1、华为 ASG2000 上网行为管理平台技术建议书目 录2.1 企业网络现状 .42.2 企业网络业务流分析 .42.3 企业上网行为管理问题与分析 .43.1 企业上网行为管理设计原则 .53.2 企业上网行为管理需求 .64.1 ASG 上网行为管理简介 .74.2 企业上网行为管理产品部署模式 .74.2.1 网桥模式 .74.2.2 网关模式 .94.2.3 旁路模式 .114.3 应用场景 .124.3.1 金融行业互联网风险管理 .124.3.2 政府信息中心上网行为管理 .144.3.3 能源行业上网行为管理 .154.3.4 中小企业和分支机构上网行为管理 .164.3.5 大型
2、企业上网行为管理 .184.3.6 教育行业上网行为管理 .194.3.7 酒店行业上网行为管理 .204.3.8 网吧等经营性场所上网行为管理 .224.4 企业网络安全解决方案优点总结 .255.1 ASG 系列上网行为管理功能特点 .265.1.1 最丰富的应用识别,更好地提高办公效率 .265.1.2 全面的内容控制和审计,有效防止信息外泄和协助法规遵从 .265.1.3 电信级高可靠性,为业务保驾护航 .275.1.4 四重保护上网用户,恶意软件无所遁形 .285.1.5 专业报表针对性强,助力企业治理 .285.2 ASG 规格 .296.1 服务理念 .306.2 服务内容 .3
3、06.3 服务保障 .311 概述在Internet飞速发展的今天,网络已成为企业的重要生产工具,员工通过网络可以查找资料、沟通交流和从事电子商务等,但是相应的多种问题伴随而生,例如: 与工作无关的 P2P 和在线视频等应用占用带宽 与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率 员工随意在网络上发帖和传输文件导致机密泄露 员工上网容易受到病毒、木马和蠕虫等攻击和感染 员工通过网络从事一些黄赌毒等违法活动 员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题,上网行为管理产品应运而生,用于实现员工上网行为的管理、带宽的限制和确保员工上网安全等,可以极大提高员工的办公
4、效率和带宽利用率,防止机密数据泄密和员工通过网络从事违法活动。2 企业网络分析通过与企业进行深入的交流,我们对其网络进行了充分的了解与分析。 2.1 企业网络现状此部分主要包括两个部分 (注意:要给出网络的吞吐量 ):1企业内部网络拓扑图,如果企业是新建网络,则提供没有上网行为管理设备的网络拓扑图,用来进行组网方案的分析。2企业内部网络承载的业务,主要是内部业务以及出口网络业务 2.2 企业网络业务流分析给出企业现网的业务流分析图,使得客户对现有网络资源滥用问题理解的更加清晰 2.3 企业上网行为管理问题与分析此部分主要包括以下几个部分 (主要根据与客户的沟通以及我们自己的分析给出 ):1企业
5、内部有大量抢占带宽的与工作无关的应用:需要对 P2P下载、 P2P视频等流量进行限制,甚至阻断;2企业内部有影响工作效率的与工作无关的应用:需要对聊天、炒股、游戏、博客、网上商城等流量进行限制,甚至阻断;3企业有核心数据泄露的风险:需要对员工的网上发帖、传输文件等的内容进行过滤,并对泄露行为留下证据;4企业因为员工个人的网上行为带给企业法律风险:需要过滤不良的 URL网址、对员工上网发表言论的关键字进行过滤,并留下证据;5. 企业员工安全意识薄弱带来企业网络安全问题:需要对恶意 URL网址进行过滤、对下载文件进行防病毒检查,对针对终端的攻击进行防御等;6. 企业网管对网络使用情况管理困难:员工
6、上班时间从事办公无关行为影响办公效率;大量网络视频和 P2P下载导致网络不稳定;时常发生设计图纸和财务报表等敏感数据外泄事故。企业需要按人、应用对上网时长 /流量 /行为次数进行分析,可以形成排名、趋势、对比的分析报表;并总结输出面向管理层的多种分析报表,如:办公效率报表、员工合规性评估报表等;3 企业上网行为管理需求针对企业上网行为管理问题与分析给出简要的描述,例如:通过深入的交流与分析,企业上网行为管理需求分为四个部分:提升办公效率、带宽管控、内网安全、员工上网行为审计、数据防泄漏。 3.1 企业上网行为管理设计原则根据企业对网络安全的需求以及华为公司对网络安全的积累,我们提出企业上网行为
7、管理设计必须满足以下原则:1 安全性原则:充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。2 可靠性原则:保证产品质量和可靠性,对项目实施过程实现严格的技术管理和设备的冗余配置,保证系统的可靠性。3 先进性原则:具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。4 可推广性原则:方案及其采用的技术应该支持系统规模的扩大和网点数量的增加,易于广泛推广。5 可扩展性原则:IT 技术的发展和变化非常迅速,方案采用的技术具有良好的可扩展性,充分保护当前的投资和利益。6 兼容性原则:要求系统的标准化程度高,可以做到不同应用系统间的完全兼容
