【正文】 任務(wù)必定會日益繁重。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時實現(xiàn)先進(jìn)的分布式管理。通過先進(jìn)的管理策略、管理工具提高 系統(tǒng) 的運行性能、可靠性，簡化維護(hù)工作，從而為辦公、管理提供最有力的保障。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 第 4章 設(shè)計思路 通過針對企業(yè)信息網(wǎng)絡(luò)業(yè)務(wù)需求分 析，結(jié)合 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)建設(shè)原則，總結(jié)出本次方案的 設(shè)計 思路： 1. 在網(wǎng)絡(luò)出口處部署 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)，對企業(yè)網(wǎng)絡(luò)的進(jìn)出數(shù)據(jù)流量進(jìn)行管理。 3. 通過 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)， 對員工在日常辦公中與工作無關(guān)的網(wǎng)絡(luò) 應(yīng)用 進(jìn)行控制，例如禁止 P2P 下載、在線視頻、瀏覽購物網(wǎng)站、網(wǎng)絡(luò)游戲等。同時，禁止工作無關(guān)應(yīng)用，提高企業(yè)員工工作效率，為企業(yè)帶來效益增長。同時，有效防止不良信息外發(fā)行為 ，避免引起 法律糾紛。 6. 由于 大規(guī)模 部署了 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)，因此，為了對整體系統(tǒng)實行有效管理，在總部部署一臺集中管理設(shè)備，對全網(wǎng)的 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)進(jìn)行統(tǒng)一管理，降低管理成本，提高可管理性。 員工在網(wǎng)絡(luò)上進(jìn)行一些與工作無關(guān)的行為，如網(wǎng)上購物、玩網(wǎng)絡(luò)游戲、看在線視頻等， 占用大量的帶寬資源， 嚴(yán)重影響了個人及同事的工作效率， 給辦公環(huán)境帶來負(fù)面影響。 ） 解決方案 通過 在網(wǎng)絡(luò)出口處 部署 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng) （以下簡稱 SG） ，對員工上網(wǎng)行為進(jìn)行 精細(xì)化 控制管理。） 部署 方式 （以下選擇其 1，也可以多項） 網(wǎng)關(guān)模式 SG 以網(wǎng)關(guān)模式部署于網(wǎng)絡(luò)出口處，對內(nèi)網(wǎng)用戶上網(wǎng)行為進(jìn)行識別與控制。針對外網(wǎng)有多條連接互聯(lián)網(wǎng)線路時，深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 SG 具備的多線路智能選路和多線路復(fù)用專利技術(shù)，可為出口的多條線路進(jìn)行優(yōu)化選擇和流量均衡分配，為企業(yè)出口線路提供優(yōu)化的速度和平衡的流量負(fù)荷。（ 2 臺 SG 間啟用多機同步功能，實時同步用戶認(rèn)證、會話、配置等信息，互為冗余備份，提高系統(tǒng)可靠性。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 旁路模式 在內(nèi)網(wǎng)部署 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)，旁掛于核心交換機，在核心交換機上通過端口鏡像將上網(wǎng)流量引流到 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng)，從而實現(xiàn)上網(wǎng)行為審計。