• 合作共赢
  • 联系我们
  • --> 上网行为管理 - 常州弱电工程|常州深信服|智能化二级资质|系统集成资质|安防资质|监控安装|门禁一卡通|桌面云|IP电话|智能停车场|电子围栏|视频会议|综合布线|
    系统集成
    上网行为管理

     网络安全:   上网行为管理   |    下一代防火墙NGAF




      深信服上网行为管理AC
     
    产品导入
    某公司网络管理员小王最近遇到以下头疼问题:
    1. 员工抱怨上网卡慢,影响办公效率,投诉不断;
    2. 部分人上网娱乐、工作效率低,老板要求制定治理手段;
    3. 听说《网络安全法》要求做上网审计,担心不合规会背锅;
    4. 无线wifi需要密码认证,访客吐槽用个无线太麻烦;
    面对这些问题,小王找到了深信服上网行为管理,轻松全搞定。
    深信服上网行为管理拥有专业的用户认证与管理、应用控制、流量管控、行为审计等功能,让用户看得清上网流量现状,管得住网络应用和内容,以此提高办公效率、规避泄密和法规风险、保障内网数据安全、实现可视化管理。
    销售场景
    1. 网络安全法要求保留上网记录,日志至少留存6个月;
    2. 无线公共上网场所必须上审计设备,网安有检查要求;
    3. 内部上网需要有相应认证手段,来定位用户身份;
    4. 客户建设无线网络,希望有多种认证方式匹配不同场景(内部人员、访客、分支等);
    5. 上网慢体验差,关键业务带宽无法保障;
    6. 客户需要规范员工的网络行为,规避非法上网行为的风险;
    7. 客户关注员工工作效率,需要封堵各类工作无关的上网行为;
    8. 客户内部机密资料较多,需要严密审计网络外发行为及内容;
    9. 分支需要和总部VPN组网,同时又有流控和审计需求;
    核心功能

    1、用户认证:对上网用户进行身份验证,识别其身份。拥有29种认证方式,常用的有IP/MAC绑定、密码、短信认证等,满足各种有线和无线场景的上网认证需求。


    客户需求

    AC对应提供

    每个账号只允许通过各自PC和手机上网

    密码认证+IP/MAC绑定:绑定上网账号和用户的PC、手机等

    和内部的认证系统结合,做上网认证

    第三方服务器认证,支持LDAP、Radius、POP3、H3C CAMS等服务器

    公共无线Wi-Fi上网,接入要简单便捷

    短信认证、微信认证(关注微信公众号,即可上网)

    领导或特殊人员上网,不希望被管理

    特权Key认证(类似U盘):插在电脑上即可上网,不被审计或管理

    2、应用控制:通过上网策略控制用户的上网权限,包括能访问哪些网页、使用哪些应用、上网的时长和流量等。可以基于用户、时间、终端等多种维度制定上网策略,如:


    上网要求

    财务部上班期间禁止用手机打王者荣耀、阴阳师

    如何制定上网策略

    用户:财务部

    时间:上班期间

    终端:移动终端

    内容:禁止王者荣耀和阴阳师

    3、流量管控:对用户的上网带宽进行分配,保障关键应用享有足够的带宽,限制娱乐等无关应用的流量。并且支持动态流控,当网络空闲时,自动放开对无关应用的限制,提供带宽利用率。


