第一章 概念
第二代上網行為管理路由器是通過對用戶認證、用戶授權、用戶上網行為管理、用戶賬號計費、用戶行為審計等5A系統一體化的網際網路上網行為管理綜合解決方案的路由器。它從根本上杜絕非法用戶接入、越權訪問、機密信息泄露等難題,從而使網路運行安全可靠、方便管理等優點。
1.1 產品簡介艾泰的第二代上網行為管理路由器是中小型企業、連鎖機構、酒店、社區、網咖、學校等行業各種網際網路套用的需求最完備解決方案,它是艾泰完全擁有自主智慧財產權的第二代上網行為管理路由器,它以5A系統為一體化,採用高可靠的硬體架構,並集成了先進的軟體作業系統,它能夠對用戶進行識別、監視管理網頁瀏覽、網路聊天、網路遊戲、以及下載等一切上網行為,幫助員工規範自己的上網行為並保證公司的信息的安全穩定,提供工作效率,提供一個良好的辦公環境。
艾泰第二代上網行為管理路由器有以下功能模組:
1.2.1 系統體系架構
本產品基於ReOS SE網路作業系統,實時準確的監測和記錄網路2到7層網路協定和套用數據信息,極大的保證了系統監測和記錄的完整性,系列具有以下特性:
l可靠的硬體平台,保證產品運行靠可靠性和穩定性;
l自主知識產品的ReOS SE作業系統,定期升級,保證產品的及時滿足用戶需求;
l完整的技術支持和行銷平台,保證使用戶最方便的了解購買艾泰產品,並提供的7*13小時全年無休的400免費電話。
系統結構圖如下:
5A認證系統簡稱:
l用戶認證(Authentication):驗證用戶的身份與可使用的網路服務;
l用戶授權(Authorization):依據認證結果開放網路服務給用戶;
l用戶行為管理(Application):依據已制定的服務策略,對用戶提供特定的服務;
l用戶行為審計(Auditing):可詳細記錄用戶上網軌跡,統計用戶的上網行為;
l計帳(Accounting):記錄用戶對各種網路服務的用量,並提供給計費系統。
AAAAA體統簡稱5A體系,其中包括用戶認證(Authentication)、用戶授權(Authorization)、用戶行為管理(Application)、用戶行為審計(Auditing)、用戶計費(Accounting)等5元素為一體的安全網路體系。
首先,認證部分提供了對用戶的認證。整個認證可以用戶賬戶、用戶IP位址、用戶MAC地址。通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合,那么對用戶認證通過。如果不符合,則拒絕提供網路連線。
其次,用戶還要通過授權來獲得操作相應任務的許可權。比如,登入系統後,用戶可能會執行一些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。一旦用戶通過了認證,他們也就被授予了相應的許可權。
第三,用戶獲取的授權之後,還需要對不同用戶開放不同的服務策略許可權。特定的用戶只需要上特定的網站或者只允許普通下載,禁止P2P下載…..等網路套用上網行為管理。
第四,用戶獲取了特定的上網許可權之後,針對記錄用戶的上網軌跡,並統計用戶的上網行為。
最後一步是用戶帳戶計費,這一過程將會計算用戶在連線過程中消耗的資源數目。這些資源包括連線時間或者用戶在連線過程中的收發流量等等。可以根據連線過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計畫活動來執行帳戶過程。
5A體系架構構成了艾泰第二代上網行為管理路由器核心內容,基於5A體系架構可滿足用戶的需求。
第二章 功能介紹
2.1 認證授權計費網路用戶是基於IP/MAC或者賬號和密碼的認證方式,用戶只需新建一個PPPoE寬頻連線,輸入用戶賬號和密碼就可以通過路由器的認證,便可使用網路資源。為了確保管理員能夠查詢使用網路的資源的情況,還提供了一些附屬檔案功能,如即時查詢使用時間、流量等信息。
2.1.1用戶認證
第二代上網行為管理路由器把用戶的賬號、IP、MAC地址進行三層綁定,以此確保用戶的唯一性,避免賬號的盜用。第二代上網行為管理路由器提供了簡單的用戶認證接入網路:
l基於PPPoE賬號的用戶認證;
l基於WEB賬號的用戶認證;
l基於IP的用戶認證;
l基於MAC的用戶認證;
