旦被黑客或不軌員工侵入,極可能造成全局網(wǎng)絡(luò )危害。利用防火墻可以給運維管理區打造安全隔離區,并基于嚴格的訪(fǎng)問(wèn)控制策略和身份認證信息進(jìn)行區域網(wǎng)絡(luò )接入;同時(shí)利用新型防火墻給運維管理區打造一片安全的網(wǎng)絡(luò )環(huán)境。
2.6.2 防范病毒類(lèi)入侵
運維區是IT信息系統的神經(jīng)中樞,一旦被病毒木馬、僵尸蠕蟲(chóng)等侵入,將可能導致重要系統的系統配置、管理賬號、后臺數據等丟失或被篡改,直接造成生成運營(yíng)故障,對企業(yè)的危害非常巨大。因此,該區域的安全建設需要包含檢測和清除病毒、木馬、蠕蟲(chóng)、僵尸等惡意內容的機制。
2.6.3 集中運維管理
企業(yè)內部安全設備較多,因此需要有集中的統一管理和審計分析平臺,實(shí)現對設備的集中管理、集中監控、集中配置、集中運維、統一審計核查等要求,達到安全事件的監控-響應-再監控的閉環(huán)操作,提升網(wǎng)絡(luò )運維管理便捷性。
2.6.4 操作運維審計
如果沒(méi)有有效的技術(shù)手段來(lái)保障運維操作的正確執行,那么將對運維人員的違規操作無(wú)能為力。目前應用程序都有相應的審計日志,可以解決應用系統層的審計問(wèn)題,但是對于操作系統層和數據庫層的違規操作(非法修改系統和應用等),無(wú)從審計。因此,必須借助有效的技術(shù)手段監管運維人員的操作行為,做到實(shí)時(shí)監控,快速取證,減少內部的誤操作和違規操作,降低運維過(guò)程中的操作風(fēng)險。
第3章 深信服企業(yè)全網(wǎng)安全解決方案
3.1 方案總體設計
為了解決企業(yè)網(wǎng)絡(luò )中遇到的各種安全問(wèn)題,深信服推出了企業(yè)全網(wǎng)安全解決方案,本著(zhù)安全、可靠、全面、高效、易于管理維護等原則,給出可資借鑒的建設方案。
根據企業(yè)不同網(wǎng)絡(luò )區域定位不同,我們大致可以將企業(yè)網(wǎng)絡(luò )劃分為6個(gè)區域,分別為:互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數據中心域、內網(wǎng)辦公域、運維管理域。針對各區域實(shí)際的安全需求,深信服給出了貼合的安全防護建議。
3.2 互聯(lián)網(wǎng)接入域安全方案
3.1.1 方案說(shuō)明
互聯(lián)網(wǎng)接入區域承擔著(zhù)內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的統一出口和為外部用戶(hù)提供企業(yè)信息服務(wù)的入口,其安全風(fēng)險來(lái)源多且復雜。針對互聯(lián)網(wǎng)出口存在的安全問(wèn)題,通過(guò)在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應用交付AD產(chǎn)品,可以很好的解決。
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應用層設計,能夠精確識別用戶(hù)、應用和內容,具備完整安全防護能力,能夠全面替代傳統防火墻,并具有全面的應用層安全防護功能和強勁的處理能力。深信服下一代防火墻NGAF為企業(yè)在網(wǎng)絡(luò )出口構建一套安全長(cháng)城,實(shí)現內外部網(wǎng)絡(luò )隔離和訪(fǎng)問(wèn)控制,保護內部網(wǎng)絡(luò )和用戶(hù)免受非法侵入,保障可信雙方安全通信。NGAF提供2到7層的安全保護,通過(guò)入侵檢測與防御、病毒防護、協(xié)議異常保護等功能,可以精確實(shí)時(shí)地識別并防御來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)、病毒、木馬、間諜軟件等網(wǎng)絡(luò )威脅,防止攻擊者對內部網(wǎng)絡(luò )的滲透和破壞,保障敏感數據不被竊取以及業(yè)務(wù)的持續運行;NGAF能實(shí)時(shí)感知來(lái)自互聯(lián)網(wǎng)上的大量異常請求,并第一時(shí)間予以清洗,防止DoS/DDoS攻擊的發(fā)生,保障正常合法的業(yè)務(wù)通訊不受影響;NGAF還提供了實(shí)時(shí)的漏洞檢測功能,該功能不會(huì )給網(wǎng)絡(luò )產(chǎn)生額外的流量,通過(guò)實(shí)時(shí)流量分析,可以發(fā)現網(wǎng)絡(luò )內部業(yè)務(wù)系統的安全漏洞,快速識別針對存在漏洞的有效攻擊,即使沒(méi)有攻擊行為也能發(fā)現潛在的風(fēng)險。對于最新爆發(fā)的0DAY漏洞,深信服云安全中心會(huì )第一時(shí)間收集漏洞信息并生成防護規則,并通過(guò)云中心快速的下發(fā)到NGAF設備上,避免黑客發(fā)起閃電戰。
深信服上網(wǎng)行為管理AC設備能夠實(shí)現對網(wǎng)絡(luò )數據流量進(jìn)行精細化控制管理。AC設備具備專(zhuān)業(yè)的身份認證功能,能夠針對用戶(hù)和用戶(hù)組實(shí)施不同的應用控制和流量分配策略,AC支持本地認證、外部認證、短信認證等多種方式;AC具備國內最專(zhuān)業(yè)的應用識別控制功能,全面的應用識別幫助管理員掌控網(wǎng)絡(luò )應用現狀和用戶(hù)行為,從而有針對性的制定流控策略,保障核心業(yè)務(wù)應用使用效果,AC能夠有效識控當前網(wǎng)絡(luò )中各種主流應用,包括1500多種應用、3000多種規則,以及一些SSL加密應用;AC提供了基于應用、基于時(shí)間、多級父子通道、動(dòng)態(tài)流控、智能流控等多種流控手段,滿(mǎn)足企業(yè)制定周期性、靈活、合理、智能調整的帶寬使用方案,最大滿(mǎn)足業(yè)務(wù)對帶寬的需求,實(shí)現帶寬的最大價(jià)值。
深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備,能夠為企業(yè)互聯(lián)網(wǎng)接入域提供多鏈路負載均衡解決方案。企業(yè)往往部署了多條互聯(lián)網(wǎng)鏈路,由于使用設置等問(wèn)題,往往有的鏈路一直處于繁忙狀態(tài),而另外條鏈路卻處于閑置狀態(tài),造成互聯(lián)網(wǎng)資源的浪費和用戶(hù)的訪(fǎng)問(wèn)速度得不到保障。深信服 AD設備能夠進(jìn)行DNS請求轉發(fā),通過(guò)深信服 AD尋找合適的DNS服務(wù)器返回給內網(wǎng)電腦。利用鏈路繁忙控制、智能路由等技術(shù),通過(guò)事先設定好負載算法,就能按照事先設定的鏈路利用策略將流量分配到不同的鏈路之上,實(shí)現多條鏈路負載運行,保障了網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。
3.2.2 方案價(jià)值
相比傳統方案,NGAF提供全面的L2-L7威脅防護,實(shí)現了更加完整高效的網(wǎng)絡(luò )安全,并減少了故障節點(diǎn);
單臺NGAF即可實(shí)現比過(guò)去多臺設備更好的防護效果,大大減少了設備購買(mǎi)投資和運維成本;
AC產(chǎn)品實(shí)現了更加細致精準的應用和帶寬控制,保障了正常業(yè)務(wù)帶寬需求,實(shí)現了帶寬高效利用,提升帶寬價(jià)值;
AD產(chǎn)品提供了精細智能的多鏈路負載均衡,滿(mǎn)足鏈路高效使用和自動(dòng)備份,實(shí)現了網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。
3.3 廣域網(wǎng)接入域安全方案
3.1.1 方案說(shuō)明
企業(yè)總部與子公司、辦事處之間的廣域網(wǎng)通道建設,能夠實(shí)現多種資源信息的高效互通,而廣域網(wǎng)通道內部傳輸的數據大多都是企業(yè)的重要信息資產(chǎn),對保密性和實(shí)效性要求較高。通過(guò)部署深信服下一代防火墻、SSL VPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò )通信系統。
企業(yè)采用專(zhuān)線(xiàn)或VPN方式建立廣域網(wǎng)通道,如圖所示,在企業(yè)總部和分支機構部署NGAF、SSL VPN和WOC廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以實(shí)現分支和總部安全通信和網(wǎng)絡(luò )鏈路優(yōu)化,并滿(mǎn)足外出員工移動(dòng)辦公安全接入需求;廣域網(wǎng)各個(gè)節點(diǎn)的NGAF設備結合SC集中管理平臺和外置數據中心,能夠實(shí)現廣域網(wǎng)全網(wǎng)各節點(diǎn)安全監測和防護,使整個(gè)企業(yè)集團全網(wǎng)安全狀況盡在掌握。
NGAF能夠識別和防御L2到L7的安全威脅,能檢測并防止病毒防、蠕蟲(chóng)、木馬、漏洞、WEB應用攻擊等安全威脅在廣域網(wǎng)內部傳播,實(shí)現各分支機構安全狀況實(shí)時(shí)上報監控,及時(shí)了解全網(wǎng)安全動(dòng)態(tài),安全日志統一管理、集中分析,快速加固防護薄弱點(diǎn),優(yōu)化安全運維,實(shí)現安全設備統一管理、集中特征更新與推送、安全策略快速同步,實(shí)現對廣域網(wǎng)各個(gè)節點(diǎn)一站式安全監測和保護。
采用SSL VPN安全網(wǎng)關(guān),可以對應用進(jìn)行安全發(fā)布,避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶(hù)在外需要進(jìn)行內網(wǎng)接入時(shí),可直接通過(guò)瀏覽器打開(kāi)網(wǎng)頁(yè)完成SSL VPN登錄及安全隧道的建立,非常方便的實(shí)現網(wǎng)絡(luò )接入和數據安全保障。在系統安全加固方面,采用登錄SSL VPN身份驗證、權限劃分、登錄應用身份驗證的主線(xiàn)進(jìn)行保障。SSL VPN接入認證方式可采用用戶(hù)名密碼、USB KEY、短信認證、動(dòng)態(tài)令牌、CA認證、LDAP認證、RADIUS認證等兩種或多種認證的組合,多重組合軟硬結合確保接入身份的確定性。在用戶(hù)接入SSL VPN后進(jìn)行應用訪(fǎng)問(wèn)權限的劃分對于享有訪(fǎng)問(wèn)權限的應用系統采用主從賬號綁定SSL VPN登錄賬號和應用系統賬號。用戶(hù)只可采用指定的賬號訪(fǎng)問(wèn)應用系統。由于登錄SSL VPN的身份已通過(guò)多重認證的確認,而后又進(jìn)行指定應用賬號訪(fǎng)問(wèn),即可保障登錄應用系統的人員的身份。對于已經(jīng)建立專(zhuān)線(xiàn)組網(wǎng)的分支,將應用系統以SSL VPN資源的方式進(jìn)行,進(jìn)行專(zhuān)網(wǎng)內權限劃分的同時(shí)實(shí)現統一應用平臺的構建。根據不同部門(mén)、不同應用進(jìn)行對應權限的開(kāi)放/關(guān)閉,分支用戶(hù)登錄SSL VPN之后,在其資源列表界面將會(huì )顯示該用戶(hù)權限下可訪(fǎng)問(wèn)的應用系統,用戶(hù)可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪(fǎng)問(wèn)。同時(shí),可針對這些應用系統進(jìn)行單點(diǎn)登錄設置,點(diǎn)擊鏈接即可自動(dòng)通過(guò)應用本身的認證,可直接進(jìn)行操作。由于所有訪(fǎng)問(wèn)總部服務(wù)器區的數據都將經(jīng)由SSL VPN進(jìn)行轉發(fā),對于用戶(hù)權限外的應用,SSL VPN將自動(dòng)阻斷其連接,防止惡意盜鏈。并且SSL VPN設備對外只開(kāi)放443端口,從而可屏蔽掉其他端口的攻擊。SSL VPN的數據流處理方式可隱藏內網(wǎng)服務(wù)器區結構,并對服務(wù)器訪(fǎng)問(wèn)的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶(hù)對服務(wù)器區發(fā)起的訪(fǎng)問(wèn)時(shí),采用SSL VPN登錄認證、細粒度應用訪(fǎng)問(wèn)授權、傳輸數據加密,從數據安全的角度提供隔離保護。SSL VPN的EasyConnect還能幫助企業(yè)內網(wǎng)部署的終端服務(wù)器將應用程序界面用圖形的方式呈現于智能終端之上,在部署過(guò)程中,無(wú)需對現網(wǎng)結構和應用程序做任何改變,輕松實(shí)現跨平臺訪(fǎng)問(wèn),解決企業(yè)用戶(hù)通過(guò)iPhone、Android等智能終端訪(fǎng)問(wèn)的問(wèn)題,實(shí)現業(yè)務(wù)數據快速遷移,同時(shí)保障業(yè)務(wù)系統數據不落地,存儲在終端服務(wù)器。深信服SSL VPN網(wǎng)關(guān)提供專(zhuān)業(yè)的IPSec VPN功能,滿(mǎn)足企業(yè)建設IPSec VPN專(zhuān)網(wǎng)的需求,實(shí)現各區域安全互聯(lián)和數據加固的需求。
