第二代上网行为管理_在线百科全书查询
第二代上网行为管理
第一章 概念
第二代上网行为管理路由器是通过对用户认证、用户授权、用户上网行为管理、用户账号计费、用户行为审计等5A系统一体化的互联网上网行为管理综合解决方案的路由器。它从根本上杜绝非法用户接入、越权访问、机密信息泄露等难题,从而使网络运行安全可靠、方便管理等优点。
1.1 产品简介
艾泰的第二代上网行为管理路由器是中小型企业、连锁机构、酒店、社区、网吧、学校等行业各种互联网应用的需求最完备解决方案,它是艾泰完全拥有自主知识产权的第二代上网行为管理路由器,它以5A系统为一体化,采用高可靠的硬件架构,并集成了先进的软件操作系统,它能够对用户进行识别、监视管理网页浏览、网络聊天、网络游戏、以及下载等一切上网行为,帮助员工规范自己的上网行为并保证公司的信息的安全稳定,提供工作效率,提供一个良好的办公环境。
艾泰第二代上网行为管理路由器有以下功能模块:
1.2 体系架构
1.2.1 系统体系架构
本产品基于ReOS SE网络操作系统,实时准确的监测和记录网络2到7层网络协议和应用数据信息,极大的保证了系统监测和记录的完整性,系列具有以下特性:
l可靠的硬件平台,保证产品运行靠可靠性和稳定性;
l自主知识产品的ReOS SE操作系统,定期升级,保证产品的及时满足用户需求;
l完整的技术支持和营销平台,保证使用户最方便的了解购买艾泰产品,并提供的7*13小时全年无休的400免费电话。
系统结构图如下:
1.2.2 5A体系架构
5A认证系统简称:
l用户认证(Authentication):验证用户的身份与可使用的网络服务;
l用户授权(Authorization):依据认证结果开放网络服务给用户;
l用户行为管理(Application):依据已制定的服务策略,对用户提供特定的服务;
l用户行为审计(Auditing):可详细记录用户上网轨迹,统计用户的上网行为;
l计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAAAA体统简称5A体系,其中包括用户认证(Authentication)、用户授权(Authorization)、用户行为管理(Application)、用户行为审计(Auditing)、用户计费(Accounting)等5元素为一体的安全网络体系。
首先,认证部分提供了对用户的认证。整个认证可以用户账户、用户IP地址、用户MAC地址。通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
其次,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。
第三,用户获取的授权之后,还需要对不同用户开放不同的服务策略权限。特定的用户只需要上特定的网站或者只允许普通下载,屏蔽P2P下载…..等网络应用上网行为管理。
第四,用户获取了特定的上网权限之后,针对记录用户的上网轨迹,并统计用户的上网行为。
最后一步是用户帐户计费,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
5A体系架构构成了艾泰第二代上网行为管理路由器核心内容,基于5A体系架构可满足用户的需求。
第二章 功能介绍
2.1 认证授权计费
网络用户是基于IP/MAC或者账号和密码的认证方式,用户只需新建一个PPPoE宽带连接,输入用户账号和密码就可以通过路由器的认证,便可使用网络资源。为了确保管理员能够查询使用网络的资源的情况,还提供了一些附件功能,如即时查询使用时间、流量等信息。
2.1.1用户认证
第二代上网行为管理路由器把用户的账号、IP、MAC地址进行三层绑定,以此确保用户的唯一性,避免账号的盗用。第二代上网行为管理路由器提供了简单的用户认证接入网络:
l基于PPPoE账号的用户认证;
l基于WEB账号的用户认证;
l基于IP的用户认证;
l基于MAC的用户认证;
