上网行为管理交流.解析.ppt

2005、2006、2007中国高科技高成长50强 构建安全、绿色校园网 --深信服科技 内容概要 SINFOR AC 深信服公司 成功案例 服务支撑 应用背景 解决方案 应用背景 背景介绍 随着信息化技术的进步，教育系统的工作与学习越来越多的依赖于互联网。 各高校校园网络的建设和运用，给老师和学生的工作、学习带来了极大的便利，教师和学生能够在浩瀚的网络海洋中自由的汲取各种知识。 互联网也是一把“双刃剑”，在给师生带来诸多便利的同时，暴露出的许多问题也是不容忽视的。 校园网络存在的问题 问题一：网络行为的不可控。庞大的学生群体，各种网络访问行为，如何防范其中访问色情、赌博、反动等非法网站，如何阻止向外网BBS、博客发布非法言论，如何阻止通过个人邮箱传播不良的网络信息？又如何防止学生使用代理访问国外网站、访问不良信息？ 问题二：带宽资源被滥用。学生使用各种各样的P2P行为特别严重，严重的吞噬着校园网络的带宽资源。导致校园网出口压力很大，同时正常的资源访问却得不到带宽的保障。在高教学校，完全的封堵P2P是不现实的，需要一种合理分配带宽资源的管理方法。 问题三：内网安全得不到保障。内部校园网络经常出现ARP欺骗、DOS攻击等多种方式的威胁内网安全的事件发生，需要对这些威胁内网安全隐患彻底防范。 问题四：高性能需求。庞大的师生群体和网络访问行为的多样性决定了需要高性能的上网行为管理解决方案。 传统的解决方案 封端口封协议封源IP 封目的IP 如何识别类似BBS发帖、博客发帖的内容？——无法识别如何封堵URL又不影响其他80端口业务？——无从实现如何封堵类似P2P行为不断变化、随机端口的情况？——无从实现如何封堵众多的网络应用，例：网络游戏、炒股等？——无从实现 怎么办？ SINFOR AC提供一套完整的解决方案! 深信服解决方案 规范学生上网行为、构建绿色健康网络 深信服的应对之道： URL库： —内置千万级的URL库，提供细粒度的网站分类 将色情、暴力、赌博、宗教、反动等绝对不允许学生访问的网页控制起来 —支持手工添加并分类URL —准确识别非标准端口、端口动态变化的URL 准确识别类似:32545 等形式的网址 —有别于传统URL库，可识别加密URL并有效封堵 关键字网页过滤： —支持搜索引擎指定关键字过滤 防止学生通过搜索获取URL库不包含的不良信息，如Google搜索“艳照门” —支持网页正文关键字过滤 如不允许打开含有“法轮功”关键字的网页 问题一：如何有效的规范控制校园网内部学生的上网行为？ SSL加密网站识别： —越来越多的不良内容试图通过加密来躲避检查 不仅网上银行、购物、证券网站采取了加密方式，各种色情、反动网站也跟上了加密化的流行趋势。 —传统方案对加密内容的识别和管理无能为力 —深信服根据证书链黑白名单准确识别加密网站并有效封堵 有效识别正常加密网站及非法站点，既不错杀也不错漏。 HTTP/FTP上传下载： —BBS、博客发帖内容过滤 不允许BBS、博客发表包含特定内容的不当言论，防止监管风险 —HTTP/FTP上传下载文件类型过滤 代理识别： —防止学生通过国外代理访问不良内容 —防止一个学生缴费，一群学生通过其共享上网 规范学生上网行为、构建绿色健康网络 深信服的应对之道： 应用协议库： —20大类、200多余条应用协议规则 细分为P2P下载类、流媒体类、游戏类等20多大类 —中国最大的应用协议规则库 识别是封堵、流控、审计等管理行为的基础 P2P智能识别： —能够对已知的P2P软件进行准确识别控制 —能够有效识别加密的P2P应用，如加密BT、加密电驴等 —能够对未知的P2P行为进行准确识别控制 基于统计学的智能分析技术有效识别新的P2P及已知软件的新版本 问题二：如何避免许多非重要网络行为吞噬带宽资源，如何保障正常业务顺畅？ 带宽资源合理分配、保障正常访问顺畅 流量控制功能 基于应用类型的流量控制：BT、eMule、PPLive、联众游戏等 基于网站类型的流量控制：新闻类、体育类、暴力类、色情类等 基于文件类型的流量控制：.EXE，.RAR，.MP3，.JPG等 基于组和用户的流量控制；带宽分配可以实现动态保证、预留保证、最高限制、平均分配、自由竞争等多种灵活方式 基于时间段的访问控制 可以定义任意的时长；可以定义任意多的时间段；每天时间段可以定义不