产品特点
AceNet的AG系列-采用AceNet自主开发的网络安全处理芯片,融合了强大P2P/IM 流量和会话管理控制,业务数据流带宽优化,动态QOS调度,负载均衡和系统自备份,网络流量过滤和监控统计,网络用户接入认证管理,访问授权等多种技术,内置有业界最高性能的Firewall的功能,全部功能应用都是基于policy的灵活定制,可以全方位的保护企业和电信级的网络,迅速提升网络的有效性和安全可控性。AG系列使用的自主开发的网络安全专用集成电路芯片组,最高可以达到32Gbps的网络数据处理能力,以确保提升网络整体安全的同时,不会成为网络的瓶颈,降低网络应用性能。AG系列全部采用硬件模块化的结构,用户可以根据实际需求选择购买适应的模块,或者在需要时升级购买,从而保护用户投资。
AceNet的产品主要应用于:
1、业务数据流优化和带宽管理
2、P2P流量控制和IM管理
3、基于策略的流量管理
4、用户的认证、授权
5、基于用户的安全策略功能
6、基于用户和IP的流量管理和审计功能
7、内部网络防御
8、多数据链路均衡和备份
9、高可靠性部署
业务数据流优化和带宽管理
随着企业网内部的信息化程度的提高,VOIP,视频会议在企业内部使用,ERP等应用系统的部署,企业网内业务流量不断增加。同时,不受控的网络下载,P2P使用,以及蠕虫等都对网络有效带宽利用构成很大的冲击,直接影响业务的开展。不采取有效的优化控制措施,单纯增加网络带宽不能起到很好的效果,反而提高企业运营成本。AceNet的AG产品部署在专网出口,网段出口,或网络的关键链路,能够提高业务数据优先级,控制无价值数据占用的带宽,从而确保企业业务的正常运转,降低企业运行成本。
P2P流量控制和IM管理
IM (Instant Message), P2P (Peer to Peer), RTSP,MMS和网络游戏在现在的Internet上的使用非常普遍和频繁, 因为IM造成的泄密和影响工作,P2P软件对有限带宽的肆意滥用,以及各种流媒体软件和网络游戏的泛滥,造成了现有网络的管理非常困难,而且带来了很多安全隐患.
P2P流量管理
以BT为代表的P2P(点对点)互联网文件传输协议,由于其传输速度快,匿名与及文件查找方便等特点,成为了互联网用户传输和共享大容量文件(尤其是影音文件)的首选。但P2P的使用,不但占用巨大网络带宽和连接资源,严重影响其他用户的正常网络使用。另外,P2P的使用还加剧了非授权文件或版权文件的扩散,对企业用户和版权作者带来了严重的安全问题和损失。为了帮客户应对日益严重的P2P带来的问题,AG-Series 设备提供完备的P2P的管理功能:
P2P全局、组、用户等的限制与允许;
P2P全局、组、用户等的带宽控制;
P2P完善的流量统计;
P2P全局、组、用户等的日志记录;
P2P的日志信息在事件日志中查询;
P2P的流量信息可以在Traffic log中查询;
另外AG系统还可以针对一些特殊的网络应用进行识别和管理: RTSP (Real Time Streaming Protoco),MMS (Multimedia Messaging Service),以及FLASH GET等进
AceNet对P2P采用组合管理控制的方式,可以制定策略进行每个用户数据带宽监控,每个用户会话数控制,以及应用层的识别控制。除了对P2P数据流进行有效控制外,违反策略的用户还将直接进入黑名单,管理员可以迅速发现P2P的使用者,提高网络的有效利用率,降低企业安全风险。
AG-series 是采用ASIC芯片直接进行P2P和IM协议的内容识别,然后配合AceNet独创的行为判断引擎,支持业内最为广泛的P2P协议,并可以对各种P2P流量和会话进行控制和统计。
P2P-TV和实时流媒体应用管理
由于P2P软件的广泛应用,当今网络上流行的多媒体业务和流媒体软件也都采用了这个P2P的形式,这些流量因为是实时的而且要求的带宽更高, 所以比P2P更加抢占和滥用网络的有效带宽,AG系列产品根据这种网络应用需求,专门设定了针对P2P-TV等P2P流媒体的管理和控制。
AG-series可以支持多种P2P 实时流媒体网络应用的管理和控制:
IM(即时消息)
在IM日益成为一个难以替代的交流工具的同时,这项技术也承受着安全方面的考验。非授权的IM使用不但会降低企业的生产率,也可能会造成机密文件的泄漏。更为严重的是IM漏洞、木马和病毒层出不穷,给企业用户的资料安全带来严重威胁。
AG-Series可以非常精细地控制IM的每个会话,提供了细致的IM控制功能。
IM部分功能限制使用(例如,仅对MSN, ICQ/AIM/Yahoo!有效);
IM全局、组、用户等的限制与允许;
IM全局、组、用户等完善的日志记录.
