第一篇:深信服科技XX教育局解决方案
深信服XX电教馆
解决方案
深信服科技有限公司
2011年6月
目 录
1、XX教育局需求分析..................................................................................................................3
2、深信服科技XX市教育局解决方案及网络拓扑;.................................................................4
2.1 整体解决方案和网络拓扑................................................................................................4 2.2 XX市教育局中心端解决方案及网络拓扑......................................................................5 2.3 XX市学校端解决方案及网络拓扑..................................................................................6 3 深信服XX市教育解决方案功能说明.......................................................................................7
3.1 用户身份实名认证解决方案............................................................................................7
3.1.1 针对老师的实名认证手段.....................................................................................7 3.1.2 针对学生的实名认证手段.....................................................................................7 3.1.3 针对拥有第三方认证系统的学校.........................................................................7 3.1.4 针对临时外来人员接入认证手段.........................................................................8 3.2 XX市教育局VPN组网解决方案....................................................................................8
3.2.1 VPN组网解决跨运营商接入.................................................................................8 3.2.2 VPN冗余备份组网方案。.....................................................................................9 3.2.3 VPN与互联网数据带宽合理分配.......................................................................10 3.2.4 教育局与学校内网IP地址冲突解决方案.........................................................10 3.3 带宽资源利用率提高解决方案......................................................................................10 3.3.1 XX市教育局多线路复用和智能选路.................................................................10 3.3.2 虚拟线路技术.......................................................................................................11 3.3.3 父子通道技术.......................................................................................................11 3.4网络资源行为审计解决方案...........................................................................................11 3.4.1 实时监控...............................................................................................................12 3.4.2 全面、灵活的应用审计.......................................................................................12 3.4.3 数据中心及报表...................................................................................................13 3.4.4 日志审查Key.......................................................................................................13 3.5 集中管理解决方案..........................................................................................................14 3.5.1 方便快速的部署...................................................................................................14 3.5.2 集中配置管理策略...............................................................................................15 3.5.3 管理权限分级划分...............................................................................................16 3.5.4 实时状态监控.......................................................................................................17 3.5.5 版本及规则库智能升级.......................................................................................17 3.6 远程接入XX市教育局内网解决方案..........................................................................18 3.6.1 便捷的远程接入访问...........................................................................................18 3.6.2 安全的远程接入访问...........................................................................................19 3.6.3 快速的远程接入访问...........................................................................................20
4、设备选型和介绍;...................................................................................错误!未定义书签。
4.1(中心端)实名认证/行为管理审计平台.......................................错误!未定义书签。4.2(学校端)实名认证/行为管理审计平台.......................................错误!未定义书签。4.3 中心端VPN接入平台....................................................................错误!未定义书签。4.4 集中管理平台SC............................................................................错误!未定义书签。4.5应用性能管理APM.........................................................................错误!未定义书签。
1、XX教育局需求分析
XX市各中小学校园网几年前已基本建成,目前正在为学校管理、教育教学发挥着重要作用。许多学校近来反映上网获取教育教学信息以及下载教学资源的速度不尽如人意,究其原因,主要在于各校对于用户上网行为缺乏有效的管理,导致大量网络带宽被P2P等应用占用,这其中又存在着大量与教育教学无关的内容,此外,我市学校绿色上网系统还未全面布署。针对上述问题,结合江苏省基础教育公共服务体系建设工作,本着实用、高效,节约的原则,在不改变学校端接入方式的前提下,着手在局属单位部署“分布式学校上网行为管理及XX教育VPN网络系统”,以优化XX基础教育网络系统。该系统拟解决以下几个主要问题:
1.用户上网实名认证。根据《互联网安全保护技术措施规定》(公安部第82号令)要求,必须落实上网实名制管理,记录并留存用户注册、登录和退出时间、互联网地址等技术措施。
2.上网行为管理与审计。目前我市学校绿色上网系统还未全面布署,为学校提供绿色上网解决方案的工作迫在眉睫。此外,工作时间还存在着大量的访问与教学无关的网站以及网络应用,这大大降低了学校的教学质量和效率。通过基于时间段、用户组、不同应用的网络访问控制,使得师生在工作时间能够提高工作学习的效率,也能更好地提高用户访问互联网使用效果。
3.组成XX教育VPN网络。构建XX教育VPN网络,解决跨运营商接入问题,同时又可实现冗余备份组网效果。通过在XX教育信息中心、区级中心、学校部署相关设备,建立XX教育VPN网络,该VPN网络可接入江苏省基础教育公共服务体系专网。通过相关设备利用流控技术,对VPN隧道带宽设置保证带宽,让VPN隧道内数据和互联网数据合理使用公共带宽。这样既能保证VPN数据的高效性,也不影响互联网用户的网络使用,实现学校畅通访问XX教育内部应用和江苏省基础教育公共服务体系平台,而学校用户的互联网访问流量,则无需通过VPN网络承载,不会对VPN访问性能造成影响。
4.实现集中管理、分级管理相结合。通过使用集中管理平台,可以将全网的上网行为管理网关/VPN设备集中管理。实现全网指定设备上相关配置的统一和更新,既方便了管理同时又确保了策略的一致性。而对于某些分支设备上部分配置较“个性化”而与其他分支设备不同时,分支机构管理者同样可以对此类设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。
2、深信服科技XX市教育局解决方案及网络拓扑;
2.1 整体解决方案和网络拓扑
整体解决方案拓扑结构
部署说明:
XX市教育局中心端部署深信服上网行为管理AC、远程接入平台SSL VPN、集中管理平台SC、全网可视性能监控APM等产品,实现XX市教育局上网行为管理及VPN网络组网功能。
XX市各区域学校端部署深信服上网行为管理产品AC,首先为学校端提供从学校到教育局端到端的VPN接入;其次提供学校带宽管理,内网用户实名认证和上网行为审计功能。最后,通过上网行为管理产品防火墙、防攻击、病毒防护等功能加强学校安全级别。2.2 XX市教育局中心端解决方案及网络拓扑
XX教育局中心端解决方案及网络拓扑结构
部署说明:
①中心端部署深信服上网行为管理产品AC-4000,部署方式采用网桥部署方式。提供XX教育局网络流量可视、流量管理、教育网内网用户实名认证和上网行为审计等功能;
②中心端部署深信服集中管理平台M5100-SC,部署方式采用旁路方式。提供对下属学校端所有上网行为管理设备进行集中管理,其中包括学校端AC集中配置、集中策略下发、日志集中、在线更新等功能;
③中心端部署深信服SSL VPN远程计入平台VPN3050,部署方式采用旁路模式。提供下属学校端端到端VPN接入,组建XX市教育信息中心VPN网络系统,实现教育网资源共享。
④中心端部署深信服应用性能管理平台APM4200,部署模式采用旁路模式。提供XX教育局中心端所有流量、协议类型、网络设备性能可是,为XX教育局提供故障快速定位、网络隐患智能预警等功能;
综上所述,深信服XX市教育局中心端解决方案总计部署4台设备,分别是上网行为管理、SSLVPN、集中管理平台SC、应用性能管理APM等设备。其中SSLVPN、集中管理平台SC、应用性能管理APM产品全部采用对网络没有改动的旁路部署模式,即使设备出现故障对中心端网络的正常运行没有影响。其次上网行为产品采用网桥模式部署,2.3 XX市学校端解决方案及网络拓扑
XX教育局各学校端解决方案及网络结构拓扑
部署说明:
如图所示,依据网络规模大小将XX市各区域学校大致分为:网络规模较复杂和网络规模较简单两类。深信服上网行为管理解决方案如下:
①针对网络规模较为复杂,人员规模介于600到1500的学校,通过网关模式部署深信服上网行为管理AC1600产品。首先实现学校到教育局端到端VPN组网功能,实现教育网资源共享。其次通过多种认证方式实现学校老师和学生上网实名认证,通过流量管理功能模块实现对P2P下载等消耗带宽资源的应用进行限制和控制。最后,通过行为审计模块实现学校老师和学生使用互联网和教育网资源的记录,既为管理员管理网络提供数据支撑,又为公安部门提供重大事件中责任人定位提供支撑。
②针对针对网络规模较为简单,人员规模小于600的学校,通过网关模式部署深信服上网行为管理AC1300产品。不但能提供身份认证、流量管理、与教育局之间VPN组网、行为审计等功能,还能依靠上网行为管理中的防火墙、网关杀毒、防攻击、过滤危险插件恶意脚本等功能加强学校网络安全等级。3 深信服XX市教育解决方案功能说明
3.1 用户身份实名认证解决方案
中小学校园网在连接Internet后,方便了用户获取互联网资源。网络中流量构成、行为分布情况如何?在没有专业设备的分析下,校园网的管理者是无法知晓的。无法识别用户就无法进行管理。
3.1.1 针对老师的实名认证手段
由于老师人员结构相对固定,上网时间和终端比较固定的特性。深信服科技建议中小学身份认证方面针对于教师采取IP/MAC绑定的方式进行认证,免去每天使用网络时进行认证的繁琐操作。
用户第一次使用AC,可批量导入用户,避免手工一个一个用户信息输入的麻烦。AC支持多种格式文件的导入,如CSV,支持扫描IP自动导入,支持AD域用户导入。
3.1.2 针对学生的实名认证手段
由于学生人数众多,并且使用学校网络接入互联网的情况不多,我们可以提供以下几种方式:
(1)采取弹出式Web认证的手段: 这个对于学生有一个警示的作用,表明在使用网络时,是要遵守规章制度的。深信服AC上网行为管理设备,支持批量导入用户(导入的表格可以是EXCEL格式),新生需要上机实习,则可按照班级为单位,以学生姓名等方式填报表格,交由电教老师统一导入设备;
(2)针对学生用学校网络接入互联网的时间,一般是在上相关计算机课程时,我们可以采用对实验室电脑进行只允许看网页,不允许发帖等行为。可以避规出现在学校网络发表不负责任言论的风险。
3.1.3 针对拥有第三方认证系统的学校
如果学校已经建立了AD域等的第三方认证系统,深信服AC设备能够与这些系统完美的结合,在做简单的配置之后,AC设备会自动与AD域认证服务器做同步。这样校园网管理者只需要管理一套认证系统,同时不需要改变管理习惯。
对于已有域认证的用户,AC可与域进行结合认证。同时支持LDAP认证、Radius认证、POP3认证、Web认证等等,其中Web认证支持以windows认证框方式实现web认证,也支持以HTTP POST方式实现web认证。
3.1.4 针对临时外来人员接入认证手段
针对于临时接入校园网的外来用户,我们有临时接入帐户管理规则,可以赋予临时帐户一定的使用网络的权限,例如登录网页等,使得临时帐户拥有基本的网络访问权限,但不具备全局的访问权限。
3.2 XX市教育局VPN组网解决方案
3.2.1 VPN组网解决跨运营商接入
由于XX市各个中小学互联网出口租用的运营商线路都不隶属于同一个运营商,而XX市教育局互联网出口同时租用了电信、联通、移动三个运营商线路。所以在完成学校和教育局端到端VPN组网时,深信服上网行为管理产品会根据学校所租用的运营商线路与教育网对应的线路进行连接。
如图所示,例如学校1租用电信ADSL线路,所以VPN隧道建立在与电教馆相对应的电信线路上。同理可推,学校2和学校3的VPN隧道都建立在与之对应的运营商线路上。从而达到不同学校不同运营商的跨运营商VPN接入的问题。
3.2.2 VPN冗余备份组网方案。
如图所示,某学校使用电信ADSL线路与XX市教育局建立VPN连接,但是为了 解决XX市教育局设备链路单点失效带来的影响,所以当XX市教育局电信出口出现问题时,深信服上网行为管理设备会自动启用备用VPN线路,按照预先设置的备用方案,建立备份线路1或者备份线路2。虽然备用线路会出现跨运营商的情况,但是却能保证网络不会因为XX市教育局的某条链路单点失效而导致下面学校访问不了教育网资源。
3.2.3 VPN与互联网数据带宽合理分配
深信服上网行为管理产品利用粒度细致的流控技术,可以对VPN隧道带宽设置保证带宽。让VPN隧道内数据和互联网数据合理使用公共带宽。既能保证VPN数据的高效性,也不影响互联网用户的网络使用。
3.2.4 教育局与学校内网IP地址冲突解决方案
XX市内大约有三十多所需要使用VPN接入到教育局的学校,在这些学校中,有部分学校使用的内网私网地址,与教育局使用的私网地址存在冲突。例如某学校使用192.168.1.0这个网段,而教育局也使用了192.168.1.0网段,如果没做地址转换的情况,两个网段用户不能互相访问。
深信服上网行为管理产品,依靠已经建立好的VPN隧道内的地址技术转换解决上述问题。隧道内地址转换技术可以将学校192.168.1.0网段转换为制定网段,例如转换为172.168.1.0网段,同理可以将其他学校的内网IP网段转化为制定网段,这样方便管理人员集中管理和控制。
3.3 带宽资源利用率提高解决方案
XX市电教馆和各个学校出口带宽有限,随着网络应用的丰富,各种吞噬带宽的应用出现和使用,类似P2P,组织若不加以管控,带宽必会被这类应用占据,从而导致整体网络速度变慢,正常的邮件发送和网络访问都无法通畅。因此,学校需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
3.3.1 XX市教育局多线路复用和智能选路
XX市电教馆和各个学校网络出口有多条运营商提供的互联网线路时,往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路,大小不一,如何让多条线路被合理利用,同时线路流量的负荷达到均衡呢?
AC专利技术(ZL 200610061591.9,一种基于网关/网桥的线路自动选路方法)可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
深信服上网行为管理的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。通过部署深信服上网行为管理网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。3.3.2 虚拟线路技术
针对XX市教育局网络出口有多条运营商线路,通过路由器接入到防火墙和核心交换中间,往往只有一根线。在一条物理线路中很难实现精细化的流量划分,容易造成外面几条线路流量分配不均,导致部分线路负荷过重。如何将物理上的一条线路进行虚拟,对应外接的几条线路,实现多线路分别流控呢?
