深信服上网行为管理AC介绍PPT

有线无线统一上网行为管理产品介绍率先提出“上网行为管理”理念2005推出国内第一款上网行为管理产品2006IDCChina0510152025303540452009201020112012201333.8%40%38.6%41.4%保持领先地位，遥遥领先于其他竞争对手国内唯一一家入选GartnerSWG“内容安全网关”魔力象限的厂商产品介绍39.3%产品介绍为什么网络难管理？有线无线网络管理难非法Wi-Fi热点难管控信息泄露访客接入繁琐工作效率低BYOD难管理带宽滥用网络违法SANGFOR有线和无线混合网络环境下的上网行为难管理有线和无线网络管理难分析现象有线网络和无线网络两套管理系统，不同风格界面；用户信息需要在有线和无线网络分别维护一份；管理界面风格不一致，配置管理困难，学习成本高；有线网络和无线网络不能联动，用户信息不能内部同步，运维困难；Control？工作效率低上班时间网络聊天、炒股、网游、看新闻、看小说等行为泛滥，办公室沦为免费的网吧；员工成为低头一族，刷微博、聊微信、逛论坛；用户上网权限缺乏管理；互联网/移动应用泛滥、复杂、更新快等加大管理的困难性；分析现象带宽滥用互联网总流量中P2P流量超过60%，夜间甚至达到90%；语音视频系统断断续续；访问主页、ERP等出现“该页无法显示”；员工抱怨网速慢；IT部门屡遭投诉，部门绩效受到影响；P2P下载、流媒体等滥用带宽；带宽缺乏划分与分配措施；单纯扩容带宽，治标不治本；昂贵的带宽费用被浪费！分析现象BYOD难管理各种终端接入到网络中，PC、手机、平板等；无线网络覆盖整个企业，用户接入场景不再仅仅是有线办公区，还有会议室、接待区；移动终端日渐普及，属个人设备，其安全性难以保障，；不同场景有不同的业务特性，一刀切的管理方式不能满足多样化的业务需求；分析现象非法Wi-Fi热点难管控员工为了一己之便，私接无线Wi-Fi设备，将内网共享出来，让自己的手机、平板电脑也能够上网内网被公开，不法分子可趁机入侵，盗取资料、破坏网络；360、小米、小度等随身Wi-Fi工具价格便宜，使用简单，迅速普及；分析现象访客接入繁琐接入用户越来越多，不仅仅是内部员工，合作伙伴、临时访客等外部用户也需要接入无线网络；如何保障网络安全？大量的外部访客接入，如何保障管理效率？实施严密的安全接入认证？——大量的配置工作，增加网络管理员负担；无线网络完全开放不设密码？——任意用户都可随时接入内网，极大的安全隐患分析现象信息泄露我国每年因网络泄密导致的经济损失高达上百亿；高层领导的邮件信息、公司研发代码等泄漏；公司经营决策、内幕消息等甚至被竞争对手提前知晓；上网授权缺失，用户肆意上网，为通过网络泄密提供了通道；主动外发信息泄密，或被黑客远程控制而被动泄密并存；泄密后无据可查，漏洞难弥补，责任难追究，难以形成威慑；分析现象网络违法SexTracker报告显示：色情网站70％的访问量集中在上班时间；天涯、百度贴吧等已经成为网络造谣、人身攻击的重灾区；流行的自由门、无界浏览器等代理/翻墙软件，绕过公司管理；上网授权缺失，用户肆意上网；Web2.0使每人都成信息发布者；缺乏日志记录，无法举证追踪；分析现象全网全终端统一管控统一管控全网全终端有线无线PC/笔记本移动终端互联网接入区局域网AP数据中心OA、财务等应用DMZ网站、Mail上网行为管理有线无线统一上网行为管理有线用户无线用户用户认证丰富的认证方式针对于不同用户安全、便捷权限控制全面的应用识别控制提高工作效率流量控制合理分配带宽保证核心业务运行行为审计精细的上网行为审计规避违法和泄密风险有线无线统一上网行为管理无线网络管理内置无线控制器直接管理AP降低成本简化运维集成无线控制器，直接管理AP1.内置WAC功能，能够管理无线AP——满足无线网络覆盖要求，并且部署简单，即插即用集成无线控制器，直接管理AP2.统一的管理界面——实现AP、接入终端、用户信息、控制策略的融合管理，直接基于SSID策略配置，提高管理效率用户认证内部员工外来访客IP/MAC绑定本地用户名-密码认证第三方服务器认证DKEY双因素认证单点登录802.1x认证短信认证微信认证二维码认证内部员工认证方式IP/MAC绑定IP/MAC/IP-MAC绑定，支持跨三层绑定；用户名/密码本地用户名+密码认证；第三方认证支持与第三方认证服务器结合，如Radius、LDAP、POP3或数据库；认证KEY(绿)支持USB-KEY双因素认证。