ASG5000系列上網(wǎng)行為管理產(chǎn)品白皮書

1、華為 ASG5000 系列上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書華為 ASG5000 上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書目錄目錄 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 行為管理產(chǎn)品產(chǎn)生1 HYPERLINK l _bookmark2 行為管理產(chǎn)品簡(jiǎn)介1 HYPERLINK l _bookmark3 行為管理設(shè)備的使用指南2 HYPERLINK l _bookmark4 行為管理設(shè)備的技術(shù)原則3 HYPERLINK l _bookmark5 行為管理的可靠性設(shè)計(jì)3 HYPERLINK l _bookmark6 行為管理的性能模型3 HYPERLINK l

2、 _bookmark7 行為管理組網(wǎng)能力4 HYPERLINK l _bookmark8 行為管理路由特性5 HYPERLINK l _bookmark9 鏈路負(fù)載均衡5 HYPERLINK l _bookmark10 服務(wù)器負(fù)載均衡5 HYPERLINK l _bookmark11 地址轉(zhuǎn)換6 HYPERLINK l _bookmark12 動(dòng)態(tài)域名服務(wù)6 HYPERLINK l _bookmark13 VRF 路由7 HYPERLINK l _bookmark14 入侵防御7 HYPERLINK l _bookmark15 病毒防護(hù)8 HYPERLINK l _bookmark16 SSL

3、 網(wǎng)站解密8 HYPERLINK l _bookmark17 無線非經(jīng)9 HYPERLINK l _bookmark18 雙因子設(shè)備管理9 HYPERLINK l _bookmark19 三權(quán)管理9 HYPERLINK l _bookmark20 行為管理系統(tǒng)管理方式9 HYPERLINK l _bookmark21 身份認(rèn)證10 HYPERLINK l _bookmark22 應(yīng)用識(shí)別10 HYPERLINK l _bookmark23 IPv4 一體化策略10 HYPERLINK l _bookmark24 流量、時(shí)長(zhǎng)限額11 HYPERLINK l _bookmark25 防私接路由11

4、 HYPERLINK l _bookmark26 ASG5000 系列行為管理技術(shù)特點(diǎn)11 HYPERLINK l _bookmark27 高可靠性設(shè)計(jì)11 HYPERLINK l _bookmark28 豐富的用戶認(rèn)證14 HYPERLINK l _bookmark29 高精度的用戶審計(jì)14 HYPERLINK l _bookmark30 精細(xì)化的用戶流控16 HYPERLINK l _bookmark31 領(lǐng)先的合規(guī)維護(hù)17 HYPERLINK l _bookmark32 豐富的攻擊防御手段18 HYPERLINK l _bookmark33 優(yōu)秀的組網(wǎng)能力19 HYPERLINK l _

5、bookmark34 完善的日志系統(tǒng)21 HYPERLINK l _bookmark35 典型部署23 HYPERLINK l _bookmark36 網(wǎng)橋部署23 HYPERLINK l _bookmark37 路由部署24 HYPERLINK l _bookmark38 旁路部署24華為 ASG5000 上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書1 概述華為 ASG5000 系列上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書關(guān)鍵詞：ASG、SSO摘要：本文詳細(xì)介紹了華為ASG5000上網(wǎng)行為管理產(chǎn)品的特點(diǎn)、技術(shù)特性和部署模式。名稱縮寫完整拼寫中文解釋ASGApplication Security Gateway應(yīng)用安全網(wǎng)關(guān)S

6、SOSingle Sign On單點(diǎn)登錄 1概述ASG5000 系列產(chǎn)品，是業(yè)界應(yīng)用識(shí)別最豐富，威脅防護(hù)最全面的上網(wǎng)行為管理產(chǎn)品。該系列產(chǎn)品提供 URL 過濾、應(yīng)用行為控制、流量管理、數(shù)據(jù)防泄漏、惡意軟件防護(hù)、互聯(lián)網(wǎng)行為記錄等多項(xiàng)功能，為企業(yè)機(jī)構(gòu)提升員工工作效率、營造安全辦公環(huán)境、以及法規(guī)遵從提供了一體化的解決方案。行為管理產(chǎn)品產(chǎn)生在 Internet 飛速發(fā)展的今天，網(wǎng)絡(luò)已成為企業(yè)的重要生產(chǎn)工具，員工通過網(wǎng)絡(luò)可以查找資料、溝通交流和從事電子商務(wù)等，但是相應(yīng)的多種問題伴隨而生，例如：與工作無關(guān)的P2P 和在線視頻等應(yīng)用占用帶寬 ；與工作無關(guān)的聊天、炒股、游戲、博客和在線購物等活動(dòng)影響工作效率

7、；員工隨意在網(wǎng)絡(luò)上發(fā)帖和傳輸文件導(dǎo)致機(jī)密泄露 ；員工上網(wǎng)容易受到病毒、木馬和蠕蟲等攻擊和感染 ；員工通過網(wǎng)絡(luò)從事一些黃賭毒等違法活動(dòng) ；員工瀏覽和發(fā)布不良言論導(dǎo)致企業(yè)面臨法律風(fēng)險(xiǎn) 。為解決以上一系列的問題，上網(wǎng)行為管理產(chǎn)品應(yīng)運(yùn)而生，華為憑借在應(yīng)用識(shí)別庫和網(wǎng)絡(luò)安全等全方面的多年積累，推出了專業(yè)級(jí)的上網(wǎng)行為管理產(chǎn)品ASG5000。ASG5000 產(chǎn)品可實(shí)現(xiàn)員工上網(wǎng)行為的管理、帶寬的限制和確保員工上網(wǎng)安全等，可以極大提高員工的辦公效率和帶寬利用率，防止機(jī)密數(shù)據(jù)泄密和員工通過網(wǎng)絡(luò)從事違法活動(dòng)。ASG5000（Application Security Gateway）是華為技術(shù)有限公司（以下簡(jiǎn)稱華為）推

8、出的上網(wǎng)行為管理產(chǎn)品，主要解決內(nèi)部員工上網(wǎng)帶來的工作效率低下、帶寬濫用、惡意軟件感染、內(nèi)部信息泄漏以及法律合規(guī)等問題。行為管理產(chǎn)品簡(jiǎn)介ASG5000 采用了先進(jìn)的高性能多核架構(gòu)，運(yùn)行自主可控的操作系統(tǒng)，搭載豐富接口的硬件平臺(tái)，結(jié)合智能路由等全面的網(wǎng)絡(luò)層支撐以及雙機(jī)熱備，保障業(yè)務(wù)處理高效可靠，場(chǎng)景支撐靈活全面；借助 DPI、DFI 和終端融合識(shí)別技術(shù)，配合全面且實(shí)時(shí)更新的行為特征庫，提供完善、精細(xì)的用戶權(quán)限管理手段；配備入侵防御和實(shí)時(shí)病毒防護(hù)功 能，通過單路徑并行處理的安全檢測(cè)引擎和應(yīng)用識(shí)別，實(shí)現(xiàn)對(duì)用戶、應(yīng)用和內(nèi)容的深 入分析，為用戶打造安全智能的一體化防護(hù)體系；搭載業(yè)界領(lǐng)先的網(wǎng)絡(luò)運(yùn)維管理工具，

9、創(chuàng)新簡(jiǎn)化維護(hù)周期和工作量，為業(yè)務(wù)高效運(yùn)行提供有力的支撐。ASG5000 是業(yè)界識(shí)別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)。行為管理設(shè)備的使用指南行為管理設(shè)備建議部署在整個(gè)網(wǎng)絡(luò)中的匯聚點(diǎn)，如果被管控用戶的通信流量有可能會(huì)繞過行為管理設(shè)備，則行為管理設(shè)備不能對(duì)該用戶起到控制審計(jì)的功能。因此，在使用行為管理設(shè)備的時(shí)候，需要保證被行為管理設(shè)備審計(jì)的用戶流量必須全部經(jīng)過行為管理。默認(rèn)情況下，行為管理設(shè)備的規(guī)則一般是面審計(jì)放行的。在行為管理設(shè)備接入到網(wǎng)絡(luò)中之后，一定需要按照網(wǎng)絡(luò)的實(shí)際需要配置各種行為管理策略。行為管理策略的有效性、多樣性、靈活性等是考察行為管理設(shè)備的一個(gè)重要指標(biāo)，另外在復(fù)雜的用戶網(wǎng)絡(luò)環(huán)

