【導讀】中國銀行河北省分行。深信服科技有限公司。深信服上網(wǎng)優(yōu)化網(wǎng)關解決方案

　　

【正文】 M 聊天軟件、金融軟件、 微博、社區(qū)論壇、網(wǎng)盤、在線視頻等 。同時， SG 還能夠識別 SSL加密應用，如加密郵箱、加密網(wǎng)頁等。 通過全面的應用識別，管理員能夠根據(jù)不同應用制定不同的管理策略 ，保障核心業(yè)務應用，限制與工作無關的行為 。 同時，通過應用識別，管理員能夠準確深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 的記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，如訪問了哪些網(wǎng)站、使用了什么軟件，全面管理無漏洞。 細致 上網(wǎng)優(yōu)化網(wǎng)關 不是簡單的對 應用進行封堵，而是根據(jù)不同的管理需求 來對應用進行限制。深信服 上網(wǎng)優(yōu)化網(wǎng)關 能夠?qū)W(wǎng)絡應用進 行細分控制，如分別識別出網(wǎng)盤應用中的登陸、瀏覽、上傳和下載等動作，根據(jù)企業(yè)中防泄密需求，實現(xiàn)允許瀏覽下載，同時禁止上傳。通過細分控制，能夠更細致的對員工的上網(wǎng)行為進行管理。 在審計方面，深信服 上網(wǎng)優(yōu)化網(wǎng)關 系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶訪問了哪些網(wǎng)站，使用了哪些應用，還能對用戶的上網(wǎng)行為內(nèi)容進行深入審計，如 IM 聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時，還支持 SSL 加密網(wǎng)頁和應用的內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。 靈活 SG 支持父子通道技術(shù)，最高可支持八級 ，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡應用結(jié)構(gòu)。在經(jīng)過用戶和應用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，由于通道具有父子關系屬性，在后期維護中既能整體調(diào)整帶寬，又能局部調(diào)節(jié)，帶寬分配更靈活。 有效 P2P 應用具有強烈的帶寬侵蝕特性，為了保護帶寬資源不被濫用，必須對P2P 流量進行控制。傳統(tǒng)的流控技術(shù)對 P2P 應用不起作用，外網(wǎng)線路依然被占用，影響核心業(yè)務應用。通過深信服 P2P 智能流控技術(shù)，能夠有效的從源端抑制 P2P下行流量，使得核心業(yè)務應用有足夠的帶寬資源。 同時， SG 具有動態(tài)流控功能，在總體帶寬利用 率偏低時自動調(diào)整策略，有深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 效提升帶寬利用率，避免資源浪費。 應用 價值 通過在網(wǎng)絡出口部署深信服 上網(wǎng)優(yōu)化網(wǎng)關 系統(tǒng) SG，對企業(yè)網(wǎng)絡的進出數(shù)據(jù)流量進行管理。 提升工作效率 網(wǎng)頁過濾策略 上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網(wǎng)站、上微博、論壇發(fā)帖等。 SG 能針對不同用戶 (組 )提供基于角色的管理方法，讓管理者實現(xiàn)指定用戶和部門在工作時間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。 IM（即時通訊）聊天軟件的管理 上班時間使用 、 MSN 等私人聊天，不僅影 響工作效率，還可能因 IM 傳文件而引入病毒和向外泄密。面對的眾多 IM 軟件， SG 通過檢測應用數(shù)據(jù)包的特征字段，實現(xiàn)對 IM 聊天軟件的管控，提升工作效率。 全面的行為管理 網(wǎng)頁過濾、 IM 聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對用戶上班即 掛機 下載，搜索最新網(wǎng)絡新聞、圖片，上班時間更新博客、上傳圖片、 看在線視頻 、網(wǎng)絡游戲 等問題， SG 支持應用識別規(guī)則庫，包含 1100 多種應用， 2500 多種規(guī)則，對員工上網(wǎng)行為進行全面管理 。 