安全组网方案
企业全网安全解决方案
1.1 企业网络发展状况
互联网是人类最伟大的发明。互联网的快速发展促进了企事业单位的信息化建设,互联网丰富的资源和日益成熟的网络基础建设大大提高了企业的生产力和工作效率,互联网信息技术的持续使用,给企业的持续、快速、高效发展提供了助力,企业的管理成本和生产成本得到了持续降低。
然而,伴随着网络技术的发展,各类黑客行为和攻击技术给企业的持续、快速、健康、安全的发展带来了困扰。IDC报告指出针对企业的黑客攻击事件呈现逐年递增的趋势。近年来,大量的企业信息安全事件出现在我们的视野,如七天、如家等酒店的开房信息泄露,索尼影音官网被黑及用户信息泄露,卡巴斯基总部被黑客侵入等,这些事件不仅对企业的商业活动和企业信誉带来损害,还对社会公民的正常生活造成干扰。普华永道针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来的财务影响正在迅速增加,同时仍有许多攻击没被发现或者报告,仅在中国内地与香港地区,失窃的知识产权或者商业机密的实际价值已远超数十亿美元”。事实充分说明:网络安全是企业单位网络建设的重点内容,网络安全建设和加固是一个持续的工程。
1.2 企业网络安全问题
当今企业都在广泛使用网络信息技术,以不断提高企业的核心竞争力。由于计算机网络的开放性,网络信息化给企业带来效益的同时,也给企业增加了风险隐患,企业网络安全问题日益严重。那么,企业网络到底面临哪些主要的安全问题呢?
外网安全问题:非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威胁;
内网安全问题:带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全问题;
安全连接问题:内部网络之间、内外网络之间的连接安全,如企业总部、各地分支机构、第三方合作伙伴、移动办公人员之间,既要保障信息及时共享,又要防止机密信息泄露。对于不同接入方,其所拥有的权限,既要能够满足正常业务的需求,又不能超越其职能权限,避免越权访问和敏感信息泄露;
运维管理安全:共享帐号安全隐患,设备繁多控制策略复杂,操作无法监管,内部操作不透明,外部操作不可控,没有统一的身份管理平台,频繁切换应用程序登录,日志分散不可用,不能集中有效审计等问题困扰着企业网络的安全运维管理。
第2章 企业网络安全需求分析
对于大部分企业来说,其IT网络的建设可以划分六个区域,分别为:互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域。这六个区域因为承载的业务内容和作用不同,所面临的安全风险也有所不同,需要的安全防护措施亦有差别。
2.1 互联网接入域安全需求分析
互联网接入区域将企业内部网络与互联网逻辑隔离,作为企业内部用户访问互联网的出口, 其中互联网接入区域将单位内部网络与互联网逻辑隔离,作为内部用户访问互联网的出口,同时承担着两方面的作用:一是内部用户访问互联网的统一出口;二是为社会公众和合作伙伴提供企业信息服务的入口。互联网接入域是连接企业内部与外部的桥梁,因此面临着来自两个方向的安全威胁:1)外部威胁,如黑客扫描和入侵、拒绝服务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。2)内部威胁,如无意识的风险引入、网络资源滥用导致的新风险,以及内部的故意破坏等。
2.1.1 防火墙访问控制
通过防火墙在内部网络和外部网络之间构造一道保护屏障,从而保护内部网络免受非法用户的侵入,通过防火墙将内外部网络隔离,实现有效的边界访问控制,并界定用户的访问请求是否符合安全规则,基于防火墙预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进行通信,并阻断不可信的访问行为。
2.1.2 防止黑客扫描入侵
外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系统发起非法扫描,获取内部网络的安全漏洞,发起基于存在漏洞的恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。
2.1.3 防御DDoS攻击
DDoS攻击一般由黑客控制Internet上的“僵尸”系统完成,通过对互联网上缺少防御的主机植入某些代码,这些机器就会被DDoS攻击者控制,当黑客发动DDoS攻击时,只需要同时向这些将僵尸机发送指令,攻击就会由这些“僵尸”机器完成。DDoS攻击主要有带宽型攻击、流量型攻击和应用型攻击,其主要的表现为利用海量的数据包、请求或应用消耗目标网络或设备资源,导致无法处理正常的业务或访问请求,造成公司的服务质量下降、生产效率降低、信誉受损等一系列问题。
2.1.4 防止病毒蠕虫入侵
病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒传播速度快,一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,网络拥塞,同时也会对核心敏感数据造成严重的威胁,导致业务和生产的中断、敏感信息泄露等问题。
2.1.5 防零时差攻击
零时差攻击(Zero-hour/day Attack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统,造成网络瘫痪等风险。
2.1.6 防止间谍软件
间谍软件能够在用户不知情的情况下偷偷进行非法安装,并且安装后很难找到其踪影,并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。因此,间谍软件对企业网络的危害非常巨大,需要一种有效的手段防止间谍软件向企业内部网络渗透。
2.1.7 应用带宽管控
内网用户在上班时间有意无意的进行与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购、手机APP使用等,严重影响工作效率,并占用大量的带宽,导致关键业务应用或关键人员得不到足够的带宽资源,降低企业内部的工作效率。
2.1.8 链路负载均衡
企业往往会部署多条链路,保证网络服务的质量,消除单点故障,减少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。
2.2 广域网接入域安全需求分析
对于大部分企业来说,都可能存在企业集团总部、子公司或各地分支办事处,并且各个节点已形成自己的局域网结构,并通过广域网互联互通,实现集团总部与子公司、办事处之间多种资源信息的共享互通。因此,构建一个高效、安全的广域网络系统势必为企业的发展“添砖加瓦”。建立安全、可靠的高效广域网系统,需着重考虑和解决以下问题:
2.2.1 安全互联组网
目前很多企业的大型分支已经采用专线与总部进行互联,但部分中小分支由于较为分散,仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式,直接造成整体服务器区安全防护水平较低,很容易遭受互联网络攻击的问题。因此在总部和分支互联建设中必须充分考虑安全互联组网的需求,并防止外部人员的非法侵入。
2.2.2 数据安全性保障
在总部与小型分支或办事处之间基于互联网通信,组织信息平台上的应用系统如果不经加密和认证等安全处理,跑在互联网这个不安全而又开放的网络上,一旦重要数据如果遭到窃取,带来的损失将无法估量。因此,有必要利用VPN等技术通过Internet建立安全可靠、经济便捷的虚拟专用网络。
2.2.3 专网数据加固
在总部与大型分支之间采用专线组网,保证内网系统访问数据与互联网的安全隔离。但是在专网内同样存在信息安全级别不同的应用系统数据,高安全级别的数据信息如果直接在网络中明文传输,存在被窃听、篡改的风险,从信息安全规划及权限的安全方面进行考虑,有必要在专网中对不同安全级别的应用系统采取逻辑隔离、安全加密、权限划分等加固手段。
2.2.4 移动办公安全
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此在选择方法时,应建立完整的安全准入机制,实现对用户的认证鉴权。
2.2.5 第三方安全接入
随着业务规模的扩大,业务系统也在不断延伸,除了建设内部自己使用的业务系统外,还建立了第三人员使用的业务系统,如供应商接入系统、代理商接入系统等,这些业务系统提高了企业的业务运作效率,但也带来了众多不可控风险:如身份认证单一、接入终端安全性无法控制、数据易被窃取、越权访问、恶意访问无法追踪、访问速度慢。
2.2.6 广域网链路质量优化
分公司员工日常的工作都需要依靠信息平台来完成,因此员工接入总部访问应用的速度和其工作效率直接相关。如果全部使用专线进行总部与分支互联,网络成本太高,而且扩展性较差。因此,广域网接入域安全需求,就需要考虑广域网链路质量优化问题,保障关键应用的服务质量和交付性能。如何消减总部节点、分支节点的吞吐瓶颈,提升员工访问速度;如何减少分支网络丢包、延时现象问题;如何避免应用本身交互过多,遭遇广域网后响应速度慢,影响业务效率问题。
2.3 外联服务域安全需求分析
企业外联服务域也叫DMZ。DMZ区域常存放对外门户WEB、EMAIL、FTP、OA等服务器,主要用于提升企业网络媒介宣传、职员邮件办公、文件上传下载等需求。该区域是企业的展示窗口、对外业务的平台,该区域网络质量的好坏,直接影响着企业的形象和发展。该区域面临来自内外网多个区域的安全威胁,并且针对该区域的攻击往往隐藏在正常访问业务行为中,导致传统安全设备很难发现和阻止这些威胁。该区域主要的安全需求有:
2.3.1 系统漏洞攻击保护
DMZ区域内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对DMZ区的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对系统漏洞的攻击。
2.3.2 防止信息泄露和篡改
黑客通过漏洞利用、WEB攻击、弱密码等手段一旦侵入了DMZ系统,将可能窃取DMZ系统数据库中储存的用户资料、身份信息、账户信息等敏感数据,损害企业的经济利益;黑客也可能直接篡改企业对外Web网页内容,使企业的形象和信誉受损;黑客甚至会在企业对外提供服务的网站挂载木马病毒,网站的访问用户也会被木马病毒感染,这种情况下企业可能因此而承担法律责任。
2.3.3 WEB应用安全
针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:
