如何实现上网可视可控?某公司一直为实现上网可视可控而不断创新 不管在过去的互联网时代、现在的移动互联网时代,还是即将到来的云和大数据时代,某公司一直致力于实现上网的可视可控,并不断为之创新: 如何实现“用户和终端”的可视与可控?为客户提供更简便的身份识别和更安全的接入方式之后,基于不同的用户、终端及接入方式划分权限策略,实现“用户和终端”的可视与可控。 技术一:结合业务场景和现有系统,认证更灵活上网行为管理的身份识别系统必须考虑客户不同的业务场景,除了普通办公的账号密码认证之外,还有面向公共区域顾客的无线上网,需要兼顾简单、安全和增值的需求;另一方面,我们需要能够无缝对接客户环境中现有的用户管理系统,比如能够结合AD域、Radius、城市热点等,尽量降低客户网络的复杂度,降低客户实施和运维的难度。 技术二:非法接入管控技术,让非法接入无处藏身无线共享网络的行为,是内网安全的巨大隐患,上网行为管理产品需要能够准确的识别无线共享行为,秒级发现,立刻封堵,并迅速告警。 如何实现“应用和内容”的可视与可控?某公司通过四个步骤来实现“应用和内容”的可视可控:首先全面精准识别应用,然后基于业务视角管控应用,其次更细粒度的管控应用,最后对于特殊应用内容进行定向精准识别与管控。 技术三:完善的应用识别技术,覆盖99%以上的常用网站和应用凭借十五年应用层技术积累,某公司力争将每个应用的识别做到极致。截止目前已经积累了几千万条分类URL,以及6700多条规则,3000多种应用,1000多种常用移动应用APP。而且,某公司保持每半个月更新一次的快速迭代,不仅新增常用应用,还及时淘汰老旧应用,避免识别库的臃肿。 技术四:业务角度管控应用,一切以业务价值为中心从业务角度对应用进行标签化分类,更好的对应用进行管理和分析,让业务高效、稳定。 同时,由于应用数量众多,容易错配漏配,标签化能让应用管理更准确、简单,更易运维。 技术五:精细管控应用的细分功能,兼顾安全和实用性针对具有多面性的应用,比如网盘,其上传功能有泄密风险,而其下载具有实用性,因此,应该精细管控网盘的不同动作,如:封堵网盘上传,放通网盘下载。通过精细化的管控,兼顾安全和实用性。 技术六:精准的SSL内容识别与代理识别技术,防止非法内容绕过监管 某公司通过专利技术,精准识别SSL加密的网页和邮箱等,并能够对加密内容进行有效过滤,同时,依托多年应用层技术积累,某公司的代理识别技术能够识别包括自由门、无界在内的40多种代理软件,通过对这些非法内容的识别,能够有效的防止非法内容绕过组织监管,保护上网内容安全,真正做到应用和内容的可视与可控。 如何实现“流量”的可视与可控? 某公司流量控制的目标是更全更准的管控与更人性化的管理。管控方面,主要是对P2P应用的全流量管控,以及基于用户、终端等多维度应用流量统计;管理方面,主要是从单级策略到多级策略,从静态策略到动态策略,从一刀切的封堵,到疏堵结合的方式,多种创新技术结合,既能保障业务正常高效的运行,还能兼顾用户体验。 技术七:精确控制P2P上下行流量,实现业务带宽有效扩展
传统流控设备治标不治本传统流控基于缓存丢包的技术,但由于P2P应用的带宽侵蚀性,导致即使流控设备保障了内部LAN网口的带宽空余,但实际上,流控设备的WAN口依然被大量的P2P下行报文占满,最终实际业务带宽无法得到有效扩展。 P2P智能流控技术,真正扩展业务带宽 某公司P2P智能流控技术,通过抑制P2P上行流量,达到降低P2P下行流量的目的,使流控设备的LAN口和WAN口的P2P流量一致,真正让业务带宽得到有效扩展,使得整体带宽利用率提高30%以上。 技术八:动态流控,空闲时突破限制,带宽利用率提高15%组织往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,某公司AC支持用户间带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据整体带宽的利用率进行动态调整,上浮“限制通道”的最大带宽值,避免带宽浪费,提高带宽利用率15%以上。 技术九:疏堵结合,兼顾业务保障和用户体验当用户的配额超限的时候,传统流控设备会直接封堵用户所有流量,这种一刀切的封堵,不仅影响了业务开展,同时还影响了该员工的用户体验。某公司流控黑名单技术,针对超额的用户,将该用户非业务应用的流量(P2P流量等)引入惩罚通道,降低此类应用的流量。而该用户的正常业务流量仍然在业务保障通道中,不受影响。这种疏堵结合的流控方式,兼顾业务和用户体验,有助于减少内部投诉,缓和部门间矛盾。 |