AC基本功能及设置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SINFOR TECHNOLOGIES CO.,LTD. Page26
5、流量管理系统 、
流量管理系统分为带宽保证通道和带宽限制通道, 流量管理系统分为带宽保证通道和带宽限制通道,可以进行带 宽分配及带宽限制。 宽分配及带宽限制。分别可以设置提供某些重要应用的足够带 保证重要应用得以运行,而限制像p2p等下载占用的大量带 宽,保证重要应用得以运行,而限制像 等下载占用的大量带 避免带宽浪费。 宽,避免带宽浪费。
SINFOR TECHNOLOGIES CO.,LTD.
Page9
3.1、上网权限控制 、
上网权限控制可以分时段控制内网用户 的网络应用,如控制用户上班时间不允许QQ 的网络应用,如控制用户上班时间不允许 聊天及玩游戏,下班时间开放等; 聊天及玩游戏,下班时间开放等;同时可以 对通过代理服务器应用进行控制, 对通过代理服务器应用进行控制,如禁止通 过代理上网,禁止QQ通过代理登陆等。 通过代理登陆等。 过代理上网,禁止 通过代理登陆等
SINFOR TECHNOLOGIES CO.,LTD. Page11
3.1.2、网络服务控制 、
网络服务控制可以分时段控制内网用户的网络活动。通过 检测协议和端口来实现的,一般应用具有固定端口的网络 服务。例如上图全天拒绝了内网用户使用ftp和smtp服务。 网络服务规则可以根据服务端口和协议自定义。
AC基本功能及设置 基本功能及设置
SINFOR TECHNOLOGIES CO.,LTD.
Page1
AC基本功能 基本功能
1、使用上网行为管理(AC)必要性 、使用上网行为管理( ) 2、用户认证 、 3、 3、访问控制 4、上网行为审计 、 5、流量管理 、 6、总 、 结
SINFOR TECHNOLOGIES CO.,LTD.
SINFOR TECHNOLOGIES CO.,LTD.
Page7
2、用户认证(续) 、用户认证(
SINFOR TECHNOLOGIES CO.,LTD.
Page8
3、访问控制 、
通过AC的访问控制功能规范和管 通过 的访问控制功能规范和管 理员工的上行行为, 理员工的上行行为,提高网络利用率及 工作效率。访问控制包括上网权限控制、 工作效率。访问控制包括上网权限控制、 网页过滤、邮件过滤上网计时控制等。 网页过滤、邮件过滤上网计时控制等。
SINFOR TECHNOLOGIES CO.,LTD. Page15
3.2.2、关键字过滤 、
关键字过滤包括搜索引擎关键字过滤和http上传关键字过 滤,可以设置拒绝内网用户搜索含有某个关键字的网页或 上传含有某些关键字的内容。如上图设置了全天拒绝内网 用户搜索含有“艳门照”的网页及通过http上传含有“艳 门照”的内容。关键字可以自己定义。
Page22
4、上网行为审计 、
AC可以记录所有用户的网络活动, 可以记录所有用户的网络活动, 可以记录所有用户的网络活动 方便管理员审计。 方便管理员审计。上网行为审计包括实时 日志查看和历史日志查看地。 日志查看和历史日志查看地。
SINFOR TECHNOLOGIES CO.,LTD.
Page23
SINFOR TECHNOLOGIES CO.,LTD.
