室外无线wifi整体安装方案-
无线覆盖安装(图文)
1 项目概述
随着信息技术的不断发展,城市信息化应用水平不断提升,智慧城市建设应运而生。建设智慧城市在实现城市可持续发展、引领信息技术应用、提升城市综合竞争力等方面具有重要意义。
当前,无线城市的业务正由早期狭义的普通上网业务,向高速移动互联网业务大局发展,未来还将拓展到物联网、云计算和三网融合等众多业务中。依靠这些层出不穷的新技术、新业务,“无线城市”会让每个人,企业和政府享受更加智慧、高效和安全的服务。
为此,将建设常平土塘公共场所的无线覆盖,本文就WLAN建设提供规划及建议。
2 网络建设需求
本期工程的主要目的是建设能支撑无线网络运行的城域有线及无线网络,满足:
—在充分利用现有光纤资源的基础上(或新建),连接无线网络,承载无线网络各类业务数据通讯需要;
—开展无线宽带上网、移动视频、无线数据VPN等业务的需要;
—满足后续网络扩展,提供更多数据业务的需要;
—提供必要的认证,安全,网管,审计等功能。
本次无线网络建设包括几个部分:
1) 统一的承载网络。无线部分就近接入相应区域的汇聚交换机,通过核心交换机统一交换处理。
2) 统一认证。通过部署统一的认证系统,对用户进行管理。
3) 统一门户。可以根据不同用户需求提供个性化的门户,提供业务推送等。
4) 统一网管。作为运营网络,管理和维护非常重要,需要规划有线、无线一体化管理平台。
3 建设原则
鉴于无线的业务存在一定的特殊性,故在设计网络时主要遵循“高安全可靠、高运维、高带宽、可扩充性、开放性”的原则,具体体现如下:
一体化网络
设计应充分考虑整个网络的统一性与协调性,在网络建设过程中涉及到基础网络中的有线网络与无线网络、语音网络、监控网络,这样要求基础网络与业务网络具有很要的配合与协调性,从管理控制的角度,要求网络具有统一的管理控制措施;
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和链路保护,提供网络安全防范措施,同时网络具备一定的攻击行业防范能力;
高带宽
考虑到由于有无线网络上要承载视频流,要求方案设计的阶段就要充分考虑到网络带宽资源的问题,同时由于业务模型的不确定,要求在标准的基础上还要考虑网络负载均衡能力,以达到网络资源使用的可调配性;
高运维
由于网络的设备分散,网络所承载的用户量较大,故要求网络系统提供较好的运维手段;
可扩充性
随着网络的业务不断扩充,要求网络具有一定的可扩容能力。所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资
开放性
技术选择符合相关国际标准及国内标准,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理
可管理
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
4 网络建设方案
4.1 覆盖区域
本WLAN项目主要覆盖区域包括常平土塘如下场所:
1、港建路两旁
2、塘霞路居民区
3、土塘第一工业园
4、桥东路--塘东路市场
5、盛塘路
6、家居家纺体验馆附近道路
本次覆盖区域属于室外环境,室外环境多样,根据各个场所的环境特点、大小等,部署相应数量的AP,满足各个场所无线接入需求,为保证良好的用户接入体验,尽量保证每个AP的并发接入人数在30以内。
4.2 总体方案设计
4.2.1 方案设计
常平土塘无线覆盖方案方案采用室外AP对土塘工业园和附近的居民区、市场、商业街以及家居家纺体验馆附近区域的道路进行覆盖,目的是在以上区域的室外空间提供无线网络服务。无线网络组网采用AC+AP方式,在常平土塘新建一台无线控制器(AC),对本次新建AP进行管理和控制,同时留有足够的管理区间,可以为之后新增的AP提供集中的管理。AP接入使用PoE交换机,在提供数据传输千兆上联传输的同时,为AP提供电力接入功能。在出口处部署一台上网行为管理设备,对无线上网用户进行策略管理,对用户的网络行为进行审计、记录。整网拓扑如下图所示:
本次网络是一个综合性的承载网络,集成有线、无线、语音、视讯等多个实体的一个综合性网络,因此对网络的性能、可靠性、业务提供能力等均有很高的要求。
4.2.1.1 核心层
无线覆盖安装核心层网络设备,H3C S5500系列交换机通过千兆端口互联上网行为管理设备和无线控制器,无线用户数据在这里实现快速的数据转发;互联无线控制器,可以实时的监控着常平土塘区域的AP的工作情况,当AP需要改动或出现故障时,能第一时间进行配置及发现,对设备的维护提供了便捷的途径。上网行为管理设备对无线用户的网络行为进行记录审计,同时还能对流量进行控制,以确保各无线用户能畅通无阻地进行网上冲浪。同时,设备间的千兆链路互联,达到高带宽、高转发性能的效果。
4.2.1.2 接入层
接入层主要满足AP的接入需求,双链路上行至核心交换机,满足高可靠、负载均衡的要求,同时,建议接入层使用POE接入交换机。
为方便统一管理,提高设备的安全性,本次无线供电设计建议采用POE供电的方式对无线AP进行远程供电。采用POE方式即通过网线对AP进行供电,POE供电方式具备以下几点优势:首先,安全性更高,通过网线进行供电可以避免本地电源的使用,有效减少强电部署,提高土塘地区的用电安全。