深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jì)?yōu)化等多種技術(shù),能夠幫助用戶(hù)加快關(guān)鍵應用的響應速度,大幅提升專(zhuān)網(wǎng)的傳輸效率。專(zhuān)線(xiàn)內存在大量的冗余數據傳輸,容易導致專(zhuān)網(wǎng)帶寬壓力過(guò)大。WOC產(chǎn)品采用動(dòng)態(tài)流壓縮、基于碼流特征數據優(yōu)化對專(zhuān)網(wǎng)中流量進(jìn)行大幅削減,降低帶寬負荷,實(shí)現帶寬增值。WOC還可以對ERP、郵件、FTP文件傳輸等應用進(jìn)行優(yōu)化,減少數據交互,提升訪(fǎng)問(wèn)速度,提高工作效率。WOC通過(guò)快速重傳、選擇性重傳、改善擁塞機制、增大滑動(dòng)窗口大小等幾種技術(shù)手段對傳統的TCP傳輸協(xié)議做改進(jìn),提高鏈路質(zhì)量和訪(fǎng)問(wèn)速度。WOC還能夠實(shí)時(shí)感知專(zhuān)網(wǎng)流量分布情況,從而實(shí)現業(yè)務(wù)流量整形和不斷調優(yōu)。
3.3.2 方案價(jià)值
NGAF提供全面的L2-L7威脅防護,避免了各個(gè)節點(diǎn)的安全風(fēng)險在廣域網(wǎng)通道傳播;
NGAF全網(wǎng)統一安全監控和防護,實(shí)現了安全設備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統一運維,快速提高整個(gè)廣域網(wǎng)全網(wǎng)的安全水平;
SSL VPN網(wǎng)關(guān)為企業(yè)提供了可靠的VPN組網(wǎng)、遠程業(yè)務(wù)發(fā)布和員工遠程接入需求,滿(mǎn)足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務(wù);
WOC產(chǎn)品通過(guò)流量削減和協(xié)議、應用、鏈路質(zhì)量?jì)?yōu)化技術(shù),即使鏈路質(zhì)量不佳情況下,也能保障核心業(yè)務(wù)穩定運行,實(shí)現帶寬增值;
3.4 外聯(lián)服務(wù)域安全方案
3.1.1 方案說(shuō)明
DMZ區域是企業(yè)的對外展示和對外業(yè)務(wù)的平臺,該區域的網(wǎng)絡(luò )安全和穩定可靠關(guān)系著(zhù)企業(yè)形象和品牌發(fā)展。針對該區域存在的網(wǎng)絡(luò )安全問(wèn)題,通過(guò)部署深信服下一代防火墻和應用交付產(chǎn)品就可以完美解決。
深信服NGAF產(chǎn)品具備全面的二到七層安全功能,能一站式智能化解決DMZ區域的網(wǎng)絡(luò )安全問(wèn)題。通過(guò)啟用入侵防御、病毒防護、漏洞檢測保護等功能,可以實(shí)時(shí)發(fā)現DMZ區域業(yè)務(wù)系統存在的安全漏洞,實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)、病毒、木馬等網(wǎng)絡(luò )攻擊,防止攻擊者對外聯(lián)服務(wù)網(wǎng)絡(luò )的掃描、入侵和破壞,保障系統數據安全和業(yè)務(wù)的持續運行。NGAF具備專(zhuān)業(yè)的WEB應用安全防護功能,有效結合了web攻擊的靜態(tài)規則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機制,實(shí)現雙向的內容檢測,提供OWASP定義的十大安全威脅的攻擊防護能力,有效防止常見(jiàn)的web攻擊,防止網(wǎng)站被黑客掃描攻擊,NGAF還支持隱藏的服務(wù)器響應信息,如http出錯頁(yè)面、響應報頭、FTP信息等;NGAF還提供了網(wǎng)頁(yè)防篡改功能,能夠實(shí)時(shí)檢測并攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認,同時(shí)對外提供篡改重定向功能,提供正常界面或備份服務(wù)器的重定向,保證用戶(hù)仍可正常訪(fǎng)問(wèn)網(wǎng)站;NGAF提供了敏感信息防泄漏功能,能夠實(shí)時(shí)檢測并阻斷網(wǎng)站源代碼、用戶(hù)帳號信息、服務(wù)器重要配置文件等敏感信息被泄露,實(shí)時(shí)記錄泄漏行為,并通過(guò)郵件等方式報警;NGAF提供專(zhuān)業(yè)的DoS/DDoS攻擊防護功能,能快速識別并清洗異常訪(fǎng)問(wèn)行為,保障正常合法的業(yè)務(wù)不受影響。NGAF還提供了待處理問(wèn)題板塊,該板塊展示了NGAF監測發(fā)現的安全問(wèn)題,包括各類(lèi)風(fēng)險的分類(lèi)匯總及問(wèn)題的詳細描述,同時(shí)NGAF還提供了風(fēng)險問(wèn)題解決方案,即使不懂安全,也能自助化快速運維,打破了傳統安全設備風(fēng)險日志看不懂、運維管理無(wú)目標等問(wèn)題。
深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備,能夠為企業(yè)外聯(lián)服務(wù)域提供多鏈路負載均衡、服務(wù)器負載均衡的全方位解決方案。AD產(chǎn)品的服務(wù)器負載均衡技術(shù)能夠將后端多臺真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),再通過(guò)AD設備轉發(fā)到后端服務(wù)器;當用戶(hù)請求到達服務(wù)器區域的AD產(chǎn)品時(shí),深信服AD通過(guò)全面的負載均衡算法以及目標服務(wù)器之間性能和網(wǎng)絡(luò )健康情況,能夠選擇性能最佳的服務(wù)器來(lái)響應用戶(hù)的請求,從而將用戶(hù)請求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現象的出現。
3.4.2 方案價(jià)值
NGAF提供了事前策略自檢、事中攻擊防護、事后防止篡改的整體Web保護,可以有效過(guò)濾掃描、入侵、破壞過(guò)程中的各種安全威脅;
NGAF涵蓋了L2-L7全面的安全功能,可以全面替代FW、IPS、WAF等設備,提供基于黑客攻擊過(guò)程的L2-L7層完整安全防護。
NGAF提供了比傳統更加全面的風(fēng)險識別和可視化風(fēng)險報表,并匯總需要處理的安全問(wèn)題和建議的解決方案,幫助企業(yè)快速自助安全運維。
AD產(chǎn)品提供了高效專(zhuān)業(yè)的服務(wù)器和多鏈路負載均衡,滿(mǎn)足服務(wù)器響應和網(wǎng)絡(luò )鏈路的高效使用,實(shí)現了對外服務(wù)和網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。
3.5 數據中心域安全方案
3.1.1 方案說(shuō)明
數據中心承載著(zhù)業(yè)務(wù)的核心數據以及機密信息,因此數據中心永遠是最具吸引力的攻擊目標,所以數據中心的安全建設顯得格外重要。通過(guò)部署深信服下一代防火墻、應用交付等安全產(chǎn)品,可以幫助企業(yè)打造安全、可靠的數據中心網(wǎng)絡(luò )。
深信服NGAF給企業(yè)數據中心提供了一站式智能化的二到七層安全保護。通過(guò)啟用NGAF的防火墻、入侵防護、漏洞檢測、敏感信息防泄漏、DoS/DDoS攻擊防護、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò )、web應用攻擊保護、網(wǎng)站篡改保護等功能,可以實(shí)時(shí)發(fā)現數據中心業(yè)務(wù)系統區域隔離,避免因業(yè)務(wù)系統漏洞導致的入侵,防范病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò )等威脅內容在數據中心傳播,防止口令密碼被暴力破解,避免數據中心敏感信息被泄露,清洗數據中心異常流量,保護數據中心web應用安全,保障數據中心網(wǎng)絡(luò )和業(yè)務(wù)安全運行。NGAF內置了僵尸網(wǎng)絡(luò )識別庫,通過(guò)分析內網(wǎng)終端的異常行為(如連接惡意主機或URL)等機制準確識別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵。NGAF還內置了灰度威脅樣本庫,通過(guò)多維歸并整理賦予每種威脅行為一個(gè)權值,NGAF計算用戶(hù)行為權值之和并對比威脅基線(xiàn),從而能夠準確判定威脅行為,對于無(wú)法確認的可疑內容,NGAF會(huì )實(shí)時(shí)上報到深信服云安全中心,由云中心執行沙盒演練等方法進(jìn)行最終確認,基于這些技術(shù)手段,NGAF能夠準確識別并防御未知威脅和APT攻擊。此外,對于大型企業(yè)來(lái)說(shuō),其數據中心內部業(yè)務(wù)系統較多,安全防護需求各不相同,為了解決多樣化的安全防護需求,NGAF還提供了硬件一虛多技術(shù),實(shí)現將單臺NGAF劃分為邏輯上完全獨立的多臺設備,滿(mǎn)足不同業(yè)務(wù)系統獨立保護的安全需求,提升資源利用效率,降低了部署運營(yíng)成本。
深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備,能夠為企業(yè)數據中心提供包括多數據中心負載均衡、服務(wù)器負載均衡的全方位解決方案。多數據中心負載均衡解決方案中,每個(gè)數據中心前端均部署AD設備,并以路由模式接入各個(gè)數據網(wǎng)絡(luò )之中,負責將用戶(hù)的DNS訪(fǎng)問(wèn)請求引導到最快的鏈路進(jìn)行訪(fǎng)問(wèn)站點(diǎn);同時(shí)負責兩條線(xiàn)路的健康狀態(tài)的檢查,一旦檢測到線(xiàn)路的中斷,則停止相應線(xiàn)路的地址解析。AD產(chǎn)品的服務(wù)器負載均衡技術(shù)能夠將后端多臺真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),并通過(guò)AD設備轉發(fā)到后端服務(wù)器;當用戶(hù)請求到達服務(wù)器區域的AD產(chǎn)品時(shí),深信服AD通過(guò)全面的負載均衡算法以及目標服務(wù)器之間性能和網(wǎng)絡(luò )健康情況,能夠選擇性能最佳的服務(wù)器來(lái)響應用戶(hù)的請求,從而將用戶(hù)請求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現象的出現。
此外,為了滿(mǎn)足虛擬化云環(huán)境下數據中心的安全需求,深信服還專(zhuān)門(mén)研發(fā)了虛擬化軟件下一代防火墻和應用交付產(chǎn)品,能夠以虛機方式無(wú)縫集成到虛擬化平臺內部,滿(mǎn)足虛擬化云計算場(chǎng)景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上,提供虛擬化云平臺內部靈活的安全區域劃分、2到7層安全保護和智能快速的應用交付解決方案
3.5.2 方案價(jià)值
NGAF涵蓋了L2-L7全面的安全功能,提供比FW、IPS、WAF更多的安全防護層級,全面滿(mǎn)足數據中心多維的網(wǎng)絡(luò )數據安全保護;
