1、H3C 新一代ACG 上网行为管理时间:2014杭州华三通信技术有限公司目录n 互联网时代的安全困惑n H3C 新一代ACG上网行为管理l四大事中控制l三大事后分析l四大特色功能n H3C ACG典型部署场景网络行为管理困难or合理管控制度落地上、下班时间能否不同管理要求?黄、赌、毒页面访问是否能及时阻断?能否给领导、员工定制网络行为权限?纸面管理制度如何通过技术手段落地?各种应用层出不穷新的互联网应用层出不穷带宽滥用从桌面终端转向移动终端如何还工作环境一个“清静”?出口带宽永远不够Internet出口带宽上行速率:XX M/S下行速率:XX M/S合理的办公应用如何保障?好.大.黑盒子看不到
2、用户看不到应用看不到带宽看不到历史流量你造么?网络数据怎样合规 面对大量此类日志记录,找到有用的信息真的很难 “垃圾”数据不光白白消耗存储空间,反而使网络管理者感到迷茫网站访问记录即时通讯记录外发邮件记录应用流量记录BBS发帖记录微博社交记录搜索关键词记录恶意网站记录虚拟身份记录82号令目录n 互联网时代的安全困惑n H3C 新一代ACG上网行为管理l四大事中控制l三大事后分析l四大特色功能n H3C ACG典型部署场景 10M30M 35M200M500M10020020005000适用带宽适用用户规模ACG1010(非北京)ACG1020(北京)ACG1030(北京)ACG1040(非北京
3、)220ACG1000-AACG1000-M11012M新一代ACG面向用户的全行为管理新一代ACG面向用户的全行为管理全流程管理上网行为一体化实现可视、可控、可查!ACG1000系列应用控制网关规格规格/ /项目项目 ACG1010ACG1010(非北京)(非北京) ACG1020ACG1020(北京)(北京) ACG1030ACG1030(北京)(北京) ACG1040ACG1040(非北京)(非北京)ACG1000-MACG1000-MACG1000-AACG1000-A适用带宽(重点参考此指标选型)10Mbps12Mbps30Mbps35Mbps200Mbps500Mbps适用用户规模
4、100人110人200人220人2000人5000人固定业务接口12GE(电)12GE(电)2GE(Combo)+10GE(电)2GE(Combo)+10GE(电)4GE(Combo)+16GE(电)4GE(Combo)+16GE(电)扩展插槽数量无无无无无无内存1GB1GB2GB2GB2GB4GB硬盘无无500G500G500G500G电源1+1备份无无无无支持支持新一代ACG面向用户的全行为管理全流程管理上网行为一体化实现可视、可控、可查!ACG1000系列应用控制网关明 确 用 户 身 份Setp1Setp3Setp2精 准 应 用 识 别精 细 应 用 授 权Setp4全 局 流 量
5、管 控Setp5事 后 行 为 审 计Setp6丰 富 日 志 报 表Setp7深 度 数 据 挖 掘 事 中 管 控 事 后 分 析 出 口 智 能 选 路Special1分 支 快 速 上 线Special2微 信 认 证 营 销Special3应 用 快 速 下 发Special4事中管控明确用户身份员工办公区领导办公区iPad员工区无法上网用领导的电脑还是不能上网用iPad也不能上网互联网领导可以上网l不再依托IP和接入位置,真正基于用户的上网行为管理l不同用户分配不同权限,即使位置和上网设备发生变化,访问权限依然随行l支持本地Web认证、第三方Portal认证、扩展微信认证,满足多种