l支持PPPoE账号绑定IP地址/MAC地址;
l同时可以满足实名认证机制;
l提供其他的认证机制;
2.1.2 用户授权
用户通过输入账号用户名和密码之后,用户的认证信息发送到路由器,在与数据库的数据进行匹配之后,路由器将返回认证信息。
根据不同的用户和用户组,设定用户的上网权限,包括用户的上网使用的计算机,用户接入网络的IP地址,
2.2.3 用户账号的计费
对用户的计费是基于多种策略的,可以根据用户的需要选择基于时间、流量以及日期的灯多种计费策略。
l支持基于PPPoE账号的按流量/时间/日期等计费;
l支持基于WEB账号按流量/时间/日期等计费;
l支持账号到期通告功能;
2.2 行为管理和审计
l
2.2.1 WEB访问机制
l记录用户的访问URL地址;
l强大的URL分类库;
l支持自定义的URL分类;
l基于网站分类的URL控制策略;
l基于关键字的过滤;
l实时的查看用户访问的URL地址;
l可记录特定论坛的登录信息;
l可记录特定论坛的发帖信息;
2.2.2 外发信息及邮件审计控制
l记录用户的网站访问痕迹;
l记录用户在网页提交的HTTP表单地址以及内容;
l表单的自动分类(如登录、邮件、BBS等分类)和统计;
l支持SNMP、POP3协议;
l记录邮件的发件人、收件人、标题、正文、附件、大小等信息;
l灵活多样的监控规则;
l收发人、发件人监控;
l标题内容监控;
l正文内容审计;
l附件名称审计;
l邮件大小审计;
l邮件内容和附件的下载;
2.2.3 地下浏览记录
l记录用户使用代理软件(如无界、自由门、花园等)所进行的网站访问记录。
2.2.4 即时聊天软件监控
l支持目前主流的聊天工具,包括MSN、QQ、阿里旺旺、飞信等;
l记录聊天账号、上下线时间、聊天持续时间、聊天内容等信息;
l记录MSN/QQ/阿里旺旺/飞信等有关文件上传、下载等动作,提供本地审核。
2.2.5 FTP/HTTP传输审计
l记录FTP登录账号、密码、服务器IP地址;
l记录传输文件的时间、文件名称、传输方向、大小等信息;
l记录HTTP下载的文件名、时间、大小等信息;
2.2.6 P2P协议监控
l记录BT、迅雷、电驴等协议带宽使用情况;
l记录P2P下载文件名、时间、大小等信息;
l可阻止P2P资源搜索;
l可阻止特定的P2P软件;
2.2.7 网络游戏审计
l记录网络游戏的在线时间、结束时间、游戏时间段等;
l可定义网络游戏规则、种类以及相关策略;
2.2.8 炒股软件监控
l记录用户开始使用炒股软件时间、用户IP/.账号等信息;
l可对炒股软件的使用进行控制(阻断或限制);
2.2.9 网络电视监控
l记录用户使用网络电视的开始时间、结束时间以及使用客户端等信息;
l可真的网络电视自主的设置管理规则,可以限制在某一时段开启或阻断;
2.2.10 异常网络流量监控
l实时监控网络流量状态;
l实时监控NAT会话;
l统计警告网络中的异常流量,例如网络内部的异常ARP状态,并给出异常流量告警;
2.2.11 域名审计设置
l外网白名单,可免除对指定站点的访问审计监控;
l外网黑名单,可禁止访问指定站点;
l内网白名单,可免除白名单用户或IP的上网行为审计;
l内网黑名单,可禁止黑名单内用户或IP的使用互联网;
2.3 报表统计
2.3.1 流量-时间分布报表
流量-时间分布报表显示过去一段时间内流量随时间分布的曲线,便于管理员掌握网络资源的使用情况。
(图3. 流量-时间分布报表)
2.3.2 兴趣-URL排名
兴趣-URL排名可以查看当前网络中内网用户访问URL的有效数次,可以根据访问的频率进行有效的排列。
(图4. 兴趣-URL排名)
2.3.3 应用流量排名
应用流量排名可以根据当前内网用户的应用流量进行统计,并根据统计数据排列出当前应用数据排名。
(图5. 应用流量排名)
2.3.4 警告统计
路由器可以统计
(图6 警告数次统计)
2.4 云服务
2.4.1 云存储
