上海紐盾科技發展有限公司 成立於2009年,是註冊在上海高新技術開發區的一家網路安全設備供應商,專業從事網路通信產品研發、生產、銷售及服務,為客戶提供全網解決方案。紐盾科技以其貼近用戶的差異化創新,持之以恆的科研投入,嚴格有效的質量控制,快捷放心的售後服務,贏得了客戶信賴,是中國主流的網路解決方案供應商。目前已研發生產出多個系列的產品和系統解決方案:如全系列的光電安全交換設備、全系列網關安全設備、區域網路異常故障偵測設備、3G系列和安全監控套用解決方案。 上海紐盾科技以“安全”為主軸,研發生產的產品已經獲得廣大用戶的認可,並且與上千家經銷商建立了緊密的合作關係,我公司的產品已經在各行各業的網路安全方面發揮著重要的作用。
紐盾科技不斷拓展網路渠道,已經建立了全國性通暢的銷售和服務網路,公司分支涉及北京、杭州、南京、廣州、青島等10多個重要城市,保證了任何產品都能在最短時間內迅速銷售到達全國各地,並能快速回響客戶服務的要求。
紐盾科技堅持以自主創新技術為持續發展之本。公司擁有研發人員20餘人,主要研發成員來自於美國矽谷、台灣的科研機構以及國內的高校。紐盾科技每年超過20%的銷售額用於研發投入,近年來先後推出中國最高性能電信級交換機、多核開放式標準高端路由器,防火牆、3G路由器能,所有產品均擁有自主智慧財產權。紐盾科技以自主研發的網路安全產品,以NEWDON為主要品牌標識,為客戶提供安全、高效的網路安全設備。
紐盾科技秉承“科技源自生活,紐盾服務社會”的核心經營理念,堅持“以滿足客戶安全需求為主”的發展道路,聚焦於行業網路解決方案,以更貼合業務的解決方案,更高質量的產品和更快捷放心的服務回報全球客戶,不斷為客戶創造價值,打造中國創造的紐盾通信品牌,成為世界一流的安全解決方案提供商。
第七層頻寬最佳化暨內容管理網關
n 概要– Overview
n NaF 關鍵特色
n NAF 第七層的頻寬管理防火牆
n NAF 用戶認證與黑名單管理(AAA)
n NAF 行為與內容管理
n NAF 內容側錄與統計分析
概要– Overview
NAF系列設備是一款In-line(橋接)模式的專用於網路網關的硬體產品,以DPI(Deep Packet inspect,深度包檢測)技術為核心,支持軟/硬體bypass,除了提供基於七層套用的頻寬管理和套用最佳化功能之外,也在7層應用程式/IM/P2P 阻擋, 過濾, 管控、記錄,提供優勢的Web接口管理,以用戶、時間、位置、通訊協定、內容格式進行管控或瀏覽;在頻寬管理方面,配合用戶自定義的頻寬策略以及核心頻寬自動分配算法,可以為網路鏈路劃分多個虛擬頻寬通道,能夠實現最大頻寬限制、保證頻寬、頻寬租借、套用優先權等一系列頻寬管理功能,保證關鍵套用頻寬,限制非業務套用頻寬,改善和保障了整體網路套用的服務質量。
NAF 關鍵特色:
ü 第七層套用辨識QoS、VPN防火牆- 限制內部用戶上網Internet的P2P、多媒體線上視頻、聊天、網路遊戲等套用,保障時延要求高的諸如VoIP、視頻會議等套用的頻寬,保證音/視頻通訊的效果。
ü AAA認證管理- 線上使用者狀況及賬號套用瀏覽,並監視線上用戶、過去認證紀錄;具備黑名單管理機制,協助管理員處分/管制違規或中毒用戶。
ü 上網行為管理(IM過濾) - 對IM的登錄、文字聊天、語音聊天及檔案傳輸進行過濾。
ü 上網行為管理(web網頁、URL過濾) - 對於Internet上日益泛濫的Http、Https網頁進行識別和過濾,防止用戶訪問釣魚網站、SSL 加密的色情、反動網站等;具備預分類的 URL地址庫,並可以識別和管理部分論壇、網路聊天室等採用的非 TCP/80 連線埠的 URL 地址。