6、业务环境需求l可实现多种认证方式混合使用全网统一身份认证事中管控精准应用识别可实现在只允许微信、QQ正常的通信行为,但限制刷朋友圈、QQ空间等分散工作业务注意力动作事中管控精细应用授权内部网络内部网络ACGlACG更可实现同一用户在不同时间地点、访问相同目标对象,给予不同的内容及行为控制,l通过和IMC及第三方认证服务器对接,实现以“人”为核心不同维度的便捷管理l权限分组分权下发IMC服务器服务器业务服务器业务服务器互联网互联网事中管控全局流量管控网络流量部门A部门B部门C子部门1子部门2子部门3用户 XXIP组 XXIP XXWeb迅雷视频QQ线路通道1通道2通道3IP/用户通道4应用l超过
7、4级通道带宽嵌套,满足大型网络管理要求l基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制,流量管理无死角多级嵌套通道,匹配行政架构需求事中管控全局流量管控 通 道线路高中低 基于用户、应用等元素的最小带宽策略保障 不同优先级应用置于不同通道智能控制弹性限度控制,网络闲时可突破最大带宽限制,根据各通道带宽使用情况动态调整Web|邮件|网络会议即时通讯|文件传输|软件升级P2P|视频|游戏有效提升带宽利用率最大化客户投资收益事后分析事后行为审计紧贴最新互联网业务应用,针对用户、应用、动作、系统、平台精细化审计IM日志审计社区论坛日志审计搜索日志审计应用识别移动QQ动作
8、审计收消息应用识别微信动作审计发消息动作审计登陆平台识别iPad平台识别摩托罗拉平台识别三星移动终端用户自识别Addroid/IOS系统识别事后分析丰富日志报表多维流量日志展示,通过基于用户和应用流量取向分析为网络业务发展提供参考多元素详尽日志基于用户流量分析基于应用流量分析事后分析深度数据挖掘对数据信息进行多维度整合,像用“搜索引擎”一样简单快捷从用户出发智能关联分析,形成“日志跟踪轨迹”,方便对网络中主体的“人”进行风险控制和业务优化电子邮件网上购物事件时间在线交易旅行娱乐事件地址社交搜索文件传输WhoWhenWhereWhatHowu什么人在什么时间什么地点做了什么事u挖掘分析其想做什么
9、、喜欢做什么u给出建议能做什么、怎么做ACG1000日志分析与管理平台特色功能出口智能选路ISP2Switch内部网络ACGISP1l根据访问地址,自动选择所属运营商,提高访问速度和稳定性l根据不同应用和用户组选择不同的出口,将非关键应用分流到低成本链路按业务需要各行其道让最优质的链路承载最关键业务特色功能极速上线分支分支总部总部数据中心数据中心日志分析与管理中心日志分析与管理中心ACGACGACGACG连线(20秒)l将连接广域网的网线接入设备WAN接口l将PC机连设备LAN接口配置地址信息(30秒)l打开浏览器输入任意网址自动弹出配置页面l填入PPPoE账号密码(分配的IP地址)和集中网管
10、服务器地址完成配置(10秒)l集中网管将配置自动下发到设备端l设备配置完成正常运行无需专业人员到场,大幅节约总分型客户部署成本网络就绪时间更短,业务开展更快特色功能微信认证营销微信认证微信“扫一扫”第三方营销平台手机终端互联网关注商家订阅号服务号点击链接自由上网ACG简化终端客户上网摆脱繁琐用户名、密码验证更优的用户体验助力商家营销无需大量费用投入吸引关注客户上网即自然成为精准推广目标上网合规满足公安部82号令要求无线访客上网安全可控规避商家自身风险OpenID/微信ID特色功能应用快速下发目录n 互联网时代的安全困惑n H3C 新一代ACG上网行为管理l四大事中控制l三大事后分析l四大特色功
