告别虚伪“安全”拥抱可用可控低成本企业网络
告别虚伪“安全”拥抱可用可控低成本企业网络
引言:中国的中小企业(SMB)市场,一直是一个令很多人垂涎,但是又无从下手的市场。无数世界顶级厂商折翼沙场,国内一线厂商不敌XXLink,究其根本原因还是在所谓“安全神坛”上不肯走下来,沉浸于用“恐吓取材”来引导客户需求。而实际上,SMB客户的需求相对实际和简单,企业的网络管理主要有如下几方面的需求:
1.网络出口的优化
普通的网络防火墙只是起到了网络的接入和数据包的过滤,对于广大用户提出的链路负载均衡需求经常被告知额外增加负载均衡器来实现,无形增加企业的投资成本,对于企业希冀降低带宽出口成本采用PPPOE多拨链路聚合方法的实现,一些网关根本不支持这些功能,即使支持,由于虚拟多拨的不支持、物理端口数量的缺少和做不到负载集群使效果大打折扣。
2.权限分级管理,保障网络可用性
还在热衷于三层交换机划分VLAN进行部门间的管理那就OUT了,三层交换的成本远比二层交换昂贵,而且需要配备专业的技术团队进行维护,当某个VLAN用户私接一个小路由造成网络中断的情景更是令网络中心抓狂不已,而且今后企业网络管理的趋势应当是权限分级管理,保障网络可用性,架设BRAS服务在企业网首当其冲。
3. 管理网络应用,规范上网行为
企业里最为老板头疼的事情当属在上班期间玩游戏、看电影或使用带宽资源无限制的疯狂P2P下载,干些和工作不沾边的行为,这些行为严重消耗着企业资源,影响企业的办公和生产效率,上班期间合理管控娱乐行为、P2P下载、网络电视等非保障性应用,如何保障企业OA办公系统的正常运营提高生产效率是最为优先考虑的问题
4.日志审计和大数据挖掘
对于网监部门的审计、对于员工浏览WEB有多少是和工作相关的内容,对于访问网络是否可造成机密数据流失的安全性防护,对于大数据时代商机的深度挖掘采集,这些都离不开专业的日志存储系统进行分析取证,传统的防火墙或UTM网关或有网络接入或有日志审计,但是在整体上不是很全面,功能不符或要额外付费开通。
5.企业无线网络优化
无线网络的质量好坏直接关系着一个企业的形象,在会议室或访客中心显得尤为重要,无线接入能力的提升,不能仅仅依靠规避信道交叉和调整功率AP降低干扰来解决,无线接入能力的提升在很大程度上依赖于控制STA的流量,因为无线带宽资源是有限的,在有限的带宽内当多个用户同时过大的占用上行和下行带宽,会造成网络的拥堵;同时私接路由和随身wifi的滥用可能会干扰内部功率信号,使信号衰减,而且私接路由的不当使用还会照成DHCP冲突等安全性问题,企业的无线网络应当受到优化和保护。
针对以上需求,Panabit推出了一套可用可控低成本一体化企业网络优化解决方案,该方案有效解决了出口带宽优化、权限分级管理、上网行为规范、上网行为审计和无线网络优化等问题。下为Panabit企业网络出口优化示意图:
解决方案说明:
1. 企业的出口网关,主要的功能是将内部私有的IP地址转换成可在Internet传输的合法公网IP,供终端用户上网,与传统网关不同的是Panabit除了具备上述功能外,还提供了基于7层的应用流量负载均衡和应用路由的出口优化功能。在网络出口的接入方式,如图,Panabit可提供基于静态IP分配和PPPOE拨号两种方式,出口线路数可建立多达500多条,启用应用负载均衡功能可同时对这500条以上线路进行带宽流量的叠加汇聚或进行带宽流量的分担(500条线路的类型可以混搭,可以是静态IP亦或PPPOE拨号)。考虑到节约链路成本的情况,Panabit建议采用ADSL多拨线路汇聚叠加,以成本低廉的ADSL链路汇聚叠加后的带宽效果达到和高成本购买静态IP带宽一样的效果;在出口应用保障里启用“应用路由”功能,可以选择按照“应用协议”进行路由,使关键应用流量走优质的线路带宽,非关键应用走劣质的线路带宽,保证了关键类协议出口的质量。
下图为部分Panabit多拨大叠加效果图:
下图为应用分流效果图:
