ASG5000系列上网行为管理产品白皮书

1、华为 ASG5000 系列上网行为管理产品技术白皮书华为 ASG5000 上网行为管理产品技术白皮书目录目录 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 行为管理产品产生1 HYPERLINK l _bookmark2 行为管理产品简介1 HYPERLINK l _bookmark3 行为管理设备的使用指南2 HYPERLINK l _bookmark4 行为管理设备的技术原则3 HYPERLINK l _bookmark5 行为管理的可靠性设计3 HYPERLINK l _bookmark6 行为管理的性能模型3 HYPERLINK l

2、 _bookmark7 行为管理组网能力4 HYPERLINK l _bookmark8 行为管理路由特性5 HYPERLINK l _bookmark9 链路负载均衡5 HYPERLINK l _bookmark10 服务器负载均衡5 HYPERLINK l _bookmark11 地址转换6 HYPERLINK l _bookmark12 动态域名服务6 HYPERLINK l _bookmark13 VRF 路由7 HYPERLINK l _bookmark14 入侵防御7 HYPERLINK l _bookmark15 病毒防护8 HYPERLINK l _bookmark16 SSL

3、 网站解密8 HYPERLINK l _bookmark17 无线非经9 HYPERLINK l _bookmark18 双因子设备管理9 HYPERLINK l _bookmark19 三权管理9 HYPERLINK l _bookmark20 行为管理系统管理方式9 HYPERLINK l _bookmark21 身份认证10 HYPERLINK l _bookmark22 应用识别10 HYPERLINK l _bookmark23 IPv4 一体化策略10 HYPERLINK l _bookmark24 流量、时长限额11 HYPERLINK l _bookmark25 防私接路由11

4、 HYPERLINK l _bookmark26 ASG5000 系列行为管理技术特点11 HYPERLINK l _bookmark27 高可靠性设计11 HYPERLINK l _bookmark28 丰富的用户认证14 HYPERLINK l _bookmark29 高精度的用户审计14 HYPERLINK l _bookmark30 精细化的用户流控16 HYPERLINK l _bookmark31 领先的合规维护17 HYPERLINK l _bookmark32 丰富的攻击防御手段18 HYPERLINK l _bookmark33 优秀的组网能力19 HYPERLINK l _

5、bookmark34 完善的日志系统21 HYPERLINK l _bookmark35 典型部署23 HYPERLINK l _bookmark36 网桥部署23 HYPERLINK l _bookmark37 路由部署24 HYPERLINK l _bookmark38 旁路部署24华为 ASG5000 上网行为管理产品技术白皮书1 概述华为 ASG5000 系列上网行为管理产品技术白皮书关键词：ASG、SSO摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。名称缩写完整拼写中文解释ASGApplication Security Gateway应用安全网关S

6、SOSingle Sign On单点登录 1概述ASG5000 系列产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。该系列产品提供 URL 过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。行为管理产品产生在 Internet 飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：与工作无关的P2P 和在线视频等应用占用带宽 ；与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率

7、；员工随意在网络上发帖和传输文件导致机密泄露 ；员工上网容易受到病毒、木马和蠕虫等攻击和感染 ；员工通过网络从事一些黄赌毒等违法活动 ；员工浏览和发布不良言论导致企业面临法律风险 。为解决以上一系列的问题，上网行为管理产品应运而生，华为凭借在应用识别库和网络安全等全方面的多年积累，推出了专业级的上网行为管理产品ASG5000。ASG5000 产品可实现员工上网行为的管理、带宽的限制和确保员工上网安全等，可以极大提高员工的办公效率和带宽利用率，防止机密数据泄密和员工通过网络从事违法活动。ASG5000（Application Security Gateway）是华为技术有限公司（以下简称华为）推

8、出的上网行为管理产品，主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。行为管理产品简介ASG5000 采用了先进的高性能多核架构，运行自主可控的操作系统，搭载丰富接口的硬件平台，结合智能路由等全面的网络层支撑以及双机热备，保障业务处理高效可靠，场景支撑灵活全面；借助 DPI、DFI 和终端融合识别技术，配合全面且实时更新的行为特征库，提供完善、精细的用户权限管理手段；配备入侵防御和实时病毒防护功 能，通过单路径并行处理的安全检测引擎和应用识别，实现对用户、应用和内容的深 入分析，为用户打造安全智能的一体化防护体系；搭载业界领先的网络运维管理工具，

