【導(dǎo)讀】中國銀行河北省分行。深信服科技有限公司。深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)解決方案

　　

【正文】 M 聊天軟件、金融軟件、 微博、社區(qū)論壇、網(wǎng)盤、在線視頻等 。同時， SG 還能夠識別 SSL加密應(yīng)用，如加密郵箱、加密網(wǎng)頁等。 通過全面的應(yīng)用識別，管理員能夠根據(jù)不同應(yīng)用制定不同的管理策略 ，保障核心業(yè)務(wù)應(yīng)用，限制與工作無關(guān)的行為 。 同時，通過應(yīng)用識別，管理員能夠準(zhǔn)確深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 的記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，如訪問了哪些網(wǎng)站、使用了什么軟件，全面管理無漏洞。 細(xì)致 上網(wǎng)優(yōu)化網(wǎng)關(guān) 不是簡單的對 應(yīng)用進(jìn)行封堵，而是根據(jù)不同的管理需求 來對應(yīng)用進(jìn)行限制。深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 能夠?qū)W(wǎng)絡(luò)應(yīng)用進(jìn) 行細(xì)分控制，如分別識別出網(wǎng)盤應(yīng)用中的登陸、瀏覽、上傳和下載等動作，根據(jù)企業(yè)中防泄密需求，實現(xiàn)允許瀏覽下載，同時禁止上傳。通過細(xì)分控制，能夠更細(xì)致的對員工的上網(wǎng)行為進(jìn)行管理。 在審計方面，深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶訪問了哪些網(wǎng)站，使用了哪些應(yīng)用，還能對用戶的上網(wǎng)行為內(nèi)容進(jìn)行深入審計，如 IM 聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時，還支持 SSL 加密網(wǎng)頁和應(yīng)用的內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。 靈活 SG 支持父子通道技術(shù)，最高可支持八級 ，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過用戶和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，由于通道具有父子關(guān)系屬性，在后期維護(hù)中既能整體調(diào)整帶寬，又能局部調(diào)節(jié)，帶寬分配更靈活。 有效 P2P 應(yīng)用具有強烈的帶寬侵蝕特性，為了保護(hù)帶寬資源不被濫用，必須對P2P 流量進(jìn)行控制。傳統(tǒng)的流控技術(shù)對 P2P 應(yīng)用不起作用，外網(wǎng)線路依然被占用，影響核心業(yè)務(wù)應(yīng)用。通過深信服 P2P 智能流控技術(shù)，能夠有效的從源端抑制 P2P下行流量，使得核心業(yè)務(wù)應(yīng)用有足夠的帶寬資源。 同時， SG 具有動態(tài)流控功能，在總體帶寬利用 率偏低時自動調(diào)整策略，有深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 效提升帶寬利用率，避免資源浪費。 應(yīng)用 價值 通過在網(wǎng)絡(luò)出口部署深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng) SG，對企業(yè)網(wǎng)絡(luò)的進(jìn)出數(shù)據(jù)流量進(jìn)行管理。 提升工作效率 網(wǎng)頁過濾策略 上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網(wǎng)站、上微博、論壇發(fā)帖等。 