Page10
3.1.1、应用服务控制 、
应用服务控制可以分时段对内网用户的网络应用服务进行控 制,例如上面图片拒绝用户在上班时间上QQ和下载软件;应 用服务控制是通过检测数据包的特征字段及连接的状态实现 的;设备内有内置应用规则并且会定期自动更新此规则。
SINFOR TECHNOLOGIES CO.,LTD. Page27
6、总结 、
当前互联连面临着带宽利用率低,企业员工工作效率 低,机密资料泄露等严重性问题,AC正是解决这些问题诞 生。AC可以限制BT、电驴等p2p软件下载且进行带宽合理 分配,避免带宽浪费;通过拒绝上班时间访问娱乐网站, 聊天(QQ,skype…)等保证了企业员工的工作效率;通 过拒绝文件外发,邮件延迟审计等策略保证了内网机密资 料的安全。AC同时提供强大的日志管理系统(数据中心), 方便管理员审计。
SINFOR TECHNOLOGIES CO.,LTD. Page17
3.2.4、SSL证书控制 、 证书控制
通过控制SSL证书,有效地控制了对https网站的访问, 通过控制 证书,有效地控制了对 网站的访问, 证书 网站的访问 防止了钓鱼网站侵犯个人隐私,反动网站传播恶意文化等。 防止了钓鱼网站侵犯个人隐私,反动网站传播恶意文化等。
SINFOR TECHNOLOGIES CO.,LTD. Page20
3.3.2、邮件延迟审计 、
注: 邮件过滤只 对smtp和 和 pop协议有 协议有 效,对 webmail无 无 效
为了保证内网发出邮件的安全性, 为了保证内网发出邮件的安全性,通过邮件延迟审计可以 做到对内网发出去的邮件经过管理员的审核后才发出去, 做到对内网发出去的邮件经过管理员的审核后才发出去, 如图是内网用户发出的所有邮件都需要经过管理员的审计。 如图是内网用户发出的所有邮件都需要经过管理员的审计。
4.1、应用审计 、
注:网页 内容审计 极其消耗 性能, 性能,一 般情况下 不建议开 启网页内 容审计, 容审计,
启用应用审计和流量统计功能是AC记录用户网络活动 启用应用审计和流量统计功能是 记录用户网络活动 和网络应用流量日志的前提。 和网络应用流量日志的前提。
SINFOR TECHNOLOGIES CO.,LTD. Page24
Page2
1、使用上网行为管理(AC)必要性 、使用上网行为管理( )
1.1 . 带宽使用效率降低
带 宽
• BT、迅雷等 、迅雷等P2P下载 PPLive等在线流媒体 下载 等在线流媒体 • 各种业务无关网络行为 带宽无法划分和分配 • 等…
SINFOR TECHNOLOGIES CO.,LTD. Page3
• 组织开通宽带上网,领导却发现员工上班长时间 组织开通宽带上网, 浏览新闻网站、论坛灌水、 、 聊天、 浏览新闻网站、论坛灌水、QQ、MSN聊天、网络 聊天 炒股、网络游戏等与工作无关的网络行为。 炒股、网络游戏等与工作无关的网络行为。 • 以前通过考勤考核员工迟到早退,现在人虽在办 以前通过考勤考核员工迟到早退, 公室却不在工作,严重影响工作效率。 公室却不在工作,严重影响工作效率。
SINFOR TECHNOLOGIES CO.,LTD.
Page14
3.2.1、URL过滤 、 过滤
URL过滤主要用于设置在指定时间段拒绝或允许内网用户访 问某些网站,如上图,设置内网用户全天拒绝访问色情、成 人、反动迷信和病毒钓鱼网站。设备本身有URL内置规则库 并定期自动更新规则库,用户也可以根据需要自定义URL。
SINFOR TECHNOLOGIES CO.,LTD. Page18
3.3、邮件过滤 、
邮件过滤包括发送和接收邮件进行 过滤及邮件延迟审计, 过滤及邮件延迟审计,有效防止内网用 户通过邮件泄密。 户通过邮件泄密。
SINFOR TECHNOLOGIES CO.,LTD.
