企业互联网行为管控解决方案

1、PAGE 天玥网络安全审计系统互联网行为管控解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc530427781 一、概述 PAGEREF _Toc530427781 h 3 HYPERLINK l _Toc530427782 二、系统的需求背景 PAGEREF _Toc530427782 h 3 HYPERLINK l _Toc530427783 2.1上网的负面影响 PAGEREF _Toc530427783 h 3 HYPERLINK l _Toc530427784 2.2网络行为管理 PAGEREF _Toc530427784 h 7 HYPERLINK

2、l _Toc530427785 三、整体方案描述 PAGEREF _Toc530427785 h 7 HYPERLINK l _Toc530427786 3.1“网络行为管理系统”管理目标 PAGEREF _Toc530427786 h 7 HYPERLINK l _Toc530427787 3.2部署方式 PAGEREF _Toc530427787 h 8 HYPERLINK l _Toc530427788 3.3产品功能 PAGEREF _Toc530427788 h 9 HYPERLINK l _Toc530427789 3.3.1 网络行为管理 PAGEREF _Toc53042778

3、9 h 9 HYPERLINK l _Toc530427790 3.3.2 带宽管理 PAGEREF _Toc530427790 h 11 HYPERLINK l _Toc530427791 3.3.3 认证/授权/计费 PAGEREF _Toc530427791 h 17 HYPERLINK l _Toc530427792 3.3.4 IP管理与用户管理 PAGEREF _Toc530427792 h 18 HYPERLINK l _Toc530427793 3.3.5 网络安全防范 PAGEREF _Toc530427793 h 18 HYPERLINK l _Toc530427794 3

4、.3.6 高可靠性的HA功能 PAGEREF _Toc530427794 h 19 HYPERLINK l _Toc530427795 3.3.7丰富的统计报表 PAGEREF _Toc530427795 h 19 HYPERLINK l _Toc530427796 3.3.8 实用强大的管理功能 PAGEREF _Toc530427796 h 23 HYPERLINK l _Toc530427797 3.4产品特性 PAGEREF _Toc530427797 h 24 HYPERLINK l _Toc530427798 3.4.1 支持单点部署与集中管理 PAGEREF _Toc530427

5、798 h 24 HYPERLINK l _Toc530427799 3.4.2 采用高性能抓包分析引擎 PAGEREF _Toc530427799 h 25 HYPERLINK l _Toc530427800 3.4.3 运用了高效的零拷贝技术 PAGEREF _Toc530427800 h 25 HYPERLINK l _Toc530427801 3.4.4 基于WEB 的管理控制策略 PAGEREF _Toc530427801 h 25 HYPERLINK l _Toc530427802 3.4.5 DPI与DFI相结合的数据分析技术 PAGEREF _Toc530427802 h 25

6、 HYPERLINK l _Toc530427803 3.4.6 准确完善的URL分类库 PAGEREF _Toc530427803 h 27 HYPERLINK l _Toc530427804 3.4.7定期更新URL库及应用库 PAGEREF _Toc530427804 h 27 HYPERLINK l _Toc530427805 3.4.8高可靠性系统设计 PAGEREF _Toc530427805 h 27 HYPERLINK l _Toc530427806 3.4.9 多功能与高性能完美结合的整体 PAGEREF _Toc530427806 h 27 HYPERLINK l _Toc

7、530427807 四、技术支持与服务 PAGEREF _Toc530427807 h 28 HYPERLINK l _Toc530427808 4.1售前技术支持服务 PAGEREF _Toc530427808 h 28 HYPERLINK l _Toc530427809 4.2售前客户度身订制服务 PAGEREF _Toc530427809 h 28 HYPERLINK l _Toc530427810 4.3售后培训服务 PAGEREF _Toc530427810 h 28 HYPERLINK l _Toc530427811 4.4售后技术支持和到场服务 PAGEREF _Toc53042