4.2.1.3 无线AP
根据公共场地的环境特点,常平土塘无线覆盖区域为室外区域,因此采用WA2620X-FIT(室外型,双频)方案,实现大功率AP设备对室外环境进行全面的覆盖,满足精细化覆盖需求,详细覆盖请看部署方案。
基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对校园进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率.
WA2620X-FIT无线接入设备
4.2.1.4 AP安装规范及示例图
室外无线AP的安装既可以放置在楼层顶部抱杆安装也可以通过墙裙安装支架安装。实际施工及部署时根据现场环境做相应调整。根据H3C多年无线施工经验,可以参考如下安装规范。
4.3 Portal认证方案
Portal的典型组网方式如下图所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
认证客户端
安装于用户终端的客户端系统。该客户端系统为运行HTTP/HTTPS协议的浏览器或Portal客户端软件
接入设备
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
在认证之前:
如果不采用Portal客户端,用户直接使用IE上网浏览,那么设备将用户的HTTP请求重定向到Portal服务器;
如果采用Portal客户端,那么在用户创建连接的时候,设备将会返回给客户端Portal服务器的IP地址、服务端口等信息。
在认证过程中:
与Portal服务器、认证服务器交互,完成身份认证、授权等功能。
在认证通过后:
允许用户访问被管理员授权的部分互联网资源。
Portal服务器
提供免费门户服务和基于Web认证的界面,并与接入设备交互认证客户端的认证信息。
认证服务器
与接入设备进行交互,完成对用户的认证、授权。
4.3.1.1 访客认证业务流程
业务流程如下图所示:
无线覆盖安装 1、 用户通过无线网络获取IP地址上线,可直接访问Portal网址或任意网站;
2、 访问portal网址的用户则直接弹出portal认证页面,访问其他网址的用户则通过重定向功能,自动链接到portal认证页面;
3、 Portal认证界面提供三种选择:(1)访客用户 (2)普通员工用户
(1) 由于没有帐号,则需要通过输入手机号码,动态获取到密码并填入后进行认证;
(2) 通过选择后,可以直接输入用户的帐号和密码进行认证;
此处可以通过相关的策略,给不同用户提供不同权限,例如带宽;同时也可以通过portal推送不同的页面等。
4、认证成功则可以上网,认证失败则推送相关信息并要求重新认证。
4.3.1.2 Portal认证无感知
目前Portal认证是WLAN网络的主流接入认证方式之一。当采用Portal认证时,用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息,操作较为不便。特别是当前使用WiFi网络的Pad、智能手机等终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在Portal页面中输入用户名/密码等信息时极为不便,使得用户上网体验大打折扣。针对此问题,H3C特提出Portal无感知认证解决方案,大大简化Portal接入流程,提升用户的接入体验。本文将为大家简单介绍Portal无感知认证解决方案的相关流程。
一、Portal用户首次接入,自动完成MAC绑定
在Portal无感知认证解决方案,用户首次接入WLAN网络认证流程如图1所示。具体认证流程如下:
步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。
步骤2、AC将监控用户的上网流量。
步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向MAC绑定服务器发起MAC查询请求。
步骤4、MAC绑定服务器向AC返回查询结果:此终端MAC信息未绑定。(由于此终端用户是首次连接WLAN网络,所以MAC绑定服务器中无此终端的MAC地址信息)
步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。
步骤6、用户终端输入用户名、密码信息发起Portal认证。
步骤7、AC与Portal服务器、AAA服务器之间完成Portal认证。
步骤8、AC向MAC绑定服务器发起MAC绑定请求,MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。
步骤9、用户认证成功,正常上网。
二、Portal用户再次接入,后台自动认证,用户零配置
图2 Portal用户再次接入认证流程
在Portal无感知认证解决方案,用户再次接入WLAN网络认证流程如图2所示。具体认证流程如下:
步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。
步骤2、AC将监控用户的上网流量。