    流量要求

    如:老板重点保障,财务部保障邮件访问,普通员工限制下载网速

    如何制定流量策略

    老板: 
    保障>500KB/S

    财务部+邮件应用:
    保障>500KB/S

    普通员工+迅雷等应用+上班:
    限制<100KB/S

    4、行为审计: 全面审计用户上网行为(做了什么),包括访问网页和应用、收发内容(邮件、聊天内容、传文件等),一些加密应用也可以。并且支持外置数据中心,以报表的形式呈现,实现上网行为分析、关键事件查询、网络泄密追溯等,完全满足网络安全法的审计合规要求。
    需求分析
    1. 贵单位目前网络出口带宽多大?有多少人能上网?是否有员工或者领导频繁抱怨上网慢体验差的问题? 
    说明:缺乏管理的网络带宽,就像没有红绿灯的公路系统。而且在线视频或P2P下载等大流量应用,会疯狂抢占带宽,难以管理。AC拥有多种流控技术,如P2P智能流控、动态流控等,可以管好网络流量,还能保障重要应用的带宽。
    2. 贵单位是否建设无线网络?访客或顾客如果要使用Wi-Fi,如何实现上网认证?需要一个个询问无线密码吗?
    说明:AC拥有多种认证方式,满足各种无线和有线的认证需求,比如内部员工使用密码+短信认证;顾客使用微信认证,方便快捷,还能推广公众号。
    3. 贵单位对于员工上网是否有限制要求?比如禁止浏览反动/赌博/色情等不良网站,或者禁止网购/看视频/刷朋友圈等?目前通过什么方式管理?
    说明: AC能识别和管控各种网络应用,具有全国最大的应用识别特征库、网页库,并且可基于时间、用户、应用实现精细灵活的管控(结合下个问题)。
    4. 目前各部门的上网权限是否相同?比如研发部、财务部、市场部能访问的网页应用是否不同?是怎么做的?
    说明: AC可以针对不同部门做不同的上网策略,放开相应的应用权限。并且可以绑定个人的账号和上网终端,防止账号借用、乱用。
    5. 您通过怎样的方式了解当前网络的使用状况和存在的问题?比如流量、在线用户、网络应用等。目前是怎样管理的呢?
    说明: AC一直坚持让上网可视可控的理念,能帮管理员看清网络中的用户、终端、流量、应用、风险等情况,比如在线用户状况、应用流量的排行、风险行为分析等。
    6. 贵单位是否有了解到网络安全法的审计要求?有没有接到公安部或网安的要求呢?是否有应对方案?
    说明:网络安全法要求所有单位都必须留存上网纪录,公安部要求无线公共上网场所必须做审计,目前AC已入围公安部的名单,而且AC能全面审计各类上网行为,完全满足各种法律法规的要求。
    7. 公司内部对信息保密方面有哪些规定?是否有专门针对于追查网络泄密的审计措施? 
    说明: AC能全面审计网络外发行为及内容,包括邮件、论坛、聊天工具等应用,可以帮助客户分析泄密风险,快速追查泄密人员。
     