SG 能針對不同用戶 (組 )提供基于角色的管理方法，讓管理者實現(xiàn)指定用戶和部門在工作時間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。 IM（即時通訊）聊天軟件的管理 上班時間使用 、 MSN 等私人聊天，不僅影 響工作效率，還可能因 IM 傳文件而引入病毒和向外泄密。面對的眾多 IM 軟件， SG 通過檢測應(yīng)用數(shù)據(jù)包的特征字段，實現(xiàn)對 IM 聊天軟件的管控，提升工作效率。 全面的行為管理 網(wǎng)頁過濾、 IM 聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對用戶上班即 掛機(jī) 下載，搜索最新網(wǎng)絡(luò)新聞、圖片，上班時間更新博客、上傳圖片、 看在線視頻 、網(wǎng)絡(luò)游戲 等問題， SG 支持應(yīng)用識別規(guī)則庫，包含 1100 多種應(yīng)用， 2500 多種規(guī)則，對員工上網(wǎng)行為進(jìn)行全面管理 。 上網(wǎng)時間管理 SG 通過為不同部門、不同用戶，基于時間段進(jìn)行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時 間，實現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時間值，當(dāng)用戶超過這個閥值時， 將 自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 不要從事與工作無關(guān)的網(wǎng)絡(luò)活動。 提高帶寬利用率 多線路策略 SG 支持 多線路復(fù)用、帶寬疊加技術(shù)（專利號： 202020202020X），企業(yè) 通過SG 同時連接多條公網(wǎng)線路，提升整體帶寬水平。 同時 結(jié)合多線路智能選路技術(shù)（專利號： ），做到流量的智能選路和負(fù)載均衡。 P2P 軟件的控制 P2P 行為對帶寬 具有強烈的 吞噬能力，而傳統(tǒng)的 流控功能在 P2P 應(yīng)用上不起作用 。 SG 提供 P2P 智 能識別專利技術(shù) (專利號： ），不僅能識別和管控常用 P2P 軟件及版本，對不常見的和未來將出現(xiàn)的 P2P 亦能管控。而 SG提供的 P2P 流控技術(shù)，將限制指定用戶開啟 P2P 后占用的帶寬。既允許用戶使用 P2P，又不會濫用帶寬。 帶寬統(tǒng)計和管理 SG 數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計及趨勢、報表等。借助圖形化報表、曲線和統(tǒng)計結(jié)果，可以幫助 IT 管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。 同時， SG 基于用戶 (組 )、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo) IP 等的智能流控，細(xì)致劃分與分配帶寬資源 ，如保障領(lǐng)導(dǎo)的視頻會議、市場部訪問行業(yè)網(wǎng)站、設(shè)計部傳輸 CAD 文件等行為得到帶寬保障，提升整個機(jī)構(gòu)的帶寬使用效率。 避免 泄密和 法律風(fēng)險 在部署 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)后，通過定義關(guān)鍵字的方式，實現(xiàn)對發(fā)送郵件、網(wǎng)上搜索、網(wǎng)上發(fā)布、文件外發(fā)等行為進(jìn)行過濾，從而避免敏感信息泄露問題給企業(yè)帶來經(jīng)濟(jì)損失。同時，有效防止不良信息外發(fā)行為，避免引來法律糾紛。 即使發(fā)生了不良信息外發(fā)行為，也能夠通過對內(nèi)網(wǎng)用戶上網(wǎng)行為實施記錄審計，能夠深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 在發(fā)生網(wǎng)絡(luò)違法事件的時候通過審計日志追查相關(guān)責(zé)任人，避免由企業(yè)承擔(dān)相應(yīng)法律責(zé)任。 