步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向MAC绑定服务器发起MAC查询请求。
步骤4、MAC绑定服务器向AC返回查询结果:此终端MAC信息已绑定,并携带此终端的Portal账号/密码等信息向AC发起Portal认证。(由于此终端用户已完成首次登录,MAC地址、Portal账号/密码已在MAC绑定服务器中完成信息绑定)
步骤5、AC与Portal服务器、AAA服务器之间完成Portal认证。
步骤6、用户认证成功,正常上网。
三、用户下线方式
图3 用户idle-cut被动下线方式流程
在Portal无感知认证解决方案,用户下线可以通过idle-cut方式被动下线,即一段时间内AC没有检测到用户流量,AC则强制用户下线,流程如图3所示:
步骤1、AC 将监控用户的上网流量。
步骤2、一定时间内(例如15分钟)AC检测到用户无流量,则向AAA发送计费结束报文。
步骤3、AC强制用户下线。
图4 用户短信主动下线方式流程
无线覆盖安装同时在Portal无感知认证解决方案,用户也可以考虑采用短信主动下线的方式完成用户下线,具体流程如图4所示:
步骤1、用户发送下线请求短信(例如10085xxqq)到短信网关。
步骤2、短信网关收到用户下线请求的短信后将通知MAC绑定服务器。
步骤3、MAC绑定服务器向AC设备发送下线请求。
步骤4、AC收到下线请求,则向AAA发送计费结束报文。
步骤5、AC强制用户下线。
Portal短信认证功能
确定使用WiFi网络的客户只需要接入无线网络后输入手机号,与短信平台联动,获取密码登录。短信认证可确定客户的唯一身份。注:需要提供短信接口对接
认证页面和业务广告推送功能
用户在上网之前发表免责声明,打开页面,弹出定制的web页面(提供修改广告图片及链接地址),用于提示上网政策及业务宣传。可设置认证申请页面,认证成功页面,在网心跳页面。在用户接入无线网络的时候,立刻向用户终端推送业务广告,包括实时的产品、服务、促销活动或者互动投票等内容,让用户及时了解最新动态。下侧示例为某银行的推送页面。
个性化Portal页面定制功能
通过系统提供的绘制工具定制Portal页面, 内置多个模板, 支持PC(包括PAD)和手机终端,同时还可以导入第三方绘制的Portal页面, 方便页面的集中管理。
用户管理功能
可以对用户进行分组,识别登录用户的信息。区分VIP用户和内部用户,普通用户,分配不同的上网时长和流量配额,还可以对带宽限制、应用控制和分配不同权限。
上网流量控制功能
可限制下载类的大流量应用,限制单用户使用网络的流量,保障用户的上网体验。
上网行为管理功能
管理设备可对用户上网行为进行审计,过滤不良网页和应用,提供健康绿色的上网环境。对部分敏感信息进行记录,满足公安部82号令的要求。
完整的报表分析功能和图形化界面
便于了解网络现状现状,进行统计/对比/趋势分析。管理员登录WLAN控制器后台,可随时查看WLAN的接入用户数量及最新接入用户名单,还可直接查看各个热点的设备健康状态,以及每台AP的用户接入数量。
短信认证概述
短信认证通常需要与企业短信平台进行集成,而短信认证模块支持与GSM/WCDMA短信猫或短信网关联动,通过下发实时短信验证码的形式,验证用户信息。
从技术角度来看,目前企业实现短信认证的短信服务主要通过三种方式:
下面对三种方式的特点加以比较:
| |
短信猫(方式一) |
运营商短信网关(方式二) |
短信代理商短信网关(方式二) |
专业短信网关代理设备(方式三) |
| 深信服支持 |
支持主流GSM/CDMA短信猫 |
支持移动V2/V3、电信V3、联通标准接口短信网关;
|
支持标准接口短信网关
非标准接口Webservice方案支持 |
支持标准接口短信网关
非标准接口Webservice方案支持 |
| 优势 |
简单实施,
不需要网络支持 |
批量发送能力强
送达率高 |
资费更灵活
批量发送能力强 |
功能更丰富
批量发送能力强 |
| 劣势 |
批量发送能力较弱 |
资费高 |
发送号码可能不固定 |
资费高 |
| 需要硬件设备: |
需要 |
一般不需要; |
一般不需要; |
需要;例如移动MAS代理服务器;或是用户自主研发的短信代理平台 |
| 厂家 |
|
|
亿美、商信通 |
华为、嘉讯
【中国银行95566短信平台】 |
| 是否需要互联网络支持: |
一般不需要 |
需要 |
需要 |
需要 |
| 需互联网: |
|
约2M |
约2M |
约2M |
| 短信发送 - 响应速度: |
大于5秒,方面取决于短信设备的处理时间,另一方面取决于运营商短信信号的问题 |
2秒-30分钟不等;取决于短信网关的繁忙程度 |
2秒-30分钟不等;取决于短信网关的繁忙程度 |
2秒-30分钟不等;取决于短信网关的繁忙程度 |
| 批量发送速度: |
10条 /分钟 |
大于600条/分钟
(可协商) |
大于100条/分钟
(可协商) |
大于600条/分钟
(可协商) |
| 发送达到率: |
>90% |
>99% |
>97% |
>99% |
| 其他限制 |
受运营商限制
不可发送广告短信 |
协商 |
协商 |
协商 |
| 号码: |
普通手机号码 |