由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机;黑客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。
3.3.4 防止黑客扫描入侵
外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务系统发起非法扫描,获取内部网络的安全缺陷和漏洞,进一步发起恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。
2.3.5 防止拒绝服务
黑客通过DOS/DDOS拒绝服务攻击使外联服务平台无法响应正常请求。这种攻击行为使得Web等系统充斥大量要求回复的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响企业正常的业务开展。
2.3.6 防范内部威胁
企业内部网络安全状况也影响着外联区域的安全,比如网络中存在的DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏外联平台的安全稳定运行。
2.3.7 服务器负载均衡
随着访问用户数量的不断增加,给后台的服务器带来越来越大的压力。需要通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率,减轻服务器的压力。从而保证访问的速度和稳定性。
2.4 数据中心域安全需求分析
数据中心是IT建设的心脏,作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。所以数据中心的安全建设显得格外重要。数据中心主要的安全需求包括:
2.4.1 防火墙隔离控制
通过防火墙在数据中心构造一道网络层保护屏障,通过防火墙的区域隔离和访问控制规则,来界定用户的访问请求是否符合安全要求,并隔离来自internet、intranet、extrane等区域的安全风险,实现数据中心网络接入安全。
2.4.2 防止病毒蠕虫入侵
服务器是数据中心中计算资源的核心来源,也用于连接网络资源、存储资源,是数据中心中业务交付的重要支撑,因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器,就可能在数据中心网络快速传播,消耗数据中心网络资源,劫持服务器应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。所以数据中心网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。
2.4.3 漏洞攻击保护
数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对数据中心业务服务器的攻击,比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等,非法获取更多的内部操作管理权限,实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对数据中心服务器业务系统漏洞的攻击。
2.4.4 防APT攻击
黑客的攻击手段越来越先进,并带有很强的目的性。近几年APT攻击经常见诸报端,这是一类攻击手段很先进、目的性和持续性很强的高级持续性威胁(APT)。通常这种攻击方式都带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,实现对企业高价值机密信息的破坏、窃取、篡改等目的,从而给业务系统造成不可挽回的损失。因此,数据中心安全建设需要考虑防范APT攻击,避免重要信息资产失窃或破坏。
2.4.5 防范内部威胁
企业内部网络安全状况也影响着外联区域数据中心的安全,比如内部网络中存在DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏数据中心的安全稳定运行。
2.4.6 防止拒绝服务
数据中心作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息,其业务的可靠性非常关键。黑客利用协议漏洞或控制“肉鸡”向数据中心服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题,对数据中心的可靠造成危害。
2.4.7 WEB应用安全
数据中心有大量的WEB应用,黑客针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:
由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机;黑客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。
2.4.8 虚拟云化风险保护
虚拟化云数据中心是数据中心的发展方向,通过虚拟化技术构建基础设施资源池,实现资源的按需分配,提高整体资源利用率。但云数据中心虚拟化也带来了新的安全风险,比如虚拟化导致了风险集中、流量复杂、边界弱化、越权访问等问题,因此需要一种适合虚拟化云数据中心的安全管控机制,提供虚拟化内部的安全区域划分、边界管控、二到七层安全保护。
2.5 内网办公域安全需求分析
随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题正在日益突出。“堡垒最容易从内部攻破”,因此做好企业内网办公区域的网络安全建设,对于企业整体网络的安全保护意义重大。无论是内部终端的违规外联、违规接入和违规操作,还是内部系统数据保密性、可控性和可用性要求,都是企业内网办公区域安全建设需要思考的问题。那么,企业内网办公区主要有哪些安全需求呢?
2.5.1 上网行为管理
内网办公员工在上班时间有意无意的做与工作无关的网络行为,比如炒股、玩网游、看视频;随着智能终端的普及,没有提供Wlan的企业,其内部员工为了便捷性,往往会通过360随身WiFi等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这些行为严重影响单位工作效率,所以企业需要对内部上网的员工行为进行有效的识别和管理。
2.5.2 漏洞病毒防护
内网办公区分布有大量的终端设备,如果这些终端不能及时更新系统漏洞补丁,将会给黑客可乘之机,一旦某台终端感染病毒,很容易向全网扩散。因此,内网安全建设需要包括:具备快速发现终端设备的系统漏洞并自动分发补丁能力,具备快速有效的定位网络中病毒、蠕虫、黑客的引入点并及时、准确的切断安全事件发生点的能力。
2.5.4 Wlan安全需求
随着无线技术的发展,BYOD、移动办公的普及,无线网络覆盖能使得在企业内部,会议室、办公区等任何区域接入办公网络,简单方便。企业在构建WLAN网络过程中,不仅要考虑高速稳定的网络质量,WLAN网络安全问题同样需要重视。杜绝盗用账号、非法接入的安全威胁,并针对外部访客、内部人员(不同部门、不同职位)分配不同的应用访问权限,实现精细化网络接入控制,并避免复杂的临时账号申请机制。
2.5.5 开发环境安全
开发部门由于其业务特殊性,对开发环境和文档管理环境的安全性要求非常高。为了支撑业务的飞速拓展,在开发项目中往往还会牵涉到很多第三方公司和外包项目,甚至于开发人员需要在任意地点进行办公,这对开发系统的安全构成了极大的挑战。因此,需要有一套安全的开发环境,能够让开发项目的员工及外包员工在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。
2.1.6 防止僵尸网络
僵尸网络是攻击者出于恶意目的,采用多种传播手段,通过互联网使大量主机感染僵尸程序,从而控制这些被感染的主机,从而在控制者和被感染主机之间形成一个一对多控制的网络,黑客利用这些僵尸主机作为进一步入侵的跳板。攻击者通过控制大量僵尸主机实现僵尸网络本地扩散、敏感信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意目的。而企业内部大量的终端设备往往是黑客种植僵尸网络的目标,因此企业需要一种有效的措施来防止僵尸网络的植入,并检测和清除已存在的僵尸网络。
2.6 运维管理域安全需求分析
运维管理区是保障企业网络能够安全高效运行的重要区域,该区域的重点是安全和稳定性,从而为企业整体网络构造一个可靠的支撑平台。该区域主要的安全需求如下:
2.6.1 防火墙区域隔离
运维管理区是保障企业网络高效运行的重要区域,企业内部大部分IT设备和系统都在该区域维护管理,因此该区域一旦被黑客或不轨员工侵入,极可能造成全局网络危害。利用防火墙可以给运维管理区打造安全隔离区,并基于严格的访问控制策略和身份认证信息进行区域网络接入;同时利用新型防火墙给运维管理区打造一片安全的网络环境。
2.6.2 防范病毒类入侵
运维区是IT信息系统的神经中枢,一旦被病毒木马、僵尸蠕虫等侵入,将可能导致重要系统的系统配置、管理账号、后台数据等丢失或被篡改,直接造成生成运营故障,对企业的危害非常巨大。因此,该区域的安全建设需要包含检测和清除病毒、木马、蠕虫、僵尸等恶意内容的机制。
2.6.3 集中运维管理
企业内部安全设备较多,因此需要有集中的统一管理和审计分析平台,实现对设备的集中管理、集中监控、集中配置、集中运维、统一审计核查等要求,达到安全事件的监控-响应-再监控的闭环操作,提升网络运维管理便捷性。
2.6.4 操作运维审计
如果没有有效的技术手段来保障运维操作的正确执行,那么将对运维人员的违规操作无能为力。目前应用程序都有相应的审计日志,可以解决应用系统层的审计问题,但是对于操作系统层和数据库层的违规操作(非法修改系统和应用等),无从审计。因此,必须借助有效的技术手段监管运维人员的操作行为,做到实时监控,快速取证,减少内部的误操作和违规操作,降低运维过程中的操作风险。
第3章 深信服企业全网安全解决方案
3.1 方案总体设计
为了解决企业网络中遇到的各种安全问题,深信服推出了企业全网安全解决方案,本着安全、可靠、全面、高效、易于管理维护等原则,给出可资借鉴的建设方案。
根据企业不同网络区域定位不同,我们大致可以将企业网络划分为6个区域,分别为:互联网接入域、外联服务域、广域网接入域、数据中心域、内网办公域、运维管理域。针对各区域实际的安全需求,深信服给出了贴合的安全防护建议。
3.2 互联网接入域安全方案
3.1.1 方案说明
互联网接入区域承担着内部用户访问互联网的统一出口和为外部用户提供企业信息服务的入口,其安全风险来源多且复杂。针对互联网出口存在的安全问题,通过在互联网出口部署深信服下一代防火墙NGAF、上网行为管理AC和应用交付AD产品,可以很好的解决。