8、7811 h 28 HYPERLINK l _Toc530427812 附:启明星辰公司简介 PAGEREF _Toc530427812 h 29一、概述随着互联网技术的飞速发展，人们获取信息的手段发生了巨大的变化，信息的交流和处理越来快速和便捷，为各类大中型企业工作带来了新的机遇和挑战。 信息化的建设是利用网络、计算机、通信等现代信息技术，通过对信息资源的深度开发和广泛利用，不断提高生产、经营、管理、决策效率和水平，从而提高经济效益和提升竞争力，所以信息化的建设其实就是生产力的建设。但是在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重。对于互联网管理，上网行为规范，提

9、高网络利用率等方面提出了迫切的需要。二、系统的需求背景2.1上网的负面影响（1）降低员工工作效率，增加企业运营成本根据中国社会科学院社会发展研究中心对中国5城市互联网使用状况及影响调查报告的结果显示，被访网民使用最多的网络资源是网络新闻（65.9%），而真正用于学习和工作的比例还不到40%。下图显示网络资源使用的分布图： 员工收入上网时间2000元/月3000元/月4000元/月5000元/月6000元/月8000元/月每天一小时 12.518.5253037.550每月累计2503705006007501000每年累计3000444060007200900012000每天2小时2537506

10、075100每月损失5007401000120015002000每年损失6000888012000144001800024000每天3小时37.5元55.57590112.5150每月损失75011101500180022503000每年损失90001332018000214002700036000备注：本表是根据员工在工作时间做与工作无关的上网时间，并结合公司付给员工的劳动力报酬，所计算出这种现象给公司带来的直接经济损失。如果我们再把网络安全、网络犯罪、信息安全、硬件损失等相关因素考虑到内，它将给公司的正常经营和员工的个人发展带来巨大的损失。 中国社会科学院社会发展研究中心最新调查结果 由此

11、我们根据用户上网时间和人力成本算了一本账，如下表：（条件：此表假设员工上班为8小时工作日，每月20个工作日）一般小型企业上网员工人数平均与工作无关上网时间上网员工平均月收入20人左右2小时3000元根据人力资源统计数字显示，企业员工成本一般为员工工资成本的130%，所以我们可以有效的计算出员工上网办私事给企业造成的直接经济损失为：企业年损失=企业年工资损失*130%= 23万元/年一般中型企业上网员工人数平均与工作无关上网时间上网员工平均收入50人左右2小时3000元企业年损失=企业年工资损失*130%= 57.7万/年一般大型企业上网员工人数平均与工作无关上网时间上网员工平均收入100人左右

12、2小时3000元企业年损失=企业年工资损失*130%=115.4万/年（2）网络资源的不合理占用，影响正常业务。当前的互联网存在种类众多的应用，基于前面的分析我们会发现，组织成员在使用互联网时更多的是进行娱乐活动，如网络电视、P2P下载等；诸如此类的使用会严重消耗组织的网络带宽，正常业务通讯得不到保障，只能通过增加办公成本来增加带宽，但是网速和带宽没有得到根本的改善。（3）企业内部资料泄密企业重要资料和秘密资料通过网络的Web、Email、QQ和MSN等途径向外散发，或被别有用心的人截获而加以利用，加大了企业信息的曝光率，给企业信息安全带来隐患。（4）病毒、木马、流氓软件带来的网络安全问题 高

13、风险网站导致病毒、木马、流氓软件在内网散播，造成无法正常的使用网络。2.2网络行为管理网络安全审计不同于传统行业的管理，无法制定简单明确的规则进行监控和管理，需要全方位深入的分析用户上网行为。一般而言，网络行为管理的难题在于：（1）网络行为管理涉及到相当专业的技术，管理者往往没有相关方面的知识。（2）网络访问复杂，难以区分合理和非法的网络访问（3）缺乏有效的跟踪分析工具，事后无法汇总、举证（4）缺乏有效的管理控制工具 北京启明星辰信息技术股份有限公司作为国内专业的安全服务提供商针对以上这些需求和现状提出的一整套解决方案。天玥网络安全审计系统是启明星辰互联网管理解决方案的核心，作为完全拥有自主知