Page19
3.3.1、发送或接收邮件过滤 、
SINFOR TECHNOLOGIES CO.,LTD. Page25
4.3、历史日志查看 、
设备带有内置数据中心,通过内置数据中心可以查看内网用户上网产生的历史 设备带有内置数据中心, 日志,如上图。如果需要AC审计用户日志 审计用户日志, 日志,如上图。如果需要 审计用户日志,则需要在应用审计下选择相应的日 志选项。我们同时给客户提供独立的外围数据中心, 硬盘容量有限 硬盘容量有限, 志选项。我们同时给客户提供独立的外围数据中心,AC硬盘容量有限,如果客 户需要长期保存日志时,建议其使用独立的外置数据中心。 户需要长期保存日志时,建议其使用独立的外置数据中心。
SINFOR TECHNOLOGIES CO.,LTD. Page16
3.2.3、文件类型过滤 、
文件类型过滤设置拒绝通过 上传或下载某种 文件类型过滤设置拒绝通过http或ftp上传或下载某种 通过 或 上传或下载 文件,文件类型可以自定义,如图, 文件,文件类型可以自定义,如图,设置全天拒绝内 网用户上传或下载电影及音乐类文件
SINFOR TECHNOLOGIES CO.,LTD. Page5
1.4 AC管理流程 管理流程
审计
用户认证
网络应用识别
流控
封堵
SINFOR TECHNOLOGIES CO.,LTD.
Page6
2、用户认证 、
用户在上网前需要通过AC设备认证 只有 用户在上网前需要通过 设备认证,只有 设备认证 通过认证的用户才可以上网;用户认证包括用 通过认证的用户才可以上网;用户认证包括用 户名密码认证, 绑定, 户名密码认证,IP/mac绑定,域认证、pop3认 绑定 域认证、 认 认证、 认证和单点登陆 证、Radius认证、DKEY认证和单点登陆 后续 认证 认证和单点登陆(后续 章节再讲)。 章节再讲 。
SINFOR TECHNOLOGIES CO.,LTD.
Page28
Biblioteka Baidu
谢谢
20090210
SINFOR TECHNOLOGIES CO.,LTD.
Page29
SINFOR TECHNOLOGIES CO.,LTD. Page12
3.1.3、代理上网控制 、
此处可以设置拒绝内网用户通过 代理上网或通过代理登陆QQ等。
注:这里设置只适用代理服务器在外网方向
SINFOR TECHNOLOGIES CO.,LTD.
Page13
3.2、网页过滤 、
网页过滤可以分时段控制内网用户访问某些网 站权限及通过搜索引擎搜索含有某个关键字的网页 或通过http上传含有某些关键字的内容权限;可以 上传含有某些关键字的内容权限; 或通过 上传含有某些关键字的内容权限 设置通过http或ftp上传或下载含有指定文件类型的 设置通过 或 上传或下载含有指定文件类型的 文件;可以限制https类网站的访问。 类网站的访问。 文件;可以限制 类网站的访问
1.2. 网络违法与机密泄露
• • • • • • 发表、 发表、传播恶意言论 访问反动、 访问反动、邪教网站 下载传播非法文件 外发Email、Webmail泄密 外发 、 泄密 文件外发泄密 IM聊天泄密 聊天泄密
SINFOR TECHNOLOGIES CO.,LTD.
Page4
1.3. 工作效率下降
4.2、实时日志查看 、
流量排名 会话排名 连接监控
实时日志查看包括实时流量、实时会话查看和连接监控, 实时日志查看包括实时流量、实时会话查看和连接监控,分 别可以实时查看内网用户的具体应用的上下行流量、 别可以实时查看内网用户的具体应用的上下行流量、内网电 脑的实时会话排名和实时监控内网用户的网络活动。 脑的实时会话排名和实时监控内网用户的网络活动。
发送或接收邮件过滤是根据发件人的邮件地址、 发送或接收邮件过滤是根据发件人的邮件地址、发件的标题及正文内 容和附件的内容为条件进行过滤,防止内网用户通过邮件泄露机密。 容和附件的内容为条件进行过滤,防止内网用户通过邮件泄露机密。 如上图拒绝邮件后缀为163.com的发件人发送邮件。 的发件人发送邮件。 如上图拒绝邮件后缀为 的发件人发送邮件
SINFOR TECHNOLOGIES CO.,LTD. Page21
3.4、流量统计与上网计时 、
流量统计与上网计时用于统计用户各种应用的流量和上网 时长,可以控制用户的上网时间及单个用户的连接数。 时长,可以控制用户的上网时间及单个用户的连接数。
SINFOR TECHNOLOGIES CO.,LTD.