11、能n H3C ACG典型部署场景中小企业网络出口典型部署u背景背景:中小企业网络维护人员少,网络管理难度。且受限于资金投入等因素,出口带宽相对较小,在上网应用日趋复杂r的情况下,有限带宽在使用上争抢严重,也影响了企业正常业务开展设备支持PPPoE、静态IP、光纤等多种接入三层部署,支持NAT、防火墙、出口选路等网络内部关键业务带宽保障,限制P2P、在线线视频、游戏等带宽滥用针对网站、邮件、论坛社区、微博等网络应用进行审计和控制根据业务需要开启微信认证营销功能内部网络ACG1000互联网u 价值:兼容多种网络接入:支持光口、电口接入,ADSL、静态IP、DHCP、VPN等多种接入方式,方便部署和
12、后续网络扩展升级关键务保障:精准应用控制和弹性带宽管理充分保障有限带宽得到充分合理利用,关键业务不受影响安全合规:满足公安部82号令要求,结合认证和应用管控方案,防止企业内关键资料泄露助力业务发展:微信认证营销方案帮助企业拓展潜在客户,助力业务发展门店连锁企业典型部署统一管理服务器实名制认证服务器统一认证集中管理门店1门店2门店3.门店NACG1000网关部署日志本地存储/VPN总部网络ACG1000旁挂部署VPN互联u背景:门店连锁型企业往往面临着门店上报财务数据、库存数据问题,门店办公人员的权限控制、门店为顾客提供的无线网络营销、合规也在近期成为新的问题u 优势: 集成VPN:免费VPN功
13、能,实现全网拉通数据上报; 微信营销:结合微信认证系统,可实现到店用户的微信营销推广,实现移动营销; 集中管理:支持对分布式ACG设备的集中管理,支持管理平台的分布式部署、分权分域管理,审计日志本地存储的同时上送存储审计;微信认证点,集成网络行为审计+VPN连接一体化功能大型园区网出口典型部署u背景:大型园区网,一般均有多个Internet出口、内网已有认证系统,庞大的网络势必充斥着异常复杂的流量,出口流量拥挤现象屡次发生。u 优势: 易部署:业务接口业内最多,利于支持多路出口统一监管,未来易扩容;透明部署、不影响网络拓扑 基于“人”的流量管理:支持与标准Radius/LDAP、IMC EIA
14、组件等联动,避免动态IP地址难以定位用户的问题 高性能、高可靠性在防火墙下行在线透明部署ACG设备,实现对网络、业务、用户/服务器的流量控制在管理区部署日志分析与管理平台,实现对应用流量的监管ACG1000日志分析服务器某企业园区网联动认证日志收集丰富报表EIA/Radius/AAA认证服务器部分用户名单高校用户:协和医科大学医学科学城域网北京航空航天大学图书馆中南大学中国海洋大学深圳大学上海海洋大学黑龙江大学内蒙古大学吉林农业大学吉林广播电视大学石家庄步兵学院企业用户:央视国际内网中国一重山东烟台张裕集团甘肃酒泉钢铁三一重工 辽宁东药集团吉林钢厂中国铝业红云集团中国铁建集团西飞集团运营商用户
15、:上海广电郑州广电辽阳广电广电总局吉林广电济南网通客网中心广州电信内蒙联通南昌移动电力&能源&交通:江西电力山东电力河南电力中石油河北销售公司中石油华南销售公司中石油乌鲁木齐销售公司中石化08年ERP国家海事局安全项目武汉长江通信管理局政府用户:中央党校公安部全国居民身份中心国家自然基金委安全改造国家专网通信部上海杨浦区信息委杭州质监局检测中心浙江省劳动和社会保障厅内蒙国土天津出入境检验检疫局郑州市西开发区贵州省安监局青岛市政府太原市杏花岭区数字化城管昆明市政府呈贡新区北京海关金融用户:湖南农信山西农信人民银行国家邮政总局福建邮政其他用户:北京市延庆教委河南新乡医学院安徽新华学院安徽合肥学院山东教育学院山东淄博职业学院南京水科院郑州烟草培训中心贵州金茂学院北京宣武育才学校校园网北京市财贸职业技术学校杭州七中中升(大连)集团中国国家科技馆国家大剧院国家游泳中心(水立方)杭州市国际会展中心广州广交会琶洲会馆中国医学信息所广医三院观澜湖高尔夫球会北京盘古大观杭州华三通信技术有限公司