NGAF通過(guò)多重的已知威脅識別、灰度威脅樣本庫、云端可疑威脅檢測等技術(shù)手段,有效識別和防范APT等高危威脅行為,確保數據中心的安全;
AD產(chǎn)品通過(guò)高效專(zhuān)業(yè)的服務(wù)器和多鏈路負載均衡,滿(mǎn)足服務(wù)器響應和網(wǎng)絡(luò )鏈路的高效使用,實(shí)現了對外服務(wù)和網(wǎng)絡(luò )資源利用率的最優(yōu)、最大化。
對于有備份數據中心的企業(yè)來(lái)說(shuō),AD還能提供了全局負載均衡功能,實(shí)現將用戶(hù)訪(fǎng)問(wèn)請求引導到最快最優(yōu)的數據中心進(jìn)行響應,并實(shí)現鏈路故障的快速切換。
3.6 內網(wǎng)辦公域安全方案
3.1.1 方案說(shuō)明
“堡壘最容易從內部攻破”,因此做好企業(yè)內網(wǎng)辦公區域的網(wǎng)絡(luò )安全建設,對于企業(yè)整體網(wǎng)絡(luò )的安全保護意義重大。通過(guò)深信服NGAF、AC和企業(yè)級無(wú)線(xiàn),以及第三方終端防病毒軟件,可以較為完善的解決內網(wǎng)辦公區域的安全問(wèn)題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠對內網(wǎng)用戶(hù)的上網(wǎng)行為進(jìn)行精細化識別和管控,深信服NGAF從網(wǎng)絡(luò )層面保障了辦公網(wǎng)絡(luò )的安全,終端防病毒軟件部署到辦公終端設備上,提供更加深度的安全保護,也是網(wǎng)關(guān)安全設備的有效補充,而深信服企業(yè)無(wú)線(xiàn)產(chǎn)品能夠為企業(yè)客戶(hù)提供安全、快速、可靠的無(wú)線(xiàn)網(wǎng)絡(luò ),滿(mǎn)足企業(yè)無(wú)線(xiàn)辦公需求。
NGAF給企業(yè)辦公網(wǎng)絡(luò )構建了立體的防護體系,防止內部終端遭受各個(gè)層次的安全威脅。通過(guò)啟用入侵防御和防病毒等功能,NGAF提供了全面的虛擬補丁功能,有效防御各種攻擊和網(wǎng)絡(luò )蠕蟲(chóng)病毒,保證辦公網(wǎng)絡(luò )的安全穩定運行。NGAF內置了僵尸網(wǎng)絡(luò )識別庫,通過(guò)分析內網(wǎng)終端的異常行為(如連接惡意主機或URL)等機制準確識別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵,鏟除APT攻擊的土壤。
AC設備具備專(zhuān)業(yè)的身份認證功能,能夠針對用戶(hù)和用戶(hù)組實(shí)施不同的應用控制和流量分配策略;AC內置了國內最全面的應用識別庫,能精準識別和控制內部員工的上網(wǎng)行為,保障關(guān)鍵應用,限制無(wú)關(guān)應用,阻止非法應用,避免員工在工作時(shí)間使用無(wú)關(guān)應用影響工作、占用帶寬,提高企業(yè)帶寬的使用價(jià)值。
終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過(guò)在終端部署防病毒軟件,可以更加精準的檢測終端設備潛藏的安全威脅,徹底清除病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心,可以集中管理眾多防病毒軟件,實(shí)現軟件集中管理、集中更新、統一運維。
深信服企業(yè)無(wú)線(xiàn)產(chǎn)品(包括無(wú)線(xiàn)AP和無(wú)線(xiàn)控制器NAC)能夠幫助企業(yè)客戶(hù)打造安全、快速、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。深信服企業(yè)無(wú)線(xiàn)提供了端到端的網(wǎng)絡(luò )協(xié)議棧加速、網(wǎng)絡(luò )優(yōu)化、終端和應用識別及流控技術(shù),能夠為企業(yè)打造更快速、更穩定的企業(yè)無(wú)線(xiàn)服務(wù);深信服企業(yè)無(wú)線(xiàn)提供了便捷的安全管理和全面的安全防護,支持二維碼認證、802.1X自動(dòng)配置、精細化角色授權管理等技術(shù),為企業(yè)打造更安全、更便捷的無(wú)線(xiàn)網(wǎng)絡(luò );深信服企業(yè)無(wú)線(xiàn)還內置了信息推送中心,預留了企業(yè)微信公眾平臺對接模塊,全面滿(mǎn)足企業(yè)可運營(yíng)化無(wú)線(xiàn)網(wǎng)絡(luò )。
3.6.2 方案價(jià)值
NGAF為企業(yè)辦公區域打造安全可靠的隔離區域,并提供二到七層的全面防護,保護內部用戶(hù)免受非法侵入。
防病毒軟件能夠從終端層面更加全面精準的檢測內部終端的安全威脅,并徹底清除這些威脅,營(yíng)造干凈的辦公網(wǎng)絡(luò )。
AC設備提供了精準智能的應用和流量控制策略,保障關(guān)鍵業(yè)務(wù)應用體驗,避免無(wú)關(guān)應用對帶寬的消耗,保障工作高效執行。
深信服企業(yè)無(wú)線(xiàn)產(chǎn)品通過(guò)多種領(lǐng)先的技術(shù)手段幫助企業(yè)客戶(hù)打造安全、快速、穩定、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。
3.7 運維管理域安全方案
3.1.1 方案說(shuō)明
針對運維區域存在的安全問(wèn)題,深信服推薦部署NGAF、集中管理設備SC和運維審計產(chǎn)品,從而打造安全、可控、易運維的運維管理區域。
NGAF可以給運維管理區打造安全隔離區,并基于嚴格的訪(fǎng)問(wèn)控制策略和身份認證信息進(jìn)行區域網(wǎng)絡(luò )接入,同時(shí)NGAF還能夠防范病毒、僵尸、蠕蟲(chóng)等威脅對運維區的入侵和破壞,給運維管理區打造一片安全的網(wǎng)絡(luò )環(huán)境。
運維審計產(chǎn)品可以為IT人員對各種設備、系統的運維操作提供統一的接入門(mén)戶(hù),實(shí)現資源的統一接入、資源自動(dòng)登錄、運維會(huì )話(huà)記錄、實(shí)時(shí)告警提示、實(shí)時(shí)設備監控;運維審計產(chǎn)品提供了強大的身份管理、靈活細粒度的授權、多維度的日志采集和詳細的審計分析能力,實(shí)現操作的有效監管和審計。
深信服SC集中管理平臺能夠對深信服設備進(jìn)行集中管理。SC集中平臺可以統一查看各個(gè)設備的實(shí)時(shí)信息,包括最近事件,cpu、內存、磁盤(pán)使用信息,設備版本信息等,并能進(jìn)行安全策略統一管理下發(fā)和軟件規則庫自動(dòng)升級管理。配合SC平臺的外置虛擬數據中心軟件,可以對這些設備的狀態(tài)信息、日志信息進(jìn)行集中收集和管理,并支持進(jìn)一步的分析查詢(xún)和詳細信息提取。
3.7.2 方案價(jià)值
基于二到七層的深度內容可視和嚴格的訪(fǎng)問(wèn)控制、安全保護策略,NGAF為企業(yè)運維區提供了最安全的隔離保護。
通過(guò)SC集中監管平臺和外置數據中心,可以對全網(wǎng)安全設備進(jìn)行集中運維和審計分析,提升運維效率。
運維審計產(chǎn)品實(shí)現了IT源的統一接入、集中監控、統一運維、集中審計,實(shí)現資源高效運維和快速監管。
第4章 深信服解決方案產(chǎn)品介紹
4.1 下一代防火墻NGAF介紹
4.2.1 下一代防火墻NGAF簡(jiǎn)介
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應用層設計,能夠精確識別用戶(hù)、應用和內容,具備完整安全防護能力,能夠全面替代傳統防火墻,并具有強勁應用層處理能力的全新網(wǎng)絡(luò )安全設備。NGAF解決了傳統安全設備在應用識別、訪(fǎng)問(wèn)控制、內容安全防護等方面的不足,同時(shí)開(kāi)啟所有功能后性能不會(huì )大幅下降。作為傳統防火墻的升級替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統防火墻,可以對全網(wǎng)流量進(jìn)行雙向深入數據內容層面的全面透析。在安全策略制定方面,區域別于傳統防火墻五元組安全策略,深信服NGAF可對L2-L7層更多的元素(如,用戶(hù)、應用類(lèi)型、URL、數據內容等)制定雙向的安全訪(fǎng)問(wèn)策略,使安全策略更精細、更有效,且滿(mǎn)足業(yè)務(wù)的合規性;在安全防護能力方面,提升了傳統的抗攻擊的能力,不僅能防護網(wǎng)絡(luò )層的攻擊,針對來(lái)源更廣泛、攻擊更容易、危害更大的應用層攻擊也可以進(jìn)行防護,實(shí)現L2-L7層的安全防護。同時(shí),深信服NGAF采用全新的軟硬件架構,減小在多種復雜的安全策略和L2-L7層多功能防護功能全部開(kāi)啟時(shí)性能的消耗,實(shí)現應用層高性能。
4.2.2 產(chǎn)品功能列表
項目 | 具體描述 |
部署方式 | 支持路由,透明,旁路,虛擬網(wǎng)線(xiàn),混合部署模式; |
設備形態(tài) | 硬件物理網(wǎng)關(guān),硬件一虛多網(wǎng)關(guān),軟件虛擬化網(wǎng)關(guān); |
實(shí)時(shí)監控 | 實(shí)時(shí)提供CPU、內存、磁盤(pán)占用率、會(huì )話(huà)數、在線(xiàn)用戶(hù)數、網(wǎng)絡(luò )接口等設備資源信息;提供安全事件信息,包括最近安全事件、服務(wù)器安全事件、終端安全事件等,事件信息提供發(fā)生事件、源IP、目的IP、攻擊類(lèi)型以及攻擊的URL等;提供實(shí)時(shí)智能模塊間聯(lián)動(dòng)封鎖的源IP以便實(shí)現動(dòng)態(tài)智能安全管理; |
網(wǎng)絡(luò )適應性 | 支持ARP代理、靜態(tài)ARP綁定,配置DNS及DNS代理、支持DHCP中繼、DHCP服務(wù)器、DHCP客戶(hù)端;支持SNMP v1,v2,v3,支持SNMP Trap;支持靜態(tài)路由、RIP v1/2、OSPF、策略路由;支持鏈路探測,端口聚合,接口聯(lián)動(dòng); |
包過(guò)濾與狀態(tài)檢測 | 提供靜態(tài)的包過(guò)濾和動(dòng)態(tài)包過(guò)濾功能;支持的應用層報文過(guò)濾,包括:應用層協(xié)議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協(xié)議:TCP、UDP; |
NAT地址轉換 | 支持多個(gè)內部地址映射到同一個(gè)公網(wǎng)地址、多個(gè)內部地址映射到多個(gè)公網(wǎng)地址、內部地址到公網(wǎng)地址一一映射、源地址和目的地址同時(shí)轉換、外部網(wǎng)絡(luò )主機訪(fǎng)問(wèn)內部服務(wù)器、支持DNS映射功能;可配置支持地址轉換的有效時(shí)間;支持多種NAT ALG,包括DNS、FTP、H.323、SIP等 |
抗攻擊特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防范、ARP主動(dòng)反向查詢(xún)、TCP報文標志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能,此外還支持靜態(tài)和動(dòng)態(tài)黑名單功能、MAC和IP綁定功能;支持CC攻擊防護; |
IPSEC VPN | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持擴展國密辦SCB2等其他加密算法支持MD5及SHA-1驗證算法;支持各種NAT網(wǎng)絡(luò )環(huán)境下的VPN組網(wǎng);支持第三方標準IPSec VPN進(jìn)行對接;*總部與分支有多條線(xiàn)路,可在線(xiàn)路間一一進(jìn)行IPSecVPN隧道建立,并設置主隧道及備份隧道,對主隧道可進(jìn)行帶寬疊加、按包或會(huì )話(huà)進(jìn)行流量平均分配,主隧道斷開(kāi)備份隧道自動(dòng)啟用,保證IPSecVPN連接不中斷;可為每一分支單獨設置不同的多線(xiàn)路策略;單臂部署下同樣支持多線(xiàn)路策略; |
SSL VPN | 支持SSL VPN; |