当启用 IM 的日志功能后,可以记录用户使用 IM 软件的一些信息,包括:
登录某种 IM 软件的时间;
传输文件的时间和文件名;
传输语音/视频的时间;
登录信息在事件日志中查询,传输信息在流量日志中查询.
AG系列产品可以支持广泛的IM协议,如下图所示:
策略化控制
通过AG-series 设备基于ASIC的IM/P2P/L7安全管理控制功能,用户可以根据安全策略定义网络中哪些用户,流量和服务可以使用IM/P2P/L7, 同时也可以进行这些流量的记录, 监控, 带宽限制等高级应用.实现网络的全面优化,并消除网络安全隐患.
基于策略的流量管理
通过AceNet AG系列产品,基于策略的配置,可以非常轻松的实现基于各种服务业务的带宽和服务优先级的控制, 可以根据每种网络应用服务的不同,制定不同的流量管理策略.
用户的认证、授权
AG系列产品可以通过本地或第三方用户认证和授权系统,对用户使用网络的合法性进行安全地身份认证,支持多种认证方式,包括web认证、802.1x的认证、第三方的RADIUS服务器认证和第三方LDAP服务器认证等方式,并通过授权用户的角色决定其访问网络的权限,网络服务质量,策略路由等属性;用户的身份认证的同时也可以对用户做绑定检查,对用户的PC机的主机名,IP地址,MAC地址,VLAN ID,接入的虚拟端口号,接入的物理端口号的各种组合进行严格检查;AG系列产品并不只是在认证的时刻才对用户进行绑定检查,而是在用户访问网络的整个过程中,发出的和接收的每一个报文都做绑定检查,在结合会话状态检测功能后,可以完全杜绝在整个认证和访问过程中任何非法仿冒用户的行为。另外AG系列产品中还可以设置静态用户,该种用户不需要进行认证,而是开机后直接可以访问网络资源,在所有访问过程中都会进行严格的终端绑定检查,以保证用户的合法性。AG系统支持自动绑定功能和用户自动学习功能,这样可以减少管理员手工配置用户的工作量。
基于策略的认证控
AG对于用户认证的方法,用户认证的授权和用户认证的计费都是基于策略进行组合的,根据实际网路的需要,我们可以定制多种用户认证和管理的策略针对不同的用户类型,不同的用户群组进行更加有效和有针对性地管理配置。
AG采用的是非常灵活的基于安全策略的用户认证体制,不是所有接入网络的网络资源都需要认证,而是根据实际需要决定哪些需要进行用户认证,而且这些认证策略又可以和用户AAA策略进行任意组合,提供非常灵活强大的用户认证管策略。例如:我们可以定制安全策略,让从IP地址是10.0.0.5-10.0.0.9的IP范围在访问服务器10.0.0.10的email服务的时候需要进行WEB认证,而10.0.0.5-10.0.0.9的IP范围在访问10.0.0.11的WEB服务的时候采用802.1x认证,这时也就是说除了上述条件之外,其他所有的访问服务都可以不需要认证,只有符合上述安全策略的时候,用户就必须先进行合法认证,然后才能获得相应的网络服务。
用户授权功能
AG支持以下用户授权方式:
本地授权
RADIUS服务器授权
LDAP服务器授权
AceSEC 服务器授权(可选)
AG系列产品可以针对不同的用户组提供各种不同的授权策略,授权主要包括:
访问目的的授权,即授权用户可以访问哪些网络资源,不可以访问哪些网络资源,这个资源可以是某一个服务器,或某个IP网段地址;
访问时间的授权,即授权用户什么时间可以访问哪些网络资源,什么时间不可以访问哪些网络资源;
访问带宽的授权,即授权用户以多大上行和下行带宽来访问网络;
访问类型的授权,即授权用户访问某个服务器的某种特定的服务,其他未授权的服务则禁止访问,比如,对Email服务器的访问,只允许一般用户访问Email服务,只有网管才能访问Email服务器的其他服务(telnet,web等);
