第一篇:产品说明-天融信网络卫士上网行为管理系统TopGate-ACM
网络卫士上网行为管理系统
TopGate-ACM
产品白皮书
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦 100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-400-610-5119
+8610-800-810-5119 http://www.xiexiebang.com
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有
不得翻印
© 2012天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司
信息反馈
http://www.xiexiebang.com
目 录
1.互联网的负面影响........................................................................................................5
1.1 1.2 1.3 1.4 1.5 降低工作效率,增加投资成本..........................................................5 机密信息外泄,组织蒙受损失..........................................................6 滥用带宽资源,影响正常业务..........................................................6 病毒木马肆行,安全问题凸显..........................................................7 存在不当应用,潜藏法律风险..........................................................7
2.TopGate的价值体现.....................................................................................................7
2.1 提高工作效率,提高网络使用效率...................................................8 2.2 避免机密外泄以及法律风险..............................................................8 2.3 网络带宽管理,防止网络资源滥用...................................................8 2.4 丰富的统计报表,实现上网行为审计................................................8 3.功能实现......................................................................................................................9
3.1
3.1.1 3.1.2 3.1.3 3.2
3.2.1 3.2.2 3.2.3 3.3
3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.4
3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 3.4.10 3.4.11 3.5
3.5.1 3.5.2 基础模块..........................................................................................9 路由功能..........................................................................................9 防火墙功能......................................................................................9 防DDOS攻击..................................................................................9 接入管理..........................................................................................9 认证/授权/计费.................................................................................9 即插即用........................................................................................10 IP/MAC/VLAN ID绑定..................................................................10 流量管理........................................................................................10 基于应用类型的带宽策略...............................................................11 基于用户或用户组的带宽策略........................................................11 基于不同优先级的带宽管理策略.....................................................11 根据数据传输方向控制带宽............................................................11 通过控制连接速率控制带宽............................................................11 通过控制连接数控制带宽...............................................................12 行为管理与审计.............................................................................12 WEB 访问控制.................................................................................12 外发信息及邮件审计控制...............................................................12 地下浏览记录.................................................................................12 即时聊天监控.................................................................................12 