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。深信服下一代防火墙NGAF为企业在网络出口构建一套安全长城,实现内外部网络隔离和访问控制,保护内部网络和用户免受非法侵入,保障可信双方安全通信。NGAF提供2到7层的安全保护,通过入侵检测与防御、病毒防护、协议异常保护等功能,可以精确实时地识别并防御来自互联网的蠕虫、病毒、木马、间谍软件等网络威胁,防止攻击者对内部网络的渗透和破坏,保障敏感数据不被窃取以及业务的持续运行;NGAF能实时感知来自互联网上的大量异常请求,并第一时间予以清洗,防止DoS/DDoS攻击的发生,保障正常合法的业务通讯不受影响;NGAF还提供了实时的漏洞检测功能,该功能不会给网络产生额外的流量,通过实时流量分析,可以发现网络内部业务系统的安全漏洞,快速识别针对存在漏洞的有效攻击,即使没有攻击行为也能发现潜在的风险。对于最新爆发的0DAY漏洞,深信服云安全中心会第一时间收集漏洞信息并生成防护规则,并通过云中心快速的下发到NGAF设备上,避免黑客发起闪电战。
深信服上网行为管理AC设备能够实现对网络数据流量进行精细化控制管理。AC设备具备专业的身份认证功能,能够针对用户和用户组实施不同的应用控制和流量分配策略,AC支持本地认证、外部认证、短信认证等多种方式;AC具备国内最专业的应用识别控制功能,全面的应用识别帮助管理员掌控网络应用现状和用户行为,从而有针对性的制定流控策略,保障核心业务应用使用效果,AC能够有效识控当前网络中各种主流应用,包括1500多种应用、3000多种规则,以及一些SSL加密应用;AC提供了基于应用、基于时间、多级父子通道、动态流控、智能流控等多种流控手段,满足企业制定周期性、灵活、合理、智能调整的带宽使用方案,最大满足业务对带宽的需求,实现带宽的最大价值。
深信服AD产品作为专业的应用交付设备,能够为企业互联网接入域提供多链路负载均衡解决方案。企业往往部署了多条互联网链路,由于使用设置等问题,往往有的链路一直处于繁忙状态,而另外条链路却处于闲置状态,造成互联网资源的浪费和用户的访问速度得不到保障。深信服 AD设备能够进行DNS请求转发,通过深信服 AD寻找合适的DNS服务器返回给内网电脑。利用链路繁忙控制、智能路由等技术,通过事先设定好负载算法,就能按照事先设定的链路利用策略将流量分配到不同的链路之上,实现多条链路负载运行,保障了网络资源利用率的最优、最大化。
3.2.2 方案价值
相比传统方案,NGAF提供全面的L2-L7威胁防护,实现了更加完整高效的网络安全,并减少了故障节点;
单台NGAF即可实现比过去多台设备更好的防护效果,大大减少了设备购买投资和运维成本;
AC产品实现了更加细致精准的应用和带宽控制,保障了正常业务带宽需求,实现了带宽高效利用,提升带宽价值;
AD产品提供了精细智能的多链路负载均衡,满足链路高效使用和自动备份,实现了网络资源利用率的最优、最大化。
3.3 广域网接入域安全方案
3.1.1 方案说明
企业总部与子公司、办事处之间的广域网通道建设,能够实现多种资源信息的高效互通,而广域网通道内部传输的数据大多都是企业的重要信息资产,对保密性和实效性要求较高。通过部署深信服下一代防火墙、SSL VPN安全网关、广域网优化等安全产品,可以帮助企业打造高效、安全的广域网络通信系统。
企业采用专线或VPN方式建立广域网通道,如图所示,在企业总部和分支机构部署NGAF、SSL VPN和WOC广域网优化等安全产品,可以实现分支和总部安全通信和网络链路优化,并满足外出员工移动办公安全接入需求;广域网各个节点的NGAF设备结合SC集中管理平台和外置数据中心,能够实现广域网全网各节点安全监测和防护,使整个企业集团全网安全状况尽在掌握。
NGAF能够识别和防御L2到L7的安全威胁,能检测并防止病毒防、蠕虫、木马、漏洞、WEB应用攻击等安全威胁在广域网内部传播,实现各分支机构安全状况实时上报监控,及时了解全网安全动态,安全日志统一管理、集中分析,快速加固防护薄弱点,优化安全运维,实现安全设备统一管理、集中特征更新与推送、安全策略快速同步,实现对广域网各个节点一站式安全监测和保护。
采用SSL VPN安全网关,可以对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,非常方便的实现网络接入和数据安全保障。在系统安全加固方面,采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。对于已经建立专线组网的分支,将应用系统以SSL VPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭,分支用户登录SSL VPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发,对于用户权限外的应用,SSL VPN将自动阻断其连接,防止恶意盗链。并且SSL VPN设备对外只开放443端口,从而可屏蔽掉其他端口的攻击。SSL VPN的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。SSL VPN在进行用户对服务器区发起的访问时,采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。SSL VPN的EasyConnect还能帮助企业内网部署的终端服务器将应用程序界面用图形的方式呈现于智能终端之上,在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器。深信服SSL VPN网关提供专业的IPSec VPN功能,满足企业建设IPSec VPN专网的需求,实现各区域安全互联和数据加固的需求。
深信服广域网优化产品WOC提供了协议优化、缓存、流压缩、流量整形、链路质量优化等多种技术,能够帮助用户加快关键应用的响应速度,大幅提升专网的传输效率。专线内存在大量的冗余数据传输,容易导致专网带宽压力过大。WOC产品采用动态流压缩、基于码流特征数据优化对专网中流量进行大幅削减,降低带宽负荷,实现带宽增值。WOC还可以对ERP、邮件、FTP文件传输等应用进行优化,减少数据交互,提升访问速度,提高工作效率。WOC通过快速重传、选择性重传、改善拥塞机制、增大滑动窗口大小等几种技术手段对传统的TCP传输协议做改进,提高链路质量和访问速度。WOC还能够实时感知专网流量分布情况,从而实现业务流量整形和不断调优。
3.3.2 方案价值
NGAF提供全面的L2-L7威胁防护,避免了各个节点的安全风险在广域网通道传播;
NGAF全网统一安全监控和防护,实现了安全设备集中管理、安全日志集中收集、安全策略集中下发、安全事件统一运维,快速提高整个广域网全网的安全水平;
SSL VPN网关为企业提供了可靠的VPN组网、远程业务发布和员工远程接入需求,满足了安全、快速、易用、可靠的广域网互联服务;
WOC产品通过流量削减和协议、应用、链路质量优化技术,即使链路质量不佳情况下,也能保障核心业务稳定运行,实现带宽增值;
3.4 外联服务域安全方案
3.1.1 方案说明
DMZ区域是企业的对外展示和对外业务的平台,该区域的网络安全和稳定可靠关系着企业形象和品牌发展。针对该区域存在的网络安全问题,通过部署深信服下一代防火墙和应用交付产品就可以完美解决。
深信服NGAF产品具备全面的二到七层安全功能,能一站式智能化解决DMZ区域的网络安全问题。通过启用入侵防御、病毒防护、漏洞检测保护等功能,可以实时发现DMZ区域业务系统存在的安全漏洞,实时防御来自互联网的蠕虫、病毒、木马等网络攻击,防止攻击者对外联服务网络的扫描、入侵和破坏,保障系统数据安全和业务的持续运行。NGAF具备专业的WEB应用安全防护功能,有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击,防止网站被黑客扫描攻击,NGAF还支持隐藏的服务器响应信息,如http出错页面、响应报头、FTP信息等;NGAF还提供了网页防篡改功能,能够实时检测并拦截网页篡改的信息并通知管理员确认,同时对外提供篡改重定向功能,提供正常界面或备份服务器的重定向,保证用户仍可正常访问网站;NGAF提供了敏感信息防泄漏功能,能够实时检测并阻断网站源代码、用户帐号信息、服务器重要配置文件等敏感信息被泄露,实时记录泄漏行为,并通过邮件等方式报警;NGAF提供专业的DoS/DDoS攻击防护功能,能快速识别并清洗异常访问行为,保障正常合法的业务不受影响。NGAF还提供了待处理问题板块,该板块展示了NGAF监测发现的安全问题,包括各类风险的分类汇总及问题的详细描述,同时NGAF还提供了风险问题解决方案,即使不懂安全,也能自助化快速运维,打破了传统安全设备风险日志看不懂、运维管理无目标等问题。
深信服AD产品作为专业的应用交付设备,能够为企业外联服务域提供多链路负载均衡、服务器负载均衡的全方位解决方案。AD产品的服务器负载均衡技术能够将后端多台真实服务器虚拟成一个服务,再通过AD设备转发到后端服务器;当用户请求到达服务器区域的AD产品时,深信服AD通过全面的负载均衡算法以及目标服务器之间性能和网络健康情况,能够选择性能最佳的服务器来响应用户的请求,从而将用户请求在多个服务器间动态分配,充分利用所有的服务器资源,有效地避免“不平衡”现象的出现。
3.4.2 方案价值
NGAF提供了事前策略自检、事中攻击防护、事后防止篡改的整体Web保护,可以有效过滤扫描、入侵、破坏过程中的各种安全威胁;
NGAF涵盖了L2-L7全面的安全功能,可以全面替代FW、IPS、WAF等设备,提供基于黑客攻击过程的L2-L7层完整安全防护。
NGAF提供了比传统更加全面的风险识别和可视化风险报表,并汇总需要处理的安全问题和建议的解决方案,帮助企业快速自助安全运维。
AD产品提供了高效专业的服务器和多链路负载均衡,满足服务器响应和网络链路的高效使用,实现了对外服务和网络资源利用率的最优、最大化。
3.5 数据中心域安全方案
3.1.1 方案说明
数据中心承载着业务的核心数据以及机密信息,因此数据中心永远是最具吸引力的攻击目标,所以数据中心的安全建设显得格外重要。通过部署深信服下一代防火墙、应用交付等安全产品,可以帮助企业打造安全、可靠的数据中心网络。
