网络安全等保：上网行为管理一体化网关解决方案_有线无线一体化网关解决方案.docx

《网络安全等保：上网行为管理一体化网关解决方案_有线无线一体化网关解决方案.docx》由会员分享，可在线阅读，更多相关《网络安全等保：上网行为管理一体化网关解决方案_有线无线一体化网关解决方案.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全等保：上网行为管理一体化网关解决方案_有线无线一体化网关解决方案 上网行为管理一体化网关通用模板 深信服科技 2022年9月 目录 1概述 (3) 1.1需求背景3 1.2项目背景 (4) 1.3上网行为管理一体化网关需求 (4) 1.3.1多分支安全组网 (4) 1.3.2互联网访问授权 (4) 1.3.3业务系统访问保障 (4) 1.3.4互联网访问审计 (4) 1.3.5全网统一管理平台 (4) 1.3.6短信微信增值营销 (5) 1.3.7有线无线统一上网行为管理 (5) 2上网行为管理一体化网关推荐解决方案 (5) 2.1方案整体拓扑 (5) 2.2分支网点部署拓扑 (6)

2、2.3解决方案详细功能介绍 (7) 2.3.1多种认证方式用户授权 (7) 2.3.2智能弹性流量控制 (7) 2.3.3全网设备统一智能管理平台 (8) 2.3.4短信微信营销增值 (10) 2.3.5互联网访问控制与审计 (17) 2.3.6全面的安全防护及网关功能 (17) 2.3.7有线无线统一上网行为管理 (17) 2.4深信服上网行为管理产品市场表现 (18) 2.4.1市场占有率第一 (18) 2.4.2深信服上网行为管理产品资质 (18) 3成功案例介绍 (18) 3.1民生银行社区银行一期450台“一体化”网关 (18) 3.2广东电信广州分公司292台“一体化”网关 (19

3、) 3.3部分其他案例名单 (19) 1概述 1.1需求背景 近年来，随着信息化的高速发展，各大有名企业的业务扩张，越来越倚重信息化技术。加大生产力和扩大业务覆盖地域，是大部分企业的扩张特征。然而，增加分支网点的同时，也需要考虑分支网点和企业总部的网络信息实现快速、安全的交互，以及企业总部对下属分支网络的统筹管理。这样企业的所建设的各种信息化应用才能发挥出最大的效用，帮助企业提高业务效率。 但是，不少企业的分支网点，并没有数据中心，只有互联网出口或者运营商专线为办公业务提供传输支撑，然而运营商专线组网租价格昂贵，大规模部署对企业的运营成本会增加不少压力，因此，如何降低安全组网的成本成为大部分企

4、业关注的问题。同时，如何统筹管理下属分支网点的网络，也是大部分企业关注的问题。企业分支网点网络建设由于成本问题，往往只拉了一条互联网线路，没有过多考虑安全和带宽效率问题。 那么在这样的场景下，客户又会遇到什么样的问题呢？ ?分支网点众多，组网困难：如何提高分支接入安全同时节省IT投资？ ?分支网点人员，信息保护和网络法律意识薄弱：如何规范分支网点员工的网络使用习惯，避免员工网络泄露企业机密，避免员工通过网络发布 违法不良言论？ ?分支网点安全风险：如何强化分支网点的终端安全，避免分支网络遭受攻击？ ?缺乏统一管理：如何对各地分支网络进行管理，落实企业的上网制度； 如何采集和整理数据，为企业高层

5、以及IT管理者的决策提供有价值的 数据参考？ ?员工工作效率低：如何禁止分支机构人员在上班时候网上购物、下载电影、玩游戏等，提高工作效率？ ?总部及分支网点网络行为溯源缺失：如何满足网监对上网行为审计的要 求，减少企业承担的员工上网违法产生的风险？ 1.2项目背景 （客户背景介绍，IT现状，项目概述） 1.3上网行为管理一体化网关需求 1.3.1多分支安全组网 分支机构与总部采用IPSec VPN组网，技术成熟、安全稳定。同时，支持3G功能，在有线链路的基础上提供3G备份链路，保证传输链路可靠性，为业务持续运作提供有效保障。 1.3.2互联网访问授权 为了保证互联网访问的可控制性，要求各分支授

6、权合法的用户访问互联网，且能和现有认证系统相结合。 1.3.3业务系统访问保障 为了满足业务系统的访问便捷，需要在各分支互联网访问链路上对关键应用做带宽保障，对非关键应用且影响到核心业务系统使用的应用做流量控制。1.3.4互联网访问审计 为了满足相关监管机构的要求，需要对互联网访问的行为做审计。且审计数据支持规定格式导出到第三方数据挖掘和分析系统。 1.3.5全网统一管理平台 SC统一管理平台能够高效的对整网设备进行统一管理，并支持强、弱模式结合，分支机构能够根据实际情况灵活调整配置策略，简化部署、便于管理。 1.3.6短信微信增值营销 在无线Wi-Fi环境下提供增值服务，通过收集用户信息、拉

7、动微信粉丝等方式为业务营销推广提供有效途径。 1.3.7有线无线统一上网行为管理 为了满足门店以及总部的无线部署需求，为了让整网更加容易管理且节省成本，同时，为了从接入层开始全面立体的管理用户行为，需要能够直接管理无线AP，直接在网关上配置无线AP的各参数。部署时AP即插即用，不用做任何配置，支持无线控制器管理AP的功能。 2上网行为管理一体化网关推荐解决方案 2.1方案整体拓扑 （. ）参考拓扑 图1 整体拓扑图2.2分支网点部署拓扑 POE 行为管理设备 行为管理设备 图2 分支机构拓扑图 部署说明： （1）各分支需要在出口网关模式部署上网行为管理设备，以满足对分支机构内部互联网上网行为的