    深信服下一代防火墙NGAF
    产品导入
    什么是下一代防火墙?防火墙通常用于两个网络之间的隔离,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。但是随着黑色产业链的兴起和攻防技术的进步,“人”的因素已经发生了变化,有行为正常的“好人”,也可能有居心叵测,想携带“火种”混入的“坏人”。所以对于防火墙来说,需要能够有更先进的技术可以识别出“好人”和“坏人”,于是就有了下一代防火墙的概念。
    国际知名IT咨询机构Gartner在2009年最初发布了对下一代防火墙NGFW的定义,简单来说下一代防火墙相较与传统防火墙的区别就是NGFW深度集成了入侵防御功能,能够实现对数据内容的检测以及能够对应用协议和用户进行识别和管控,比传统防火墙只能基于IP地址和端口的管控方式提供了更细粒度的控制手段。
    深信服在2011年7月发布了下一代防火墙产品NGAF,是国内最早发布NGFW的安全厂商。相较与Gartner定义的下一代防火墙,深信服下一代防火墙做了更进一步的提升,最大的特点就是融入了对Web业务安全保护的能力,深信服下一代防火墙提倡的价值主张是:融合安全,简单有效。融合是指围绕业务生命周期,从事前,事中,事后所需要的安全保护技术手段的融合,简单有效是指安全交付能够简单,可视,安全运营可以持续开展。
    销售场景
    1. 客户有网络改造,新建机房或者新建业务系统的需求。
    2. 客户网站被第三方监管机构检测出漏洞或威胁,并被通报要求限期整改。
    3. 出现了如新型恶意软件(勒索病毒,木马等),高危漏洞大规模爆发的安全事件应急处置需求。
    4. 客户存在等级保护等安全合规性建设需求。
    5. 客户原有防火墙使用年限较长(3年以上),存在替换的需求。
    6. 网络不同逻辑区域之间或者物理区域边界之间还未部署安全设备。
    7. 客户有采购入侵防御系统IPS或Web应用防火墙WAF的需求。
    核心功能
    安全域隔离:相较与传统防火墙,可以提供更丰富的访问控制元素,如应用类型,用户来对逻辑区域之间的行为进行更精细化的管控。
    漏洞攻击防护:保障终端或者服务器上存在漏洞不被黑客所利用进行攻击,能够及时应对高危流行漏洞的爆发,避免出现安全事件。
    Web应用防护:保护客户的网站在遭受到黑客攻击后的可用性,避免网站被挂马,植入后门,篡改等安全事件的发生。 
    网站防扫描:降低被监管机构通报的风险,能够拦截黑客或者第三方机构通过漏洞扫描软件或者硬件来对网站进行漏洞扫描行为。
    实时漏洞分析:帮助用户提前发现自身业务存在的风险,实时检测和发现被保护对象上存在的漏洞,弱口令,不安全的服务配置等风险。
    黑链检测:帮助用户实时检测网页内容是否已经被黑客篡改植入了非法黑链。避免被监管机构通报和造成负面的社会影响。
    失陷主机检测:帮助用户实时检测内部存在异常行为和流量的终端主机。尽早发现已经中了勒索病毒,远控木马的主机,避免威胁进一步扩散。
    综合风险报表:能够帮助用户更直观的了解自身的业务安全风险,降低网络安全运维难度,更容易体现出安全运维的价值,报表是打动客户的杀手锏。
    需求分析
    问1:贵单位目前部署了哪些安全设备?什么品牌?
    说明:主要是为了了解客户目前的安全现状,明确是否有应用层安全的引导机会。
    问2:这些安全设备都部署在哪里?主要用途是什么?
    说明:了解有哪些场景可以切入,明确应用场景
    问3:这些安全设备使用了多长时间了?使用情况如何?
    说明:了解是否有替换的机会,关注用户的痛点。
    问4:目前有哪些主要的业务系统?今年是否有新的系统上线?
    说明:了解原有系统是否有加固的可能,是否有新建系统的安全建设参与机会。
    问5:贵单位安全建设有没有遵循的标准?是否有相关的行业建设规范?
    说明:了解客户受到哪些安全合规性的管制,受到哪些监管机构的要求。
    问6:对于终端的安全,你是否关注?现今受控僵尸主机,勒索病毒等恶意软件非常流行,不知道您单位是否也出现过这类的问题?
    说明:了解客户运维的痛点
    品牌优势
    1. 市场品牌领先:2016年在IDC综合类防火墙市场报告排名第二, 销售额年复合增长率超过70%。。
    2. 产品稳定可靠:深信服是国内第一家发布下一代防火墙产品的安全厂商,产品自2011年发布以来,累计使用用户超过4万多家,销售设备5万多台,连续多年入围电信、移动,南方电网,国税总局等高端行业集采目录。
    3. 技术优势领先:连续多年入围Gartner企业级防火墙魔力象限,国内仅三家厂商入围,深信服下一代防火墙的技术前瞻性评价最高。
    4. 第二代防火墙标准制定者:深信服主导和推进了国家第二代防火墙标准的,并参与制定了国家第二代防火墙的标准。
    深信服SSL VPN
    产品引入
    什么是SSL VPN?SSL VPN有什么用?
    说到专线,大家都清楚,是运营商提供的『专用线路』,所以很安全,但是价格非常贵;
    SSL VPN 是 『虚拟的专线』,是在常规线路上,用更低的价格实现『专用线路』的效果。
    怎样用形象的比喻介绍SSL VPN?
    专线,相当于是把货物放在专用的列车上运输,有专人看管,其他人员接触不到这个列车,很安全;但是成本会非常高一般人很难接受、便捷性很差(必须指定地点才能通过专线接入);
    而SSL VPN 相当于是把货物先放进集装箱锁住(做加密),再把集装箱放在普通货运列车上,运输过程中有人接近也打不开集装箱的锁(黑客无法解密),所以也很安全;不需要指定专用列车运输,放在哪辆列车上都可以运输(适应任意网络环境),成本更低、灵活性更高。
    销售场景
    1. 【移动办公需求】客户有业务系统需要在出差或者回家的时候访问,需要用到VPN安全接入。
    2. 【国密替换需求】客户被国密办检查,并被通报要求限期将现有设备替换成国密设备。
    3. 【核心系统安全加固需求】客户有安全性要求很高的系统,需要通过SSL VPN做高强度身份认证
    4. 【协同办公需求】客户需要给代理商提供订货系统,代理商需要安全接入
    5. 【现有应用迁移需求(对应远程应用发布方案)】客户现有系统在新的操作系统或者平台上没办法使用,也没办法重新开发
    6. 【APP中植入VPN需求】客户正在开发手机APP或者已经开发完成,存在APP安全接入需求
     