應用訪(fǎng)問(wèn)控制策略 | 支持對1000種以上應用、2500種以上應用動(dòng)作,可以識別P2P、IM、OA辦公應用、數據庫應用、ERP應用、軟件升級應用、木馬外聯(lián)、炒股軟件、視頻應用、代理軟件、網(wǎng)銀等協(xié)議;支持自定義規則; 提供基于應用識別類(lèi)型、用戶(hù)名、接口、安全域、IP地址、端口、時(shí)間進(jìn)行應用訪(fǎng)問(wèn)控制列表的制定; |
APT檢測 | 內置超過(guò)60萬(wàn)的病毒,木馬,間諜軟件等惡意軟件特征庫,并且在不斷的持續更新特征內容;支持通過(guò)安全云實(shí)現虛擬沙盒動(dòng)態(tài)檢測技術(shù)??蓹z測未知威脅在沙盒中對注冊表、文件系統等的修改,通過(guò)云端聯(lián)動(dòng)的方式快速更新到各節點(diǎn)設備中,可實(shí)現快速統一的防護未知攻擊;支持異常流量檢測功能,能夠區分正常業(yè)務(wù)流量和潛藏在其中的危險流量。能夠有效區分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服務(wù)器上常見(jiàn)應用流量中的危險流量,也能對常規應用運行在非標準端口的為進(jìn)行預警; |
IPS入侵防護 | 微軟“MAPP”計劃會(huì )員,漏洞特征庫: 3900+并獲得CVE“兼容性認證證書(shū)”,能夠自動(dòng)或者手動(dòng)升級;防護類(lèi)型包括蠕蟲(chóng)/木馬/后門(mén)/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等;防護對象分為保護服務(wù)器和保護客戶(hù)端兩大類(lèi),便于策略部署;漏洞詳細信息顯示:漏洞ID、漏洞名稱(chēng)、漏洞描述、攻擊對象、危險等級、參考信息、地址等內容;支持自動(dòng)攔截、記錄日志、上傳灰度威脅到“云端”; |
Web攻擊防護 | 支持Web攻擊特征數3000+;支持Web網(wǎng)站隱藏,包括HTTP響應報文頭出錯頁(yè)面的過(guò)濾,Web響應報文頭可自定義;支持FTP服務(wù)應用信息隱藏包括:服務(wù)器信息、軟件版本信息等;支持OWASP定義10大web安全威脅,保護服務(wù)器免受基于Web應用的攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護;支持Web站點(diǎn)防掃描;可嚴格控制上傳文件類(lèi)型,支持識別PHP,JSP,ASP腳本編寫(xiě)的Webshell腳本文件上傳;支持對常見(jiàn)Web內容管理系統的防護,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
口令暴力破解防護 | 支持對常見(jiàn)應用服務(wù)器和數據庫軟件,如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防護功能; |
敏感信息防泄漏 | 內置常見(jiàn)敏感信息的特征,如身份證信息、MD5、手機號碼、銀行卡號、郵箱等,并可自定義具有特殊特征的敏感信息;支持正常訪(fǎng)問(wèn)http連接中非法敏感信息的外泄防護;支持數據庫文件敏感信息檢測,防止數據庫文件被“拖庫”、“暴庫”; |
風(fēng)險評估 | 支持服務(wù)器、客戶(hù)端的漏洞風(fēng)險評估功能,支持對目標IP進(jìn)行端口、服務(wù)掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網(wǎng)上鄰居NetBIOS、VNC等多種應用的弱口令評估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請求偽造(CSRF),操作系統命令,本地文件包含,遠程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務(wù)器端包含(SSI)等豐富的Web應用服務(wù)漏洞檢測;風(fēng)險評估可以實(shí)現與FW、IPS、服務(wù)器防護模塊的智能策略聯(lián)動(dòng),自動(dòng)生成策略; |
實(shí)時(shí)漏洞分析 | 支持對經(jīng)過(guò)設備的流量被動(dòng)進(jìn)行分析,分析內容包括底層軟件漏洞分析,Web應用風(fēng)險分析,Web不安全配置檢測以及服務(wù)器弱密碼檢測,并實(shí)時(shí)生成分析報告。具備單獨的針對服務(wù)器安全風(fēng)險和潛在威脅的特征識別庫; |
業(yè)務(wù)風(fēng)險報表 | 提供基于用戶(hù)/業(yè)務(wù)的綜合風(fēng)險報表,統計維度為用戶(hù)和業(yè)務(wù)而非IP地址;根據網(wǎng)絡(luò )風(fēng)險狀況提供優(yōu)、良、中、差評級;攻擊統計提供所有檢測攻擊數和有效攻擊數兩個(gè)維度;報表內容呈現主動(dòng)掃描的漏洞分布情況,匹配攻擊日志輸出已被攻擊的漏洞數和發(fā)現的所有漏洞數的統計報表;業(yè)務(wù)安全報表提供攻擊分析、漏洞評估、業(yè)務(wù)系統漏洞詳情等信息;用戶(hù)安全報表提供遭攻擊最多的用戶(hù)詳情、異常連接用戶(hù)詳情等信息;安全風(fēng)險類(lèi)型匯總基于業(yè)務(wù)系統遭受攻擊類(lèi)型、業(yè)務(wù)系統存在最多漏洞類(lèi)型、用戶(hù)遭受最多威脅類(lèi)型進(jìn)行統計; |
網(wǎng)頁(yè)篡改防護 | 網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改,無(wú)需在服務(wù)器中安裝任何插件;支持文件比對、特征碼比對、網(wǎng)站元素、數字指紋比對多種比對方式,保證網(wǎng)站安全;全面保護網(wǎng)站的靜態(tài)網(wǎng)頁(yè)和動(dòng)態(tài)網(wǎng)頁(yè),支持網(wǎng)頁(yè)的自動(dòng)發(fā)布、篡改檢測、應用保護、警告和自動(dòng)恢復,保證傳輸、鑒別、地址訪(fǎng)問(wèn)、表單提交、審計等各個(gè)環(huán)節的安全,完全實(shí)時(shí)杜絕篡改后的網(wǎng)頁(yè)被訪(fǎng)問(wèn)的可能性及任何使用Web方式對后臺數據庫的篡改;支持各級頁(yè)面模糊框架匹配、精確匹配的方式適用不同的網(wǎng)頁(yè)類(lèi)型;支持提供管理員業(yè)務(wù)操作界面與網(wǎng)管管理界面分離功能,方便業(yè)務(wù)人員更新網(wǎng)站內容;支持通過(guò)替換、重定向等技術(shù)手段,防護篡改頁(yè)面;網(wǎng)站維護管理員必須通過(guò)短信認證才可進(jìn)行網(wǎng)站更新業(yè)務(wù)操作(選配);支持短信報警、郵件報警、控制臺報警等多種篡改報警方式; |
病毒防護 | 支持基于流引擎查毒技術(shù),可以針對HTTP、FTP、SMTP、POP3等協(xié)議進(jìn)行查殺;能實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò )型和混合型等各類(lèi)病毒;并采用新一代虛擬脫殼和行為判斷技術(shù),準確查殺各種變種病毒、未知病毒;內置10萬(wàn)條以上的病毒庫,并且可以自動(dòng)或者手動(dòng)升級;檢測到病毒后支持記錄日志、阻斷連接; |
Web過(guò)濾 | 對用戶(hù)web行為進(jìn)行過(guò)濾,保護用戶(hù)免受攻擊;支持只過(guò)濾HTTP GET、HTTP POST、HTTPS等應用行為;并進(jìn)行阻斷和記錄日志;支持針對上傳、下載等操作進(jìn)行文件過(guò)濾;支持自定義文件類(lèi)型進(jìn)行過(guò)濾;支持基于時(shí)間表的策略制定;支持的處理動(dòng)作包括:阻斷和記錄日志 |
流量管理 | 支持將多條外網(wǎng)線(xiàn)路虛擬映射到設備上,實(shí)現對多線(xiàn)路的分別流控;支持基于應用類(lèi)型、網(wǎng)站類(lèi)型、文件類(lèi)型的帶寬劃分與分配;支持時(shí)間和IP的帶寬劃分與分配; |
用戶(hù)管理 | 支持基于用戶(hù)名/密碼、單點(diǎn)登陸以及基于IP地址、MAC地址、計算機名的識別等多種認證方式;支持AD域結合、Proxy、POP3、web表單等多種單點(diǎn)登陸方式,簡(jiǎn)化用戶(hù)操作;*可強制指定用戶(hù)、指定IP段的用戶(hù)必須使用單點(diǎn)登錄;支持添加到指定本地組、臨時(shí)賬號和不允許新用戶(hù)認證等新用戶(hù)認證策略;支持強制AD域認證,指定用戶(hù)必須用AD域賬戶(hù)登錄操作系統,否則禁止上網(wǎng);認證成功的用戶(hù)支持頁(yè)面跳轉,包括最近請求頁(yè)面、管理員制定URL、注銷(xiāo)頁(yè)面等;支持CSV格式文件導入、掃描導入和從外部LDAP服務(wù)器上導入等賬戶(hù)導入方式;用戶(hù)分組支持樹(shù)形結構,支持父組、子組、組內套組等組織結構; |
關(guān)鍵頁(yè)面雙因素認證 | 支持管理員頁(yè)面、管理后臺的短信強認證機制,要求至少提供URL、telnet、ssh三種方式的短信認證 |
高可用性 | 支持A/A,A/S模式部署,支持會(huì )話(huà)同步,配置同步和用戶(hù)信息同步; |
網(wǎng)關(guān)管理 | 網(wǎng)管管理員具備安全管理員,審計員和系統管理員三種權限,安全管理員默認只允許安全策略和安全日志的查看和編輯權限;審計員默認只開(kāi)放數據中心日志的查看和編輯權限,不具備設備的管理權限;系統管理員默認具備除安全功能外的其他系統管理權限,不具備設備的日志查看權限;支持SSL加密WEB方式管理設備;支持郵件、短信(可擴展)等告警方式,可提供管理員登錄、病毒、IPS、web攻擊以及日志存儲空間不足等告警設置;提供圖形化排障工具,便于管理員排查策略錯誤等故障;提供路由、網(wǎng)橋、旁路等部署模式的配置引導,提供保護服務(wù)器、保護內網(wǎng)用戶(hù)上網(wǎng)安全、保證內網(wǎng)用戶(hù)上網(wǎng)帶寬、保證遭到攻擊及時(shí)提醒和保留證據等網(wǎng)關(guān)應用場(chǎng)景的配置引導,簡(jiǎn)化管理員配置; |
日志管理與報表 | 能夠自定義時(shí)間段查詢(xún)DOS攻擊、web防護、IPS、病毒、web威脅、網(wǎng)站訪(fǎng)問(wèn)、應用控制、用戶(hù)登錄、系統操作等多種安全日志查詢(xún);提供可定義時(shí)間內安全趨勢分析報表;支持自定義統計指定IP/用戶(hù)組/用戶(hù)/應用在指定時(shí)間段內的服務(wù)器安全風(fēng)險、終端安全風(fēng)險等內容,并形成報表;支持將統計/趨勢等報表自動(dòng)發(fā)送到指定郵箱;支持導出安全統計/趨勢等報表,包括網(wǎng)頁(yè)、PDF等格式; |
全網(wǎng)安全監控平臺 | 支持全網(wǎng)集中管控,提供獨立外置數據中心軟件,實(shí)時(shí)匯總收集分支設備的安全日志,并在外置數據中心集中展現全網(wǎng)所有安全設備的安全狀態(tài),包括安全等級,攻擊趨勢,最近有效事件,用戶(hù)安全,服務(wù)器安全情況以及攻擊來(lái)源,實(shí)現數據的實(shí)時(shí)匯總,統一分析和統一展現; |
4.4 安全網(wǎng)關(guān)SSL VPN介紹
4.4.1 SSL VPN簡(jiǎn)介
作為國家SSL VPN標準的核心制定者之一,深信服SSL VPN產(chǎn)品擁有業(yè)界最多的專(zhuān)利技術(shù),是國內業(yè)界應用最廣泛、最完善的SSL安全訪(fǎng)問(wèn)解決方案。
據國際權威調查機構FROST & SULLIVAN 2012年和2013年調查報告顯示,深信服SSL VPN分別以40.3%和39.8%的市場(chǎng)占有率獨占鰲頭。深信服SSL VPN大量大規模、高并發(fā)客戶(hù)案例為同行業(yè)之最,已連續六年保持國內市場(chǎng)占有率第一。
4.4.2 產(chǎn)品功能列表
功能列表 | |
功能 分類(lèi) | 詳細指標 |
部署 模式 | 網(wǎng)關(guān)模式、單臂(旁路)模式、 多機熱備模式、集群模式、分布式集群模式 |
支持性 | 完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、Mac OS等主流操作系統 |