10、境有可能會(huì)使用非常多的規(guī)則，需要考察行為管理本身規(guī)則的容量和在大規(guī)則下的轉(zhuǎn)發(fā)性能等因素。行為管理設(shè)備本身的安全性也是選擇行為管理的一個(gè)重要標(biāo)準(zhǔn)。行為管理的安全性能取決于行為管理是否基于安全的操作系統(tǒng)和是否采用專用的硬件平臺(tái)，安全的操作系統(tǒng)從軟件方面保證了行為管理本身的安全可靠，專用的硬件平臺(tái)保證行為管理可以經(jīng)受長(zhǎng)時(shí)間運(yùn)行的考驗(yàn)。行為管理設(shè)備屬于一個(gè)關(guān)鍵網(wǎng)絡(luò)設(shè)備，一定要保證行為管理可以長(zhǎng)時(shí)間不間斷運(yùn)行，其硬件可靠性是非常關(guān)鍵的。在行為管理實(shí)施之前，需要先根據(jù)網(wǎng)絡(luò)的實(shí)際情況確定需要解決的問題，選擇性能、功能均能滿足的行為管理設(shè)備。在性能和功能的平衡過程中，對(duì)性能指標(biāo)一定要特別關(guān)注，因?yàn)樵趯?shí)際運(yùn)行的

11、過程中行為管理的性能是非常重要的，如果性能低下會(huì)造成網(wǎng)絡(luò)的堵塞、故障頻繁，這樣的網(wǎng)絡(luò)是沒有安全性可談。性能指標(biāo)體現(xiàn)了行為管理的可用性能，同時(shí)也體現(xiàn)了企業(yè)用戶使用行為管理產(chǎn)品的代價(jià)，用戶無法接受過高的代價(jià)。如果行為管理對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，還會(huì)給用戶造成較大的損失?，F(xiàn)在的主流行為管理設(shè)備都是基于狀態(tài)檢測(cè)的行為管理設(shè)備，這類行為管理設(shè)備對(duì)業(yè)務(wù)應(yīng)用是敏感的。涉及音頻、視頻等的一些多媒體業(yè)務(wù)，協(xié)議比較復(fù)雜，經(jīng)常會(huì)因?yàn)閷?duì)協(xié)議的狀態(tài)處理不當(dāng)導(dǎo)致加入行為管理之后造成業(yè)務(wù)不通，或者是為了保證業(yè)務(wù)的暢通就需要打開很多不必要的端口，造成安全性非常低。因此針對(duì)狀態(tài)行為管理一定要考察行為管理設(shè)備對(duì)業(yè)務(wù)的適應(yīng)性能力，避

12、免引入行為管理設(shè)備導(dǎo)致對(duì)正常業(yè)務(wù)造成影響。華為 ASG5000 上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書2 行為管理設(shè)備的技術(shù)原則 2行為管理設(shè)備的技術(shù)原則行為管理的可靠性設(shè)計(jì)行為管理本身是一個(gè)重要的網(wǎng)絡(luò)設(shè)備，而且其位置一般是串行接入核心交換和出口防火墻之間。行為管理的位置和功能決定了行為管理設(shè)備應(yīng)該具有非常高的可靠性。保證行為管理的高可靠性主要依靠如下幾點(diǎn)技術(shù)來保證：高可靠的硬件設(shè)計(jì)硬件設(shè)計(jì)是任何網(wǎng)絡(luò)設(shè)備可靠運(yùn)行的基礎(chǔ)。網(wǎng)絡(luò)設(shè)備不同于普通PC 等個(gè)人、家用系統(tǒng)，網(wǎng)絡(luò)設(shè)備必須要求可以 24 小時(shí)不間斷正常工作，對(duì)其主板、CPU、風(fēng)扇、板卡等各種硬件設(shè)備都是一個(gè)嚴(yán)格的考驗(yàn)。為了可以保證行為管理設(shè)備可以長(zhǎng)時(shí)間不

13、間斷工作，必須保證行為管理本身具有一個(gè)優(yōu)秀的硬件結(jié)構(gòu)體系。雙機(jī)備份技術(shù)由于行為管理設(shè)備位置的特殊性為了提供更可靠的運(yùn)行保證，一般行為管理都應(yīng)該提供雙機(jī)備份技術(shù)。雙機(jī)備份是采用兩臺(tái)獨(dú)立的、型號(hào)一致的行為管理設(shè)備共同工作， 提供更可靠的工作環(huán)境。完善的雙機(jī)備份環(huán)境可以有兩種工作模式：第一種是，兩臺(tái)設(shè)備中只有一臺(tái)行為管理在工作，當(dāng)發(fā)生意外故障的時(shí)候另外一臺(tái)行為管理接替工 作。第二種是，兩臺(tái)設(shè)備都在工作，當(dāng)一臺(tái)發(fā)生意外故障的時(shí)候，另外一臺(tái)自動(dòng)接替所有的工作。行為管理設(shè)備的可靠性設(shè)計(jì)反映出了行為管理在設(shè)計(jì)方面的一種綜合考慮，必須明確的是行為管理設(shè)備是一臺(tái)重要的網(wǎng)絡(luò)設(shè)備，其可靠性要求設(shè)計(jì)要求比較高，在選擇

14、行為管理設(shè)備的時(shí)候需要綜合考慮其可靠性方面的設(shè)計(jì)。行為管理的性能模型前面已經(jīng)提到行為管理的性能對(duì)于衡量一個(gè)行為管理設(shè)備來說非常重要，那么到底應(yīng)該通過哪些指標(biāo)來具體的衡量行為管理的性能呢？本小節(jié)主要討論一下，衡量行為管理的性能的時(shí)候應(yīng)該注意哪些方面。業(yè)界現(xiàn)在衡量行為管理的性能的時(shí)候，主要使用“吞吐量”這個(gè)指標(biāo)。吞吐量主要是指行為管理在大包的情況下，盡量轉(zhuǎn)發(fā)能通過行為管理的總的流量，一般使用 BPS（比特每秒）為單位來衡量的，使用吞吐量作為衡量行為管理的性能指標(biāo)非常片面，不能反映出行為管理的實(shí)際工作能力。除了吞吐量之外，在衡量行為管理性能的時(shí)候一定還要考察下面幾個(gè)指標(biāo)：小包轉(zhuǎn)發(fā)能力行為管理的吞吐量

15、在業(yè)界一般都是使用 1K1.5K 的大包衡量行為管理對(duì)報(bào)文的處理能力的。因網(wǎng)絡(luò)流量大部分是 200 字節(jié)報(bào)文，因此需要考察行為管理小包轉(zhuǎn)發(fā)下性能， 行為管理的小包轉(zhuǎn)發(fā)性能真實(shí)的反映了行為管理在實(shí)際環(huán)境下工作的轉(zhuǎn)發(fā)性能指標(biāo)。規(guī)則數(shù)目對(duì)轉(zhuǎn)發(fā)效率的影響行為管理一般都是工作在大量的規(guī)則下，規(guī)則、業(yè)務(wù)的實(shí)施對(duì)轉(zhuǎn)發(fā)性能有必然的影 響，因此需要考察行為管理在大量規(guī)則下的轉(zhuǎn)發(fā)效率，避免業(yè)務(wù)對(duì)行為管理性能影響太大，導(dǎo)致行為管理在實(shí)際環(huán)境下無法工作。每秒建立連接速度指的是每秒鐘可以通過行為管理建立起來的完整TCP 連接。由于行為管理的連接是動(dòng)態(tài)產(chǎn)生的是根據(jù)當(dāng)前通信狀態(tài)而動(dòng)態(tài)建立的一個(gè)信息表。每個(gè)會(huì)話在數(shù)據(jù)交換之前

