室外無線wifi整體(tǐ)安裝方案-
無線覆蓋安裝(圖文)
1 項目概述
随着信息技(jì)術(shù)的不斷發展,城市信息化應用水(shuǐ)平不斷提升,智慧城市建設應運而生(shēng)。建設智慧城市在實現城市可(kě)持續發展、引領信息技(jì)術(shù)應用、提升城市綜合競争力等方面具有(yǒu)重要意義。
當前,無線城市的業務正由早期狹義的普通(tōng)上(shàng)網業務,向高(gāo)速移動互聯網業務大(dà)局發展,未來(lái)還(hái)将拓展到物聯網、雲計(jì)算(suàn)和(hé)三網融合等衆多(duō)業務中。依靠這些(xiē)層出不窮的新技(jì)術(shù)、新業務,“無線城市”會(huì)讓每個(gè)人(rén),企業和(hé)政府享受更加智慧、高(gāo)效和(hé)安全的服務。
為(wèi)此,将建設常平土塘公共場(chǎng)所的無線覆蓋,本文就WLAN建設提供規劃及建議。
2 網絡建設需求
本期工程的主要目的是建設能支撐無線網絡運行(xíng)的城域有(yǒu)線及無線網絡,滿足:
—在充分利用現有(yǒu)光纖資源的基礎上(shàng)(或新建),連接無線網絡,承載無線網絡各類業務數(shù)據通(tōng)訊需要;
—開(kāi)展無線寬帶上(shàng)網、移動視(shì)頻、無線數(shù)據VPN等業務的需要;
—滿足後續網絡擴展,提供更多(duō)數(shù)據業務的需要;
—提供必要的認證,安全,網管,審計(jì)等功能。
本次無線網絡建設包括幾個(gè)部分:
1) 統一的承載網絡。無線部分就近接入相應區(qū)域的彙聚交換機,通(tōng)過核心交換機統一交換處理(lǐ)。
2) 統一認證。通(tōng)過部署統一的認證系統,對用戶進行(xíng)管理(lǐ)。
3) 統一門(mén)戶。可(kě)以根據不同用戶需求提供個(gè)性化的門(mén)戶,提供業務推送等。
4) 統一網管。作(zuò)為(wèi)運營網絡,管理(lǐ)和(hé)維護非常重要,需要規劃有(yǒu)線、無線一體(tǐ)化管理(lǐ)平台。
3 建設原則
鑒于無線的業務存在一定的特殊性,故在設計(jì)網絡時(shí)主要遵循“高(gāo)安全可(kě)靠、高(gāo)運維、高(gāo)帶寬、可(kě)擴充性、開(kāi)放性”的原則,具體(tǐ)體(tǐ)現如下:
一體(tǐ)化網絡
設計(jì)應充分考慮整個(gè)網絡的統一性與協調性,在網絡建設過程中涉及到基礎網絡中的有(yǒu)線網絡與無線網絡、語音(yīn)網絡、監控網絡,這樣要求基礎網絡與業務網絡具有(yǒu)很(hěn)要的配合與協調性,從管理(lǐ)控制(zhì)的角度,要求網絡具有(yǒu)統一的管理(lǐ)控制(zhì)措施;
安全可(kě)靠性
設計(jì)應充分考慮整個(gè)網絡的穩定性,支持網絡節點的備份和(hé)鏈路保護,提供網絡安全防範措施,同時(shí)網絡具備一定的攻擊行(xíng)業防範能力;
高(gāo)帶寬
考慮到由于有(yǒu)無線網絡上(shàng)要承載視(shì)頻流,要求方案設計(jì)的階段就要充分考慮到網絡帶寬資源的問題,同時(shí)由于業務模型的不确定,要求在标準的基礎上(shàng)還(hái)要考慮網絡負載均衡能力,以達到網絡資源使用的可(kě)調配性;
高(gāo)運維
由于網絡的設備分散,網絡所承載的用戶量較大(dà),故要求網絡系統提供較好的運維手段;
可(kě)擴充性
随着網絡的業務不斷擴充,要求網絡具有(yǒu)一定的可(kě)擴容能力。所有(yǒu)系統設備不但(dàn)滿足當前需要,并在擴充模塊後滿足可(kě)預見将來(lái)需求,如帶寬和(hé)設備的擴展,應用的擴展等。保證建設完成後的系統在向新的技(jì)術(shù)升級時(shí),能保護現有(yǒu)的投資
開(kāi)放性
技(jì)術(shù)選擇符合相關國際标準及國內(nèi)标準,确保網絡的開(kāi)放性和(hé)互連互通(tōng),滿足信息準确、安全、可(kě)靠、優良交換傳送的需要;開(kāi)放的接口,支持良好的維護、測量和(hé)管理(lǐ)手段,提供網絡統一實時(shí)監控的遙測、遙控的信息處理(lǐ)功能,實現網絡設備的統一管理(lǐ)
可(kě)管理(lǐ)
整個(gè)系統的設備應易于管理(lǐ),易于維護,操作(zuò)簡單,易學,易用,便于進行(xíng)系統配置,在設備、安全性、數(shù)據流量、性能等方面得(de)到很(hěn)好的監視(shì)和(hé)控制(zhì),并可(kě)以進行(xíng)遠程管理(lǐ)和(hé)故障診斷。
4 網絡建設方案
4.1 覆蓋區(qū)域
本WLAN項目主要覆蓋區(qū)域包括常平土塘如下場(chǎng)所:
1、港建路兩旁
2、塘霞路居民區(qū)
3、土塘第一工業園
4、橋東路--塘東路市場(chǎng)
5、盛塘路
6、家(jiā)居家(jiā)紡體(tǐ)驗館附近道(dào)路
本次覆蓋區(qū)域屬于室外環境,室外環境多(duō)樣,根據各個(gè)場(chǎng)所的環境特點、大(dà)小(xiǎo)等,部署相應數(shù)量的AP,滿足各個(gè)場(chǎng)所無線接入需求,為(wèi)保證良好的用戶接入體(tǐ)驗,盡量保證每個(gè)AP的并發接入人(rén)數(shù)在30以內(nèi)。
4.2 總體(tǐ)方案設計(jì)
4.2.1 方案設計(jì)
常平土塘無線覆蓋方案方案采用室外AP對土塘工業園和(hé)附近的居民區(qū)、市場(chǎng)、商業街(jiē)以及家(jiā)居家(jiā)紡體(tǐ)驗館附近區(qū)域的道(dào)路進行(xíng)覆蓋,目的是在以上(shàng)區(qū)域的室外空(kōng)間(jiān)提供無線網絡服務。無線網絡組網采用AC+AP方式,在常平土塘新建一台無線控制(zhì)器(qì)(AC),對本次新建AP進行(xíng)管理(lǐ)和(hé)控制(zhì),同時(shí)留有(yǒu)足夠的管理(lǐ)區(qū)間(jiān),可(kě)以為(wèi)之後新增的AP提供集中的管理(lǐ)。AP接入使用PoE交換機,在提供數(shù)據傳輸千兆上(shàng)聯傳輸的同時(shí),為(wèi)AP提供電(diàn)力接入功能。在出口處部署一台上(shàng)網行(xíng)為(wèi)管理(lǐ)設備,對無線上(shàng)網用戶進行(xíng)策略管理(lǐ),對用戶的網絡行(xíng)為(wèi)進行(xíng)審計(jì)、記錄。整網拓撲如下圖所示:
本次網絡是一個(gè)綜合性的承載網絡,集成有(yǒu)線、無線、語音(yīn)、視(shì)訊等多(duō)個(gè)實體(tǐ)的一個(gè)綜合性網絡,因此對網絡的性能、可(kě)靠性、業務提供能力等均有(yǒu)很(hěn)高(gāo)的要求。
4.2.1.1 核心層
無線覆蓋安裝
核心層網絡設備,H3C S5500系列交換機通(tōng)過千兆端口互聯上(shàng)網行(xíng)為(wèi)管理(lǐ)設備和(hé)無線控制(zhì)器(qì),無線用戶數(shù)據在這裏實現快速的數(shù)據轉發;互聯無線控制(zhì)器(qì),可(kě)以實時(shí)的監控着常平土塘區(qū)域的AP的工作(zuò)情況,當AP需要改動或出現故障時(shí),能第一時(shí)間(jiān)進行(xíng)配置及發現,對設備的維護提供了便捷的途徑。上(shàng)網行(xíng)為(wèi)管理(lǐ)設備對無線用戶的網絡行(xíng)為(wèi)進行(xíng)記錄審計(jì),同時(shí)還(hái)能對流量進行(xíng)控制(zhì),以确保各無線用戶能暢通(tōng)無阻地進行(xíng)網上(shàng)沖浪。同時(shí),設備間(jiān)的千兆鏈路互聯,達到高(gāo)帶寬、高(gāo)轉發性能的效果。
4.2.1.2 接入層
接入層主要滿足AP的接入需求,雙鏈路上(shàng)行(xíng)至核心交換機,滿足高(gāo)可(kě)靠、負載均衡的要求,同時(shí),建議接入層使用POE接入交換機。
為(wèi)方便統一管理(lǐ),提高(gāo)設備的安全性,本次無線供電(diàn)設計(jì)建議采用POE供電(diàn)的方式對無線AP進行(xíng)遠程供電(diàn)。采用POE方式即通(tōng)過網線對AP進行(xíng)供電(diàn),POE供電(diàn)方式具備以下幾點優勢:首先,安全性更高(gāo),通(tōng)過網線進行(xíng)供電(diàn)可(kě)以避免本地電(diàn)源的使用,有(yǒu)效減少(shǎo)強電(diàn)部署,提高(gāo)土塘地區(qū)的用電(diàn)安全。
4.2.1.3 無線AP
根據公共場(chǎng)地的環境特點,常平土塘無線覆蓋區(qū)域為(wèi)室外區(qū)域,因此采用WA2620X-FIT(室外型,雙頻)方案,實現大(dà)功率AP設備對室外環境進行(xíng)全面的覆蓋,滿足精細化覆蓋需求,詳細覆蓋請(qǐng)看部署方案。
基于網絡的先進性考慮,本次無線網絡項目采用目前主流的無線控制(zhì)器(qì)+瘦AP的架構,在實現對校(xiào)園進行(xíng)無縫覆蓋的同時(shí),又能夠實現對無線網絡的靈活管理(lǐ)配置,提高(gāo)網絡維護效率.