ü 郵件過濾、郵件稽核管理- SMTP 、POP3、Web根據郵件的標題關鍵字和正文關鍵字、附帶檔案案進行郵件傳送的過濾。根據收件人地址、郵件大小、附屬檔案個數、郵件標題關鍵字和正文關鍵字對傳送的郵件進行攔截,人工稽核後才決定是否允許外發。
ü 上網內容側錄–側錄內容包括:Web網頁記錄、論壇張貼記錄、郵件記錄、ftp記錄、IM記錄、session會話記錄。
ü 統計分析報表–提供本機設備、實體連線埠連線埠、TCP服務統計、IP統計、線路統計分析
NAF 第七層的頻寬管理防火牆
作為業界領先的套用最佳化與流量管控解決方案,NAF系統結合頻寬自動分配算法、令牌桶算法、隨機公平佇列等技術,能夠全面識別和控制包括P2P、VoIP、視頻/流媒體、HTTP、網路遊戲、資料庫等在內的多種套用,提供虛擬頻寬通道劃分、最大頻寬限制、保證頻寬、頻寬租借、套用優先權等一系列頻寬管理功能,為用戶提供主動式的、智慧型化的、可視化的頻寬管理服務,達到可視、可測、可控、可最佳化的管理目標,為頻寬最佳化與管控、網路規劃提供科學的依據。
如下圖所示,NEWDON NAF系統的主要功能包括四個部分:
n Internet上網行為管控與流量的實時檢測、分類
n 套用最佳化與頻寬控制
n 頻寬控制策略的調整與最佳化。
l 網路流量的實時監控與分析–NAF實時提供了實時流量採集及分析,實時流量資料每隔5秒自動刷新,讓用戶可以全面掌控網路頻寬的使用情況,使得網路運行狀況、套用情況、頻寬使用情況等狀況完全可視化。
l 套用層自動識別和智慧型分類- NAF提供50種以上網址分類資料庫(URL DATABASES)並支持600多種協定和套用基礎的自動識別,涵蓋了P2P、IM(實時通訊)、視頻/流媒體、網路遊戲、炒股軟體、企業內部核心套用等套用和協定,基本覆蓋了目前主流的網路協定和套用類型。
l L7行為管控 – NAF提供第7層套用層防火牆,可識別Telnet、ftp、http、IM、P2P等應用程式讓管理員可以詳細了解被阻斷的協定以及源/目標IP位址、發生時間、源/目標、連線埠套用類型、協定類型等詳細信息。同時提供被阻斷的基於用戶(IP位址)和基於協定的統計分析報告,提供可客制化禁止存取時的提示相關畫面。
NAF 用戶認證與黑名單管理(AAA)
用戶與認證管理是上網行為稽核審計最重要的元素之一,任何策略多是依據認證後的用戶而設的,因此對於用戶的識別、認證與管理能力決定了上網行為管理的效果。NAF可以通過本地或第三方用戶認證和授權系統,對用戶使用網路的合法性進行安全地身份認證,支持多種認證方式,包括web認證、802.1x的認證、第三方的RADIUS伺服器認證和第三方LDAP伺服器認證等方式,並通過授權用戶的角色決定其訪問網路的許可權,網路服務質量,策略路由等屬性;用戶的身份認證的同時也可以對用戶做Binding檢查,對用戶的PC端的主機名,IP位址,MAC地址,VLAN ID,接入的虛擬連線埠號,接入的實體連線埠號的各種組合進行嚴格檢查;AG系列產品並不只是在認證的時刻才對用戶進行Binding檢查,而是在用戶訪問網路的整個過程中,發出的和接收的每一個packet都做Binding檢查,在結合Session狀態檢測功能後,可以完全杜絕在整個認證和訪問過程中任何非法仿冒用戶的行為。另外NAF還可以設定靜態用戶,該種用戶不需要進行認證,而是開機後直接可以訪問網路資源,在所有訪問過程中都會進行嚴格的終端Binding檢查,以保證用戶的合法性。支持自動Binding功能和用戶自動學習功能,這樣可以減少管理員手工配置用戶的工作量。