FTP/HTTP 传输审计........................................................................12 P2P 协议监控.................................................................................13 网络游戏审计.................................................................................13 股票软件监控.................................................................................13 网络电视监控.................................................................................13 异常网络流量监控..........................................................................13 审计设置........................................................................................13 丰富的统计报表,实现上网行为审计..............................................13 翔实的网络全局报表......................................................................13 全文检索........................................................................................14
© 版权所有北京天融信公司
3.5.3 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 报表定制........................................................................................14 专业OS自主知识产权的操作系统..................................................15 USAP高性能的数据通讯平台.............................错误!未定义书签。专家会诊系统(Expert Consultation System)......错误!未定义书签。零拷贝技术(ZERO-COPY 技术).....................错误!未定义书签。高可靠性........................................................................................15 DPI与DFI相结合数据分析技术.....................................................15 层进式设计....................................................................................16 分角色管理....................................................................................17 即插即用........................................................................................17 准确完善的URL分类库.................................................................17 定期更新URL库及应用库.............................................................18 4.产品优势....................................................................................................................15
5.产品部署........................................................................................错误!未定义书签。
5.1 路由或网桥部署模式..........................................错误!未定义书签。5.2 旁路部署模式.....................................................错误!未定义书签。
5.3 集中管理的部署模式..........................................错误!未定义书签。
6.产品规格........................................................................................错误!未定义书签。产品资质...........................................................................................................................18
© 版权所有北京天融信公司
1.互联网的负面影响
1.1 降低工作效率,增加投资成本
根据中国社会科学院社会发展研究中心2005 年中国5城市互联网使用状况及影响调查报告的结果显示,被访网民使用最多的网络资源是网络新闻(65.9%),而真正用于学习和工作的比例还不到40%。图2显示网络资源使用的分布图:
图2.互联网使用情况
由此我们根据用户上网时间和人力成本计算,如下表:(此表假设员工上班为8 小时工作日,每月20 个工作日)
© 版权所有北京天融信公司
图3.工作效率减低损失计算
1.2 机密信息外泄,组织蒙受损失
组织内部重要资料和秘密资料通过网络的Web、Email、QQ 和MSN 等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患: 对于政府、事业单位以及其他公共服务单位,如果互联网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降; 对于公司企业,互联网管理的缺失会有可能导致企业重要及机密信息外泄,一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的;
对于网吧和酒店等公共场所,由于浏览非法网页和信息,也给网吧和酒店等场所的管理者带来潜在的法律、道德等经营风险。 对于运营商或网络服务提供商而言,屏蔽非法言论以及不良信息是对社会应尽的义务,而且政府对此有明确要求。
1.3 滥用带宽资源,影响正常业务
当前的互联网存在种类众多的应用,基于前面的分析我们会发现,组织成员在使用互联网时更多的是进行娱乐活动,如网络电视、P2P下载等;诸如此类的使用会严重消耗组织的网© 版权所有北京天融信公司
络带宽,正常业务通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善。