WA2620X-FIT無線接入設備
4.2.1.4 AP安裝規範及示例圖
室外無線AP的安裝既可(kě)以放置在樓層頂部抱杆安裝也可(kě)以通(tōng)過牆裙安裝支架安裝。實際施工及部署時(shí)根據現場(chǎng)環境做(zuò)相應調整。根據H3C多(duō)年無線施工經驗,可(kě)以參考如下安裝規範。
4.3 Portal認證方案
Portal的典型組網方式如下圖所示,它由五個(gè)基本要素組成:認證客戶端、接入設備、Portal服務器(qì)、認證/計(jì)費服務器(qì)和(hé)安全策略服務器(qì)。
認證客戶端
安裝于用戶終端的客戶端系統。該客戶端系統為(wèi)運行(xíng)HTTP/HTTPS協議的浏覽器(qì)或Portal客戶端軟件
接入設備
交換機、路由器(qì)等寬帶接入設備的統稱,主要有(yǒu)三方面的作(zuò)用:
在認證之前:
如果不采用Portal客戶端,用戶直接使用IE上(shàng)網浏覽,那(nà)麽設備将用戶的HTTP請(qǐng)求重定向到Portal服務器(qì);
如果采用Portal客戶端,那(nà)麽在用戶創建連接的時(shí)候,設備将會(huì)返回給客戶端Portal服務器(qì)的IP地址、服務端口等信息。
在認證過程中:
與Portal服務器(qì)、認證服務器(qì)交互,完成身份認證、授權等功能。
在認證通(tōng)過後:
允許用戶訪問被管理(lǐ)員授權的部分互聯網資源。
Portal服務器(qì)
提供免費門(mén)戶服務和(hé)基于Web認證的界面,并與接入設備交互認證客戶端的認證信息。
認證服務器(qì)
與接入設備進行(xíng)交互,完成對用戶的認證、授權。
4.3.1.1 訪客認證業務流程
業務流程如下圖所示:
無線覆蓋安裝
1、 用戶通(tōng)過無線網絡獲取IP地址上(shàng)線,可(kě)直接訪問Portal網址或任意網站(zhàn);
2、 訪問portal網址的用戶則直接彈出portal認證頁面,訪問其他網址的用戶則通(tōng)過重定向功能,自動鏈接到portal認證頁面;
3、 Portal認證界面提供三種選擇:(1)訪客用戶 (2)普通(tōng)員工用戶
(1) 由于沒有(yǒu)帳号,則需要通(tōng)過輸入手機号碼,動态獲取到密碼并填入後進行(xíng)認證;
(2) 通(tōng)過選擇後,可(kě)以直接輸入用戶的帳号和(hé)密碼進行(xíng)認證;
此處可(kě)以通(tōng)過相關的策略,給不同用戶提供不同權限,例如帶寬;同時(shí)也可(kě)以通(tōng)過portal推送不同的頁面等。
4、認證成功則可(kě)以上(shàng)網,認證失敗則推送相關信息并要求重新認證。
4.3.1.2 Portal認證無感知
目前Portal認證是WLAN網絡的主流接入認證方式之一。當采用Portal認證時(shí),用戶每次接入WLAN網絡時(shí)都需要在Portal頁面中輸入用戶賬号/密碼信息,操作(zuò)較為(wèi)不便。特别是當前使用WiFi網絡的Pad、智能手機等終端設備越來(lái)越多(duō),而此類終端受到屏幕、浏覽器(qì)等資源限制(zhì),在Portal頁面中輸入用戶名/密碼等信息時(shí)極為(wèi)不便,使得(de)用戶上(shàng)網體(tǐ)驗大(dà)打折扣。針對此問題,H3C特提出Portal無感知認證解決方案,大(dà)大(dà)簡化Portal接入流程,提升用戶的接入體(tǐ)驗。本文将為(wèi)大(dà)家(jiā)簡單介紹Portal無感知認證解決方案的相關流程。
一、Portal用戶首次接入,自動完成MAC綁定
在Portal無感知認證解決方案,用戶首次接入WLAN網絡認證流程如圖1所示。具體(tǐ)認證流程如下:
步驟1、用戶連接WLAN網絡SSID,并通(tōng)過DHCP服務器(qì)獲取IP地址信息。
步驟2、AC将監控用戶的上(shàng)網流量。
步驟3、當AC監控的用戶流量達到阈值時(shí),(例如流量閥值可(kě)設置為(wèi)5分鍾累積流量10KB),AC将向MAC綁定服務器(qì)發起MAC查詢請(qǐng)求。
步驟4、MAC綁定服務器(qì)向AC返回查詢結果:此終端MAC信息未綁定。(由于此終端用戶是首次連接WLAN網絡,所以MAC綁定服務器(qì)中無此終端的MAC地址信息)
步驟5、AC将按照正常Portal流程向終端重定向Portal認證頁面。
步驟6、用戶終端輸入用戶名、密碼信息發起Portal認證。
步驟7、AC與Portal服務器(qì)、AAA服務器(qì)之間(jiān)完成Portal認證。
步驟8、AC向MAC綁定服務器(qì)發起MAC綁定請(qǐng)求,MAC綁定服務器(qì)完成此用戶終端MAC地址信息的與Portal賬号的綁定。
步驟9、用戶認證成功,正常上(shàng)網。
二、Portal用戶再次接入,後台自動認證,用戶零配置
圖2 Portal用戶再次接入認證流程
在Portal無感知認證解決方案,用戶再次接入WLAN網絡認證流程如圖2所示。具體(tǐ)認證流程如下:
步驟1、用戶連接WLAN網絡SSID,并通(tōng)過DHCP服務器(qì)獲取IP地址信息。
步驟2、AC将監控用戶的上(shàng)網流量。
步驟3、當AC監控的用戶流量達到阈值時(shí),(例如流量閥值可(kě)設置為(wèi)5分鍾累積流量10KB),AC将向MAC綁定服務器(qì)發起MAC查詢請(qǐng)求。
步驟4、MAC綁定服務器(qì)向AC返回查詢結果:此終端MAC信息已綁定,并攜帶此終端的Portal賬号/密碼等信息向AC發起Portal認證。(由于此終端用戶已完成首次登錄,MAC地址、Portal賬号/密碼已在MAC綁定服務器(qì)中完成信息綁定)
步驟5、AC與Portal服務器(qì)、AAA服務器(qì)之間(jiān)完成Portal認證。
步驟6、用戶認證成功,正常上(shàng)網。
三、用戶下線方式
圖3 用戶idle-cut被動下線方式流程
在Portal無感知認證解決方案,用戶下線可(kě)以通(tōng)過idle-cut方式被動下線,即一段時(shí)間(jiān)內(nèi)AC沒有(yǒu)檢測到用戶流量,AC則強制(zhì)用戶下線,流程如圖3所示:
步驟1、AC 将監控用戶的上(shàng)網流量。
步驟2、一定時(shí)間(jiān)內(nèi)(例如15分鍾)AC檢測到用戶無流量,則向AAA發送計(jì)費結束報文。
步驟3、AC強制(zhì)用戶下線。
圖4 用戶短(duǎn)信主動下線方式流程
無線覆蓋安裝
同時(shí)在Portal無感知認證解決方案,用戶也可(kě)以考慮采用短(duǎn)信主動下線的方式完成用戶下線,具體(tǐ)流程如圖4所示:
步驟1、用戶發送下線請(qǐng)求短(duǎn)信(例如10085xxqq)到短(duǎn)信網關。
步驟2、短(duǎn)信網關收到用戶下線請(qǐng)求的短(duǎn)信後将通(tōng)知MAC綁定服務器(qì)。
步驟3、MAC綁定服務器(qì)向AC設備發送下線請(qǐng)求。
步驟4、AC收到下線請(qǐng)求,則向AAA發送計(jì)費結束報文。
步驟5、AC強制(zhì)用戶下線。
Portal短(duǎn)信認證功能
确定使用WiFi網絡的客戶隻需要接入無線網絡後輸入手機号,與短(duǎn)信平台聯動,獲取密碼登錄。短(duǎn)信認證可(kě)确定客戶的唯一身份。注:需要提供短(duǎn)信接口對接
認證頁面和(hé)業務廣告推送功能
用戶在上(shàng)網之前發表免責聲明(míng),打開(kāi)頁面,彈出定制(zhì)的web頁面(提供修改廣告圖片及鏈接地址),用于提示上(shàng)網政策及業務宣傳。可(kě)設置認證申請(qǐng)頁面,認證成功頁面,在網心跳(tiào)頁面。在用戶接入無線網絡的時(shí)候,立刻向用戶終端推送業務廣告,包括實時(shí)的産品、服務、促銷活動或者互動投票(piào)等內(nèi)容,讓用戶及時(shí)了解最新動态。下側示例為(wèi)某銀行(xíng)的推送頁面。
