深信服上网行为管理产品主打胶片(终稿V11.0).ppt

* * * * 互联网时代：PC、有线网络；移动互联网时代：移动终端、无线技术；云和大数据时代：分布式计算、海量数据； * * * * 上网行为管理系统需要考虑不同的业务场景，除了普通办公的账号密码认证之外呢，还要考虑，比如访客和公共无线场所的认证，如何兼顾简单、增值和安全； 第二个方面，我们需要能够无缝对接客户环境中现有的用户管理系统，比如能够结合AD域，raidus、城市热点等等。 * * * * * * * * * * * * * * * * 首先来看，传统的流控虽然能否丢弃P2P报文，但是保障不了核心业务，为什么这样说呢； 请看这幅图，中间是流控设备，左边是外网，右边是内网；尽管传统的基于缓存丢包的流控设备丢弃了P2P应用的下行流量，也确实使得内网的带宽有一部分释放出来； 但是，由于流控设备的WAN口，仍然被大量P2P应用的下行流量占据，导致核心业务带宽依然得不到有效扩展； 所以说，传统的流控设备保障不了核心的业务。 * * 那么如何控制P2P应用的下行流量呢？ 深信服经过多年在应用层方面的技术积累，我们发现P2P流量上传速度和下载速度具有正相关性。 通过抑制上行流量就可以达到控制下载速度的效果； 请看图：xxxxxx 所以说，一个优秀的上网行为管理系统，能够有效的识别P2P应用，精确的控制上下行流量，才能够保护核心业务系统和用户体验。 * * 一个企业为了保障核心业务，往往会将核心业务流量设置为保障带宽，并分配一个大的通道； 而把其他应用设置为限制带宽，限制在一个很小的通道内。 在空闲状态下，无疑会造成带宽的浪费，那空闲时如何提高带宽利用率呢？ 我们可以设定一个阈值，。。。。。。。 * * 在保障核心业务和提到带宽利用率之后是否就足够了？我们认为，上网行为管理系统还需要让流控更加人性化； 比如：我们会给每个用户分配配额，当用户应用的流量超过限额时。。。。。。 * * * * * * * * * * * * * * * * 标签化 外发文件 泄密风险 网盘上传、IM外发文件、邮件发送 安全风险 钓鱼及恶意网站、翻墙代理、非法网页、病毒、木马 降低 工作效率 微博、聊天软件、网络游戏、股票行情、网上购物 业务相关 IT资讯、技术论坛、咨询机构等 高带宽 消耗 P2P、P2P流媒体、下载工具、视频点播 应用和内容可视可控——业务角度管控应用（应用标签化） 从业务角度对应用进行标签化分类，更好的对应用进行管理和分析，让业务高效、稳定 同时，应用数量众多，容易错配漏配，标签化让应用管理更准确、简单 自定义类 应用和内容可视可控——精细化管控应用的“好功能”和“坏功能” 区分功能 论坛微博等应用，区分登录、浏览、发帖、上传附件等动作，如可浏览论坛，但禁止发帖，降低违法风险 区分方向 华为网盘、360网盘等，区分资料上传、下载等方向，防止机密数据泄密 应用识别需要能够区分开应用细分动作的好坏，才能让管控更加精准和人性化 应用和内容可视可控——SSL内容识别和代理识别技术 深信服SSL加密内容识别专利技术 通过深信服独有的针对加密的网页、邮箱等，进行关键字过滤和内容审计 代理识别技术 深信服以其多年应用层技术积累，能够快速准确的识别包括自由门、无界等在内的40多种代理软件 防止非法内容通过非法途径绕过网络监管， 形成网络安全隐患 “百度网页”和“QQ邮箱”都已经默认采用SSL加密方式 如何实现“流量”的可视可控？ 流量识别识别更全、更准 应用识别全面，尤其是P2P应用 全流量识别P2P流量 准确的控制P2P下行流量 多种维度流量统计 基于用户、终端类型、文件类型、时间等 更人性化的流量管控策略 从单级策略到多级策略，策略制定更加灵活 从静态策略，到动态策略，用户体验最大化 从一刀切封堵，到疏堵结合，兼顾业务和体验 更全更准 更人性化 业务 P2P 带宽浪费 流 控 丢包 P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P P2P Data Data Data Data Data Data Data P2P P2P P2P 传统流控：基于缓存丢包方式，UDP协议自身没有速率调整机制，且P2P传输模式具有特殊性，外网线路依然被大量的P2P数据报文所占用，导致带宽浪费。 传统流控能够丢弃P2P报文，但是保障不了核心业务！ 外网 内网 流量的可视可控——传统流控是伪流控 有效识别P2P应用，精确控制上下行流量，保护核心业务系统 P2P P2P P2P Data P2P Data P2P 业务 P2P 利用率提高30% 流 控 P2P流量减少 P2P P2P Data Data Data D