1.4 病毒木马肆行,安全问题凸显
高风险网站导致病毒、木马、流氓软件在内网散播,造成无法正常的使用网络。研究发现:众多的互联网访问都存在被恶意软件入侵的可能,BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦;严重者会在组织网络中传播木马病毒,导致组织信息外泄;更严重者不仅会导致信息外泄,更能导致组织网络瘫痪,无法正常使用互联网。
1.5 存在不当应用,潜藏法律风险
调查发现,在日常互联网的使用中,存在以下较为普遍的现象: 黄赌毒是非法互联网使用的主要方面:P2P搜索、非法网站访问、非法传播不健康的信息等,非法的信息传播极大的恶化了互联网环境; 不当言论的发表,会给组织带来不必要的法律风险。很多互联网使用者在自觉与不自觉中会在互联网上发表诸如反动言论、色情、反政府、邪教等,给所在的互联网部门带来潜在的法律风险;
员工黑客的存在,也会给组织带来新的法律风险。
我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动,详情请参考我国公安部门的相关发文。以上所述的非法互联网活动如果不加管理,将会给所在的组织带来极大的潜在法律及道德风险。
2.TopGate的价值体现
天融信的 TopGate-ACM系列上网行为管理系统是专门针对上网行为而设计开发的网络行为分析和管理工具,帮助管理者全面了解员工上网情况和网络使用情况,提高网络使用效率和工作效率,最大限度地避免不当的上网行为带来的潜在风险和损失。
TopGate-ACM上网行为管理系统是天融信互联网管理解决方案的核心,作为完全拥有自主知识产权的上网行为管理系统,集成先进的软硬件体系构架,配以先进的行为分析,控制引擎、灵活多样的管理控制策略,实时分析网络活动,匹配管控策略,并生成丰富的统计报表。能够满足企事业单位、政府机关、金融电信、石油能源、学校教育行业等各种Internet 互联网使用单位的网络行为监控需求。
© 版权所有北京天融信公司
2.1 提高工作效率,提高网络使用效率
TopGate-ACM上网行为管理,可以对所有与工作无关的应用进行设置,例如阻断QQ,网络游戏,网络电视,炒股软件等应用软件,上班时间只能开展与工作相关的业务。而且,天融信提供了针对网络站点的分类,在经过严格、准确的站点分类的基础上,天融信-ACM能够准确的识别各种分类站点,并能够根据用户的策略对不允许访问的站点进行屏蔽,从而保障工作效率。
2.2 避免机密外泄以及法律风险
为避免内部人员将单位的机密信息泄露以及在互联网上发表不法言论,TopGate-ACM对所有外发信息进行详细地监控和记录,监控的外发信息包括BBS发帖、邮件、MSN聊天,博客等,如果外发信息中包括非法内容,则进行阻断。
同时用户所有的外发信息都会一一记录,保存在本地磁盘,以供管理者在需要时提供必要的司法依据。
TopGate-ACM提供了对非法事件的报警功能。根据用户设置的非法事件定义,TopGate-ACM能够
3.功能实现
3.1 基础模块
网络行为管理系统采用数据包过滤的方式,对内外网络的交换数据进行必要的审查和过滤,能够有效的减低网络内部的安全风险。其中包括路由功能、轻型防火墙功能和防DDoS攻击功能。3.1.1 路由功能
产品内置静态与动态路由功能,在网络接入环境中可以实现路由,从而协助用户达到节省投资简化管理的目的。3.1.2 防火墙功能
通过建立访问控制列表(ACL),限制和管理内网用户和外网的访问请求,同时能够禁止外网用户到内部网络的病毒和黑客攻击。3.1.3 防DDOS攻击
采用了数理分析统计的概率和随机过程概念,不基于特定规则的防DDOS攻击能够可防御各类DOS和DDOS攻击及其变种,如SYN Flood、UDP Flood、(M)Stream Flood和ICMP Flood、Ping of Death、Land、Tear Drop、WinNuke等。保护内部主机和网络的安全和服务的连续性。另外,通过网络地址转换(NAT)功能,能够有效地隐藏内部的网络结构和内部网络地址,从而也提高了网络的安全性。
3.2 接入管理
3.2.1 认证/授权/计费
网络的使用是基于账号和密码的认证方式,用户只需在web页面中输入用户账号和密码通过网关的认证,便可使用网络资源。为确保用户能够查询使用网络资源的情况,还提供一些附加功能,如即时查询使用时间、流量等费用信息。认证:
网关把用户的账号、IP、VLAN ID、MAC地址进行三层绑定,以此确保了用户的唯一性,避免了账号的盗用。
网络行为管理综合网关提供了简单方便的认证方式便于用户的接入网络:
© 版权所有北京天融信公司
1)用户上网前的认证采用Web页面登陆的方式,用户上网只需要三步:连接网线、启动计算机和打开浏览器,网络行为管理综合网关将用户强制连接到设定的访问页面,输入用户名和密码进行用户身份认证,无需下载客户端软件和更改用户端设置,即插即用,非常方便用户的使用。
2)当用户通过系统认证后,在一段时间内无需再次认证,插上网线就可以继续使用网络,同时网关也对该用户进行计费,不需要硬件的支持。
3)用户还可以通过网页来查看上网的时间和流量等网络使用的信息。
4)方便的退出机制,用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。授权:
用户通过输入用户名和密码之后,用户的认证信息将通过加密的方式发送到多功能网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的授权使用网络资源。
根据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长。计费:
对用户的计费是基于多种策略的,包括时间段、流量、时长优惠、流量优惠、包时包月等等。可以根据用户的需要选择基于时间、流量、包时、费用封顶等多种灵活的计费方式,并可打印完善的收费账单,或者提供与其它管理系统的接口数据以形成整体的计费管理系统。3.2.2 即插即用
网络行为管理综合网关是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式还是用户已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS和DHCP等任何参数)即可上网。极大的简化了网络的管理,提高了网络的可靠性。3.2.3 IP/MAC/VLAN ID绑定
系统支持地址和端口绑定,采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式,能够防止用户的账号被盗用,同时也保证用户使用网络的统计信息更加准确。
3.3 流量管理
TopGate-ACM 上网行为管理系统是以应用为基础,以优先级为条件,辅以连接数、连© 版权所有北京天融信公司
接速率以及传输方向进行带宽管理策略设置。合理的策略设置能够使当前的网络为更多的网络用户和应用服务,并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,保证关键业务和正常业务的畅通。网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。3.3.1 基于应用类型的带宽策略
TopGate-ACM 上网行为管理系统可以基于应用对带宽进行管理策略设置。系统可以准确分析数据的协议类型以及应用类型,通过带宽策略的设置,准确限制各业务、各应用的带宽使用权限。使得网络使用者能够根据需要,区分主要业务与次要业务等网络应用,有效保证对关键业务的网络带宽的需求,使得网络资源使用更加合理,有效提升网络使用效率。3.3.2 基于用户或用户组的带宽策略