認證管理
Web認證 - 結合本地資料庫、POP3、AD、LDAP或RADIUS伺服器等認證方式,為接入用戶提供 Web 認證功能
IP/MAC綁定 -支持綁定IP和MAC
用戶分組 -根據管理需要,可將使用者分配到不用級別的用戶組中
免認證功能 -可設定特殊IP不需要認證即可訪問網路
認證通過後顯示指定頁面 -可將認證通過的用戶強制導向到企業入口網頁,如組織的公告頁面等
認證衝突處理 -支持賬號重複登錄,當超出最大登錄允許數後,支持是否踢掉前一次登錄
IP使用者名稱稱對照表 -便在統計時以用戶名稱為統計對象。支持手動配置和批量導入。
針對不同的用戶組提供各種不同的授權策略,包括:
到達目的的授權,即授權用戶可以訪問哪些網路資源,不可以訪問哪些網路資源,這個資源可以是某一個伺服器,或某個IP網段地址。
使用時間的授權,即授權用戶什麼時間可以訪問哪些網路資源,什麼時間不可以訪問哪些網路資源。
使用頻寬的授權,即授權用戶以多大上行和下載頻寬來訪問網路。
使用類型的授權,即授權用戶訪問某個伺服器的某種特定的服務,其他未授權的服務則禁止訪問,比如,對Email伺服器的訪問,只允許一般用戶訪問Email服務,只有網管才能訪問Email伺服器的其他服務(telnet,web,P2P/IM等)。
用戶可以同時發起的session數的授權,這個功能可以限制用戶過度占用網路資源,同時也可以有效的降低區域網路用戶在感染病毒或木馬後,對整個網路的影響,從而減少從區域網路內部發起網路攻擊的機率。
用戶黑名單和警告,系統自動檢測和統計所有用戶的流量和Session數,一旦用戶的網路訪問超過正常水平,可以自動把用戶加入黑名單,進行懲罰,並產生警告日誌。
基於策略的認證控制
NAF對於用戶認證的方法,用戶認證的授權和用戶認證的計費都是基於策略進行組合的,根據實際網路的需要,我們可以定製多種用戶認證和管理的策略針對不同的用戶類型,不同的用戶群組進行更加有效和有針對性地管理配置。
NAF採用的是非常靈活的基於安全策略的用戶認證體制,不是所有接入網路的網路資源都需要認證,而是根據實際需要決定哪些需要進行用戶認證,而且這些認證策略又可以和用戶AAA策略進行任意組合,提供非常靈活強大的用戶認證管策略。例如:我們可以定製安全策略,讓從IP位址是10.0.0.5-10.0.0.9的IP範圍在訪問伺服器10.0.0.10的email服務的時候需要進行WEB認證,而10.0.0.5-10.0.0.9的IP範圍在訪問10.0.0.11的WEB服務的時候採用802.1x認證,這時也就是說除了上述條件之外,其他所有的訪問服務都可以不需要認證,只有符合上述安全策略的時候,用戶就必須先進行合法認證,然後才能獲得相應的網路服務。
NAF 行為與內容管理
掌握員工或學生、客戶等網路的行為管理需掌握四大要素,第一Who 、上網的人是誰? 第二When、上網時間何時? 第三Where 、存取哪些網路資源? 如網站、網頁、下載檔案、郵件、聊天等第四What 、具體的內容是什麼? 針對日趨複雜的網路行為, NAF提供豐富而完整的上網行為管理包括:URL網站過濾、HTTP/HTTPS網頁過濾、MAIL郵件過濾與稽核、IM即時訊息的控制,甚至上網內容的側錄。