個(gè)性化Portal頁面定制(zhì)功能
通(tōng)過系統提供的繪制(zhì)工具定制(zhì)Portal頁面, 內(nèi)置多(duō)個(gè)模闆, 支持PC(包括PAD)和(hé)手機終端,同時(shí)還(hái)可(kě)以導入第三方繪制(zhì)的Portal頁面, 方便頁面的集中管理(lǐ)。
用戶管理(lǐ)功能
可(kě)以對用戶進行(xíng)分組,識别登錄用戶的信息。區(qū)分VIP用戶和(hé)內(nèi)部用戶,普通(tōng)用戶,分配不同的上(shàng)網時(shí)長和(hé)流量配額,還(hái)可(kě)以對帶寬限制(zhì)、應用控制(zhì)和(hé)分配不同權限。
上(shàng)網流量控制(zhì)功能
可(kě)限制(zhì)下載類的大(dà)流量應用,限制(zhì)單用戶使用網絡的流量,保障用戶的上(shàng)網體(tǐ)驗。
上(shàng)網行(xíng)為(wèi)管理(lǐ)功能
管理(lǐ)設備可(kě)對用戶上(shàng)網行(xíng)為(wèi)進行(xíng)審計(jì),過濾不良網頁和(hé)應用,提供健康綠色的上(shàng)網環境。對部分敏感信息進行(xíng)記錄,滿足公安部82号令的要求。
完整的報表分析功能和(hé)圖形化界面
便于了解網絡現狀現狀,進行(xíng)統計(jì)/對比/趨勢分析。管理(lǐ)員登錄WLAN控制(zhì)器(qì)後台,可(kě)随時(shí)查看WLAN的接入用戶數(shù)量及最新接入用戶名單,還(hái)可(kě)直接查看各個(gè)熱點的設備健康狀态,以及每台AP的用戶接入數(shù)量。
短(duǎn)信認證概述
短(duǎn)信認證通(tōng)常需要與企業短(duǎn)信平台進行(xíng)集成,而短(duǎn)信認證模塊支持與GSM/WCDMA短(duǎn)信貓或短(duǎn)信網關聯動,通(tōng)過下發實時(shí)短(duǎn)信驗證碼的形式,驗證用戶信息。
從技(jì)術(shù)角度來(lái)看,目前企業實現短(duǎn)信認證的短(duǎn)信服務主要通(tōng)過三種方式:
下面對三種方式的特點加以比較:
| |
短(duǎn)信貓(方式一) |
運營商短(duǎn)信網關(方式二) |
短(duǎn)信代理(lǐ)商短(duǎn)信網關(方式二) |
專業短(duǎn)信網關代理(lǐ)設備(方式三) |
| 深信服支持 |
支持主流GSM/CDMA短(duǎn)信貓 |
支持移動V2/V3、電(diàn)信V3、聯通(tōng)标準接口短(duǎn)信網關;
|
支持标準接口短(duǎn)信網關
非标準接口Webservice方案支持 |
支持标準接口短(duǎn)信網關
非标準接口Webservice方案支持 |
| 優勢 |
簡單實施,
不需要網絡支持 |
批量發送能力強
送達率高(gāo) |
資費更靈活
批量發送能力強 |
功能更豐富
批量發送能力強 |
| 劣勢 |
批量發送能力較弱 |
資費高(gāo) |
發送号碼可(kě)能不固定 |
資費高(gāo) |
| 需要硬件設備: |
需要 |
一般不需要; |
一般不需要; |
需要;例如移動MAS代理(lǐ)服務器(qì);或是用戶自主研發的短(duǎn)信代理(lǐ)平台 |
| 廠家(jiā) |
|
|
億美、商信通(tōng) |
華為(wèi)、嘉訊
【中國銀行(xíng)95566短(duǎn)信平台】 |
| 是否需要互聯網絡支持: |
一般不需要 |
需要 |
需要 |
需要 |
| 需互聯網: |
|
約2M |
約2M |
約2M |
| 短(duǎn)信發送 - 響應速度: |
大(dà)于5秒(miǎo),方面取決于短(duǎn)信設備的處理(lǐ)時(shí)間(jiān),另一方面取決于運營商短(duǎn)信信号的問題 |
2秒(miǎo)-30分鍾不等;取決于短(duǎn)信網關的繁忙程度 |
2秒(miǎo)-30分鍾不等;取決于短(duǎn)信網關的繁忙程度 |
2秒(miǎo)-30分鍾不等;取決于短(duǎn)信網關的繁忙程度 |
| 批量發送速度: |
10條 /分鍾 |
大(dà)于600條/分鍾
(可(kě)協商) |
大(dà)于100條/分鍾
(可(kě)協商) |
大(dà)于600條/分鍾
(可(kě)協商) |
| 發送達到率: |
>90% |
>99% |
>97% |
>99% |
| 其他限制(zhì) |
受運營商限制(zhì)
不可(kě)發送廣告短(duǎn)信 |
協商 |
協商 |
協商 |
| 号碼: |
普通(tōng)手機号碼 |
普通(tōng)手機号+特服号(運營商分配) |
特服号(可(kě)能是多(duō)客戶共享,發送号碼不固定) |
普通(tōng)手機号+特服号(運營商分配) |
| 發送範圍: |
移動、聯通(tōng)、電(diàn)信2G/3G的所有(yǒu)用戶 |
| 短(duǎn)信接收: |
有(yǒu) |
| 接收範圍: |
移動、聯通(tōng)、電(diàn)信2G/3G的所有(yǒu)用戶; |
| 短(duǎn)信轉發: |
提供,管理(lǐ)員可(kě)以自行(xíng)設置 |
| 管理(lǐ)方式: |
基于浏覽器(qì) |
| 和(hé)應用系統的接口: |
VB、LotusNotes、Java、數(shù)據庫、SMTP/SOCKET、統一Web應用接口等…… |
| 接口區(qū)别 |
獨立接口 |
各運營商內(nèi)采用統一接口; |
各短(duǎn)信代理(lǐ)商之間(jiān)接口不同; |
各運營商內(nèi)采用統一接口;
各客戶自主研發接口不同 |
| 繳費方式: |
和(hé)普通(tōng)手機一緻
(按月或自動扣繳) |
預存話(huà)費(500元起)
自動扣繳 |
預存話(huà)費(協商)
自動扣繳 |
預存話(huà)費(500元起)
自動扣繳 |
| 資費方式: |
發送0.05~0.1/條;接收免費; |
0.06~0.02/條;接收免費 |
0.08~0.04/條;接收免費 |
0.06~0.02/條;接收免費 |
| 綜述: |
小(xiǎo)數(shù)據量,簡單,快捷 |
大(dà)數(shù)據量,量大(dà)價優,服務穩定, |
中數(shù)據量,量大(dà)價優,服務穩定, |
大(dà)數(shù)據量,量大(dà)價優,服務穩定,功能多(duō) |
4.4 上(shàng)網行(xíng)為(wèi)管理(lǐ)
4.4.1 網橋模式
在核心交換機和(hé)防火(huǒ)牆之間(jiān)部署AC,AC以網橋模式部署,實現對內(nèi)網用戶上(shàng)網行(xíng)為(wèi)管理(lǐ),并且不用更改網絡結構、路由配置以及IP配置,部署簡單快捷。(2台AC間(jiān)啓用多(duō)機同步功能,實時(shí)同步用戶認證、會(huì)話(huà)、配置等信息,互為(wèi)冗餘備份,提高(gāo)系統可(kě)靠性。)
同時(shí),AC具有(yǒu)Bypass功能,在網橋模式部署下關機、開(kāi)機、重啓或者出現故障,則通(tōng)過Bypass功能實現兩端接口二層連通(tōng),避免出現鏈路斷開(kāi)狀态,保證業務持續性。
統一部署
本次方案設計(jì)中,網絡架構為(wèi)“總部-分支”星型結構,由于在各個(gè)分支大(dà)規模的部署了上(shàng)網行(xíng)為(wèi)管理(lǐ)系統AC,數(shù)量多(duō),地點分散,因此增加了管理(lǐ)難度。為(wèi)了有(yǒu)效提升管理(lǐ)效率,降低(dī)管理(lǐ)成本,在總部部署一台集中管理(lǐ)設備SC。通(tōng)過SC對全網範圍內(nèi)的AC進行(xíng)集中式管理(lǐ),統一下發策略和(hé)配置,有(yǒu)效降低(dī)管理(lǐ)複雜性。
身份認證
為(wèi)了有(yǒu)效區(qū)分用戶和(hé)用戶組,針對不同用戶實施不同的上(shàng)網行(xíng)為(wèi)管理(lǐ)策略,因此,在網絡訪問過程中,必須具備身份認證機制(zhì),避免身份冒充、權限濫用等出現。