普通手机号+特服号(运营商分配) |
特服号(可能是多客户共享,发送号码不固定) |
普通手机号+特服号(运营商分配) |
| 发送范围: |
移动、联通、电信2G/3G的所有用户 |
| 短信接收: |
有 |
| 接收范围: |
移动、联通、电信2G/3G的所有用户; |
| 短信转发: |
提供,管理员可以自行设置 |
| 管理方式: |
基于浏览器 |
| 和应用系统的接口: |
VB、LotusNotes、Java、数据库、SMTP/SOCKET、统一Web应用接口等…… |
| 接口区别 |
独立接口 |
各运营商内采用统一接口; |
各短信代理商之间接口不同; |
各运营商内采用统一接口;
各客户自主研发接口不同 |
| 缴费方式: |
和普通手机一致
(按月或自动扣缴) |
预存话费(500元起)
自动扣缴 |
预存话费(协商)
自动扣缴 |
预存话费(500元起)
自动扣缴 |
| 资费方式: |
发送0.05~0.1/条;接收免费; |
0.06~0.02/条;接收免费 |
0.08~0.04/条;接收免费 |
0.06~0.02/条;接收免费 |
| 综述: |
小数据量,简单,快捷 |
大数据量,量大价优,服务稳定, |
中数据量,量大价优,服务稳定, |
大数据量,量大价优,服务稳定,功能多 |
4.4 上网行为管理
4.4.1 网桥模式
在核心交换机和防火墙之间部署AC,AC以网桥模式部署,实现对内网用户上网行为管理,并且不用更改网络结构、路由配置以及IP配置,部署简单快捷。(2台AC间启用多机同步功能,实时同步用户认证、会话、配置等信息,互为冗余备份,提高系统可靠性。)
同时,AC具有Bypass功能,在网桥模式部署下关机、开机、重启或者出现故障,则通过Bypass功能实现两端接口二层连通,避免出现链路断开状态,保证业务持续性。
统一部署
本次方案设计中,网络架构为“总部-分支”星型结构,由于在各个分支大规模的部署了上网行为管理系统AC,数量多,地点分散,因此增加了管理难度。为了有效提升管理效率,降低管理成本,在总部部署一台集中管理设备SC。通过SC对全网范围内的AC进行集中式管理,统一下发策略和配置,有效降低管理复杂性。
身份认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。
4.4.3.1 本地认证
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
4.4.3.2 外部认证
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
4.4.4 上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现状和用户行为,保障管理效果。
4.4.4.1 应用控制
无线覆盖安装互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。AC内置庞大应用特征识别库,包含1500多种应用,可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控制,还能够通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势, AC的P2P智能识别技术基于P2P行为进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
4.4.4.2 应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
4.4.4.3 网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识别库动态更新。
4.4.4.4 发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
4.4.4.5 邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
4.4.4.6 文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
4.4.4.7 加密应用识别
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
4.4.5 流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
4.4.5.1 多线路复用和智能选路
企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路,大小不一,流量分配不均,达不到预期的使用效果。
AC拥有专利技术(ZL 200610061591.9,一种基于网关/网桥的线路自动选路方法),可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。通过部署AC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
