请选择 进入手机版 | 继续访问电脑版
发帖
开启辅助访问
 找回密码
 立即注册
取消
搜索
热搜:
活动 交友 discuz
分享到

网络安全产品普

#技术分享#时间:2018-07-04 阅读:388 回复:0

9

主题

39

帖子

50

积分

游客

积分
50

发帖小能手发帖小霸王云子元老

上网行为管理。

基本定义:上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析,除了以上功能以外,IP/MAC绑定,各类方式认证也是用的最多的功能。

基本功能
      路由功能:静态路由、动态路由、策略路由、ISP路由等。

      NAT功能:将内部网络的私有IP地址转换为公有IP地址。


      端口映射:就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,自动将请求映射到对应局域网内部的机器上。


      安全策略:通过对源地址、目的地址、服务、时间、允许/阻止等内容进行配置做相关安全访问策略。

      
会话管理:对通过防火墙设备会话经行统计、分析、控制等      

      ***功能: IPSEC *** 、SSL ***、PPTP 、L2TP 、GRE等(***功能较弱如需使用,建议使用***专用设备)


      以上功能,是之前介绍防火墙的功能,现阶段上网行为管理已经具备防火墙的基本功能,下面说一下上网行为管理比较突出的一些功能:

      流控管理:根据不同用户或分组、针对URL及各种应用做流量控制管理,合理分配带宽,优化带宽利用率。如:上班时间对P2P流媒体、下载、在线视频等进行限制上下行带宽,对财务电脑保障一定带宽等。

      行为审计:对上网用户各类行为日志进行审计、同样包括访问的各类URL、应用。现在对上网行为日志保存的时间要求不小于6个月。

      行为阻断: 针对一些URL、应用进行封堵阻断。如:暴力、-云子可信--云子可信-等等(有些内容太敏感,论坛也会过滤,大家懂的)

      外发审计: 对上网用户外发邮件、论坛等内容进行审计。

      外发阻断: 针对特定关键字内容的外发进行有效的阻断。

      私接wifi: 针对网内私接wifi进行检查并阻断。(主要是针对便携wifi私接乱接)

      上网认证: 通过各类方式认证,满足各种上网认证需求,包括:IP/MAC、用户名/密码、微信、AD域等。

      报表功能: 因审计内容较多,提供各类报表,如用户应用、用户流量、应用排行、流量排行等等。


      数据中心: 具有强大的数据报表功能,比设备自身提供的各类报表更加强大,数据中心一般需要单独在服务器上安装

部署方式:

      路由模式:用于中小型网络出口部署,配置NAT、路由、端口映射。所有上网行为管理功能均可使用
       透明模式:最常见部署方式,部署于出口设备与核心交换机中间,对现有网络结构无任何影响。(如需要进行IP/MAC绑定,需要在设备上对核心交换机的SNMP进行配置)。
       
       旁路模式:对网络结构无任何影响,需要将网络中的流量镜像到设备上,旁路设备只具备审计功能,流控等控制功能将无法使用。

                                                                                                                                                                                                                                   123.png (39.4 KB)
2018-4-8 16:08





双机热备: 主主、主备

应用场景:

       出口网关:中小型网络可以使用上网行为管理设备做出口,但不建议,毕竟上网行为审计和流控功能比较消耗资源,当出口设备使用NAT等功能会增加设备资源消耗影响设备性能


      串联:串联在网关与核心交换机之间,也是现在绝大多数使用的部署方式,设备具备Bypass功能,防止设备出现故障后网络出现中断等异常情况


设备参数
      设备吞吐量:设备传输数据量,对应到具体设备选型时关注的参数为带宽


      设备并发连接数:能够同时处理的点对点连接的最大数目,对应到具体设备选型时关注的参数为同时在线人数


      设备新建连接数:设备一秒内创建的连接数


      设备接口: 设备配备的电口、光口、等物理接口

      Bypass:可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通,所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。

设备选型方面没有特殊要求,设备接口数都可以满足需要,如果有特殊需要购买前需要提前沟通、主要关注设备吞吐量与并发连接数两个参数,选择时需要考虑以后网络扩容,避免重复购买。

      上网行为管理是现在使用比较普遍的设备,前期上架完成后暂时无需做任何流控策略(审计策略可以开启),通过设备观察网络内一段时间(大概一周时间)的用户流量及应用流量再进行流控策略的配置,且流控策略需要不断的调整达到最佳的优化效果。至于各个厂家排名,请自行百度。
回复
使用道具 举报
快速回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

客服电话
173-6185-1240
发布 快速回复 返回顶部 返回列表