    典型销售场景举例:什么样的情况适合卖深信服的 VPN?

    1. 远程移动办公:在公司范围外,连入公司办公

    下班回家,或者在出差的路上,突然接到领导电话:『小王,有个非常紧急的邮件需要你处理!』


    A:没有SSL VPN之前

    B:有SSL VPN以后

    好的!我现在马上回公司!
    打车去公司25分钟
    上楼、开灯开电脑、处理邮件15分钟
    关机关电脑下楼打车回家25分钟

    好的!我现在马上处理!
    打开电脑、联网、登录SSL VPN 3分钟
    处理邮件10分钟

    耗时1个多小时

    耗时15分钟左右

    费用、报销一大堆

    不产生额外费用

    1. 业务系统向互联网发布:隐藏真实服务器,避免黑客攻击

    IT部主管:『新建的这套系统,领导希望在有网络的地方都能访问到!』


    A没有SSL VPN时

    B部署SSL VPN以后

    好的!我马上安排!
    放通业务服务器的互联网权限
    对用户公布真实服务器地址

    好的!我马上发布!
    放通VPN的互联网权限
    对用户公布VPN的地址

    数据传输不加密,被黑客截取篡改,1分钱在商城买了充值卡

    数据传输加密,黑客截取以后看不懂、无法篡改

    黑客可以扫描到服务器发起攻击,导致机密数据泄露

    黑客只能扫描到VPN设备,不知道服务器是什么,无法发起攻击

    1. 使用APP在手机/平板做移动办公:APP自动封装

    IT部主管:『老板给我打电话,说xx公司老总手机上有个移动办公应用可以随时用!我们公司之前开发的APP也要对外发布,不能只在公司内用!』


    A只有传统SSL VPN时

    B有了应用自动封装以后

    好的,我帮老板设置下!
    老板,请先安装SSL VPN客户端
    点击客户端 输入VPN接入地址!
    接着输入用户名密码登录!
    连接过程有提示VPN连接,请点击确认!
    把客户端退到后台,不要杀掉进程!
    点开移动应用APP,输入用户名密码登录!
    您现在可以使用了

    好的,我帮老板封装下!
    5分钟,完成移动办公APP自动封装
    老板,请安装新版本的安全APP!
    输入用户名密码,登录就可以用了!