4.4.5.2 父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
4.4.5.3 P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
4.4.5.4 动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题, AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
4.4.5.5 虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链路。在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术,实现更灵活的带宽分配。
4.4.6 安全防护
AC在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是一个和谐的内网环境。内网用户中毒,感染局域网,导致业务中断,这在很多企业中曾经出现过。因此,通过AC安全防护功能,从外至内提供牢固的内网安全防线。
4.4.6.1 网关杀毒、防火墙
作为一个全面的内网管理设备, AC提供了丰富的安全增值功能。AC集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项,病毒库实时升级,帮助组织查杀病毒,支持杀毒引擎在线自动升级,也支持用户手工升级病毒库。
AC具备强大的防火墙功能,不仅是对内网的环境保护,也是对设备自身的一个保护,保证设备在内网中的稳定性。
4.4.6.2 危险行为识别
无线覆盖安装内网用户将PC带出企业,不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒,当其他用户接受这些看似正常的邮件时,就会无意间受感染。AC通过危险行为智能识别、告警和阻断功能,防止企业遭受来自内部网络的安全威胁,并及时告警,帮助管理员快速定位安全隐患,及时响应,避免损失。
4.4.6.3 危险插件过滤
企业员工在访问互联网网页时,经常出现打开网页后,未等用户反应看清插件名字时,插件已自动安装。部分插件提示用户安装,但用户在不清楚插件是否合法的情况点了安装。随着电脑中安装插件的个数增加,用户电脑处理任务的速度越来越慢,甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。因此,AC在注重用户网络安全方面提出了危险插件过滤功能。
AC将判断插件的数字签名是否合法,插件是否被修改过数据,证书是否过期等信息,自动过滤不合法的插件。同时,AC可设置信任插件,如常用的在线杀毒插件、播放器插件、休闲娱乐插件等,避免误杀情况。
4.4.6.4 网络准入规则
AC的网络准入规则通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。准入的设计意义在于三个方面:
1. 仅靠网络边缘的外围设备已经无法保证安全性。
2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
3. 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、不安装防火墙和杀毒软件等,都成为局域网安全中的漏洞。
鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略,如操作系统版本和补丁安装情况、杀毒/防火墙软件安装情况、系统进程、硬盘文件、注册表等。不满足预设要求的接入端点,禁止其访问互联网或仅提交报告。
通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,利于企业推行统一的IT政策。
4.4.6.5 防ARP欺骗
ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包,从而导致整个广播域用户无法访问外部网络资源。
如何有效防控ARP欺骗是目前用户和业界的难题之一。AC通过网络准入规则插件结合防ARP欺骗技术,保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题,而且网络准入规则技术还将进一步加强端点安全级别,提升整个网络安全级别。
4.4.6.6 外发文件告警
数据泄密通常在HTTP、FTP、Email附件外发文件时会篡改、删除扩展名,压缩、加密再外发。AC能够对外发文件进行深度识别,一旦发现文件后缀名被篡改或删除则定义为安全威胁,并且执行报警工作。
4.4.6.7 自动告警
AC支持在一定时间段里内网用户流量超过一定阀值时,实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时,内网由DOS攻击、ARP攻击产生的流量值会增加,当超过管理员设定的值时,自动告警提醒管理员内网安全存在隐患,以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警,AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。