4.4.3.1 本地認證
AC支持本地認證功能,包括Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定、USB-Key等。通(tōng)過本地認證功能,能夠準确識别上(shàng)網用戶,從而對該用戶進行(xíng)上(shàng)網行(xíng)為(wèi)管理(lǐ),而對于未通(tōng)過認證的用戶則限制(zhì)其網絡訪問權限。
4.4.3.2 外部認證
AC支持與LDAP、Radius、POP3等外部認證服務器(qì)或者SAM、CAMS等認證計(jì)費系統結合進行(xíng)身份認證。當用戶在認證服務器(qì)上(shàng)進行(xíng)認證後,AC能夠獲取用戶認證信息,用戶不用在AC上(shàng)進行(xíng)第二次身份認證,形成單點登錄,避免重複認證所帶來(lái)的麻煩。通(tōng)過身份認證功能,AC能夠準确識别上(shàng)網用戶,從而對該用戶進行(xíng)上(shàng)網行(xíng)為(wèi)管理(lǐ),而對于未通(tōng)過認證的用戶則限制(zhì)其網絡訪問權限。
4.4.4 上(shàng)網行(xíng)為(wèi)控制(zhì)
網絡應用極其豐富,尤其随着大(dà)量社交型網絡應用的出現,用戶将個(gè)人(rén)網絡行(xíng)為(wèi)帶入辦公場(chǎng)所,由此引發各種管理(lǐ)和(hé)安全問題。因此,全面的應用控制(zhì)幫助管理(lǐ)員掌控網絡應用現狀和(hé)用戶行(xíng)為(wèi),保障管理(lǐ)效果。
4.4.4.1 應用控制(zhì)
無線覆蓋安裝
互聯網應用衆多(duō),要在內(nèi)網對各應用進行(xíng)合理(lǐ)的管控,首先需要對應用進行(xíng)識别。AC內(nèi)置龐大(dà)應用特征識别庫,包含1500多(duō)種應用,可(kě)識别目前網絡中各種主流應用,如微博、社區(qū)論壇、網盤、在線視(shì)頻和(hé)移動APP等。對于未知應用,AC支持自定義功能,用戶可(kě)通(tōng)過協議、IP、端口等元素定義內(nèi)網系統應用,從而對不同用戶進行(xíng)控制(zhì)。
AC不僅可(kě)以針對用戶使用WEB、FTP、EMAIL等常用服務的情況進行(xíng)控制(zhì),還(hái)能夠通(tōng)過深度內(nèi)容檢測技(jì)術(shù),實現對QQ、MSN、SKYPE等IM聊天工具,BT、電(diàn)騾等P2P下載工具,PPLive、QQLive等在線影(yǐng)音(yīn)工具,網絡遊戲,在線炒股等網絡應用行(xíng)為(wèi)進行(xíng)管理(lǐ)和(hé)控制(zhì)。
針對目前P2P應用泛濫的趨勢, AC的P2P智能識别技(jì)術(shù)基于P2P行(xíng)為(wèi)進行(xíng)識别,不僅能夠對現有(yǒu)的BT、迅雷、電(diàn)騾等P2P軟件進行(xíng)管控,還(hái)能夠對不常用的、未來(lái)可(kě)能出現的P2P軟件進行(xíng)有(yǒu)效管控。并且對P2P行(xíng)為(wèi)嚴重吞噬帶寬資源的問題,提供P2P應用封堵措施。針對類似P2P難以管控的應用,AC內(nèi)置應用智能識别庫,自動判斷新出現應用特征,從而歸類管理(lǐ)。
AC具備多(duō)種網絡訪問控制(zhì)功能,可(kě)以基于用戶/用戶組、基于時(shí)間(jiān)段、基于不同目标行(xíng)為(wèi)進行(xíng)靈活權限控制(zhì),實現人(rén)性化管理(lǐ)要求。
4.4.4.2 應用标簽化
管理(lǐ)員可(kě)通(tōng)過AC對應用或具體(tǐ)細分動作(zuò)進行(xíng)标簽化,例如,迅雷下載定義為(wèi)“高(gāo)帶寬消耗”标簽、網盤的上(shàng)傳動作(zuò)定義為(wèi)“洩密風險”标簽等。管理(lǐ)員在制(zhì)定策略時(shí),可(kě)通(tōng)過标簽來(lái)選擇相應的應用或細分動作(zuò),不用逐個(gè)選擇,從而避免錯選漏選,提高(gāo)管理(lǐ)效率。
4.4.4.3 網頁過濾
企業員工在日常需要使用網絡的工作(zuò)中,需要搜索訪問互聯網。互聯網的開(kāi)放性帶來(lái)了資源的傳播和(hé)共享,同時(shí)也為(wèi)不良資源提供了擴散的平台。反人(rén)類、反政府、色情、賭博、毒品等包含不良信息的網頁屢見不鮮、層出不窮,因此,需要網頁分類、搜索引擎關鍵字過濾等技(jì)術(shù)來(lái)控制(zhì)網頁訪問行(xíng)為(wèi)。
AC內(nèi)置千萬級URL庫,将互聯網網頁分成60多(duō)個(gè)類别,同時(shí)每半個(gè)月實時(shí)更新和(hé)維護URL庫。
AC提供自行(xíng)添加URL的功能,在查詢URL庫中沒有(yǒu)此URL地址時(shí),用戶可(kě)自行(xíng)在設備界面進行(xíng)添加,也可(kě)自定義URL類型,對企業內(nèi)部網頁進行(xíng)管理(lǐ)。
AC具備URL智能識别功能,可(kě)對未知的網頁進行(xíng)自動學習、判别、歸類,保持URL識别庫動态更新。
4.4.4.4 發帖過濾
網絡的開(kāi)放性給人(rén)們帶來(lái)更多(duō)的言論自由,但(dàn)發表一些(xiē)類似色情、反動、迷信或者暴力的信息,影(yǐng)響社會(huì)安定,造成了不必要的影(yǐng)響,企業或個(gè)人(rén)也要承擔法律責任。
AC可(kě)對發帖進行(xíng)關鍵字過濾。天涯、貓撲、百度貼吧(ba)等論壇網站(zhàn),AC可(kě)設置隻允許登陸、看帖,但(dàn)不允許發帖,或者實行(xíng)發帖關鍵字過濾,靈活避免企業中出現洩密或者發表不良言論帶來(lái)法律追究責任的風險。
4.4.4.5 郵件過濾
Email不僅是組織重要的溝通(tōng)方式之一,同時(shí)也是最常見的洩密方式。AC支持基于關鍵字、收發地址、附件類型/個(gè)數(shù)/大(dà)小(xiǎo)過濾外發郵件,對于将文件修改後綴名、删除後綴名,或者壓縮、加密後作(zuò)為(wèi)Email附件外發,試圖躲過攔截與審查的行(xíng)為(wèi),AC能夠識别并進行(xíng)報警。同時(shí),對于所有(yǒu)收發的webmail、Email郵件AC都可(kě)以全面記錄并完整還(hái)原原郵件,并通(tōng)過數(shù)據中心方便管理(lǐ)員對郵件日志(zhì)進行(xíng)查詢、審計(jì)、報表統計(jì)等操作(zuò)。
4.4.4.6 文件傳輸過濾
利用網絡來(lái)進行(xíng)文件傳輸在日常辦公中普遍出現,而在文件傳輸過程中存在種種管理(lǐ)和(hé)安全隐患,如用戶通(tōng)過不可(kě)信的下載源下載了帶毒文件、在文件打包外發過程中不慎夾帶了涉密文件、終端因為(wèi)中毒或被黑(hēi)客控制(zhì)主動發起外發文件行(xíng)為(wèi)而用戶對此茫然無知,有(yǒu)意洩密者甚至會(huì)将外發文件的後綴名修改、删除,或者加密、壓縮該文件,然後通(tōng)過HTTP、FTP、Email附件等形式外發。
AC支持管控文件外發行(xíng)為(wèi),如僅允許用戶從指定的可(kě)信的下載站(zhàn)點下載文件而封堵其他站(zhàn)點,基于關鍵字、文件類型控制(zhì)上(shàng)傳/下載行(xíng)為(wèi),封堵QQ/MSN等IM傳文件,允許使用Webmail收郵件而禁止發送郵件等。其中,僅僅實現對外發文件的審計(jì)和(hé)記錄顯然無法挽回洩密已經給企業造成的損失,單純的基于文件擴展名過濾外發文件、外發Email也無法應對以上(shàng)風險。鑒于此AC的文件類型深度識别技(jì)術(shù)能基于特征能夠識别文件類型,即便存在修改、删除外發文件後綴名,或者加密、壓縮文件文件外發的行(xíng)為(wèi),AC也能發現并且告警,保護企業的信息資産安全。