14、识产权的互联网行为管控系统，集成先进的软硬件体系构架，配以先进的行为分析引擎、灵活多样的管理控制策略，实时分析网络活动，并生成丰富的统计报表。能够满足各行业各种Internet互联网使用行为管理需求。三、整体方案描述3.1“网络行为管理系统”管理目标 当今企业网络管理面临的已下几个问题：内部机密信息泄密；企业内部重要资料和秘密资料被有意或无意的通过网络Web、Email、QQ和MSN等途径向外散发，或被别有用心的人截获而加以利用，给企业的信息 HYPERLINK /security t _blank 安全带来极大的隐患网速和带宽效率下降，办公成本增加；使用P2P下载的行为日益增加，严重消耗网络

15、带宽，正常业务的通讯得不到保障，只能通过增加办公成本来增加带宽，但是网速和带宽没有得到根本的改善。病毒、木马、流氓软件带来的安全隐患；企业许多的核心数据、机密文档都存储在公司计算机或网络服务器上，随着网络规模的扩展变得越来越复杂。一旦内部人员不慎将木马等恶意程序带入网内，后果将不堪设想；从事网络违法行为，带来法律风险网上言论得不到规范，工作时间访问色情网站、恶意发帖、发表反动言论等都会来法律风险；工作时间做非工作活动，导致工作效率低下员工上班时间做与工作无关的活动，如：网络聊天、在线影音、在线游戏、浏览非法网站、在线炒股等，都会直接影响工作效率，并且对内部网络带来安全风险。管理者管理困难，增加

16、了管理难度，使管理变的复杂化管理者不能直观的看到内部发生的网络行为，不能实时有效的进行统一管理，统计、审计、分析都变得相当困难，没有清晰的网络行为管理数据提交领导部门。通过对以上几点难题的分析得出以下结论，是我们需要迫切解决的问题：如何杜绝通过Email、Webmail、MSN等途径潜在的泄密行为？如何限制P2P下载行为，提升网速和带宽效率？如何防范用户浏览非法网站“主动”下载病毒、木马、恶意软件？如何避免恶意发帖、发表反动言论等法律问题，并在发生问题时有据可查？如何限制上班时间QQ聊天、在线游戏、在线炒股等非工作网络行为？如何进行实时有效的统一管理，以方便高效的报表形式呈现出管理的效益？3.

17、2部署方式本解决方案是以我公司互联网行为管控来具体实现，在部署中，互联网行为管控系统采用串联的部署方式。在这种部署应用模式下按照贵公司网络结构，可以将整个企业网络划分为一个安全区域，互联网行为管控系统管理区域内所有用户对互联网的访问。我们推荐如下方案解决用户需求，如下图（下图为示意图,根据具体网络环境不同，部署套数和位置可能有所不同）： 3.3产品功能3.3.1 网络行为管理WEB 访问控制记录用户访问的URL 地址。系统采用URL 智能过滤算法，滤掉浏览器自动访问的URL 地址，仅记录用户实际点击的URL 地址，保证记录的有效性。强大的URL 分类库。支持自定义的URL 分类。基于网站分类的

18、URL 控制策略。基于URL 关键字的控制策略。基于网页内容的过滤。实时查看用户访问的URL 地址。 外发信息及邮件审计控制记录用户的网站访问痕迹。记录用户在网页上提交的HTTP 表单地址以及内容。表单的自动分类（如登录、邮件、BBS 等分类）和统计。支持SMTP、POP3 协议。记录邮件发件人、收件人、标题、正文、附件、大小等信息。灵活多样的监控规则。发件人、收件人监控。标题内容监控。正文内容审计。附件名称审计。邮件大小审计。邮件内容和附件的下载。地下浏览记录记录用户使用代理软件（如无界、自由门、花园等）所进行的网站访问的记录。即时聊天监控支持目前主流的聊天工具，包括MSN、QQ、YAHOO