    传统方式用户操作过程太麻烦

    APP封装,用户设置、使用简单,使用体验好

    核心功能
    最安全
    9种身份认证方式:用户名/密码、硬件特征码、短信、动态令牌、USB KEY、CA、LDAP、Radius、口袋助理动态码认证
    更安全的加密算法:支持国密SM1、SM2、SM3、SM4
    主从账号绑定:如果销售登录的是自己的SSL VPN,即便他盗取了老板的业务系统帐号,也没办法登录。
    最细致的权限划分:按角色划分访问权限,销售管理系统可以让销售访问、财务系统只能财务访问,而老板则可以访问所有系统
    最快速
    多线路智能选路:多条线路同时接入的情况下,自动选择最快的线路接入。默认是移动走移动、联通走联通、电信走电信。
    单边加速和高速传输协议:占满带宽传输工作文件,打开系统速度更快
    流缓存:削减75%左右的重复流量,即可降低四分之三的文件传输工作,用1分钟的时间传输4分钟才能传完的数据,提升效率
    最易用
    系统兼容性:兼容Windows、MAC和Linux系统
    浏览器兼容性:兼容所有浏览器(MAC和Linux在9月支持)
    移动终端兼容性:Android和IOS最新版本智能终端
    可扩展
    远程应用发布:所有的Windows应用,都可以直接平移到Windows、MAC、Android和IOS终端上,不用做任何开发。
    移动APP封装:在APP中直接植入VPN接入代码,只安装移动办公APP即可完成VPN登录过程,用户使用更简单
    需求分析
    移动办公类:
    1、 领导、同事出差在外或者下班回家,是否需要接入到公司的办公系统处理未做完的工作?
    Ø 目前是否有应用系统直接发布的互联网上让出差的同事或者领导在家里访问,例如办公OA、ERP?
    数据安全保障类:
    2、 是否担心在公网上直接对外发布应用系统,服务器被攻击,或者数据被窃取?
    Ø 数据明文在互联网上传输,客户的机密数据很可能被黑客截取篡改,面对这种情况,是否采取了相对应的解决方法?
    业务移动化类:
    3、 公司是否有计划将业务系统向移动互联网迁移?比如希望使用智能终端(手机/PAD)访问现有业务系统?
    Ø 是否准备开发App?
    Ø 【推荐远程应用】不开发APP,老系统向Android/IOS端如何迁移?
    Ø 【推荐APP封装】App安全接入如何保障?是否有开发团队开发安全接入模块?
    国密需求类:
    4、 贵司目前所用的是哪家的VPN产品?是国内厂商还是国外厂商的?
    Ø (国内友商)此款产品是否支持国密算法?是否知晓,目前被广泛使用的RSA公钥密码算法已经被事实上破解,面临严重的安全威胁?
    Ø (国外友商)是否考虑其加密算法安全风险?是否担心其内置后门,带来业务风险(棱镜门事件)?
    品牌优势
    1. 市场品牌领先
    Ø 国内唯一一家入选Gartner SSL VPN魔力象限厂商
    Ø 连续9年市场占有率第一,市场份额超过40%
    Ø 2016年销售额年复合增长率超过业界平均水平3倍;
    2. 技术绝对领先
    Ø 推出全球第一款IPSEC/SSL二合一VPN、
    Ø 是国家SSL/IPSEC VPN技术标准核心制定者、
    Ø 申请SSL VPN专利技术30余项;
    Ø 业界唯一一个兼容Windows、MAC和Linux及所有PC浏览器的SSL VPN
    3. 集采入围
    Ø 中央政府采购清单
    Ø 国税总局协议采购
    Ø 中国工商银行总行集采入围
    Ø 中国建设银行总行集采入围
    Ø 招商银行集中采购
    4. 案例最多,众多高端客户一致选择
    Ø 用户数量超过21000 家,囊括政府、金融、运营商、能源、教育、企业等各行业用户
    Ø 拥有业内最多的高端客户,包括国务院国资委、海关总署、环保部、公安部、最高检、最高法、中国移动、中国联通、中国人民银行、银监会、伊利集团、海尔集团、三一重工、中广核等
    深信服广域网加速WOC
    产品导入