同時， 上網(wǎng)安全桌面根 據(jù)規(guī)則對本機(jī)文件數(shù)據(jù)進(jìn)行了隔離，安全桌面內(nèi)的任何程序試圖獲取本機(jī)被隔離文件數(shù)據(jù)的行為都將被禁止， 防止終端被木馬入侵后文件信息遭竊取， 從而幫助用戶有效保護(hù)了敏感數(shù)據(jù)的安全性 。 保障內(nèi)網(wǎng)安全 防病毒 內(nèi)網(wǎng)用戶在訪問 inter 時，常常會無意中下載到一些包含惡意病毒的文件，這些病毒程序通常是極具破壞力的，嚴(yán)重時會造成計算機(jī)系統(tǒng)的崩潰，使員工無法正常工作。而如果在上網(wǎng)過程中使用上網(wǎng)安全桌面，則可以有效的防止這些病毒程序?qū)Ρ緳C(jī)造成破壞。 當(dāng)內(nèi)網(wǎng)用戶使用安全桌面上網(wǎng)，文件、注冊表重定向技術(shù)使本機(jī)內(nèi)真實文件與注冊表得 到了保護(hù)，而訪問目錄權(quán)限功能使病毒無法訪問繼而感染本機(jī)內(nèi)部文件，有效地防止了病毒對本機(jī)系統(tǒng)的破壞，彌補殺毒軟件對安全事件事前防護(hù)的不足。上網(wǎng)安全桌面采用國際領(lǐng)先的沙盒技術(shù)保證了它能給用戶帶來一個干凈、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境，讓用戶使用起來再也不受病毒、木馬泛濫的困擾。 同時， SG 具有網(wǎng)關(guān)殺毒功能，集成來自歐洲領(lǐng)先病毒廠商 FPROT 殺毒引擎，對內(nèi)網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載的文件進(jìn)行病毒過濾，降低內(nèi)網(wǎng)用戶感染病毒的風(fēng)險。 攔截不良網(wǎng)頁 SG 內(nèi)置自動更新的海量 URL庫，包括色情、反動等分類，潛藏在此類網(wǎng)站中 的威脅將被 SG 過濾； SG 允許用戶手工添加新 URL分類；再過濾用戶通過搜索引擎搜索的關(guān)鍵字、過濾 URL 地址關(guān)鍵字和網(wǎng)頁正文關(guān)鍵字，實現(xiàn)對各類網(wǎng)頁的全面過濾，降低內(nèi)網(wǎng)用戶訪問不良網(wǎng)頁和危險網(wǎng)頁的可能。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動網(wǎng)站等，顯示“加密化”已經(jīng)成為趨勢，而業(yè)界多數(shù)設(shè)備無法對 SSL加密網(wǎng)頁進(jìn)行管控。 SG 通過證書驗證鏈接黑白名單技術(shù)，過濾含有不可信任數(shù)字證書的 SSL網(wǎng)站，實現(xiàn)對 SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。 插件、腳本過濾 網(wǎng)絡(luò)上“危機(jī)四伏”到處存在安全隱患，使得用戶防不勝防。 SG 的 腳本過濾功能能夠根據(jù)腳本行為和特征攔截含有惡意腳本、木馬的網(wǎng)頁。防止用戶不小心進(jìn)入不良網(wǎng)站而感染病毒、木馬或者訪問后臺被黑客掛馬的網(wǎng)頁而造成中毒的情況發(fā)生。 由于網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)頁上提供的功能越來越多樣化，要求用戶安裝插件的情況越來越普遍。 SG 支持插件過濾，能夠根據(jù)插件的名稱、簽名、證書等過濾掉 IE 插件，同時也能識別下載的文件中隱藏的插件。從而避免用戶上網(wǎng)被強制安裝的惡意插件而導(dǎo)致的系統(tǒng)崩潰、訪問網(wǎng)絡(luò)不正常等情況，阻止惡意監(jiān)控軟件盜取個人信息、企業(yè)機(jī)密。 文件傳輸控制 針對 、 MSN 等 IM軟件的病毒 ，通過引誘用戶下載指定文件或打開指定URL 鏈接而傳播； SG 的“攔截不良網(wǎng)頁”措施將避免用戶訪問含病毒 URL 地址； SG 還可限制使用 、 MSN 等傳遞文件。 