16、， 在行為管理上都必須建立連接。如果行為管理建立連接速率較慢，在客戶端反映是每次通信有較大延遲。因此支持的指標(biāo)越大，轉(zhuǎn)發(fā)速率越高。在受到攻擊時(shí)，這個(gè)指標(biāo)越大，抗攻擊能力越強(qiáng)。這個(gè)指標(biāo)越大，狀態(tài)備份能力越強(qiáng)。 每秒新建連接速度是衡量行為管理功能能力的一個(gè)重要指標(biāo)，該指標(biāo)偏低的時(shí)候行為管理無法在實(shí)際的網(wǎng)絡(luò)環(huán)境中體現(xiàn)優(yōu)異的性能，尤其是遭受 DOS 攻擊的時(shí)候，如果該指標(biāo)偏低行為管理會(huì)停止工作。并發(fā)連接數(shù)目由于行為管理是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的行為管理可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè) TCP/UDP 的訪問。以上是衡量行為管理性能的一些基本數(shù)據(jù)，在實(shí)際選擇行為管理的時(shí)候

17、也可以根據(jù)具體的組網(wǎng)要求衡量一些其他的指標(biāo)。由于行為管理本身是一個(gè)“處理復(fù)雜業(yè)務(wù)”的數(shù)據(jù)通信設(shè)備，涉及的性能指標(biāo)比傳統(tǒng)數(shù)據(jù)通信設(shè)備的多，在實(shí)際選擇的時(shí)候一定要注意這一點(diǎn)，行為管理的性能指標(biāo)同時(shí)反映了一臺(tái)行為管理的綜合指標(biāo)，包括軟件設(shè) 計(jì)、硬件設(shè)計(jì)等各個(gè)方面，是選擇行為管理設(shè)備的一個(gè)重要依據(jù)。行為管理組網(wǎng)能力ASG5000 支持透明、路由、旁路和混合等部署模式，可靈活的連接和審計(jì)用戶網(wǎng)絡(luò)。ASG5000 透明模式接入用戶網(wǎng)絡(luò)，部署于關(guān)鍵節(jié)點(diǎn)，網(wǎng)絡(luò)拓?fù)涓膭?dòng)較小，對(duì)經(jīng)過的數(shù)據(jù)流量進(jìn)行分析，實(shí)現(xiàn)對(duì)用戶行為的審計(jì)和控制；ASG5000 路由模式一般使用在公網(wǎng)出口或三層交換節(jié)點(diǎn)，提供 NAT、負(fù)載均衡等出

18、口特性，并對(duì)內(nèi)網(wǎng)用戶實(shí)現(xiàn) VPN、流量管控、行為審計(jì)和控制等功能；ASG5000 旁路部署不會(huì)影響客戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，通過與交換機(jī)鏡像接口連接，將需要審計(jì)的網(wǎng)絡(luò)流量鏡像至 ASG5000 中，實(shí)現(xiàn)分析和審計(jì)用戶行為的功能；ASG5000 支持混合模式，即同時(shí)使用透明、路由、旁路模式，用于滿足用戶復(fù)雜多樣的環(huán)境需求。行為管理路由特性網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)設(shè)備的靜態(tài)路由已經(jīng)無法滿足企業(yè)網(wǎng)絡(luò)實(shí)時(shí)自適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的需求。ASG5000 為用戶提供豐富的路由協(xié)議，支持靜態(tài)路由、策略路由、ISP 路由，RIP、OSPF、VRF 等路由功能，以滿足用戶復(fù)雜的網(wǎng)絡(luò)環(huán)境。用戶出口有多個(gè)運(yùn)營商線路時(shí)，跨運(yùn)營商線路訪

19、問資源時(shí)，會(huì)出現(xiàn)網(wǎng)絡(luò)訪問緩慢，服務(wù)質(zhì)量下降等問題。ASG5000 ISP 路由主要用于解決此問題。ASG5000 預(yù)置中國電信（ChinaTelecom）、中國聯(lián)通（Chinaunicom）、教育網(wǎng)（ChinaEducation）、中國移動(dòng)（ChinaMobile）四個(gè)主流運(yùn)營商的地址庫，支持自定義增加 ISP 條目。管理員可指定運(yùn)營商和出接口，當(dāng)訪問請(qǐng)求解析后按照預(yù)定的出接口或下一條進(jìn)行轉(zhuǎn)發(fā)，從而使得業(yè) 務(wù)質(zhì)量最優(yōu)。鏈路負(fù)載均衡隨著帶寬成本的下降及業(yè)務(wù)需求，企業(yè)通常存在兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)出口，多出口提升了網(wǎng)絡(luò)出口穩(wěn)定性同時(shí)又帶來了多鏈路帶寬利用率低、多鏈路帶寬差異大、各運(yùn)營商網(wǎng)絡(luò)質(zhì)量差異、

20、內(nèi)網(wǎng)應(yīng)用對(duì)帶寬需求差異等問題；以上諸多問題只需通過ASG5000 提供的鏈路負(fù)載均衡即可迎刃而解。具體實(shí)現(xiàn)主要基于以下幾點(diǎn)：實(shí)時(shí)多鏈路監(jiān)測(cè)實(shí)時(shí)監(jiān)測(cè)每條出口鏈路的邏輯連通性，即使端口處于 UP 狀態(tài)，但可能由于遠(yuǎn)端故障導(dǎo)致的檢測(cè)報(bào)文超時(shí)，ASG5000 同樣會(huì)執(zhí)行鏈路切換的動(dòng)作，以保證網(wǎng)絡(luò)連接的可用性，實(shí)現(xiàn)多條鏈路的冗余備份?；跈?quán)重流量分擔(dān)ASG5000 提供了基于優(yōu)先級(jí)和權(quán)重的多鏈路流量分擔(dān)算法以滿足不同應(yīng)用場(chǎng)景的需求，從而達(dá)到高效的利用出口鏈路帶寬的目的。智能應(yīng)用路由ASG5000 內(nèi)置 1900 多種應(yīng)用類型，3500 多種應(yīng)用動(dòng)作特征庫，將網(wǎng)絡(luò)中各種應(yīng)用進(jìn)行準(zhǔn)確分類和精細(xì)識(shí)別，讓不同的

21、應(yīng)用分別使用不同的出口線路，保證重要業(yè)務(wù)不中斷。DNS 透明代理通過透明代理技術(shù)，完成對(duì)客戶 dns 流量的無感知代理，從而保證客戶的 dns 請(qǐng)求得到最快，最穩(wěn)定的響應(yīng)，大幅度提升客戶的上網(wǎng)感受。服務(wù)器負(fù)載均衡ASG5000 服務(wù)器負(fù)載均衡可以對(duì)一組服務(wù)器提供負(fù)載均衡業(yè)務(wù)，這一組服務(wù)器一般來說都是處于同一個(gè)局域網(wǎng)中，并同時(shí)對(duì)外提供一組或者多組相同或相似的服務(wù)。ASG5000 能夠?qū)崿F(xiàn)在客戶訪問多臺(tái)同時(shí)工作的服務(wù)器的情況下，即時(shí)按需動(dòng)態(tài)檢查各個(gè)服務(wù)器的狀態(tài)，根據(jù)預(yù)設(shè)的規(guī)則將請(qǐng)求分配給最有效率的服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)流合理的分配，使每臺(tái)服務(wù)器的處理能力都能得到充分的發(fā)揮，提高整體性能，改善應(yīng)用系統(tǒng)的可

22、用性。ASG5000 服務(wù)器負(fù)載均衡包含三個(gè)基本元素：負(fù)載算法：權(quán)重算法、源地址散列+權(quán)重算法服務(wù)器健康檢查：提供 ICMP 的探測(cè)方式會(huì)話保持功能：可保持用戶所有訪問會(huì)話分配至同一臺(tái)服務(wù)器上處理地址轉(zhuǎn)換隨著 Internet 的發(fā)展，IP 地址短缺問題已經(jīng)成為了一個(gè)越來越嚴(yán)重的問題。在 IPV6 使用之前，地址轉(zhuǎn)換（Network Address Translation）技術(shù)是解決這個(gè)問題的一個(gè)最主要的技術(shù)手段。地址轉(zhuǎn)換主要是因?yàn)?Internet 地址短缺問題而提出的，利用地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò)（Internet），利用地址轉(zhuǎn)換可以給內(nèi)部網(wǎng)絡(luò)提供一種“隱私”保護(hù)，同時(shí)也可