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 統(tǒng)一 部署 本次方案設(shè)計中，網(wǎng)絡(luò)架構(gòu)為“總部 分支”星型結(jié)構(gòu)，由于在各個分支大規(guī)模的部署了 上網(wǎng)優(yōu)化網(wǎng)關(guān) 系統(tǒng) SG，數(shù)量多，地點分散，因此增加了管理難度。通過 SC 對全網(wǎng)范圍內(nèi)的 SG 進(jìn)行集中式管理，統(tǒng)一下發(fā)策略和配置，有效降低管理復(fù)雜性。 本地認(rèn)證 SG 支持本地認(rèn)證功能， 包括 Web 認(rèn)證、用戶名 /密碼認(rèn)證、 IP/MAC/IPMAC綁定、 USBKey 等。 外部認(rèn)證 SG 支持與 LDAP、 Radius、 POP3 等外部認(rèn)證服務(wù)器或者 SAM、 CAMS 等認(rèn)證計費系統(tǒng)結(jié)合進(jìn)行身份認(rèn)證。通過身份認(rèn)證功能， SG 能夠準(zhǔn)確識別上網(wǎng)用戶，從而對該用戶進(jìn)行 上網(wǎng)優(yōu)化網(wǎng)關(guān) ， 而對于未通過認(rèn)證的用戶 則限制其網(wǎng)絡(luò) 訪問權(quán)限 。 無線網(wǎng)絡(luò)不僅安裝便捷、使用靈活，還具有經(jīng)濟(jì)節(jié)約、易于擴展等優(yōu)點，可以輕松避免有線網(wǎng)絡(luò)的各種不足。 認(rèn)證成功后將 進(jìn)行頁面跳轉(zhuǎn)，管理員可自定義頁面，實現(xiàn)業(yè)務(wù)推廣。根據(jù)不同分組，管理員能夠制定策略實行 上網(wǎng)行為控制和審計 。 上網(wǎng)行為 控制 網(wǎng)絡(luò)應(yīng)用極其豐富，尤其隨著大量社交型網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，用戶將個人網(wǎng)絡(luò)行為帶入辦公場所，由此引發(fā)各種管理和安全問題。 應(yīng)用控制 互聯(lián)網(wǎng)應(yīng)用眾多，要在內(nèi)網(wǎng)對各應(yīng)用進(jìn)行合理的管控，首先需要對應(yīng)用進(jìn)行識別。 對于未知應(yīng)用， SG 支持自定義功能，用戶可通過協(xié)議、 IP、端口等元素定義內(nèi)網(wǎng)系統(tǒng)應(yīng)用，從而對不同用戶進(jìn)行控制。 針對目前 P2P 應(yīng)用 泛濫的趨勢， SG 的 P2P 智能識別技術(shù) 基于 P2P 行為進(jìn)行識別， 不僅能夠?qū)ΜF(xiàn)有的 BT、迅雷、電騾等 P2P 軟件進(jìn)行管控，還 能夠?qū)Σ怀Ｓ玫摹⑽磥砜赡艹霈F(xiàn)的 P2P 軟件進(jìn)行有效管控。針對類似 P2P 難以管控的應(yīng)用， SG 內(nèi)置應(yīng)用智能識別庫，自動判斷新出現(xiàn)應(yīng)用特征，從而歸類管理。 應(yīng)用標(biāo)簽化 管理員可通過 SG 對應(yīng)用 或具體細(xì)分動作 進(jìn)行標(biāo)簽化，例如，迅雷下載定義為“高帶寬消耗”標(biāo)簽、 網(wǎng)盤的上傳動作定義為“泄密風(fēng)險”標(biāo)簽等。 網(wǎng)頁過濾 企業(yè) 員工在日常需要使用網(wǎng)絡(luò)的工作中，需要搜索訪問互聯(lián)網(wǎng)。反人類、反政府、色情、賭博、毒品等包含不良信息的網(wǎng)頁屢見不鮮、層出不 窮， 因此，需要 網(wǎng)頁分類、搜索引擎關(guān)鍵字過濾等技術(shù) 來控制網(wǎng)頁訪問行為 。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 SG 提供自行添加 URL的功能，在查詢 URL庫中沒有此 URL地址時，用戶可自行在設(shè)備界面進(jìn)行添加，也可自定義 URL類型，對 企業(yè) 內(nèi)部網(wǎng)頁進(jìn)行管理。 