深信服上网行为管理独家虚拟线路技术,通过这样的方式对于多条出口线路分别流控,或是为来自内网不同网段的用户分别进行流控。除虚拟线路外,在各线路中,AC可建父子通道,父通道中可建立二级、三级通道等,最多能建成十一级的流量通道,为用户提供了最细致的流量管理手段。
3.3.3 父子通道技术
深信服上网行为管理支持父通道中嵌套子通道,可支持8级子通道,最多能形成11级流量通道,为用户提供细致的流量管理手段,实现大流量划分成小流量通道,分级管理。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
XX市电教馆和各个学校有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。AC如何实现带宽资源的合理利用呢?传统设备根据IP地址和端口,结合QoS实现带宽分配,但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等,让传统设备的带宽管理功能大打折扣。
AC实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统,让机构的带宽资源得到细致的优化和高效的使用。
3.4网络资源行为审计解决方案
当学校的老师或者员工在公网上散布一些与政治或者敏感话题不负责人的言论,会给学校和单位带来触犯法律风险等违规违法的麻烦。当这类事情出现的时候,XX教育局和学校如何在最短的时间内,通过一种最有根据的方式找到网络违法的当事人,避免由教育局和学校因此背负责任?AC提供了全面的、灵活的监控审计功能。3.4.1 实时监控
深信服上网行为管理具备强大的实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要进数据中心即可实时查看网络的各种应用和流量使用情况。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
3.4.2 全面、灵活的应用审计
谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。深信服上网行为管理实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”术保证先审计后发送;对于通过Webmail发送邮件,AC全面记录邮件正文和附件等;对于QQ、MSN、Gtalk等聊天内容提供全面记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的URL地址、网页标题、甚至整个网页内容,AC也能完全监控和记录等。值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC也都可以基于关键字过滤和内容审计记录;深信服上网行为管理的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
3.4.3 数据中心及报表
XX市教育局每天产生数大量日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向机构高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖,深信服上网行为管理还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。
而如何快速检索海量日志中管理者感兴趣的内容AC已经为您想到了。通过AC数据中心的内容检索工具,您可以类似使用Google一样,从海量日志中查询、审计您需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
3.4.4 日志审查Key XX市电教馆和各个学校内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、深圳张贴到互联网上必将给组织造成不良影响、甚至经济损失。
鉴于此深信服科技推出了“日志审查Key”技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。3.5 集中管理解决方案
3.5.1 方便快速的部署
XX市教育局上网行为管理及VPN组网解决方案中,方案中全网需要实施多台AC上网行为管理网关时首先遇到的是如何快速方便部署的问题。由于多数学校并没有专业IT人员负责设备的配置、调试等操作,同时如果从教育局派遣IT人员到学校实施无疑增加了额外成本和导致项目周期过长。通过深信服 SC集中管理平台妥善的解决了该问题。
学校网络管理人员只需简单配置AC设备的IP、网关、路由等基本网络信息,确保AC能够与Internet连通后,将XX市教育局SC的地址填入即可。在XX市教育局SC与学校AC建立连接后,学校AC设备的所有其他配置选项完全可以通过XX市教育局SC实现配置和管理,无需学校人员在参与,从而帮助XX市教育局快速、方便的部署多台AC网关设备。
3.5.2 集中配置管理策略
众多学校部署的多台上网行为管理网关设备日常维护、配置、调试由谁负责?XX市教育局要求的统一上网行为管理策略如何确保在众多学校得到贯彻和执行?通常情况下组织的IT部门往往只能要求学校配备本地设备管理员,并通过行政制度等迫使该学校管理员在本地贯彻组织统一的上网策略,但这其中的弊端显而易见。
而XX市教育局通过使用SC集中管理平台,总部可以将全网的成百上千台AC上网行为管理网关设备集中管理。XX市教育局的IT管理人员通过编辑SC“复制模板”上的相关配置,并通过一次鼠标点击实现全网指定AC设备上相关配置的统一和更新,既方便了管理同时又确保了策略的一致性。
而对于某些学校AC设备上部分配置较“个性化”而与其他学校AC不同时,XX市教育局IT管理者同样可以通过SC对此类AC设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。
3.5.3 管理权限分级划分
集中管理实现了XX市教育局IT部门对全网上网行为管理网关的可控性、可管性,但同时显然也增加了XX市教育局IT部门的工作量,以及与分支机构个性化上网行为管理策略要求的抵触,如何避免?
SC集中管理平台支持管理员分级管理。将学校AC设备划分到SC的不同“区域”中,SC上配置的不同管理员将具有不同“区域”的管理权限,具体权限划分包括Read-Only只读权限和Read-Write读写权限之分;同时SC支持将指定的XX市教育局AC设备的不同功能模块的修改权限下放给学校本地管理员,从而实现XX市教育局管理员、“区域”管理员、学校管理员的分级管理结构,强化了管理的灵活性。
3.5.4 实时状态监控
部署于XX市教育局的SC集中管理平台通过集中监控模块可以查看全网所有学校AC设备的运行状态,包括该学校AC设备是否在线、内存占用率、数据包收发统计等信息。缺乏实时监控的XX市教育局IT部门只能等到学校机构人员报告故障时才会匆忙应对,不仅降低工作效率,同时降低了学校人员的满意度和影响SLA达标;而通过SC的集中监控功能,XX市教育局IT人员可以实时发现学校AC的运行状态,及时定位问题所在,为全网用户提供一个更稳定、更高效的互联网访问环境。
3.5.5 版本及规则库智能升级
大型组织机构的IT人员往往有类似经历:为了避免对用户正常访问网络的影响,IT人员在周末凌晨仍然守候在机房内对设备进行升级,每升级完毕一台设备就需要长时间的Ping等测试是否升级成功、网络可用性是否受到影响等。对于全网众多分支机构部署的多台上网行为管理设备的升级是否依然如此麻烦?尤其基于互联网升级一旦出现操作等失误将直接导致无法远程连接该设备,怎么办?
SC集中管理平台的智能升级功能已经为客户想到了。在SC上加载升级包,设定时间计划,并勾选需要升级的分支AC设备,SC将帮您自动完成,并通过实时监控模块显示被升级的分支AC设备的运行状态、是否在线等情况,极大的方便和简化了IT人员的工作量。
3.6 远程接入XX市教育局内网解决方案
3.6.1 便捷的远程接入访问
深信服 SSL VPN,是利用浏览器中内嵌的SSL协议,在移动客户端与总部的SSL VPN中建立一条SSL VPN通道。出差领导和员工、学校老师只需要打开浏览器登录相应的SSL VPN页面并通过认证,即可通过SSL VPN访问内网资源,不需要在终端上安装任何客户端软件。
深信服 SSL VPN支持B/S和C/S应用的单点登录功能,实现只需要通过SSL VPN认证,无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。启动了单点登录功能在成功登陆SSL VPN页面直接跳转到对应用的资源列表页面,对于B/S资源直接点击就可以进入,对于C/S资源,通过启用该应用的客户端软件就可以直接使用,大大提高了访问应用的易用性。
3.6.2 安全的远程接入访问
深信服 VPN对于安全方面的定义分为接入的安全、传输的安全、资源的安全、断开的安全四个方面进行全面的保障。
1.接入的安全:单纯的帐号密码认证容易遭到密码丢失、密码遭到破解等威胁,深信服 SSL VPN支持多种认证方式,提供比网银还安全的认证,包括短信认证、动态令牌卡认证、USBKey认证、CA认证等方式的“与”、“或”组合。支持与企业原有LDAP、RADIUS认证的无缝结合。
支持硬件特征码的终端绑定功能,并可通过客户端安全检查全面检测终端的应用系统、杀毒软件、防火墙、注册表、文件等信息,将SSL VPN的安全范围扩大到终端,避免由于终端的安全短板给内网资源带来的威胁。
2.传输的安全:深信服 VPN通过DES/3DES/AES/RC4等多种国际主流加密算法保证数据传输的安全。支持VPN专线功能,对于重要的如财务系统等应用,可设定特定用户接入VPN后自动断开其他一切的互联网连接,避免出现黑客以接入终端作为攻击内网的跳板的隐患。
3.资源的安全:深信服 VPN支持对特定用户、用户组进行资源的权限的划分,防止应用出现越权访问的情况。支持安全桌面功能(沙盒技术),将通过SSL VPN访问的应用置于该安全桌面中访问,访问时通过断绝本机、网络、外设通信保证应用访问过程中的数据不可拷贝到本机。当用户退出SSL VPN后,所有安全桌面内访问的应用数据将一并销毁,防止重要资源数据在终端的泄漏。
4.断开的安全:深信服 SSL VPN在用户结束访问并注销后,在终端同时会自动清除IE中的Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
3.6.3 快速的远程接入访问
深信服 SSL VPN融合了多种广域网加速技术,速度性远超普通的VPN,提供了网络的高速和高可用性。在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品,通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果。
首先是平均传输效率为130%的LZO压缩和GZIP压缩,深信服 SSL VPN内置了数据压缩算法,对所有的传输数据进行压缩之后、再传输,这就在无形中极大的提高了带宽。
深信服 SSL VPN采用了深信服 WAC加速引擎中专利 “基于码流特征的数据优化”技术,能够大大降低广域网传输过程中的数据流量,根据实际的测试最多时甚至能够将流量减少95%以上。区别于一般的缓存技术存在数据更新滞后等问题,基于码流特征的数据优化采用数据流cache加速技术,通过数据包分片标签机制并结合优化的模式匹配算法,在保证数据实时性的同时大大降低数据传输量提高访问速度。
中国环境中特有的移动、联通(网通线路)、电信3网并存的情况,3张网之间的传输存在着瓶颈问题。深信服 VPN独有的专利技术畅联技术(FLASH LINK),专门针对网络传输模式进行改进,消除运营商之间的传输瓶颈。
第二篇:深信服上网行为管理解决方案
有线无线网络 统一上网行为管理方案
东莞市广云网络科技有限公司