19、、ICQ、Fetion等。记录聊天帐号、上下线时间、聊天持续时间、聊天内容等信息。记录MSN/ICQ/飞信等的有关文件上传、下载的动作，提供本地下载审核。邮件访问控制FTP/HTTP 传输审计记录FTP 登陆帐号、密码、服务器IP 地址。记录传输文件的时间、文件名称、传输方向、大小等信息。记录HTTP下载的文件名、时间、大小等信息。 P2P 协议监控记录BitTorrent、eMule 等P2P 协议带宽使用情况。网络游戏审计记录网络游戏的在线开始时间、结束时间、游戏时间段等。可自定义网络游戏规则、种类以及相应的策略。炒股软件监控记录用户开始使用炒股软件的时间、用户IP等信息。可对炒股软件的使

20、用进行控制（阻断或限制）。网络电视监控记录用户使用网络电视的开始时间、结束时间以及所使用客户端等信息；可针对网络电视自主的设置管理规则：或限制在某一时段开启、或彻底阻断。异常网络流量监控实时监控网络流量状态，例如针对内网ARP流量的监控；统计警告网络中的异常流量，例如网络内部的异常ARP状态，并给出异常流量告警。审计设置外网白名单，可免除对指定站点的访问审计监控；外网黑名单，可禁止访问指定站点；内网白名单，可免除白名单内用户或IP的上网行为审计；内网黑名单，可禁止黑名单内用户或IP使用互联网；免审计USB-Key，安装此USB-Key的用户将不受系统限制。3.3.2 带宽管理如何有效利用网络中

21、现有的带宽，是很多网络管理人员一直需要面对的问题。互联网行为管里对此给出了一个优异的带宽管理解决方案：以应用为基础，以优先级为条件，辅以连接数、连接速率以及传输方向来进行带宽管理策略设置。合理的策略设置能够使当前的网络为更多的网络用户和应用服务，并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用，保证关键业务和正常业务的畅通。网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。 基于应用的带宽管理互联网行为管控采用基于应用的带宽管理策略设置。基于应用的带宽管理需要准确分析到数据的协议类型以及应用类型，所设置的带宽策略才能准确限制各业务

22、、各用户的网络带宽使用情况。基于应用的带宽管理策略的好处在于：能够根据需要区分主要业务与次要业务、非业务等网络应用，有效保证关键业务对网络带宽的占用情况。如下图所示：图6. 带宽管理协议与应用列表 针对关键业务的带宽保障在基于应用的带宽管理基础之上，系统能够针对指定业务进行管理，并能够对其进行带宽保障。例如目前常见的视频会议，为保障视频会议这类应用的正常进行，可以在系统中设置针对网络视频的最小带宽保障来确保视频会议关键业务的正常进行。视频会议所属协议如下图所示：图7. 针对电视会议的管理协议在策略添加中只需要针对这些应用或协议设置带宽保障即可，如下图所示：图8. 针对电视会议的策略设置根据用户

23、或用户组设置带宽策略在确定应用管理的基础上，互联网行为管控还可以根据用户或用户组设置不同优先级和不同数量级的带宽策略，例如可以设置不同组的每组带宽策略，亦可根据不同用户进行带宽设置，使带宽管理能够准确管理到用户；还可以设置不同的优先级，优先保障关键业务的带宽占用，使得每组用户中的非关键应用在保障核心关键业务顺畅运转的基础上可以使用部分网络带宽，从而最大程度的提升网络利用率。通过对用户组带宽策略的设置，还能有效提升网内服务器群组的出口带宽，保障网内服务器群组的对外服务能力，缩短响应时间。带宽管理的设置经过了充分的考虑以及合理的规划，可以实现针对网络中的任一用户或用户组的能够基于应用的带宽管理；用

24、户及用户组不需另外添加，由系统自动从已有的用户列表中读取，然后由用户进行选择。策略添加页面如下图所示：图9. 带宽管理策略添加页面 针对指定用户的带宽保障系统还支持针对指定用户的带宽策略设置。管理对象可以具体到一个用户或IP；针对这个用户或IP可以制定细化的策略管理：针对某些应用设置具体的带宽管理，例如设置保障带宽（最小带宽），即可保证该用户的最小带宽，如下图所示：图10. 添加针对用户的保障带宽基于不同优先级的带宽管理策略在不同的用户或用户组策略内，还可以设置不同的带宽策略优先级，例如组G1加应用A1中可以将同一个组而不同的应用进行分类，并设定优先级，从而确保关键应用/关键使用人的带宽使用保