9、创新简化维护周期和工作量，为业务高效运行提供有力的支撑。ASG5000 是业界识别最全面、控制手段最丰富的高性能应用控制网关。行为管理设备的使用指南行为管理设备建议部署在整个网络中的汇聚点，如果被管控用户的通信流量有可能会绕过行为管理设备，则行为管理设备不能对该用户起到控制审计的功能。因此，在使用行为管理设备的时候，需要保证被行为管理设备审计的用户流量必须全部经过行为管理。默认情况下，行为管理设备的规则一般是面审计放行的。在行为管理设备接入到网络中之后，一定需要按照网络的实际需要配置各种行为管理策略。行为管理策略的有效性、多样性、灵活性等是考察行为管理设备的一个重要指标，另外在复杂的用户网络环

10、境有可能会使用非常多的规则，需要考察行为管理本身规则的容量和在大规则下的转发性能等因素。行为管理设备本身的安全性也是选择行为管理的一个重要标准。行为管理的安全性能取决于行为管理是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了行为管理本身的安全可靠，专用的硬件平台保证行为管理可以经受长时间运行的考验。行为管理设备属于一个关键网络设备，一定要保证行为管理可以长时间不间断运行，其硬件可靠性是非常关键的。在行为管理实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的行为管理设备。在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的

11、过程中行为管理的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。性能指标体现了行为管理的可用性能，同时也体现了企业用户使用行为管理产品的代价，用户无法接受过高的代价。如果行为管理对网络造成较大的延时，还会给用户造成较大的损失。现在的主流行为管理设备都是基于状态检测的行为管理设备，这类行为管理设备对业务应用是敏感的。涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当导致加入行为管理之后造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。因此针对状态行为管理一定要考察行为管理设备对业务的适应性能力，避

12、免引入行为管理设备导致对正常业务造成影响。华为 ASG5000 上网行为管理产品技术白皮书2 行为管理设备的技术原则 2行为管理设备的技术原则行为管理的可靠性设计行为管理本身是一个重要的网络设备，而且其位置一般是串行接入核心交换和出口防火墙之间。行为管理的位置和功能决定了行为管理设备应该具有非常高的可靠性。保证行为管理的高可靠性主要依靠如下几点技术来保证：高可靠的硬件设计硬件设计是任何网络设备可靠运行的基础。网络设备不同于普通PC 等个人、家用系统，网络设备必须要求可以 24 小时不间断正常工作，对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。为了可以保证行为管理设备可以长时间不

13、间断工作，必须保证行为管理本身具有一个优秀的硬件结构体系。双机备份技术由于行为管理设备位置的特殊性为了提供更可靠的运行保证，一般行为管理都应该提供双机备份技术。双机备份是采用两台独立的、型号一致的行为管理设备共同工作， 提供更可靠的工作环境。完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台行为管理在工作，当发生意外故障的时候另外一台行为管理接替工 作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。行为管理设备的可靠性设计反映出了行为管理在设计方面的一种综合考虑，必须明确的是行为管理设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择

14、行为管理设备的时候需要综合考虑其可靠性方面的设计。行为管理的性能模型前面已经提到行为管理的性能对于衡量一个行为管理设备来说非常重要，那么到底应该通过哪些指标来具体的衡量行为管理的性能呢？本小节主要讨论一下，衡量行为管理的性能的时候应该注意哪些方面。业界现在衡量行为管理的性能的时候，主要使用“吞吐量”这个指标。吞吐量主要是指行为管理在大包的情况下，尽量转发能通过行为管理的总的流量，一般使用 BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量行为管理的性能指标非常片面，不能反映出行为管理的实际工作能力。除了吞吐量之外，在衡量行为管理性能的时候一定还要考察下面几个指标：小包转发能力行为管理的吞吐量

15、在业界一般都是使用 1K1.5K 的大包衡量行为管理对报文的处理能力的。因网络流量大部分是 200 字节报文，因此需要考察行为管理小包转发下性能， 行为管理的小包转发性能真实的反映了行为管理在实际环境下工作的转发性能指标。规则数目对转发效率的影响行为管理一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影 响，因此需要考察行为管理在大量规则下的转发效率，避免业务对行为管理性能影响太大，导致行为管理在实际环境下无法工作。每秒建立连接速度指的是每秒钟可以通过行为管理建立起来的完整TCP 连接。由于行为管理的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前

16、， 在行为管理上都必须建立连接。如果行为管理建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。 每秒新建连接速度是衡量行为管理功能能力的一个重要指标，该指标偏低的时候行为管理无法在实际的网络环境中体现优异的性能，尤其是遭受 DOS 攻击的时候，如果该指标偏低行为管理会停止工作。并发连接数目由于行为管理是针对连接进行处理报文的，并发连接数目是指的行为管理可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP 的访问。以上是衡量行为管理性能的一些基本数据，在实际选择行为管理的时候

