SANGFOR_AC_提高工作效率解决方案.doc

深信服AC提高工作效率解决方案深信服科技有限公司20XX年XX月XX日 深信服AC提高工作效率解决方案 文档密级：公开目录第1章应用背景1第2章问题分析1第3章带宽使用情况探知13.1用户识别23.2应用识别23.2.1URL访问行为23.2.2互联网应用类型访问控制23.2.3图形图表分析网络流量3第4章规范网络使用行为，提高工作效率44.1灵活的用户识别和认证方式44.2细致全面的应用流量识别技术54.2.1URL识别54.2.2国内最大的应用协议库64.2.3P2P智能识别64.3灵活的网络控制策略74.3.1URL的访问的合理分配74.3.2基于网站类型，文件类型的流量管理74.3.3IM聊天软件灵活管控74.3.4炒股软件、游戏软件的封堵84.3.5P2P流媒体和P2P下载的管控8i深信服科技版权所有 第1章 应用背景互联网在中国的普及已经超过20多年，尤其是最近几年得到了飞速的发展，网络改变了我们的工作和生活方式，尤其是对工作带来了极大的便利，而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣;然而随着网络应用的越来越丰富，尤其是诸如P2P等流量吞噬十分厉害的下载技术的出现使得原本飞快的网络变的越来越慢，多数企业发现他们花高代价增加的带宽很快又不能满足业务的需要，另一方面，员工职业化程度不够高的组织内部会存在大量的用户上班时间用来炒股、聊天、看电影、打游戏等活动，极大的降低了工作效率，组织机构花费极大的代价的网络被滥用，1个500人人均工资2000的中型机构，如果他的员工每天浪费0.5个小时在业务无关应用上面一年下来的损失高达150万元；而多数企业员工进行业务无关网络应用的时间远远超过0.5小时，每年损失的人力成本已经几乎超过网络带来的便利，领导者陷入了两难的困境，亟需对网络使用进行合理的管控。第2章 问题分析面对上述问题，以下几个问题是需要迫切需要解决的1.内网到底发生了什么？需要一种行之有效的方法探知每个人每天上网行为的明细情况;2.什么应用抢占了带宽，导致了核心业务应用的速度慢，员工上班时间主要有哪些工作无关的应用需要进行管控;3.面对混乱的内网环境，如何建立起合理的有效的使用规范？保证网络使用主要是用来创造效益。第3章 带宽使用情况探知面对上述情况，我们首先需要的就是探知内网用户的流量使用情况，要探知内网用户的流量使用情况，以下几个步骤需要解决：1.用户识别2.应用识别3.图形图表分析网络使用状况3.1 用户识别大型组织的上网用户众多，互联网应用纷繁复杂，加上长期以来形成上网无需认证，允许使用迅雷，在线影音娱乐不禁止等上网习惯，使得网络流量、行为情况变得异常复杂。需要通过基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，对于不同的员工、部门实现分开管理 ，只有在很好的对人员进行区分以后，才能在上网行为的管理上责任到个人，使组织形成良好的上网行为氛围，营造高效和谐的办公自动化平台。3.2 应用识别3.2.1 URL访问行为面对海量的URL地址，需要识别用户上班时间主要访问哪些网址，哪些是业务相关网站，哪些是业务无关网站。3.2.2 互联网应用类型访问控制上网行为管理设备对互联网的应用访问控制主要包括以下几个方面：通过内置了的应用协议规则，对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别，而不是基于传统IP、端口识别。随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。还需要能根据P2P协议特征的智能分析技术有效识别未知的、新的P2P行为。还需要能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。3.2.3 图形图表分析网络流量基于用户的流量排名，通过对所有用户流量使用情况的排名，我们可以得知在整个网络的使用的过程中到底是谁占用最多的带宽，有利于我们后期制定合理的流量管理及分配的原则。基于应用的流量排名，可以通过这个流量的排名得知用户主要都进行哪些网络活动，为我们后期的策略制定奠定了很好的基础。第4章 规范网络使用行为，提高工作效率通过上述的行为探知并分析并得知我们内网目前到底存在哪些问题？那么我们如何来解决这些问题，任何的上网行为和控制策略都必须要基于用户或是用户组来施行，只有很好的对人员进行认证和区分才能很好的保障流量管理的成功实施，另一方面，我们需要对应用进行细致全面的识别，只有合理的识别应用类型，进行细致的归类和区分，才能保障我们的上网行为管理的效果对人员和应用有了细致识别的区分以后就需要针对用户/用户组、时间段、应用类型、文件类型等进行细致的流量管理了。SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个和谐高效的网络使用环境，保障用户工作相关应用得到有效的保障。4.1 灵活的用户识别和认证方式网络流量的产生来源于用户，因此，有效流量的管理的前提是必须先对用户进行有效识别和管理。SANGFOR AC设备提供了强大的用户管理系统，提供了多样化的用户管理手段实现了基于用户的流量管理，在动态IP环境下保证用户身份与管理策略的有效结合，真正的做到了使内网的流量管理责任到人。功能优势：n 丰富多样的用户精确识别方式； n 快速、有效的为用户分配网络接入权限； n 与第三方用户管理服务器的完美联动；n 未知用户网络接入权限快速归类；n 最终实现基于用户名的流量管理；4.2 细致全面的应用流量识别技术4.2.1 URL识别SANGFOR AC上网行为管理设备内置千万级的URL库，提供了近40种内置的更加细粒度的URL分类：新闻类、娱乐类、体育类、色情类、暴力类、反动类、迷信类、宗教类、股票类等等。SANGFOR AC的URL库支持用户手工添加，并支持创建新分类；用户可以根据自己的具体需求，添加有具有个性管理的URL地址并分类，进行需求的控制。SANGFOR AC具有智能学习的功能，能够根据关键字和类似网页进行网页的分析和学习，自动更新用户自定义分类。4.2.2 国内最大的应用协议库SANGFOR AC内置了24大类、500余条的应用协议规则，例如：IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类等等。基于应用协议特征码的识别，有别于传统IP、端口识别。每一个分类下面有包含着众多的应用协议规则，比如IM聊天类，包含的应用协议规则有：QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能识别UUCALL、雅虎通等语音视频聊天工具。具有多个智能识别规则，能识别诸如自由门，无界浏览器等代理软件，识别SKYPE,识别RTP语音视频信息。支持域名的智能识别。可以根据目标域名的弱特征，流特征等来识别内网用户与目标域名的会话连接，从而更智能的进行控制。SANGFOR AC的应用协议库支持用户手工添加，完成个性化需求配置、识别、控制。4.2.3 P2P智能识别随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。SANGFOR AC除了能够识别已知的P2P行为之外，还能根据SANGFOR AC的基于统计学的智能分析技术有效识别未知的、新的P2P行为。同时SANGFOR AC还能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。4.3 灵活的网络控制策略4.3.1 URL的访问的合理分配组织内部根据部门职能的不同于业务相关的网站类型也不一样，诸如财务部主要关注财经类网站，而市场人员主要工作相关网络主要是行业相关网站，相关的市场机会网站，SANGFOR AC可以基于不同的用户群体划分不同网页内别的访问规则。支持根据业务需要定义URL类别，通过SANGFOR AC独有的智能识别技术，对客户定义类别的网站进行智能学习和分类。有效的封堵在线流媒体的使用，如新浪视频网站等。4.3.2 基于网站类型，文件类型的流量管理基于网站类型的流量管理，可以针对诸如人力资源部保障招聘类网站的访问速度不少于40KBPS，基于文件类型的流控：例如对内网下载电影文件进行带宽限制，限制公司整体群组下载电影类文件的带宽不高于2Mbps。4.3.3 IM聊天软件灵活管控能够完整识别各类IM聊天软件，可以实现灵活的控制策略，对于市场人员可以允许使用部分业务相关的即时聊天工具，而对于其他人员主要通过邮件交流或是开放部分不通用的聊天软件来进行内部的沟通。4.3.4 炒股软件、游戏软件的封堵除了公司高层领导需要关注股价以外，组织内部其他人员对于炒股软件的使用严重影响了工作效率，SANGFOR AC全面的识别各类炒股软件，在线炒股的网址，进行全面的封堵，有效提高工作效率。SANGFOR AC目前已经能识别包括魔兽世界，CS，泡泡堂等在内70多款的在线游戏，进行完全封堵保障内网工作效率。4.3.5 P2P流媒体和P2P下载的管控P2P流媒体不但影响工作效率，而且对带宽的过度占用导致了业务应用的缓慢，SANGFOR AC能智能识别P2P流量，对于不常见的或是新出现的P2P类应用软件也可以根据其流量特征进行有效的识别，从而细致精准保证网络带宽的合理使用，禁止P2P的行为既保证了