25、障。通过用户及应用的带宽管理优先级设定，还可以将非关键业务纳入到管理范畴之内，使得网络内部各种流量都可管可控。网关带宽管理中可通过添加，修改，删除操作来设置指定应用的带宽控制策略，设置多种应用，例如HTTP/FTP、eMule、迅雷等，同时还能自定义网络应用，通过对地址端口等数据的登记可以完全实现对客户自有业务的保障。网关能够设置指定端口的带宽控制策略。图11. 带宽管理策略列表 根据数据传输方向控制带宽考虑到当前一些上传/下载量及不均衡的应用，网关能够分别制定组内或者全局的上传带宽控制/保障策略和下载带宽控制/保障策略，从而既保障了网络用户使用网络的基础接入能力，还能通过对非关键应用的控制来

26、保障核心业务不受干扰。图12. 带宽管理策略列表 通过控制连接速率控制带宽在互联网行为管控的带宽管理中还可以通过连接速率的限制来进行带宽控制：即控制用户每秒发起的连接数来限制用户所能进行成功建立连接的个数，从而达到通过控制连接数来实现对其所使用的应用的带宽管理。图13. 带宽管理设置 通过控制连接数控制带宽网关还能够通过控制用户的连接数来进行用户的带宽控制。众所周知，连接数越多，其可能占用的带宽越大，尤其是在目前常用的P2P下载中，限制连接数是限制P2P下载带宽效果比较明显的措施之一。图14.带宽管理设置3.3.3 认证/授权/计费网络的使用是基于账号和密码的认证方式，用户只需在web页面中输

27、入用户账号和密码通过网关的认证，便可使用网络资源。为确保用户能够查询使用网络资源的情况，还提供一些附加功能，如即时查询使用时间、流量等费用信息。用户上网的认证、计费完全按照用户分组来进行管理：可以根据用户组设置和管理用户每一周上网的时间，可以根据用户组设置和管理用户每天上网的时间段，可以根据用户组设定用户每天上网的总时长，可以根据用户组设定用户每天下载的总流量，可以根据用户组设定用户禁止访问的网站，可以根据用户组设定是否对用户绑定IP地址或MAC地址，可以根据用户组设定是否计费，可以根据用户组设定具体的计费策略。认证该设备把用户的账号、IP、VLAN ID、MAC地址进行三层绑定，以此确保了用

28、户的唯一性，避免了账号的盗用。网络流量管理系统提供了简单方便的认证方式便于用户的接入网络：用户上网前的认证采用Web页面登陆的方式，用户上网只需要三步：连接网线、启动计算机和打开浏览器，网络流量管理系统将用户强制连接到设定的访问页面，输入用户名和密码进行用户身份认证，无需下载客户端软件和更改用户端设置，即插即用，非常方便用户的使用。当用户通过系统认证后，在一段时间内无需再次认证，插上网线就可以继续使用网络，同时网关也对该用户进行计费，不需要硬件的支持。用户还可以通过网页来查看上网的时间和流量等网络使用的信息。方便的退出机制，用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方

29、式来退出和停止使用网络资源。授权用户通过输入用户名和密码之后，用户的认证信息将通过加密的方式发送到多功能网关，在与数据库的数据进行匹配之后，网关将根据系统已经设置完成的用户权限返回对应的用户或用户组，用户将根据得到的授权使用网络资源。根据不同的用户和用户组，设定用户的上网权限，包括用户上网使用的计算机，用户接入网络的IP地址，用户的上网时间段，用户禁止浏览的网站，用户上网的每天或每月能够上网的总计时长。3.3.4 IP管理与用户管理IP/MAC/VLAN ID绑定系统支持地址和端口绑定，采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式，能够防止用户的账号被盗用，同时也保证用户使用网