上網(wǎng)時間管理 SG 通過為不同部門、不同用戶，基于時間段進行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時 間，實現(xiàn)人性化管理。支持設定一定的上網(wǎng)時間值，當用戶超過這個閥值時， 將 自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 不要從事與工作無關的網(wǎng)絡活動。 提高帶寬利用率 多線路策略 SG 支持 多線路復用、帶寬疊加技術(shù)（專利號： 202020202020X），企業(yè) 通過SG 同時連接多條公網(wǎng)線路，提升整體帶寬水平。 同時 結(jié)合多線路智能選路技術(shù)（專利號： ），做到流量的智能選路和負載均衡。 P2P 軟件的控制 P2P 行為對帶寬 具有強烈的 吞噬能力，而傳統(tǒng)的 流控功能在 P2P 應用上不起作用 。 SG 提供 P2P 智 能識別專利技術(shù) (專利號： ），不僅能識別和管控常用 P2P 軟件及版本，對不常見的和未來將出現(xiàn)的 P2P 亦能管控。而 SG提供的 P2P 流控技術(shù)，將限制指定用戶開啟 P2P 后占用的帶寬。既允許用戶使用 P2P，又不會濫用帶寬。 帶寬統(tǒng)計和管理 SG 數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡行為進行統(tǒng)計及趨勢、報表等。借助圖形化報表、曲線和統(tǒng)計結(jié)果，可以幫助 IT 管理者輕松掌控網(wǎng)絡行為分布和帶寬資源使用等情況。 同時， SG 基于用戶 (組 )、應用類型、網(wǎng)站類型、文件類型、目標 IP 等的智能流控，細致劃分與分配帶寬資源 ，如保障領導的視頻會議、市場部訪問行業(yè)網(wǎng)站、設計部傳輸 CAD 文件等行為得到帶寬保障，提升整個機構(gòu)的帶寬使用效率。 避免 泄密和 法律風險 在部署 上網(wǎng)優(yōu)化網(wǎng)關 系統(tǒng)后，通過定義關鍵字的方式，實現(xiàn)對發(fā)送郵件、網(wǎng)上搜索、網(wǎng)上發(fā)布、文件外發(fā)等行為進行過濾，從而避免敏感信息泄露問題給企業(yè)帶來經(jīng)濟損失。同時，有效防止不良信息外發(fā)行為，避免引來法律糾紛。 即使發(fā)生了不良信息外發(fā)行為，也能夠通過對內(nèi)網(wǎng)用戶上網(wǎng)行為實施記錄審計，能夠深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 在發(fā)生網(wǎng)絡違法事件的時候通過審計日志追查相關責任人，避免由企業(yè)承擔相應法律責任。 同時， 上網(wǎng)安全桌面根 據(jù)規(guī)則對本機文件數(shù)據(jù)進行了隔離，安全桌面內(nèi)的任何程序試圖獲取本機被隔離文件數(shù)據(jù)的行為都將被禁止， 防止終端被木馬入侵后文件信息遭竊取， 從而幫助用戶有效保護了敏感數(shù)據(jù)的安全性 。 保障內(nèi)網(wǎng)安全 防病毒 內(nèi)網(wǎng)用戶在訪問 inter 時，常常會無意中下載到一些包含惡意病毒的文件，這些病毒程序通常是極具破壞力的，嚴重時會造成計算機系統(tǒng)的崩潰，使員工無法正常工作。而如果在上網(wǎng)過程中使用上網(wǎng)安全桌面，則可以有效的防止這些病毒程序?qū)Ρ緳C造成破壞。 當內(nèi)網(wǎng)用戶使用安全桌面上網(wǎng)，文件、注冊表重定向技術(shù)使本機內(nèi)真實文件與注冊表得 到了保護，而訪問目錄權(quán)限功能使病毒無法訪問繼而感染本機內(nèi)部文件，有效地防止了病毒對本機系統(tǒng)的破壞，彌補殺毒軟件對安全事件事前防護的不足。上網(wǎng)安全桌面采用國際領先的沙盒技術(shù)保證了它能給用戶帶來一個干凈、安全的網(wǎng)絡應用環(huán)境，讓用戶使用起來再也不受病毒、木馬泛濫的困擾。 同時， SG 具有網(wǎng)關殺毒功能，集成來自歐洲領先病毒廠商 FPROT 殺毒引擎，對內(nèi)網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載的文件進行病毒過濾，降低內(nèi)網(wǎng)用戶感染病毒的風險。 