發(fā)帖過濾 網(wǎng)絡(luò)的開放性給 人們 帶來更多的言論自由，但發(fā)表一些類似色情、反動、迷信或者暴力的信息，影響 社會 安定 ，造成了不必要的影響 ，企業(yè)或個人也要承擔(dān)法律責(zé)任 。天涯、貓撲、百度貼吧等論壇網(wǎng)站， SG 可設(shè)置 只允許登陸、看帖，但 不允許發(fā)帖，或者實行發(fā)帖關(guān)鍵字過濾，靈活避免 企業(yè)中出現(xiàn)泄密或者發(fā)表不良言論帶來法律追究責(zé)任的風(fēng)險。 SG支持基于關(guān)鍵字、收發(fā)地址、附件類型 /個數(shù) /大小過濾外發(fā)郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為 Email 附件外發(fā)，試圖躲過攔截與審查的行為， SG 能夠識別并進(jìn)行報警。 文件傳輸過濾 利用網(wǎng)絡(luò)來進(jìn)行文件傳輸在日常辦公中普遍出現(xiàn)，而在文件傳輸過程中存在種種管理和安全隱患，如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發(fā)過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發(fā)起外發(fā)文件行為而用戶對此茫然無知，有意泄密者甚至?xí)⑼獍l(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過 HTTP、 FTP、 Email 附件等形式外 發(fā)。其中，僅僅實現(xiàn)對外發(fā)文件的審計和記錄顯然無法挽回泄密已經(jīng)給 企業(yè) 造成的損失，單純的基于文件擴展名過濾外發(fā)文件、外發(fā) Email 也無法應(yīng)對以上風(fēng)險。 加密應(yīng)用識別 SSL (Secure Socket Layer)協(xié)議 ， 被廣泛地用于 Web 瀏覽器與服務(wù)器之間的身份認(rèn)證和加密 數(shù)據(jù)傳輸 ， 利用數(shù)據(jù)加密技術(shù) ， 可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。 SG 可以 對 SSL網(wǎng)站提供的數(shù)字證書進(jìn)行深度驗證，包括該證書的根頒發(fā)機構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發(fā)機構(gòu)數(shù)字證書的釣魚網(wǎng)站蒙騙用戶，此功能亦應(yīng)用于過濾 SSL 加密的色情、反動站點，證券炒股站點等。 流量控制 企業(yè)的出口帶寬有限，隨著網(wǎng)絡(luò)應(yīng)用的豐富，出現(xiàn)各種吞噬帶寬的應(yīng)用，如P2P 應(yīng)用，若不對這些應(yīng)用加以限制管理，企業(yè)的帶寬資源必會被搶占，而核心深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 業(yè)務(wù)卻得不到帶寬，從而導(dǎo)致整體網(wǎng)絡(luò)速度變慢，影響正常的郵件發(fā)送和網(wǎng)絡(luò)訪問。 多線路復(fù)用和智能選路 企業(yè)網(wǎng)絡(luò)出口有多條運營商提供的互聯(lián)網(wǎng)線路，在進(jìn)行數(shù)據(jù)傳輸?shù)倪^程中，往往因為跨運營商訪問出現(xiàn)丟包嚴(yán)重、延遲大的問題。 SG 擁有專利技術(shù)（ ZL ，一種基于網(wǎng)關(guān) /網(wǎng)橋的線路自動選路方法），可為數(shù)據(jù)包選擇最快最暢通線路進(jìn)行數(shù)據(jù)傳輸。 SG 的多線路復(fù)用專利技術(shù)使一臺 SG 可同時連接四條公網(wǎng)線路，擴展帶寬、互為備份、流量負(fù)載均衡。 父子通 道 通過部署 SG，可對網(wǎng)絡(luò)出口鏈路總帶寬進(jìn)行細(xì)分，采用“基于隊列的流控技術(shù)”，即建立通道，將不同的控制對象分配到不同的通道里。 