17、也可以根据具体的组网要求衡量一些其他的指标。由于行为管理本身是一个“处理复杂业务”的数据通信设备，涉及的性能指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，行为管理的性能指标同时反映了一台行为管理的综合指标，包括软件设 计、硬件设计等各个方面，是选择行为管理设备的一个重要依据。行为管理组网能力ASG5000 支持透明、路由、旁路和混合等部署模式，可灵活的连接和审计用户网络。ASG5000 透明模式接入用户网络，部署于关键节点，网络拓扑改动较小，对经过的数据流量进行分析，实现对用户行为的审计和控制；ASG5000 路由模式一般使用在公网出口或三层交换节点，提供 NAT、负载均衡等出

18、口特性，并对内网用户实现 VPN、流量管控、行为审计和控制等功能；ASG5000 旁路部署不会影响客户现有网络结构，通过与交换机镜像接口连接，将需要审计的网络流量镜像至 ASG5000 中，实现分析和审计用户行为的功能；ASG5000 支持混合模式，即同时使用透明、路由、旁路模式，用于满足用户复杂多样的环境需求。行为管理路由特性网络的迅猛发展，网络设备的静态路由已经无法满足企业网络实时自适应网络结构变化的需求。ASG5000 为用户提供丰富的路由协议，支持静态路由、策略路由、ISP 路由，RIP、OSPF、VRF 等路由功能，以满足用户复杂的网络环境。用户出口有多个运营商线路时，跨运营商线路访

19、问资源时，会出现网络访问缓慢，服务质量下降等问题。ASG5000 ISP 路由主要用于解决此问题。ASG5000 预置中国电信（ChinaTelecom）、中国联通（Chinaunicom）、教育网（ChinaEducation）、中国移动（ChinaMobile）四个主流运营商的地址库，支持自定义增加 ISP 条目。管理员可指定运营商和出接口，当访问请求解析后按照预定的出接口或下一条进行转发，从而使得业 务质量最优。链路负载均衡随着带宽成本的下降及业务需求，企业通常存在两个或两个以上的网络出口，多出口提升了网络出口稳定性同时又带来了多链路带宽利用率低、多链路带宽差异大、各运营商网络质量差异、

20、内网应用对带宽需求差异等问题；以上诸多问题只需通过ASG5000 提供的链路负载均衡即可迎刃而解。具体实现主要基于以下几点：实时多链路监测实时监测每条出口链路的逻辑连通性，即使端口处于 UP 状态，但可能由于远端故障导致的检测报文超时，ASG5000 同样会执行链路切换的动作，以保证网络连接的可用性，实现多条链路的冗余备份。基于权重流量分担ASG5000 提供了基于优先级和权重的多链路流量分担算法以满足不同应用场景的需求，从而达到高效的利用出口链路带宽的目的。智能应用路由ASG5000 内置 1900 多种应用类型，3500 多种应用动作特征库，将网络中各种应用进行准确分类和精细识别，让不同的

21、应用分别使用不同的出口线路，保证重要业务不中断。DNS 透明代理通过透明代理技术，完成对客户 dns 流量的无感知代理，从而保证客户的 dns 请求得到最快，最稳定的响应，大幅度提升客户的上网感受。服务器负载均衡ASG5000 服务器负载均衡可以对一组服务器提供负载均衡业务，这一组服务器一般来说都是处于同一个局域网中，并同时对外提供一组或者多组相同或相似的服务。ASG5000 能够实现在客户访问多台同时工作的服务器的情况下，即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器，实现数据流合理的分配，使每台服务器的处理能力都能得到充分的发挥，提高整体性能，改善应用系统的可

22、用性。ASG5000 服务器负载均衡包含三个基本元素：负载算法：权重算法、源地址散列+权重算法服务器健康检查：提供 ICMP 的探测方式会话保持功能：可保持用户所有访问会话分配至同一台服务器上处理地址转换随着 Internet 的发展，IP 地址短缺问题已经成为了一个越来越严重的问题。在 IPV6 使用之前，地址转换（Network Address Translation）技术是解决这个问题的一个最主要的技术手段。地址转换主要是因为 Internet 地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可

23、以按照用户的需要提供给外部网络一定的服务，如：WWW、FTP、 TELNET、SMTP、POP3 等。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（NAT）和同时转换地址和端口（PAT）两种形式。现在地址短缺的问题在很多地方非常严重，由于行为管理的位置和技术特点，在行为管理上提供地址转换技术是没有问题的，因此在行为管理设备上提供完善的NAT 服务是行为管理的一个非常必要的特性。ASG5000 拥有优化过的NAT 性能。支持源地址和目的地址转换，支持动态和静态的地址转换。动态域名服务DDNS（Dynamic Domai