攔截不良網(wǎng)頁 SG 內(nèi)置自動更新的海量 URL庫，包括色情、反動等分類，潛藏在此類網(wǎng)站中 的威脅將被 SG 過濾； SG 允許用戶手工添加新 URL分類；再過濾用戶通過搜索引擎搜索的關鍵字、過濾 URL 地址關鍵字和網(wǎng)頁正文關鍵字，實現(xiàn)對各類網(wǎng)頁的全面過濾，降低內(nèi)網(wǎng)用戶訪問不良網(wǎng)頁和危險網(wǎng)頁的可能。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動網(wǎng)站等，顯示“加密化”已經(jīng)成為趨勢，而業(yè)界多數(shù)設備無法對 SSL加密網(wǎng)頁進行管控。 SG 通過證書驗證鏈接黑白名單技術(shù)，過濾含有不可信任數(shù)字證書的 SSL網(wǎng)站，實現(xiàn)對 SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。 插件、腳本過濾 網(wǎng)絡上“危機四伏”到處存在安全隱患，使得用戶防不勝防。 SG 的 腳本過濾功能能夠根據(jù)腳本行為和特征攔截含有惡意腳本、木馬的網(wǎng)頁。防止用戶不小心進入不良網(wǎng)站而感染病毒、木馬或者訪問后臺被黑客掛馬的網(wǎng)頁而造成中毒的情況發(fā)生。 由于網(wǎng)絡應用的不斷發(fā)展，網(wǎng)頁上提供的功能越來越多樣化，要求用戶安裝插件的情況越來越普遍。 SG 支持插件過濾，能夠根據(jù)插件的名稱、簽名、證書等過濾掉 IE 插件，同時也能識別下載的文件中隱藏的插件。從而避免用戶上網(wǎng)被強制安裝的惡意插件而導致的系統(tǒng)崩潰、訪問網(wǎng)絡不正常等情況，阻止惡意監(jiān)控軟件盜取個人信息、企業(yè)機密。 文件傳輸控制 針對 、 MSN 等 IM軟件的病毒 ，通過引誘用戶下載指定文件或打開指定URL 鏈接而傳播； SG 的“攔截不良網(wǎng)頁”措施將避免用戶訪問含病毒 URL 地址； SG 還可限制使用 、 MSN 等傳遞文件。 通過 HTTP、 FTP 從互聯(lián)網(wǎng)下載的文件，往往打開或運行后導致用戶電腦感染病毒、木馬，甚至癱瘓。該風險“感染點”還會伺機爆發(fā)，感染更多用戶， 使整個網(wǎng)絡 癱瘓。而此類行為和流量經(jīng)過 SG 時， SG首先限制用戶通過 HTTP、 FTP上傳下載指定類型的文件，對于允許傳輸?shù)奈募?SG 的網(wǎng)關殺毒功能將查殺該文件中潛藏的病毒、木馬。 修復內(nèi)網(wǎng)安全短板 根據(jù)木桶理論，機構(gòu)內(nèi)網(wǎng)的安 全級別取決于安全等級最低的一環(huán)。 IT 部門深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 要求用戶操作系統(tǒng)及時更新、安裝指定殺毒 /防火墻軟件并保持更新等，但并非所有用戶都能遵從，進而形成內(nèi)網(wǎng)安全短板。一旦該“短板用戶”訪問安全風險網(wǎng)站、下載含病毒文件、執(zhí)行非法程序等，極易導致自己感染病毒，還將感染整個內(nèi)網(wǎng)用戶群。借助網(wǎng)絡準入規(guī)則技術(shù)（專利號： ）， SG 將檢測接入終端的操作系統(tǒng)及補丁、殺毒 /防火墻軟件等安全狀況，不安裝、不運行指定安全軟件，就不允許接入 Inter，從而修復內(nèi)網(wǎng)安全短板。 防 DOS、防 ARP 欺騙 即使部署眾多安全 措施，安全威脅仍無孔不入。來自外網(wǎng)的 DOS 攻擊 SG能防御；而來自內(nèi)網(wǎng)的 DOS 攻擊，不僅吞噬帶寬，還將影響出口網(wǎng)關的穩(wěn)定。傳統(tǒng)防火墻等無法防御來自內(nèi)網(wǎng)的 DOS 攻擊，而 SG 通過檢測流量和異常網(wǎng)絡行為等技術(shù)，徹底防御來自外網(wǎng)和內(nèi)網(wǎng)的 DOS 攻擊。 ARP(Address Resolution Protocol)協(xié)議原本用于“從 IP 地址尋找 MAC地址”，但病毒等引起的 ARP 欺騙導致子網(wǎng)內(nèi)所有用戶無法訪問 Inter，定位故障點又頗為麻煩。有別于部分廠商依賴第三方軟件的方案， SG 通過內(nèi)置防 ARP 欺騙功能組件，保障用 戶網(wǎng)絡的可用性和可靠性 。 降低管理成本 由于大規(guī)模部署了 上網(wǎng)優(yōu)化網(wǎng)關 系統(tǒng)， 如果企業(yè)對各個分支的 SG 進行逐一管理，必定增加大量不必要的管理成本。 