    XX客户在全国有30多个分支机构,伴随着企业业务发展XX客户已经在总部建立起包含文件共享、IBM版本管理软件CC、用友ERP、CRM等多种B/S应用以及基于Exchange的邮件系统,每个分支机构通过专线(也可以是VPN)访问总部核心业务。近期IT管理员发现部分专线间的数据传输日平均带宽利用率达70%-80%左右,高峰时段甚至达到100%,东莞、西安等地员工反映访问系统速度慢,影响工作效率。究其原因,很大程度上是因为研发人员,需要频繁的进行文件共享和大文件传输,这样一来频繁的大文件传输产生的大数据对线路造成了较大的压力。考虑到目前的带宽利用情况以及未来的业务发展计划,现总部与各分支计划将网络带宽进行2倍左右的升级。而专线租用费用普遍较高,以西安分公司为例,专线从40M升级到80M每年就需增加近100万投入。
    XX客户在对比和测试多种方案后经过深入分析,最终选择深信服广域网优化WOC解决方案,在实际使用中,终端用户访问速率平均提升3倍左右,CIFS、FTP等文件传输速率提升5倍以上,整体网络流量削减比高达80%,充分释放带宽压力,可暂缓带宽升级,有效节约了IT建设费用,可视化报表功能同时降低了用户运维管理成本。
    深信服广域网优化WOC是部署在数据中心和分支机构的设备,通过链路、数据、应用等多维度的优化技术,来提升广域网链路的带宽利用率,能够帮助客户实现流量削减70%,应用提速3-10倍,链路费用节省1/2,丢包率降低至1%。
    销售场景
    1. 加速VPN场景--速度媲美专线、投资成本更低:
    A有组网刚需,预算充足,比如客户有新建业务系统的规划,而且各地分支需要接入总部访问;
    B分支访问总部核心业务体验差,速度慢;
    2. 专线优化场景--专线速度提升、节省带宽升级成本:
    A客户的专线带宽压力大,近期有扩容的规划;
    B对专线内流量分布不清楚,且核心业务没有得到有效保障,希望能够通过有效手段可以将专线的利用率提高;
    C当专线故障时,没有应急备份线路;
    3. 视频会议优化--视频会议清晰流畅、协同办公体验最佳:
    A近期有新建视频会议系统的规划;
    B客户的视频会议出现马塞克、卡、拖影情况;
    4. 灾备优化场景--大数据趋势来袭、助力数据同步快跑:
    A客户有新建异地灾备数据中心的规划;
    B灾备数据中心数据同步时间太长,速度慢;
    核心功能
    链路优化:深信服HTP协议是对TCP协议传输机制进行优化改进的私有协议,通过扩充传输窗口、改善拥塞控制等技术提高广域网传输效率,显著提升在高丢包、高延时情况下的网络传输速度;
    数据优化:流压缩:通过对数据进行压缩后传送,减少数据传输量。
    流缓存:通过基于码流特征的缓存技术,大幅削减带宽消耗,减少带宽扩容成本。
    应用优化:通过应用层协议代理技术,优化应用交互机制,加快分支访问业务应用的速度。
    加速VPN:融合IPSEC VPN技术,支持国密、国际标准等多种加密算法,让VPN组网的速度媲美专线且成本更低
    流量管理:实现广域网流量管理(基于国内最大应用识别库精准识别、多级带宽保障)
    智能报表:丰富报表呈现,提供IT管理决策能力(自动生成报表、流量分布可视化)
    需求分析
    问1:今年有没有新建什么业务系统之类的?目前很多集团都在做数据应用大集中,实现集团统一管理,我们有没有在做这一方面规划?计划用什么组网方案实现共享访问?
    问2:全国目前大概有多少个分支,是通过什么方式实现互联?VPN还是专线?
    问3:各分支到总部主要访问哪些业务系统,会不会出现访问慢、体验差的问题?如果员工或领导投诉,会不会对你的业绩造成不好的影响?
    问4:咱单位有没有视频会议系统,是否有出现马赛克或者卡现象?
    品牌优势
    l 亚太地区首款广域网优化产品
    l 中国广域网优化市场占有率第一(数据来源:最新Frost & Sullivan WOC市场报告)
    l 中国唯一入围Gartner WOC魔力象限(连续四年入围)
    l 数万台设备已为全球10多个国家和地区用户提供服务
    l 业界首创视频会议优化技术



    方案下载:


    深信服上网行为管理产品主打胶片.ppt

     





    直线电话:0519-88873199
    地址:江苏省常州市新北区峨眉山路1号建设大厦E2幢
    版权所有 © 2016-2018 江苏格纳斯电子科技有限公司 苏ICP备09049011号
    回到顶部