23、以按照用戶的需要提供給外部網(wǎng)絡(luò)一定的服務(wù)，如：WWW、FTP、 TELNET、SMTP、POP3 等。地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)的功能是上述的兩個(gè)方面，一般稱為“正向的地址轉(zhuǎn)換”和“反向的地址轉(zhuǎn)換”。在正向的地址轉(zhuǎn)換中，具有只轉(zhuǎn)換地址（NAT）和同時(shí)轉(zhuǎn)換地址和端口（PAT）兩種形式?，F(xiàn)在地址短缺的問題在很多地方非常嚴(yán)重，由于行為管理的位置和技術(shù)特點(diǎn)，在行為管理上提供地址轉(zhuǎn)換技術(shù)是沒有問題的，因此在行為管理設(shè)備上提供完善的NAT 服務(wù)是行為管理的一個(gè)非常必要的特性。ASG5000 擁有優(yōu)化過的NAT 性能。支持源地址和目的地址轉(zhuǎn)換，支持動(dòng)態(tài)和靜態(tài)的地址轉(zhuǎn)換。動(dòng)態(tài)域名服務(wù)DDNS（Dynamic Domai

24、n Name Server）是動(dòng)態(tài)域名服務(wù)的縮寫。動(dòng)態(tài)域名服務(wù)是將用戶的動(dòng)態(tài) IP 地址映射到一個(gè)固定的域名解析服務(wù)上，用戶每次連接網(wǎng)絡(luò)的時(shí)候客戶端程序就會(huì)通過信息傳遞把該主機(jī)的動(dòng)態(tài) IP 地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序，服務(wù)器程序負(fù)責(zé)提供 DNS 服務(wù)并實(shí)現(xiàn)動(dòng)態(tài)域名解析。目前 ISP 大多提供動(dòng)態(tài) IP（如撥號(hào)上網(wǎng)），若想在網(wǎng)際網(wǎng)絡(luò)上以自己的網(wǎng)域公布，動(dòng)態(tài)域名服務(wù)提供了解決方案，它可以自動(dòng)更新用戶每次變化的浮動(dòng) IP，然后將其與網(wǎng)絡(luò)域名相對(duì)應(yīng)，這樣其他上網(wǎng)用戶就可以透過網(wǎng)絡(luò)域名來交流了ASG5000 提供動(dòng)態(tài)域名服務(wù)功能。可解決動(dòng)態(tài) IP 地址場(chǎng)景下管理，以及 IPsec VPN 場(chǎng)

25、景使用域名連接等問題。VRF 路由在傳統(tǒng)網(wǎng)絡(luò)中，如果網(wǎng)絡(luò)中有較多的網(wǎng)絡(luò)部署劃分，就可能需要部署多臺(tái)出口路由設(shè)備，不僅建設(shè)成本高，而且占用更多寶貴的機(jī)房空間，維護(hù)成本和難度也居高不下。傳統(tǒng)路由設(shè)備的不足，推動(dòng)了虛擬化技術(shù)的普遍發(fā)展。ASG5000 迎合網(wǎng)絡(luò)時(shí)代潮流， 自主開發(fā)了 VRF 功能。ASG5000 可以將不同的端口加入創(chuàng)建的 VRF 組中，每個(gè) VRF 組之間可以獨(dú)立控制和轉(zhuǎn)發(fā)，相互隔離，可以看做是不同的路由器，可以使用相同的或者是重疊的 IP 地址而不會(huì)產(chǎn)生沖突。VRF 功能提供了從一臺(tái)物理路由器變成多臺(tái)虛擬路由器的功能，可以為用戶節(jié)省大量的建設(shè)成本和維護(hù)成本，維護(hù)也更加簡(jiǎn)單。入侵防

26、御華為經(jīng)過多年網(wǎng)絡(luò)安全領(lǐng)域的沉淀和積累，打造了一支資深的攻擊特征庫團(tuán)隊(duì)和安全服務(wù)團(tuán)隊(duì)，在蠕蟲、后門、木馬、間諜軟件、Web 攻擊、拒絕服務(wù)等攻擊的防御方面具備了完善的檢測(cè)、阻斷、限流、審計(jì)報(bào)警等防御手段，并隨時(shí)關(guān)注業(yè)界最新發(fā)現(xiàn)的安全漏洞和接收全球用戶反饋的攻擊特征，并在第一時(shí)間做出響應(yīng)和提供更新，實(shí)時(shí)完善攻擊特征庫，提供最及時(shí)、最全面的入侵防御。3000 種預(yù)定義攻擊特征實(shí)時(shí)在線更新提供 WAF 級(jí)別的安全防護(hù)，有效的防御和預(yù)警 Web 服務(wù)器的攻擊，包括網(wǎng)頁防爬蟲、網(wǎng)頁防篡改、HTTPS 防護(hù)、DDoS 攻擊防護(hù)、Web 攻擊過濾、漏洞防護(hù)自學(xué)習(xí)等處理網(wǎng)絡(luò)類威脅，包括安全漏洞、木馬后門、可以

27、行為、CGI 訪問、CGI 攻擊、緩存溢出、拒絕服務(wù)、蠕蟲病毒、網(wǎng)絡(luò)數(shù)據(jù)庫攻擊、間諜軟件、安全掃描、網(wǎng)絡(luò)設(shè)備攻擊、欺騙劫持保證基礎(chǔ)網(wǎng)絡(luò)安全分級(jí)事件及操作配置虛擬補(bǔ)丁管理病毒防護(hù)ASG5000 擁有海量病毒特征庫，配合先進(jìn)的防病毒引擎，能夠精準(zhǔn)識(shí)別并清除流行木馬和頑固病毒。病毒檢測(cè)引擎針對(duì)非緩存流檢測(cè)模式進(jìn)行了全面結(jié)構(gòu)調(diào)整和優(yōu)化，使ASG5000 的病毒檢測(cè)率和處理性能獲得質(zhì)的突破：在保持高病毒檢測(cè)率的同時(shí)，系統(tǒng)性能下降不超過 20%?？梢栽?HTTP、SMTP、FTP、POP3、IMAP 等多種協(xié)議下病毒防御，支持非標(biāo)準(zhǔn)端口的 HTTP、SMTP、FTP、POP3、IMAP 協(xié)議中的病毒檢測(cè)。

28、支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測(cè)，支持無 IP 地址的透明橋下的網(wǎng)絡(luò)病毒檢測(cè)模式，支持 VPN 模式下的病毒掃描。采用高效的病毒防御引擎和國內(nèi)知名病毒廠商特征庫，可檢測(cè)不少于 300 萬以上種病毒?？梢愿鶕?jù)不同的源 IP 地址、目的 IP 地址、服務(wù)、時(shí)間、接口、用戶等，采用不同的病毒防御策略?？梢赃^濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒特征庫定時(shí)更新，支持病毒庫本地升級(jí)，病毒庫可實(shí)時(shí)在線升級(jí)。支持基于病毒防護(hù)策略設(shè)置阻斷、清除、記錄日志。SSL 網(wǎng)站解密互聯(lián)網(wǎng)時(shí)代，越來越多的網(wǎng)站啟用HTTPS，而隨之而來的是員工利用這種加密方式泄露企業(yè)敏感信息的