l支持PPPoE賬號綁定IP位址/MAC地址;
l同時可以滿足實名認證機制;
l提供其他的認證機制;
2.1.2 用戶授權
用戶通過輸入賬號用戶名和密碼之後,用戶的認證信息傳送到路由器,在與資料庫的數據進行匹配之後,路由器將返回認證信息。
根據不同的用戶和用戶組,設定用戶的上網許可權,包括用戶的上網使用的計算機,用戶接入網路的IP位址,
2.2.3 用戶賬號的計費
對用戶的計費是基於多種策略的,可以根據用戶的需要選擇基於時間、流量以及日期的燈多種計費策略。
l支持基於PPPoE賬號的按流量/時間/日期等計費;
l支持基於WEB賬號按流量/時間/日期等計費;
l支持賬號到期通告功能;
l
2.2.1 WEB訪問機制
l記錄用戶的訪問URL地址;
l強大的URL分類庫;
l支持自定義的URL分類;
l基於網站分類的URL控制策略;
l基於關鍵字的過濾;
l實時的查看用戶訪問的URL地址;
l可記錄特定論壇的登錄信息;
l可記錄特定論壇的發帖信息;
2.2.2 外發信息及郵件審計控制
l記錄用戶的網站訪問痕跡;
l記錄用戶在網頁提交的HTTP表單地址以及內容;
l表單的自動分類(如登錄、郵件、BBS等分類)和統計;
l支持SNMP、POP3協定;
l記錄郵件的發件人、收件人、標題、正文、附屬檔案、大小等信息;
l靈活多樣的監控規則;
l收發人、發件人監控;
l標題內容監控;
l正文內容審計;
l附屬檔案名稱審計;
l郵件大小審計;
l郵件內容和附屬檔案的下載;
2.2.3 地下瀏覽記錄
l記錄用戶使用代理軟體(如無界、自由門、花園等)所進行的網站訪問記錄。
2.2.4 即時聊天軟體監控
l支持目前主流的聊天工具,包括MSN、QQ、阿里旺旺、飛信等;
l記錄聊天賬號、上下線時間、聊天持續時間、聊天內容等信息;
l記錄MSN/QQ/阿里旺旺/飛信等有關檔案上傳、下載等動作,提供本地審核。
2.2.5 FTP/HTTP傳輸審計
l記錄FTP登錄賬號、密碼、伺服器IP位址;
l記錄傳輸檔案的時間、檔案名稱稱、傳輸方向、大小等信息;
l記錄HTTP下載的檔案名稱、時間、大小等信息;
2.2.6 P2P協定監控
l記錄BT、迅雷、電驢等協定頻寬使用情況;
l記錄P2P下載檔案名稱、時間、大小等信息;
l可阻止P2P資源搜尋;
l可阻止特定的P2P軟體;
2.2.7 網路遊戲審計
l記錄網路遊戲的線上時間、結束時間、遊戲時間段等;
l可定義網路遊戲規則、種類以及相關策略;
2.2.8 炒股軟體監控
l記錄用戶開始使用炒股軟體時間、用戶IP/.賬號等信息;
l可對炒股軟體的使用進行控制(阻斷或限制);
2.2.9 網路電視監控
l記錄用戶使用網路電視的開始時間、結束時間以及使用客戶端等信息;
l可真的網路電視自主的設定管理規則,可以限制在某一時段開啟或阻斷;
2.2.10 異常網路流量監控
l實時監控網路流量狀態;
l實時監控NAT會話;
l統計警告網路中的異常流量,例如網路內部的異常ARP狀態,並給出異常流量告警;
2.2.11 域名審計設定
l外網白名單,可免除對指定站點的訪問審計監控;
l外網黑名單,可禁止訪問指定站點;
l區域網路白名單,可免除白名單用戶或IP的上網行為審計;
l區域網路黑名單,可禁止黑名單內用戶或IP的使用網際網路;
2.3.1 流量-時間分布報表
流量-時間分布報表顯示過去一段時間內流量隨時間分布的曲線,便於管理員掌握網路資源的使用情況。
2.3.2 興趣-URL排名
興趣-URL排名可以查看當前網路中區域網路用戶訪問URL的有效數次,可以根據訪問的頻率進行有效的排列。
(圖4. 興趣-URL排名)
2.3.3 套用流量排名
套用流量排名可以根據當前區域網路用戶的套用流量進行統計,並根據統計數據排列出當前套用數據排名。
(圖5. 套用流量排名)
2.3.4 警告統計
路由器可以統計
(圖6 警告數次統計)2.4 雲服務
2.4.1 雲存儲
艾泰設備可以將設備日誌定期上傳到艾泰雲端服務器,艾泰設備根據目前頻寬使用情況而定,選擇在頻寬空閒時上傳數據,繁忙時不占用頻寬。艾泰設備將配置信息自動同步到雲端,在設備恢復到出廠設定時可以自動載入配置信息,無需重新配置。艾泰雲端伺服器給每台設備預留1GB存儲空間,可用於保存日誌信息,審計報告,配置備份等數據。