深信服NGAF给企业数据中心提供了一站式智能化的二到七层安全保护。通过启用NGAF的防火墙、入侵防护、漏洞检测、敏感信息防泄漏、DoS/DDoS攻击防护、防病毒、防扫描、弱口令检查、防僵尸网络、web应用攻击保护、网站篡改保护等功能,可以实时发现数据中心业务系统区域隔离,避免因业务系统漏洞导致的入侵,防范病毒、蠕虫、僵尸网络等威胁内容在数据中心传播,防止口令密码被暴力破解,避免数据中心敏感信息被泄露,清洗数据中心异常流量,保护数据中心web应用安全,保障数据中心网络和业务安全运行。NGAF内置了僵尸网络识别库,通过分析内网终端的异常行为(如连接恶意主机或URL)等机制准确识别被黑客控制的僵尸终端,进一步切断黑客的控制通道,并避免对外DoS攻击的形成,防止利用僵尸终端作为跳板进一步入侵。NGAF还内置了灰度威胁样本库,通过多维归并整理赋予每种威胁行为一个权值,NGAF计算用户行为权值之和并对比威胁基线,从而能够准确判定威胁行为,对于无法确认的可疑内容,NGAF会实时上报到深信服云安全中心,由云中心执行沙盒演练等方法进行最终确认,基于这些技术手段,NGAF能够准确识别并防御未知威胁和APT攻击。此外,对于大型企业来说,其数据中心内部业务系统较多,安全防护需求各不相同,为了解决多样化的安全防护需求,NGAF还提供了硬件一虚多技术,实现将单台NGAF划分为逻辑上完全独立的多台设备,满足不同业务系统独立保护的安全需求,提升资源利用效率,降低了部署运营成本。
深信服AD产品作为专业的应用交付设备,能够为企业数据中心提供包括多数据中心负载均衡、服务器负载均衡的全方位解决方案。多数据中心负载均衡解决方案中,每个数据中心前端均部署AD设备,并以路由模式接入各个数据网络之中,负责将用户的DNS访问请求引导到最快的链路进行访问站点;同时负责两条线路的健康状态的检查,一旦检测到线路的中断,则停止相应线路的地址解析。AD产品的服务器负载均衡技术能够将后端多台真实服务器虚拟成一个服务,并通过AD设备转发到后端服务器;当用户请求到达服务器区域的AD产品时,深信服AD通过全面的负载均衡算法以及目标服务器之间性能和网络健康情况,能够选择性能最佳的服务器来响应用户的请求,从而将用户请求在多个服务器间动态分配,充分利用所有的服务器资源,有效地避免“不平衡”现象的出现。
此外,为了满足虚拟化云环境下数据中心的安全需求,深信服还专门研发了虚拟化软件下一代防火墙和应用交付产品,能够以虚机方式无缝集成到虚拟化平台内部,满足虚拟化云计算场景全面、灵活、多维度的安全和可靠性需求。虚拟化软件安全产品能够快速部署于Vmware等Hypervisor之上,提供虚拟化云平台内部灵活的安全区域划分、2到7层安全保护和智能快速的应用交付解决方案
3.5.2 方案价值
NGAF涵盖了L2-L7全面的安全功能,提供比FW、IPS、WAF更多的安全防护层级,全面满足数据中心多维的网络数据安全保护;
NGAF通过多重的已知威胁识别、灰度威胁样本库、云端可疑威胁检测等技术手段,有效识别和防范APT等高危威胁行为,确保数据中心的安全;
AD产品通过高效专业的服务器和多链路负载均衡,满足服务器响应和网络链路的高效使用,实现了对外服务和网络资源利用率的最优、最大化。
对于有备份数据中心的企业来说,AD还能提供了全局负载均衡功能,实现将用户访问请求引导到最快最优的数据中心进行响应,并实现链路故障的快速切换。
3.6 内网办公域安全方案
3.1.1 方案说明
“堡垒最容易从内部攻破”,因此做好企业内网办公区域的网络安全建设,对于企业整体网络的安全保护意义重大。通过深信服NGAF、AC和企业级无线,以及第三方终端防病毒软件,可以较为完善的解决内网办公区域的安全问题。深信服上网行为管理AC产品能够对内网用户的上网行为进行精细化识别和管控,深信服NGAF从网络层面保障了办公网络的安全,终端防病毒软件部署到办公终端设备上,提供更加深度的安全保护,也是网关安全设备的有效补充,而深信服企业无线产品能够为企业客户提供安全、快速、可靠的无线网络,满足企业无线办公需求。
NGAF给企业办公网络构建了立体的防护体系,防止内部终端遭受各个层次的安全威胁。通过启用入侵防御和防病毒等功能,NGAF提供了全面的虚拟补丁功能,有效防御各种攻击和网络蠕虫病毒,保证办公网络的安全稳定运行。NGAF内置了僵尸网络识别库,通过分析内网终端的异常行为(如连接恶意主机或URL)等机制准确识别被黑客控制的僵尸终端,进一步切断黑客的控制通道,并避免对外DoS攻击的形成,防止利用僵尸终端作为跳板进一步入侵,铲除APT攻击的土壤。
AC设备具备专业的身份认证功能,能够针对用户和用户组实施不同的应用控制和流量分配策略;AC内置了国内最全面的应用识别库,能精准识别和控制内部员工的上网行为,保障关键应用,限制无关应用,阻止非法应用,避免员工在工作时间使用无关应用影响工作、占用带宽,提高企业带宽的使用价值。
终端防病毒产品包括防病毒软件和管理中心两部分。通过在终端部署防病毒软件,可以更加精准的检测终端设备潜藏的安全威胁,彻底清除病毒、蠕虫、特洛伊木马、间谍软件、僵尸、零日攻击等安全威胁。部署防病毒软件管理中心,可以集中管理众多防病毒软件,实现软件集中管理、集中更新、统一运维。
深信服企业无线产品(包括无线AP和无线控制器NAC)能够帮助企业客户打造安全、快速、可运营的无线网络。深信服企业无线提供了端到端的网络协议栈加速、网络优化、终端和应用识别及流控技术,能够为企业打造更快速、更稳定的企业无线服务;深信服企业无线提供了便捷的安全管理和全面的安全防护,支持二维码认证、802.1X自动配置、精细化角色授权管理等技术,为企业打造更安全、更便捷的无线网络;深信服企业无线还内置了信息推送中心,预留了企业微信公众平台对接模块,全面满足企业可运营化无线网络。
3.6.2 方案价值
NGAF为企业办公区域打造安全可靠的隔离区域,并提供二到七层的全面防护,保护内部用户免受非法侵入。
防病毒软件能够从终端层面更加全面精准的检测内部终端的安全威胁,并彻底清除这些威胁,营造干净的办公网络。
AC设备提供了精准智能的应用和流量控制策略,保障关键业务应用体验,避免无关应用对带宽的消耗,保障工作高效执行。
深信服企业无线产品通过多种领先的技术手段帮助企业客户打造安全、快速、稳定、可运营的无线网络。
3.7 运维管理域安全方案
3.1.1 方案说明
针对运维区域存在的安全问题,深信服推荐部署NGAF、集中管理设备SC和运维审计产品,从而打造安全、可控、易运维的运维管理区域。
NGAF可以给运维管理区打造安全隔离区,并基于严格的访问控制策略和身份认证信息进行区域网络接入,同时NGAF还能够防范病毒、僵尸、蠕虫等威胁对运维区的入侵和破坏,给运维管理区打造一片安全的网络环境。
运维审计产品可以为IT人员对各种设备、系统的运维操作提供统一的接入门户,实现资源的统一接入、资源自动登录、运维会话记录、实时告警提示、实时设备监控;运维审计产品提供了强大的身份管理、灵活细粒度的授权、多维度的日志采集和详细的审计分析能力,实现操作的有效监管和审计。
深信服SC集中管理平台能够对深信服设备进行集中管理。SC集中平台可以统一查看各个设备的实时信息,包括最近事件,cpu、内存、磁盘使用信息,设备版本信息等,并能进行安全策略统一管理下发和软件规则库自动升级管理。配合SC平台的外置虚拟数据中心软件,可以对这些设备的状态信息、日志信息进行集中收集和管理,并支持进一步的分析查询和详细信息提取。
3.7.2 方案价值
基于二到七层的深度内容可视和严格的访问控制、安全保护策略,NGAF为企业运维区提供了最安全的隔离保护。
通过SC集中监管平台和外置数据中心,可以对全网安全设备进行集中运维和审计分析,提升运维效率。
运维审计产品实现了IT源的统一接入、集中监控、统一运维、集中审计,实现资源高效运维和快速监管。
第4章 深信服解决方案产品介绍
4.1 下一代防火墙NGAF介绍
4.2.1 下一代防火墙NGAF简介
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产品,深信服NGAF不同于工作在L2-L4层的传统防火墙,可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面,区域别于传统防火墙五元组安全策略,深信服NGAF可对L2-L7层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。
4.2.2 产品功能列表
项目 | 具体描述 |
部署方式 | 支持路由,透明,旁路,虚拟网线,混合部署模式; |
设备形态 | 硬件物理网关,硬件一虚多网关,软件虚拟化网关; |
实时监控 | 实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理; |
网络适应性 | 支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动; |
包过滤与状态检测 | 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP; |
NAT地址转换 | 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG,包括DNS、FTP、H.323、SIP等 |
抗攻击特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;支持CC攻击防护; |
IPSEC VPN | 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略; |
SSL VPN | 支持SSL VPN; |
应用访问控制策略 | 支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定; |
APT检测 | 内置超过60万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击;支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效区分RDP 、SSH、 IMAP、SMTP、POP3、FTP、 DNS、 HTTP等WEB服务器上常见应用流量中的危险流量,也能对常规应用运行在非标准端口的为进行预警; |
IPS入侵防护 | 微软“MAPP”计划会员,漏洞特征库: 3900+并获得CVE“兼容性认证证书”,能够自动或者手动升级;防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两大类,便于策略部署;漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端”; |
