告別虛偽“安全”擁抱可用可控低成本企業網絡

2016-08-12 17:32 行業動態

 

中國的中小企業(SMB)市場,一直是一個令很多人垂涎,但是又無從下手的市場。無數世界頂級廠商折翼沙場,國內一線廠商不敵XXLink,究其根本原因還是在所謂“安全神壇”上不肯走下來,沉浸于用“恐嚇取材”來引導客戶需求。而實際上,SMB客戶的需求相對實際和簡單,企業的網絡管理主要有如下幾方面的需求:
 
        1 .  網絡出口的優化
        普通的網絡防火墻只是起到了網絡的接入和數據包的過濾,對于廣大用戶提出的鏈路負載均衡需求經常被告知額外增加負載均衡器來實現,無形增加企業的投資成本,對于企業希冀降低帶寬出口成本采用PPPOE多撥鏈路聚合方法的實現,一些網關根本不支持這些功能,即使支持,由于虛擬多撥的不支持、物理端口數量的缺少和做不到負載集群使效果大打則扣。
 
        2 .  權限分級管理,保障網絡可用性
        還在熱衷于三層交換機劃分VLAN進行部門間的管理那就OUT了,三層交換的成本遠比二層交換昂貴,而且需要配備專業的技術團隊進行維護,當某個VLAN用戶私接一個小路由造成網絡中斷的情景更是令網絡中心抓狂不已,而且今后企業網絡管理的趨勢應當是權限分級管理,保障網絡可用性,架設BRAS服務在企業網首當其沖。
 
        3 .  管理網絡應用,規范上網行為
        企業里最為老板頭疼的事情當屬在上班期間玩游戲、看電影或使用帶寬資源無限制的瘋狂P2P下載,干些和工作不沾邊的行為,這些行為嚴重消耗著企業資源,影響企業的辦公和生產效率,上班期間合理管控娛樂行為、P2P下載、網絡電視等非保障性應用,如何保障企業OA辦公系統的正常運營提高生產效率是最為優先考慮的問題
 
        4 .  日志審計和大數據挖掘
        對于網監部門的審計、對于員工瀏覽WEB有多少是和工作相關的內容,對于訪問網絡是否可造成機密數據流失的安全性防護,對于大數據時代商機的深度挖掘采集,這些都離不開專業的日志存儲系統進行分析取證,傳統的防火墻或UTM網關或有網絡接入或有日志審計,但是在整體上不是很全面,功能不符或要額外付費開通。
 
        5 .  企業無線網絡優化
        無線網絡的質量好壞直接關系著一個企業的形象,在會議室或訪客中心顯得尤為重要,無線接入能力的提升,不能僅僅依靠規避信道交叉和調整功率AP降低干擾來解決,無線接入能力的提升在很大程度上依賴于控制STA的流量,因為無線帶寬資源是有限的,在有限的帶寬內當多個用戶同時過大的占用上行和下行帶寬,會造成網絡的擁堵;同時私接路由和隨身wifi的濫用可能會干擾內部功率信號,使信號衰減,而且私接路由的不當使用還會照成DHCP沖突等安全性問題,企業的無線網絡應當受到優化和保護。
 
        針對以上需求,Panabit推出了一套可用可控低成本一體化企業網絡優化解決方案,該方案有效解決了出口帶寬優化、權限分級管理、上網行為規范、上網行為審計和無線網絡優化等問題。下為Panabit企業網絡出口優化示意圖:

 解決方案說明:
        1 .  企業的出口網關,主要的功能是將內部私有的IP地址轉換成可在Internet傳輸的合法公網IP,供終端用戶上網,與傳統網關不同的是Panabit除了具備上述功能外,還提供了基于7層的應用流量負載均衡和應用路由的出口優化功能。在網絡出口的接入方式,如圖,Panabit可提供基于靜態IP分配和PPPOE撥號兩種方式,出口線路數可建立多達500多條,啟用應用負載均衡功能可同時對這500條以上線路進行帶寬流量的疊加匯聚或進行帶寬流量的分擔(500條線路的類型可以混搭,可以是靜態IP亦或PPPOE撥號)。考慮到節約鏈路成本的情況,Panabit建議采用ADSL多撥線路匯聚疊加,以成本低廉的ADSL鏈路匯聚疊加后的帶寬效果達到和高成本購買靜態IP帶寬一樣的效果;在出口應用保障里啟用“應用路由”功能,可以選擇按照“應用協議”進行路由,使關鍵應用流量走優質的線路帶寬,非關鍵應用走劣質的線路帶寬,保證了關鍵類協議出口的質量。

 
        下圖為部分Panabit多撥大疊加效果圖:


下圖為應用分流效果圖:

2 .  在權限分級管理方面,早期企業主要靠劃分VLAN和ACL協議端口號來解決,因為在當時網絡應用相對單一,端口號固定,遠沒有大量出現像現在端口號復用偽裝的應用,另一方面,感染ARP病毒導致區域網絡中斷的情況也時有發生,一直得不到有效的解決辦法。如今,網絡應用的發展催生了企業權限分級管理技術的方式向個人帳號權限技術轉變。Panabit可同時為終端接入用戶提供靜態/DHCP和PPPOE帳號撥入的兩種接入服務,根據帳號所屬組的不同分派不同的訪問權限。例如,企業職工通過DHCP只能訪問企業內部資源,訪問Internet使用自己的帳號撥號上網,這些帳號可以分屬不同的組,每個組劃分不同的權限,權限按組隨意控制。用戶這樣設置后可以把QQ,微信等應用放入特權,從而達到認證隨人在公司內任意遷移,不受限制,降低網管復雜度。同時啟用PPPOE認證帳號撥號上網可對ARP攻擊得到有效的防護(因為ARP攻擊只對同一區域里的以太網有效,點對點的撥號不使用ARP協議,杜絕了ARP的產生)。

 3 .  企業網絡應用的管理和權限的分派一直是其十分關注的問題,Panabit具有國內最為優秀的DPI應用分析引擎,互聯網應用識別率一直保持在95%以上。可有效管理上班炒股、網絡游戲,杜絕P2P、網絡電視的濫用,保證OA系統正常運營。使用權限分級管理,使人員隨部門權限而動。比如可以對決策部、銷售部和研發部劃分不同的網絡使用權:決策部的暢通無阻,銷售部的在線交流,研發部的google查閱都能同時實現。

 4 .  在越來越受企業注重的上網日志審計方面,Panabit為用戶免費提供了一套專業的日志審計系統,該審計系統和內容審計的區別僅僅在于針對用戶內容隱私的窺視(郵件內容、聊天內容等),Panabit日志系統配合Panabit可滿足實現82號令的特殊事件審計(微博、QQ、淘寶、郵件、URL等),并且可以統計歷史時間范圍內的用戶流量使用結構圖、流量流向、分析用戶行為特征等內容。
 
        下圖為部分用戶訪問URL內容的統計:

 
下圖為部分QQ登錄事件:


 5 .  如前文所述,企業無線網絡的質量關系一個企業的形象,無線網絡的優化不應該僅僅停留在AP/AC訪問接入的層面上,因為無線訪問接入的優化無法解決出口被垃圾流量長期的占用,無線網絡的優化需配備專業的流量管理控制器來解決無線出口帶寬分派不均和應用比例失衡的問題。使用Panabit對無線網絡出口進行優化可以有效解決網絡使用的公平性,限制危害無線超過待機能力的應用,比如P2P的大量上傳,整合出口帶寬資源。另外,Panabit提供了共享用戶控制功能,使用多種檢測技術手段實時(非事后分析)檢測并予以控制,可根據用戶選擇對違規用戶采取阻斷、信息提示、限速等操作,降低因非法用戶使用私接路由和隨身wifi影響AP/AC的接入能力和未知的網絡安全的事件發生。
 
        結束語
        近年來,隨著互聯網技術的不斷深入發展,中小企業(SMB)網絡也正處于新舊更迭的階段,逐步由復雜多元的垂直化管理方式向簡單一體的扁平化管理方式轉變,Panabit為企業提供的多功能一體化解決方案為企業網絡管理徹底解決了企業網絡不停采購設備、不斷擴充帶寬而收效甚微的困局:
       1 .  網絡出口優化(低成本鏈路聚合,負載均衡,高速NAT,節約公司成本);
       2 .  權限分級管理(員工網絡權限隨部門變化而變動,操作簡單無冗余);
       3 .  管理網絡應用,規范上網行為(壓制P2P、網絡電視等垃圾應用,上班期間娛樂游戲管控,優先保障公司應用);
       4 .  上網行為審計(應對網監部門的審計活動;為上級部門提供年度、季度、月度匯總報表);
       5 .  無線網絡優化(無線帶寬管理,提高帶寬有效利用率,管理無線路由和隨身wifi,降低未知威脅)。
 
 
        Panabit免費版
        考慮到低端市場用戶的需求,Panabit本著以合作共贏,互惠互利的發展策略為導向,為廣大用戶群體提供了永久免費的標準版本產品體驗(標準版本限制管理用戶256個IP,四外線和虛擬多撥服務),用戶只需自己提供硬件基礎設備,下載ISO軟件,一鍵安裝系統,就可以免費體驗Panabit智能應用網關帶來的價值。

 軟件安裝及下載地址:http://forum.panabit.com/thread-10217-1-1.html
 

7星彩专家预测