联系人:许应甫 *** 0769-89868856 QQ:35447664 地址:东莞市南城区第一国际D座1810室
2015年8月10日
第1章 需求概述
1.1 背景介绍
随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变:
网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务;
沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流,提升工作效率,获取资讯和知识,维系人脉关系;
移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作;
因此,在员工的日常工作中,ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。
1.2 上网行为管理需求
员工访问互联网的习惯正在发生变化,从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公,如果过度开放的上网环境会带来以下问题:
1.2.1 工作效率低下
网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。
所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
1.2.2 带宽滥用和浪费
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。
深信服科技版权所有www.xiexiebang.com 1 此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。
所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。
1.2.3 BYOD难管理
随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通过有线和无线网络,在不同的位置(办公座位、会议室等),接入企业IT系统。这种使用场景的多样化,让传统上网管理的手段,难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。
所以,IT部门需要基于用户角色、终端类别、使用位置、应用类别、时间等更多的元素,为员工不同的上网情景,制定更精细的网络管理策略,提升办公效率的同时,降低安全风险。
1.2.4 WLAN安全隐患
在一些没有提供Wlan的单位,员工为了便捷性,往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这给企业的安全策略管理带来的很多的管理漏洞。
所以,IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。
1.2.5 访客接入繁琐
企业组建WLan后,当有来宾访客需要上网时,要么直接开放,安全风险高,人员随意接入,无法定位身份;要么需要提前申请临时账号,管理复杂。
所以,组织需要一套使用便捷,即来即用,同时又能满足安全合规要求的来宾访客认证系统。
1.2.6 数据泄密
伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用,企业重要数据泄密的方式越来越多样,风险越来越高。在有意无意间,一个员工就可以轻易的把企业内部的深信服科技版权所有www.xiexiebang.com 敏感信息、高价值信息资产,外发的互联网上,给组织的公众形象、业务开展带来严重的风险。
所以,组织需要对员工制定严格、细粒度的互联网数据传输控制策略、合规审查策略,防止重要数据的泄密行为发生。
1.2.7 网络违规违法
企业内网用户在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良内容,都属于网络违规违法行为,企业或个人将承担法律责任。
所以,组织需要根据82令的相关要求,建立全面、完善的上网行为的合规审查机制,并建立严格的审查权限管理机制。
第2章 有线无线网络统一行为管理方案
结合上述的用户需求以及IT系统的现状,深信服可以为ISD提供一套完整、可视、智能联动的互联网出口安全解决方案。
深信服科技版权所有www.xiexiebang.com 3 2.1 方案整体概述
本次方案建议采用深信服上网行为管理设备AC1台,部署在如下位置:
互联网出口上网行为管理:部署深信服AC于互联网出口,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽控制策略。智能联动:
此外,互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让多台AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。
2.2 有线和无线网络统一上网行为管理
部署了深信服上网行为管理设备,为可以帮助ISD提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,深信服科技版权所有www.xiexiebang.com 4 还提升了用户上网的操作体验。
2.2.1 安全便捷的用户认证
为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。
2.2.1.1 内部员工认证:
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
2.2.1.2 外来访客认证:
为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要
深信服科技版权所有www.xiexiebang.com 5 求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
短信认证,来宾只需要输入手机号码,获得并输入短信验证码后,就可以获得上网权限。而且为了简化用户操作,与传统的短信验证相比,用户只需要点击3次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。
微信认证,访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量,更好的帮助组织推广品牌宣传。
二维码认证,访客认证页面会自动弹出一个二维码,只有内部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。
2.2.2 灵活细致的权限控制
深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
同时,AC还能够识别SSL加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。
2.2.2.1 多维度的灵活策略
为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控,深信服AC可以识别各种终端类型,包括windows、IOS、安卓、phone、pad等类型,还可以识别出用户接入网络的位置,包括有线、无线、办公位、会议室等等。
从而制定用户的上网策略时,可以从用户角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如用户角色A,在办公位置上使用PC接入,可以访问权限较多;但在接待区通过无线网络,使用iPad接入网络时,只有上网权限,不能访问内部安全界别较高的应用系统等。
2.2.2.2 移动APP管控
为了满足移动终端的管理需要,深信服上网行为管理系统可以针对数百种移动终端
深信服科技版权所有www.xiexiebang.com 的APP、云应用,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。
2.2.2.3 防止非法AP和代理
深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中员工私自架设的无线AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。
2.2.2.4 应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
2.2.2.5 加密应用识别
SSL(Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
2.2.3 合理有效的流量控制
深信服上网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
深信服科技版权所有www.xiexiebang.com 7 2.2.3.1 父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
2.2.3.2 P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题,AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP
深信服科技版权所有www.xiexiebang.com 协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
2.2.3.3 动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题,AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
2.2.4 全面精准的行为审计
深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的深信服科技版权所有www.xiexiebang.com 9 内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
2.2.4.1 实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
2.2.4.2 全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
2.2.4.3 网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
深信服科技版权所有www.xiexiebang.com 10
2.2.4.4 邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
深信服科技版权所有www.xiexiebang.com 11
2.2.4.5 IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
2.2.4.6 微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
深信服科技版权所有www.xiexiebang.com 12
2.2.4.7 SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
深信服科技版权所有www.xiexiebang.com 13
2.2.4.8 数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
深信服科技版权所有www.xiexiebang.com 14
对于BBS发帖,AC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