5、流量管理系统 、
流量管理系统分为带宽保证通道和带宽限制通道, 流量管理系统分为带宽保证通道和带宽限制通道,可以进行带 宽分配及带宽限制。 宽分配及带宽限制。分别可以设置提供某些重要应用的足够带 保证重要应用得以运行,而限制像p2p等下载占用的大量带 宽,保证重要应用得以运行,而限制像 等下载占用的大量带 避免带宽浪费。 宽,避免带宽浪费。
SINFOR TECHNOLOGIES CO.,LTD.
Page9
3.1、上网权限控制 、
上网权限控制可以分时段控制内网用户 的网络应用,如控制用户上班时间不允许QQ 的网络应用,如控制用户上班时间不允许 聊天及玩游戏,下班时间开放等; 聊天及玩游戏,下班时间开放等;同时可以 对通过代理服务器应用进行控制, 对通过代理服务器应用进行控制,如禁止通 过代理上网,禁止QQ通过代理登陆等。 通过代理登陆等。 过代理上网,禁止 通过代理登陆等
SINFOR TECHNOLOGIES CO.,LTD. Page11
3.1.2、网络服务控制 、
网络服务控制可以分时段控制内网用户的网络活动。通过 检测协议和端口来实现的,一般应用具有固定端口的网络 服务。例如上图全天拒绝了内网用户使用ftp和smtp服务。 网络服务规则可以根据服务端口和协议自定义。
AC基本功能及设置 基本功能及设置
SINFOR TECHNOLOGIES CO.,LTD.
Page1
AC基本功能 基本功能
1、使用上网行为管理(AC)必要性 、使用上网行为管理( ) 2、用户认证 、 3、 3、访问控制 4、上网行为审计 、 5、流量管理 、 6、总 、 结
SINFOR TECHNOLOGIES CO.,LTD.
SINFOR TECHNOLOGIES CO.,LTD.
Page7
2、用户认证(续) 、用户认证(
SINFOR TECHNOLOGIES CO.,LTD.
Page8
3、访问控制 、
通过AC的访问控制功能规范和管 通过 的访问控制功能规范和管 理员工的上行行为, 理员工的上行行为,提高网络利用率及 工作效率。访问控制包括上网权限控制、 工作效率。访问控制包括上网权限控制、 网页过滤、邮件过滤上网计时控制等。 网页过滤、邮件过滤上网计时控制等。
SINFOR TECHNOLOGIES CO.,LTD. Page15
3.2.2、关键字过滤 、
关键字过滤包括搜索引擎关键字过滤和http上传关键字过 滤,可以设置拒绝内网用户搜索含有某个关键字的网页或 上传含有某些关键字的内容。如上图设置了全天拒绝内网 用户搜索含有“艳门照”的网页及通过http上传含有“艳 门照”的内容。关键字可以自己定义。
Page22
4、上网行为审计 、
AC可以记录所有用户的网络活动, 可以记录所有用户的网络活动, 可以记录所有用户的网络活动 方便管理员审计。 方便管理员审计。上网行为审计包括实时 日志查看和历史日志查看地。 日志查看和历史日志查看地。
SINFOR TECHNOLOGIES CO.,LTD.
Page23
SINFOR TECHNOLOGIES CO.,LTD.
