产品中心

当前位置:首页 >深信服 >安全类

深信服 上网行为管理AC

深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。

咨询产品

产品介绍

深信服上网行为管理是连续9年市场占有率第一的中国品牌 (数据来源:IDC)。它一直秉持“让上网可视可控,让数据更有价值”的理念,通过专业的用户认证与管理、应用控制、流量管控、信息资产防护、非法热点管控、大数据日志分析等功能,让客户看得清带宽流量现状,管得住应用和内容,以此提高办公效率、规避泄密和法规风险、保障内网数据安全、实现可视化管理,同时让数据更有价值。

    深信服上网行为管理广泛应用于政府、教育、金融、企业等办公网互联网出口(千兆和万兆)、有线无线混合网络出口、多分支组网、多门店无线增值营销、内网用户认证等场景,目前服务于5万多 家各行业用户。



为什么上网需要可视可控?

Ø  “看不见管不住”的风险让网络管理更加困难

互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。




Ø  非法、难定义的上网行为,给客户带来各种问题


1、办公效率低下

员工在上班时间玩游戏、聊天、看视频、浏览新闻、在线购物等;


2、核心业务无法保障

员工大量进行P2P下载、在线视频等带宽占用大的应用,容易挤占正常业务系统带宽(如OA系统、邮件系统等),影响核心业务的正常进行;


3、企业信息存在安全风险

各种外发途径(如HTTP上传、网盘上传、论坛发帖和上传、邮件外发附件、IM外发、微博上传等)容易泄露企业核心信息,造成无法估量的损失;


4、非法Wi-Fi热点暴露内网

无线共享工具如360随身Wi-Fi、小度Wi-Fi、小米Wi-Fi、猎豹免费Wi-Fi软件等,价格低廉且易用,此类共享网络的行为容易导致内网暴露,成为不法分子入侵内网的跳板,窃取核心资料或攻击内网,造成极大的安全隐患;


5、无线网络缺乏有效管理

在有线和无线混合使用的网络里,有线和无线网络无法统一管控,移动APP应用无法有效识别和控制,无线用户权限无法精细划分,管理难度大。


实现上网可视可控的本质

造成上述网络管理问题的各类上网行为,从逻辑上可以分为用户、终端、应用、内容、流量5个要素,而从业务管理的角度可以合并为“用户和终端”、“应用和内容”、“流量”三个元素。因此,要解决上述问题,即要实现上网的可视可控,就是要实现“用户和终端”、“应用和内容”以及“流量”的可视与可控。


实现上网可视可控存在诸多挑战

互联网上各种应用快速更新跌代,新应用、新场景也层出不穷,网络中不断进行着识别、管控、隐藏、再识别、再管控、再隐藏……这样的对抗循环。当前,要实现网络的可视、可控,存在着诸多的挑战:


用户和终端方面

挑战一:非法用户和终端通过非法方式接入内网      

一些非法用户和终端采用非法的方式接入内网(如:360随身Wi-Fi、家用无线路由器等),这些无线共享工具将组织内网暴露在无线中,容易被不法分子入侵,一旦被侵入内网,不法分子可窃取内部核心资料,甚至破坏内部网络,造成网络瘫痪。



应用和内容方面

挑战二:层出不穷的应用让网络难管理、难运维

大量新应用和老应用的新版本,给应用识别与管控以及后续的运维带来巨大的挑战,让网络难管控,难运维。

挑战三:同一个应用的“好功能”和“坏功能”,管和不管两难

另外,即使是同一个应用也可能具有两面性,他们有“好”的功能,也可能有“坏”的功能,“好”功能具有实用性,而“坏”功能具有风险性,因此,此类应用的管控成了一个两难的问题。


挑战四:先进的加密和隐藏技术让非法内容轻松绕过监管

据Gartner分析,超过50%的国外网站已经采用SSL加密方式,而国内HTTPS网站数量也在快速增长,而且越是非法网站,越会采用加密的方式隐藏其内容。因此,趋近50%的网站内容将不可控。

不仅如此,Gmail、163 Mail、QQ Mail等主流邮箱已经默认采用SSL加密方式传输,而传统审计设备无法识别或审计加密邮件内容,这些主流加密邮箱将会成为泄密的重灾区。而流行的自由门、无界等代理软件,能够轻松绕过组织的监管,让网络管理和网络安全形同虚设。

因此,先进的加密、隐藏技术让非法内容绕过监管,成为实现应用和内容可视可控的重要挑战。

 

流量方面

挑战五:识不全、管不住的无关流量影响网络可用性

由于P2P流量没有明显的协议特征,再加上其带宽侵蚀性的特性,造成P2P流量的全流量识别困难。大量客户反馈已经有传统流控设备,业务却依然卡顿,也是这个原因。通过测试传统的流控设备,我们发现P2P应用的流量识别率只有40%左右。因此,60%的P2P流量无法识别,而这60%看不见、管不住的P2P流量将直接抢占业务带宽,影响核心业务正常的运行,这将成为实现流量可视、可控的巨大挑战。



如何实现上网可视可控?