TopGate-ACM 上网行为管理系统既可以针对不同的用户组设置带宽,亦可针对单独的用户进行带宽设置;从而实现不同属性的互联网使用者按需使用网络资源,保障网络资源得到合理的使用。比如,保证领导视频会议、邮件等应用的带宽而限制员工P2P下载、在线视频等应用的带宽等等。3.3.3 基于不同优先级的带宽管理策略
通过设置不同的优先级,优先保障关键业务的带宽占用,使得每组用户中的非关键应用在保障核心关键业务顺畅运转的基础上可以使用部分网络带宽,从而最大程度的提升网络利用率。
例如组G1加应用A1中可以将同一个组而不同的应用进行分类,并设定优先级,从而确保关键应用/关键使用人的带宽使用保障。通过用户及应用的带宽管理优先级设定,还可以将非关键业务纳入到管理范畴之内,使得网络内部各种流量都可管可控。3.3.4 根据数据传输方向控制带宽
考虑到当前一些上传、下载量及不均衡的应用,TopGate-ACM能够分别制定组内或者全局的上传带宽控制、保障策略和下载带宽控制、保障策略,从而既保障了网络用户使用网络的基础接入能力,还能通过对非关键应用的控制来保障核心业务不受干扰。3.3.5 通过控制连接速率控制带宽
TopGate-ACM 上网行为管理系统的带宽管理中还可以通过连接速率的限制来进行带宽控制:即控制用户每秒发起的连接数来限制用户所能进行成功建立连接的个数,从而达到通过控制连接数来实现对其所使用的应用的带宽管理。
© 版权所有北京天融信公司
3.3.6 通过控制连接数控制带宽
TopGate-ACM还能够通过控制用户的连接数来进行用户的带宽控制。众所周知,连接数越多,其可能占用的带宽越大,尤其是在目前常用的P2P下载中,限制连接数是限制P2P下载带宽效果比较明显的措施之一。
此外,还自定义网络应用,通过对地址端口等数据的登记可以完全实现对客户自有业务的保障。
3.4
3.4.1 行为管理与审计
WEB 访问控制
记录用户访问的URL 地址。系统采用URL 智能过滤算法,滤掉浏览器自动访问的URL地址,仅记录用户实际点击的URL地址,保证记录的有效性。 强大的URL分类库、支持自定义的URL分类。
基于网站分类、URL关键字、网页内容的URL控制策略。 实时查看用户访问的URL地址。3.4.2 外发信息及邮件审计控制
表单的自动分类(如登录、邮件、BBS 等分类)和统计。
支持对发件人、收件人、标题内容、正文内容、附件名称、邮件大小的审计,邮件内容和附件的下载。3.4.3 地下浏览记录
记录用户使用代理软件(如无界、自由门、花园等)所进行的网站访问的记录。3.4.4 即时聊天监控
支持目前主流的聊天工具,包括MSN、QQ、Fetion、UC、POPO、淘宝旺旺、雅虎通、ICQ、Skype等,记录聊天帐号、上下线时间、聊天持续时间、聊天内容、收发动作等信息。 记录MSN、ICQ、飞信、雅虎通等的有关文件上传、下载的动作,提供本地下载审核。3.4.5 FTP/HTTP 传输审计
记录FTP 登陆帐号、密码、服务器IP 地址。
记录传输文件的时间、文件名称、传输方向、大小等信息。 记录HTTP下载的文件名、时间等信息。
© 版权所有北京天融信公司
3.4.6 P2P 协议监控
记录BitTorrent、eMule 等P2P 协议带宽使用情况。3.4.7 网络游戏审计
记录网络游戏的在线开始时间、结束时间、游戏时间段等。3.4.8 股票软件监控
记录用户开始使用炒股软件的时间、用户IP等信息。 可对炒股软件的使用进行控制(阻断或限制)。3.4.9 网络电视监控
记录用户使用网络电视的开始时间、结束时间以及所使用客户端等信息; 可针对网络电视自主的设置管理规则:或限制在某一时段开启、或彻底阻断。3.4.10 异常网络流量监控
实时监控网络流量状态,例如针对内网ARP流量的监控;
统计警告网络中的异常流量,例如网络内部的异常ARP状态,并给出异常流量告警。3.4.11 审计设置
用户黑白名单:所有规则设置中优先级最高。白名单中的用户可以设置是否审计,黑名单中的用户无法访问网络,并可设置列入黑名单的时间长度。
URL黑白名单:优先级仅低于用户黑白名单。白名单中的网址可以设置是否记录,黑名单中的网址,可以设置是否生成报警信息。
协议黑白名单:优先级低于用户、URL黑白名单。可对白名单中的协议设置是否记录,黑名单中的协议进行报警信息设置。
应用规则/内容规则设置:优先级低于用户、URL、协议黑白名单。可具体针对应用,IP,时间,优先级等设置策略。
全局审计规则:优先级最低。对全局数据是否进行记录的设置。
3.5
3.5.1 丰富的统计报表,实现上网行为审计
翔实的网络全局报表
用户行为:基于网页浏览、网页提交、SMTP、POP3等应用的访问记录报表; 流量分析:基于累积流量最大应用排名、流量时间走势、累计流量最大用户排名、累计© 版权所有北京天融信公司
流量最大组排名、流量对比报表; 时间走势:基于流量时间走势、WEB时间走势、BBS时间走势、收发邮件时间走势、聊天消息时间走势、其他应用时间走势; 用户统计:基于累计流量最大用户排名、访问网站最多用户排名、发帖最多用户排名、收发邮件最多用户排名、IM消息数最多用户排名、其他应用最多用户排名、报警最多用户排名; 组统计:基于累计流量最大组排名、访问网站最多组排名、发帖最多组排名、收发邮件最多组排名、IM消息数最多组排名、其他应用最多组排名、报警最多组排名; 应用排名:基于站点类别排名、发帖站点排名、邮件类型排名、IM类型排名、其他应用类型排名; 网站访问:基于站点类别排名、WEB时间走势、请求站点排名、访问网站最多用户排名、访问网站最多组排名、WEB对比报表; 论坛发帖:基于发帖站点排名、发帖最多用户排名、BBS时间走势、发帖最多组排名、BBS对比报表; 邮件收发:基于邮件类型排名、收发邮件最多用户排名、收发邮件时间走势、收发邮件最多组排名、邮件信息对比报表; 在线聊天:基于IM类型排名、IM消息数最多用户排名、聊天消息时间走势、IM消息数最多组排名、IM对比报表; 其他应用:基于其他应用类型排名、其他应用最多用户排名、其他应用时间走势、其他应用最多组排名、其他应用对比报表; 对比报表:基于IM对比报表、WEB对比报表、流量对比报表、邮件信息对比报表、BBS对比报表、其他应用对比报表; 3.5.2 全文检索
利用系统剩余资源进行全文检索,保障设备高效稳定运行,检索进度条查看检索完成情况,方便管理。3.5.3 报表定制
定时将报表发往设定邮箱,在无法登录系统的情况下,便于审计数据的查看,同时信息得以保存,可作事后取证。
© 版权所有北京天融信公司
4.产品优势
4.1 专业OS自主知识产权的操作系统
专业 Operating System(专业OS)是天融信科技自主知识产权的操作系统。它是天融信高速数据通讯平台(USAP)的核心部分,借鉴了成熟的Linux 2.6内核,采用模块化设计和并行数据处理理念。具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化、标准化等特征。
专业OS能够支持多种硬件平台,如NP、ASIC、多核等,其核心的专家会诊系统(ECS)把传统的串行数据处理方式优化为并行处理模式,通过系统策略配置各个功能模块,可以实现全方位的需求满足和安全控制,保障了系统安全快速的运行。
4.2 高可靠性
作为多用途的网络行为管理系统如果以路由或桥接模式接入到网络中时,难免会存在造成网络单点故障的风险,鉴于此,天融信网络行为管理系统提供如下解决方案以降低风险: 硬件采用By-Pass设计,避免产生网络中断
系统方面采用高可靠性的HA设计,TopGate网络行为管理系统具有双机热备功能
4.3 DPI与DFI相结合数据分析技术
普通的报文识别技术
DPI: 即“Deep Packet Inspection”,称为“深度数据包检测”。
DPI不仅分析IP包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型),而且还增加了应用层分析,识别各种应用及其内容,如下图所示:
DPI技术
© 版权所有北京天融信公司
DFI:即“Deep/Dynamic Flow Inspection”深度/动态数据流检测技术.DFI技术采用的是一种基于流量行为的应用识别技术,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。
鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显,而DFI在对新应用和加密协议的识别方面有一定的优势。天融信采用了以DPI分析技术为主,传统普通报文分析和DFI技术来处理分析加密应用协议为辅的方式综合分析数据包,综合分析应用层特征值和应用协议行为;UDP/TCP 端口、端口范围和端口列表;IP 地址、地址范围、子网或主机列表;MAC地址;VLAN标签、MPLS 标签、IP PRECEDENCE、MPLS EXP;传输方向等。以此来达到精确分析应用和协议的目的。
4.4 层进式设计
接入管理:
当客户需要接入网络时,对客户进行识别,确定用户的合法身份。网络的使用是基于账号和密码的认证方式,用户只需在web 页面中输入用户名和密码,用户的认证信息就会通过加密的方式发送到网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的用户权限返回对应的用户或用户组,用户将根据得到的授权使用网络资源。权限管理:
© 版权所有北京天融信公司
跟据不同的用户和用户组,设定用户的上网权限,包括用户上网使用的计算机,用户接入网络的IP 地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长等等。应用管理:
在权限管理基础之上,进一步精细的针对网络应用进行管理,例如:针对P2P下载以及下载速度的权限管理、针对Email收发的权限管理以及针对聊天工具的使用权限的管理等。从而实现对用户流量的管理。内容管理:
对用户网络应用的内容进行识别并管理。比如对BBS、BLOG、论坛、社区等网络发帖的内容进行记录;并可针对关键字报警以及阻断发帖;对使用MSN、ICQ、飞信等网络聊天软件进行聊天的内容进行关键字过滤以及报警,防止非法信息传播,同时还对这些聊天内容进行加密保存,必要时可提供给安全部门作为司法证据。
4.5 分角色管理
TopGate-ACM 上网行为管理系统还具有多角色管理划分的特性,灵活地按用户角色或者分组对用户上网行为进行有效控制,不但支持分级多用户管理和集中式管理,还应支持多权限管理。
不同的管理账号具备不同的管理权限,比如普通的浏览权限和全局的配置权限等。另外,它还具备很强的权限体系,敏感数据必须只有特别授权的用户才能使用,以防止系统本身造成信息的泄密。
4.6 即插即用
TopGate-ACM是真正的即插即用设备,能够实现用户端即插即用,不论用户采用的是自动分配IP地址的方式,还是已经设定好了网络适配器的网络IP地址等参数,都无需修改这些参数(如IP、Mask、Gateway、DNS 和DHCP等任何参数)插上网线即可上网。极大的简化了网络的管理,提高了网络的可靠性。
4.7 准确完善的URL分类库
系统中集成了默认的URL分类库,这些分类库是根据中国的当前情况而进行了合理的采集及分类,符合我国用户的网络使用环境的需求。目前URL分类库已进行准确分类的域名达到500余万条,是由天融信公司组织专门的团队进行人工分类的,并参照国内专业机构所提供的专业数据,分类结果较为准确,所涵盖的URL地址类型也较为全面,基本覆盖了在国内用户中有一定访问量的URL地址。
© 版权所有北京天融信公司
4.8 定期更新URL库及应用库
为保证URL分类库的准确性及实时性,系统会定期更新URL分类库;由于系统是基于应用对数据进行分析的,因此在当前诸如MSN、QQ等即时聊天软件,钱龙、大智慧等股票软件以及P2P下载软件等等的应用特征码不断更新的情况下,也会定期更新系统的应用协议库,以保证对所有网络应用的准确识别。
产品资质
◆ 公安部颁发的《计算机信息系统安全专用产品销售许可证》
◆ 国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 ◆ 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
声明:
1.本文档所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信不另行通知。
© 版权所有北京天融信公司
2.本文档中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。
3.本文档中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。
4.本文档中提到的信息为正常公开的信息,若因本文档或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。
© 版权所有北京天融信公司
第二篇:中小企业上网行为管理系统
中小企业上网行为管理系统一、中国中小企业基本情况
根据国家统计局最新数据显示:目前工商注册登记中小企业占全部注册企业总数的99%。中小企业工业总产值、销售收入、实现利税分别占国家经济总量的60%、57%和40%;近年来的出口总额中,有60%以上是中小企业提供的。
根据iResearch艾瑞市场咨询最新发布的《中国中小企业B2B电子商务研究报告》数据显示,2009年中国中小企业总数为4351.8万家,他们中的大多数是非公有制民营企业。在宏观经济环境发展良好、全球经济逐渐复苏等诸多有利因素的推动下,预计未来可见的5年内,中国中小企业数量仍将连续增长,预计2012年国内中小企业总数将突破6000万大关。
二、中小企业最关注的网络问题
过去企业的网络安全可以依靠公司的规章制度和员工自觉来维系,但是随着企业规模的扩大,网络的广泛应用,企业办公网络作为企业发展必备的组成部分,正在发挥越来越大的作用,但是随之而来的企业办公网络有效管理和信息安全问题也日益变得尖锐。企业内部员工在办公时间浏览与工作无关的网页、下载视频和其他大容量文件、频繁使用QQ等即时通讯、在线游戏,不仅降低了工作效率,占用了大量的带宽资源,还对公司其他员工造成负面影响,企业的规章制度的威慑力也受到严峻挑战。
据有关数据显示:中国员工每周多花7.6小时来使用IM、玩游戏、P2P或流动媒体;员工上网下载音乐方面比拉美高16%;上网进入聊天室和玩在线游戏两方面分别比其他国家高约8%和12%;在同为发展中国家的印度,只有26% 员工上网浏览个人信件,而在中国,这个数字是60%!可以想象假如A紧张的盯着大盘、B眉飞色舞的聊着QQ、C完全沉浸于《魔兽世界》、F在网上淘着新款包包,G在QQ空间倾诉着情感,还有不少人浏览着各种各样与工作无关的网站,对企业而言是多么可怕。
当前,中小企业正逐渐从小规模、松散型、地区型到规模化、规范化、跨区化、国际化方向发展;在这个转型和发展的过程中,需要通过VPN连接总部与分支机构之间的业务往来,需要通过ERP(企业资源计划)系统突破以往商业和供应链管理模式,提高供应链效率、规范化财务往来与结算、物流和客户服务;需要通过CRM(客户关系管理),建立更优质的客户关系管理,从而使客户价值主张得以实现;需要通过OA(办公自动化)系统会使中小企业的制度化、流程化进程更加规范和严谨。为了保证这些系统顺畅地运行,网络的高效性、安全性便成了中小企业重点关注的问题。
另外,中小企业在发展期,“开源节流”将是企业成功法宝,在满足企业网络需求的同时,较低的购置成本与维护成本也是中小企业不会忽视的问题。
综上所述,中小企业面临主要的网络问题归纳为以下5个方面: ◆ 能否让员工日常上网行为在掌控之中? ◆ 能否为基于VPN的关键应用加速? ◆ 如何保证企业网络是高效的?