访问优先级的授权,即授权用户访问某个网络资源的时候,在AG系统的优先级,在发生网络拥塞的时候,优先级高的用户发送的报文被优先发送出AG系统;
用户可以同时发起的会话(session)数的授权,这个功能可以限制用户过渡占用网络资源,同时也可以有效的降低局域网用户在感染病毒或木马后,对整个网络的影响,从而减少从局域网内部发起网络攻击的几率。
用户黑名单和告警,系统自动检测和统计所有用户的流量和会话数,一旦用户的网络访问超过正常水平,可以自动把用户加入黑名单,进行惩罚,并产生告警日志。
基于用户的安全策略
不同于一般的网络安全策略控制,AG可以直接针对用户和用户组进行安全策略定制,这样可以非常直观地进行基于用户的安全管理和访问控制。例如:我们可以轻松定制从用户A到用户B之间不可以进行ping服务,而从用户B到用户A可以进行ping服务,但是带宽只能是100K。
另外用户组的引入为用户管理提供非常方便的分类管理的策略,我们可以任意定制不同类型的用户组,而且每个用户拥有他们自己独立的认证,授权,计费和安全策略。在网络流量管理的时候我们还可以采用群组带宽管理策略,这样可以使一个组内的所有用户都受到一个总带宽的限制,然后每个用户又可以在此基础上进行各自带宽的限制。关于基于用户的网络流量管理,可以参考基于用户的流量管理和审计功能的进一步描述。
基于用户和IP的流量管理和审计.
基于用户和IP的流量管理和审计
AG系列产品提供了强大的用户信息统计,不光是对认证和静态用户统计,还可以对不需要认证的用户进行统计,这就需要配置想要统计的用户的 IP 地址范围。同时可以限制用户的带宽和连接数,也可以为这些用户绑定黑名单功能。这样也可以控制不需要认证的用户对网络的访问情况。
在AG系列产品中可以定制以下的基于用户或者IP流量管理策略:
上行带宽
下行带宽
可以实现基于用户群组的带宽管理
网络服务优先级
作为源的连接数
作为目的的连接数
基于黑名单管理的单位时间内最大流量
基于黑名单的超出流量的惩罚机制
因为当今网络中存在多种用户,有些用户可能会使用多线程下载工具或者P2P(如BT, Emule)等软件长时间占用带宽,造成网络资源的恶意占用,影响其他用户和业务的正常使用。所以我们在定制用户管理策略的时候,会预先定制不同的QoS:包括用户的上行带宽,下行带宽,优先级, 会话连接数目等。一旦用户接入网络并通过认证,这时用户就会自动获得这一系列的服务质量属性。如下图所示:
同时AG系统支持基于用户突发流量,突发会话连接和一定时期内总流量的自动黑名单管理,一旦发现用户的统计信息超出正常水平,那么自动把用户加入黑名单, 进行惩罚, 并产生告警和日志。
对于用户流量黑名单的管理AG系统提供一下几种方式:
基于用户流量的黑名单惩罚机制,如果发现在一段时间内用户的流量速率超过授权值,那么就对用户进行黑名单惩罚。
基于用户日,月,季度和年总流量的黑名单惩罚机制, 如果发现在日,月,季度或者年内用户的总流量超过授权值,那么就对用户进行黑名单惩罚。
AG-Series 设备可以通过WEB GUI或者CLI命令来查询用户登录和退出的时间,以及 IP 地址、MAC 地址和主机名。值得注意的是用至少要下线一次,才能查到此信息。可以输入想要查询的用户名、主机名、时间范围、MAC地址等参数来过虑查询信息。不属入任何参数就是查询所有的用户。缺省情况下,查询到的所有信息按照 IP 地址降序排列,也可以选择按照升序来排列。
同时用户还可以查询详细用户或者IP流量信息包括一整年(1月~12月)、每个季度、每个月和每天的流量统计信息。如下图所示是IP地址为172.16.161.10的用户的详细信息,可以根据需要选择某月的统计信息,这里显示了2月份的流量统计:
内部网络防御
