|
一、概述
在Internet飞速发展的今天,网络已成为企业的重要生产工具,员工通过网络可以查找资料、沟通交流和从事电子商务等,但是相应的多种问题伴随而生,例如:
•与工作无关的P2P和在线视频等应用占用带宽
•与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率
•员工随意在网络上发帖和传输文件导致机密泄露
•员工上网容易受到病毒、木马和蠕虫等攻击和感染
•员工通过网络从事一些黄赌毒等违法活动
•员工浏览和发布不良言论导致企业面临法律风险
为解决以上一系列的问题,上网行为管理产品应运而生,用于实现员工上网行为的管理、带宽的限制和确保员工上网安全等,可以极大提高员工的办公效率和带宽利用率,防止机密数据泄密和员工通过网络从事违法活动。
二、华为上网行为管理解决方案
1、华为ASG上网行为管理简介
ASG(Application Security Gateway)是华为技术有限公司(以下简称华为)推出的上网行为管理产品,主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。
2、企业上网行为管理产品部署模式
2.1、网桥模式
单网桥
ASG与内网交换机连接的接口加入LAN区域,与出口网关连接的接口加入WAN区域,形成一进一出单网桥组网。ASG对内网用户的上网行为进行管理,并提供审计功能。
适用场景:企业具有出口网关,不希望改动现有网络环境
硬件要求:一台ASG2100/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC服务器(用于部署ASG Manager)
软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008
多网桥
ASG支持多个网桥,可以通过指定不同的LAN/WAN口进行配置,不同网桥之间在设备内部通过VLAN进行隔离。ASG还支持网桥多网口,即一个网桥中包含多对多或一对多的接口,这些接口属于同一个VLAN,可以相互通信。
适用场景:企业网络被隔离为多个,并且都具有出口网关,希望仅适用一套ASG设备进行管理,不希望改动现有网络环境
硬件要求:一台ASG2100/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC服务器(用于部署ASG Manager)
软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008
2.2、网关模式
单ISP
网关模式的ASG工作在三层,通常部署在企业网络出口处,作为出口网关使用。网关模式组网通常还启用源NAT,将上网PC的私网IP地址转换为公网IP地址。
网关模式组网支持所有的业务功能,尤其对NAT功能支持全面,同时支持源NAT和地址映射(虚拟服务器)。
适用场景:企业没有出口网关,需要使用ASG做出口网关,只接入一个ISP
硬件要求:一台ASG2100/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC服务器(用于部署ASG Manager)
软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008
多ISP
适用场景:企业没有出口网关,需要使用ASG做出口网关,只接入多个ISP
硬件要求:一台ASG2100/ASG2200/ASG2600/ASG2800,ESP卡或者一台PC服务器(用于部署ASG Manager)
软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008
2.2、旁路模式
旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到ASG,从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。
适用场景:企业具有出口网关,不需要对网络进行改造,对上网行为的审计具有要求,对用户行为的权限控制基本没有要求或者仅要求身份认证。
硬件要求:一台ASG2100/ASG2200/ASG2600/ASG2800,内置管理中心或者一台PC服务器(用于部署ASG Manager)。
软件要求:在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008.
3、应用场景
3.1、金融行业互联网风险管理
在总部和分支机构互联出口分别部署ASG设备可以有效降低互联风险。
典型组网如下图所示,客户需要做到至少以下三点:规范员工上网行为、防止主动或者被动泄密,有效降低互联网风险。
我们的解决方案是在有独立互联网出口的总部部署ASG2800和分支机构部署ASG2200设备,通过ASG管理中心对ASG设备进行集中统一管理。 
该应用场景,我们为客户实现了如下目的:
管控上网权限
根据员工职位职责分配上网权限,杜绝越权访问和权限滥用。
管控外发数据
管控Web、邮件和IM外发文件行为,防止泄密事件。
管理出口带宽
对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行封堵或限速,疏堵结合,提高出口带宽利用率。同时提供带宽保证措施,保证关键应用对外提供服务的带宽,保证内部重要人员的上网带宽。
威胁过滤
自动过滤钓鱼、网马和恶意软件下载等恶意网站,检测威胁流量和病毒,确保用户安全上网。
管控违规信息
过滤浏览的违法违规网页,过滤通过网页发布的不良信息。
审计监督
行为日志审计和外发内容保存,满足监管要求。
TSM联动部署
与TSM(终端安全管理)联动部署,自动从TSM同步用户信息,实现单点登录,禁止未通过TSM认证的用户访问互联网,确保上网终端满足企业安全要求。
3.2、中小企业和分支机构上网行为管理
直路部署在互联网出口是ASG产品在中小企业和分支机构中常见的应用场景。主要用于规范员工上网行为、带宽管理和保证员工上网安全。
如下图所示,企业为了规范员工上网行为、保证对外关键服务的带宽、保证上网安全和防止企业重要信息资产外泄,我们的解决方案是部署ASG2100在公司与Internet连接的出口,为企业打造可管控的安全上网环境。
该应用场景,我们主要为企业实现如下目的:
管控上网权限
杜绝上班时间出现QQ聊天、玩游戏和在线视频观看等行为,提高工作效率。
管控外发数据
管控Web、邮件和IM发送行为,有效防止信息外泄。
管理出口带宽
充分利用出口带宽,封堵网络游戏、在线网页视频和P2P视频等带宽滥用的应用,保证重要应用和对外服务器的带宽。
威胁过滤
拦截钓鱼、网马和恶意软件下载等恶意页面,自动过滤病毒和携带威胁的流量,确保用户安全上网。
免管控用户
配置免管控用户后系统对免管控用户不审计、不控制。
出口网关
部署在Internet出口作为网关,提供路由接入、攻击防范、源NAT和虚拟服务器(对外提供企业网站、邮件等服务)功能。
移动办公WiFi接入
ASG2100/2200支持作为WiFi网关,公司内移动办公用户可使用WiFi接入Internet。
定位异常终端
检测ARP和IP欺骗、Flood攻击、端口和地址扫描等异常行为,并自动防御。
三、华为ASG给用户带来的价值
1.1 华为ASG系列上网行为管理功能特点
ASG是华为在充分了解客户和市场需求的基础上,通过成熟的系统设计推出的上网行为管理产品,具有精准的应用识别、电信级高可靠性、全面威胁过滤和专业报表等特点。
•最丰富的应用识别,更好地提高办公效率
•全面的内容控制和审计,有效防止信息外泄和协助法规遵从
•电信级高可靠性,为业务保驾护航
•四重保护上网用户,恶意软件无所遁形
•专业报表针对性强,助力企业治理
1.2 ASG规格
四、总结
ASG(Application Security Gateway)是华为技术有限公司推出的上网行为管理产品,主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。自从咱们有了它,老板们再也不用担心网络员工上网问题了。
|
.jpg)