30、络的统计信息更加准确。 基于部门或策略的用户管理 系统支持基于部门或策略的用户管理：支持按照组织结构对用户进行管理。支持按照策略分类对用户管理，即可以按照策略设置的不同来对用户进行分组。3.3.5 网络安全防范网络流量管理系统采用数据包过滤的方式，对内外网络的交换数据进行必要的审查和过滤，能够有效的减低网络内部的安全风险。其中包括轻型防火墙功能和防DDoS攻击功能。防火墙功能通过建立访问控制列表（ACL），限制和管理内网用户和外网的访问请求，同时能够禁止外网用户到内部网络的病毒和黑客攻击。禁止外部网络IP访问内网禁止某个内部IP地址访问外网禁止某个内部IP地址访问外网某个地址（段）禁止某个内部

31、IP地址访问外网的某个（些）TCP或UDP应用端口禁止某段内部IP地址段访问外网禁止某段内部IP地址段访问外网某个地址（段）禁止某段内部IP地址段访问外网的某个（些）TCP或UDP应用端口图16. ACL规则列表防DDOS攻击采用了数理分析统计的概率和随机过程概念，不基于特定规则的防DDOS攻击能够可防御各类DOS和DDOS攻击及其变种，如SYN Flood、UDP Flood、(M)Stream Flood和ICMP Flood、Ping of Death、Land、Tear Drop、WinNuke等。保护内部主机和网络的安全和服务的连续性。另外，通过网络地址转换（NAT）功能，能够有效地

32、隐藏内部的网络结构和内部网络地址，从而也提高了网络的安全性。3.3.6 高可靠性的HA功能为实现客户对网络高可靠方面的要求，提升整体网络高可靠、高可用能力，互联网行为管控支持双机热备、全链路冗余、基于路由的冗余环境等多种HA冗余环境，提供对现存的所有冗余链路情况全面支持，确保客户网络的高可靠要求。3.3.7丰富的统计报表 全面丰富的统计报表基于IP 地址和网段、部门、用户生成报表。基于日期生成报表。多样类型和分组报表，提供全方面的信息。报表采用线性图、柱状图、饼图、表格清晰地显示统计的内容。定制并自动生成发送报表。支持网络使用统计排名，并指定TOP-N 显示的数量。报表可以方便的打印。 翔实的

33、网络全局报表全局报表提供网络总的使用情况，包括网络流量时间分布图。24 小时上网高峰曲线图。应用层协议分布饼图。流量、上网时间TOP-N 用户信息。实时在线用户信息。 流量时间分布报表流量时间分布图显示过去一段时期内网络流量随时间的分布曲线，便于管理员掌握网络资源使用的情况。流量时间曲线。流入、流出统计数据。图17.流入、流出明细表。 IP层协议和应用报表IP 层协议如TCP、UDP、ICMP 的百分比饼图。应用层协议如HTTP、FTP 等百分比饼图。图18.应用协议百分比饼图数据明细表。 流量使用TOP-N 报表根据源IP、目的IP 地址分别产生报表。图19.流量TOP-N 报表TOP-N

34、用户流量的应用分布信息。 网络的使用高峰报表显示上网高峰时段报表可以清晰的显示上网高峰时间3段，例如：刚开始上班以及快下班的时间往往是网络应用的高峰。管理员可以根据实际的上网高峰时间段信息，制定相应的策略，提高员工的工作效率。曲线图统计信息。数据明细。图20. 24 小时网络使用高峰报表实用的上网时间报表统计部门、IP 网段、用户总的上网时间、平均上网时间、高峰时间。明细每天的上网时间。上网时间走势图。 上网时间TOP-N 报表统计上网时间最长的TOP-N 个用户。上网时间占有效工作时间的百分比。图21.上网时间 TOP-N 用户完整的应用协议报表支持邮件、即时聊天、BT、FTP、网站访问、游