深信服一直为实现上网可视可控而不断创新


不管在过去的互联网时代、现在的移动互联网时代,还是即将到来的云和大数据时代,深信服一直致力于实现上网的可视可控,并不断为之创新:



如何实现“用户和终端”的可视与可控?

为客户提供更简便的身份识别和更安全的接入方式之后,基于不同的用户、终端及接入方式划分权限策略,实现“用户和终端”的可视与可控。



技术一:结合业务场景和现有系统,认证更灵活

上网行为管理的身份识别系统必须考虑客户不同的业务场景,除了普通办公的账号密码认证之外,还有面向公共区域顾客的无线上网,需要兼顾简单、安全和增值的需求;另一方面,我们需要能够无缝对接客户环境中现有的用户管理系统,比如能够结合AD域、Radius、城市热点等,尽量降低客户网络的复杂度,降低客户实施和运维的难度。


技术二:非法接入管控技术,让非法接入无处藏身

无线共享网络的行为,是内网安全的巨大隐患,上网行为管理产品需要能够准确的识别无线共享行为,秒级发现,立刻封堵,并迅速告警。



如何实现“应用和内容”的可视与可控?

深信服通过四个步骤来实现“应用和内容”的可视可控:首先全面精准识别应用,然后基于业务视角管控应用,其次更细粒度的管控应用,最后对于特殊应用内容进行定向精准识别与管控。



技术三:完善的应用识别技术,覆盖99%以上的常用网站和应用

凭借十五年应用层技术积累,深信服力争将每个应用的识别做到极致。截止目前已经积累了几千万条分类URL,以及6700多条规则,3000多种应用,1000多种常用移动应用APP。而且,深信服保持每半个月更新一次的快速迭代,不仅新增常用应用,还及时淘汰老旧应用,避免识别库的臃肿。



技术四:业务角度管控应用,一切以业务价值为中心

从业务角度对应用进行标签化分类,更好的对应用进行管理和分析,让业务高效、稳定。同时,由于应用数量众多,容易错配漏配,标签化能让应用管理更准确、简单,更易运维。



技术五:精细管控应用的细分功能,兼顾安全和实用性

针对具有多面性的应用,比如网盘,其上传功能有泄密风险,而其下载具有实用性,因此,应该精细管控网盘的不同动作,如:封堵网盘上传,放通网盘下载。通过精细化的管控,兼顾安全和实用性。



技术六:精准的SSL内容识别与代理识别技术,防止非法内容绕过监管

    深信服通过专利技术,精准识别SSL加密的网页和邮箱等,并能够对加密内容进行有效过滤,同时,依托多年应用层技术积累,深信服的代理识别技术能够识别包括自由门、无界在内的40多种代理软件,通过对这些非法内容的识别,能够有效的防止非法内容绕过组织监管,保护上网内容安全,真正做到应用和内容的可视与可控。


如何实现“流量”的可视与可控?

  深信服流量控制的目标是更全更准的管控与更人性化的管理。管控方面,主要是对P2P应用的全流量管控,以及基于用户、终端等多维度应用流量统计;管理方面,主要是从单级策略到多级策略,从静态策略到动态策略,从一刀切的封堵,到疏堵结合的方式,多种创新技术结合,既能保障业务正常高效的运行,还能兼顾用户体验。


技术七:精确控制P2P上下行流量,实现业务带宽有效扩展

  • 传统流控设备治标不治本

传统流控基于缓存丢包的技术,但由于P2P应用的带宽侵蚀性,导致即使流控设备保障了内部LAN网口的带宽空余,但实际上,流控设备的WAN口依然被大量的P2P下行报文占满,最终实际业务带宽无法得到有效扩展。


  • P2P智能流控技术,真正扩展业务带宽

    深信服P2P智能流控技术,通过抑制P2P上行流量,达到降低P2P下行流量的目的,使流控设备的LAN口和WAN口的P2P流量一致,真正让业务带宽得到有效扩展,使得整体带宽利用率提高30%以上。


技术八:动态流控,空闲时突破限制,带宽利用率提高15%

组织往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,深信服AC支持用户间带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据整体带宽的利用率进行动态调整,上浮“限制通道”的最大带宽值,避免带宽浪费,提高带宽利用率15%以上。


技术九:疏堵结合,兼顾业务保障和用户体验

当用户的配额超限的时候,传统流控设备会直接封堵用户所有流量,这种一刀切的封堵,不仅影响了业务开展,同时还影响了该员工的用户体验。深信服流控黑名单技术,针对超额的用户,将该用户非业务应用的流量(P2P流量等)引入惩罚通道,降低此类应用的流量。而该用户的正常业务流量仍然在业务保障通道中,不受影响。这种疏堵结合的流控方式,兼顾业务和用户体验,有助于减少内部投诉,缓和部门间矛盾。