8、;同时,也可以根据特殊的要求给出不兼容的设计。7 可管理性原则:所有安全系统都应具备在线式的安全监控和管理模式。3.2 企业上网行为管理需求新增上网行为管理,用以满足企业以下需求 (根据企业上网行为管理问题与分析给出需求 ):企业上网行为1 员工上班时间上网,影响工作效率。2 公司机密信息通过网络随意外传,遭受损失。3 公司正常网络业务带宽受到工作无关业务影响。4 保障用户正常业务流量、限制办公无关应用流量 5 防止重要信息资产外泄 6 绝浏览和发布不良信息 政府上网行为管理1. 上班时间炒股、玩游戏2. 浏览不良网站(反动、色情、暴力、博彩类)3. 严重影响政府形象和办事效率4. 散布非法言
9、论,违法互联网相关的政策法规教育行业1. 实现学校绿色上网的政策要求 2. 过滤恶意网站 3. 审计网络行为 4. 保证教师等重要用户的上网带宽 宾馆酒店1. 保证宾馆正常在线客房预订业务2. 保证宾馆办公网络正常带宽3. 保证房客住宿期间,宾馆承诺的网络带宽4. 宾馆记录房客的互联网访问记录,以备检查和取证。5. 宾馆禁止房客进行不良、非法的互联网访问行为 6. 公安部 82 号令7 84 上网行为管理解决方案4.1 ASG 上网行为管理简介ASG(Application Security Gateway)是华为技术有限公司(以下简称华为)推出的上网行为管理产品,主要解决内部员工上网带来的工
10、作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。4.2 企业上网行为管理产品部署模式根据对企业的需求分析选择以下的一个方案或者进行方案综合 4.2.1 网桥模式单网桥ASG与内网交换机连接的接口加入LAN区域,与出口网关连接的接口加入 WAN区域,形成一进一出单网桥组网。ASG 对内网用户的上网行为进行管理,并提供审计功能。L A NW A NA S GS w i t c h出口网关图1. 单网桥适用场景:企业具有出口网关,不希望改动现有网络环境硬件要求:一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC
11、 服务器(用于部署ASG Manager)软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008多网桥ASG支持多个网桥,可以通过指定不同的LAN/WAN口进行配置,不同网桥之间在设备内部通过VLAN进行隔离。ASG还支持网桥多网口,即一个网桥中包含多对多或一对多的接口,这些接口属于同一个VLAN,可以相互通信。L A NW A NA S GS w i t c h出口 1出口 2S w i t c h图2. 双网桥适用场景:企业网络被隔离为多个,并且都具有出口网关,希望仅适用一套ASG设备进行管理,不希望改动
12、现有网络环境硬件要求:一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC 服务器(用于部署ASG Manager)软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 20084.2.2 网关模式单ISP网关模式的ASG工作在三层,通常部署在企业网络出口处,作为出口网关使用。网关模式组网通常还启用源NAT,将上网 PC的私网IP地址转换为公网IP地址。网关模式组网支持所有的业务功能,尤其对NAT功能支持全面,同时支持源 NAT和地址映射(虚拟服务器
13、)。L A NW A NA S GI S PD M ZS e r v e rS w i t c h静态 / D H C P / P P P o E图3. 网关模式-单ISP适用场景:企业没有出口网关,需要使用ASG做出口网关,只接入一个ISP硬件要求:一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC 服务器(用于部署ASG Manager)软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008多ISPL A NW A NA S GI S
14、P 2I S P 1S w i t c h图4. 网关模式-多ISP适用场景:企业没有出口网关,需要使用ASG做出口网关,只接入多个ISP硬件要求:一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC 服务器(用于部署ASG Manager)软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 20084.2.3 旁路模式旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到ASG,从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。