35、戏、网络电视、网络电话、股票软件等各种应用协议。提供多样性的分组，满足用户所需。如：IM信息可以查看发送邮件最多的用户、接收邮件最多的用户、负载最大的服务器等。表格、柱状图显示实际数据信息以及相关比例。图22.应用协议报表网站访问 ARP信息监控报表3.3.8 实用强大的管理功能 支持数据库导入导出数据库本地导入导出。自动和手动导入导出。定时导入导出。定时删除过期数据。存储地点设置。备份文件信息查看。简单实用的系统操控系统时间手动配置和NTP 自动同步。显示和修改网络接口信息。服务启动信息。查看系统CPU、内存、硬盘、服务信息。3.4产品特性3.4.1 支持单点部署与集中管理1）单点部署方式旁

36、路接入：对现有网络应用和网络拓扑不产生任何影响，不占用网络带宽。隐藏IP模式，用户无法发现系统，更无法攻击系统。网桥/路由:透明模式，不改变网络拓扑结构。路由模式节约网络设备部署费用。2）集中管理方式分布式部署、集中管理 部署方式是：在某一点的部署情况类似于单点的部署方式，但多个单点一起部署后将会给系统管理带来诸多不便，对此启明星辰给出了分布部署、集中管理的解决方案：即在每一个信息采集点按照实际需要分别部署一台天互联网行为管控设备作为审计系统管理终端，然后在集团的中心机房部署一套管理平台，同时每一终端的管理权限交给中心机房的管理平台进行管理（管理方式可选）。管理平台可以针对所有受控终端进行管理

37、，管理类别包括：策略下发、日志上传、日志查询等。图19.集中管理3.4.2 采用高性能抓包分析引擎基于自主知识产权VenusOS的高速数据通信平台，能够实时捕获和分析网络报文。高性能的报文分析、记录和管理控制引擎，满足企业级用户所需。3.4.3 运用了高效的零拷贝技术改善数据分析过程，减少数据复制过程，降低CPU负载，提高系统效率。减少数据拷贝过程中因资源占用而导致的数据丢包现象。图20.零拷贝技术和传统技术比较3.4.4 基于WEB 的管理控制策略方便易用，配备多样性的图表，所见即所得。丰富的统计报表功能，避免用户二次分析数据。灵活多样的管理控制策略。3.4.5 DPI与DFI相结合的数据分

38、析技术普通报文检测的识别方式：应用和协议识别是通过IP包头中的“五元组”即源、目标地址，协议类型，源、目的端口号信息来确定前数据包的类别；但随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能够真正判断流量中的应用类型，基于开放端口、随机端口甚至采用加密方式进行传输的应用类型在目前的网络中比比皆是。端口匹配的方法虽然十分简单，但是它的局限性是十分明显的，如，目前流传比较广泛的大多数P2P应用允许用户手动选择随意的端口号来设置默认的端口号；此外，许多新出现的P2P应用倾向于使用随机的端口号，这就使得端口号不可预测；还存在一种趋势，那就是P2P应用开始使用其他熟识应用的默认端口号（例如端口号8

39、0）来伪装自己的功能端口。在这种情况下，传统的应用和协议识别逐渐显得捉襟见肘。图21.普通的报文识别技术DPI： 即“Deep Packet Inspection”，称为“深度包检测”。与普通的报文分析层次相比较而言的，DPI不仅分析IP包头的五元组，包括源地址、目的地址、源端口、目的端口以及协议类型，而且，还增加了应用层分析，识别各种应用及其内容，如下图所示：IP数据头源地址目的地址IP数据内容Data, Voice, Video, IM, HTTP.L2-L4检测网络层感知L7检测应用层感知图22.DPI技术DFI：即“Deep/Dynamic Flow Inspection”深度/动态流

40、检测技术，DFI技术是一种较新的应用流量分析技术，与DPI进行应用层的载荷（payload）分析匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。它通过应用流的平均速率、流持续时间、字节数、包长等流特征信息来实现应用流量的识别。即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130220byte，连接速率较低，为2084kbit/s，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、