2.2.4.9 免审计Key 机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
2.2.4.10 日志审查Key 企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
深信服科技版权所有www.xiexiebang.com 15 第3章 方案优势
3.1 全面完整
无线有线统一管控:除了传统的封堵、流控、审计等功能外,深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险,提供了统一全面的管理功能:员工、来宾的统一接入管理,BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作,降低了管理难度。
3.2 细致精准
上网行为管理不是简单的对应用进行封堵,而是根据不同的管理需求来对应用进行限制。深信服上网行为管理能够对网络应用进行细分控制,如分别识别出网盘应用中的登陆、浏览、上传和下载等动作,根据企业中防泄密需求,实现允许浏览下载,同时禁止上传。通过细分控制,能够更细致的对员工的上网行为进行管理。
在审计方面,深信服上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
3.3 灵活有效
AC支持父子通道技术,最高可支持八级,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,由于通道具有父子关系属性,在后期维护中既能整体调整带宽,又能局部调节,带宽分配更灵活。
P2P应用具有强烈的带宽侵蚀特性,为了保护带宽资源不被滥用,必须对P2P流量进行控制。传统的流控技术对P2P应用不起作用,外网线路依然被占用,影响核心业务应用。通过深信服P2P智能流控技术,能够有效的从源端抑制P2P下行流量,使得核心业务应用有足够的带宽资源。
同时,AC具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升
深信服科技版权所有www.xiexiebang.com 16 带宽利用率,避免资源浪费。
基于用户、终端、位置、业务多个维度的策略管理,能够根据用户在不同位置,使用不同终端时自动匹配相应的上网管理策略,灵活性强,适用于每一种应用场景。
3.4 智能便捷
深信服的上网行为管理方案,与其他多厂商设备组合方案相比,可以让IT管理员维护更简单,用户使用更便捷: 智能联动:
互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。从而,也极大的减少IT管理员配置、运维工作量。
便捷简单:
AC的外来访客的二维码认证功能,不但省去了复杂的临时账号申请流程,提升了工作效率,还能提升来宾体验,增强对企业形象认可。
在应用管理方面,引入标签化的概念,对应用打上标签,通过选择标签来指定多个应用,而无须再一个一个的查找,使得应用管理更加灵活高效。
第4章 方案价值
4.1 提升工作效率
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。IM(即时通讯)聊天软件的管理
深信服科技版权所有www.xiexiebang.com 17 上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件,AC通过检测应用数据包的特征字段,实现对IM聊天软件的管控,提升工作效率。全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、网络游戏等问题,AC支持应用识别规则库,包含1500多种应用,对员工上网行为进行全面管理。上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
4.2 提高带宽利用率
多线路策略
AC支持多线路复用、带宽叠加技术(专利号:200310112006X),企业通过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单
一、死板的流控方法更有效的提升带宽利用率。带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报
深信服科技版权所有www.xiexiebang.com 18 表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
4.3 避免泄密和法律风险
在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
同时,上网安全桌面根据规则对本机文件数据进行了隔离,安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止,防止终端被木马入侵后文件信息遭窃取,从而帮助用户有效保护了敏感数据的安全性。
4.4 保障终端安全
防病毒、木马
内网用户在访问internet时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃,使员工无法正常工作。而如果在上网过程中使用上网安全桌面,则可以有效的防止这些病毒程序对本机造成破坏。
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。
同时,AC具有网关杀毒功能,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
深信服科技版权所有www.xiexiebang.com 19 拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网用户访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,使整个网络瘫痪。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
深信服科技版权所有www.xiexiebang.com 20
第三篇:深信服产品测试题汇总
深信服产品培训测试题
AC D3
一、选择题(多选)(4’*5=20’)
1.深信服上网行为管理产品具有以下几种部署方式()
A.网关部署 B.网桥部署 C.多机部署 D旁路部署 答:BD 2.AC对终端进行识别后,主要从以下几个方面来设置准入规则()
A.操作系统 B.进程 C.硬盘文件 D.注册表 答:ABCD 3.下列哪些是AC中流量控制的技术()
A.多线路智能选路 B.虚拟线路 C.八级父子通道 D.网页智能识别 答:ABC 4.AC具备以下哪些上网安全强化功能()
A.防火墙 B.网关杀毒 C.防DOS攻击 D.危险插件和脚本的过滤 答:ABCD 5.AC在旁路部署模式下,能实现以下哪些功能()
A.路由交换 B.用户身份认证 C.流量控制 D.上网行为记录 答:D
二、问答题(10’*5=50’)
1.AC主要用于满足客户的哪几个需求? 答:(1)控制带宽,提升上网速度(2)上网行为管理,提升员工作效率、增强组织竞争力(3)防止信息泄露,保障信息安全(4)避免网络违法违规、保障组织利益(5)预防安全威胁、优化上网环境
2.上网行为管理有哪几大功能? 答:(1)访问控制(2)带宽管理(3)监控审计(4)报表统计(5)上网安全强化 3.AC的认证方式有哪些?
答:本地认证、第三方认证、手工认证、透明认证、新用户认证。4.深信服上网行为管理识别能力强,主要体现在哪个方面?
答:(1)识别500多种网络应用,目前国内最大(2)识别SSL加密发帖和邮件等(3)网页智能识别,管理未知网页(4)识别自由门、无界浏览等各种代理
5.在上网安全强化方面,AC具备哪些功能? 答:(1)终端检查与准入(2)过滤脚本、插件(3)查杀木马、病毒(4)防DOS/ARP欺骗(5)防火墙与杀毒网关 6.AC有哪些型号,请从低端到高端列出,分别有几种部署方式,各种部署方式由什么特点?
答:AC共有9个型号,分别为M5000、M5100、M5100-P、M5400、M5400-P、M5500、M5600、M5800、M5900。AC的部署方式及特点如下:(1)路由模式:可以实现AC所有功能,对客户网络结构改变较大、内外网口不能在同一网段,可以自定义网口、支持802.1Q vlan协议。(2)网桥模式:客户已经有FW或路由器代理上网,需要用到AC做访问控制和监控,无需用到vpn,nat,dhcp等功能,并且希望不改变客户网络原有结构,AC可以平滑部署到网络中,即使设备宕机,对客户网络影响不大。(3)旁路模式:客户网络已经规划好,且网络很重要,用AC主要做审计及一些简单的控制功能。并且希望如果设备出现故障,不会对正常应用告宬任何影响。7.为什么说深信服上网行为管理产品是国内第一品牌?
答:(1)市场份额第一,超过6000家客户;(2)识别能力最强:网页智能识别、SSL加密流量识别(3)上网最安全:过滤脚本、插件、挂马网站,封堵木马、间谍软件等外联行为(4)管理最智能:风险智能报表、上网智能提醒、文件智能识别Key技术
AD 1.链路负载均衡的功能和价值?
答:(1)功能:上网流量优化、入站(外部访问内部)流量优化;实现链路间的互为备份、实现最佳链路的分配、同时实现链路访问的快速性和可靠性(2)价值:实现链路之间的冗余,保证访问稳定性
2.服务器负载均衡的功能和价值? 答:(1)功能:服务器负载均衡负载均衡来实现服务器间的互为备份、减少硬件投资成本,同时实现访问的快速性和可靠性(2)价值:解决单台服务器性能瓶颈、实现多台服务器之间冗余
3.单边加速技术价值以及适用环境
答:对外发布的应用系统,可能有一部分用户由于网络的问题造成访问速度慢,通过单边加速实现这部分用户无需安装客户端,即可提升访问速度。适用环境:(1)在不需要安装客户端的情况下需要提升用户的访问速度(2)特别是高延时、高丢包的网络情况下(3)对于跨国访问、跨运营商访问、3G访问的速度提升最为明显
4.深信服AD的差异化优势是什么? 答:(1)最快:①具备压缩、缓存、TCP连接复用、SSL加速等传统优化技术②独家具备单边加速技术,能够在不需要客户端安装任何软件或者插件的情况,提升用户的访问速度(2)最智能:①智能路由、DNS透明代理、链路繁忙控制提供最智能的链路优化技术②商业智能分析,提供网络和应用优化提供可视化智能管理③智能告警(邮件、短信),智能发现故障通知管理人员(3)二合一负载:①免费开通链路负载与服务器负载功能②直接开通压缩、缓存、TCP连接复用、SSL加速功能
5.AD具备那些性能优化功能,价值是什么?
答:SSL加速、内存Cache、HTTP压缩、TCP连接复用,价值体现在:(1)SSL加速,提供能SSL卸载技术,减轻服务器数据加解密的性能压力,提升访问速度、节省硬件投资(2)TCP复用、内存cache、http压缩等能够大幅减轻服务器的压力,提升用户访问速度,节省硬件投资
6.商业智能分析能做什么?给客户带来的价值是什么?
答:商业智能分析为用户的网络和业务提供可视化管理,能为客户带来的价值:(1)提供链路、系统的运行状况报表包含流量、会话数、访问次数等信息,为运行维护提供准确数据(2)能够分析用户群体的访问时间分布、地理位置分布、访问偏好分析,为高层商业决策提供决策依据
7.你认为当你在客户那听到什么消息时,意味着可能有AD销售机会。
答:(1)客户在大量的采购服务器(是不是在上新的系统)(2)客户要上新的业务系统(对稳定性有没有考虑)(3)客户对F5、Radware、Array(非SSL VPN)有采购意向(竞争对手,我们有没有机会替换)(4)客户要新建数据中心中心或者备份数据中心(稳定性的要求必定需要AD)(5)客户准备新增互联网链路(新链路准备用什么方式部署)(6)客户内部有抱怨上网速度慢(多链路情况下、排除P2P管理问题)或者是外部用户访问服务器慢
BM
一、选择题
1.以下哪些是缺乏流量管理的客户普遍存在的问题?