4.4.4.7 加密應用識别
SSL (Secure Socket Layer)協議,被廣泛地用于Web浏覽器(qì)與服務器(qì)之間(jiān)的身份認證和(hé)加密數(shù)據傳輸,利用數(shù)據加密技(jì)術(shù),可(kě)确保數(shù)據在網絡上(shàng)之傳輸過程中不會(huì)被截取及竊聽(tīng)。正因為(wèi)如此,一方面,越來(lái)越多(duō)的網頁使用SSL加密,如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網站(zhàn),而因為(wèi)采用了加密技(jì)術(shù),普通(tōng)的管理(lǐ)産品無法對其內(nèi)容進行(xíng)識别管理(lǐ),别有(yǒu)用心的用戶可(kě)以利用這一缺陷繞過管理(lǐ),通(tōng)過SSL加密郵件、BBS、論壇發布的反動言論或者是向外發送組織的機密信息,導緻管理(lǐ)漏洞。
AC可(kě)以對SSL網站(zhàn)提供的數(shù)字證書(shū)進行(xíng)深度驗證,包括該證書(shū)的根頒發機構、證書(shū)有(yǒu)效期、證書(shū)撤銷列表、證書(shū)持有(yǒu)人(rén)的公鑰、證書(shū)簽名等,防止采用非可(kě)信頒發機構數(shù)字證書(shū)的釣魚網站(zhàn)蒙騙用戶,此功能亦應用于過濾SSL加密的色情、反動站(zhàn)點,證券炒股站(zhàn)點等。此外,AC擁有(yǒu)專利技(jì)術(shù)“基于網關、網橋防範網絡釣魚網站(zhàn)的方法”(專利号ZL200710072997.1)具有(yǒu)對SSL加密內(nèi)容的完全管控能力,支持識别、管控、審計(jì)經由SSL加密的內(nèi)容,如支持基于關鍵字過濾SSL加密的搜索行(xíng)為(wèi)、發帖行(xíng)為(wèi)、網頁浏覽行(xíng)為(wèi),審計(jì)SSL加密行(xíng)為(wèi)如郵件發送行(xíng)為(wèi),為(wèi)組織打造堅固無漏洞的管理(lǐ)。
4.4.5 流量控制(zhì)
企業的出口帶寬有(yǒu)限,随着網絡應用的豐富,出現各種吞噬帶寬的應用,如P2P應用,若不對這些(xiē)應用加以限制(zhì)管理(lǐ),企業的帶寬資源必會(huì)被搶占,而核心業務卻得(de)不到帶寬,從而導緻整體(tǐ)網絡速度變慢,影(yǐng)響正常的郵件發送和(hé)網絡訪問。因此,企業需要一種流量管理(lǐ)工具,識别應用流量,對現有(yǒu)的帶寬進行(xíng)合理(lǐ)的分配。
4.4.5.1 多(duō)線路複用和(hé)智能選路
企業網絡出口有(yǒu)多(duō)條運營商提供的互聯網線路,在進行(xíng)數(shù)據傳輸的過程中,往往因為(wèi)跨運營商訪問出現丢包嚴重、延遲大(dà)的問題。出口多(duō)條線路,大(dà)小(xiǎo)不一,流量分配不均,達不到預期的使用效果。
AC擁有(yǒu)專利技(jì)術(shù)(ZL 200610061591.9,一種基于網關/網橋的線路自動選路方法),可(kě)為(wèi)數(shù)據包選擇最快最暢通(tōng)線路進行(xíng)數(shù)據傳輸。當一條線路繁忙,其他幾條線路空(kōng)閑時(shí),AC可(kě)通(tōng)過線路複用技(jì)術(shù),将所有(yǒu)線路複用起來(lái),不僅合理(lǐ)分配帶寬資源,而且能在較短(duǎn)時(shí)間(jiān)內(nèi)傳送要傳輸的數(shù)據,提高(gāo)大(dà)容量數(shù)據的訪問和(hé)傳輸速度。
AC的多(duō)線路複用專利技(jì)術(shù)使一台AC可(kě)同時(shí)連接四條公網線路,擴展帶寬、互為(wèi)備份、流量負載均衡。通(tōng)過部署AC網關,可(kě)實現智能化選擇最快的出口線路,有(yǒu)利于上(shàng)網速度的提升。
4.4.5.2 父子通(tōng)道(dào)
通(tōng)過部署AC,可(kě)對網絡出口鏈路總帶寬進行(xíng)細分,采用“基于隊列的流控技(jì)術(shù)”,即建立通(tōng)道(dào),将不同的控制(zhì)對象分配到不同的通(tōng)道(dào)裏。通(tōng)道(dào)可(kě)應用于不同用戶或者應用,在通(tōng)道(dào)中可(kě)以限制(zhì)或保障其帶寬,控制(zhì)靈活。AC支持多(duō)級父子通(tōng)道(dào),即在父通(tōng)道(dào)中嵌套子通(tōng)道(dào),最大(dà)可(kě)支持8級父子通(tōng)道(dào)。通(tōng)過多(duō)級父子通(tōng)道(dào)技(jì)術(shù),能夠完全匹配企業的組織架構,針對不同級别的通(tōng)道(dào)進行(xíng)帶寬調整,為(wèi)用戶提供細緻的流量管理(lǐ)手段,使得(de)帶寬分配更靈活、更合理(lǐ)。
4.4.5.3 P2P智能流控
目前,通(tōng)過封IP、端口等限制(zhì)“帶寬殺手”P2P應用的方式不起作(zuò)用。加密P2P、非主流P2P、新型P2P工具等讓衆多(duō)P2P管理(lǐ)手段形同虛設。AC憑借P2P智能識别技(jì)術(shù),不僅識别和(hé)管控常用P2P、加密P2P,還(hái)能對不常見和(hé)未來(lái)将出現的P2P應用加以控制(zhì)。
目前互聯網上(shàng)流行(xíng)的P2P下載、流媒體(tǐ)等應用程序通(tōng)常具備強烈的帶寬侵占特性,傳統流控手段是通(tōng)過緩存和(hé)丢包手段來(lái)實現流量控制(zhì)的目的,但(dàn)是某些(xiē)P2P應用如P2P流媒體(tǐ)、P2P下載工具等缺乏自身流控機制(zhì),即使被丢包依然不會(huì)主動降低(dī)速率,仍搶占大(dà)量的帶寬資源。同時(shí)對于下行(xíng)的接收流量來(lái)說,被丢棄的數(shù)據包已經占用了線路帶寬,關鍵業務的帶寬依然得(de)不到提升,流控達不到預期的效果。
針對這些(xiē)問題, AC通(tōng)過智能流控功能,能有(yǒu)效解決P2P應用的問題。雖然基于UDP協議的P2P應用對丢包不敏感,但(dàn)是下行(xíng)流量與上(shàng)行(xíng)流量有(yǒu)顯著的相關性,隻要控制(zhì)住上(shàng)行(xíng)流量,下行(xíng)流量就能得(de)到控制(zhì)。當開(kāi)啓AC的智能流控功能時(shí),系統會(huì)根據下行(xíng)流量的設定值對上(shàng)行(xíng)流量進行(xíng)自動調整,從而達到控制(zhì)和(hé)減少(shǎo)下行(xíng)流量的效果,從源頭處有(yǒu)效限制(zhì)P2P流量。
4.4.5.4 動态流量控制(zhì)
當帶寬有(yǒu)限時(shí),企業希望通(tōng)過限制(zhì)P2P、流媒體(tǐ)等應用來(lái)保障郵件、訪問網站(zhàn)等業務相關應用的流暢性。傳統的解決方法是通(tōng)過靜态的帶寬分配策略,根據應用的重要性分配相應的帶寬。無論網絡情況如何變動,分配的帶寬都是固定的,不能自動調整,這樣的流控策略往往造成帶寬資源的浪費。比如某些(xiē)業務應用帶寬資源不足,而其他應用的帶寬資源卻處于空(kōng)閑狀态,得(de)不到有(yǒu)效利用。
針對此類問題, AC提供了動态流控功能。用戶可(kě)通(tōng)過配置線路空(kōng)閑閥值,以及定義線路的空(kōng)閑和(hé)繁忙狀态,實現針對性制(zhì)定流控策略。當線路空(kōng)閑時(shí)可(kě)以放寬通(tōng)道(dào)帶寬限制(zhì),應用流量可(kě)突破原來(lái)設定的最大(dà)帶寬限制(zhì);當線路繁忙時(shí)可(kě)以下壓通(tōng)道(dào)帶寬,使帶寬恢複到被限制(zhì)狀态,執行(xíng)原有(yǒu)的流控策略。通(tōng)過靈活的帶寬管理(lǐ),最大(dà)滿足業務對帶寬的需求,實現帶寬的最大(dà)價值。