41、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。Venus：鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显，而DFI在对新应用和加密协议的识别方面有一定的优势。莱克斯采用了以DPI分析技术为主，辅助于传统普通报文分析和DFI技术来处理分析加密应用协议的方式来综合分析数据包。即综合分析应用层特征值和应用协议行为；UDP/TCP 端口、端口范围和端口列表；IP 地址、地址范围、子网或主机列表；MAC地址；VLAN标签、MPLS 标签

42、、IP PRECEDENCE、MPLS EXP；传输方向等。以此来达到精确分析应用和协议的目的。3.4.6 准确完善的URL分类库系统中集成了默认的URL分类库，这些分类库是根据中国的当前情况而进行了合理的采集及分类，符合我国用户的网络使用环境的需求。目前URL分类库已进行准确分类的域名达到2000余万条，是由启明星辰公司组织专门的团队进行人工分类的，并参照国内专业机构所提供的专业数据，分类结果较为准确，所涵盖的URL地址类型也较为全面，基本覆盖了在国内用户中有一定访问量的URL地址。3.4.7定期更新URL库及应用库为保证URL分类库的准确性及实时性，系统会定期更新URL分类库；由于系统是基

43、于应用对数据进行分析的，因此在当前诸如MSN、QQ等即时聊天软件，钱龙、大智慧等股票软件以及P2P下载软件等等的应用特征码不断更新的情况下，也会定期更新系统的应用协议库，以保证对所有网络应用的准确识别。3.4.8高可靠性系统设计作为多用途的互联网行为管控如果以路由或桥接模式接入到网络中时，难免会存在造成网络单点故障的风险，鉴于此，该系统提供如下解决方案以降低风险：硬件采用By-Pass设计，避免产生网络中断系统方面采用高可靠性的HA设计，互联网行为管控具有双机热备功能系统架构方面采用系统与数据独立存储的方式保障系统安全3.4.9 多功能与高性能完美结合的整体在高性能的平台上，该产品向用户展示了

44、极为丰富的功能，是一款以解决目前互联网管理难题、贴近用户实际需求的一款多功能与高性能完美结合的产品：多功能与高性能的 xUTM：各个功能模块通过高速数就通信平台融为一体，可以通过制定策略来灵活配置功能模块以达到为客户量身定制产品，满足用户各种安全需求，为用户节省大量购置与维护成本。降低了复杂性 ：一体化设计简化了产品选择、集成和支持服务工作量降低网络管理复杂度，简化管理员操作和提高工作效率。避免复杂的安装工作。简化了操作过程： 降低了误操作隐患，提高了安全性。 提高网络利用效率：一次数据处理，不会造成多次网络延迟。全面管理和保护，在线和旁路模式为客户提供全面的网络安全应用解决方案。四、技术支持

45、与服务4.1售前技术支持服务启明星辰公司拥有多名资深系统分析员和高级技术顾问，以客户为中心，提供优质、及时、标准的支持服务。我们将集中公司的技术资源，采取一套完整的系统和网络管理工具，全力解决用户遇到的问题和故障。同时以预防为主，负责制定相应的预防保养计划和措施，积极协助用户预防信息系统运行中的隐患，提升系统性能，减少系统停机时间，保障系统正常运行，提高投资回报率。4.2售前客户度身订制服务我们可以根据客户的实际情况，进行功能的定制，使得我们的网关和我们的服务更适合客户的需求。4.3售后培训服务我们将负责我们产品的安装，调试和使用的所有培训。4.4售后技术支持和到场服务用户的技术服务请求分为三种级别，服务级别的划分取决于对应用系统运行的关键程度和备用资源的合理调用，并依服务等级的不同，决定相应的服务响应时间。此外，对于用户的特殊要求，亦可双方商讨并制定单独的解决方法：1.全面加急服务：指软硬件故障对全部系统的运行产生关键性影响，导致应用系统无法正常运行或系统瘫痪的情况。2.加急服务：指软硬件故障对系统运行产生部分影响，导致个别网点业务停顿或应用系统中非关键部分失效、性能部分下降但对全部系统