Page10
3.1.1、应用服务控制 、
应用服务控制可以分时段对内网用户的网络应用服务进行控 制,例如上面图片拒绝用户在上班时间上QQ和下载软件;应 用服务控制是通过检测数据包的特征字段及连接的状态实现 的;设备内有内置应用规则并且会定期自动更新此规则。
SINFOR TECHNOLOGIES CO.,LTD. Page27
6、总结 、
当前互联连面临着带宽利用率低,企业员工工作效率 低,机密资料泄露等严重性问题,AC正是解决这些问题诞 生。AC可以限制BT、电驴等p2p软件下载且进行带宽合理 分配,避免带宽浪费;通过拒绝上班时间访问娱乐网站, 聊天(QQ,skype…)等保证了企业员工的工作效率;通 过拒绝文件外发,邮件延迟审计等策略保证了内网机密资 料的安全。AC同时提供强大的日志管理系统(数据中心), 方便管理员审计。
SINFOR TECHNOLOGIES CO.,LTD. Page17
3.2.4、SSL证书控制 、 证书控制
通过控制SSL证书,有效地控制了对https网站的访问, 通过控制 证书,有效地控制了对 网站的访问, 证书 网站的访问 防止了钓鱼网站侵犯个人隐私,反动网站传播恶意文化等。 防止了钓鱼网站侵犯个人隐私,反动网站传播恶意文化等。
SINFOR TECHNOLOGIES CO.,LTD. Page20
3.3.2、邮件延迟审计 、
注: 邮件过滤只 对smtp和 和 pop协议有 协议有 效,对 webmail无 无 效
为了保证内网发出邮件的安全性, 为了保证内网发出邮件的安全性,通过邮件延迟审计可以 做到对内网发出去的邮件经过管理员的审核后才发出去, 做到对内网发出去的邮件经过管理员的审核后才发出去, 如图是内网用户发出的所有邮件都需要经过管理员的审计。 如图是内网用户发出的所有邮件都需要经过管理员的审计。
4.1、应用审计 、
注:网页 内容审计 极其消耗 性能, 性能,一 般情况下 不建议开 启网页内 容审计, 容审计,
启用应用审计和流量统计功能是AC记录用户网络活动 启用应用审计和流量统计功能是 记录用户网络活动 和网络应用流量日志的前提。 和网络应用流量日志的前提。
SINFOR TECHNOLOGIES CO.,LTD. Page24
Page2
1、使用上网行为管理(AC)必要性 、使用上网行为管理( )
1.1 . 带宽使用效率降低
带 宽
• BT、迅雷等 、迅雷等P2P下载 PPLive等在线流媒体 下载 等在线流媒体 • 各种业务无关网络行为 带宽无法划分和分配 • 等…
SINFOR TECHNOLOGIES CO.,LTD. Page3
• 组织开通宽带上网,领导却发现员工上班长时间 组织开通宽带上网, 浏览新闻网站、论坛灌水、 、 聊天、 浏览新闻网站、论坛灌水、QQ、MSN聊天、网络 聊天 炒股、网络游戏等与工作无关的网络行为。 炒股、网络游戏等与工作无关的网络行为。 • 以前通过考勤考核员工迟到早退,现在人虽在办 以前通过考勤考核员工迟到早退, 公室却不在工作,严重影响工作效率。 公室却不在工作,严重影响工作效率。
SINFOR TECHNOLOGIES CO.,LTD.
Page14
3.2.1、URL过滤 、 过滤
URL过滤主要用于设置在指定时间段拒绝或允许内网用户访 问某些网站,如上图,设置内网用户全天拒绝访问色情、成 人、反动迷信和病毒钓鱼网站。设备本身有URL内置规则库 并定期自动更新规则库,用户也可以根据需要自定义URL。
SINFOR TECHNOLOGIES CO.,LTD. Page18
3.3、邮件过滤 、
邮件过滤包括发送和接收邮件进行 过滤及邮件延迟审计, 过滤及邮件延迟审计,有效防止内网用 户通过邮件泄密。 户通过邮件泄密。
SINFOR TECHNOLOGIES CO.,LTD.