◆ 能否最大程度确保关键应用与日常应用安全? ◆ 能否满足易维护、易管理和总体拥有成本低的渴望
三、中小企业网络问题应对策略——IP-COM为迈向卓越的中小企业而量身定制安全可管理、易维护的高效能网络应用基础平台
当今大多数成功的中小企业,他们成功的关键首先是正确的选择了最终用户和细分市场,制订并实施了相应的企业战略。在公司内部流程和组织成长层面,先进的IT技术融入中小企业关键流程成为构建其核心竞争力重要手段,而IP-COM正是根据中小企业的这一成长特征和其关键业务流程提供量身定制的高效能、安全可管理、高可靠性、易维护、低总体拥有成本的网络应用基础平台。使转型与发展中的中小企业中脱颖而出,在应对竞争与机遇中成为赫赫有名卓越的公司。
(1)、针对能否让员工日常上网行为在掌控之中的问题,IP-COM R系列为中小企业量身定制了应用威胁管理系统
可全面掌控办公室员工上网行为,让日常办公效率大大提升,员工更专注于本职和个人产出,更加注重彼此间的有效沟通,更快速地达成目标一致,使组织协调与执行力达到了前所未有的高度
■ 禁止网游杜绝炒股封闭视频网站;
IP-COM R系列上网行为管理路由器能够有效禁止包括《魔兽世界》、《传奇》、联众、QQ等互联网游戏或基于WEB的各种网页游戏;禁止Pplive、新浪、优酷、土豆、天线、迅雷等在线视频运行或显示; ■ 组合策略限制或禁止QQ、MSN、阿里旺旺等IM聊天软件
IP-COM R系列上网行为管理路由器可从根本上杜绝办公室员工使用QQ、MSN、阿里旺旺、IM软件聊天等现象,通过制定规则,允许特权IP群体可以使用这些软件。■ 阻止访问与工作无关或包含威胁或色情网站;
通过设置Url过滤和关键字过滤,可以阻止员工在工作事件访问一些与工作无关的网站,这些设置能极大的减少企业内网感染病毒、木马及遭受攻击的可能; ■组合策略限制或禁止P2P软件
IP-COM R系列上网行为管理路由器改变了以往通过简单封端口和封服务器IP地址的方式不能有效封堵P2P软件的缺憾,通过组合策略限制BT、eMule和讯雷等P2P软件;保障最小带宽、限制最大带宽、限制最大连接数等方式的弹性带宽控制组合,避免因少数人滥用带宽而导致的其他用户办公效率下降和链接失败;
(1)、全面邮件监控功能,因邮件而导致的商业泄密;
2)针对能否为基于VPN的关键应用加速问题,IP-COM R系列为企业关键业务加速建立了管理及优化中心
■ 多种VPN效能、安全特性按需订制
IP-COM R系列中小企业解决方案融合多种VPN特性,从PPTP到IP-Sec再到SSL和MPLS,适用于各种规模和发展阶段中小企业对关键业务效能和保密性的需求,并易于扩展,同时,多种安全加密算法和完善简单的管理和设置界面不仅能保证企业基于VPN的关键业务高效能稳健运行,更保证了安全性; ■ VPN应用效能加速能力
IP-COM R系列上网行为管理路由器均具备从软件算法到硬件级加速的优化VPN应用加速能力,作为专用硬件平台,根据中小企业对效能及成本的平衡需求,R系列采用从400MHZ单核——1.3GHZ高效能多核CPU,32M——64M DDRII内存;从而确保高性能和高稳定性,充分满足中小企业基于VPN运行ERP、CRM等关键应用的效能要求; ■ VPN专线与带宽汇聚
IP-COM R系列中小企业解决方案允许您对多WAN口设备进行负载均衡汇聚带宽并备份线路等,从而提高宽带接入效能。您可以将VPN出口专属于某一个,或某一组WAN口进线实现带宽汇聚,或把某一ISP群组捆绑为一组汇聚口以同时实现将VPN专属进线、南北互通、带宽汇聚的三向捆绑,总之,对于高端IP-COM R系列VPN产品而言,多种优化、加速、备份并举能获得绝佳的关键应用效能; ■ 基于嵌入式Liunx 2.6高效能安全平台
IP-COM R系列上网行为管理路由器是转发算法效能最优的嵌入式网络操作系统,并拥有完全自主知识产权,同时具备高可靠型,是中小企业关键业务和应用实现并确保效能最优、安全可靠的基础运算平台。■ 保障关键应用效能
IP-COM R系列上网行为管理路由器针对不同应用配置协议、数据包、最大连接数的优先级策略,从而使基于VPN的ERP系统、CRM系统、OA系统得以高效运转,对于不同的IP群组、特群群组、不同的部门,根据其应用特征对其关键应用实现优先级保障;
(3)针对如何保证企业网络是否高效的问题,IP-COM R系列为中小企业打造了基于关键应用和管理的高性能接入及效能转发平台;
IP-COM R系列上网行为管理路由器采用新一代高性能中央处理器核心频率从400MHZ-1.3GHZ;32M —128M 系统内存;提供2-7个动态多WAN;线路备份、负载均衡与南北互通;基于自主研发Liunx系统HPF优化算法;Mutli-SmartQos多种智能QOS;经数年优化和实际应用案例显示,其转发效率、稳定性、基于“关键威胁管理监控的企业级防火墙功能”使中小企业关键业务和日常网络效率达到最优,多种带宽控制(Multi-Smart Qos)——保障各种关键应用,体验至高办公效能。■常规QOS带宽控制
常规QOS可为每个用户划分独立的上行和下行带宽,同时保证最小带宽要求;亦可为一个用户群划分共享的上行和下行带宽,同时保证共享的最小带宽要求;通过多种策略组合,为不同的用户群划分不同的优先级;