24、n Name Server）是动态域名服务的缩写。动态域名服务是将用户的动态 IP 地址映射到一个固定的域名解析服务上，用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态 IP 地址传送给位于服务商主机上的服务器程序，服务器程序负责提供 DNS 服务并实现动态域名解析。目前 ISP 大多提供动态 IP（如拨号上网），若想在网际网络上以自己的网域公布，动态域名服务提供了解决方案，它可以自动更新用户每次变化的浮动 IP，然后将其与网络域名相对应，这样其他上网用户就可以透过网络域名来交流了ASG5000 提供动态域名服务功能。可解决动态 IP 地址场景下管理，以及 IPsec VPN 场

25、景使用域名连接等问题。VRF 路由在传统网络中，如果网络中有较多的网络部署划分，就可能需要部署多台出口路由设备，不仅建设成本高，而且占用更多宝贵的机房空间，维护成本和难度也居高不下。传统路由设备的不足，推动了虚拟化技术的普遍发展。ASG5000 迎合网络时代潮流， 自主开发了 VRF 功能。ASG5000 可以将不同的端口加入创建的 VRF 组中，每个 VRF 组之间可以独立控制和转发，相互隔离，可以看做是不同的路由器，可以使用相同的或者是重叠的 IP 地址而不会产生冲突。VRF 功能提供了从一台物理路由器变成多台虚拟路由器的功能，可以为用户节省大量的建设成本和维护成本，维护也更加简单。入侵防

26、御华为经过多年网络安全领域的沉淀和积累，打造了一支资深的攻击特征库团队和安全服务团队，在蠕虫、后门、木马、间谍软件、Web 攻击、拒绝服务等攻击的防御方面具备了完善的检测、阻断、限流、审计报警等防御手段，并随时关注业界最新发现的安全漏洞和接收全球用户反馈的攻击特征，并在第一时间做出响应和提供更新，实时完善攻击特征库，提供最及时、最全面的入侵防御。3000 种预定义攻击特征实时在线更新提供 WAF 级别的安全防护，有效的防御和预警 Web 服务器的攻击，包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等处理网络类威胁，包括安全漏洞、木马后门、可以

27、行为、CGI 访问、CGI 攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持保证基础网络安全分级事件及操作配置虚拟补丁管理病毒防护ASG5000 拥有海量病毒特征库，配合先进的防病毒引擎，能够精准识别并清除流行木马和顽固病毒。病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化，使ASG5000 的病毒检测率和处理性能获得质的突破：在保持高病毒检测率的同时，系统性能下降不超过 20%。可以在 HTTP、SMTP、FTP、POP3、IMAP 等多种协议下病毒防御，支持非标准端口的 HTTP、SMTP、FTP、POP3、IMAP 协议中的病毒检测。

28、支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无 IP 地址的透明桥下的网络病毒检测模式，支持 VPN 模式下的病毒扫描。采用高效的病毒防御引擎和国内知名病毒厂商特征库，可检测不少于 300 万以上种病毒。可以根据不同的源 IP 地址、目的 IP 地址、服务、时间、接口、用户等，采用不同的病毒防御策略。可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒特征库定时更新，支持病毒库本地升级，病毒库可实时在线升级。支持基于病毒防护策略设置阻断、清除、记录日志。SSL 网站解密互联网时代，越来越多的网站启用HTTPS，而随之而来的是员工利用这种加密方式泄露企业敏感信息的

29、可能性也越来越大；并且由于HTTPS 网页经过了加密，采用普通的流量分析方式是无法审计到访问行为的，企业是无法清晰准确的了解员工的工作状态和网络的运行状态。为了保障企业有清晰的事后审计，保护企业机密，ASG5000 提供了 SSL 审计功能， ASG5000 采用特有的加密流量识别技术，能够对主流的加密网站、加密网站搜索记录、加密邮件，包括客户端邮件和 web 邮件（不包含附件）等行为进行识别。管理员可以采用自定义的方式，定向审计用户和加密网站，让网络运行情况更加清晰明了， 做到管理规划有据可循、有的放矢。无线非经国家GAWA3011.(15)-2015 公共场所无线上网安全管理系统无线上网接

30、入要求规范， 如咖啡馆、酒吧、KTV 等提供网络接入的公共场所，需实现规范的准入管理制度，上传审计信息到网监后端平台，否则会面临业务下线、停业整改、罚款等风险。ASG5000 提供无线非经合规特性。并可适用于集中式部署、分布式部署、旁路对接多种场景，从而易于客户网络平滑升级。公安部提出了标准要求，但各地市的对接标准不一，后端对接厂商众多，也给客户带来了升级困扰。ASG5000 支持任子行、派博、洪旭、爱思、博网等多家主流后端对接厂商平台，对接地区广，对接经验丰富。有在银行、运营商、零售连锁等多种场景丰富的对接经验，超高的应用识别率、定制开发能力，为客户场景的安全合规提供保障。双因子设备管理传统