4.4.6.8 防代理功能
部分员工为了逃避网络管理员对他的网络管控,通过使用代理、翻墙软件,越过网络规章制度,毫无顾忌的上网,给企业的网络管理和内网安全带来了一定的威胁。
AC可自动识别内网中使用代理、翻墙软件的终端,可对HTTP代理、SOCKS4、SOCKS5代理实行控制,禁止在HTTP协议和SSL 协议标准端口使用其他的协议,从浏览器的根源处防止代理行为的发生。一旦用户使用自由门、无界浏览器,AC将自动记录并阻断代理违禁行为,避免出现泄密和网络不可控的事件发生。
4.4.6.9 安全桌面
通过对网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。
本方案采用AC的上网安全桌面功能进行安全防护。管理员直接通过登录AC,对内网中的用户进行上网安全桌面策略配置管理,并统一下发策略。管理员可以设定用户网络访问控制、文件目录访问控制以及文件导出等功能,保证内部网络及电脑的安全,避免病毒、木马等侵入系统。
上网安全桌面功能采用了沙盒技术,在PC终端上创造一个安全的虚拟桌面,用户只能通过这个虚拟的安全桌面上网,在访问外网的过程中,在这个环境里所做的任何对文件、注册表的修改都被重定向,原始的文件和注册表不会被改动,关闭安全桌面后所有改动操作被删除。
安全桌面与AC形成端到端的企业级安全解决方案,通过设置不同的上网权限,将内网与风险重重的互联网隔离开,保障内网PC与企业信息、个人隐私安全,再结合其内置的危险插件和恶意脚本过滤等创新技术,实现立体式安全护航,确保安全上网。保护用户办公电脑与内部网络系统的安全。
上网安全桌面主要功能包括:
网络访问权限控制
针对常见的内网安全问题,在AC上通过配置放行的IP或域名,控制默认桌面跟上网安全桌面各自允许访问的网络。
上网安全桌面会隔离虚拟环境访问主机的文件系统,从而也隔离了来自互联网的木马程序窃取本机文件的途径,保护了本机文件重要资料的安全。
用户通过上网安全桌面访问外部互联网,通过默认桌面访问内网,实现双网隔离。采用逻辑隔离手段比物理隔离布放成本低,效果好,维护费用低,在充分享用信息交互的同时保障了内网信息的安全。
目录访问权限控制
通过目录访问权限控制功能设置安全桌面可访问的默认桌面目录,限制对某些目录的访问,保证个人隐私、企业机密信息安全。一旦用户中了木马,也不用担心电脑中的机密信息被窃取,因为安全桌面内的所有程序只能访问特定的系统文件夹,无法看到机密信息,让黑客无从下手。
文件导出权限控制
无线覆盖安装在保证用户电脑及内网安全的同时,考虑到用户使用安全桌面时的便捷性,可在有文件导出权限的情况下,将安全桌面内的文件导出到默认桌面保存,避免重启安全桌面后文件丢失。
通过AC的上网安全桌面功能,能够实现:
有效保护内网信息
沙盒技术已经是成为业界公认的一种安全技术,已经被各行业产品应用于安全防护。它不仅能解决传统杀软的病毒库小、查杀病毒滞后性的问题,而且能解决传统防病毒厂商无法解决的防止网页挂马、恶意插件的攻击。在特殊环境下,安全桌面及时中毒,也不会感染到默认桌面,因为病毒木马在安全桌面关闭后,所有的数据都将清除,病毒木马在虚拟的环境产生,也将在虚拟的环境中消失。
降低建设和维护成本
传统防范互联网风险的解决方案需要在网络出口处部署防火墙,在终端部署杀毒软件,不仅投入了大量的资金成本,同时后期IT管理员对于设备、软件的维护、升级工作,工作量大,维护成本高。
上网安全桌面解决方案,不需要再部署防火墙及终端杀毒产品,只需要在原有的PC上安装上网安全桌面客户端,管理员在上网行为管理上通过设置策略实现网络访问的安全。因此无论在投入成本还是在维护成本上,相对于传统方式会成倍的减少。
提高用户体验
安全桌面在提供严密的安全防护基础上,也给用户提供了大量易用的功能。例如ActiveX控件的代理安装、Cookie自动保存、安全桌面文件导出等。
ActiveX控件是IE的一个重要特性,在国内使用也是非常广泛的。在IE发现需要安装控件的时候,安全桌面先进行检测,看这个控件是否在允许的范围内。如果在,那么我们将记录安装所必须的信息,然后将这些信息发送给默认桌面的另一个安全桌面组件,让这个组件来执行真正的安装工作。
Cookie自动保存功能可以帮助用户在退出安全桌面以后,下次再次启动仍然可以使用上次记录的登陆信息等。例如用户登陆过了新浪微博,然后用户退出安全桌面,下次启动以后就可以自动帮助用户登陆成功了。
当用户在安全桌面使用互联网,需要将文件保存时,可以向管理员申请文件导出的权限。管理员在AC上做策略后,用户就可以把文件导出到默认桌面了。
端到端便捷管理
大多的杀毒软件产品提供的并非企业级解决方案,所以在组织中强制每个用户去安装并及时更新杀毒产品,是一件非常困难的事情。而位于终端的上网安全桌面与AC组成了端到端的企业级管理解决方案。IT管理员通过AC向终端安全桌面统一下发网络和数据访问权限策略,实现了终端安全的统一管理,简单方便。
4.4.7 防共享(防1拖N)
当用户通过路由器、代理软件共享上网时,AC将通过先进的检测技术发现共享上网的IP、用户名、接入的终端数,并在防共享上网的状态界面显示出来。