大量的網路套用,如IM, P2P, 網路電視, 遊戲等等,也藉助HTTP協定或port 80,一方面躲避防火牆的封鎖一方面攜帶病毒或者後門程式,為區域網路帶來極大的風險,NAF內建豐富的URL分類資料庫引擎及設定策略,對於危害國家社會或兒童的網站可予以過濾:
1 URL 資料庫 - 預先分類的 URL地址資料庫
2 非標準連線埠 URL 管理 -可以識別和管理部分論壇、網路聊天室等採用的非 TCP/80 連線埠的 URL 地址
3 引擎搜尋關鍵字過濾
4 HTTPS網頁識別和過濾,防止用戶訪問釣魚網站、SSL 加密的色情、反動網站
5 過濾包含默認關鍵字的網路帖子;可加強論壇管理,禁止發布不良信息發布
6 可識別FTP/HTTP網頁的檔案上傳和檔案下載,並進行過濾
郵件過濾與稽核–MAIL filter
NAF具備完整的郵件過濾及稽核管理的功能,針對網路SMTP、POP3、Webmail服務協定進行控管,具體的控管方式說明如下:。
1 根據發件人的地址進行郵件傳送的過濾
2 郵件的標題關鍵字和正文關鍵字進行郵件傳送的過濾
3 郵件附屬檔案的類型進行郵件傳送的過濾
4 WebMail 正文關鍵字過濾通過 WebMail 傳送的郵件
5 根據符合特定條件對傳送的郵件進行攔截,人工稽核後才決定是否允許外發;這些條件包括:收件人地址、郵件標題關鍵字和正文關鍵字、郵件大小、附屬檔案個數。
即時訊息管制- IM filter
IM是網路族群溝通極重要的工具,適當的使用可增進辦公效率,甚至增加業績;不當的使用則為企業帶來怠惰、病毒等不良影響,因此IT部門對IM的管理不可不慎重。 NAF可以管理的IM很多,而對於IM這樣的工具除了可以阻擋之外,並提供多樣化選擇:
1 對IM的登錄、文字聊天、語音聊天及檔案傳輸進行過濾
2 可以根據區域網路主機的IP位址對各種IM軟體進行過濾
3 可以根據用戶組對對各種IM軟體進行過濾
4 可以根據不同的時間段,進行差異化的IM過濾
左圖說明企業有限度的開放網際套用服務的使用,同時也以限制頻寬及監視側錄方式積極控管這些工具不被濫用
NAF 內容側錄與統計分析
設備內置Reporter,實現日誌的存儲、查詢、稽核等,圖形化日誌統計工具,通過圖形化的Reporter,方便用戶對行為日誌的查詢、稽核、統計,並支持以餅狀圖、柱狀圖、曲線圖等形式直觀顯示統計結果如下:
Web, ftp 網頁記錄– (1)記錄用戶所訪問網站的 URL 地址 (2)記錄區域網路用戶向公網 BBS、論壇、部落格發布的內容及附屬檔案 (3)記錄用戶所訪問網頁的標題內容 (4)對在搜尋引擎中搜尋的關鍵字進行記錄 (5)記錄用戶通過 HTTP上傳的檔案信息和檔案名稱 (6)記錄用戶通過FTP 下載的檔案信息,記錄上傳的檔案信息 (7)。
Mail 郵件記錄- (1)記錄用戶通過客戶端(SMTP協定)傳送郵件的信息及通過客戶端(POP3協定)接收郵件的信息,包括:發件人、收件人、郵件主題、正文、附屬檔案、日期、郵件大小等 (2)記錄用戶通過WebMail收發郵件的信息,包括:發件人、收件人、郵件主題、正文、附屬檔案、日期、郵件大小、郵件提供商等。
IM 聊天記錄- 記錄MSN、Yahoo Messager、QQ、ICQ等登錄信息、聊天內容及檔案傳輸記錄。
統計分析
URL訪問排名 - 根據記錄區域網路站訪問次數進行排名統計。
網頁下載檔案類型排名 -可基於IP位址排名,亦可基於檔案類型排名。
查看前十名服務流量的統計分析
查看前十名IP或認證用戶的傳輸速率、新建會話數、線上會話數。
根據實際連線埠查看IP/服務流量的統計分析