8、管理。 （2）各分支一体化网关设备与总部建立IPSec隧道，保证到总部链路可达和数据安全。同时，一体化网关还可以开启3G备份链路功能，保障 核心业务不中断。 （3）可以在总部部署“统一日志中心”，所有分支数据汇总到总部“统一日志中心”；“统一日志中心”数据汇总到总部“统一数据分析平台”。（4）总部需要部署统一管理平台，对全网所有上网行为管理设备做管理，集中配置策略，统一下发。 （5）各分支机构互联网访客采用多重密码认证机制，支持和总部数据中心短信平台做对接，有总部短信平台发送上网认证动态凭证。 （6）各分支的AP直接由“一体化网关”管理，支持无线控制器功能。节省无线控制器设备。 2.3解决方案

9、详细功能介绍 2.3.1多种认证方式用户授权 为了满足各分支IT建设的需求，要求对使用互联网的员工和用户进行认证。 有效的认证机制能有效区分用户，便于部署差异化授权和审计策略，能有效防御身份冒充、权限扩散与滥用等。 深信服上网行为管理支持多种身份认证方式： 本地认证：Web认证、用户名/密码认证、IP/M上网行为管理设备/IP-M 上网行为管理设备绑定； 第三方认证：LDAP、RADIUS、POP3、PROXY、数据库等； 短信认证：通过接收短信获取验证码，快速认证； 微信认证：通过关注微信公众账号，扫一扫二维码即可通过认证； 双因素认证：USB-Key认证； 单点登录：AD、POP3、PRO

10、XY、WEB和第三方系统等； 强制认证：强制指定IP段的用户必须使用单点登录。 丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。 深信服上网行为管理支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。 2.3.2智能弹性流量控制 深信服上网行为管理支持带宽的“自由竞争”与“动态分配”，除了支持采用“基于队列的流控技术”建立管道，将不同的控制对象分配到不同的管道。还可以根据整体带宽的利用率进行动态调整，上浮“限制通

11、道”的最大带宽值，避免带宽浪费，实现价值最大化。 同时，智能流控限制P2P流量，保证流控设备内外流量平衡，提高带宽利用率，保证核心业务不受P2P流量的侵蚀。 传统流控效果（外部还是被P2P流量占满，核心业务仍然没被真正保障）： 深信服智能P2P流控效果（使外部P2P也减少，内外平衡，保障核心业务通道）： 2.3.3全网设备统一智能管理平台 深信服上网行为管理设备支持统一平台管理，通过部署统一管理平台实现全网设备统一的策略的制定与下发，统一集中的设备管理方式保证机构各个环节严格按照总部的相关要求进行上网活动，集中管理平台设备动态组网和多线路技术保证集中管理的稳定可靠运行，从而保障系统网络的畅通运

12、行，另外通过强身份认证的方式保证了系统日志信息的安全，为机构的保密提供了更好的保障。这样真正帮助客户实现了细致而全面的上网行为管理。具体功能如下：（1）方便部署 分支机构人员只需简单配置上网行为管理设备的IP、网关、路由等基本网络信息，确保上网行为管理能够与Internet连通后，将总部集中管理平台的地址填 入即可。在总部集中管理平台与分支上网行为管理建立连接后，分支上网行为管理设备的所有其他配置选项完全可以通过总部集中管理平台实现配置和管理，无需分支人员在参与，从而帮助大型组织快速、方便的部署多台上网行为管理网关设备。 （2）集中管理 通过使用集中管理平台集中管理平台，总部可以将全网的成百上

13、千台上网行为管理上网行为管理网关设备集中管理。总部的IT管理人员通过编辑集中管理平台“复制模板”上的相关配置，并通过一次鼠标点击实现全网指定上网行为管理设备上相关配置的统一和更新，既方便了管理同时又确保了策略的一致性。 而对于某些分支上网行为管理设备上部分配置较“个性化”而与其他分支上网行为管理不同时，IT管理者同样可以通过集中管理平台对此类上网行为管理设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。 （3）分级授权 集中管理平台集中管理平台支持管理员分级管理。将分支上网行为管理设备划分到集中管理平台的不同“区域”中，集中管理平台上配置的不同管理员将具有不同“区域”的管理

14、权限，具体权限划分包括Read-Only只读权限和Read-Write读写权限之分；同时集中管理平台支持将指定的分支上网行为管理设备的不同功能模块的修改权限下放给分支本地管理员，从而实现总部管理员、“区域”管理员、本地管理员的分级管理结构，强化了管理的灵活性。 （4）实时监控 部署于总部的集中管理平台集中管理平台通过集中监控模块可以查看全网所有分支上网行为管理设备的运行状态，包括该分支上网行为管理设备是否在线、CPU利用率、内存占用率、数据包收发统计等信息。 缺乏实时监控的总部IT部门只能等到分支机构人员报告故障时才会匆忙应对，不仅降低工作效率，同时降低了分支机构人员的满意度和影响SLA达标；

15、而通过集中管理平台的集中监控功能，总部IT人员可以实时发现分支机构上网行为管理的运行状态，及时定位问题所在，为全网用户提供一个更稳定、更高效的互联网访问环境。 （5）设备自动升级 在集中管理平台上加载升级包，设定时间计划，并勾选需要升级的分支上网行为管理设备，集中管理平台将帮您自动完成，并通过实时监控模块显示被升级的分支上网行为管理设备的运行状态、是否在线等情况，极大的方便和简化了IT 人员的工作量。 2.3.4短信微信营销增值 2.3.4.1短信认证方案介绍 可针对不同的门店推送不同的portal页面： 图 3 多门店多portal页面配置 可自定义配置portal页面：修改广告页面、logo、背景配色、免责声明等 图4 portal页面配置短信和密码认证手机效果图：