相对于外网防御,内部网络防御主要是对内部一些重要网络资源进行保护,防止内部的非法访问,防止内部感染了网络病毒的用户从网络内部影响整个内部网络的业务。另外就是针对内部用户和网络资源进行有效的管理,控制和监视。
由于种种原因可能有些无意或者恶意的安全隐患直接从内部网络发起的,如:内部某个用户因为感染了网络病毒; 因为内部网络的安全区域可能没有启用象外部网络安全区域那么严格的安全策略检查,这时可能会对内部网络造成影响,AG系统会对内部网络进行以下的控制:
1. 内部用户的会话发起速度检测和限制,一旦发现内部用户不正常,可以控制和限制它对内部网络的影响。
2. 对内部网络进行严格的源检查,因为攻击包多数是伪装,它是无法通过合法源检查。
3. 对内部网络进行实时安全策略调整,根据不正常现象检测进行实时策略实施以避免攻击形成。
4. 通过启动基于安全区域的防火墙功能,设立相应的判别攻击行为的门限值,并设置日志告警策略,AG系统在发现内网攻击行为之后,可以通过向网管员发送Email的方式主动发出告警,同时在日志记录中详细记录该攻击的信息。
5. 管理员可以根据实际情况适当的新增或调整安全策略或者直接手工切断用户的当前的登陆并锁定该用户(用户再次登陆的时候会显示“该用户已被锁定,请与网络管理员联系”的信息),也可以启用自动安全管理措施,一旦检测到用户的流量速度或者一段时间内的总流量超过正常值,自动将该用户列入黑名单进行惩罚(惩罚时间参数可配置,比如30分钟,一个小时或1天);
多数据链路均衡和备份
AG设备具有强大的链路侦测和备份功能,支持多个上联链路/ISP连接方式,同时对各个链路进行实时的链路侦测和分析,一旦发现链路故障,立即进行实时的链路切换备份,保证数据通信业务的流畅和稳定。
多链路备份网络示意图如下:
在链路1(ISP1)和链路2(ISP2)正常情况下
内部网络通过链路1和链路2与Internet相连,链路1和链路2之间互为备份关系,AG设备把内部网络上的数据业务流量均衡在链路1和链路2上。
在AG设备上启用IP侦测功能,实时检测链路1和链路2的连通状态,一旦任意一条链路出现异常,而另外一条链路是正常的,那么AG设备把所有业务流量实时切换到正常链路上。如果检测到发生故障的链路又恢复正常,那么AG设备会自动把流量重新分布在两条正常的链路上。
基于服务映射的服务均衡和备份
AG设备提供基于服务映射的服务器均衡和备份功能,支持最多8个相同映射的服务均衡和备份连接方式,同时对各个服务器进行实时侦测测和分析,一旦发现某个服务器出现故障,立即进行实时的自动切换备份,保证服务的流畅和稳定。
服务映射均衡和备份网络示意图如下:
在链路1(ISP1)和链路2(ISP2)正常情况下
内部网络通过链路1和链路2与Internet相连,链路1和链路2之间互为备份关系,AG设备把内部网络上的数据业务流量均衡在链路1和链路2上。
在AG设备上启用IP侦测功能,实时检测链路1和链路2的连通状态,一旦任意一条链路出现异常,而另外一条链路是正常的,那么AG设备把所有业务流量实时切换到正常链路上。如果检测到发生故障的链路又恢复正常,那么AG设备会自动把流量重新分布在两条正常的链路上。
基于服务映射的服务均衡和备份;
AG设备提供基于服务映射的服务器均衡和备份功能,支持最多8个相同映射的服务均衡和备份连接方式,同时对各个服务器进行实时侦测测和分析,一旦发现某个服务器出现故障,立即进行实时的自动切换备份,保证服务的流畅和稳定。
服务映射均衡和备份网络示意图如下:
AG系列设备可以把映射到内部的各种服务, 按照定义的优先级均衡到内部网络上的不同服务器上,同时AG系列设备也会自动侦测这些服务器的状态,如部署果发现某个服务器出现故障,立即自动均衡流量到其他正常的服务器上,以保证服务的正常运转.