31、的账号密码设备管理方式安全性较低，容易被黑客截获破译，且认证唯一性难以保障。ASG5000 提供双因子认证功能，用户登录设备界面时，需在 PC 终端插入 U-Key，同时进行账号密码校验；否则无法登录设备界面。此功能极大的提高了网络设备的安全性，且具备操作简单，携带方便的特点。三权管理ASG5000 默认管理模式为普通模式，普通模式默认存在 admin 账号，该账号可添加、修改、删除所有管理账号，且可管理所有界面模块，无细致权限划分。ASG5000 可将管理模式切换为三权模式。切换后系统默认存在四种管理账号：权限管理员（Aauthority），为系统管理员分配权限，可设置读写分离，支持设置模块

32、分离管理账号管理员（Aaccount），添加、删除管理员账号审核员（audit），查看所有管理员操作记录管理员（admin），系统功能配置与管理每个管理账号被赋予不同的权限，相互之间形成权限制约，避免了普通模式下超级管理员权限过大带来的管理风险，保障了设备管理安全。行为管理系统管理方式ASG5000 本地管理支持多种管理方式，且所有接口均可用于系统管理，管理方式包括PING、SSH、HTTPS、center-monitor 等。身份认证ASG5000 具备丰富身份认证方式，可有效的区分用户。是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。ASG5000 的身份认证方式

33、有：本地认证：Web 认证、用户名/密码认证、IP/MAC 绑定；第三方认证：RADIUS、LDAP 等；短信认证：传统的认证方式，方便快捷；免认证：认证用户无需进行身份认证，即可快速上网；混合认证：界面配置选择多种认证方式，用户可根据需要更换认证方式；单点登录： AD 域一次认证，减免频繁认证。应用识别应用识别（Application identify)是 ASG5000 的重要功能。借助于应用识别功能，可以准确识别网络上正在运行的应用，应用流量的准确识别不但可洞悉整个网络的运行情况，而且可针对具体需求做用户行为的准确管控，这在一定程度上既可保证业务流的高效运行也可预防由于内网机器受到攻击而

34、生产的威胁，同时识别应用类型也是应用审计与应用流量控制的基础。随着P2P 应用的广泛流行和基于 Web 的应用的兴起，令传统的利用固定端口来区分应用类型的设备无能无力。应用识别功能把对报文的协议解析、深度内容检测以及关联分析结合起来，通过对大量实际环境中的流量的分析，总结出每种应用的流量模型， 把对数据包的协议解析、深度内容检测和关系分析的结果综合起来，由决策引擎通过与流量模拟的匹配程度，智能的判定应用类型，相比传统的应用识别技术，还具有以下特点：自定义应用；基于协议状态分析；行为检测；应用路由；基于应用的流量管理；终端识别；IPv4 一体化策略ASG5000 采用一体化安全策略，管理员只需要

35、通过一条策略便可完成对源接口、源地址、用户、目的接口、目的地址、应用、服务、时间等维度的匹配，并针对应用、URL、恶意站点、入侵攻击、病毒等进行统一管控，使用方便，维护简单。华为 ASG5000 上网行为管理产品技术白皮书3 ASG5000 系列行为管理技术特点流量、时长限额用户体验至上的服务理念趋势下，企业为用户提供更灵活和细致的服务，已达到用户差分服务的效果。例如银行网点中，铜卡用户可免费上网 3 小时，银卡用户可免费上网 5 小时，金卡用户不限时上网。单纯的流控策略是无法满足企业的管理需求。ASG5000 提供流量和在线时长限额的功能。通过预设用户的流量额度或者在线时长的阀值，设备统计该

36、用户的对应参数，当对应参数超过设置阀值，设备立即对该用户进行惩罚，惩罚方式可选择禁止上网或流量限速。ASG5000 可提供极为强大的管理网络流量的方法和手段，解决用户应用场景的流控细致化、差异化需求。防私接路由上网用户私接 WiFi 或路由器行为会造成无法校验用户身份、安全性能难以保障、占用额外带宽资源等问题。ASG5000 能够快速识别“一拖 N”的网络私接行为，精准定位“N”即私接用户数量，并进行有效的管控；及时发现非法热点预防个人用户私接路 由，拒绝未知网络终端节点，保护运营商利益；同时 ASG5000 支持同步和展示认证用户信息，支持同步PPPOE 账号等认证服务器账号信息。让整个网络