通過 HTTP、 FTP 從互聯(lián)網(wǎng)下載的文件，往往打開或運行后導(dǎo)致用戶電腦感染病毒、木馬，甚至癱瘓。該風(fēng)險“感染點”還會伺機(jī)爆發(fā)，感染更多用戶， 使整個網(wǎng)絡(luò) 癱瘓。而此類行為和流量經(jīng)過 SG 時， SG首先限制用戶通過 HTTP、 FTP上傳下載指定類型的文件，對于允許傳輸?shù)奈募?SG 的網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。 修復(fù)內(nèi)網(wǎng)安全短板 根據(jù)木桶理論，機(jī)構(gòu)內(nèi)網(wǎng)的安 全級別取決于安全等級最低的一環(huán)。 IT 部門深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 要求用戶操作系統(tǒng)及時更新、安裝指定殺毒 /防火墻軟件并保持更新等，但并非所有用戶都能遵從，進(jìn)而形成內(nèi)網(wǎng)安全短板。一旦該“短板用戶”訪問安全風(fēng)險網(wǎng)站、下載含病毒文件、執(zhí)行非法程序等，極易導(dǎo)致自己感染病毒，還將感染整個內(nèi)網(wǎng)用戶群。借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)（專利號： ）， SG 將檢測接入終端的操作系統(tǒng)及補丁、殺毒 /防火墻軟件等安全狀況，不安裝、不運行指定安全軟件，就不允許接入 Inter，從而修復(fù)內(nèi)網(wǎng)安全短板。 防 DOS、防 ARP 欺騙 即使部署眾多安全 措施，安全威脅仍無孔不入。來自外網(wǎng)的 DOS 攻擊 SG能防御；而來自內(nèi)網(wǎng)的 DOS 攻擊，不僅吞噬帶寬，還將影響出口網(wǎng)關(guān)的穩(wěn)定。傳統(tǒng)防火墻等無法防御來自內(nèi)網(wǎng)的 DOS 攻擊，而 SG 通過檢測流量和異常網(wǎng)絡(luò)行為等技術(shù)，徹底防御來自外網(wǎng)和內(nèi)網(wǎng)的 DOS 攻擊。 ARP(Address Resolution Protocol)協(xié)議原本用于“從 IP 地址尋找 MAC地址”，但病毒等引起的 ARP 欺騙導(dǎo)致子網(wǎng)內(nèi)所有用戶無法訪問 Inter，定位故障點又頗為麻煩。有別于部分廠商依賴第三方軟件的方案， SG 通過內(nèi)置防 ARP 欺騙功能組件，保障用 戶網(wǎng)絡(luò)的可用性和可靠性 。 降低管理成本 由于大規(guī)模部署了 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)， 如果企業(yè)對各個分支的 SG 進(jìn)行逐一管理，必定增加大量不必要的管理成本。 因此，為了對整體系統(tǒng)實行有效管理，在總部部署一臺集中管理設(shè)備，對全網(wǎng)的 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)進(jìn)行 集中 管理， 統(tǒng)一下發(fā)配置， 降低管理成本，提高可管理性。 同時， SC 集中管理方案支持強、弱管理結(jié)合，各分支可根據(jù)當(dāng)?shù)貙嶋H情況，對系統(tǒng)策略進(jìn)行個性化調(diào)整，以滿足實際需求，提高管理靈活性。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 第 6章 典型案例 南方航空 —— 優(yōu)化內(nèi)網(wǎng) 中國南方航空股份有限公司是中國南方航空集團(tuán)公司屬下航空運輸主業(yè)公司 ，總部設(shè)在廣州，是中國運輸飛機(jī)最多、航線網(wǎng)絡(luò)最發(fā)達(dá)、年客運量最大的航空公司。 2020 年，南航旅客運輸量 5824 萬人次，位列亞洲第一、世界第四，已連續(xù) 30 年居國內(nèi)各航空公司之首，是亞洲唯一進(jìn)入世界航空客運前五強，國內(nèi)唯一連續(xù) 4 年進(jìn)入世界民航客運前十強的航空公司。 