A.网络不可见 B.病毒易泛滥 C.带宽无管理 D.成本难回报 E.链路无负载 答:ACD 2.以下哪些是部署BM能为客户带来的价值?
A.网络透明 B.带宽高效 C.上网加速 D.安全代理
E.ROI高 答:ABE 3.以下哪些竞争对手的产品在没有和外部认证服务器结合的情况下,不支持用户名与流控策略的绑定?
A.Allot B.C.D.E.Bluecoat F5 MaxNet Juniper 答:ABD 4.以下哪些产品型号是BM不具有的?
A.M5000 B.M5100-P C.M5400 D.M5600 E.M5700 答:ABE 5.以下哪些行业是BM产品有销售机会的? A.政府 B.军队 C.金融 D.运营商 E.医院 答:ACD
二、问答题
1.BM产品的市场定位是什么?
答:核心定位:部署在客户专线网中的带宽管理设备,辅助定位:部署在客户互联网出口处的带宽管理设备。2.BM产品的主要竞争优势有哪些?
答:识别能力最强、带宽管理策略最细致、服务能力最强。3.BM专业带宽管理解决方案是如何运作的?
答:第一步:应用识别,第二步:流量分析,第三步:带宽管理,第四步:统计报告 4.在销售中BM产品与AC产品如何区别?
答:(1)“术业有专攻”:AC是专业的上网行为管理设备,更注重对上网行为管控和审计,而AC的流控功能只是给客户带来的附加功能和价值而已。反观BM,则以流量识别、流量分析、流量管理为主业,专注与解决客户的带宽管理、流量管理问题,更专业。(2)“BM性能更强”:AC本身上网行为管理的定位,价值在行为管控和审计等,导致AC性能比同型号BM有一定差距。而BM性能更强,处理能力可达双向2.6G(单向1.3G)。5. 在项目中BM产品可否与公司的其他产品融合销售?
答:可以,例如可以与我司的WAC加速产品融合销售,当客户专线中数据量大、交互型应用响应慢、语音视频效果不佳扩容专线带宽成本问题,或由于其他条件限制无法扩容带宽的情况下,便可以WAC削减专线内的冗余数据;降低专线内数据占用率;优化应用协议,提升交互型应用响应速度;WAC为专线节省出更多的空闲带宽资源,而BM为不同应用(尤其为语音视频)分配带宽(WAC的QoS基于IP、端口实现简单流控;而BM基于应用和行为实现精细化流控)。
IPSec VPN自测题
1.什么叫做VPN?相对于专线和互联网,VPN有什么优势?
答:VPN是指依靠ISP(Internet Service Provider互联网服务提供商)提供的公网线路(如ADSL、小区宽带等),建立专用数据通信网络的技术,是DDN、FR、ATM等专线技术的替代方式。相对于专线和互联网,VPN性价比高、扩展便利!2.请说明IPSec VPN技术的优势和不足之处。
答:优势:网对网的组网方式,可实现三级或多级组网,组网方式较为固定,适合机构间组网,用户透明访问,无需登录操作(移动用户仍需软件客户端)。不足之处:权限不可具体到用户,网络层完全开放,内网资源直接暴露给分支用户,不适用于手持移动终端。
3.判断一个客户有没有VPN需求应该从哪两方面来看?两方面组合什么状况下可以产生什么需求?
答:应从客户的网络联接方式及应用范围两方面来看,可以产生如下需求:连接各私有网络和私人用户、保护在公网上传播的数据、实现对专有资源的访问授权。
4.深信服IPSec VPN的产品竞争优势体现在那几方面?品牌和技术分别描述
答:品牌优势:IPSec VPN国家标准核心制订者,国家火炬计划VPN项目单位、率先通过公安部虚拟专用网安全技术要求第三级认证、雄厚的研发实力,专利拥有数量业内最多、连续5年市场份额第一,众多全国范围大客户的一直选择、众多奖项的一致认可、不断提供面向未来,并满足用户不同需求的VPN产品。技术优势:最快的VPN、最安全的VPN、最易用的VPN、面向未来的VPN。
5.IPSec VPN都有那些应用领域主要有哪几种?
答:应用领域主要有以下几种:大中型企业异地机构互联、大网中建小网、行业专网建设延伸、构建VPN备份网络、专线改造及替换。
6.列举写出IPSec VPN的型号系列 答:P5100、S5100、M5100、M5100-P、M5400、M5400-P、M5500、M5600、M5800、M5900。7.IPSec VPN选型的关键参数有哪些?对于不同型号主要选型标准是什么? 答:选型的关健参数是加密速度、并发隧道数。对于不同型号选型标准是网口、IPSec加密速度、并发隧道数、防火墙吞吐量、外型。8.深信服哪些产品线含有IPSec VPN模块? 答:深信服AC(上网行为管理)、SSL VPN、WAC(广域网加速)、SG(上网优化管理)都含有IPSec VPN模块。
9.IPSec VPN的畅联技术解决的是什么问题?
答:畅联技术优化了数据传输机制,在丢包率高达30%的情况下也能将丢包还原保证数据的传输质量!
10.硬件特征码绑定绑定的是什么东西?
答:绑定硬件的特殊属性(CPU、网卡、硬盘等设备ID)作为接入身份验证。11.Webagent是解决什么问题的?
答:由于动态IP地址(如ADSL接入)应用分布广、使用客户多,Webagent帮助分支与总部间自动发现并建立VPN连接。
12.IPSec VPN的SC集中管理有哪些平台?SC能管控什么东西?
答:SC集中管理平台是内部网,SC内置的状态监控功能, 能详细记录显示:在线网点信息、网点实时信息、网点异常信息、网点版本信息、VPN设备拓补监控、还可查看详细的SC设备的系统及操作日志。
SG 1. 写出SG的三个差异化优势点,及其说明。答:(1)上网加速效果最好:互联网带宽削减30%左右:以前10M带宽,现在7M即可,网页访问提速3倍左右:二次访问同一网页,用HTTP Watch测(2)部署最智能:可以支持网桥模式透明部署,无需更改内网配置,已经使用Proxy用户无需更改任何配置(3)单台设备加速性能最强:支持1G并发Internet流量,可缓存500M HTTP流量 2. ISA、Bluecoat的弱势分别是什么?
答:ISA的弱势是:性能差、稳定性差、上网加速效果有限、配置和使用复杂。Bluecoat的弱势是:性能较好未达到我司高端型号水平、性价比差同性能的BC设备价格是我司SG的3-5倍以上。
3. 写出不少于三个SG的目标行业/客户; 答:(1)人多、带宽小、速度慢的客户:如大型集团、教育行业等(2)金融类客户(3)政府客户(4)省/市移动公司
4. 什么是专业的上网优化网关?
答:专业上网优化网关必须涵盖“上网加速、带宽管理、上网安全”三大特性。5.我司最低和最高端的SG型号及其真实性能分别是多少? 答:最低端M3200-SG、最高端M8300-SG。
SSL VPN自测题
1.什么叫做VPN?相对于专线和互联网,VPN有什么优势?
答:VPN是指依靠ISP(Internet Service Provider互联网服务提供商)提供的公网线路(如ADSL、小区宽带等),建立专用数据通信网络的技术,是DDN、FR、ATM等专线技术的替代方式。相对于专线和互联网,VPN性价比高、扩展便利!