29、可能性也越來越大；并且由于HTTPS 網(wǎng)頁經(jīng)過了加密，采用普通的流量分析方式是無法審計(jì)到訪問行為的，企業(yè)是無法清晰準(zhǔn)確的了解員工的工作狀態(tài)和網(wǎng)絡(luò)的運(yùn)行狀態(tài)。為了保障企業(yè)有清晰的事后審計(jì)，保護(hù)企業(yè)機(jī)密，ASG5000 提供了 SSL 審計(jì)功能， ASG5000 采用特有的加密流量識(shí)別技術(shù)，能夠?qū)χ髁鞯募用芫W(wǎng)站、加密網(wǎng)站搜索記錄、加密郵件，包括客戶端郵件和 web 郵件（不包含附件）等行為進(jìn)行識(shí)別。管理員可以采用自定義的方式，定向?qū)徲?jì)用戶和加密網(wǎng)站，讓網(wǎng)絡(luò)運(yùn)行情況更加清晰明了， 做到管理規(guī)劃有據(jù)可循、有的放矢。無線非經(jīng)國家GAWA3011.(15)-2015 公共場(chǎng)所無線上網(wǎng)安全管理系統(tǒng)無線上網(wǎng)接

30、入要求規(guī)范， 如咖啡館、酒吧、KTV 等提供網(wǎng)絡(luò)接入的公共場(chǎng)所，需實(shí)現(xiàn)規(guī)范的準(zhǔn)入管理制度，上傳審計(jì)信息到網(wǎng)監(jiān)后端平臺(tái)，否則會(huì)面臨業(yè)務(wù)下線、停業(yè)整改、罰款等風(fēng)險(xiǎn)。ASG5000 提供無線非經(jīng)合規(guī)特性。并可適用于集中式部署、分布式部署、旁路對(duì)接多種場(chǎng)景，從而易于客戶網(wǎng)絡(luò)平滑升級(jí)。公安部提出了標(biāo)準(zhǔn)要求，但各地市的對(duì)接標(biāo)準(zhǔn)不一，后端對(duì)接廠商眾多，也給客戶帶來了升級(jí)困擾。ASG5000 支持任子行、派博、洪旭、愛思、博網(wǎng)等多家主流后端對(duì)接廠商平臺(tái)，對(duì)接地區(qū)廣，對(duì)接經(jīng)驗(yàn)豐富。有在銀行、運(yùn)營商、零售連鎖等多種場(chǎng)景豐富的對(duì)接經(jīng)驗(yàn)，超高的應(yīng)用識(shí)別率、定制開發(fā)能力，為客戶場(chǎng)景的安全合規(guī)提供保障。雙因子設(shè)備管理傳統(tǒng)

31、的賬號(hào)密碼設(shè)備管理方式安全性較低，容易被黑客截獲破譯，且認(rèn)證唯一性難以保障。ASG5000 提供雙因子認(rèn)證功能，用戶登錄設(shè)備界面時(shí)，需在 PC 終端插入 U-Key，同時(shí)進(jìn)行賬號(hào)密碼校驗(yàn)；否則無法登錄設(shè)備界面。此功能極大的提高了網(wǎng)絡(luò)設(shè)備的安全性，且具備操作簡(jiǎn)單，攜帶方便的特點(diǎn)。三權(quán)管理ASG5000 默認(rèn)管理模式為普通模式，普通模式默認(rèn)存在 admin 賬號(hào)，該賬號(hào)可添加、修改、刪除所有管理賬號(hào)，且可管理所有界面模塊，無細(xì)致權(quán)限劃分。ASG5000 可將管理模式切換為三權(quán)模式。切換后系統(tǒng)默認(rèn)存在四種管理賬號(hào)：權(quán)限管理員（Aauthority），為系統(tǒng)管理員分配權(quán)限，可設(shè)置讀寫分離，支持設(shè)置模塊

32、分離管理賬號(hào)管理員（Aaccount），添加、刪除管理員賬號(hào)審核員（audit），查看所有管理員操作記錄管理員（admin），系統(tǒng)功能配置與管理每個(gè)管理賬號(hào)被賦予不同的權(quán)限，相互之間形成權(quán)限制約，避免了普通模式下超級(jí)管理員權(quán)限過大帶來的管理風(fēng)險(xiǎn)，保障了設(shè)備管理安全。行為管理系統(tǒng)管理方式ASG5000 本地管理支持多種管理方式，且所有接口均可用于系統(tǒng)管理，管理方式包括PING、SSH、HTTPS、center-monitor 等。身份認(rèn)證ASG5000 具備豐富身份認(rèn)證方式，可有效的區(qū)分用戶。是部署差異化授權(quán)和審計(jì)策略、有效防御身份冒充、權(quán)限擴(kuò)散與濫用等的管理基礎(chǔ)。ASG5000 的身份認(rèn)證方式

33、有：本地認(rèn)證：Web 認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC 綁定；第三方認(rèn)證：RADIUS、LDAP 等；短信認(rèn)證：傳統(tǒng)的認(rèn)證方式，方便快捷；免認(rèn)證：認(rèn)證用戶無需進(jìn)行身份認(rèn)證，即可快速上網(wǎng)；混合認(rèn)證：界面配置選擇多種認(rèn)證方式，用戶可根據(jù)需要更換認(rèn)證方式；單點(diǎn)登錄： AD 域一次認(rèn)證，減免頻繁認(rèn)證。應(yīng)用識(shí)別應(yīng)用識(shí)別（Application identify)是 ASG5000 的重要功能。借助于應(yīng)用識(shí)別功能，可以準(zhǔn)確識(shí)別網(wǎng)絡(luò)上正在運(yùn)行的應(yīng)用，應(yīng)用流量的準(zhǔn)確識(shí)別不但可洞悉整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，而且可針對(duì)具體需求做用戶行為的準(zhǔn)確管控，這在一定程度上既可保證業(yè)務(wù)流的高效運(yùn)行也可預(yù)防由于內(nèi)網(wǎng)機(jī)器受到攻擊而

34、生產(chǎn)的威脅，同時(shí)識(shí)別應(yīng)用類型也是應(yīng)用審計(jì)與應(yīng)用流量控制的基礎(chǔ)。隨著P2P 應(yīng)用的廣泛流行和基于 Web 的應(yīng)用的興起，令傳統(tǒng)的利用固定端口來區(qū)分應(yīng)用類型的設(shè)備無能無力。應(yīng)用識(shí)別功能把對(duì)報(bào)文的協(xié)議解析、深度內(nèi)容檢測(cè)以及關(guān)聯(lián)分析結(jié)合起來，通過對(duì)大量實(shí)際環(huán)境中的流量的分析，總結(jié)出每種應(yīng)用的流量模型， 把對(duì)數(shù)據(jù)包的協(xié)議解析、深度內(nèi)容檢測(cè)和關(guān)系分析的結(jié)果綜合起來，由決策引擎通過與流量模擬的匹配程度，智能的判定應(yīng)用類型，相比傳統(tǒng)的應(yīng)用識(shí)別技術(shù)，還具有以下特點(diǎn)：自定義應(yīng)用；基于協(xié)議狀態(tài)分析；行為檢測(cè)；應(yīng)用路由；基于應(yīng)用的流量管理；終端識(shí)別；IPv4 一體化策略ASG5000 采用一體化安全策略，管理員只需要

35、通過一條策略便可完成對(duì)源接口、源地址、用戶、目的接口、目的地址、應(yīng)用、服務(wù)、時(shí)間等維度的匹配，并針對(duì)應(yīng)用、URL、惡意站點(diǎn)、入侵攻擊、病毒等進(jìn)行統(tǒng)一管控，使用方便，維護(hù)簡(jiǎn)單。華為 ASG5000 上網(wǎng)行為管理產(chǎn)品技術(shù)白皮書3 ASG5000 系列行為管理技術(shù)特點(diǎn)流量、時(shí)長(zhǎng)限額用戶體驗(yàn)至上的服務(wù)理念趨勢(shì)下，企業(yè)為用戶提供更靈活和細(xì)致的服務(wù)，已達(dá)到用戶差分服務(wù)的效果。例如銀行網(wǎng)點(diǎn)中，銅卡用戶可免費(fèi)上網(wǎng) 3 小時(shí)，銀卡用戶可免費(fèi)上網(wǎng) 5 小時(shí)，金卡用戶不限時(shí)上網(wǎng)。單純的流控策略是無法滿足企業(yè)的管理需求。ASG5000 提供流量和在線時(shí)長(zhǎng)限額的功能。通過預(yù)設(shè)用戶的流量額度或者在線時(shí)長(zhǎng)的閥值，設(shè)備統(tǒng)計(jì)該