因此，為了對整體系統(tǒng)實行有效管理，在總部部署一臺集中管理設備，對全網(wǎng)的 上網(wǎng)優(yōu)化網(wǎng)關 系統(tǒng)進行 集中 管理， 統(tǒng)一下發(fā)配置， 降低管理成本，提高可管理性。 同時， SC 集中管理方案支持強、弱管理結(jié)合，各分支可根據(jù)當?shù)貙嶋H情況，對系統(tǒng)策略進行個性化調(diào)整，以滿足實際需求，提高管理靈活性。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 第 6章 典型案例 南方航空 —— 優(yōu)化內(nèi)網(wǎng) 中國南方航空股份有限公司是中國南方航空集團公司屬下航空運輸主業(yè)公司 ，總部設在廣州，是中國運輸飛機最多、航線網(wǎng)絡最發(fā)達、年客運量最大的航空公司。 2020 年，南航旅客運輸量 5824 萬人次，位列亞洲第一、世界第四，已連續(xù) 30 年居國內(nèi)各航空公司之首，是亞洲唯一進入世界航空客運前五強，國內(nèi)唯一連續(xù) 4 年進入世界民航客運前十強的航空公司。 南方航空的網(wǎng)絡內(nèi)網(wǎng)內(nèi)現(xiàn)有 1 萬余名員工，主要通過兩條線路接入互聯(lián)網(wǎng)進行辦公，一條電信的 100M 光纖直接上網(wǎng)，一條是網(wǎng)通的 100M 光纖通過代理服務器上網(wǎng)，這兩條線路都是在 2020 年從 60M 擴到的 100M 的 ,初期的線路使用率一般在 70%以上。出于網(wǎng)絡發(fā)展規(guī) 劃要求以及網(wǎng)絡優(yōu)化的工作需要，南方航空購買了兩臺深信服高端 上網(wǎng)優(yōu)化網(wǎng)關 設備分別部署于兩條主干道上，用于對網(wǎng)絡流量分布情況進行數(shù)據(jù)分析。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 在設備部署后，南方航空的網(wǎng)絡管理部門詳細的了解到內(nèi)網(wǎng)流量的組成，并通過 上網(wǎng)優(yōu)化網(wǎng)關 日志中心的強大報表功能獲得了大量相關報表。在這些客觀數(shù)據(jù)分析的幫助下，南方航空不斷的對網(wǎng)絡出口帶寬的合理使用進行著調(diào)整工作。通過基于時間段、人員的網(wǎng)絡流量分析報表的反饋，經(jīng)過多次優(yōu)化及調(diào)整后的南方航空網(wǎng)絡出口利用率已經(jīng)大幅度下降，為此南航取消了進一步擴充帶寬的計劃，節(jié)約了投資。同時，在流控 策略的作用下，內(nèi)網(wǎng)辦公人員也普遍反饋辦公應用等正常上網(wǎng)應用速度有明顯的提升，達到了比較好的網(wǎng)絡應用效果。 中糧集團 —— 流量控制 成立于 1949 年的中糧集團，是中國最大的糧油食品進出口公司和實力雄厚的食品生產(chǎn)商，在地產(chǎn)、酒店經(jīng)營以及金融服務等領域也卓有成績，被《財富》雜志列為世界 500 強企業(yè)之一。中糧集團（ COFCO）是中國領先的農(nóng)產(chǎn)品、食品領域多元化產(chǎn)品和服務供應商，致力于利用不斷再生的自然資源為人類提供營深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 養(yǎng)健康的食品、高品質(zhì)的生活空間及生活服務，貢獻于人類社會的繁榮。 中糧集團原本有電信和聯(lián)通兩條 Inter 出口，由于業(yè)務的繁忙，其中電信與聯(lián)通的線路在上班高峰時期幾乎達到了峰值，若電信與聯(lián)通的線路長期這樣負荷工作，對于業(yè)務系統(tǒng)來說，是個不穩(wěn)定和不安全的因素。隨著集團公司的發(fā)展，內(nèi)網(wǎng)用戶多達幾千用戶。深信服科技根據(jù) 上網(wǎng)優(yōu)化網(wǎng)關 產(chǎn)品的特點，對出口的流量進行分析，合理分配，合理利用兩條線路的帶寬。給中糧集團提供了一個可視可控的平臺。 全面應用分析 在部署 上網(wǎng)優(yōu)化網(wǎng)關 設備前， IT 管理員通過防火墻可以對網(wǎng)絡應用進行一些相應的控制，但是無法分析集團網(wǎng)絡流量具體內(nèi)容和這些流量被使用在何處。深信服 上網(wǎng)優(yōu)化網(wǎng)關 產(chǎn)品基于深 度內(nèi)容檢測和強大應用識別功能解決了 IT 部門這個問題。 上網(wǎng)優(yōu)化網(wǎng)關