完整支持IE、Firefox、Safari、Google Chrome、Opera等主流瀏覽器 | |
快速性 | 支持路由和單臂模式下的基于Web的多線(xiàn)路智能選路(選配),客戶(hù)端無(wú)需安裝插件 |
支持Web服務(wù)壓縮、C/S服務(wù)壓縮(LZO、GZIP)、動(dòng)態(tài)壓縮算法、Web優(yōu)化技術(shù)、WebCache技術(shù)、IPTunnel加速技術(shù),全面提升B/S應用和C/S應用的訪(fǎng)問(wèn)速度 | |
支持單邊加速功能,支持web服務(wù),TCP服務(wù),L3VPN服務(wù),遠程應用發(fā)布的單邊加速 | |
支持HTP高速傳輸協(xié)議,保證高丟包高延時(shí)環(huán)境下的快速訪(fǎng)問(wèn) | |
支持資源負載均衡,根據不同的權值實(shí)現負載接入,提高接入效率 | |
安全性 | 支持AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法,支持加載擴展安全算法模塊 |
支持本地認證、基于短信貓、短信網(wǎng)關(guān)的短信認證(支持重發(fā)功能)(選配)、動(dòng)態(tài)令牌(選配)、硬件特征碼(自動(dòng)收集獲取、支持與身份多對多、支持批量導入導出和自動(dòng)審批、可分級管理)、有驅及無(wú)驅USB Key(選配)、第三方與自建CA、LDAP(讀取分組權限、手機號碼、虛擬IP)、RADIUS(讀取手機號碼、虛擬IP)等多種認證方式的組合認證,可支持5因素捆綁認證;支持終端的基于IP和用戶(hù)名的防暴破登錄和多種密碼安全策略(數字字母組合的圖形驗證碼、動(dòng)態(tài)變換的軟鍵盤(pán)、定時(shí)修改密碼、密碼強度、首次登陸修改密碼);獨有的專(zhuān)利技術(shù)主從綁定實(shí)現SSL VPN賬號與應用系統賬號的唯一綁定 | |
支持安全桌面功能:利用安全桌面,強制受保護的指定資源僅可在安全桌面下使用;安全桌面下默認僅可與SSLVPN通信,斷開(kāi)互聯(lián)網(wǎng)鏈接;在安全桌面內默認禁止外網(wǎng)和本地局域網(wǎng)通訊,禁止和本機默認桌面的通信,防止使用包括USB口設備、打印機等外設的信息外泄。退出安全桌面后清除安全桌面內一切操作和遺留的痕跡,保證重要應用使用的安全性。安全桌面根據用戶(hù)需要自行配置按用戶(hù)組、單獨用戶(hù)啟用;可配置安全桌面下可訪(fǎng)問(wèn)的指定網(wǎng)段;可配置允許使用COM端口、允許使用打印機、允許與切換到默認桌面、允許本地通信;支持更換安全桌面壁紙、文件明文導出及審計、數據加密保存、離線(xiàn)訪(fǎng)問(wèn)等功能(選配) | |
支持客戶(hù)端安全配置權限控制,允許或禁止私用用戶(hù)自行配置密碼、手機號碼及用戶(hù)描述;支持客戶(hù)端注銷(xiāo)后自動(dòng)清除所有緩存、瀏覽器歷史記錄、保存的表單信息等,實(shí)現零痕跡訪(fǎng)問(wèn);可配置含Vista/Win7下的VPN專(zhuān)線(xiàn)功能 | |
支持進(jìn)行操作系統、文件、進(jìn)程、注冊表、用戶(hù)接入IP、登錄IP、登錄時(shí)間、接入終端等規則的“與或”組合進(jìn)行登錄前和登錄后的客戶(hù)端安全檢測,可配置準入和授權策略;支持客戶(hù)端安全策略庫,并支持自動(dòng)升級 | |
可配置匿名登錄用戶(hù),只提供SSL加密隧道傳輸 | |
支持服務(wù)資源隱藏、URL地址偽裝 | |
實(shí)現針對資源的IP地址、端口、服務(wù)、URL級別等實(shí)現基于角色的細粒度權限分配功能 | |
支持基于狀態(tài)監測的防火墻功能,支持防DoS攻擊;支持防火墻過(guò)濾規則在線(xiàn)虛擬測試 | |
支持開(kāi)放數據庫給第三方;支持與第三方數據庫結合認證 | |
易用性 | 支持B/S、C/S應用的單點(diǎn)登錄,可允許用戶(hù)自行修改SSO登錄帳號,支持NTLM、BASIC單點(diǎn)登錄 |
支持無(wú)插件的Web文件共享功能,僅通過(guò)Web頁(yè)面即可實(shí)現文件服務(wù)器的文件上傳、下載、復制、剪切、粘貼、重命名、新建文件夾等常用文件操作 | |
支持虛擬門(mén)戶(hù)功能,為不同的用戶(hù)配置獨立擁有IP、域名、認證方式、訪(fǎng)問(wèn)資源等元素,實(shí)現更高隔離的安全性。 | |
支持遠程應用發(fā)布:只傳輸鼠標、鍵盤(pán)操作和顯示數據,無(wú)需安裝客戶(hù)端即可支持C/S模式軟件系統的遠程使用。支持客戶(hù)端、服務(wù)端權限細化控制、遠程存儲,支持虛擬打印機、本地輸入法映射;支持遠程應用單點(diǎn)登錄(選配) | |
支持EMM企業(yè)移動(dòng)管理功能,包括設備注冊、數據擦除、企業(yè)應用商店、APP安全加固等功能,保障客戶(hù)移動(dòng)業(yè)務(wù)安全 | |
支持系統托盤(pán)及懸浮窗口;支持SSL VPN開(kāi)機自動(dòng)登錄、桌面快捷方式啟動(dòng)、C/S客戶(hù)端方式啟動(dòng);可配置用戶(hù)登錄后默認服務(wù)頁(yè)面;支持自定義資源組、資源圖標化顯示;管理員可在線(xiàn)對登錄用戶(hù)發(fā)布即時(shí)廣播消息 | |
支持User權限登錄正常使用SSL VPN;支持域控下發(fā)控件;支持ISA代理環(huán)境下無(wú)縫接入;支持內網(wǎng)DNS | |
支持用戶(hù)、用戶(hù)組、各種資源的查詢(xún)和排行功能;支持資源導入導出,支持csv格式導出 | |
支持4套頁(yè)面模板和頁(yè)面完全定制,支持界面顏色、頁(yè)面標題、LOGO、用戶(hù)公告信息自定義 | |
支持智能遞推功能,防止資源漏訪(fǎng) | |
支持用戶(hù)/用戶(hù)組的流量管理、會(huì )話(huà)控制、超時(shí)時(shí)間設置、閑置時(shí)間設置;會(huì )話(huà)管理可全局配置 | |
支持LDAP、RADIUS分配虛擬IP,支持基于用戶(hù)、用戶(hù)組分配不同的虛擬IP | |
支持16級用戶(hù)分級,支持下級組對上級組的角色、組屬性及認證方式繼承 | |
穩定性、可擴展性 | 支持VPN隧道的斷線(xiàn)自動(dòng)重連;多線(xiàn)路部署下,客戶(hù)端可實(shí)時(shí)監控隧道健康狀態(tài)并進(jìn)行隧道的線(xiàn)路間切換,切換過(guò)程中保持SSLVPN連接不中斷 |
支持高達253個(gè)站點(diǎn)集群功能,支持不同型號、低端型號設備集群(選配),支持集群設備間的Session同步,承載設備切換后用戶(hù)無(wú)需重新登錄SSLVPN;可擴展異地分布式集群功能(選配) | |
可管理功能 | 支持管理員16級分級分權限管理,支持配置模塊、用戶(hù)/資源/角色的查看、配置權限授予不同管理員;支持用戶(hù)組流量、會(huì )話(huà)配置的強制繼承,支持用戶(hù)組屬性的強制繼承和可選繼承;支持管理員登錄IP限制 |
支持系統實(shí)時(shí)監控,實(shí)時(shí)顯示CPU、內存、硬盤(pán)、線(xiàn)路運行狀態(tài),查看實(shí)時(shí)接入用戶(hù)會(huì )話(huà)數、發(fā)送/接收流速、發(fā)送/接收流量、接入時(shí)間等信息,并可在線(xiàn)中斷指定用戶(hù);支持查看歷史最高并發(fā)用戶(hù)數 | |
支持Web/CLI/SSH管理,支持Telnet管理;支持SNMP、Syslog;支持本地和遠程備份及恢復;支持SSLVPN配置的單獨備份及恢復,支持配置的回滾 | |
支持獨立日志服務(wù)器提供多種日志類(lèi)型,支持基于用戶(hù)、用戶(hù)組、流量、資源多因素的柱狀圖、曲線(xiàn)圖等多種報表,可定時(shí)發(fā)送報表;支持多臺設備日志統一到一臺日志服務(wù)器,支持日志服務(wù)器的管理員分級管理。 | |
IPSec功能 | 支持IPSec VPN,支持與第三方國際標準的IPSec VPN進(jìn)行對接 |
4.5 廣域網(wǎng)優(yōu)化WOC介紹
4.5.1 廣域網(wǎng)優(yōu)化產(chǎn)品簡(jiǎn)介
深信服2007年正式推出亞太地區首款廣域網(wǎng)優(yōu)化產(chǎn)品,也是業(yè)內第一款集成應用加速、流量削減、流量管理、加速VPN、應用虛擬化等一體化的產(chǎn)品。推出至今通過(guò)持續創(chuàng )新,提升用戶(hù)體驗,目前已發(fā)展為中國廣域網(wǎng)優(yōu)化市場(chǎng)的領(lǐng)導者。
深信服廣域網(wǎng)優(yōu)化產(chǎn)品為中國最完整的廣域網(wǎng)優(yōu)化解決方案,具有協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jì)?yōu)化等多種技術(shù),能夠幫助用戶(hù)加快關(guān)鍵應用的響應速度,為用戶(hù)帶來(lái)更高的投資回報比,該產(chǎn)品在惡劣的網(wǎng)絡(luò )傳輸環(huán)境中的加速效果尤為明顯。
功能全面:深信服廣域網(wǎng)優(yōu)化產(chǎn)品擁有VPN、流量管理、流量削減、應用加速、智能報表等多合一功能,幫助用戶(hù)提高廣域網(wǎng)帶寬資源的利用率。
價(jià)值最高:可大幅度提高關(guān)鍵業(yè)務(wù)系統的響應速度;削減傳輸線(xiàn)路中60%~90%的冗余數據,緩解帶寬壓力;在高時(shí)延,高丟包的鏈路環(huán)境下?lián)碛懈@著(zhù)的加速效果。
品牌首選:擁有7項專(zhuān)利技術(shù);連續多年入圍Gartner WOC魔力象限和中央政府采購名單;用戶(hù)數量超過(guò)2000 多家,囊括政府、金融、運營(yíng)商、能源、教育、企業(yè)等各行業(yè)用戶(hù)。
4.5.2 產(chǎn)品功能列表
功能列表 | |
功能 分類(lèi) | 詳細指標 |
設備部署 | 支持路由、網(wǎng)關(guān)、單臂、網(wǎng)橋、網(wǎng)橋多線(xiàn)路等部署模式 |
支持集加速、流控、IPsec VPN、遠程應用發(fā)布一體化功能 | |
支持虛擬化版本,實(shí)現快速部署 | |
支持網(wǎng)橋部署建立VPN,無(wú)需更改網(wǎng)絡(luò )拓撲,提高部署的易用性 | |
安全性 | 支持AES、DES、3DES、MD5、SHA1等算法,并且支持擴展國密辦SM3、SM4等加密算法,保證數據安全 |
內置基于狀態(tài)檢測的企業(yè)級防火墻功能,提供包過(guò)濾、URL過(guò)濾、訪(fǎng)問(wèn)監控、DHCP服務(wù)等 | |
可對來(lái)自外部和內部的DoS攻擊進(jìn)行有效防護 | |
可根據設備本身的硬件信息生成證書(shū),分支設備接入總部根據該證書(shū)進(jìn)行驗證,防止非法網(wǎng)關(guān)的接入 | |
高速性 | 支持高速TCP和HTP傳輸協(xié)議,自適應高延遲高丟包網(wǎng)絡(luò )環(huán)境 |
支持多磁盤(pán)、雙向、基于分片數據包的字節流緩存加速,支持共享流緩存功能,提高整體削減效果 | |
持TCP、CIFS、HTTP、HTTPS、FTP、POP3/SMTP、MAPI、Citrix、RDP、Oracle EBS(含Socket、HTTPS模式)協(xié)議的代理;支持對WEB、HTTPS、FTP、網(wǎng)上鄰居(含Kerberos模式)、Lotus Notes、Exchange(含2010版本Kerberos模式)、Oracle、MS-SQL、SAP、用友NC金蝶EAS等應用的加速 | |
支持GZIP、LZO高速流壓縮算法 | |
支持UDP丟包優(yōu)化算法,通過(guò)對視頻會(huì )議傳輸鏈路優(yōu)化來(lái)提升視頻會(huì )議流暢效果 | |
基于應用的精細化流量管理,保障核心應用帶寬,封堵無(wú)關(guān)應用,內置2000多條應用識別規則列表 | |
易用性 | 支持標準的網(wǎng)管協(xié)議SNMP,可采用配置向導進(jìn)行快速配置 |
支持超級管理員和受限管理員設置 | |
可查看系統信息,告警日志,錯誤日志,調試日志等多種日志,支持獨立日志服務(wù)器,支持實(shí)時(shí)和歷史流量的察看、加速和非加速流量和會(huì )話(huà)的查看,可自動(dòng)生成報表,并發(fā)送到指定郵箱 | |