36、用戶的對(duì)應(yīng)參數(shù)，當(dāng)對(duì)應(yīng)參數(shù)超過設(shè)置閥值，設(shè)備立即對(duì)該用戶進(jìn)行懲罰，懲罰方式可選擇禁止上網(wǎng)或流量限速。ASG5000 可提供極為強(qiáng)大的管理網(wǎng)絡(luò)流量的方法和手段，解決用戶應(yīng)用場(chǎng)景的流控細(xì)致化、差異化需求。防私接路由上網(wǎng)用戶私接 WiFi 或路由器行為會(huì)造成無法校驗(yàn)用戶身份、安全性能難以保障、占用額外帶寬資源等問題。ASG5000 能夠快速識(shí)別“一拖 N”的網(wǎng)絡(luò)私接行為，精準(zhǔn)定位“N”即私接用戶數(shù)量，并進(jìn)行有效的管控；及時(shí)發(fā)現(xiàn)非法熱點(diǎn)預(yù)防個(gè)人用戶私接路 由，拒絕未知網(wǎng)絡(luò)終端節(jié)點(diǎn)，保護(hù)運(yùn)營商利益；同時(shí) ASG5000 支持同步和展示認(rèn)證用戶信息，支持同步PPPOE 賬號(hào)等認(rèn)證服務(wù)器賬號(hào)信息。讓整個(gè)網(wǎng)絡(luò)

37、拓?fù)淝逦煽?，有效預(yù)防數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)；極大的降低了管理員網(wǎng)絡(luò)維護(hù)的工作量。 3ASG5000 系列行為管理技術(shù)特點(diǎn)高可靠性設(shè)計(jì)華為 ASG5000 系列行為管理采用電信級(jí)硬件系統(tǒng)和專用軟件系統(tǒng)，在提供高安全、高可靠性的同時(shí)，很好地解決了高性能與業(yè)務(wù)處理復(fù)雜之間的矛盾。華為 ASG5000 系列行為管理從高可靠的硬件設(shè)計(jì)、健壯的軟件體系、雙機(jī)熱備技術(shù)等方面采取了措施保 證網(wǎng)絡(luò)可靠性。華為行為管理產(chǎn)品硬件平臺(tái)ASG5000 采用了 MIPS（Microprocessor without interlocked piped stages）多核架構(gòu)。在硬件架構(gòu)上運(yùn)行了虛擬OS（操作系統(tǒng)），高效的并

38、行調(diào)度算法和內(nèi)存管理機(jī)制提高了流量轉(zhuǎn)發(fā)報(bào)文的性能。另外，將 CPU 處理的數(shù)據(jù)根據(jù)其特性分為 Data Plane（數(shù)據(jù)面）和 Control Plane（控制面）兩類，簡(jiǎn)稱 DP 和 CP。在多核系統(tǒng)一部分 CPU 專職 CP 工作，大部分 CPU 專職 DP 工作。這樣就避免了因系統(tǒng)調(diào)度，導(dǎo)致設(shè)備轉(zhuǎn)發(fā)性能降級(jí)或者無法響應(yīng)管理操作等現(xiàn)象。具體 DP 和 CP 的 CPU 分布根據(jù)用戶場(chǎng)景定義。數(shù)據(jù)面?zhèn)鹘y(tǒng)的網(wǎng)關(guān)設(shè)備為了降低設(shè)計(jì)和開發(fā)難度，會(huì)將各個(gè)模塊以進(jìn)程的方式存在，數(shù)據(jù)包每通過一個(gè)模塊都要重復(fù)對(duì)數(shù)據(jù)的解析。增加了數(shù)據(jù)包在系統(tǒng)停留的時(shí)間，從而造成了網(wǎng)絡(luò)延遲大的問題。有的設(shè)備則將網(wǎng)絡(luò)層處理與應(yīng)用

39、處理分別在兩個(gè)進(jìn)程上實(shí)現(xiàn)，這樣就出現(xiàn)了數(shù)據(jù)包多次拷貝的情況，增加了內(nèi)存訪問次數(shù)，降低了系統(tǒng)性能。ASG5000 的 DP 主要處理轉(zhuǎn)發(fā)相關(guān)的工作，通過對(duì)數(shù)據(jù)包一次解析，按層次由對(duì)應(yīng)模塊處理，可以節(jié)省不同模塊間重啟解析數(shù)據(jù)包所消耗的資源，從而降低網(wǎng)絡(luò)延遲。健壯的軟件體系華為ASG5000 系列行為管理采用高可靠性，高處理性能的 OS 操作系統(tǒng)作為其運(yùn)行的核心組件，使得其天生就避免了各種通用操作系統(tǒng)的安全漏洞、病毒攻擊的各種軟件不可靠因素。OS 操作系統(tǒng)是一個(gè)數(shù)據(jù)通行設(shè)備專用的平臺(tái)，其軟件構(gòu)架設(shè)計(jì)就是為了數(shù)據(jù)通信產(chǎn)品量身定制，綜合考慮了數(shù)據(jù)通信技術(shù)的發(fā)展。華為ASG5000 系列行為管理不但具有可

40、靠、安全的運(yùn)行保證，同事正對(duì)安全技術(shù)的發(fā)展方面具有更好的擴(kuò)展空間，這就決定了華為 ASG5000 系列行為管理在新技術(shù)發(fā)展方面可以領(lǐng)先一步。雙機(jī)備份技術(shù)華為ASG5000 系列行為管理雙機(jī)備份是采用兩臺(tái)獨(dú)立的、型號(hào)一致的行為管理設(shè)備共同工作，提供更可靠的工作環(huán)境。完善的雙機(jī)備份環(huán)境可以有兩種工作模式：第一種是，兩臺(tái)設(shè)備中只有一臺(tái)行為管理在工作，當(dāng)發(fā)生意外故障的時(shí)候另外一臺(tái)行為管理接替工作。第二種是，兩臺(tái)設(shè)備都在工作，當(dāng)一臺(tái)發(fā)生意外故障的時(shí)候，另外一臺(tái)自動(dòng)接替所有的工作。豐富的用戶認(rèn)證ASG5000 具備豐富身份認(rèn)證方式，可有效的區(qū)分用戶。是部署差異化授權(quán)和審計(jì)策略、有效防御身份冒充、權(quán)限擴(kuò)散與

41、濫用等的管理基礎(chǔ)。ASG5000 的身份認(rèn)證方式有：本地認(rèn)證：Web 認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC 綁定；第三方認(rèn)證：RADIUS、LDAP 等；短信認(rèn)證：傳統(tǒng)的認(rèn)證方式，方便快捷；免認(rèn)證：認(rèn)證用戶無需進(jìn)行身份認(rèn)證，即可快速上網(wǎng)；混合認(rèn)證：界面配置選擇多種認(rèn)證方式，用戶可根據(jù)需要更換認(rèn)證方式；單點(diǎn)登錄： AD 域一次認(rèn)證，減免頻繁認(rèn)證。AD 單點(diǎn)登錄認(rèn)證大型企業(yè)中，內(nèi)網(wǎng)用戶均需進(jìn)行 AD 域身份校驗(yàn)，若內(nèi)網(wǎng)同時(shí)存在其他身份驗(yàn)證，用戶需逐次進(jìn)行認(rèn)證，且操作步驟繁瑣。ASG5000 可與企業(yè) AD 域進(jìn)行聯(lián)動(dòng)，內(nèi)網(wǎng)用戶只需一次認(rèn)證，即可完成所有身份校驗(yàn)，簡(jiǎn)化認(rèn)證步驟，提升用戶體驗(yàn)。高精度的