Web攻击防护 | 支持Web攻击特征数3000+;支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,Web响应报文头可自定义;支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等;支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护;支持Web站点防扫描;可严格控制上传文件类型,支持识别PHP,JSP,ASP脚本编写的Webshell脚本文件上传;支持对常见Web内容管理系统的防护,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等; |
口令暴力破解防护 | 支持对常见应用服务器和数据库软件,如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防护功能; |
敏感信息防泄漏 | 内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”; |
风险评估 | 支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、服务扫描;支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描;支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检测;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略; |
实时漏洞分析 | 支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对服务器安全风险和潜在威胁的特征识别库; |
业务风险报表 | 提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计; |
网页篡改防护 | 网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全;全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型;支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容;支持通过替换、重定向等技术手段,防护篡改页面;网站维护管理员必须通过短信认证才可进行网站更新业务操作(选配);支持短信报警、邮件报警、控制台报警等多种篡改报警方式; |
病毒防护 | 支持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以自动或者手动升级;检测到病毒后支持记录日志、阻断连接; |
Web过滤 | 对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志 |
流量管理 | 支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时间和IP的带宽划分与分配; |
用户管理 | 支持基于用户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证方式;支持AD域结合、Proxy、POP3、web表单等多种单点登陆方式,简化用户操作;*可强制指定用户、指定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号和不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用户必须用AD域账户登录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员制定URL、注销页面等;支持CSV格式文件导入、扫描导入和从外部LDAP服务器上导入等账户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构; |
关键页面双因素认证 | 支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证 |
高可用性 | 支持A/A,A/S模式部署,支持会话同步,配置同步和用户信息同步; |
网关管理 | 网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的日志查看权限;支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式,可提供管理员登录、病毒、IPS、web攻击以及日志存储空间不足等告警设置;提供图形化排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置; |
日志管理与报表 | 能够自定义时间段查询DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;提供可定义时间内安全趋势分析报表;支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持将统计/趋势等报表自动发送到指定邮箱;支持导出安全统计/趋势等报表,包括网页、PDF等格式; |
全网安全监控平台 | 支持全网集中管控,提供独立外置数据中心软件,实时汇总收集分支设备的安全日志,并在外置数据中心集中展现全网所有安全设备的安全状态,包括安全等级,攻击趋势,最近有效事件,用户安全,服务器安全情况以及攻击来源,实现数据的实时汇总,统一分析和统一展现; |
4.4 安全网关SSL VPN介绍
4.4.1 SSL VPN简介
作为国家SSL VPN标准的核心制定者之一,深信服SSL VPN产品拥有业界最多的专利技术,是国内业界应用最广泛、最完善的SSL安全访问解决方案。
据国际权威调查机构FROST & SULLIVAN 2012年和2013年调查报告显示,深信服SSL VPN分别以40.3%和39.8%的市场占有率独占鳌头。深信服SSL VPN大量大规模、高并发客户案例为同行业之最,已连续六年保持国内市场占有率第一。
4.4.2 产品功能列表
功能列表 | |
功能 分类 | 详细指标 |
部署 模式 | 网关模式、单臂(旁路)模式、 多机热备模式、集群模式、分布式集群模式 |
支持性 | 完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、Mac OS等主流操作系统 |
完整支持IE、Firefox、Safari、Google Chrome、Opera等主流浏览器 | |
快速性 | 支持路由和单臂模式下的基于Web的多线路智能选路(选配),客户端无需安装插件 |
支持Web服务压缩、C/S服务压缩(LZO、GZIP)、动态压缩算法、Web优化技术、WebCache技术、IPTunnel加速技术,全面提升B/S应用和C/S应用的访问速度 | |
支持单边加速功能,支持web服务,TCP服务,L3VPN服务,远程应用发布的单边加速 | |
支持HTP高速传输协议,保证高丢包高延时环境下的快速访问 | |
支持资源负载均衡,根据不同的权值实现负载接入,提高接入效率 | |
安全性 | 支持AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法,支持加载扩展安全算法模块 |
支持本地认证、基于短信猫、短信网关的短信认证(支持重发功能)(选配)、动态令牌(选配)、硬件特征码(自动收集获取、支持与身份多对多、支持批量导入导出和自动审批、可分级管理)、有驱及无驱USB Key(选配)、第三方与自建CA、LDAP(读取分组权限、手机号码、虚拟IP)、RADIUS(读取手机号码、虚拟IP)等多种认证方式的组合认证,可支持5因素捆绑认证;支持终端的基于IP和用户名的防暴破登录和多种密码安全策略(数字字母组合的图形验证码、动态变换的软键盘、定时修改密码、密码强度、首次登陆修改密码);独有的专利技术主从绑定实现SSL VPN账号与应用系统账号的唯一绑定 | |
支持安全桌面功能:利用安全桌面,强制受保护的指定资源仅可在安全桌面下使用;安全桌面下默认仅可与SSLVPN通信,断开互联网链接;在安全桌面内默认禁止外网和本地局域网通讯,禁止和本机默认桌面的通信,防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹,保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、单独用户启用;可配置安全桌面下可访问的指定网段;可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信;支持更换安全桌面壁纸、文件明文导出及审计、数据加密保存、离线访问等功能(选配) | |
支持客户端安全配置权限控制,允许或禁止私用用户自行配置密码、手机号码及用户描述;支持客户端注销后自动清除所有缓存、浏览器历史记录、保存的表单信息等,实现零痕迹访问;可配置含Vista/Win7下的VPN专线功能 | |
支持进行操作系统、文件、进程、注册表、用户接入IP、登录IP、登录时间、接入终端等规则的“与或”组合进行登录前和登录后的客户端安全检测,可配置准入和授权策略;支持客户端安全策略库,并支持自动升级 | |
可配置匿名登录用户,只提供SSL加密隧道传输 | |
支持服务资源隐藏、URL地址伪装 | |
实现针对资源的IP地址、端口、服务、URL级别等实现基于角色的细粒度权限分配功能 | |
支持基于状态监测的防火墙功能,支持防DoS攻击;支持防火墙过滤规则在线虚拟测试 | |
支持开放数据库给第三方;支持与第三方数据库结合认证 | |
易用性 | 支持B/S、C/S应用的单点登录,可允许用户自行修改SSO登录帐号,支持NTLM、BASIC单点登录 |
支持无插件的Web文件共享功能,仅通过Web页面即可实现文件服务器的文件上传、下载、复制、剪切、粘贴、重命名、新建文件夹等常用文件操作 | |
支持虚拟门户功能,为不同的用户配置独立拥有IP、域名、认证方式、访问资源等元素,实现更高隔离的安全性。 | |
支持远程应用发布:只传输鼠标、键盘操作和显示数据,无需安装客户端即可支持C/S模式软件系统的远程使用。支持客户端、服务端权限细化控制、远程存储,支持虚拟打印机、本地输入法映射;支持远程应用单点登录(选配) | |
支持EMM企业移动管理功能,包括设备注册、数据擦除、企业应用商店、APP安全加固等功能,保障客户移动业务安全 | |
支持系统托盘及悬浮窗口;支持SSL VPN开机自动登录、桌面快捷方式启动、C/S客户端方式启动;可配置用户登录后默认服务页面;支持自定义资源组、资源图标化显示;管理员可在线对登录用户发布即时广播消息 | |