37、拓扑清晰可控，有效预防数据泄露的安全风险；极大的降低了管理员网络维护的工作量。 3ASG5000 系列行为管理技术特点高可靠性设计华为 ASG5000 系列行为管理采用电信级硬件系统和专用软件系统，在提供高安全、高可靠性的同时，很好地解决了高性能与业务处理复杂之间的矛盾。华为 ASG5000 系列行为管理从高可靠的硬件设计、健壮的软件体系、双机热备技术等方面采取了措施保 证网络可靠性。华为行为管理产品硬件平台ASG5000 采用了 MIPS（Microprocessor without interlocked piped stages）多核架构。在硬件架构上运行了虚拟OS（操作系统），高效的并

38、行调度算法和内存管理机制提高了流量转发报文的性能。另外，将 CPU 处理的数据根据其特性分为 Data Plane（数据面）和 Control Plane（控制面）两类，简称 DP 和 CP。在多核系统一部分 CPU 专职 CP 工作，大部分 CPU 专职 DP 工作。这样就避免了因系统调度，导致设备转发性能降级或者无法响应管理操作等现象。具体 DP 和 CP 的 CPU 分布根据用户场景定义。数据面传统的网关设备为了降低设计和开发难度，会将各个模块以进程的方式存在，数据包每通过一个模块都要重复对数据的解析。增加了数据包在系统停留的时间，从而造成了网络延迟大的问题。有的设备则将网络层处理与应用

39、处理分别在两个进程上实现，这样就出现了数据包多次拷贝的情况，增加了内存访问次数，降低了系统性能。ASG5000 的 DP 主要处理转发相关的工作，通过对数据包一次解析，按层次由对应模块处理，可以节省不同模块间重启解析数据包所消耗的资源，从而降低网络延迟。健壮的软件体系华为ASG5000 系列行为管理采用高可靠性，高处理性能的 OS 操作系统作为其运行的核心组件，使得其天生就避免了各种通用操作系统的安全漏洞、病毒攻击的各种软件不可靠因素。OS 操作系统是一个数据通行设备专用的平台，其软件构架设计就是为了数据通信产品量身定制，综合考虑了数据通信技术的发展。华为ASG5000 系列行为管理不但具有可

40、靠、安全的运行保证，同事正对安全技术的发展方面具有更好的扩展空间，这就决定了华为 ASG5000 系列行为管理在新技术发展方面可以领先一步。双机备份技术华为ASG5000 系列行为管理双机备份是采用两台独立的、型号一致的行为管理设备共同工作，提供更可靠的工作环境。完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台行为管理在工作，当发生意外故障的时候另外一台行为管理接替工作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。丰富的用户认证ASG5000 具备丰富身份认证方式，可有效的区分用户。是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与

41、滥用等的管理基础。ASG5000 的身份认证方式有：本地认证：Web 认证、用户名/密码认证、IP/MAC 绑定；第三方认证：RADIUS、LDAP 等；短信认证：传统的认证方式，方便快捷；免认证：认证用户无需进行身份认证，即可快速上网；混合认证：界面配置选择多种认证方式，用户可根据需要更换认证方式；单点登录： AD 域一次认证，减免频繁认证。AD 单点登录认证大型企业中，内网用户均需进行 AD 域身份校验，若内网同时存在其他身份验证，用户需逐次进行认证，且操作步骤繁琐。ASG5000 可与企业 AD 域进行联动，内网用户只需一次认证，即可完成所有身份校验，简化认证步骤，提升用户体验。高精度的

42、用户审计随着WEB2.0 技术的蓬勃发展和动态端口的新应用层出不穷，使得传统网关产品采用五元组的访问控制方式早已变得力不从心，而 ASG5000 的出现让用户行为审计变得简单，基于 7 元组以及时间的访问审计策略，能有效的控制自然人、应用的访问控制一体化策略ASG5000 采用一体化安全策略，管理员只需要通过一条策略便可完成对源接口、源地址、用户、目的接口、目的地址、应用、服务、时间等维度的匹配，并针对应用、URL、恶意站点、入侵攻击、病毒等进行统一管控，使用方便，维护简单。精细化管控、审计ASG5000 内置千万级 URL 库，拥有 1900 多种主流网络应用，3500 多条应用动作规则，涵