42、用戶審計(jì)隨著WEB2.0 技術(shù)的蓬勃發(fā)展和動(dòng)態(tài)端口的新應(yīng)用層出不窮，使得傳統(tǒng)網(wǎng)關(guān)產(chǎn)品采用五元組的訪問控制方式早已變得力不從心，而 ASG5000 的出現(xiàn)讓用戶行為審計(jì)變得簡(jiǎn)單，基于 7 元組以及時(shí)間的訪問審計(jì)策略，能有效的控制自然人、應(yīng)用的訪問控制一體化策略ASG5000 采用一體化安全策略，管理員只需要通過一條策略便可完成對(duì)源接口、源地址、用戶、目的接口、目的地址、應(yīng)用、服務(wù)、時(shí)間等維度的匹配，并針對(duì)應(yīng)用、URL、惡意站點(diǎn)、入侵攻擊、病毒等進(jìn)行統(tǒng)一管控，使用方便，維護(hù)簡(jiǎn)單。精細(xì)化管控、審計(jì)ASG5000 內(nèi)置千萬級(jí) URL 庫，擁有 1900 多種主流網(wǎng)絡(luò)應(yīng)用，3500 多條應(yīng)用動(dòng)作規(guī)則，涵

43、蓋即時(shí)通訊、P2P 軟件、網(wǎng)絡(luò)游戲、電子商務(wù)、辦公軟件等等主流應(yīng)用類型。滿足精細(xì)化應(yīng)用和網(wǎng)站控制需求，企業(yè)內(nèi)網(wǎng)管理更加靈活精準(zhǔn)和高效。應(yīng)用管控ASG5000 通過對(duì)數(shù)據(jù)包的深入解析，獲取應(yīng)用的行為及操作內(nèi)容，匹配用戶配置的關(guān)鍵字，達(dá)到對(duì)互聯(lián)網(wǎng)訪問的行為控制和內(nèi)容控制的目的。其依附于安全策略，減少了數(shù)據(jù)包的過濾范圍，并有針對(duì)性（針對(duì)用戶、應(yīng)用）的進(jìn)行審計(jì)和記錄。應(yīng)用審計(jì)是基于應(yīng)用+行為+動(dòng)作+關(guān)鍵字的四維匹配條件，可以實(shí)現(xiàn)精細(xì)化的控制?？梢詫?shí)現(xiàn)允許查看微博，但是不允許發(fā)微博的精細(xì)化控制。URL 管控URL 策略，是通過URL 分類庫，對(duì)網(wǎng)站訪問進(jìn)行過濾。讓用戶通過網(wǎng)站分類的選擇， 輕松控制網(wǎng)站訪

44、問。同樣，URL 過濾也依附于安全策略?？梢詼p少了數(shù)據(jù)包的過濾范圍，并記錄訪問網(wǎng)站及URL。精細(xì)化的用戶流控ASG5000 使用了 DPI 和DFI 融合應(yīng)用識(shí)別技術(shù)，能夠?qū)α髁窟M(jìn)行深度解析，實(shí)現(xiàn)流量的細(xì)致化管控。4 級(jí)通道管控隨著企業(yè)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)帶寬管理需要更精細(xì)的管理。對(duì)于大多數(shù)企業(yè)組織架構(gòu)通常由中心、部門、子部門組成，如下圖：由上圖可知，3 級(jí)流控只能滿足到基層部門的流控制，對(duì)于部門下的應(yīng)用控制已經(jīng)明顯力不從心，為此 ASG5000 系列提出了 4 級(jí)流控概念，可將物理線路劃分為若干虛擬線路和流控通道，可以滿足大中型企業(yè)普遍帶寬管理需求，策略主要支持基于用戶/組、應(yīng)用/組、服務(wù)、

45、源地址等七元組的方式實(shí)現(xiàn)帶寬管理細(xì)化，滿足用戶各種帶寬管理的需求。彈性帶寬分配ASG5000 彈性帶寬管理，可以使空閑通道不占用大量帶寬，減少帶寬的浪費(fèi)，減少因空閑通道占用帶寬，流量達(dá)到極限出現(xiàn)丟包現(xiàn)象。彈性帶寬就是為了解決帶寬浪費(fèi)的問題，空閑通道會(huì)自動(dòng)讓出部分帶寬給繁忙的通道。一旦空閑通道帶寬不足時(shí)，將自動(dòng)搶占回借用出去的帶寬。此特性避免了帶寬浪費(fèi)，實(shí)現(xiàn)價(jià)值最大化。流量、時(shí)長(zhǎng)限額用戶體驗(yàn)至上的服務(wù)理念趨勢(shì)下，企業(yè)為用戶提供更靈活和細(xì)致的服務(wù)，已達(dá)到用戶差分服務(wù)的效果。例如銀行網(wǎng)點(diǎn)中，銅卡用戶可免費(fèi)上網(wǎng) 3 小時(shí)，銀卡用戶可免費(fèi)上網(wǎng) 5 小時(shí)，金卡用戶不限時(shí)上網(wǎng)。單純的流控策略是無法滿足企業(yè)的

46、管理需求。ASG5000 提供流量和在線時(shí)長(zhǎng)限額的功能。通過預(yù)設(shè)用戶的流量額度或者在線時(shí)長(zhǎng)的閥值，設(shè)備統(tǒng)計(jì)該用戶的對(duì)應(yīng)參數(shù)，當(dāng)對(duì)應(yīng)參數(shù)超過設(shè)置閥值，設(shè)備立即對(duì)該用戶進(jìn)行懲罰，懲罰方式可選擇禁止上網(wǎng)或流量限速。ASG5000 可提供極為強(qiáng)大的管理網(wǎng)絡(luò)流量的方法和手段，解決用戶應(yīng)用場(chǎng)景的流控細(xì)致化、差異化需求。每 IP 或用戶限速ASG5000 采用了自動(dòng)均分帶寬，當(dāng)在某個(gè)通道中只有一個(gè)用戶使用時(shí)，該用戶可以使用全部的帶寬，如果有更多用戶使用該通道時(shí)，管理員可設(shè)置將帶寬按 IP 數(shù)量或用戶數(shù)量均分，提升用戶上網(wǎng)體驗(yàn)。同時(shí)支持針對(duì)每 IP 或用戶分別設(shè)置上行和下行的帶寬速度，限制單 IP 或用戶的上

47、網(wǎng)速度，保障用戶組的整體效率。流控策略白名單網(wǎng)絡(luò)管理過程中，重要來賓和企業(yè)重要人員往往是不希望受流控策略的限制， ASG5000 根據(jù)用戶需求，增加了流控策略白名單功能，白名單 IP 和用戶將不受ASG5000 任何流量策略的限制，保障管理更加人性化。領(lǐng)先的合規(guī)維護(hù)國家GAWA3011.(15)-2015 公共場(chǎng)所無線上網(wǎng)安全管理系統(tǒng)無線上網(wǎng)接入要求規(guī)范， 如咖啡館、酒吧、KTV 等提供網(wǎng)絡(luò)接入的公共場(chǎng)所，需實(shí)現(xiàn)規(guī)范的準(zhǔn)入管理制度，上傳審計(jì)信息到網(wǎng)監(jiān)后端平臺(tái)，否則會(huì)面臨業(yè)務(wù)下線、停業(yè)整改、罰款等風(fēng)險(xiǎn)。ASG5000 提供無線非經(jīng)合規(guī)特性。并可適用于集中式部署、分布式部署、旁路對(duì)接多種場(chǎng)景，從而

48、易于客戶網(wǎng)絡(luò)平滑升級(jí)。公安部提出了標(biāo)準(zhǔn)要求，但各地市的對(duì)接標(biāo)準(zhǔn)不一，后端對(duì)接廠商眾多，也給客戶帶來了升級(jí)困擾。ASG5000 支持任子行、派博、洪旭、愛思、博網(wǎng)等多家主流后端對(duì)接廠商平臺(tái)，對(duì)接地區(qū)廣，對(duì)接經(jīng)驗(yàn)豐富。有在銀行、運(yùn)營商、零售連鎖等多種場(chǎng)景豐富的對(duì)接經(jīng)驗(yàn)，超高的應(yīng)用識(shí)別率、定制開發(fā)能力，為客戶場(chǎng)景的安全合規(guī)提供保障。對(duì)接廠商對(duì)接方案目前ASG5000 系列行為管理產(chǎn)品支持對(duì)接的非經(jīng)后臺(tái)主要有：任子行、派博、紅旭、愛思、銳安、寬廣智通、網(wǎng)博、云辰、攜網(wǎng)、兆物、恒邦、中新、博網(wǎng)、網(wǎng)博（加 密）、美亞柏科、盛世光明、烽火科技、中科新業(yè)、新網(wǎng)程。后期我們會(huì)持續(xù)開發(fā)，保持行業(yè)領(lǐng)先。ASG 50