艾泰设备可以将设备日志定期上传到艾泰云端服务器,艾泰设备根据目前带宽使用情况而定,选择在带宽空闲时上传数据,繁忙时不占用带宽。艾泰设备将配置信息自动同步到云端,在设备恢复到出厂设置时可以自动加载配置信息,无需重新配置。艾泰云端服务器给每台设备预留1GB存储空间,可用于保存日志信息,审计报告,配置备份等数据。
2.4.2 云监控
艾泰服务云端可以监控设备运行状态,定制异常信息推送给用户的互联网设备(如受到FLOOD攻击时),审计功能交由云端完成,并可在云端生成审计报告,可自动生成日报/周
报/月报定期推送给用户,网络设备异常可以实现即时以邮件/手机短信等快捷方式告知用户。
2.4.3 云端数据中心
艾泰云端服务器可以对各种网络应用进行有效的统计,即时了解互联网的应用信息,同时对应用进行排序并对各种应用评级等,供用户参考,帮助用户更好的使用艾泰设备的各种功能。
2.5 带宽管理
网络卡、网络慢是目前网络中常见问题,如何有效提高网络的带宽利用率,是很多网络管理人员一直需要面对的问题。上海艾泰第二代上网行为管理器系统对此给出了一个的带宽管理解决方案:以应用为基础,以优先级为条件,辅以连接数、连接速率以及传输方向来进行智能带宽管理策略设置。合理的策略设置,能够使当前的网络为更多的网络用户和应用服务,并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,保证关键业务和正常业务的畅通。网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。
2.5.1 智能弹性带宽
基于应用的智能弹性带宽管理需要准确分析到数据的协议类型以及应用类型,所设置的带宽策略才能准确限制各业务、合理分配各用户的网络带宽使用情况。基于应用的智能弹性带宽管理策略的好处在于:能够根据需求区分主要业务与次要业务、非业务等网络应用,有效保证关键业务对网络带宽的占用情况。如下图所示:
(图7. 智能弹性带宽管理)
2.5.2 个性化带宽控制
在确定应用管理的基础上,路由器还可以根据用户或用户组设置不同带宽分配策略,例如可以设置不同组的每组带宽策略,亦可根据不同用户进行带宽设置,使带宽管理能够准确管理到用户;还可以设置不同的优先级,优先保障关键业务的带宽占用,使得每组用户中的非关键应用在保障核心关键业务顺畅运转的基础上可以使用部分网络带宽,从而最大程度的提升网络利用率。 通过对用户组带宽策略的设置,还能有效提升网内服务器群组的出口带宽,保障网内服务器群组的对外服务能力,缩短响应时间。带宽管理的设置经过了充分的考虑以及合理的规划,可以实现针对网络中的任一用户或用户组的能够基于应用的带宽管理;用户及用户组不需另外添加,由系统自动从已有的用户列表中读取,然后由用户进行选择。策略添加页面如下图所示:
(图8. 智能弹性带宽管理)
2.6 虚拟专用网
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。艾泰第二代行为管理路由器支持多种VPN技术-PPTP/L2TP/Ipsec VPN等。
lL2TP服务器/客户端;
lPPTP服务器/客户端;
lIpsec vpn;
lDES/3DES/AES128/AES192/AES256加密算法;
l主模式和野蛮模式协商;
lSHA-1/MD5认证算法;
lESP和AH协议;
l抗重播以及Ipsec NAT穿透;
2.7 网络安全防御
网络行为管理系统采用数据包过滤的方式,对内外网络的交换数据进行必要的审查和过滤,能够有效的降低网络内部的安全风险。其中包括各种病毒的攻击功能。
通过建立访问控制访问控制列表,限制和管理内网用户和外网用户的访问请求,同时能够禁止内网和外网病毒攻击和黑客攻击。
l基于时间段的防火墙策略;
l基于接口的防火墙策略;
lDNS请求过滤;
l基于对象(源地址组、目的地址组、服务组)的高级防火墙策略列表;
lFlood攻击防御;
lARP欺骗主动防御;
lDoS/DdoS攻击防御;
l常见的病毒防御;
