联合大学
深信服上网行为集中管控解决方案
深信服科技有限公司
2010年09月13日
目录
第1章概述——需求分析 (1)
第2章深信服解决方案 (1)
2.1组网拓扑 (2)
第3章方案价值 (3)
3.1控制功能:细致的访问控制,有效管理用户上网 (3)
3.2带宽及流量管理功能:强大流量分析及带宽划分与分配 (4)
3.3方便高效的集中管理 (4)
3.3.1集中管理 (4)
3.3.2实时监控 (5)
3.3.3智能升级 (5)
第4章典型客户 (5)
第1章概述——需求分析
随着互联网行业的逐渐发展,网络已经发展成为联合大学不可或缺的办公依托,然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力,内部的管理压力,这一切都要求联合大学对各个分校区的互联网进行有效的管理,具体问题如下:
1)大量的非业务资源的访问(P2P/BT/在线影音)、超大文件的传输、上传、下载吞噬出口带宽资源,造成关键业务应用访问速度严重降低,带宽出口的瓶颈日益显现出来。
2)互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,如何在日常工作中过滤这些不良网页,为学校创造一个健康的绿色的网络环境。
3)网络的开放性给网民带来更多的言论自由,但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息,影响其他人士,造成了不必要的影响。
第2章深信服解决方案
充分考虑联合大学的实际网络状况,建议采用上网行为管理的集中部署解决方案。
上网行为管理策略:
1)通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
2)内置千万级URL库,具备URL智能识别功能,对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。
3)可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,可设置看帖看不允许发帖,或者实行发帖关键字过滤,避免发表不良言论给学校带来法律追究责任的风险。
4)对所有日志进行报表呈现、数据分析,做到全网网络的透明化管理。
整套网络由联合大学总部及4个分校区组成,由总部集中管理设备实现统一管理:
1)方便快速部署:通过总部的集中管理平台,实现对各校区上网行为管理的配置、选
型配置等,实现快速的部署模式,且此种部署模式有利于最大程度的缩减实施成本及网络搭建成本。
2)集中管理:总部的网络中心管理人员可通过集中管理设备统一下发全局策略,并实现对全网上网行为管理的统一配置及更新,保障对全网网络行为的统一监管。
3)实时监控:通过部署于总部的集中管理平台,通过集中监控模块可以查看各校区上网行为管理设备的运行状态,包括该分校区上网行为管理设备是否在线、CPU 利用率、内存占用率、数据包收发统计等信息,实现全网的维护与监控。
4)智能升级:集中管理平台的智能升级功能,进行统一化远程升级,通过实时监控模块显示被升级的分校区上网行为管理设备的运行状态、是否在线等情况,极大的方便和简化了IT 人员的工作量。
2.1 组网拓扑
联合大学拥有多个分校区,各个分校区通过独立的网络出口访问外部网络,本校区希望通过统一的策略配置和下发,保证学校整个网络的正常稳定的运行。
解决方案网络拓扑如下:
Si
Si
总总总AC1
Si
总总总AC2
总总总AC3
总总总总总总总SC 总总总总
网络拓扑图说明:
总部设备部署
1)联合大学总部部署:上网行为管理部署于防火墙路由器之间,用于分析、优化、流控内网用户的上网数据。
2)SC设备(即集中管理设备)单臂部署在内网的交换机,从交换机上分出一个接口连接设备,并设置一个内网地址即可。同时SC地址需要映射到外网供各个分公司结构的接入以实现集中管控,同时sc设置用户名密码供分公司的接入。
分校区设备部署
1)分校区所有采用网桥部署(部署在防火墙和路由器之间)方式,透明部署,并能实现对分支上网行为的管理、行为审计等。
2)同时分支上网行为管理设备能够连接总部的SC集中管理设备以接受总部集中管控。
第3章方案价值
如上图,通过在总部和分校区分别部署上网行为管理设备并在总部部署集中管理设备,另外通过独立的外置数据中心来收集所有的上网行为管理设备的日志,就可以很方便的实现上网策略的统一下发和上网行为的全员监控。
3.1控制功能:细致的访问控制,有效管理用户上网
对于校内师生访问各种网页的行为,通过内置URL库,关键字过滤等方式进行管控。对于采用SSL方式加密的网页,如钓鱼网站等,上网行为管理的证书验证链接黑白名单技术同样可以管控。上网行为管理安全网关不仅可以对师生使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、上网行为管理的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为管理所具备的各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
3.2带宽及流量管理功能:强大流量分析及带宽划分与分配
通过上网行为管理的多线路复用专利技术,一台上网行为管理网关最多可以同时连接四条公网线路,扩展了机构的Internet出口带宽,多线路间互为备份,提升了可靠性;同时上网行为管理的多线路智能选路和负载均衡技术,将内网员工的流量智能分担到各线路间,解决了跨运营商的带宽瓶颈问题。
网络中心管理者需要详细了解当前带宽资源的使用情况,这可以通过访问上网行为管理的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步网络中心管理者就需要对非业务流量如P2P行为等进行带宽限制,对业务部门的应用流量需求进行满足,这可以通过上网行为管理强大的流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
3.3方便高效的集中管理
3.3.1集中管理
分校区部署的多台上网行为管理网关设备日常维护、配置、调试由谁负责?学校要求的统一上网行为管理策略如何确保在分支机构得到贯彻和执行?通常情况下组织的网络中心部门往往只能要求分支配备本地设备管理员,并通过行政制度等迫使该分支管理员在本地贯彻组织统一的上网策略,但这其中的弊端显而易见。
总部通过使用SC集中管理平台,总部可以将各个校区的上网行为管理网关设备集中管理。
而对于某些分校区上网行为管理设备上部分配置较“个性化”而与其他分校区上网行为管理不同时,网络中心管理者同样可以通过SC集中管理对此类上网行为管理设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。
3.3.2实时监控
部署于总部的SC集中管理平台通过集中监控模块可以查看各分校区上网行为管理设备的运行状态。通过SC的集中监控功能,总部网络中心人员可以实时发现分支机构上网行为管理的运行状态,及时定位问题所在,为全网用户提供一个更稳定、更高效的互联网访问环境。
3.3.3智能升级
网络中心管理者往往有类似经历:为了避免对用户正常访问网络的影响,网络中心人员在周末凌晨仍然守候在机房内对设备进行升级,每升级完毕一台设备就需要长时间的Ping 等测试是否升级成功、网络可用性是否受到影响等。对于全网众多分支机构部署的多台上网行为管理设备的升级是否依然如此麻烦?尤其基于互联网升级一旦出现操作等失误将直接导致无法远程连接该设备,怎么办?
SC集中管理平台的智能升级功能已经为客户想到了。在SC集中管理上加载升级包,设定时间计划,并勾选需要升级的分支上网行为管理设备,SC集中管理将帮您自动完成,并通过实时监控模块显示被升级的分支上网行为管理设备的运行状态、是否在线等情况,极大的方便和简化了网络中心人员的工作量。
第4章典型客户
桐乡市教育局
M5400-AC+ M5100-AC*59+ M5000-AC*40+ M5100-SC 每个学校部署一台设备,重点关注审计。