43、盖即时通讯、P2P 软件、网络游戏、电子商务、办公软件等等主流应用类型。满足精细化应用和网站控制需求，企业内网管理更加灵活精准和高效。应用管控ASG5000 通过对数据包的深入解析，获取应用的行为及操作内容，匹配用户配置的关键字，达到对互联网访问的行为控制和内容控制的目的。其依附于安全策略，减少了数据包的过滤范围，并有针对性（针对用户、应用）的进行审计和记录。应用审计是基于应用+行为+动作+关键字的四维匹配条件，可以实现精细化的控制。可以实现允许查看微博，但是不允许发微博的精细化控制。URL 管控URL 策略，是通过URL 分类库，对网站访问进行过滤。让用户通过网站分类的选择， 轻松控制网站访

44、问。同样，URL 过滤也依附于安全策略。可以减少了数据包的过滤范围，并记录访问网站及URL。精细化的用户流控ASG5000 使用了 DPI 和DFI 融合应用识别技术，能够对流量进行深度解析，实现流量的细致化管控。4 级通道管控随着企业规模的不断扩大，网络带宽管理需要更精细的管理。对于大多数企业组织架构通常由中心、部门、子部门组成，如下图：由上图可知，3 级流控只能满足到基层部门的流控制，对于部门下的应用控制已经明显力不从心，为此 ASG5000 系列提出了 4 级流控概念，可将物理线路划分为若干虚拟线路和流控通道，可以满足大中型企业普遍带宽管理需求，策略主要支持基于用户/组、应用/组、服务、

45、源地址等七元组的方式实现带宽管理细化，满足用户各种带宽管理的需求。弹性带宽分配ASG5000 弹性带宽管理，可以使空闲通道不占用大量带宽，减少带宽的浪费，减少因空闲通道占用带宽，流量达到极限出现丢包现象。弹性带宽就是为了解决带宽浪费的问题，空闲通道会自动让出部分带宽给繁忙的通道。一旦空闲通道带宽不足时，将自动抢占回借用出去的带宽。此特性避免了带宽浪费，实现价值最大化。流量、时长限额用户体验至上的服务理念趋势下，企业为用户提供更灵活和细致的服务，已达到用户差分服务的效果。例如银行网点中，铜卡用户可免费上网 3 小时，银卡用户可免费上网 5 小时，金卡用户不限时上网。单纯的流控策略是无法满足企业的

46、管理需求。ASG5000 提供流量和在线时长限额的功能。通过预设用户的流量额度或者在线时长的阀值，设备统计该用户的对应参数，当对应参数超过设置阀值，设备立即对该用户进行惩罚，惩罚方式可选择禁止上网或流量限速。ASG5000 可提供极为强大的管理网络流量的方法和手段，解决用户应用场景的流控细致化、差异化需求。每 IP 或用户限速ASG5000 采用了自动均分带宽，当在某个通道中只有一个用户使用时，该用户可以使用全部的带宽，如果有更多用户使用该通道时，管理员可设置将带宽按 IP 数量或用户数量均分，提升用户上网体验。同时支持针对每 IP 或用户分别设置上行和下行的带宽速度，限制单 IP 或用户的上

47、网速度，保障用户组的整体效率。流控策略白名单网络管理过程中，重要来宾和企业重要人员往往是不希望受流控策略的限制， ASG5000 根据用户需求，增加了流控策略白名单功能，白名单 IP 和用户将不受ASG5000 任何流量策略的限制，保障管理更加人性化。领先的合规维护国家GAWA3011.(15)-2015 公共场所无线上网安全管理系统无线上网接入要求规范， 如咖啡馆、酒吧、KTV 等提供网络接入的公共场所，需实现规范的准入管理制度，上传审计信息到网监后端平台，否则会面临业务下线、停业整改、罚款等风险。ASG5000 提供无线非经合规特性。并可适用于集中式部署、分布式部署、旁路对接多种场景，从而

48、易于客户网络平滑升级。公安部提出了标准要求，但各地市的对接标准不一，后端对接厂商众多，也给客户带来了升级困扰。ASG5000 支持任子行、派博、洪旭、爱思、博网等多家主流后端对接厂商平台，对接地区广，对接经验丰富。有在银行、运营商、零售连锁等多种场景丰富的对接经验，超高的应用识别率、定制开发能力，为客户场景的安全合规提供保障。对接厂商对接方案目前ASG5000 系列行为管理产品支持对接的非经后台主要有：任子行、派博、红旭、爱思、锐安、宽广智通、网博、云辰、携网、兆物、恒邦、中新、博网、网博（加 密）、美亚柏科、盛世光明、烽火科技、中科新业、新网程。后期我们会持续开发，保持行业领先。ASG 50