支持設備的自動(dòng)路徑發(fā)現,支持WCCP、PBR、CDP、NQA | |
支持內置數據中心,支持IP流量排行和應用流量排行報表查看,并支持基于IP、應用、加速用戶(hù)、設備進(jìn)行加速削減報表查看;為方便管理員定期查看,要求支持周期性生成PDF報表,通過(guò)郵件自動(dòng)發(fā)送給管理員 | |
支持集中管理,可集中管控、查看設備中關(guān)鍵功能模塊 | |
穩定性 | 支持動(dòng)態(tài)IP,并采用主備份雙尋址系統,可自建尋址服務(wù)器 |
可支持多達4條Internet線(xiàn)路的帶寬疊加和備份,增加穩定性 | |
支持多線(xiàn)路的應用選路,能夠實(shí)現流量的分擔和負載功能,同時(shí)自動(dòng)檢查機制檢測線(xiàn)路,保障某一鏈路故障時(shí)的業(yè)務(wù)切換 | |
支持透明部署在專(zhuān)線(xiàn)中的,同時(shí)能夠基于互聯(lián)網(wǎng)線(xiàn)路建立專(zhuān)線(xiàn)備份線(xiàn)路,可自動(dòng)探測專(zhuān)線(xiàn)質(zhì)量若故障中斷可自動(dòng)切換到專(zhuān)線(xiàn)備份鏈路,保障業(yè)務(wù)的連續性 | |
擴展性 | 內置IPSEC VPN模塊,支持與第三方標準IPSec VPN進(jìn)行對接 |
內置流控模塊,支持基于應用的智能流控,實(shí)現廣域網(wǎng)流量整形 | |
支持通過(guò)在客戶(hù)端PC安裝PACC軟件實(shí)現移動(dòng)加速效果 | |
支持雙機備份,硬件ByPass功能(低端設備為可選) |
4.2 上網(wǎng)行為管理AC介紹
4.2.1 上網(wǎng)行為管理AC簡(jiǎn)介
2005年,深信服科技推出中國第一款專(zhuān)業(yè)上網(wǎng)行為管理產(chǎn)品,得益于深信服提供的專(zhuān)業(yè)上網(wǎng)行為管理技術(shù)和業(yè)界性能最強的處理平臺,該產(chǎn)品的用戶(hù)數量已達13000多家,其中超過(guò)5000家為中高端客戶(hù)。正是由于客戶(hù)的大力支持,深信服上網(wǎng)行為管理產(chǎn)品才能獲得市場(chǎng)占有率第一,成為業(yè)界第一品牌。
2011年底,深信服根據市場(chǎng)需求,及時(shí)推出了業(yè)內真正高性能大并發(fā)的萬(wàn)兆性能上網(wǎng)行為管理設備。采用最新的高性能硬件平臺,獨立的內存管理系統,高度網(wǎng)絡(luò )處理架構及最新的全業(yè)務(wù)識別引擎,深信服萬(wàn)兆性能上網(wǎng)行為管理產(chǎn)品滿(mǎn)足大企業(yè)、運營(yíng)商、高效等高帶寬行業(yè)客戶(hù)需求,全面助力高帶寬場(chǎng)景下的上網(wǎng)行為管控。
4.2.2 產(chǎn)品功能列表
功能列表 | |
分類(lèi) | 詳細指標 |
部署模式 | 支持網(wǎng)橋、旁路等部署模式; |
設備管理 | 支持通過(guò)IE、Firefox等瀏覽器通過(guò)SSL加密WEB方式、SSH命令行方式管理設備;支持v1、v2、v3方式連接設備SNMP服務(wù);支持接口bypass功能;支持千兆和萬(wàn)兆,多模和單模的任意搭配;提供圖形化排障工具,便于管理員排查策略錯誤等故障; |
設備部署 | 支持對網(wǎng)絡(luò )中IPv4/IPv6的流量進(jìn)行管理和控制;支持在IPv4/IPv6環(huán)境下的靜態(tài)路由功能;支持對IPv4/IPv6的L2TP、MPLS、PPPoE、QinQ的協(xié)議剝離,支持在L2TP、MPLS、PPPoE、QinQ環(huán)境中的行為管理; |
實(shí)時(shí)監控 | 支持提供設備實(shí)時(shí)CPU、內存、硬盤(pán)占有率、會(huì )話(huà)數、在線(xiàn)用戶(hù)數、系統時(shí)間、網(wǎng)絡(luò )接口等設備資源信息;支持實(shí)時(shí)提供在線(xiàn)用戶(hù)信息、應用流量排名、連接排名、所有線(xiàn)路應用流速趨勢、流量管理狀態(tài)、連接監控信息等;支持實(shí)時(shí)查看各帶寬通道的使用情況; |
用戶(hù)管理 | 用戶(hù)默認以IP作為用戶(hù)名添加到組織結構中,用戶(hù)分組支持樹(shù)形結構,支持父組、子組、組內嵌套組等;支持PPPoE、Web單點(diǎn)登錄,以單點(diǎn)登錄用戶(hù)名添加到組織結構、簡(jiǎn)化用戶(hù)操作; |
網(wǎng)頁(yè)管控 | 內置海量預分類(lèi)的URL地址庫,支持基于URL地址、搜索詞條、關(guān)鍵字過(guò)濾網(wǎng)頁(yè)訪(fǎng)問(wèn)行為;同時(shí)可基于關(guān)鍵字過(guò)濾網(wǎng)絡(luò )發(fā)帖行為,支持能看帖但不準發(fā)帖等細致管控功能;對于未包含在URL庫里的其他海量網(wǎng)頁(yè)通過(guò)網(wǎng)頁(yè)智能識別管控; |
應用識別 | 內置支持1100種以上網(wǎng)絡(luò )主流應用,2400條以上規則識別和管理IM、web IM、微博、網(wǎng)絡(luò )游戲、網(wǎng)絡(luò )炒股、P2P、流媒體、遠程控制、木馬、代理翻墻軟件等用戶(hù)常用網(wǎng)絡(luò )應用;支持應用更新版本后的主動(dòng)識別和控制; |
P2P智能識別 | 通過(guò)DPI技術(shù)識別BT、迅雷、電騾等30余種常見(jiàn)P2P應用協(xié)議,利用智能P2P識別技術(shù)實(shí)現變種P2P、未知P2P應用的全面識別和管理; |
流量管理 | 支持對IPv6流量進(jìn)行控制;支持虛擬線(xiàn)路、2級流控虛擬子通道等功能;可基于應用類(lèi)型、網(wǎng)站類(lèi)型及用戶(hù)、時(shí)間、目標IP等條件分配帶寬資源; |
上網(wǎng)審計 | 記錄訪(fǎng)問(wèn)的網(wǎng)頁(yè)的URL地址審計;記錄用戶(hù)明文發(fā)帖、微博內容、支持記錄P2P、流媒體、炒股、網(wǎng)絡(luò )游戲、Telnet等應用行為;支持記錄通過(guò)網(wǎng)頁(yè)上傳的文本內容;支持記錄其他網(wǎng)絡(luò )行為,包括IP、端口等信息;支持記錄用戶(hù)在指定時(shí)間段內產(chǎn)生的總流量和使用指定應用的總流量;支持記錄管理員的操作日志、系統日志等; |
免審計Key | 避免對持有免審計Key人員的上網(wǎng)審計,且免審計狀態(tài)不可由系統管理員私自變更(選配); |
日志審查Key | 管理過(guò)程記錄的各類(lèi)審計日志,數據中心管理員需持日志審查Key才能查看詳細日志信息(選配); |
數據中心 | 支持內置和獨立數據中心,海量存儲日志,可實(shí)現不同管理員根據自己的管理對象分級審計; |
報表 | 支持多種報表,包括統計報表、趨勢報表、匯總報表、對比報表、自定義報表等;支持查看、導出報表,并定時(shí)發(fā)送到指定郵箱;實(shí)現用戶(hù)及用戶(hù)組的上網(wǎng)流量、行為的查詢(xún)、統計、排行等各類(lèi)統計報表功能; |
內容檢索 | 提供類(lèi)似Google的日志檢索工具,管理者可輸入多個(gè)關(guān)鍵字實(shí)現對日志的快速定位,包括對日志附件正文內容的檢索和定位;支持主題訂閱,自動(dòng)將檢索結果以Email形式發(fā)送到指定郵箱; |
4.3 應用交付AD介紹
4.3.1 應用交付AD簡(jiǎn)介
深信服AD產(chǎn)品作為專(zhuān)業(yè)的應用交付設備,能夠為用戶(hù)的應用發(fā)布提供包括多數據中心負載均衡、多鏈路負載均衡、服務(wù)器負載均衡的全方位解決方案。配合性能優(yōu)化、單邊加速以及多重智能管理等技術(shù),實(shí)現對各個(gè)數據中心、鏈路以及服務(wù)器狀態(tài)的實(shí)時(shí)監控,同時(shí)根據預設規則將用戶(hù)的訪(fǎng)問(wèn)請求分配給相應的數據中心、鏈路以及服務(wù)器,進(jìn)而實(shí)現數據流的合理分配,使所有的數據中心、鏈路和服務(wù)器都得到充分的利用。不僅擴展應用系統的整體處理能力,提高其穩定性,更可切實(shí)改善用戶(hù)的訪(fǎng)問(wèn)體驗,降低組織的IT投資成本。
多合一負載均衡
功能全面:深信服應用交付解決方案包含全局負載均衡、多鏈路負載均衡、服務(wù)器負載均衡三位一體,幫助用戶(hù)提高多數據中心、多鏈路、服務(wù)器資源的利用率。
高性?xún)r(jià)比:深信服AD系列應用交付產(chǎn)品打破國外廠(chǎng)商壟斷,在無(wú)需購買(mǎi)額外授權的情況下,一臺設備具備了三大負載均衡功能,并直接開(kāi)通SSL加速、緩存、壓縮等眾多優(yōu)化功能,獲得超出業(yè)界同類(lèi)產(chǎn)品的投資回報。
快速、智能
單邊加速功能:獨一無(wú)二的單邊加速功能,用戶(hù)客戶(hù)端無(wú)需安裝任何插件或軟件即可提升訪(fǎng)問(wèn)速度。打造穩定智能的業(yè)務(wù)發(fā)布平臺,使得用戶(hù)可以更快更穩定地訪(fǎng)問(wèn)發(fā)布內容。
商業(yè)智能分析:深信服AD應用交付產(chǎn)品在保證數據交互穩定性的前提下,不僅可以知悉組織網(wǎng)絡(luò )、服務(wù)器以及數據中心的運行狀況,更可幫助組織分析自身的業(yè)務(wù)系統運行狀況,進(jìn)而為高層的網(wǎng)絡(luò )優(yōu)化和業(yè)務(wù)優(yōu)化提供決策依據。
智能優(yōu)化技術(shù):DNS透明代理、鏈路/服務(wù)器擁塞繁忙保護、智能路由、短信/郵件智能告警技術(shù)進(jìn)一步提升各類(lèi)資源的利用率,增強用戶(hù)的訪(fǎng)問(wèn)體驗。
4.3.2 產(chǎn)品功能列表
功能分類(lèi) | 詳細指標 |
部署與管理 | 支持路由模式、旁路模式(單臂/多臂模式、三角模式) |
支持雙機熱備部署以及多臺設備組成集群部署,并支持多種高可用性模式,包括A/A模式,A/S模式,M+N模式等組合 | |
支持在一臺高端設備上劃分配置多個(gè)虛擬vAD設備,按需分配給多個(gè)租戶(hù)使用,vAD之間相互隔離,不受影響 | |
內置告警系統, 可自定義告警觸發(fā)事件,在出現網(wǎng)絡(luò )及應用系統安全問(wèn)題時(shí)自動(dòng)發(fā)送郵件和短信。 | |
支持全中文管理界面和HTTPS方式登錄、用戶(hù)角色管理、多級授權管理;支持SNMP管理,SSH CLI,中心端集中管理 | |
鏈路負載 | 支持智能DNS解析功能;支持DNS內網(wǎng)記錄,支持A記錄、CNAME記錄、MX記錄和TXT記錄類(lèi)型 |
支持輪詢(xún)、加權輪詢(xún)、加權最小連接、加權最小流量、帶寬比例、哈希、主備、首個(gè)可用等負載均衡算法 | |
支持基于域名鏈路負載均衡策略,實(shí)現域名與公網(wǎng)IP多對一的關(guān)系 | |
支持RIP v1、RIP v2、OSPF等動(dòng)態(tài)路由協(xié)議 | |
支持智能路由,根據用戶(hù)需求定制負載策略,可基于訪(fǎng)問(wèn)目的域名選擇出站鏈路,自定義時(shí)間段實(shí)現對智能路由的時(shí)間段控制 | |
可同時(shí)實(shí)現Inbound和Outbound流量的負載均衡 | |
支持鏈路擁塞控制技術(shù)和DNS透明代理技術(shù),解決鏈路使用不均衡問(wèn)題,提升鏈路利用率 | |
支持單邊加速技術(shù),不需要在客戶(hù)端安裝任何軟件或插件即可提升用戶(hù)的訪(fǎng)問(wèn)速度 | |
針對多條ISP鏈路,同時(shí)支持動(dòng)態(tài)檢測網(wǎng)絡(luò )就近性和以地址段判斷的靜態(tài)就近性判斷,并以此為依據選擇最優(yōu)的ISP鏈路 | |
提供多種可疊加的鏈路健康檢查方法,能將發(fā)生故障的鏈路流量透明的轉移到其他可用鏈路 | |
應用負載 | 支持完善的L4/L7內容交換與負載均衡策略,可針對不同的業(yè)務(wù)應用系統劃分配置成多個(gè)虛擬服務(wù) |
支持服務(wù)器溫暖上線(xiàn)和平滑退出,便于維護管理;支持服務(wù)器最大連接限制和并發(fā)限制,避免服務(wù)器過(guò)載 | |