SG 支持多級父子通道，即在父通道中嵌套子通道，最大可支持 8 級父子通道。 P2P 智能流控 目前，通過封 IP、端口等限制 “帶寬殺手 ”P2P 應(yīng)用的方式不起作用。 SG 憑借 P2P智能識別技術(shù)，不僅識別和管控常用 P2P、加密 P2P，還能對不常見和未來將出現(xiàn)的 P2P 應(yīng)用加以控制。同時對于下行的接收流量來說，被丟棄的數(shù)據(jù)包已經(jīng)占用了線路帶寬，關(guān)鍵業(yè)務(wù)的帶寬依然得不到提升，流控達(dá) 不到預(yù)期的效果。雖然基于 UDP 協(xié)議的 P2P 應(yīng)用對丟包不敏感，但是下行流量與上行流量有顯著的相關(guān)性，只要控制住上行流量，下行流量就能得到控制。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 動態(tài)流量控制 當(dāng)帶寬有限時，企業(yè)希望通過限制 P2P、流媒體等應(yīng)用來保障郵件、訪問網(wǎng)站等業(yè)務(wù)相關(guān)應(yīng)用的流暢性。無論網(wǎng)絡(luò)情況如何變動，分配的帶寬都是固定的，不能自動調(diào)整，這樣的流控策略往往造成帶寬資源的浪費。 針對此類問題， SG 提供了動態(tài)流控功能。當(dāng)線路空閑時可以放寬通道帶寬限制，應(yīng)用流量可突破原來設(shè)定的最大帶寬限制；當(dāng)線路繁忙時可以下壓通道帶寬，使帶寬恢復(fù)到被限制狀態(tài)，執(zhí)行原有的流控策略。 虛擬線路 用戶出口有多條運營商線路，而在防火墻和核心交換中間，往往只有一條鏈路。 SG 通過虛擬線路技術(shù)，即定義不同的虛擬線路來匹配多條出口線路流量或是來自內(nèi)網(wǎng)不同網(wǎng)段的流量，同時在不同的虛擬線路中結(jié)合父子通道、 P2P 智能深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 識別和動態(tài)流控等技術(shù)，實現(xiàn)更靈活的帶寬分配。內(nèi)網(wǎng)用戶中毒，感染局域 網(wǎng)，導(dǎo)致業(yè)務(wù)中斷，這在很多 企業(yè) 中曾經(jīng)出現(xiàn)過。 網(wǎng)關(guān)殺毒、防火墻 作為一個全面的內(nèi)網(wǎng)管理設(shè)備， SG 提供了豐富的安全增值功能。管理員可自行設(shè)置網(wǎng)關(guān)殺毒的選項，病毒庫實時升級，幫助組織查殺病毒，支持殺毒引擎在線自動升級，也 支持用戶手工升級病毒庫 。 深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 危險行為識別 內(nèi)網(wǎng)用戶將 PC 帶出 企業(yè) ，不小心中毒后極易引起局域網(wǎng)內(nèi) PC 癱瘓。 SG 通過 危險行為智能識別、告警和阻斷功能 ，防止企業(yè)遭受來自內(nèi)部網(wǎng)絡(luò)的安全威脅，并及時告警，幫助管理員快速定位安全隱患，及時響應(yīng)，避免損失 。部分插件提示用戶安裝，但用戶在不清楚插件是否合法 的情況點了安裝。 因此，SG 在注重用戶網(wǎng)絡(luò)安全方面提出了危險插件過濾功能。同時， SG 可設(shè)置信任插件，如常用的在線殺毒插件、播放器插件、休閑娛樂插件等，避免誤殺情況。 準(zhǔn)入 的設(shè)計意義在于三個方面： 1. 僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已經(jīng)無法保證安全性。 3. 客戶端的安全級別往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更新補丁、 不安裝 防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的 漏洞 。 SG 網(wǎng)絡(luò)準(zhǔn)入規(guī)則檢測端點主機是否遵從管理者設(shè)定的安全策略，如操作系統(tǒng)版本和補丁安裝情況、殺毒 /防火墻軟件 安裝 情況、系統(tǒng)進(jìn)程、硬盤文件、注冊表等。 