4.4.5.5 虛拟線路
用戶出口有(yǒu)多(duō)條運營商線路,而在防火(huǒ)牆和(hé)核心交換中間(jiān),往往隻有(yǒu)一條鏈路。在一條物理(lǐ)線路中很(hěn)難實現精細化的流量劃分,容易造成幾條外網線路流量分配不均,導緻部分線路負荷過重。
AC通(tōng)過虛拟線路技(jì)術(shù),即定義不同的虛拟線路來(lái)匹配多(duō)條出口線路流量或是來(lái)自內(nèi)網不同網段的流量,同時(shí)在不同的虛拟線路中結合父子通(tōng)道(dào)、P2P智能識别和(hé)動态流控等技(jì)術(shù),實現更靈活的帶寬分配。
4.4.6 安全防護
AC在通(tōng)過網頁過濾、應用控制(zhì)、流量合理(lǐ)劃分和(hé)監控審計(jì)後,需要的就是一個(gè)和(hé)諧的內(nèi)網環境。內(nèi)網用戶中毒,感染局域網,導緻業務中斷,這在很(hěn)多(duō)企業中曾經出現過。因此,通(tōng)過AC安全防護功能,從外至內(nèi)提供牢固的內(nèi)網安全防線。
4.4.6.1 網關殺毒、防火(huǒ)牆
作(zuò)為(wèi)一個(gè)全面的內(nèi)網管理(lǐ)設備, AC提供了豐富的安全增值功能。AC集成來(lái)自歐洲領先病毒廠商F-PROT殺毒引擎,對內(nèi)網用戶接收的郵件、訪問的網頁、下載的文件進行(xíng)病毒過濾,降低(dī)內(nèi)網用戶感染病毒的風險。管理(lǐ)員可(kě)自行(xíng)設置網關殺毒的選項,病毒庫實時(shí)升級,幫助組織查殺病毒,支持殺毒引擎在線自動升級,也支持用戶手工升級病毒庫。
AC具備強大(dà)的防火(huǒ)牆功能,不僅是對內(nèi)網的環境保護,也是對設備自身的一個(gè)保護,保證設備在內(nèi)網中的穩定性。
4.4.6.2 危險行(xíng)為(wèi)識别
無線覆蓋安裝
內(nèi)網用戶将PC帶出企業,不小(xiǎo)心中毒後極易引起局域網內(nèi)PC癱瘓。中毒PC通(tōng)過外發郵件等信息散播蠕蟲、木馬等病毒,當其他用戶接受這些(xiē)看似正常的郵件時(shí),就會(huì)無意間(jiān)受感染。AC通(tōng)過危險行(xíng)為(wèi)智能識别、告警和(hé)阻斷功能,防止企業遭受來(lái)自內(nèi)部網絡的安全威脅,并及時(shí)告警,幫助管理(lǐ)員快速定位安全隐患,及時(shí)響應,避免損失。
4.4.6.3 危險插件過濾
企業員工在訪問互聯網網頁時(shí),經常出現打開(kāi)網頁後,未等用戶反應看清插件名字時(shí),插件已自動安裝。部分插件提示用戶安裝,但(dàn)用戶在不清楚插件是否合法的情況點了安裝。随着電(diàn)腦(nǎo)中安裝插件的個(gè)數(shù)增加,用戶電(diàn)腦(nǎo)處理(lǐ)任務的速度越來(lái)越慢,甚至部分惡意插件在短(duǎn)時(shí)間(jiān)內(nèi)導緻系統中毒或者硬盤毀壞。因此,AC在注重用戶網絡安全方面提出了危險插件過濾功能。
AC将判斷插件的數(shù)字簽名是否合法,插件是否被修改過數(shù)據,證書(shū)是否過期等信息,自動過濾不合法的插件。同時(shí),AC可(kě)設置信任插件,如常用的在線殺毒插件、播放器(qì)插件、休閑娛樂插件等,避免誤殺情況。
4.4.6.4 網絡準入規則
AC的網絡準入規則通(tōng)過對客戶端的評估來(lái)實現網絡訪問控制(zhì),并更好的維護網絡安全防線。準入的設計(jì)意義在于三個(gè)方面:
1. 僅靠網絡邊緣的外圍設備已經無法保證安全性。
2. 邊緣網關設備無法防止來(lái)自局域網內(nèi)部的濫用、攻擊和(hé)破壞。
3. 客戶端的安全級别往往難以保證:使用版本陳舊(jiù)的操作(zuò)系統、不及時(shí)更新補丁、不安裝防火(huǒ)牆和(hé)殺毒軟件等,都成為(wèi)局域網安全中的漏洞。
鑒于此,AC網絡準入規則技(jì)術(shù)通(tōng)過對端點安全評估和(hé)訪問控制(zhì)實現全方位安全防護。AC網絡準入規則檢測端點主機是否遵從管理(lǐ)者設定的安全策略,如操作(zuò)系統版本和(hé)補丁安裝情況、殺毒/防火(huǒ)牆軟件安裝情況、系統進程、硬盤文件、注冊表等。不滿足預設要求的接入端點,禁止其訪問互聯網或僅提交報告。
通(tōng)過AC的網絡準入規則,修補內(nèi)網安全短(duǎn)闆,避免病毒、木馬等輕易感染內(nèi)網主機,利于企業推行(xíng)統一的IT政策。
4.4.6.5 防ARP欺騙
ARP協議是IP通(tōng)信中的基本協議之一。但(dàn)感染ARP病毒的用戶會(huì)發送大(dà)量ARP欺騙數(shù)據包,從而導緻整個(gè)廣播域用戶無法訪問外部網絡資源。
如何有(yǒu)效防控ARP欺騙是目前用戶和(hé)業界的難題之一。AC通(tōng)過網絡準入規則插件結合防ARP欺騙技(jì)術(shù),保證終端用戶安全和(hé)保障網絡可(kě)用性。這不僅避免了單獨安裝客戶端軟件的問題,而且網絡準入規則技(jì)術(shù)還(hái)将進一步加強端點安全級别,提升整個(gè)網絡安全級别。
4.4.6.6 外發文件告警
數(shù)據洩密通(tōng)常在HTTP、FTP、Email附件外發文件時(shí)會(huì)篡改、删除擴展名,壓縮、加密再外發。AC能夠對外發文件進行(xíng)深度識别,一旦發現文件後綴名被篡改或删除則定義為(wèi)安全威脅,并且執行(xíng)報警工作(zuò)。
4.4.6.7 自動告警
AC支持在一定時(shí)間(jiān)段裏內(nèi)網用戶流量超過一定閥值時(shí),實現自動告警的功能。例如當內(nèi)網遭到DOS攻擊、ARP攻擊時(shí),內(nèi)網由DOS攻擊、ARP攻擊産生(shēng)的流量值會(huì)增加,當超過管理(lǐ)員設定的值時(shí),自動告警提醒管理(lǐ)員內(nèi)網安全存在隐患,以便管理(lǐ)員快速做(zuò)出決策來(lái)保障內(nèi)網的安全。除了支持上(shàng)述攻擊告警,AC還(hái)支持殺毒、洩密、郵件延遲審計(jì)、危險行(xíng)為(wèi)識别等流量超過預定的閥值的自動告警。
4.4.6.8 防代理(lǐ)功能
部分員工為(wèi)了逃避網絡管理(lǐ)員對他的網絡管控,通(tōng)過使用代理(lǐ)、翻牆軟件,越過網絡規章制(zhì)度,毫無顧忌的上(shàng)網,給企業的網絡管理(lǐ)和(hé)內(nèi)網安全帶來(lái)了一定的威脅。
AC可(kě)自動識别內(nèi)網中使用代理(lǐ)、翻牆軟件的終端,可(kě)對HTTP代理(lǐ)、SOCKS4、SOCKS5代理(lǐ)實行(xíng)控制(zhì),禁止在HTTP協議和(hé)SSL 協議标準端口使用其他的協議,從浏覽器(qì)的根源處防止代理(lǐ)行(xíng)為(wèi)的發生(shēng)。一旦用戶使用自由門(mén)、無界浏覽器(qì),AC将自動記錄并阻斷代理(lǐ)違禁行(xíng)為(wèi),避免出現洩密和(hé)網絡不可(kě)控的事件發生(shēng)。
4.4.6.9 安全桌面
通(tōng)過對網絡安全風險分析,再加上(shàng)黑(hēi)客、病毒等安全危脅日益嚴重。網絡安全問題的解決勢在必行(xíng)。針對不同安全風險必須采用相應的安全措施來(lái)解決。使網絡安全達到一定的安全目标。
本方案采用AC的上(shàng)網安全桌面功能進行(xíng)安全防護。管理(lǐ)員直接通(tōng)過登錄AC,對內(nèi)網中的用戶進行(xíng)上(shàng)網安全桌面策略配置管理(lǐ),并統一下發策略。管理(lǐ)員可(kě)以設定用戶網絡訪問控制(zhì)、文件目錄訪問控制(zhì)以及文件導出等功能,保證內(nèi)部網絡及電(diàn)腦(nǎo)的安全,避免病毒、木馬等侵入系統。