南方航空的網(wǎng)絡(luò)內(nèi)網(wǎng)內(nèi)現(xiàn)有 1 萬余名員工，主要通過兩條線路接入互聯(lián)網(wǎng)進(jìn)行辦公，一條電信的 100M 光纖直接上網(wǎng)，一條是網(wǎng)通的 100M 光纖通過代理服務(wù)器上網(wǎng)，這兩條線路都是在 2020 年從 60M 擴(kuò)到的 100M 的 ,初期的線路使用率一般在 70%以上。出于網(wǎng)絡(luò)發(fā)展規(guī) 劃要求以及網(wǎng)絡(luò)優(yōu)化的工作需要，南方航空購買了兩臺深信服高端 上網(wǎng)優(yōu)化網(wǎng)關(guān) 設(shè)備分別部署于兩條主干道上，用于對網(wǎng)絡(luò)流量分布情況進(jìn)行數(shù)據(jù)分析。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 在設(shè)備部署后，南方航空的網(wǎng)絡(luò)管理部門詳細(xì)的了解到內(nèi)網(wǎng)流量的組成，并通過 上網(wǎng)優(yōu)化網(wǎng)關(guān) 日志中心的強大報表功能獲得了大量相關(guān)報表。在這些客觀數(shù)據(jù)分析的幫助下，南方航空不斷的對網(wǎng)絡(luò)出口帶寬的合理使用進(jìn)行著調(diào)整工作。通過基于時間段、人員的網(wǎng)絡(luò)流量分析報表的反饋，經(jīng)過多次優(yōu)化及調(diào)整后的南方航空網(wǎng)絡(luò)出口利用率已經(jīng)大幅度下降，為此南航取消了進(jìn)一步擴(kuò)充帶寬的計劃，節(jié)約了投資。同時，在流控 策略的作用下，內(nèi)網(wǎng)辦公人員也普遍反饋辦公應(yīng)用等正常上網(wǎng)應(yīng)用速度有明顯的提升，達(dá)到了比較好的網(wǎng)絡(luò)應(yīng)用效果。 中糧集團(tuán) —— 流量控制 成立于 1949 年的中糧集團(tuán)，是中國最大的糧油食品進(jìn)出口公司和實力雄厚的食品生產(chǎn)商，在地產(chǎn)、酒店經(jīng)營以及金融服務(wù)等領(lǐng)域也卓有成績，被《財富》雜志列為世界 500 強企業(yè)之一。中糧集團(tuán)（ COFCO）是中國領(lǐng)先的農(nóng)產(chǎn)品、食品領(lǐng)域多元化產(chǎn)品和服務(wù)供應(yīng)商，致力于利用不斷再生的自然資源為人類提供營深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 養(yǎng)健康的食品、高品質(zhì)的生活空間及生活服務(wù)，貢獻(xiàn)于人類社會的繁榮。 中糧集團(tuán)原本有電信和聯(lián)通兩條 Inter 出口，由于業(yè)務(wù)的繁忙，其中電信與聯(lián)通的線路在上班高峰時期幾乎達(dá)到了峰值，若電信與聯(lián)通的線路長期這樣負(fù)荷工作，對于業(yè)務(wù)系統(tǒng)來說，是個不穩(wěn)定和不安全的因素。隨著集團(tuán)公司的發(fā)展，內(nèi)網(wǎng)用戶多達(dá)幾千用戶。深信服科技根據(jù) 上網(wǎng)優(yōu)化網(wǎng)關(guān) 產(chǎn)品的特點，對出口的流量進(jìn)行分析，合理分配，合理利用兩條線路的帶寬。給中糧集團(tuán)提供了一個可視可控的平臺。 全面應(yīng)用分析 在部署 上網(wǎng)優(yōu)化網(wǎng)關(guān) 設(shè)備前， IT 管理員通過防火墻可以對網(wǎng)絡(luò)應(yīng)用進(jìn)行一些相應(yīng)的控制，但是無法分析集團(tuán)網(wǎng)絡(luò)流量具體內(nèi)容和這些流量被使用在何處。深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 產(chǎn)品基于深 度內(nèi)容檢測和強大應(yīng)用識別功能解決了 IT 部門這個問題。 上網(wǎng)優(yōu)化網(wǎng)關(guān)