支持User权限登录正常使用SSL VPN;支持域控下发控件;支持ISA代理环境下无缝接入;支持内网DNS | |
支持用户、用户组、各种资源的查询和排行功能;支持资源导入导出,支持csv格式导出 | |
支持4套页面模板和页面完全定制,支持界面颜色、页面标题、LOGO、用户公告信息自定义 | |
支持智能递推功能,防止资源漏访 | |
支持用户/用户组的流量管理、会话控制、超时时间设置、闲置时间设置;会话管理可全局配置 | |
支持LDAP、RADIUS分配虚拟IP,支持基于用户、用户组分配不同的虚拟IP | |
支持16级用户分级,支持下级组对上级组的角色、组属性及认证方式继承 | |
稳定性、可扩展性 | 支持VPN隧道的断线自动重连;多线路部署下,客户端可实时监控隧道健康状态并进行隧道的线路间切换,切换过程中保持SSLVPN连接不中断 |
支持高达253个站点集群功能,支持不同型号、低端型号设备集群(选配),支持集群设备间的Session同步,承载设备切换后用户无需重新登录SSLVPN;可扩展异地分布式集群功能(选配) | |
可管理功能 | 支持管理员16级分级分权限管理,支持配置模块、用户/资源/角色的查看、配置权限授予不同管理员;支持用户组流量、会话配置的强制继承,支持用户组属性的强制继承和可选继承;支持管理员登录IP限制 |
支持系统实时监控,实时显示CPU、内存、硬盘、线路运行状态,查看实时接入用户会话数、发送/接收流速、发送/接收流量、接入时间等信息,并可在线中断指定用户;支持查看历史最高并发用户数 | |
支持Web/CLI/SSH管理,支持Telnet管理;支持SNMP、Syslog;支持本地和远程备份及恢复;支持SSLVPN配置的单独备份及恢复,支持配置的回滚 | |
支持独立日志服务器提供多种日志类型,支持基于用户、用户组、流量、资源多因素的柱状图、曲线图等多种报表,可定时发送报表;支持多台设备日志统一到一台日志服务器,支持日志服务器的管理员分级管理。 | |
IPSec功能 | 支持IPSec VPN,支持与第三方国际标准的IPSec VPN进行对接 |
4.5 广域网优化WOC介绍
4.5.1 广域网优化产品简介
深信服2007年正式推出亚太地区首款广域网优化产品,也是业内第一款集成应用加速、流量削减、流量管理、加速VPN、应用虚拟化等一体化的产品。推出至今通过持续创新,提升用户体验,目前已发展为中国广域网优化市场的领导者。
深信服广域网优化产品为中国最完整的广域网优化解决方案,具有协议优化、缓存、流压缩、流量整形、链路质量优化等多种技术,能够帮助用户加快关键应用的响应速度,为用户带来更高的投资回报比,该产品在恶劣的网络传输环境中的加速效果尤为明显。
功能全面:深信服广域网优化产品拥有VPN、流量管理、流量削减、应用加速、智能报表等多合一功能,帮助用户提高广域网带宽资源的利用率。
价值最高:可大幅度提高关键业务系统的响应速度;削减传输线路中60%~90%的冗余数据,缓解带宽压力;在高时延,高丢包的链路环境下拥有更显著的加速效果。
品牌首选:拥有7项专利技术;连续多年入围Gartner WOC魔力象限和中央政府采购名单;用户数量超过2000 多家,囊括政府、金融、运营商、能源、教育、企业等各行业用户。
4.5.2 产品功能列表
功能列表 | |
功能 分类 | 详细指标 |
设备部署 | 支持路由、网关、单臂、网桥、网桥多线路等部署模式 |
支持集加速、流控、IPsec VPN、远程应用发布一体化功能 | |
支持虚拟化版本,实现快速部署 | |
支持网桥部署建立VPN,无需更改网络拓扑,提高部署的易用性 | |
安全性 | 支持AES、DES、3DES、MD5、SHA1等算法,并且支持扩展国密办SM3、SM4等加密算法,保证数据安全 |
内置基于状态检测的企业级防火墙功能,提供包过滤、URL过滤、访问监控、DHCP服务等 | |
可对来自外部和内部的DoS攻击进行有效防护 | |
可根据设备本身的硬件信息生成证书,分支设备接入总部根据该证书进行验证,防止非法网关的接入 | |
高速性 | 支持高速TCP和HTP传输协议,自适应高延迟高丢包网络环境 |
支持多磁盘、双向、基于分片数据包的字节流缓存加速,支持共享流缓存功能,提高整体削减效果 | |
持TCP、CIFS、HTTP、HTTPS、FTP、POP3/SMTP、MAPI、Citrix、RDP、Oracle EBS(含Socket、HTTPS模式)协议的代理;支持对WEB、HTTPS、FTP、网上邻居(含Kerberos模式)、Lotus Notes、Exchange(含2010版本Kerberos模式)、Oracle、MS-SQL、SAP、用友NC金蝶EAS等应用的加速 | |
支持GZIP、LZO高速流压缩算法 | |
支持UDP丢包优化算法,通过对视频会议传输链路优化来提升视频会议流畅效果 | |
基于应用的精细化流量管理,保障核心应用带宽,封堵无关应用,内置2000多条应用识别规则列表 | |
易用性 | 支持标准的网管协议SNMP,可采用配置向导进行快速配置 |
支持超级管理员和受限管理员设置 | |
可查看系统信息,告警日志,错误日志,调试日志等多种日志,支持独立日志服务器,支持实时和历史流量的察看、加速和非加速流量和会话的查看,可自动生成报表,并发送到指定邮箱 | |
支持设备的自动路径发现,支持WCCP、PBR、CDP、NQA | |
支持内置数据中心,支持IP流量排行和应用流量排行报表查看,并支持基于IP、应用、加速用户、设备进行加速削减报表查看;为方便管理员定期查看,要求支持周期性生成PDF报表,通过邮件自动发送给管理员 | |
支持集中管理,可集中管控、查看设备中关键功能模块 | |
稳定性 | 支持动态IP,并采用主备份双寻址系统,可自建寻址服务器 |
可支持多达4条Internet线路的带宽叠加和备份,增加稳定性 | |
支持多线路的应用选路,能够实现流量的分担和负载功能,同时自动检查机制检测线路,保障某一链路故障时的业务切换 | |
支持透明部署在专线中的,同时能够基于互联网线路建立专线备份线路,可自动探测专线质量若故障中断可自动切换到专线备份链路,保障业务的连续性 | |
扩展性 | 内置IPSEC VPN模块,支持与第三方标准IPSec VPN进行对接 |
内置流控模块,支持基于应用的智能流控,实现广域网流量整形 | |
支持通过在客户端PC安装PACC软件实现移动加速效果 | |
支持双机备份,硬件ByPass功能(低端设备为可选) | |
4.2 上网行为管理AC介绍
4.2.1 上网行为管理AC简介
2005年,深信服科技推出中国第一款专业上网行为管理产品,得益于深信服提供的专业上网行为管理技术和业界性能最强的处理平台,该产品的用户数量已达13000多家,其中超过5000家为中高端客户。正是由于客户的大力支持,深信服上网行为管理产品才能获得市场占有率第一,成为业界第一品牌。
2011年底,深信服根据市场需求,及时推出了业内真正高性能大并发的万兆性能上网行为管理设备。采用最新的高性能硬件平台,独立的内存管理系统,高度网络处理架构及最新的全业务识别引擎,深信服万兆性能上网行为管理产品满足大企业、运营商、高效等高带宽行业客户需求,全面助力高带宽场景下的上网行为管控。
4.2.2 产品功能列表
功能列表 | |
分类 | 详细指标 |
部署模式 | 支持网桥、旁路等部署模式; |
设备管理 | 支持通过IE、Firefox等浏览器通过SSL加密WEB方式、SSH命令行方式管理设备;支持v1、v2、v3方式连接设备SNMP服务;支持接口bypass功能;支持千兆和万兆,多模和单模的任意搭配;提供图形化排障工具,便于管理员排查策略错误等故障; |
设备部署 | 支持对网络中IPv4/IPv6的流量进行管理和控制;支持在IPv4/IPv6环境下的静态路由功能;支持对IPv4/IPv6的L2TP、MPLS、PPPoE、QinQ的协议剥离,支持在L2TP、MPLS、PPPoE、QinQ环境中的行为管理; |
实时监控 | 支持提供设备实时CPU、内存、硬盘占有率、会话数、在线用户数、系统时间、网络接口等设备资源信息;支持实时提供在线用户信息、应用流量排名、连接排名、所有线路应用流速趋势、流量管理状态、连接监控信息等;支持实时查看各带宽通道的使用情况; |
用户管理 | 用户默认以IP作为用户名添加到组织结构中,用户分组支持树形结构,支持父组、子组、组内嵌套组等;支持PPPoE、Web单点登录,以单点登录用户名添加到组织结构、简化用户操作; |
网页管控 | 内置海量预分类的URL地址库,支持基于URL地址、搜索词条、关键字过滤网页访问行为;同时可基于关键字过滤网络发帖行为,支持能看帖但不准发帖等细致管控功能;对于未包含在URL库里的其他海量网页通过网页智能识别管控; |
应用识别 | 内置支持1100种以上网络主流应用,2400条以上规则识别和管理IM、web IM、微博、网络游戏、网络炒股、P2P、流媒体、远程控制、木马、代理翻墙软件等用户常用网络应用;支持应用更新版本后的主动识别和控制; |
P2P智能识别 | 通过DPI技术识别BT、迅雷、电骡等30余种常见P2P应用协议,利用智能P2P识别技术实现变种P2P、未知P2P应用的全面识别和管理; |
流量管理 | 支持对IPv6流量进行控制;支持虚拟线路、2级流控虚拟子通道等功能;可基于应用类型、网站类型及用户、时间、目标IP等条件分配带宽资源; |
上网审计 | 记录访问的网页的URL地址审计;记录用户明文发帖、微博内容、支持记录P2P、流媒体、炒股、网络游戏、Telnet等应用行为;支持记录通过网页上传的文本内容;支持记录其他网络行为,包括IP、端口等信息;支持记录用户在指定时间段内产生的总流量和使用指定应用的总流量;支持记录管理员的操作日志、系统日志等; |
免审计Key | 避免对持有免审计Key人员的上网审计,且免审计状态不可由系统管理员私自变更(选配); |
日志审查Key | 管理过程记录的各类审计日志,数据中心管理员需持日志审查Key才能查看详细日志信息(选配); |
数据中心 | 支持内置和独立数据中心,海量存储日志,可实现不同管理员根据自己的管理对象分级审计; |
报表 | 支持多种报表,包括统计报表、趋势报表、汇总报表、对比报表、自定义报表等;支持查看、导出报表,并定时发送到指定邮箱;实现用户及用户组的上网流量、行为的查询、统计、排行等各类统计报表功能; |
内容检索 | 提供类似Google的日志检索工具,管理者可输入多个关键字实现对日志的快速定位,包括对日志附件正文内容的检索和定位;支持主题订阅,自动将检索结果以Email形式发送到指定邮箱; |
4.3 应用交付AD介绍
4.3.1 应用交付AD简介