上(shàng)網安全桌面功能采用了沙盒技(jì)術(shù),在PC終端上(shàng)創造一個(gè)安全的虛拟桌面,用戶隻能通(tōng)過這個(gè)虛拟的安全桌面上(shàng)網,在訪問外網的過程中,在這個(gè)環境裏所做(zuò)的任何對文件、注冊表的修改都被重定向,原始的文件和(hé)注冊表不會(huì)被改動,關閉安全桌面後所有(yǒu)改動操作(zuò)被删除。
安全桌面與AC形成端到端的企業級安全解決方案,通(tōng)過設置不同的上(shàng)網權限,将內(nèi)網與風險重重的互聯網隔離開(kāi),保障內(nèi)網PC與企業信息、個(gè)人(rén)隐私安全,再結合其內(nèi)置的危險插件和(hé)惡意腳本過濾等創新技(jì)術(shù),實現立體(tǐ)式安全護航,确保安全上(shàng)網。保護用戶辦公電(diàn)腦(nǎo)與內(nèi)部網絡系統的安全。
上(shàng)網安全桌面主要功能包括:
網絡訪問權限控制(zhì)
針對常見的內(nèi)網安全問題,在AC上(shàng)通(tōng)過配置放行(xíng)的IP或域名,控制(zhì)默認桌面跟上(shàng)網安全桌面各自允許訪問的網絡。
上(shàng)網安全桌面會(huì)隔離虛拟環境訪問主機的文件系統,從而也隔離了來(lái)自互聯網的木馬程序竊取本機文件的途徑,保護了本機文件重要資料的安全。
用戶通(tōng)過上(shàng)網安全桌面訪問外部互聯網,通(tōng)過默認桌面訪問內(nèi)網,實現雙網隔離。采用邏輯隔離手段比物理(lǐ)隔離布放成本低(dī),效果好,維護費用低(dī),在充分享用信息交互的同時(shí)保障了內(nèi)網信息的安全。
目錄訪問權限控制(zhì)
通(tōng)過目錄訪問權限控制(zhì)功能設置安全桌面可(kě)訪問的默認桌面目錄,限制(zhì)對某些(xiē)目錄的訪問,保證個(gè)人(rén)隐私、企業機密信息安全。一旦用戶中了木馬,也不用擔心電(diàn)腦(nǎo)中的機密信息被竊取,因為(wèi)安全桌面內(nèi)的所有(yǒu)程序隻能訪問特定的系統文件夾,無法看到機密信息,讓黑(hēi)客無從下手。
文件導出權限控制(zhì)
無線覆蓋安裝
在保證用戶電(diàn)腦(nǎo)及內(nèi)網安全的同時(shí),考慮到用戶使用安全桌面時(shí)的便捷性,可(kě)在有(yǒu)文件導出權限的情況下,将安全桌面內(nèi)的文件導出到默認桌面保存,避免重啓安全桌面後文件丢失。
通(tōng)過AC的上(shàng)網安全桌面功能,能夠實現:
有(yǒu)效保護內(nèi)網信息
沙盒技(jì)術(shù)已經是成為(wèi)業界公認的一種安全技(jì)術(shù),已經被各行(xíng)業産品應用于安全防護。它不僅能解決傳統殺軟的病毒庫小(xiǎo)、查殺病毒滞後性的問題,而且能解決傳統防病毒廠商無法解決的防止網頁挂馬、惡意插件的攻擊。在特殊環境下,安全桌面及時(shí)中毒,也不會(huì)感染到默認桌面,因為(wèi)病毒木馬在安全桌面關閉後,所有(yǒu)的數(shù)據都将清除,病毒木馬在虛拟的環境産生(shēng),也将在虛拟的環境中消失。
降低(dī)建設和(hé)維護成本
傳統防範互聯網風險的解決方案需要在網絡出口處部署防火(huǒ)牆,在終端部署殺毒軟件,不僅投入了大(dà)量的資金成本,同時(shí)後期IT管理(lǐ)員對于設備、軟件的維護、升級工作(zuò),工作(zuò)量大(dà),維護成本高(gāo)。
上(shàng)網安全桌面解決方案,不需要再部署防火(huǒ)牆及終端殺毒産品,隻需要在原有(yǒu)的PC上(shàng)安裝上(shàng)網安全桌面客戶端,管理(lǐ)員在上(shàng)網行(xíng)為(wèi)管理(lǐ)上(shàng)通(tōng)過設置策略實現網絡訪問的安全。因此無論在投入成本還(hái)是在維護成本上(shàng),相對于傳統方式會(huì)成倍的減少(shǎo)。
提高(gāo)用戶體(tǐ)驗
安全桌面在提供嚴密的安全防護基礎上(shàng),也給用戶提供了大(dà)量易用的功能。例如ActiveX控件的代理(lǐ)安裝、Cookie自動保存、安全桌面文件導出等。
ActiveX控件是IE的一個(gè)重要特性,在國內(nèi)使用也是非常廣泛的。在IE發現需要安裝控件的時(shí)候,安全桌面先進行(xíng)檢測,看這個(gè)控件是否在允許的範圍內(nèi)。如果在,那(nà)麽我們将記錄安裝所必須的信息,然後将這些(xiē)信息發送給默認桌面的另一個(gè)安全桌面組件,讓這個(gè)組件來(lái)執行(xíng)真正的安裝工作(zuò)。
Cookie自動保存功能可(kě)以幫助用戶在退出安全桌面以後,下次再次啓動仍然可(kě)以使用上(shàng)次記錄的登陸信息等。例如用戶登陸過了新浪微博,然後用戶退出安全桌面,下次啓動以後就可(kě)以自動幫助用戶登陸成功了。
當用戶在安全桌面使用互聯網,需要将文件保存時(shí),可(kě)以向管理(lǐ)員申請(qǐng)文件導出的權限。管理(lǐ)員在AC上(shàng)做(zuò)策略後,用戶就可(kě)以把文件導出到默認桌面了。
端到端便捷管理(lǐ)
大(dà)多(duō)的殺毒軟件産品提供的并非企業級解決方案,所以在組織中強制(zhì)每個(gè)用戶去安裝并及時(shí)更新殺毒産品,是一件非常困難的事情。而位于終端的上(shàng)網安全桌面與AC組成了端到端的企業級管理(lǐ)解決方案。IT管理(lǐ)員通(tōng)過AC向終端安全桌面統一下發網絡和(hé)數(shù)據訪問權限策略,實現了終端安全的統一管理(lǐ),簡單方便。
4.4.7 防共享(防1拖N)
當用戶通(tōng)過路由器(qì)、代理(lǐ)軟件共享上(shàng)網時(shí),AC将通(tōng)過先進的檢測技(jì)術(shù)發現共享上(shàng)網的IP、用戶名、接入的終端數(shù),并在防共享上(shàng)網的狀态界面顯示出來(lái)。
核心技(jì)術(shù):基于應用特征的方法 + 基于flash cookie的方法
基于應用特征的方法
AC設備內(nèi)置防代理(lǐ)軟件規則庫,對最新熱門(mén)軟件唯一特征庫進行(xíng)識别,比如QQ、360安全衛士、搜狗拼音(yīn)、迅雷、英雄聯盟、穿越火(huǒ)線、快播、PPS、PPTV、風行(xíng)、迅雷看看、暴風影(yǐng)音(yīn)、愛(ài)奇藝影(yǐng)音(yīn)、搜狐影(yǐng)音(yīn)等
PC終端安裝這些(xiē)熱門(mén)軟件後,在使用該軟件或者該軟件進行(xíng)更新時(shí),我們的AC設備在網絡出口處都能檢測到來(lái)自于該IP的應用特征。 若發現有(yǒu)同一個(gè)用戶賬号下有(yǒu)2個(gè)或超過2個(gè)的IP接入,則判斷為(wèi)共享上(shàng)網的行(xíng)為(wèi),并自動檢測到有(yǒu)2個(gè)或超過2個(gè)終端在接入。
基于flash cookie的方法
同Http Cookie一樣,Flash Cookie也就是記錄用戶在訪問Flash網頁的時(shí)候保留的信息,鑒于Flash技(jì)術(shù)的普遍性,幾乎所有(yǒu)的網站(zhàn)都采用,所以具有(yǒu)同Http Cookie一樣的作(zuò)用。但(dàn)是相比起Http Cookie,Flash Cookie更加強大(dà):
1、容量更大(dà),Flash Cookie可(kě)以容納最多(duō)100千字節的數(shù)據,而一個(gè)标準的HTTP Cookie隻有(yǒu)4千字節;
2、FlashCookie沒有(yǒu)默認的過期時(shí)間(jiān);
3、FlashCookie将被存儲在不同的地點,這使得(de)它們很(hěn)難被找到。
用IE浏覽器(qì)(任意浏覽器(qì)均可(kě))進入百度MP3搜索,在不登錄百度帳号的情況下打開(kāi)百度音(yīn)樂盒,随便試聽(tīng)幾首歌(gē)曲,這時(shí)可(kě)以看到在百度音(yīn)樂盒的試聽(tīng)曆史中會(huì)出現之前試聽(tīng)的歌(gē)曲。