通過 SG 的網(wǎng)絡(luò)準(zhǔn)入規(guī)則，修補內(nèi)網(wǎng)安全短板，避免病毒、木馬等輕易感染內(nèi)網(wǎng)主機，利于 企業(yè) 推行統(tǒng)一的 IT 政策。但感染 ARP 病毒的用戶會發(fā)送大量ARP 欺騙數(shù)據(jù)包，從而導(dǎo)致整個 廣播域 用戶無法訪問外部網(wǎng)絡(luò)資源。 SG 通過網(wǎng)絡(luò)準(zhǔn)入規(guī)則插件結(jié)合防 ARP 欺騙技術(shù)，保證終端用戶安全和保障網(wǎng)絡(luò)可用性。 外發(fā)文件告警 數(shù)據(jù)泄密 通常 在 HTTP、 FTP、 Email 附件外發(fā)文件時會篡改、刪除擴展名，壓縮、加密再外發(fā)。 自動告警 SG 支持在一定時間段里內(nèi)網(wǎng)用戶流量超過一定閥值時，實現(xiàn)自動告警的功能。除了支持上述攻擊告警，SG 還支持殺毒、泄密、郵件延 遲審計、危險行為識別等流量超過預(yù)定的閥值的自動告警。 SG 可自動識別內(nèi)網(wǎng)中使用代理、翻墻軟件的終端，可對 HTTP 代理、SOCKS SOCKS5 代理實行控制，禁止在 HTTP 協(xié)議和 SSL 協(xié)議標(biāo)準(zhǔn)端口使用其他的協(xié)議，從瀏覽器的根源處防止代理行為的發(fā)生。 安全桌面 通過對網(wǎng)絡(luò)安全風(fēng)險分析，再加上黑客、病毒等安全危脅日益嚴(yán)重。針對不同安全風(fēng)險必須采用相應(yīng)的安全措施來解決。 本方案采用 SG 的上網(wǎng)安全桌面功能進(jìn)行安全防護(hù)。管理員可以設(shè)定用戶網(wǎng)絡(luò)訪問控制、文件目錄訪問控制以及文件導(dǎo)出等功能，保證內(nèi)深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 部網(wǎng)絡(luò)及電腦的安全，避免病毒、木馬等侵入系統(tǒng) 。 安全桌面與 SG 形成端到端的企業(yè)級安全解決方案，通過設(shè)置不同的上網(wǎng)權(quán)深信服 上網(wǎng)優(yōu)化網(wǎng)關(guān) 解決方案 限，將內(nèi)網(wǎng)與風(fēng)險重重的互聯(lián)網(wǎng)隔離開，保障內(nèi)網(wǎng) PC 與企業(yè)信息、個人隱私安全，再結(jié)合其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)，實現(xiàn)立體式安全護(hù)航，確保安全上網(wǎng)。 上網(wǎng)安全桌面主要功能包括： 網(wǎng)絡(luò)訪問權(quán)限控制 針對常見的內(nèi)網(wǎng)安全問題，在 SG 上通過 配置放行的 IP 或域名，控制默認(rèn)桌面跟上網(wǎng)安全桌面各自允許訪問的網(wǎng)絡(luò)。 用戶通過上網(wǎng)安全桌面訪問外部互聯(lián)網(wǎng)，通過默認(rèn)桌面訪問內(nèi)網(wǎng)，實現(xiàn)雙網(wǎng)隔離。 目錄訪問權(quán)限控制 通過 目錄訪問權(quán)限控制 功能設(shè)置安全桌面可訪問的默認(rèn)桌面目錄，限制對某些目錄的訪問，保證個人隱私、企業(yè)機密信息安全。 文件導(dǎo)出權(quán)限控制 在保證用戶電腦及內(nèi)網(wǎng)安全的同時，考慮到用戶使用 安全桌面時的便捷 性，可在有文件導(dǎo)出權(quán)限的情況下，將安全桌面內(nèi)的文件導(dǎo)出到默認(rèn)桌面保存，避免重啟安全桌面后文件丟失。它不僅能解決傳統(tǒng)殺軟的病毒庫小、查殺病毒滯后性的問題，而且能解決傳統(tǒng)防病毒廠商無法解決的防止網(wǎng)頁掛馬、惡意插件的攻擊。 降低 建設(shè)和 維護(hù)成本 傳統(tǒng)防范互聯(lián)網(wǎng)風(fēng)險的解決方案需要在網(wǎng)絡(luò)出口處部署防火墻，在終端部署殺毒軟件，不僅投入了大量的資金成本，同時后期 IT 管理員