核心技术:基于应用特征的方法 + 基于flash cookie的方法
基于应用特征的方法
AC设备内置防代理软件规则库,对最新热门软件唯一特征库进行识别,比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等
PC终端安装这些热门软件后,在使用该软件或者该软件进行更新时,我们的AC设备在网络出口处都能检测到来自于该IP的应用特征。 若发现有同一个用户账号下有2个或超过2个的IP接入,则判断为共享上网的行为,并自动检测到有2个或超过2个终端在接入。
基于flash cookie的方法
同Http Cookie一样,Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息,鉴于Flash技术的普遍性,几乎所有的网站都采用,所以具有同Http Cookie一样的作用。但是相比起Http Cookie,Flash Cookie更加强大:
1、容量更大,Flash Cookie可以容纳最多100千字节的数据,而一个标准的HTTP Cookie只有4千字节;
2、FlashCookie没有默认的过期时间;
3、FlashCookie将被存储在不同的地点,这使得它们很难被找到。
用IE浏览器(任意浏览器均可)进入百度MP3搜索,在不登录百度帐号的情况下打开百度音乐盒,随便试听几首歌曲,这时可以看到在百度音乐盒的试听历史中会出现之前试听的歌曲。
无线覆盖安装接下来我们使用IE自带的删除功能来清除Cookie(也可以使用各种软件的清理Cookie功能),清理完之后再重新打开百度音乐盒,我们发现之前试听的歌曲信息居然还在,情况还不只如此,用任意一个浏览器打开百度音乐盒,都可以发现之前的试听历史,这就是Flash Cookie在起作用。
Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息,鉴于Flash技术的普遍性,几乎所有的网站都采用,所以具有同Http Cookie一样的作用,只要当用户打开浏览器去上网,那么就能被AC记录到fash cookie的特征值。
由于flash cookie不容易被清除,而且具有针对每个用户具有唯一,并且支持跨浏览器,所以被用于做防共享检测,极大的减少了共享上网的漏判率和误判率,使得我们AC防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。
4.4.8 行为审计
许多企业网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公开,给企业将带来泄露商业机密、触犯法律风险等违规违法的隐患。当这类事情出现的时候,为了在最短的时间内找到网络违法的当事人,避免由企业承担相应法律责任。因此,通过AC的应用审计功能,详细记录员工的日常上网行为。
4.4.8.1 实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控,显示用户的所有会话连接状况。
4.4.8.2 全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
4.4.8.3 数据中心及报表
大型机构每天产生数十G日志数据,通过AC独立数据中心实现日志海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能,将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。
AC的风险智能报表能够深入挖掘日志,根据管理员指定的上网行为特征及阈值,自动挖掘日志,自动帮助组织提前发现风险,包括:离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖, AC还支持进行热帖排名,只准看贴不准发帖的灵活管控方式。
通过AC数据中心的内容检索工具,可以实现类似Google一样的内容搜索,从海量日志中查询需要的日志记录,并且支持高级搜索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
4.4.8.4 免审计Key
机构的总裁、高层领导网络访问行为,财务部收发的邮件,关乎机构机密信息,对其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。
4.4.8.5 日志审查Key
企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中,这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用,领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。
因此AC提供日志审查Key技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心,从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看,无权限对行为日志进行审计、查询,从而保障行为日志记录不被滥用。