無線覆蓋安裝
接下來(lái)我們使用IE自帶的删除功能來(lái)清除Cookie(也可(kě)以使用各種軟件的清理(lǐ)Cookie功能),清理(lǐ)完之後再重新打開(kāi)百度音(yīn)樂盒,我們發現之前試聽(tīng)的歌(gē)曲信息居然還(hái)在,情況還(hái)不隻如此,用任意一個(gè)浏覽器(qì)打開(kāi)百度音(yīn)樂盒,都可(kě)以發現之前的試聽(tīng)曆史,這就是Flash Cookie在起作(zuò)用。
Flash Cookie也就是記錄用戶在訪問Flash網頁的時(shí)候保留的信息,鑒于Flash技(jì)術(shù)的普遍性,幾乎所有(yǒu)的網站(zhàn)都采用,所以具有(yǒu)同Http Cookie一樣的作(zuò)用,隻要當用戶打開(kāi)浏覽器(qì)去上(shàng)網,那(nà)麽就能被AC記錄到fash cookie的特征值。
由于flash cookie不容易被清除,而且具有(yǒu)針對每個(gè)用戶具有(yǒu)唯一,并且支持跨浏覽器(qì),所以被用于做(zuò)防共享檢測,極大(dà)的減少(shǎo)了共享上(shàng)網的漏判率和(hé)誤判率,使得(de)我們AC防共享方案成為(wèi)了行(xíng)業內(nèi)技(jì)術(shù)領先、獲得(de)衆多(duō)客戶認可(kě)的解決方案。
4.4.8 行(xíng)為(wèi)審計(jì)
許多(duō)企業網絡環境良好,帶寬分配合理(lǐ),但(dàn)由于工作(zuò)和(hé)行(xíng)業性質關系,員工日常工作(zuò)中涉及了大(dà)量與公司企業、政府單位密切相關的信息,這些(xiē)信息一旦公開(kāi),給企業将帶來(lái)洩露商業機密、觸犯法律風險等違規違法的隐患。當這類事情出現的時(shí)候,為(wèi)了在最短(duǎn)的時(shí)間(jiān)內(nèi)找到網絡違法的當事人(rén),避免由企業承擔相應法律責任。因此,通(tōng)過AC的應用審計(jì)功能,詳細記錄員工的日常上(shàng)網行(xíng)為(wèi)。
4.4.8.1 實時(shí)監控
AC支持實時(shí)監控功能,可(kě)對AC設備的運行(xíng)狀态、安全狀态、流量狀态、上(shàng)網行(xíng)為(wèi)監控、在線用戶管理(lǐ)、郵件延遲審計(jì)進行(xíng)實時(shí)監控。管理(lǐ)員不需要登陸數(shù)據中心即可(kě)實時(shí)查看網絡的各種應用和(hé)流量使用情況,簡單快捷。
運行(xíng)狀态包括系統資源信息、接口信息、接口吞吐率、應用流速趨勢、應用流量排名、用戶流量排名。安全狀态實時(shí)彙報內(nèi)網用戶安全情況。
在實時(shí)應用流量排行(xíng)界面點擊某一個(gè)應用即可(kě)自動彈出該應用流量的用戶排名情況。實時(shí)用戶流量排行(xíng)界面可(kě)針對單個(gè)用戶實現用戶的應用流量排行(xíng)情況的頁面跳(tiào)轉。此外AC還(hái)支持實時(shí)連接監控,顯示用戶的所有(yǒu)會(huì)話(huà)連接狀況。
4.4.8.2 全面、靈活的應用審計(jì)
AC實時(shí)監控和(hé)完善的應用審計(jì)功能,幫助網絡管理(lǐ)員了解內(nèi)網用戶的上(shàng)網行(xíng)為(wèi),同時(shí)也作(zuò)為(wèi)追查依據。
網頁訪問
內(nèi)網用戶訪問的URL地址、網頁标題、時(shí)間(jiān)等內(nèi)容,AC能夠完全監控與記錄。
同時(shí),通(tōng)過網頁快照功能,直觀展現網頁內(nèi)容,便于管理(lǐ)人(rén)員快速查看。
郵件收發
對于Webmail或郵件客戶端收發郵件,AC能夠記錄郵件的時(shí)間(jiān)、發件人(rén)、收件人(rén)、标題、正文內(nèi)容和(hé)附件等,附件內(nèi)容可(kě)提供下載做(zuò)進一步審核。
IM聊天
對于QQ、MSN、Gtalk等聊天應用,無論是Web版或是桌面版,AC均能詳細記錄其聊天內(nèi)容。
微博論壇
對于微博、社交論壇發帖不僅能夠根據關鍵字進行(xíng)過濾,發布的內(nèi)容也能全面記錄,準确還(hái)原發帖內(nèi)容,提高(gāo)可(kě)讀性。
SSL加密應用
同時(shí),對于經過SSL加密的webmail外發郵件、SSL加密的SMTP/POP3,AC可(kě)以基于關鍵字過濾和(hé)內(nèi)容審計(jì)記錄。
針對不同的用戶、用戶組,通(tōng)過數(shù)據簡單的勾選,即可(kě)完成差異化的行(xíng)為(wèi)審計(jì)功能。
4.4.8.3 數(shù)據中心及報表
大(dà)型機構每天産生(shēng)數(shù)十G日志(zhì)數(shù)據,通(tōng)過AC獨立數(shù)據中心實現日志(zhì)海量存儲,而且提供了圖形化的日志(zhì)查詢、統計(jì)、審計(jì)、報表中心等功能。
通(tōng)過統計(jì)報表功能,将直觀的獲得(de)關于流量、郵件收發、上(shàng)網時(shí)間(jiān)、網絡行(xíng)為(wèi)等方面的詳細的報表和(hé)圖形化統計(jì)結果,并且支持導出PDF等文檔、Email投遞等功能,方便IT部門(mén)将統計(jì)結果向高(gāo)層彙報。
AC的風險智能報表能夠深入挖掘日志(zhì),根據管理(lǐ)員指定的上(shàng)網行(xíng)為(wèi)特征及阈值,自動挖掘日志(zhì),自動幫助組織提前發現風險,包括:離職風險智能報表、洩密風險智能報表、工作(zuò)效率低(dī)下風險智能報表等。
對于BBS發帖, AC還(hái)支持進行(xíng)熱帖排名,隻準看貼不準發帖的靈活管控方式。
通(tōng)過AC數(shù)據中心的內(nèi)容檢索工具,可(kě)以實現類似Google一樣的內(nèi)容搜索,從海量日志(zhì)中查詢需要的日志(zhì)記錄,并且支持高(gāo)級搜索,支持訂閱和(hé)自動Email投遞功能,極大(dà)的方便了管理(lǐ)者的使用。
4.4.8.4 免審計(jì)Key
機構的總裁、高(gāo)層領導網絡訪問行(xíng)為(wèi),财務部收發的郵件,關乎機構機密信息,對其記錄審計(jì)反而成為(wèi)洩密風險。因此AC支持免審計(jì)Key功能。在AC上(shàng)為(wèi)總裁、财務部相關人(rén)員生(shēng)成免審計(jì)Key。當使用該免審計(jì)Key認證後,AC從底層免除對該人(rén)員的一切記錄。一旦免審計(jì)功能被惡意取消後,當再插入該免審計(jì)Key後會(huì)自動彈出警告,且禁止該人(rén)員訪問網絡,徹底保障信息安全。
4.4.8.5 日志(zhì)審查Key
企業內(nèi)網用戶的各種上(shàng)網行(xíng)為(wèi)記錄AC都可(kě)以記錄、并全部記錄到數(shù)據中心中,這避免了互聯網違法事件後無據可(kě)查的尴尬。但(dàn)如果行(xíng)為(wèi)日志(zhì)被濫用,領導的Email、MSN聊天內(nèi)容等被肆意傳播、私自張貼到互聯網上(shàng)必将給組織造成不良影(yǐng)響、甚至經濟損失。
因此AC提供日志(zhì)審查Key技(jì)術(shù)。數(shù)據中心管理(lǐ)員隻有(yǒu)插入該Key後才能以審計(jì)、查詢權限接入數(shù)據中心,從而對行(xíng)為(wèi)日志(zhì)進行(xíng)詳細查詢。對于沒有(yǒu)該Key的管理(lǐ)員接入數(shù)據中心後隻能對有(yǒu)限的用戶組的行(xíng)為(wèi)進行(xíng)統計(jì)和(hé)趨勢查看,無權限對行(xíng)為(wèi)日志(zhì)進行(xíng)審計(jì)、查詢,從而保障行(xíng)為(wèi)日志(zhì)記錄不被濫用。
QQ客服