2.4.2 雲監控
艾泰服務雲端可以監控設備運行狀態,定製異常信息推送給用戶的網際網路設備(如受到FLOOD攻擊時),審計功能交由雲端完成,並可在雲端生成審計報告,可自動生成日報/周
報/月報定期推送給用戶,網路設備異常可以實現即時以郵件/手機簡訊等捷徑告知用戶。
2.4.3 雲端數據中心
艾泰雲端伺服器可以對各種網路套用進行有效的統計,即時了解網際網路的套用信息,同時對套用進行排序並對各種套用評級等,供用戶參考,幫助用戶更好的使用艾泰設備的各種功能。
網路卡、網路慢是目前網路中常見問題,如何有效提高網路的頻寬利用率,是很多網路管理人員一直需要面對的問題。上海艾泰第二代上網行為管理器系統對此給出了一個的頻寬管理解決方案:以套用為基礎,以優先權為條件,輔以連線數、連線速率以及傳輸方向來進行智慧型頻寬管理策略設定。合理的策略設定,能夠使當前的網路為更多的網路用戶和套用服務,並可以通過優先權設定、許可權設定等多種頻寬管理方式來管理或限制網路娛樂或其它非業務套用對網路的占用,保證關鍵業務和正常業務的暢通。網路套用能夠通過系統的多種管理形式來設定和控制用戶的網路使用頻寬。
2.5.1 智慧型彈性頻寬
基於套用的智慧型彈性頻寬管理需要準確分析到數據的協定類型以及套用類型,所設定的頻寬策略才能準確限制各業務、合理分配各用戶的網路頻寬使用情況。基於套用的智慧型彈性頻寬管理策略的好處在於:能夠根據需求區分主要業務與次要業務、非業務等網路套用,有效保證關鍵業務對網路頻寬的占用情況。如下圖所示:
2.5.2 個性化頻寬控制
在確定套用管理的基礎上,路由器還可以根據用戶或用戶組設定不同頻寬分配策略,例如可以設定不同組的每組頻寬策略,亦可根據不同用戶進行頻寬設定,使頻寬管理能夠準確管理到用戶;還可以設定不同的優先權,優先保障關鍵業務的頻寬占用,使得每組用戶中的非關鍵套用在保障核心關鍵業務順暢運轉的基礎上可以使用部分網路頻寬,從而最大程度的提升網路利用率。 通過對用戶組頻寬策略的設定,還能有效提升網內伺服器群組的出口頻寬,保障網內伺服器群組的對外服務能力,縮短回響時間。頻寬管理的設定經過了充分的考慮以及合理的規劃,可以實現針對網路中的任一用戶或用戶組的能夠基於套用的頻寬管理;用戶及用戶組不需另外添加,由系統自動從已有的用戶列表中讀取,然後由用戶進行選擇。策略添加頁面如下圖所示:
(圖8. 智慧型彈性頻寬管理)2.6 虛擬專用網
虛擬專用網路(Virtual Private Network ,簡稱VPN)指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網,主要是因為整個VPN網路的任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網路服務商所提供的網路平台,如Internet、ATM(異步傳輸模式)、Frame Relay (幀中繼)等之上的邏輯網路,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證連結的專用網路的擴展。VPN主要採用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。艾泰第二代行為管理路由器支持多種VPN技術-PPTP/L2TP/Ipsec VPN等。
lL2TP伺服器/客戶端;
lPPTP伺服器/客戶端;
lIpsec vpn;
lDES/3DES/AES128/AES192/AES256加密算法;
l主模式和野蠻模式協商;
lSHA-1/MD5認證算法;
lESP和AH協定;
l抗重播以及Ipsec nat穿透;
網路行為管理系統採用數據包過濾的方式,對內外網路的交換數據進行必要的審查和過濾,能夠有效的降低網路內部的安全風險。其中包括各種病毒的攻擊功能。
通過建立訪問控制訪問控制列表,限制和管理區域網路用戶和外網用戶的訪問請求,同時能夠禁止區域網路和外網病毒攻擊和黑客攻擊。
l基於時間段的防火牆策略;
l基於接口的防火牆策略;
lDNS請求過濾;
l基於對象(源地址組、目的地址組、服務組)的高級防火牆策略列表;
lFlood攻擊防禦;
LARP欺騙主動防禦;
lDoS/DdoS攻擊防禦;
l常見的病毒防禦;