49、00 系列行為管理產(chǎn)品支持在各種不同的網(wǎng)絡(luò)場(chǎng)景中部署，完成相關(guān)非經(jīng)對(duì)接， 常見的部署場(chǎng)景有：ASG5000 行為管理產(chǎn)品旁路部署ASG 行為管理設(shè)備可以旁路部署在核心交換旁邊，核心交換通過鏡像接口，將用戶上網(wǎng)流量同步給ASG 行為管理產(chǎn)品。除此之外，相關(guān)用戶數(shù)據(jù)也需要通過不同的用戶同步接口，同步給行為管理。這樣全套的用戶上網(wǎng)數(shù)據(jù)即可按照相關(guān)非經(jīng)要求完成數(shù)據(jù) 上報(bào)。ASG5000 行為管理產(chǎn)品網(wǎng)橋串行部署ASG 行為管理設(shè)備可以通過網(wǎng)橋的方式部署在核心交換和出口防火墻之間，這樣可以保證用戶通過防火墻上網(wǎng)的全部用戶數(shù)據(jù)經(jīng)過行為管理產(chǎn)品，這樣部署的好處是不僅可以完成用戶行為的相關(guān)管控，同時(shí)可以完成用

50、戶數(shù)據(jù)的相關(guān)審計(jì)，而且用戶認(rèn)證相關(guān)功能也可以ASG 本身完成。這樣可以在影響客戶網(wǎng)絡(luò)最小的前提下，完成非經(jīng)相關(guān)對(duì)接。豐富的攻擊防御手段ASG 提供豐富的安全防御手段，包括對(duì)網(wǎng)路安全攻擊和數(shù)據(jù)包異常攻擊，可以根據(jù)不同的攻擊事件完成防御。攻擊防護(hù)當(dāng)受到攻擊時(shí)，伴隨而來的會(huì)出現(xiàn)網(wǎng)絡(luò)異常情形發(fā)生，網(wǎng)絡(luò)異常大概可分為以下三種：通信協(xié)議異常例如由外界網(wǎng)絡(luò)流入大量過長(zhǎng)的 IP 數(shù)據(jù)包、大量的 IP 碎片數(shù)據(jù)包、異常的 TCP 通信協(xié)議連機(jī)狀態(tài)、被截?cái)嗟?IP 數(shù)據(jù)包、無法重組的 IP 數(shù)據(jù)包等。IP/Port 的掃描異常通過 IP 掃瞄，黑客得以窺知目的端內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)和情形；通過Port 掃描，黑客可以得知目

51、標(biāo)主機(jī)已開啟的服務(wù)端口。網(wǎng)絡(luò)流量異常例如突然產(chǎn)生大量的 TCP SYN、TCP、UDP、ICMP、IGMP 等數(shù)據(jù)包，占據(jù)正常網(wǎng)絡(luò)使用帶寬。會(huì)話管理黑名單當(dāng)上述攻擊數(shù)據(jù)包發(fā)起時(shí)，經(jīng)過改造的惡意數(shù)據(jù)包可能會(huì)造成企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)死機(jī)無法對(duì)外提供正常的服務(wù)；IP/Port 掃瞄的行為將讓企業(yè)內(nèi)部的網(wǎng)絡(luò)架構(gòu)輕易被黑客得知；大量的異常流量數(shù)據(jù)包也可能造成企業(yè)核心路由器、交換機(jī)等因承載過重而死 機(jī)。ASG5000 內(nèi)置異常包攻擊防御模塊，可以檢測(cè)各項(xiàng)偏離預(yù)期的網(wǎng)絡(luò)行為。依據(jù) RFC 標(biāo)準(zhǔn)規(guī)范制作通信協(xié)議異常檢測(cè)模塊，可以阻止不符合標(biāo)準(zhǔn)通信協(xié)議規(guī)范的數(shù)據(jù)包。支持網(wǎng)絡(luò)流量異常檢測(cè)，不單只使用計(jì)數(shù)的方式，還使用

52、專門的統(tǒng)計(jì)算法，可以準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)流量的異常情形。支持ARP 防欺騙、支持 IP、MAC 地址綁定。支持ARP Flood 攻擊防護(hù)、支持基于接口的ARP 學(xué)習(xí)控制。支持Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 選項(xiàng)、IP Spoof、Jolt2 等異常包攻擊的防御。支持基于 IPv6 的 Winnuke、Land-Base、TCP flag、Fraggle、IP Spoof 等異常包攻擊的防御。支持基于接口的端口掃描防護(hù)和 IP 掃描防護(hù)。支持 SYN flood、UDP flood、ICMP flood、DNS

53、flood 攻擊防護(hù)，支持自定義閾值。會(huì)話監(jiān)控、會(huì)話控制功能是專業(yè)化管理內(nèi)網(wǎng)必不可少的功能。ASG5000 可對(duì)當(dāng)前設(shè)備的會(huì)話進(jìn)行監(jiān)控，管理員可查看會(huì)話的發(fā)起用戶、源目地址、端口、協(xié)議、策略、存在時(shí)間和超時(shí)時(shí)間等，具有完備的狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài)；ASG5000 支持對(duì)當(dāng)前所有會(huì)話進(jìn)行峰值統(tǒng)計(jì)，方便管理員快速篩選內(nèi)網(wǎng)異常用戶和 IP，可幫助管理快速定位網(wǎng)絡(luò)故障；管理員支持針對(duì)全局基于 IP 進(jìn)行并發(fā)會(huì)話和新建會(huì)話的限制，保障內(nèi)網(wǎng)所有訪問行為均在正常數(shù)值范圍內(nèi)，確保內(nèi)網(wǎng)安全。ASG5000 支持黑名單設(shè)置并支持黑名單時(shí)長(zhǎng)設(shè)定，用戶上網(wǎng)行為中觸發(fā)防攻擊規(guī)則后源地址自動(dòng)進(jìn)入黑名單。有效提升了用戶

54、網(wǎng)絡(luò)安全性優(yōu)秀的組網(wǎng)能力高密度的端口支持ASG5000 系列行為管理設(shè)備分為桌面型、1U 標(biāo)準(zhǔn)機(jī)箱、2U 標(biāo)準(zhǔn)機(jī)箱三種形態(tài)ASG5305/5505 桌面形態(tài)設(shè)備，1 寸 soho 機(jī)箱，6 個(gè)GE 電業(yè)務(wù)口，1*RJ45 串口，1 個(gè)USB 接口，交流單電源，500G 硬盤。ASG5310/5510 1U 標(biāo)準(zhǔn)機(jī)箱，4 個(gè)千兆 Combo 接口（光電復(fù)用），10 個(gè)千兆電接口，支持一對(duì)電 Bypass，1*RJ45 串口，1 個(gè)USB 接口，交流單電源，500G 硬盤。ASG5320/5520 1U 標(biāo)準(zhǔn)機(jī)箱，12 個(gè)千兆光接口，12 個(gè)千兆電接口，支持 1 對(duì)電Bypass，1*RJ45 串口，1*GE 管理口，1 個(gè) USB 接口，交流冗余電源，1T 硬盤。ASG5530 2U 標(biāo)準(zhǔn)機(jī)箱， 12 個(gè)千兆光接口，12 個(gè)千兆電接口，2 個(gè)SFP+萬兆光纖接口，支持 1 對(duì)電 Bypass，1*RJ45 串口，1*GE 管理口，1 個(gè) USB 接口，交流冗余電源，1T 硬盤。ASG5550 2U 標(biāo)準(zhǔn)機(jī)箱，12 個(gè)千兆光接口，12 個(gè)千兆電接口，4 個(gè)SFP+萬兆光纖接口，支持 1 對(duì)電 Bypass，1*RJ45 串口，1*GE 管理口，1 個(gè) USB 接口，交流冗余電源，1T 硬盤。ASG5610 2