微软AD域邮件服务器数据库Web认证服务器第三方计费系统Proxy代理服务器SSO—SingleSignOn当网络中已经有身份认证系统，AC能够与之相结合，同步组织架构、在线用户列表、认证成功和注销信息等，实现单点登录，从而避免多次认证登录AD域、CAMS、SAM、城市热点同步单点登录内部员工认证方式简单三个步骤获取手机号码作为用户标识二次到访具有免认证机制外来访客认证方式外来访客认证方式关注微信公众号，迅速增粉用户授权人外来访客认证方式扫描用户认证针对不同用户提供不同的认证方式，既保证用户身份合法性，同时认证过程方便快捷，降低管理成本价值多维度控制策略用户终端位置业务多维度控制策略有线办公区普通员工：禁止工作无关应用高层领导：无限制禁止移动终端接入研发测试区只允许手机接入，且禁止访问外网接待区给访客接入无线网络，流控、审计仓库只允许扫码枪接入全面的应用识别100多种云应用590+种移动APP2000种应用300种WEB应用300+人专业团队上传文档登录账号√下载资料√发布信息应用细分控制URL识别千万级URL识别库包含新闻、购物、金融、教育等70个种类的URL地址，具有恶意网址过滤库；URL智能识别系统通过匹配关键字，识别出网页内容，并自动归类；云共享AC将学习到的URL上传到云平台，共享到其他AC的URL库中；99.9%准确识别目前主流网站，识别率高达99.9%，有效实现网页过滤。千万级URL库云共享99.9%识别率智能识别系统SSL加密应用识别://mail.qq.com列表，对列表中指定的SSL加密网站或Web邮箱进行过滤和审计防止多个非法用户通过合法的账号共享上网，给网络管理带来漏洞；防私接Wi-Fi共享Internet应用管理标签化标签化外发文件泄密风险网盘上传、IM外发文件、邮件发送安全风险钓鱼及恶意网站、翻墙代理、非法网页、病毒、木马降低工作效率微博、聊天软件、网络游戏、股票行情、网上购物微博论坛微博发布、社交论坛发帖通过标签化，更快速全面实现应用管理高带宽消耗P2P、P2P流媒体、下载工具、视频点播多级父子通道通道化将总体带宽细分通道化，可根据用户或应用进行划分；限制/保证带宽根据用户或应用的重要性，通道可设置为带宽限制或带宽保证；8级父子通道最高支持8级通道，可匹配组织架构，实现带宽精细划分；总带宽1级通道2级通道动态流控设定阈值(%)来区分空闲和繁忙状态，当整体带宽利用率低于阈值时，通道的最大带宽限制将上浮，直到整体利用率超过了阈值，才回收上浮的部分，实现带宽利用率最大化。业务其他动态流控空闲期静态流控动态流控高峰期带宽保障带宽限制业务其他动态调节空闲带宽P2PDataP2PP2P业务P2P带宽浪费流控丢包P2PP2PP2PDataDataDataDataDataDataP2PP2PP2PP2PP2PP2PP2PP2PP2PP2PP2PP2P传统流控基于缓存丢包方式，UDP协议自身没有速率调整机制，且P2P传输模式具有特殊性，外网线路依然被大量的P2P数据报文所占用，导致带宽浪费。传统流控P2P智能流控上传速度和下载速度具有关联性，通过抑制上行流量来达到控制下载速度的效果DataP2PDataP2P业务P2P利用率提高近30%流控P2P流量减少P2PP2PDataDataDataDataDataDataP2PP2PP2PP2PP2PP2PP2PP2PP2PP2PP2PP2P上行流量DataDataDataDataDataDataP2PP2P智能流控准确识别并控制迅雷、BT、PPStream等应用流量网页访问审计日志信息用户、IP地址、链接、网站类别、时间、网页标题，并支持网页快照，网页内容直观显示邮件审计日志信息邮件标题、正文内容、收/发件地址、用户、时间和附件下载审计，并支持SMTP、POP3、IMAP等标准协议的SSL加密邮件审计。可下载附件IM聊天应用审计微博论坛审计附件审计网页内容真实还原审计KEY免审计KEY(紫)用户使用免审计USB-KEY后，其上网行为将不会留下日志记录，避免机密信息外泄。适用于企业高层人员。日志审计KEY(棕)管理员只能通过使用日志审计USB-KEY才能获得日志查看权限，规避隐私问题。方案优势细致精准全面完整有线无线统一上网行为管理灵活有效高效便捷全面完整核心的封堵、流控、审计功能有线无线统一上网行为管理BYOD的权限控制移动APP/云应用管控和审计灵活有效父子通道技术，带宽整体调整与局部调节P2P智能流控，有效抑制P2P应用流量动态流控，提升带宽利用率，避免资源浪费多维度策略管理，适用于每一种应用场景方案优势细致精准网络应用进行细分控制上网行为内容进行深入审计如IM聊天、微博论坛、邮件收发和上传文件内容SSL加密内容审计高效便捷二维码、短信、微信等多种认证方式应用标签化管理，策略配置更简便有线无线统一管理界面，用户内部联动，简化运维方案优势应用价值通过应用控制，限制与工作无关的上网行为合理分配带宽，动态调节，减少浪费，提高带宽应用价值记录审计用户上网行为，避免肆意外发非法言论拦截不良网页，提供安全接入提高内网安全性