2.请说明SSL VPN技术的优势和不足之处。
答:优势:点对网的组网方式,二级组网、基于浏览器的访问,使用方便、适用于手持移动终端、权限划分可具体到用户。不足之处:二级组网,不适用于多级网络组网、应用单向访问,不适用于总部与分支都有业务系统的访问、用户终端需要登录操作。
3.判断一个客户有没有VPN需求应该从哪两方面来看?两方面组合什么状况下可以产生什么需求?
答:应从客户的网络联接方式及应用范围两方面来看,可以产生如下需求:大量出差在外的人员需要移动办公;希望第三方机构(有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构)也能用到一部分IT系统,但必须保证严格的权限分配和接入的安全性;偏远地区的分支,维护成本高,专线无法涉及或者设备维护成本高,需要一种简单便捷的接入方式。
4. 深信服SSL VPN产品优势有哪些?品牌和技术分别描述?
答:品牌优势:IPSec VPN国家标准核心制订者,国家火炬计划VPN项目单位、率先通过公安部虚拟专用网安全技术要求第三级认证、雄厚的研发实力,专利拥有数量业内最多、连续5年市场份额第一,众多全国范围大客户的一直选择、众多奖项的一致认可、不断提供面向未来,并满足用户不同需求的VPN产品。技术优势:最快的VPN、最安全的VPN、最好用的VPN、面向未来的VPN。
? 5.请列举SSL VPN的九大应用背景,并进行简要说明
答:
6.列举写出SSL VPN的型号系列?请解释SSL选型关键参数有哪些? 答:SSL VPN的型号系列有:M5100-S、M5100-S-P、M5400-S、M5400-S-P、M5500-S、M5600-S、M5800-S、M5900-S。SSL选型关键参数是SSL VPN加密速度、最大并发用户数。? 7.解释SSL VPN中最大并发用户数、账号授权和实际并发的区别? 答:
8.SSL VPN的用户认证方式有哪些?
答:用户名密码、CA认证、LDAP认证、Radius认证。9.SSL VPN的多线路技术解决的是什么问题?
答:智能选路优先选择速度快的线路建立VPN隧道,纯WEB版本下只有深信服设备可以实现智能选路功能,没有此功能,将无法在那些不能安装插件(如PDA和将来的无线终端)的环境下使用多线路功能。
? 10.SSL VPN集群最多能做多少台? SSL VPN集群能解决哪两方面问题? 答:
11.单点登录技术解释,给客户带来什么价值?
答:省掉手动输入大量密码所带来的麻烦、自动登录各种应用系统。
12.主从帐号绑定技术解释,给客户带来什么价值? 答:将应用系统账号与SSL VPN账号强制绑定以增强应用系统账号使用安全性,确保各用户只能以指定的应用系统帐号登录系统。加强应用系统认证、保障身份认证安全。13.硬件特征码绑定绑定的是什么东西?
答:绑定硬件的特殊属性(CPU、网卡、硬盘等设备ID)作为接入身份验证。
14.Webagent是解决什么问题的?
答:由于动态IP地址(如ADSL接入)应用分布广、使用客户多,Webagent帮助分支与总部间自动发现并建立VPN连接。
? 15.我们用户管理和管理员管理分别能做多少级的树形结构? 答:
WAC产品培训考试 ? 1.简述快速TCP实现的原理,以及改进了传统TCP协议中的哪个机制?
答:WAC“监听”TCP ACK消息,并管理广域网上的信息传输。这样,最终主机便认为远程服务端与它位于同一局域网,从而能够以更快的速度与加速平台互动。? 2.简述什么是HTP协议,以及HTP协议改进了传统TCP协议的哪些地方?
答:HTP:TCP可靠性和UDP高效性的结合,a.基于UDP的应用层协议,b.功能上类似于TCP面向连接、可靠的、全双工的数据流传输协议,c.采用新的拥塞算法。3.简述流缓存的工作原理。
答:流缓存是使用特征匹配的方式来搜索数据包的,当一个数据包到达的时候,通过一定的策略,从这个数据包里提出几个特征值来,与已有的特征库比较。如果有相似的特征值,则把相应的数据提出出来对比,如果一致,则将数据编码,把标签发到端,否则,将这个包的特征值保存在特征库中,供以后使用。
? 4.FLash-Link畅联技术主要用来解决什么问题? 答:
5.简述WAC的各种部署模式。
答:透明部署(串联模式、桥接模式)、单臂部署(并联模式)、网关部署(路由模式)、混合部署(前三种混合模式)、移动客户端部署(移动加速)、双机部署模式。? 6.移动加速客户端有哪两种?分别应用于什么情况下? 答:
7.WAC主要能对哪些应用进行加速? 答:CIFS加速、FTP加速、ERP/CRM加速、HTTP/S加速、Lotus Notes加速、POP3、SMTP加速、CAD/CAE/PDM加速、Exchange加速、DB(MS-SQL/Oracle应用加速)、数据灾备、基于TCP的应用加速。? 8.广域网构建安全的互联主要分为专线和VPN两种,请列出广域网加速产品在专线、VPN环境下有哪些应用? 答:
第四篇:深信服面试经验
9月份时深信服来到我们学校宣讲,听了宣讲会不仅觉得不仅工资高,福利好,更被深信服充满活力的文化所吸引。10月14日11点半收到了深信服的笔试通知,十五号准备了简历、成绩单去笔试,笔试题不是很难,因为深信服是前沿最大的网络设备供应商,所以笔试考了些计算机网络的基础知识,之前考过全国计算机等级考试四级网络工程师,所以很快把专业题做完了,剩下的行测题,也比较简单,深信服的工作效率有点高,10月15日晚上收到了面试通知,同样是要带上简历。
面试地点是再我们学校的行政楼里面,本来是16:30开始面试的,但是还是提前半个小时到达了现场。穿着定做的西装,踩着高跟鞋,感觉好正式,但是也很难受,因为穿上高跟鞋之后要比旁边的男生还高,难受啊,这感觉不好,开始考虑下次面试还要不要穿高跟鞋呀。好了~~~啰嗦了半天,终于开始面试了,无领导小组讨论,考官发了讨论题目,每人一份,不知考官是不是故意的,发给我的题目居然和其他组员的不一样,而且考官还问了一下是不是第四套,我硬是听成了第十套,直到小组成员两分钟陈述的时候才发现我的题目和其他人的不一样。哎~ ~~真是悲剧,我总是掌握不好群面的技巧,尤其是这种大公司群面时间长,而且很严格,本来就紧张的我更是不知所措。和考官换了考题,赶紧看讨论题目,劝告自己要放松,但是自己终究没放松下来,脸一下子红了,相当悲剧。论题大概是一家公司要拓展市场份额,扩大规模,有两种薪酬制度,讨论那种更好点。只恨自己讨论插不上嘴~~~ 又感觉自己不在状态,别人说的时候老是走神,下次前万不能这样了,带了电子表,但是没有用到。旁边一个女生带了手表,边讨论她边报时间,真是无语。
虽说一面没有通过,但是还是积累了几点经验:
1、一定要自信,不要紧张,面试官假装严肃,给你施压,所以千万不要上当;
2、讨论一定要积极,切不可过于沉默,发言要有条理,切忌啰嗦。只有战胜了自己心里的恐惧才能更好的说服别人,为自己加油!
祝愿所有找工作的童鞋找到自己称心如意的工作。本人拙见,抒己情怀罢了。
第五篇:深信服销售工程师
深信服-销售工程师笔初终试
这篇文章本来半个月前就该发表,一直在草稿箱存着,这段时间瞎折腾,到今天才发表。
时间过得真快,距离上次登陆已经过了一个多月了。进入11月份,也是应届毕业生找工作的黄金时期,虽然考研,但还是禁不住诱惑,去投了简历。深信服科技是我得到的第一个面试机会的公司,这是一家迅猛发展的公司,自我认为非常适合应届毕业生进去奋斗,待遇也非常可观,我应聘的是销售工程师。11月1日中午网投深信服,2日下午收到通知,3日去吉大经信楼去笔试。3日匆忙的就带着背个小包去参加笔试,4日小组讨论,5日上午老总面,晚上“鸿门宴”6日得offer。大致分为能力测试,行政测试,还有几个活的简答题。影响比较深的有两个。1个小时笔答时间,有6页题目,时间比较紧,有个简答题就随便答了下。
一、你到一家公司去推销东西,门上挂着“拒绝推销”。你该怎么办?
