2.1方案整体概述
本次方案建议采用深信服上网行为管理设备AC1 台,下一代防火墙1台,分别部署在如下位置:
? 互联网出口上网行为管理:于互联网出口,针对有线网络终端和学生提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部学生、关键应用,提供全局统一的带宽控制策略。
? 互联网出口安全防护:部署于互联网出口,针对学生的上网终端提供安全威胁过滤、木马恶意流量检测、服务器保护、NAT、路由等安全防护功能,同时可以在总部对各个分支进行全网的安全监测。
此外,互联网出口上网行为管理设备、和下一代防火墙设备之间需要通过学生认证信息的联动、单点登录等功能,将上网终端和学生身份信息进行同步关联,让学生只需要认证一次就可以让AF、AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。
6
2.2有线和无线网络统一上网行为管理
部署了深信服上网行为管理设备,为可以帮助XX中学提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,还提升了学生上网的操作体验。
2.3安全便捷的学生认证
为了针对不用角色身份的学生,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。
2.3.1内部学生认证:
AC支持本地认证功能,包括Web认证、学生名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网学生,从而对该学生进行上网行为管理,而对于未通过认证的学生则限制其网络访问权限。
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当学生在认证服务器上进行认证后,AC能够获取学生认证信息,学生不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网学生,从而对该学生进行上网行为管理,而对于未通过认证的学生则限制其网络访问权限。
7
2.3.2外来访客认证:
为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
短信认证,来宾只需要输入手机号码,获得并输入短信验证码后,就可以获得上网权限。而且为了简化学生操作,与传统的短信验证相比,学生只需要点击3次既可完成,十分便捷,不需要在浏览器和短信界面来回切换。
微信认证,访客认证页面会自动提醒来宾需要关注学校的“官方微信公众账号”,并发送上网请求,才能获得上网权限。这可以帮助学校推广社交媒体的粉丝数量,更好的帮助学校推广品牌宣传。
二维码认证,访客认证页面会自动弹出一个二维码,只有内部接待人员用自己的移动终端扫描二维码,确认同意后,访客才能获得上网权限。而且,为了满足合规要求,接待人员,可以在页面上备注来宾身份信息,便于后续查找。
2.3.3灵活细致的权限控制
深信服上网行为管理系统具有千万级URL库和国内最大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。
同时,AC还能够识别SSL加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。
多维度的灵活策略
为了针对一个学生有多台BYOD终端进行灵活、细致的策略管控,深信服AC可以识别各种终端类型,包括windows、IOS、安卓、phone、pad等类型,还可以识别出学生接入网络的位置,包括有线、无线、办公位、会议室等等。
从而制定学生的上网策略时,可以从学生角色、使用终端类型、所在区域位置等维度进行组合,来制定精细的控制策略。比如学生角色A,在办公位置上使用PC接入,可以访问权限较多;但在接待区通过无线网络,使用iPad接入网络时,只有上网权限,不能访问内部安全界别较高的应用系统等。
8
移动APP管控
为了满足移动终端的管理需要,深信服上网行为管理系统可以针对数百种移动终端的APP、云应用,防止学生通过移动终端来进行和工作无关的应用,避免工作效率的下降。
防止非法AP和代理
深信服上网行为管理系统通过技术创新,可以精准的识别出,当前网络中学生私自架设的无线AP,代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入学校网络入侵。
2.4合理有效的流量控制
深信服上网行为管理系统通过多级父子通道技术,能够完全匹配学校学校人员架构和网络应用结构。在经过学生和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。深信服上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。
在P2P应用流量控制方面,通过深信服P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
动态流量控制
当带宽有限时,学校希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
9
相关推荐:
loading