■智能QOS带宽控制
智能QOS为保证带宽最大化利用而设计,当网络空闲时,用户将不受带宽限制的影响,随意使用网络资源;当网络拥塞时,Qos策略规则生效并保证用户最小的带宽资源和控制最大的资源占用率。■弹性QOS带宽控制
R系列上网行为管理路由器具备强大的宽控制功能,可以合理分配网络带宽给每一个内网IP,通过保障最小带宽、限制最大带宽方式弹性分配不同应用; ■优先级带宽控制
网吧网管可以通过对不同地址段的IP群组设置不同的带宽,以保证游戏、视频、电影点播获得足够且合理的带宽;企业用户可以通过这种方式为研发、财务、高管、文员设置不同的群组带宽,具备极大的弹性并允许以例外方式管理用户组,从而使企业上网办公分配合理,效率充分提高;
(4)针对能否最大程度确保关键应用与日常应用安全的问题,IP-COM R系列打造了强大免疫能力的KTM关键威胁防御中心
当ARP攻击已经不是通过简单的绑定MAC和IP地址就能避免、当落后的路由器管理功能面对内网用户五花八门的互联网应用和带宽强占无能为力时、当简陋的流量控制不但不能提升上网效率反而成为限制效能的累赘,KTM(Key Threat Management)关键威胁管理中心架构,是中小企业网络是否健康的关键所在。KTM架构企业安全网关一方面需要具备强大的CPU处理效能,同时也需要其防火墙能够对绝大多数来自互联网和本身内网攻击免疫。
IP-COM R系列中小型企业安全网关正是基于KTM架构自主研发,经多年企业应用实践,能够保证中小企业免受绝大多数病毒、黑客、木马和蠕虫的攻击。■ 完整一体化ARP欺骗和变种ARP攻击
R系列上网行为管理路由器所具备防火墙功能、具备智能识别ARP欺骗和攻击功能,从而起到防止黑客攻击、盗窃数据、保护计算机用户个人隐私等作用,R系列安全网关能够综合抑制包括ARP病毒、ARP欺骗、ARP攻击及各种类似黑客程序与病毒软件的组合攻击,尤其擅长防范盗号程序类ARP攻击;
■
MAC+IP+端口+VLAN ID四元绑定
R系列上网行为管理路由器可以简单通过一键设定方式绑定IP 与 MAC地址,有效预防ARP欺骗和攻击,保护企业内部网络电脑内的数据、文件信息不被窃取;而IP-COM中小企业深度安全解决方案则允许用户通过包括中心交换机在内的全网络解决方案实现MAC+IP+端口+VLAN ID的四元绑定,从整体上避免各种ARP攻击导致的网络效能降低和瘫痪。
■
强大而完整的防火墙设计,面对未知的安全威胁
R系列上网行为管理路由器支持对ICMP-Flood、TCP-SYN-Flood和UDP-Flood等多种洪水攻击防御,支持对各种扫描软件防御,防止冲击波类病毒及ARP病毒和DDOS攻击;在病毒、木马、黑客程序日益泛滥的今天,面对来自内网和外网的双重攻击和不可预见将在未来出现的新威胁。
(5)针对能否满足易维护、易管理和低总体拥有成本的渴望,IP-COM推出了易用、易管理、易维护的、性价比高的R系列。
企业总部网管可以轻松通过远程方式监控、配置并维护各分支机构的VPN网关设备,全中文界面和图形化管理功能极大的降低了管理人员的工作难度和工作量,不仅提高了效率、降低了故障率,人力资源成本,更是极大的降低了整个VPN系统的总体拥有成本。
四、企业上网行为管理解决方案
五、IP-COM R系列上网行为管理的应用优势
1、管控员工上网行为,提高经营效率;
2、合理分配带宽资源,保证资源利用;
3、保护公司信息安全, 防止机密外泄
4、完整的防火墙设计,降低网络威胁
第三篇:企业上网行为管理系统推荐
企业上网行为管理系统推荐
随着网络攻击和威胁的不断增加,企业安全防范意识也不断加强,越来越多企业开始使用上网行为管理,以确保企业内外网络安全畅通,以小草上网行为管理软路由为代表的上网行为管理系统,已经成为企业网络管理的中流砥柱。
那么,企业级用户应该如何选择适合自身的上网行为管理产品,如何保障网络网络安全呢?小草上网行为管理软路由、网康上网行为管理系统、深信服上网行为管理系统等都是企业可以选择的。
企业需要的上网行为管理师能够基于时间段针对不同用户组、不同应用进行带宽保障或者是限制,协助各个机构信息部门灵活掌控各单位的带宽资源,优化带宽资源的使用。同时,还能帮助管理者全面的了解员工上网情况和网络使用情况,提高网络使用效率和工作效率,最大限度避免不当的上网行为带来的潜在风险和损失。
我们具体来看看企业需要什么样的上网行为管理
1、提高员工工作效率及网络利用率
上网行为管理要能够阻断QQ、网络游戏、网络电视、炒股软件等应用软件,让员工上班时间只能开展与工作相关的业务。
2、避免机密外泄以及法律风险
为避免内部人员将单位的机密信息泄露以及在互联网上发表不法言论,能对对所有外发信息都进行了详细地监控和记录,监控的外发信息包括BBS发帖、邮件、MSN、博客等,如果外发信息中包括非法内容,则立即进行阻断。同时用户所有的外发信息都会一一记录,并保存在本地磁盘,以供管理者在需要时提供必要的司法依据。
3、网络带宽管理,防止网络资源滥用
针对网络资源滥用的问题,上网行为管理系统要对P2P下载工具,在线视频,网络电视等进行流量限制,对ERP,视频会议,邮件等关键业务和正常业务进行带宽保障。
4、丰富的统计报表,实现上网行为审计