深信服AD产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可切实改善用户的访问体验,降低组织的IT投资成本。
多合一负载均衡
功能全面:深信服应用交付解决方案包含全局负载均衡、多链路负载均衡、服务器负载均衡三位一体,帮助用户提高多数据中心、多链路、服务器资源的利用率。
高性价比:深信服AD系列应用交付产品打破国外厂商垄断,在无需购买额外授权的情况下,一台设备具备了三大负载均衡功能,并直接开通SSL加速、缓存、压缩等众多优化功能,获得超出业界同类产品的投资回报。
快速、智能
单边加速功能:独一无二的单边加速功能,用户客户端无需安装任何插件或软件即可提升访问速度。打造稳定智能的业务发布平台,使得用户可以更快更稳定地访问发布内容。
商业智能分析:深信服AD应用交付产品在保证数据交互稳定性的前提下,不仅可以知悉组织网络、服务器以及数据中心的运行状况,更可帮助组织分析自身的业务系统运行状况,进而为高层的网络优化和业务优化提供决策依据。
智能优化技术:DNS透明代理、链路/服务器拥塞繁忙保护、智能路由、短信/邮件智能告警技术进一步提升各类资源的利用率,增强用户的访问体验。
4.3.2 产品功能列表
功能分类 | 详细指标 |
部署与管理 | 支持路由模式、旁路模式(单臂/多臂模式、三角模式) |
支持双机热备部署以及多台设备组成集群部署,并支持多种高可用性模式,包括A/A模式,A/S模式,M+N模式等组合 | |
支持在一台高端设备上划分配置多个虚拟vAD设备,按需分配给多个租户使用,vAD之间相互隔离,不受影响 | |
内置告警系统, 可自定义告警触发事件,在出现网络及应用系统安全问题时自动发送邮件和短信。 | |
支持全中文管理界面和HTTPS方式登录、用户角色管理、多级授权管理;支持SNMP管理,SSH CLI,中心端集中管理 | |
链路负载 | 支持智能DNS解析功能;支持DNS内网记录,支持A记录、CNAME记录、MX记录和TXT记录类型 |
支持轮询、加权轮询、加权最小连接、加权最小流量、带宽比例、哈希、主备、首个可用等负载均衡算法 | |
支持基于域名链路负载均衡策略,实现域名与公网IP多对一的关系 | |
支持RIP v1、RIP v2、OSPF等动态路由协议 | |
支持智能路由,根据用户需求定制负载策略,可基于访问目的域名选择出站链路,自定义时间段实现对智能路由的时间段控制 | |
可同时实现Inbound和Outbound流量的负载均衡 | |
支持链路拥塞控制技术和DNS透明代理技术,解决链路使用不均衡问题,提升链路利用率 | |
支持单边加速技术,不需要在客户端安装任何软件或插件即可提升用户的访问速度 | |
针对多条ISP链路,同时支持动态检测网络就近性和以地址段判断的静态就近性判断,并以此为依据选择最优的ISP链路 | |
提供多种可叠加的链路健康检查方法,能将发生故障的链路流量透明的转移到其他可用链路 | |
应用负载 | 支持完善的L4/L7内容交换与负载均衡策略,可针对不同的业务应用系统划分配置成多个虚拟服务 |
支持服务器温暖上线和平滑退出,便于维护管理;支持服务器最大连接限制和并发限制,避免服务器过载 | |
支持基于SNMP、ICMP、UDP、TCP、DNS、RADIUS、HTTP、数据库(MYSQL/MSSQL/Oracle)及自定义健康检查方式 | |
支持基于TCP和HTTP的被动式健康检查,通过对业务流持续观测来判定服务器节点是否有效 | |
支持基于TCP行为观测的调控机制,当判断出服务器性能不足时对其过载保护,实现应用系统弹性负载 | |
支持浪涌保护,对于超过服务器性能上限的新建连接在负载均衡器上缓存起来放入队列中缓慢发给服务器,不直接丢弃数据 | |
支持图片优化技术,将网页中的图片做优化处理,保证图片清晰度的同时减少图片文件大小,提高传输速率 | |
支持HTTP请求/应答改写、HTTP/HTTPS请求内容匹配、页面跳转、丢弃等高级调度策略 | |
支持SSL加速、HTTP压缩、内存缓存、连接复用技术,提升用户访问速度,同时节省硬件投资成本 | |
支持轮询、加权轮询、加权最小连接、哈希、动态反馈、最快响应、UDP强行负载、优先级等负载均衡算法 | |
支持基于源IP、Cookie(插入/ 被动/ 改写)、HTTP (Header/ Body)、RADIUS、SSL Session ID的会话保持技术 | |
支持对Oracle、SQL Server数据库和Weblogic中间件的关键性能指标做详细监控,提供可视化性能分析报表 | |
支持针对Web服务器的漏洞扫描,根据漏洞识别库进行对比分析,帮助客户找出潜在风险 | |
全局负载 | 支持轮询、加权轮询、首个可用、哈希、加权最小连接、静态就近性、动态就近性、加权最小流量、返回所有IP、返回备用IP、拒绝、丢弃等策略 |
支持全部及部分设备的配置同步,支持手动创建还原点和从还原点还原配置文件 | |
支持手动创建还原点和从还原点还原配置文件 | |
支持统计各个数据中心的访问次数和按LDNS来源分类的访问次数 | |
支持查看远端数据中心的报表数据 | |
商业智能分析 | 统计链路的使用率及链路上应用的分布情况(包括上行和下行) |
统计多条链路上各服务的连接次数 | |
统计链路上的各服务的IP访问次 | |
统计节点池和节点的流量、新建连接数、并发连接数 | |
支持对链路稳定性和服务器稳定性进行统计 | |
支持查询服务器节点的异常状态信息,并提供分析出的可能故障原因 |
4.6 集中管理平台SC介绍
4.6.1 集中管理平台简介
随着信息化建设的不断扩张,面对设备数量较多、地域分布广的网络部署,如何高效、快速的对网络设备进行全面管理,成为系统管理人员首要考虑的问题。
深信服推出了集中管理平台SC产品,实现对网络中的上网行为管理产品和VPN产品进行集中式统一的管理,管理人员只需简单几步的操作即可对分布各地的网络设备进行实时监控、策略下发、日志查询和升级维护等。集中管理平台支持强、弱管理结合,分支机构能够在总部下发的策略配置模板中,根据实际情况进行细微调整,贴合管理需求。通过部署深信服集中管理平台,能够有效提高网络管理效率,降低管理成本,减轻管理员负担。
4.6.2 产品功能列表
功能列表 | |
分类 | 详细指标 |
部署模式 | 支持网关模式和单臂模式; |
设备管理 | 支持Web、CLI、SSH等管理方式;支持分级新建受控网点区域,并实现网点区域的嵌套管理;支持快速导入、自动生成的网点帐户建立方式;支持管理员分权分域管理; |
实时监控 | 支持所有在线网点上传的应用流量信息、当前用户流量信息排行;支持显示所有在线网点的内置库版本信息、规则库状态; |
配置 | 支持对单台或多台设备及移动客户端的配置管理;支持对单台或多台设备及移动客户端进行统一升级,并可自定义任务计划;支持升级包断点续传功能;支持设备配置复制;支持分支上传配置; |
网点监控 | 支持即时查看受控设备状态,包括CPU、内存、磁盘占用,以及内外网接口流量等信息;支持受控设备异常情况的即时查看;支持即时查看受控设备的版本信息及同步情况;支持即时查看整网受控设备的运行情况及链路状态;支持拓扑导出,并根据网点运行情况实时更新整网拓扑,根据不同颜色标示各网点状态,点击网点可查看网点状态; |
安全 | 支持本地用户名/密码认证;支持硬件DKEY认证;支持基于硬件HARD CA身份认证,实现管理员账号与接入计算机硬件信息进行捆绑认证,并可同一帐号绑定多台计算机硬件信息来方便管理人员登陆;支持IP认证功能,可以指定管理员登陆设备的IP地址范围及时间段;支持第三方的LDAP、Radius认证;支持内置备份数据库,可制定数据备份时间以进行自动备份; |
日志 | 内置日志中心,详细记录管理员操作日志及系统日志信息;支持受控设备日志上传;支持同步受控端数据中心的日志到同一个外置数据中心,支持对内网中所有受控端日志的统计、排行和导出; |
告警 | 支持对受控端的网点离线告警、网点开直通告警和配置下发失败告警 |
数据中心 | 支持以柱状图显示所有连接线路的上下行流量,可根据网点分布情况进行筛选查询和输出报表,可设置TOP N排行中的多少名排行,点击详细可提供一天流量变化趋势图;支持显示包括受控端连接在内的所有网点VPN连通时间,可选择区域进行柱状图显示,可根据联通时间、断开次数、时间、TOP N进行组合查询,点击详情可显示每天VPN连接时间柱状图;支持查看具体一天中失败的具体原因;可根据区域网点、时间、登录时间最长来输出报表,通过详情可查看那些账号没有登录,那些账号登录时间较长。 |
4.7 WLAN产品介绍
4.7.1 WLAN产品简介
深信服万兆系列无线控制器是深信服自主研发的集中管理无线接入点的控制设备,集防火墙,用户认证服务器,证书颁发中心,无线射频管理软于一体。具有多元化的认证方式,精细化的用户管理,协议优化,射频优化,二三层漫游,灵活的Q0S控制,本地转发、应用识别管控等功能。能够减少企业部署复杂度,降低企业部署成本,为客户打造安全、快速、可运营的无线网络。
配合深信服无线AP系列,定位于大型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院等高速的wifi应用场景。
更安全
Ø 更全面的安全
n 端到端防护,全面保障无线业务安全
除了数据加密、身份认证、攻击防护等传统安全措施以外,额外提供精细化授权、企业级防火墙与内置CA等高级安全特性,构建端到端的无线安全架构。
n 更安全的专业模块
无需额外搭建CA证书服务器,内置CA快速构建更可靠的无线安全认证体系;
内置企业级防火墙。
n 更精细的认证与授权
支持预共享密钥、portal、802.1x、CA证书、短信、微信、二维码等多种用户认证机制;
支持基于用户身份、终端类型、地理位置、时间等不同使用环境的访问许可和流量策略。
n 全面的终端识别、应用识别、URL识别
基于接入终端类型、操作系统的精细化识别,并作相应控制。
能精确识别无线流量属于具体的什么应用,设备内置应用识别规则库,支持超过1500种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率,
设备内置海量预分类的URL地址库,支持根据URL类别实现URL控制。有效的丰富了无线网络应用层的管理。
Ø 更便捷的安全
n 802.1X认证一键配置
无需依赖IT人员的协助,用户通过web界面下载安全配置工具,一键即能完成802.1x的自动配置,简单便捷的加入到企业安全架构中。
n 用户和终端自动绑定