二、你有个笔记本,但由于屏幕太小,不能满足你学习的要求,所以想换个台式机,这时学校里面正好有个人有一台和你配置一模一样的台式机,但他不想换,理由有三点1.不习惯笔记本,2.不信任你,3.怕以后维修麻烦。你怎么说服他~
一、答:把产品先放好或最好不拿产品,然后进入,到前台去咨询这家公司的基本情况,带咨询过程中,通过对话和观察周围的环境,确认这家公司是否需要咱们公司的产品,如果需要,在咨询过程中表明自己的身份,如果不需要,在咨询完后不表明身份,然后走人
二、答:针对1:现在笔记本都可以接外设,大键盘,大鼠标等,但不建议你接这些外设,因为咱们都是大学生,将来工作的,接触更多的肯定是笔记本,如果那时候你才开始习惯笔记本,会很影响你的工作效率,多习惯一种东西肯定是有好处的针对2:咱们都在一个学校,抬头不见低头见,再说未来一年我还在学校待着,我们都是学生,怎么能未入社会就失去诚信,还有我是XXX学院学生会XXX,哥们实在信不过我,我可以让老师给你开个证明。
针对3:我这笔记本没用几年,未来两年硬件应该不会出什么问题,系统和软件如果出问题,我可以帮你解决。万一硬件出问题了,我这笔记本还有一年质保,就在本市买的,到时候直接拿去售后就可以免费维修,而且咱们学校去维修点很方便,出了校门坐XX路,到XX站下车就行了
笔试其他的题目就是性格测试和行政能力测试了,还有其他一些常见的简答题。这笔试很有质量,我喜欢。
笔试完,感觉自己答的不错,果然,在下午就受到了第二天面试的机会,在网上一查,是小组讨论,没参加过面试的我,硬着头皮就上去了。第二天讨论开始,一开始是自我介绍,一点经验都没有,还有点紧张,结果让罗姐提醒注意时间,糗啊,不过对后来的发挥没什么影响。介绍完,给我们题目,题目大致是这样:
有人说:满足感/欲望=成功或幸福,所以幸福是一个人独有的偏好。比如:一个家有儿女,儿孙满堂,儿女孝顺的老人,和李嘉诚是同样成功的。5分钟思考时间。
我的回答:首先我同意这种看法。这个公式中涉及到一个“定位”的问题,及公式中的欲望,所以一下的诉说中,我就用定位代替欲望了。满足感和定位可以说是一对相辅相成的关系,一个人定位低,那么他的满足感就容易达到,如果一个人的定位高的话,那么他的满足感就比较难实现,可见,定位对于一个人是非常重要的,那么,怎么才能正确的定位自己呢,我们就应该清楚的准确的认清自己,根据自己的客观条件准确的定位自己。而对于我们做销售的,正确定位尤其重要,如果我们定位过高,必然会给公司带来损失,如果我们定位过低,就不能给公司带来最大的效益。
我第一次回答的内容,等大家都发表完意见,我又结合大家的意见,在我原有的观点上补充了:定位应该分为生活和工作上的定位,这样才会有幸福和成功。这个公式可以循环看,感到成功或幸福,你的欲望就会膨胀即重新定位,重新感到不满足,然后努力,最后再感到成功或幸福,所以这就涉及到一个定位定位再定位的过程,激励着咱们往前发展。
感觉自己在整个将近一个小时的小组面试中,表现的很好,罗姐让我们在外面等,5分钟后,出结果,意料之中得到老总面得机会。
晚上恶补深信服的产品的知识,准备第二天的面试,等11点熄灯,12点上床后,夜深人静,心也特别静,在想我作为学生我看到的市场在哪,慢慢的理出头绪,早上5点多醒来,又把昨天晚上的内容回想了一遍,继续睡觉,睡到7点多,洗漱,穿着西服,从镜子里看看帅气的我,出发。
整个面试持续了40分钟左右,感觉自己已经被江总看透,我也把自己准备好的全都讲出来,在讲产品与市场的时候,感觉有点得瑟的感觉,但是那是自己精心准备的,一定要说出来,还有一些简历中的内容,都是自己做过的,答起来比较得心应手,但整个过程中,江总一直在打击我,提示我:有点紧张,也有3次。指出我很多毛病,面完之后,感觉自己肯定没戏了。一看表10点半多了,走吧,从吉大经信楼出来,直奔学校,因为今天是我们学校核对考研信息的一天,刚回到寝室,收到海信集团的下午两点的英文面试,但我还得感到核对信息那,没办法,打印出海信登记表,给了老杨,让她看着我简历帮我填,出去打个的,开始和时间赛跑,在车上用笔粗略着写着英文介绍,下车后,边读边背边走,核对完信息,立马往学校赶,老杨也给我填好了,一看时间,1点半多了,赶快往吉大赶,去了真好,开始英文面,整个过程英语口语表现的很拙,但对方都是中国人,语言就是用来沟通的,说的只要让对方知道自己的意思就行,面试完了还
和HR单独的进行了一次中文交流。
面完回到学校已经是4点半多了,身心俱备,滴水未进,习惯性的检查了一下邮箱和看了一下中华英才网已经是5点多了,感觉到一丝饿,泡个面吧,刚泡了面,吃一口,接到电话,深信服请我吃饭,当时高兴得我直接奔起来了,原以为自己没戏了。赶紧收拾自己,穿上正装,说实话,当时非常激动,久久不能平息,感觉自己这样不好,在校园里,很冷,走了会,让自己平静下来,顺便还给老杨去了个电话,等自己平静下来,出去打车直奔君怡大酒店,怀着忐忑的心,身怕自己说错话,这个吃饭过程中,我在江总身边坐着,言行举止都得注意的时候,真的很累。吃完饭已经9点多,10点半的时候接到罗姐的电话,恭喜你已经通过深信服的全部面试,明天早上10点到君怡酒店签offer。当时估计只有激动能形容我的状况。永远记得11月5日,那忙碌的,物有所值的一天。非常感谢罗姐,江总给我的这次机会,深信服好像我生命中的里程碑,之后海信的面试也很顺利,但我爱深信服,最后选择的仍然是深信服。罗姐人非常好,平易近人,而且声音很甜,非常佩服江总,超强的洞察力让我在他面前没有任何伪装,而且很年轻就当老总,使我们奋斗的目标。
第一次面试,结果很成功,面试完了后感觉自己也成长了不少,将整个过程写于此,以作纪念。接下来需要自己重新定位了,这次定位很难。
还是那三句话自我激励吧:长相平凡可以打扮出众;能力平凡可以自我提升;金钱不多缺有升值潜力。
——Conquer写了那么多,写点自己的生活吧,签offer后,日子过得舒坦,压力没以前大了,但生活中似乎带点灵异,半夜三点,寝室的大镜子摔落,砸到暖瓶,但镜子没碎,暖瓶暴了,惊醒梦中我,还以为有人从床上摔下来了,急忙开手电,一看,虚惊一场。前些天,梦到电脑坏了,早上一开机,果然坏了,拿去维修,过保3天,只好自己掏腰包,找个熟人,修吧,大家说你怎么没梦到彩票,我说,梦到得话对买彩票的人就不公平了,那些就成了“不义之财”,哈哈,老杨更是:说让我这段时间多加小心。日子一天天过着,马上国考了,自己也在参合着,复习不怎么样,重在参与吧。Over。打水吃饭去,下午得看书了,懒的很