2. 在权限分级管理方面,早期企业主要靠划分VLAN和ACL协议端口号来解决,因为在当时网络应用相对单一,端口号固定,远没有大量出现像现在端口号复用伪装的应用,另一方面,感染ARP病毒导致区域网络中断的情况也时有发生,一直得不到有效的解决办法。如今,网络应用的发展催生了企业权限分级管理技术的方式向个人帐号权限技术转变。Panabit可同时为终端接入用户提供静态/DHCP和PPPOE帐号拨入的两种接入服务,根据帐号所属组的不同分派不同的访问权限。例如,企业职工通过DHCP只能访问企业内部资源,访问Internet使用自己的帐号拨号上网,这些帐号可以分属不同的组,每个组划分不同的权限,权限按组随意控制。用户这样设置后可以把QQ,微信等应用放入特权,从而达到认证随人在公司内任意迁移,不受限制,降低网管复杂度。同时启用PPPOE认证帐号拨号上网可对ARP攻击得到有效的防护(因为ARP攻击只对同一区域里的以太网有效,点对点的拨号不使用ARP协议,杜绝了ARP的产生)。
3. 企业网络应用的管理和权限的分派一直是其十分关注的问题,Panabit具有国内最为优秀的DPI应用分析引擎,互联网应用识别率一直保持在95%以上。可有效管理上班炒股、网络游戏,杜绝P2P、网络电视的滥用,保证OA系统正常运营。使用权限分级管理,使人员随部门权限而动。比如可以对决策部、销售部和研发部划分不同的网络使用权:决策部的畅通无阻,销售部的在线交流,研发部的google查阅都能同时实现。
4. 在越来越受企业注重的上网日志审计方面,Panabit为用户免费提供了一套专业的日志审计系统,该审计系统和内容审计的区别仅仅在于针对用户内容隐私的窥视(邮件内容、聊天内容等),Panabit日志系统配合Panabit可满足实现82号令的特殊事件审计(微博、QQ、淘宝、邮件、URL等),并且可以统计历史时间范围内的用户流量使用结构图、流量流向、分析用户行为特征等内容。
下图为部分用户访问URL内容的统计:
下图为部分QQ登录事件:
5. 如前文所述,企业无线网络的质量关系一个企业的形象,无线网络的优化不应该仅仅停留在AP/AC访问接入的层面上,因为无线访问接入的优化无法解决出口被垃圾流量长期的占用,无线网络的优化需配备专业的流量管理控制器来解决无线出口带宽分派不均和应用比例失衡的问题。使用Panabit对无线网络出口进行优化可以有效解决网络使用的公平性,限制危害无线超过待机能力的应用,比如P2P的大量上传,整合出口带宽资源。另外,Panabit提供了共享用户控制功能,使用多种检测技术手段实时(非事后分析)检测并予以控制,可根据用户选择对违规用户采取阻断、信息提示、限速等操作,降低因非法用户使用私接路由和随身wifi影响AP/AC的接入能力和未知的网络安全的事件发生。
结束语
近年来,随着互联网技术的不断深入发展,中小企业(SMB)网络也正处于新旧更迭的阶段,逐步由复杂多元的垂直化管理方式向简单一体的扁平化管理方式转变,Panabit为企业提供的多功能一体化解决方案为企业网络管理彻底解决了企业网络不停采购设备、不断扩充带宽而收效甚微的困局:
1. 网络出口优化(低成本链路聚合,负载均衡,高速NAT,节约公司成本);
2. 权限分级管理(员工网络权限随部门变化而变动,操作简单无冗余);
3. 管理网络应用,规范上网行为(压制P2P、网络电视等垃圾应用,上班期间娱乐游戏管控,优先保障公司应用);
4. 上网行为审计(应对网监部门的审计活动;为上级部门提供年度、季度、月度汇总报表);
5. 无线网络优化(无线带宽管理,提高带宽有效利用率,管理无线路由和随身wifi,降低未知威胁)。
Panabit免费版
考虑到低端市场用户的需求,Panabit本着以合作共赢,互惠互利的发展策略为导向,为广大用户群体提供了永久免费的标准版本产品体验(标准版本限制管理用户256个IP,四外线和虚拟多拨服务),用户只需自己提供硬件基础设备,下载ISO软件,一键安装系统,就可以免费体验Panabit智能应用网关带来的价值。
软件安装及下载地址:http://forum.panabit.com/thread-10217-1-1.html
页:
[1]