可实现用户首次登录时,系统自动完成账号与终端MAC绑定,无需管理员参与,实现“人-机”唯一对应。同时,针对用户拥有多种终端的情况,可实现用户与多终端绑定关系,防止越权访问,加强安全性。
Ø 访客管理便捷
n 二维码访客认证—助企业提升品牌形象
内置二维码认证模块,访客连接WiFi后,内网系统向访客终端自动推送二维码,内部接待员工扫一扫,系统通过认证返回提示,只需简单2步即可完成认证过程。
更快速
Ø 协议栈加速
针对协议栈加速,提升传输效率。针对干扰的无线网络环境下,无线网络速度提升2到8倍,解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。同时,客户端无需安装任何插件,对用户侧透明。
Ø 智能射频优化
当部署的AP功率太大会干扰到周围的其他无线设备,同时浪费电能和增加辐射;但是AP功率太小,无法满足覆盖要求。由于无线射频环境是动态变化的,所以深信服千兆系列无线控制器能够对AP实现射频智能功率调整,改善射频环境。同时,也能够对工作信道进行调整,有效的避开干扰信道。
Ø 智能负载均衡
能够根据AP当前的负载情况及其他条件(如:流量、接入人数、频段等),控制终端的接入,达到无线网络负载均衡,提高网络吞吐量和服务质量的目的。终端请求接入某个AP,无线控制器根据该AP与邻居AP的负载,决定是否允许新的客户端接入,终端可自动连接其他空闲AP,达到负载分担的效果。
Ø 平均带宽分配
由于所有终端抢到的空口机会差不多相等,高速率终端每次快速发完自己的数据后都要等待低速终端慢腾腾的发完它的数据,所以,高速率终端的性能基本上与低速率终端的性能是一样的,显然,整体的性能也被大幅拉了下来。所以,当环境中存在低速率用户时,需降低其对整体性能的影响。因此深信服无线控制器支持用户平均分配带宽,根据时间公平算法,防止单个用户拉低网络整体速度。
可运营
Ø 大屏显示
内置大屏显示功能,能够显示实时状态,每个AP位置、接入用户数,接入用户的用户名。
Ø 智能页面推送
能够自定义页面推送,可以基于SSID,AP,用户组去推送不同的页面。并且也能够实现认证前推送以及认证后推送。并且终端自适应技术能够保障终端页面自适应,提高了用户体验。
Ø 短信认证—内置广告推送中心,实现定向营销
内置短信认证模块, 终端连接WiFi后,通过接收短信获取验证码,快速认证,方便快捷。同时,用户通过短信认证上网,支持手机号采集与导出,为商业营销及分析提供依据;在用户接入无线网络时,根据用户名、用户组、位置的区别进行个性化通知和广告推送;支持WiFi在线时长管理,促进用户互动,同时防止蹭网、长时间在线等方式造成资源耗用
Ø 微信认证—为企业微信公众账号加油
内置微信认证模块,通过独有的应用识别进行微信识别,认证前放通微信流量,待访客终端关注某官方微信过后,通过微信进行认证上网。并且后期可以通过此微信推送广告,达到良好的营销效果。
4.7.2 产品功能列表
802.11mac | 802.11协议簇 | 支持802.11a/b/g/n模式 |
虚拟AP | 支持 | |
隐藏SSID | 支持 | |
多国家码部署 | 支持 | |
功率、信道调整 | 具备自动和手动两种方式调整功能 | |
用户在线检测 | 支持 | |
无线用户隔离 | 具备二层隔离和基于SSID的隔离功能 | |
无线用户强制断连 | 支持 | |
多SSID个数 | 32 | |
用户无流量自动老化 | 支持 | |
在线检测 | 具备AP和用户在线检测功能 | |
40MHz模式的20MHz/40MHz自动切换 | 支持 | |
防火墙 | 新建连接数 | |
并发连接数 | ||
数据转发 | 本地转发 | 支持:具备SSID+VLAN的本地转发 |
集中转发 | 支持 | |
部分集中转发部分本地转发 | 支持 | |
漫游 | 二层漫游 | 支持 |
三层漫游 | 支持 | |
IP | DHCP | 支持DHCP Client,DHCP服务器,DHCP中继,DHCP Snooping |
NAT | 支持 | |
DNS代理 | 支持 | |
静态路由 | 支持 | |
策略路由 | 支持 | |
三层物理端口链路检测 | 支持 | |
二层 | 链路聚合 | 支持 |
链路状态检测 | 支持 | |
ARP代理 | 支持 | |
802.1x | 支持 | |
流量管理 | 基于单用户 | 实现基于单用户的上下行流量管控 |
基于应用 | 实现基于应用的流量保障 | |
基于终端类型 | 实现基于终端类型(手机、电脑等)的流量管控 | |
基于终端操作系统 | 能够实现基于终端操作系统(安卓、IOS、windows phone等)的流量管控 | |
基于不同无线网络 | 满足基于不同无线网络进行带宽权重分配 | |
单用户流量限速 | 可基于不同SSID灵活设置 | |
802.11e/WMM | 可基于不同SSID灵活设置 | |
射频管理 | 功率自动调整 | 支持 |
功率手动调整 | AP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围 | |
信道自动调整 | 支持 | |
AP负载均衡 | 多个AP间实现负载均衡,在双频情况下,实现2.4G和5G的双频负载 | |
无线防广播泛洪(arp代理) | 支持 | |
安全防御 | DoS攻击防御 | 支持 |
WIPS | 支持 | |
接入认证 | 认证类型 | 支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA(企业)、WPA2(企业)、WPA/WPA2(企业) |
二维码认证 | 访客终端接入无线网络后,终端自动弹出二维码页面,企业审核人通过手机扫描访客终端二维码,访客即可上网。 | |
微信认证 | 用户接入无线后关注指定微信账号(商户或企业官方帐号)即可实现上网。增加商家/企业关注度,提供后续营销平台。 | |
短信认证 | 用户接入网络后弹出认证页面,用户输入手机号码以获取验证码,输入验证码后可以实现正常上网。 | |
临时访客认证 | 内置临时用户信息管理系统,临时用户在有效期内可以登录,超过有效期无法登录;内置临时账号管理的二级权限系统,该系统仅能进行临时帐号的创建、管理功能 | |
证书认证 | 支持内置CA证书颁发中心,无需额外搭建证书服务器,同时支持外部证书服务器导入证书认证 | |
加密方式 | 支持TKIP和AES | |
MAC+用户名绑定 | 具备自动绑定和管理员审核功能 | |
域计算机认证 | 支持 | |
EAP类型 | 支持中继模式、终结EAP-PEAP模式、终结EAP-TLS模式 | |
支持使用本地数据库 | 支持 | |
使用LDAP服务器作为认证服务器 | 用户实时同步 | |
MAC静态白名单 | 支持 | |
MAC静态黑名单 | 支持 | |
动态黑名单 | 支持 | |
智能识别 | 应用识别 | 能精确识别无线流量属于具体的什么应用,设备内置应用识别规则库,支持超过1500种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率 |
URL识别 | 设备内置海量预分类的URL地址库,支持根据URL类别实现URL控制 | |
终端识别 | 能识别接入终端的类型、操作系统,并作相应控制 | |
应用流量查询 | 能查看基于应用的实时和一段时间的流量情况 | |
授权管理 | 多角度的角色分配 | 基于用户帐号/SSID/区域/接入终端的角色分配管理 |
基于终端类型的权限控制 | 实现基于终端类型如手机、电脑、平板等的灵活权限管控 | |
基于操作系统类型的权限控制 | 实现基于终端操作系统如安卓、IOS、windows phone等的灵活权限管控 | |
基于具体应用的权限控制 | 实现基于具体应用如QQ、迅雷、P2P等的权限控制 | |
基于用户角色的访问权限控制 | 支持 | |
以ssid为单位灵活配置规则确定用户的用户角色 | 支持 | |
以ssid为单位灵活配置规则确定用户的vlan | 支持 | |
备份 | 双机1+1热备 | 支持 |
AC间AP快速切换 | 支持 | |
双机配置同步 | 支持 | |
备份配置和备份恢复 | 支持 | |
实时状态显示 | 流量历史查询 | 支持WAC及AP历史流量查询 |
local wac状态显示 | 支持系统状态显示 | |
动态黑名单显示 | 支持 | |
AP在线、离线提醒 | 支持 | |
在线用户信息显示 | 支持 | |
网络攻击实时告警 | 支持 | |
接口状态告警 | 支持 | |
双机切换告警 | 支持 | |
AP信息显示 | 支持 | |
射频信息显示 | 支持 | |
WLAN信息显示 | 支持 | |
系统日志查询 | 支持 | |
热点分析 | 依据用户显示繁忙或空闲AP | 支持 |
依据流量显示繁忙或空闲AP | 支持 | |
显示信号好和信号差的AP | 支持 | |
网管与配置 | WEB UI 配置 通过HTTPS访问 | 支持 |
AP升级计划 | 支持 | |
记录用户上线、下线信息 | 支持 | |
日志管理 | 具备查看和导出系统日志功能 | |
策略故障排除功能 | 支持 | |
自动更新升级 | 支持 | |
重启设备、重启服务 | 支持 | |
配置时间日期、NTP服务 | 支持 | |
配置管理员帐号 | 支持 | |
配置序列号 | 支持 | |
工堪管理 | 内置工堪图管理软件 | 通过导入部署地场景图,在场景图上设置相应参数,然后自动或是手动的生成无线网络部署热点分析图 |
大屏显示 | 显示AP实时动态信息 | 每个AP位置、接入用户数,近十个接入用户的用户名 |
建筑图导入 | 支持手动调整背景,导入建筑图,自由布放AP示意点位置 | |
页面推送 | 根据SSID推送 | 能够根据不同SSID推送不同页面 |
根据AP推送 | 能够根据不同AP推送不同页面 | |
自定义portal界面 | 具备自定义动态页面功能 | |
根据用户组推送 | 能够根据不同用户组推送不同页面 | |
认证前后区别推送 | 能够在认证前和认证后推送不同页面 | |
终端自适应技术 | 能够根据不同终端推送不同页面,而且可以推送合适匹配终端的尺寸页面 | |
网络加速 | 协议栈加速 | 针对协议栈进行加速,在无线干扰环境下,提升传输速度 |
自动广播提速 | 将广播包原有的发送速度提高,加快广播包的传输效率 | |
接入终端速度限制 | 对接入终端的速度做门槛,禁止低于一定速度的终端接入,提升整体网络速度 | |
平均带宽分配 | 支持用户平均分配带宽,根据时间公平算法,防止单个用户拉低网络整体速度 |
- 上一条Vmware虚拟化解决方案
- 下一条信锐无线解决方案