49、00 系列行为管理产品支持在各种不同的网络场景中部署，完成相关非经对接， 常见的部署场景有：ASG5000 行为管理产品旁路部署ASG 行为管理设备可以旁路部署在核心交换旁边，核心交换通过镜像接口，将用户上网流量同步给ASG 行为管理产品。除此之外，相关用户数据也需要通过不同的用户同步接口，同步给行为管理。这样全套的用户上网数据即可按照相关非经要求完成数据 上报。ASG5000 行为管理产品网桥串行部署ASG 行为管理设备可以通过网桥的方式部署在核心交换和出口防火墙之间，这样可以保证用户通过防火墙上网的全部用户数据经过行为管理产品，这样部署的好处是不仅可以完成用户行为的相关管控，同时可以完成用

50、户数据的相关审计，而且用户认证相关功能也可以ASG 本身完成。这样可以在影响客户网络最小的前提下，完成非经相关对接。丰富的攻击防御手段ASG 提供丰富的安全防御手段，包括对网路安全攻击和数据包异常攻击，可以根据不同的攻击事件完成防御。攻击防护当受到攻击时，伴随而来的会出现网络异常情形发生，网络异常大概可分为以下三种：通信协议异常例如由外界网络流入大量过长的 IP 数据包、大量的 IP 碎片数据包、异常的 TCP 通信协议连机状态、被截断的 IP 数据包、无法重组的 IP 数据包等。IP/Port 的扫描异常通过 IP 扫瞄，黑客得以窥知目的端内网络结构和情形；通过Port 扫描，黑客可以得知目

51、标主机已开启的服务端口。网络流量异常例如突然产生大量的 TCP SYN、TCP、UDP、ICMP、IGMP 等数据包，占据正常网络使用带宽。会话管理黑名单当上述攻击数据包发起时，经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务；IP/Port 扫瞄的行为将让企业内部的网络架构轻易被黑客得知；大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死 机。ASG5000 内置异常包攻击防御模块，可以检测各项偏离预期的网络行为。依据 RFC 标准规范制作通信协议异常检测模块，可以阻止不符合标准通信协议规范的数据包。支持网络流量异常检测，不单只使用计数的方式，还使用

52、专门的统计算法，可以准确地检测网络流量的异常情形。支持ARP 防欺骗、支持 IP、MAC 地址绑定。支持ARP Flood 攻击防护、支持基于接口的ARP 学习控制。支持Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 选项、IP Spoof、Jolt2 等异常包攻击的防御。支持基于 IPv6 的 Winnuke、Land-Base、TCP flag、Fraggle、IP Spoof 等异常包攻击的防御。支持基于接口的端口扫描防护和 IP 扫描防护。支持 SYN flood、UDP flood、ICMP flood、DNS

53、flood 攻击防护，支持自定义阈值。会话监控、会话控制功能是专业化管理内网必不可少的功能。ASG5000 可对当前设备的会话进行监控，管理员可查看会话的发起用户、源目地址、端口、协议、策略、存在时间和超时时间等，具有完备的状态检测表追踪连接会话状态；ASG5000 支持对当前所有会话进行峰值统计，方便管理员快速筛选内网异常用户和 IP，可帮助管理快速定位网络故障；管理员支持针对全局基于 IP 进行并发会话和新建会话的限制，保障内网所有访问行为均在正常数值范围内，确保内网安全。ASG5000 支持黑名单设置并支持黑名单时长设定，用户上网行为中触发防攻击规则后源地址自动进入黑名单。有效提升了用户

54、网络安全性优秀的组网能力高密度的端口支持ASG5000 系列行为管理设备分为桌面型、1U 标准机箱、2U 标准机箱三种形态ASG5305/5505 桌面形态设备，1 寸 soho 机箱，6 个GE 电业务口，1*RJ45 串口，1 个USB 接口，交流单电源，500G 硬盘。ASG5310/5510 1U 标准机箱，4 个千兆 Combo 接口（光电复用），10 个千兆电接口，支持一对电 Bypass，1*RJ45 串口，1 个USB 接口，交流单电源，500G 硬盘。ASG5320/5520 1U 标准机箱，12 个千兆光接口，12 个千兆电接口，支持 1 对电Bypass，1*RJ45 串口，1*GE 管理口，1 个 USB 接口，交流冗余电源，1T 硬盘。ASG5530 2U 标准机箱， 12 个千兆光接口，12 个千兆电接口，2 个SFP+万兆光纤接口，支持 1 对电 Bypass，1*RJ45 串口，1*GE 管理口，1 个 USB 接口，交流冗余电源，1T 硬盘。ASG5550 2U 标准机箱，12 个千兆光接口，12 个千兆电接口，4 个SFP+万兆光纤接口，支持 1 对电 Bypass，1*RJ45 串口，1*GE 管理口，1 个 USB 接口，交流冗余电源，1T 硬盘。ASG5610 2