Page19
3.3.1、发送或接收邮件过滤 、
SINFOR TECHNOLOGIES CO.,LTD. Page25
4.3、历史日志查看 、
设备带有内置数据中心,通过内置数据中心可以查看内网用户上网产生的历史 设备带有内置数据中心, 日志,如上图。如果需要AC审计用户日志 审计用户日志, 日志,如上图。如果需要 审计用户日志,则需要在应用审计下选择相应的日 志选项。我们同时给客户提供独立的外围数据中心, 硬盘容量有限 硬盘容量有限, 志选项。我们同时给客户提供独立的外围数据中心,AC硬盘容量有限,如果客 户需要长期保存日志时,建议其使用独立的外置数据中心。 户需要长期保存日志时,建议其使用独立的外置数据中心。
SINFOR TECHNOLOGIES CO.,LTD. Page16
3.2.3、文件类型过滤 、
文件类型过滤设置拒绝通过 上传或下载某种 文件类型过滤设置拒绝通过http或ftp上传或下载某种 通过 或 上传或下载 文件,文件类型可以自定义,如图, 文件,文件类型可以自定义,如图,设置全天拒绝内 网用户上传或下载电影及音乐类文件
SINFOR TECHNOLOGIES CO.,LTD. Page5
1.4 AC管理流程 管理流程
审计
用户认证
网络应用识别
流控
封堵
SINFOR TECHNOLOGIES CO.,LTD.
Page6
2、用户认证 、
用户在上网前需要通过AC设备认证 只有 用户在上网前需要通过 设备认证,只有 设备认证 通过认证的用户才可以上网;用户认证包括用 通过认证的用户才可以上网;用户认证包括用 户名密码认证, 绑定, 户名密码认证,IP/mac绑定,域认证、pop3认 绑定 域认证、 认 认证、 认证和单点登陆 证、Radius认证、DKEY认证和单点登陆 后续 认证 认证和单点登陆(后续 章节再讲)。 章节再讲 。
SINFOR TECHNOLOGIES CO.,LTD.
Page28
Biblioteka Baidu
谢谢
20090210
SINFOR TECHNOLOGIES CO.,LTD.
Page29
SINFOR TECHNOLOGIES CO.,LTD. Page12
3.1.3、代理上网控制 、
此处可以设置拒绝内网用户通过 代理上网或通过代理登陆QQ等。
注:这里设置只适用代理服务器在外网方向
SINFOR TECHNOLOGIES CO.,LTD.
Page13
3.2、网页过滤 、
网页过滤可以分时段控制内网用户访问某些网 站权限及通过搜索引擎搜索含有某个关键字的网页 或通过http上传含有某些关键字的内容权限;可以 上传含有某些关键字的内容权限; 或通过 上传含有某些关键字的内容权限 设置通过http或ftp上传或下载含有指定文件类型的 设置通过 或 上传或下载含有指定文件类型的 文件;可以限制https类网站的访问。 类网站的访问。 文件;可以限制 类网站的访问
1.2. 网络违法与机密泄露
• • • • • • 发表、 发表、传播恶意言论 访问反动、 访问反动、邪教网站 下载传播非法文件 外发Email、Webmail泄密 外发 、 泄密 文件外发泄密 IM聊天泄密 聊天泄密
SINFOR TECHNOLOGIES CO.,LTD.
Page4
1.3. 工作效率下降
4.2、实时日志查看 、
流量排名 会话排名 连接监控
实时日志查看包括实时流量、实时会话查看和连接监控, 实时日志查看包括实时流量、实时会话查看和连接监控,分 别可以实时查看内网用户的具体应用的上下行流量、 别可以实时查看内网用户的具体应用的上下行流量、内网电 脑的实时会话排名和实时监控内网用户的网络活动。 脑的实时会话排名和实时监控内网用户的网络活动。
发送或接收邮件过滤是根据发件人的邮件地址、 发送或接收邮件过滤是根据发件人的邮件地址、发件的标题及正文内 容和附件的内容为条件进行过滤,防止内网用户通过邮件泄露机密。 容和附件的内容为条件进行过滤,防止内网用户通过邮件泄露机密。 如上图拒绝邮件后缀为163.com的发件人发送邮件。 的发件人发送邮件。 如上图拒绝邮件后缀为 的发件人发送邮件
SINFOR TECHNOLOGIES CO.,LTD. Page21
3.4、流量统计与上网计时 、
流量统计与上网计时用于统计用户各种应用的流量和上网 时长,可以控制用户的上网时间及单个用户的连接数。 时长,可以控制用户的上网时间及单个用户的连接数。
SINFOR TECHNOLOGIES CO.,LTD.