支持基于SNMP、ICMP、UDP、TCP、DNS、RADIUS、HTTP、數據庫(MYSQL/MSSQL/Oracle)及自定義健康檢查方式 | |
支持基于TCP和HTTP的被動(dòng)式健康檢查,通過(guò)對業(yè)務(wù)流持續觀(guān)測來(lái)判定服務(wù)器節點(diǎn)是否有效 | |
支持基于TCP行為觀(guān)測的調控機制,當判斷出服務(wù)器性能不足時(shí)對其過(guò)載保護,實(shí)現應用系統彈性負載 | |
支持浪涌保護,對于超過(guò)服務(wù)器性能上限的新建連接在負載均衡器上緩存起來(lái)放入隊列中緩慢發(fā)給服務(wù)器,不直接丟棄數據 | |
支持圖片優(yōu)化技術(shù),將網(wǎng)頁(yè)中的圖片做優(yōu)化處理,保證圖片清晰度的同時(shí)減少圖片文件大小,提高傳輸速率 | |
支持HTTP請求/應答改寫(xiě)、HTTP/HTTPS請求內容匹配、頁(yè)面跳轉、丟棄等高級調度策略 | |
支持SSL加速、HTTP壓縮、內存緩存、連接復用技術(shù),提升用戶(hù)訪(fǎng)問(wèn)速度,同時(shí)節省硬件投資成本 | |
支持輪詢(xún)、加權輪詢(xún)、加權最小連接、哈希、動(dòng)態(tài)反饋、最快響應、UDP強行負載、優(yōu)先級等負載均衡算法 | |
支持基于源IP、Cookie(插入/ 被動(dòng)/ 改寫(xiě))、HTTP (Header/ Body)、RADIUS、SSL Session ID的會(huì )話(huà)保持技術(shù) | |
支持對Oracle、SQL Server數據庫和Weblogic中間件的關(guān)鍵性能指標做詳細監控,提供可視化性能分析報表 | |
支持針對Web服務(wù)器的漏洞掃描,根據漏洞識別庫進(jìn)行對比分析,幫助客戶(hù)找出潛在風(fēng)險 | |
全局負載 | 支持輪詢(xún)、加權輪詢(xún)、首個(gè)可用、哈希、加權最小連接、靜態(tài)就近性、動(dòng)態(tài)就近性、加權最小流量、返回所有IP、返回備用IP、拒絕、丟棄等策略 |
支持全部及部分設備的配置同步,支持手動(dòng)創(chuàng )建還原點(diǎn)和從還原點(diǎn)還原配置文件 | |
支持手動(dòng)創(chuàng )建還原點(diǎn)和從還原點(diǎn)還原配置文件 | |
支持統計各個(gè)數據中心的訪(fǎng)問(wèn)次數和按LDNS來(lái)源分類(lèi)的訪(fǎng)問(wèn)次數 | |
支持查看遠端數據中心的報表數據 | |
商業(yè)智能分析 | 統計鏈路的使用率及鏈路上應用的分布情況(包括上行和下行) |
統計多條鏈路上各服務(wù)的連接次數 | |
統計鏈路上的各服務(wù)的IP訪(fǎng)問(wèn)次 | |
統計節點(diǎn)池和節點(diǎn)的流量、新建連接數、并發(fā)連接數 | |
支持對鏈路穩定性和服務(wù)器穩定性進(jìn)行統計 | |
支持查詢(xún)服務(wù)器節點(diǎn)的異常狀態(tài)信息,并提供分析出的可能故障原因 |
4.6 集中管理平臺SC介紹
4.6.1 集中管理平臺簡(jiǎn)介
隨著(zhù)信息化建設的不斷擴張,面對設備數量較多、地域分布廣的網(wǎng)絡(luò )部署,如何高效、快速的對網(wǎng)絡(luò )設備進(jìn)行全面管理,成為系統管理人員首要考慮的問(wèn)題。
深信服推出了集中管理平臺SC產(chǎn)品,實(shí)現對網(wǎng)絡(luò )中的上網(wǎng)行為管理產(chǎn)品和VPN產(chǎn)品進(jìn)行集中式統一的管理,管理人員只需簡(jiǎn)單幾步的操作即可對分布各地的網(wǎng)絡(luò )設備進(jìn)行實(shí)時(shí)監控、策略下發(fā)、日志查詢(xún)和升級維護等。集中管理平臺支持強、弱管理結合,分支機構能夠在總部下發(fā)的策略配置模板中,根據實(shí)際情況進(jìn)行細微調整,貼合管理需求。通過(guò)部署深信服集中管理平臺,能夠有效提高網(wǎng)絡(luò )管理效率,降低管理成本,減輕管理員負擔。
4.6.2 產(chǎn)品功能列表
功能列表 | |
分類(lèi) | 詳細指標 |
部署模式 | 支持網(wǎng)關(guān)模式和單臂模式; |
設備管理 | 支持Web、CLI、SSH等管理方式;支持分級新建受控網(wǎng)點(diǎn)區域,并實(shí)現網(wǎng)點(diǎn)區域的嵌套管理;支持快速導入、自動(dòng)生成的網(wǎng)點(diǎn)帳戶(hù)建立方式;支持管理員分權分域管理; |
實(shí)時(shí)監控 | 支持所有在線(xiàn)網(wǎng)點(diǎn)上傳的應用流量信息、當前用戶(hù)流量信息排行;支持顯示所有在線(xiàn)網(wǎng)點(diǎn)的內置庫版本信息、規則庫狀態(tài); |
配置 | 支持對單臺或多臺設備及移動(dòng)客戶(hù)端的配置管理;支持對單臺或多臺設備及移動(dòng)客戶(hù)端進(jìn)行統一升級,并可自定義任務(wù)計劃;支持升級包斷點(diǎn)續傳功能;支持設備配置復制;支持分支上傳配置; |
網(wǎng)點(diǎn)監控 | 支持即時(shí)查看受控設備狀態(tài),包括CPU、內存、磁盤(pán)占用,以及內外網(wǎng)接口流量等信息;支持受控設備異常情況的即時(shí)查看;支持即時(shí)查看受控設備的版本信息及同步情況;支持即時(shí)查看整網(wǎng)受控設備的運行情況及鏈路狀態(tài);支持拓撲導出,并根據網(wǎng)點(diǎn)運行情況實(shí)時(shí)更新整網(wǎng)拓撲,根據不同顏色標示各網(wǎng)點(diǎn)狀態(tài),點(diǎn)擊網(wǎng)點(diǎn)可查看網(wǎng)點(diǎn)狀態(tài); |
安全 | 支持本地用戶(hù)名/密碼認證;支持硬件DKEY認證;支持基于硬件HARD CA身份認證,實(shí)現管理員賬號與接入計算機硬件信息進(jìn)行捆綁認證,并可同一帳號綁定多臺計算機硬件信息來(lái)方便管理人員登陸;支持IP認證功能,可以指定管理員登陸設備的IP地址范圍及時(shí)間段;支持第三方的LDAP、Radius認證;支持內置備份數據庫,可制定數據備份時(shí)間以進(jìn)行自動(dòng)備份; |
日志 | 內置日志中心,詳細記錄管理員操作日志及系統日志信息;支持受控設備日志上傳;支持同步受控端數據中心的日志到同一個(gè)外置數據中心,支持對內網(wǎng)中所有受控端日志的統計、排行和導出; |
告警 | 支持對受控端的網(wǎng)點(diǎn)離線(xiàn)告警、網(wǎng)點(diǎn)開(kāi)直通告警和配置下發(fā)失敗告警 |
數據中心 | 支持以柱狀圖顯示所有連接線(xiàn)路的上下行流量,可根據網(wǎng)點(diǎn)分布情況進(jìn)行篩選查詢(xún)和輸出報表,可設置TOP N排行中的多少名排行,點(diǎn)擊詳細可提供一天流量變化趨勢圖;支持顯示包括受控端連接在內的所有網(wǎng)點(diǎn)VPN連通時(shí)間,可選擇區域進(jìn)行柱狀圖顯示,可根據聯(lián)通時(shí)間、斷開(kāi)次數、時(shí)間、TOP N進(jìn)行組合查詢(xún),點(diǎn)擊詳情可顯示每天VPN連接時(shí)間柱狀圖;支持查看具體一天中失敗的具體原因;可根據區域網(wǎng)點(diǎn)、時(shí)間、登錄時(shí)間最長(cháng)來(lái)輸出報表,通過(guò)詳情可查看那些賬號沒(méi)有登錄,那些賬號登錄時(shí)間較長(cháng)。 |
4.7 WLAN產(chǎn)品介紹
4.7.1 WLAN產(chǎn)品簡(jiǎn)介
深信服萬(wàn)兆系列無(wú)線(xiàn)控制器是深信服自主研發(fā)的集中管理無(wú)線(xiàn)接入點(diǎn)的控制設備,集防火墻,用戶(hù)認證服務(wù)器,證書(shū)頒發(fā)中心,無(wú)線(xiàn)射頻管理軟于一體。具有多元化的認證方式,精細化的用戶(hù)管理,協(xié)議優(yōu)化,射頻優(yōu)化,二三層漫游,靈活的Q0S控制,本地轉發(fā)、應用識別管控等功能。能夠減少企業(yè)部署復雜度,降低企業(yè)部署成本,為客戶(hù)打造安全、快速、可運營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò )。
配合深信服無(wú)線(xiàn)AP系列,定位于大型WLAN接入業(yè)務(wù),如:企業(yè)、商超連鎖、校園、酒店、醫院等高速的wifi應用場(chǎng)景。
更安全
? 更全面的安全
n 端到端防護,全面保障無(wú)線(xiàn)業(yè)務(wù)安全
除了數據加密、身份認證、攻擊防護等傳統安全措施以外,額外提供精細化授權、企業(yè)級防火墻與內置CA等高級安全特性,構建端到端的無(wú)線(xiàn)安全架構。
n 更安全的專(zhuān)業(yè)模塊
無(wú)需額外搭建CA證書(shū)服務(wù)器,內置CA快速構建更可靠的無(wú)線(xiàn)安全認證體系;
內置企業(yè)級防火墻。
n 更精細的認證與授權
支持預共享密鑰、portal、802.1x、CA證書(shū)、短信、微信、二維碼等多種用戶(hù)認證機制;
支持基于用戶(hù)身份、終端類(lèi)型、地理位置、時(shí)間等不同使用環(huán)境的訪(fǎng)問(wèn)許可和流量策略。
n 全面的終端識別、應用識別、URL識別
基于接入終端類(lèi)型、操作系統的精細化識別,并作相應控制。
能精確識別無(wú)線(xiàn)流量屬于具體的什么應用,設備內置應用識別規則庫,支持超過(guò)1500種以上的應用,并保持每?jì)蓚€(gè)星期更新一次,保證應用識別的準確率,
設備內置海量預分類(lèi)的URL地址庫,支持根據URL類(lèi)別實(shí)現URL控制。有效的豐富了無(wú)線(xiàn)網(wǎng)絡(luò )應用層的管理。
? 更便捷的安全
n 802.1X認證一鍵配置
無(wú)需依賴(lài)IT人員的協(xié)助,用戶(hù)通過(guò)web界面下載安全配置工具,一鍵即能完成802.1x的自動(dòng)配置,簡(jiǎn)單便捷的加入到企業(yè)安全架構中。
n 用戶(hù)和終端自動(dòng)綁定
可實(shí)現用戶(hù)首次登錄時(shí),系統自動(dòng)完成賬號與終端MAC綁定,無(wú)需管理員參與,實(shí)現“人-機”唯一對應。同時(shí),針對用戶(hù)擁有多種終端的情況,可實(shí)現用戶(hù)與多終端綁定關(guān)系,防止越權訪(fǎng)問(wèn),加強安全性。
? 訪(fǎng)客管理便捷
n 二維碼訪(fǎng)客認證—助企業(yè)提升品牌形象
內置二維碼認證模塊,訪(fǎng)客連接WiFi后,內網(wǎng)系統向訪(fǎng)客終端自動(dòng)推送二維碼,內部接待員工掃一掃,系統通過(guò)認證返回提示,只需簡(jiǎn)單2步即可完成認證過(guò)程。
更快速
? 協(xié)議棧加速
針對協(xié)議棧加速,提升傳輸效率。針對干擾的無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境下,無(wú)線(xiàn)網(wǎng)絡(luò )速度提升2到8倍,解決無(wú)線(xiàn)網(wǎng)絡(luò )由于干擾導致的無(wú)線(xiàn)傳輸速率低、丟包等網(wǎng)絡(luò )質(zhì)量問(wèn)題。同時(shí),客戶(hù)端無(wú)需安裝任何插件,對用戶(hù)側透明。
? 智能射頻優(yōu)化
當部署的AP功率太大會(huì )干擾到周?chē)钠渌麩o(wú)線(xiàn)設備,同時(shí)浪費電能和增加輻射;但是AP功率太小,無(wú)法滿(mǎn)足覆蓋要求。由于無(wú)線(xiàn)射頻環(huán)境是動(dòng)態(tài)變化的,所以深信服千兆系列無(wú)線(xiàn)控制器能夠對AP實(shí)現射頻智能功率調整,改善射頻環(huán)境。同時(shí),也能夠對工作信道進(jìn)行調整,有效的避開(kāi)干擾信道。
? 智能負載均衡
能夠根據AP當前的負載情況及其他條件(如:流量、接入人數、頻段等),控制終端的接入,達到無(wú)線(xiàn)網(wǎng)絡(luò )負載均衡,提高網(wǎng)絡(luò )吞吐量和服務(wù)質(zhì)量的目的。終端請求接入某個(gè)AP,無(wú)線(xiàn)控制器根據該AP與鄰居AP的負載,決定是否允許新的客戶(hù)端接入,終端可自動(dòng)連接其他空閑AP,達到負載分擔的效果。