可靠性部署
AG系统支持高可靠性的部署,支持两个AG系统之间进行冗余备份,当主设备出现故障的时候,实时热切换到从设备,实现高可靠的双机热备份功能。
AG高可靠性支持多种操作模式和备份切换,在各种模式下都可以保证系统正常备份切换。
AG系统提供专门的高可靠性物理接口(可以有两个高可靠性接口,从而实现高可靠性接口之间的冗余备份)。并可以根据高可靠性的流量和策略配置实现双通道的高可性保障,双通道之间又互为备份,在数据通道故障的时候,用控制通道同时传送数据和消息;在控制通道故障的时候,用数据通道同时传送数据和消息
AG在备份群组中可以批量同步配置,镜像实时配置,从而保证故障切换的时候实现完全可靠的系统功能和业务备份切换。
AG支持配置文件同步以及系统文件同步检查。
AG支持策略型心跳信息配置,可以实现更完备的规章检测机制,并可以配置切换时间最小在1秒。
AG支持实时功能信息的镜像同步,从而保证了所有用户会话,用户信息的更新和业务进行实时的备份和切换。
AG系统高可靠性管理协议支持串联设备的识别,和配置;
为了保证在各种情况下的网络备份和业务可靠性,必须使用双机热备份的方案。
AG系统支持高可靠性的功能,支持两个AG系统之间进行冗余备份,当主设备出现故障的时候,实时热切换到从设备,实现高可靠的双机热备份功能。在安全管理层AG网络设备是业务信息流量都必须通过的单一点,因此,保持信息流不中断流动至关重要,即使在设备或网络发生致命故障时也应如此。要确保信息流的连续流动,可以通过冗余集群方式用电缆连接并配置两台设备,其中一台作为主设备,另一台作为它的备份。主设备将所有的网络设置以及当前会话的信息传播到备份设备。主设备出现故障时,备份设备会晋升为主设备并接管信息流处理。主设备根据错误的严重级别,检查是否能够自恢复,如果不能进行错误自恢复,立即进行重起,再次加入集群后重新形成双机热备份。双机热备份的网络示意图如下:
1. 两台AG系统之间通过专用的高可靠性接口互联,同时所有相连网络也全部采用两条链路和AG系统互联,以确保不出现单点。
2. AG系统提供专门的高可靠性物理接口(可以有两个高可靠性接口,从而实现高可靠性接口之间的冗余备份)。并可以根据高可靠性的流量和策略配置实现双通道的高可性保障,双通道之间又互为备份,在数据通道故障的时候,用控制通道同时传送数据和消息;在控制通道故障的时候,用数据通道同时传送数据和消息.
3. AG系统在备份群组中可以批量同步配置,镜像实时配置,同时对于实时的用户数据业务也进行同步和备份,从而保证故障切换的时候实现完全可靠的系统功能和业务备份切换,确保用户数据业务的正常和流畅。
4. AG的错误侦测是结合了心跳检测、IP侦测、系统自身检测等多种侦测机制相结合的方式。可以完全保证在网络设备本身的异常和故障的时候,网络设备升级或者老化更换造成网络服务暂停的时候,网络链路的拥塞或者丢包造成网络业务服务问题的时候,外部或者人为因素造成网络服务问题的时候都实现系统的实时备份和切换. |