企业需要上网行为管理系统能够具有上网时间统计报表、上网时间高峰段报表等数据统计报表,以便网络管理员能够确切的知道每个局域网用户使用网络的时间、流量、排名,并据此制定相应的管理策略,提高互联网使用效率,更好的管理网络。
企业真正需要的就是小草上网行为管理软路由这样的上网行为管理系统,让管理者能够有效利用信息化的手段进行企业管理,达到高效率、低成本的管理模式,创造更多的价值。
第四篇:企业网络管理对上网行为管理产品的需求
企业网络管理对上网行为管理产品的需求
随着互联网技术的飞速发展,企业互联网管理对上网行为管理产品市场需求日益火爆。上网行为管理产品的推出,例如小草上网行为管理软路由等,帮助企业解决了很多的问题。
然而,随着上网行为管理系统的部署,企业的内部信息机密高度汇聚到IT服务部门,IT服务部门承担了不必要的风险,企业也出现了新的危机。
企业在社会经济发展中所应担当的角色和责任是创造价值,降低安全运营成本,提升企业核心竞争力是企业的根本。出于自身网络建设和安全需要,需要采购与安装多台网络和网络安全设备:路由器,防火墙,认证网关,DHCP服务器,负载均衡,DDoS攻击,带宽管理,上网行为管理……,这些针对企业安全考虑的设备采购和部署同时带来企业的巨大采购与运维风险。真正满足企业需求且带有专业网络和网络安全功能模块的专业上网行为管理成为必然。
企业的互联网管理需求分析
1、企业需要上网行为管理
根据市场上多家厂商的上网行为管理产品的性能与特性,企业用户上网行为管理产品必须具备三个功能:
应用和Web的封堵过滤:上网行为管理产品须包含应用协议和Web过滤功能,以便对各种常用的网络应用软件和网址进行封堵和管控,例如聊天工具、P2P软件、网络游戏、炒股软件、不良网站等,这对提高员工的工作效率、塑造良好的工作氛围是非常必要的。
流量控制:企业需要对员工对下载、在线视频等行为进行控制,例如BT、电驴、迅雷、土豆视频等,避免内网用户下载应用占用大量带宽,影响正常业务的运行。
信息审计:为避免内部人员将单位的机密信息泄露以及敏感言论的出现,上网行为管理产品须对外发的信息进行审计,例如邮件、FTP、QQ、MSN应用等,并将互联网的所有访问行为保存下来,便于用户的分析和记录。
2、高性价比上网行为管理系统成为首选
除了以上必须具备的功能外,企业用户在实际应用中,还需要考虑节约成本、管理应用简单:
多功能、易管理:大部分企业在进行网络组建和维护时,通常都需要进行组合性搭配,即路由器、交换机、防火墙,DHCP服务器,认证网关以及流量管理产品等,都需要大量的资金投入,消耗有限带宽资源,并且管理起来也比较复杂。因此,带有路由,认证,防火墙,DDoS,流量管理的专业上网行为管理产品,成为企业最佳选择,例如小草上网行为管理软路由。
3、多角色管理划分:目前市场上流行的上网行为管理系统一般都只有一个简单的超级管理员角色,他拥有该系统的全部权限,由于上网行为管理的内容管理涉及企业内部人的管理和企业信息机密,因此不应单纯由IT服务部门负责部署后的运行管理,而需要实施分级分权的按企业角色管理策略。在多角色管理的基础上,网络管理员和部门网络管理员只能够部署与维护设备,而行为与内容管理交由企业管理者。这就完全降低了企业内部机密信息的高度集中到IT服务部门的风险。
上网行为管理产品的需求增加,也推动了它的发展,目前国内也不乏有效的上网行为管理产品,例如小草上网行为管理软路由、聚生等!都是企业的首要选择。
第五篇:企业网络管理如何监控管理上网行为
企业网络管理如何监控管理上网行为
企业需要通过上网行为管理系统对企业内部员工的上网行为进行控制,引导规范内部员工合理有效地使用网络,避免网络资源的浪费,增强网络的安全性稳定性。这就是现在企业网络管理的目的所在。
上网下载,下载电影、软件,或者在线音乐、在线视频等,严重占用网络带宽,网络堵塞。
员工访问了不明网站,病毒、蠕虫、木马、恶意代码及间谍软件等就会通过网页、Email、聊天工具、下载软件等方式,侵入到内网的各个角落,严重影响了网络的正常使用。
互联网丰富的内容总是在分散员工注意力,炒股、聊天、购物、游戏等,无关的视频、语音、文档的上传和下载,必然带来严重的生产力悄悄地流失,导致企业整体工作效率下降。
通过MSN传文件、邮件、论坛、博客等导致内部机密信息泄漏的事件越来越普遍,企业的机密信息很可能会被在职甚至离职员工有意或无意地泄露出去,威胁到企业的生存。
使用BT、电驴、迅雷、网际快车、超级旋风等P2P下载软件和PPlive、UUsee、PPstream、迅雷看看等P2P视频软件。使得局域网网络资源被消耗殆尽,导致企业正常的网络应用无法进行,严重干扰了公司的经营活动。
局域网客户端某些电脑经常修改自己的IP地址,以此获取更高的上网权限,获取对公司关键商业机密的访问,使得企业的商业机密面临巨大的风险;同时,修改IP地址,经常导致局域网出现IP地址冲突,导致局域网电脑掉线现象,严重影响了局域网的稳定和畅通。
小草上网行为管理软件是针对中国中小型企事业单位上网行为管理的共性需求。企业网管可以利用小草软路由限制局域网P2P下载和P2P视频软件、限制在线视频、限制在线游戏、阻断聊天软件、进行IP和MAC地址绑定,禁止修改IP地址等行为。
小草上网行为管理软路由的功能强大,是企业局域网监控管理的、上网行为管理、流量控制的最佳选。