? 平均帶寬分配
由于所有終端搶到的空口機會(huì )差不多相等,高速率終端每次快速發(fā)完自己的數據后都要等待低速終端慢騰騰的發(fā)完它的數據,所以,高速率終端的性能基本上與低速率終端的性能是一樣的,顯然,整體的性能也被大幅拉了下來(lái)。所以,當環(huán)境中存在低速率用戶(hù)時(shí),需降低其對整體性能的影響。因此深信服無(wú)線(xiàn)控制器支持用戶(hù)平均分配帶寬,根據時(shí)間公平算法,防止單個(gè)用戶(hù)拉低網(wǎng)絡(luò )整體速度。
可運營(yíng)
? 大屏顯示
內置大屏顯示功能,能夠顯示實(shí)時(shí)狀態(tài),每個(gè)AP位置、接入用戶(hù)數,接入用戶(hù)的用戶(hù)名。
? 智能頁(yè)面推送
能夠自定義頁(yè)面推送,可以基于SSID,AP,用戶(hù)組去推送不同的頁(yè)面。并且也能夠實(shí)現認證前推送以及認證后推送。并且終端自適應技術(shù)能夠保障終端頁(yè)面自適應,提高了用戶(hù)體驗。
? 短信認證—內置廣告推送中心,實(shí)現定向營(yíng)銷(xiāo)
內置短信認證模塊, 終端連接WiFi后,通過(guò)接收短信獲取驗證碼,快速認證,方便快捷。同時(shí),用戶(hù)通過(guò)短信認證上網(wǎng),支持手機號采集與導出,為商業(yè)營(yíng)銷(xiāo)及分析提供依據;在用戶(hù)接入無(wú)線(xiàn)網(wǎng)絡(luò )時(shí),根據用戶(hù)名、用戶(hù)組、位置的區別進(jìn)行個(gè)性化通知和廣告推送;支持WiFi在線(xiàn)時(shí)長(cháng)管理,促進(jìn)用戶(hù)互動(dòng),同時(shí)防止蹭網(wǎng)、長(cháng)時(shí)間在線(xiàn)等方式造成資源耗用
? 微信認證—為企業(yè)微信公眾賬號加油
內置微信認證模塊,通過(guò)獨有的應用識別進(jìn)行微信識別,認證前放通微信流量,待訪(fǎng)客終端關(guān)注某官方微信過(guò)后,通過(guò)微信進(jìn)行認證上網(wǎng)。并且后期可以通過(guò)此微信推送廣告,達到良好的營(yíng)銷(xiāo)效果。
4.7.2 產(chǎn)品功能列表
802.11mac | 802.11協(xié)議簇 | 支持802.11a/b/g/n模式 |
虛擬AP | 支持 | |
隱藏SSID | 支持 | |
多國家碼部署 | 支持 | |
功率、信道調整 | 具備自動(dòng)和手動(dòng)兩種方式調整功能 | |
用戶(hù)在線(xiàn)檢測 | 支持 | |
無(wú)線(xiàn)用戶(hù)隔離 | 具備二層隔離和基于SSID的隔離功能 | |
無(wú)線(xiàn)用戶(hù)強制斷連 | 支持 | |
多SSID個(gè)數 | 32 | |
用戶(hù)無(wú)流量自動(dòng)老化 | 支持 | |
在線(xiàn)檢測 | 具備AP和用戶(hù)在線(xiàn)檢測功能 | |
40MHz模式的20MHz/40MHz自動(dòng)切換 | 支持 | |
防火墻 | 新建連接數 | |
并發(fā)連接數 | ||
數據轉發(fā) | 本地轉發(fā) | 支持:具備SSID+VLAN的本地轉發(fā) |
集中轉發(fā) | 支持 | |
部分集中轉發(fā)部分本地轉發(fā) | 支持 | |
漫游 | 二層漫游 | 支持 |
三層漫游 | 支持 | |
IP | DHCP | 支持DHCP Client,DHCP服務(wù)器,DHCP中繼,DHCP Snooping |
NAT | 支持 | |
DNS代理 | 支持 | |
靜態(tài)路由 | 支持 | |
策略路由 | 支持 | |
三層物理端口鏈路檢測 | 支持 | |
二層 | 鏈路聚合 | 支持 |
鏈路狀態(tài)檢測 | 支持 | |
ARP代理 | 支持 | |
802.1x | 支持 | |
流量管理 | 基于單用戶(hù) | 實(shí)現基于單用戶(hù)的上下行流量管控 |
基于應用 | 實(shí)現基于應用的流量保障 | |
基于終端類(lèi)型 | 實(shí)現基于終端類(lèi)型(手機、電腦等)的流量管控 | |
基于終端操作系統 | 能夠實(shí)現基于終端操作系統(安卓、IOS、windows phone等)的流量管控 | |
基于不同無(wú)線(xiàn)網(wǎng)絡(luò ) | 滿(mǎn)足基于不同無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)行帶寬權重分配 | |
單用戶(hù)流量限速 | 可基于不同SSID靈活設置 | |
802.11e/WMM | 可基于不同SSID靈活設置 | |
射頻管理 | 功率自動(dòng)調整 | 支持 |
功率手動(dòng)調整 | AP可手動(dòng)功率調整,調整粒度為1dBm,調整范圍為1dBm~國家規定功率范圍 | |
信道自動(dòng)調整 | 支持 | |
AP負載均衡 | 多個(gè)AP間實(shí)現負載均衡,在雙頻情況下,實(shí)現2.4G和5G的雙頻負載 | |
無(wú)線(xiàn)防廣播泛洪(arp代理) | 支持 | |
安全防御 | DoS攻擊防御 | 支持 |
WIPS | 支持 | |
接入認證 | 認證類(lèi)型 | 支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、開(kāi)放式+web認證、WPA-PSK/WPA2-PSK+web認證、WPA(企業(yè))、WPA2(企業(yè))、WPA/WPA2(企業(yè)) |
二維碼認證 | 訪(fǎng)客終端接入無(wú)線(xiàn)網(wǎng)絡(luò )后,終端自動(dòng)彈出二維碼頁(yè)面,企業(yè)審核人通過(guò)手機掃描訪(fǎng)客終端二維碼,訪(fǎng)客即可上網(wǎng)。 | |
微信認證 | 用戶(hù)接入無(wú)線(xiàn)后關(guān)注指定微信賬號(商戶(hù)或企業(yè)官方帳號)即可實(shí)現上網(wǎng)。增加商家/企業(yè)關(guān)注度,提供后續營(yíng)銷(xiāo)平臺。 | |
短信認證 | 用戶(hù)接入網(wǎng)絡(luò )后彈出認證頁(yè)面,用戶(hù)輸入手機號碼以獲取驗證碼,輸入驗證碼后可以實(shí)現正常上網(wǎng)。 | |
臨時(shí)訪(fǎng)客認證 | 內置臨時(shí)用戶(hù)信息管理系統,臨時(shí)用戶(hù)在有效期內可以登錄,超過(guò)有效期無(wú)法登錄;內置臨時(shí)賬號管理的二級權限系統,該系統僅能進(jìn)行臨時(shí)帳號的創(chuàng )建、管理功能 | |
證書(shū)認證 | 支持內置CA證書(shū)頒發(fā)中心,無(wú)需額外搭建證書(shū)服務(wù)器,同時(shí)支持外部證書(shū)服務(wù)器導入證書(shū)認證 | |
加密方式 | 支持TKIP和AES | |
MAC+用戶(hù)名綁定 | 具備自動(dòng)綁定和管理員審核功能 | |
域計算機認證 | 支持 | |
EAP類(lèi)型 | 支持中繼模式、終結EAP-PEAP模式、終結EAP-TLS模式 | |
支持使用本地數據庫 | 支持 | |
使用LDAP服務(wù)器作為認證服務(wù)器 | 用戶(hù)實(shí)時(shí)同步 | |
MAC靜態(tài)白名單 | 支持 | |
MAC靜態(tài)黑名單 | 支持 | |
動(dòng)態(tài)黑名單 | 支持 | |
智能識別 | 應用識別 | 能精確識別無(wú)線(xiàn)流量屬于具體的什么應用,設備內置應用識別規則庫,支持超過(guò)1500種以上的應用,并保持每?jì)蓚€(gè)星期更新一次,保證應用識別的準確率 |
URL識別 | 設備內置海量預分類(lèi)的URL地址庫,支持根據URL類(lèi)別實(shí)現URL控制 | |
終端識別 | 能識別接入終端的類(lèi)型、操作系統,并作相應控制 | |
應用流量查詢(xún) | 能查看基于應用的實(shí)時(shí)和一段時(shí)間的流量情況 | |
授權管理 | 多角度的角色分配 | 基于用戶(hù)帳號/SSID/區域/接入終端的角色分配管理 |
基于終端類(lèi)型的權限控制 | 實(shí)現基于終端類(lèi)型如手機、電腦、平板等的靈活權限管控 | |
基于操作系統類(lèi)型的權限控制 | 實(shí)現基于終端操作系統如安卓、IOS、windows phone等的靈活權限管控 | |
基于具體應用的權限控制 | 實(shí)現基于具體應用如QQ、迅雷、P2P等的權限控制 | |
基于用戶(hù)角色的訪(fǎng)問(wèn)權限控制 | 支持 | |
以ssid為單位靈活配置規則確定用戶(hù)的用戶(hù)角色 | 支持 | |
以ssid為單位靈活配置規則確定用戶(hù)的vlan | 支持 | |
備份 | 雙機1+1熱備 | 支持 |
AC間AP快速切換 | 支持 | |
雙機配置同步 | 支持 | |
備份配置和備份恢復 | 支持 | |
實(shí)時(shí)狀態(tài)顯示 | 流量歷史查詢(xún) | 支持WAC及AP歷史流量查詢(xún) |
local wac狀態(tài)顯示 | 支持系統狀態(tài)顯示 | |
動(dòng)態(tài)黑名單顯示 | 支持 | |
AP在線(xiàn)、離線(xiàn)提醒 | 支持 | |
在線(xiàn)用戶(hù)信息顯示 | 支持 | |
網(wǎng)絡(luò )攻擊實(shí)時(shí)告警 | 支持 | |
接口狀態(tài)告警 | 支持 | |
雙機切換告警 | 支持 | |
AP信息顯示 | 支持 | |
射頻信息顯示 | 支持 | |
WLAN信息顯示 | 支持 | |
系統日志查詢(xún) | 支持 | |
熱點(diǎn)分析 | 依據用戶(hù)顯示繁忙或空閑AP | 支持 |
依據流量顯示繁忙或空閑AP | 支持 | |
顯示信號好和信號差的AP | 支持 | |
網(wǎng)管與配置 | WEB UI 配置 通過(guò)HTTPS訪(fǎng)問(wèn) | 支持 |
AP升級計劃 | 支持 | |
記錄用戶(hù)上線(xiàn)、下線(xiàn)信息 | 支持 | |
日志管理 | 具備查看和導出系統日志功能 | |
策略故障排除功能 | 支持 | |
自動(dòng)更新升級 | 支持 | |
重啟設備、重啟服務(wù) | 支持 | |
配置時(shí)間日期、NTP服務(wù) | 支持 | |
配置管理員帳號 | 支持 | |
配置序列號 | 支持 | |
工堪管理 | 內置工堪圖管理軟件 | 通過(guò)導入部署地場(chǎng)景圖,在場(chǎng)景圖上設置相應參數,然后自動(dòng)或是手動(dòng)的生成無(wú)線(xiàn)網(wǎng)絡(luò )部署熱點(diǎn)分析圖 |
大屏顯示 | 顯示AP實(shí)時(shí)動(dòng)態(tài)信息 | 每個(gè)AP位置、接入用戶(hù)數,近十個(gè)接入用戶(hù)的用戶(hù)名 |
建筑圖導入 | 支持手動(dòng)調整背景,導入建筑圖,自由布放AP示意點(diǎn)位置 | |
頁(yè)面推送 | 根據SSID推送 | 能夠根據不同SSID推送不同頁(yè)面 |
根據AP推送 | 能夠根據不同AP推送不同頁(yè)面 | |
自定義portal界面 | 具備自定義動(dòng)態(tài)頁(yè)面功能 | |
根據用戶(hù)組推送 | 能夠根據不同用戶(hù)組推送不同頁(yè)面 | |
認證前后區別推送 | 能夠在認證前和認證后推送不同頁(yè)面 | |
終端自適應技術(shù) | 能夠根據不同終端推送不同頁(yè)面,而且可以推送合適匹配終端的尺寸頁(yè)面 | |
網(wǎng)絡(luò )加速 | 協(xié)議棧加速 | 針對協(xié)議棧進(jìn)行加速,在無(wú)線(xiàn)干擾環(huán)境下,提升傳輸速度 |
自動(dòng)廣播提速 | 將廣播包原有的發(fā)送速度提高,加快廣播包的傳輸效率 | |
接入終端速度限制 | 對接入終端的速度做門(mén)檻,禁止低于一定速度的終端接入,提升整體網(wǎng)絡(luò )速度 | |
平均帶寬分配 | 支持用戶(hù)平均分配帶寬,根據時(shí)間公平算法,防止單個(gè)用戶(hù)拉低網(wǎng)絡(luò )整體速度 |