华为ASG2000系列上网行为管理产品技术白皮书(1)

微信扫码，打开到小程序

华为 ASG2000 上网行为管理产品 技术白皮书 华为技术有限公司 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 2 页, 共 23 页 版权所有 © 华为技术有限公司 2012。 保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得 以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部 分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文 档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为 使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址： 深圳市龙岗区坂田华为总部办公楼 邮编：518129 网址： http://www.huawei.com 客户服务邮箱： support@huawei.com 客户服务电话： 4008302118 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 3 页, 共 23 页 目 录 1 技术背景 ................................................................. 4 2 上网行为管理给用户带来的价值 .............................................. 4 2.1 最丰富的应用识别，更好地提升办公效率 .................................................................. 4 2.2 全面的内容控制和审计，有效防止信息外泄和协助法规遵从 .................................... 5 2.3 四重保护上网用户，恶意软件无所遁形 ...................................................................... 5 2.4 专业报表针对性强，助力企业治理 .............................................................................. 6 2.5 丰富附加功能，提升产品价值 ..................................................................................... 6 2.6 电信级高可靠性，为业务保驾护航 .............................................................................. 7 2.6.1 设备级高可靠性 ................................................................................................ 7 2.6.2 网络级高可靠性 ................................................................................................ 7 3 ASG技术简介 .............................................................. 7 3.1 用户管理 ....................................................................................................................... 8 3.1.1 从第三方系统导入用户 ......................................................................................... 8 3.1.2 单点登录 ............................................................................................................... 8 3.1.3 旁路强制认证 ........................................................................................................ 9 3.2 应用控制和URL过滤 .................................................................................................... 10 3.3 流量管理 ..................................................................................................................... 11 3.3.1 基于IP地址（地址段）的流量控制 ................................................................ 11 3.3.2 基于应用的流量控制....................................................................................... 11 3.3.3 基于用户（部门）的流量控制 ....................................................................... 12 3.3.4 支持对流量进行双重控制 ............................................................................... 13 3.3.5 支持对流量进行保证带宽控制 ....................................................................... 13 3.3.6 支持对流量进行连接数控制 ........................................................................... 13 3.4 行为和内容审计 .......................................................................................................... 14 3.5 内容过滤 ..................................................................................................................... 14 3.6 威胁防护 ..................................................................................................................... 15 3.6.1 基于签名的恶意流量检测技术 ....................................................................... 15 3.6.2 基于特征码的病毒检测技术 ........................................................................... 16 3.7 审计与报表 .................................................................................................................. 16 4 部署您的ASG ............................................................. 17 4.1 网桥模式 ..................................................................................................................... 17 4.2 网关模式 ..................................................................................................................... 19 4.3 旁路模式 ..................................................................................................................... 21 5 产品列表和规格 .......................................................... 22 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 4 页, 共 23 页 1 技术背景 在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找 资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：  与工作无关的 P2P 和在线视频等应用占用带宽  与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率  员工随意在网络上发帖和传输文件导致机密泄露  员工上网容易受到病毒、木马和蠕虫等攻击和感染  员工通过网络从事一些黄赌毒等违法活动  员工浏览和发布不良言论导致企业面临法律风险 为解决以上一系列的问题，上网行为管理产品应运而生，华为凭借在应用识别库和网络 安全等全方面的多年积累，推出了专业级的上网行为管理产品ASG。ASG设备可实现员工上网 行为的管理、带宽的限制和确保员工上网安全等，可以极大提高员工的办公效率和带宽利用 率，防止机密数据泄密和员工通过网络从事违法活动。 ASG（Application Security Gateway）是华为技术有限公司（以下简称华为）推出的上 网行为管理产品，主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、 内部信息泄漏以及法律合规等问题。 2 上网行为管理给用户带来的价值 ASG是华为在充分了解客户和市场需求的基础上，通过成熟的系统设计推出的上 网行为管理产品，具有精准的应用识别、电信级高可靠性、全面威胁过滤和专业报表 等特点。 ASG2000系列产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。该 系列产品提供URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行 为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供 了一体化的解决方案。 2.1 最丰富的应用识别，更好地提升办公效率 员工在互联网上进行一些与工作无关的活动将导致工作效率低下，增加企业的人 ASG2050/2100/2150/2200 ASG2600/2800 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 5 页, 共 23 页 力成本。ASG可以通过丰富的特征库协助企业解决此类问题。 在网络快速发展的今天，新型应用层出不穷，URL站点变化频繁，当应用和URL站 点增加、减少和变更时，华为会在第一时间更新特征库，提高识别准确率。华为具有 专业的应用特征库和URL分类库研发团队，密切跟踪全球应用和URL变化，积累了国内 第一、国际领先的应用特征库和URL库：  安全服务中心提供超过 1200 种的应用识别，覆盖企业网络主流应用，如 P2P、 在线视频、流媒体、股票行情、网络游戏和网络存储等。  安全服务中心提供超过 8500 万条的海量 URL 库，细分为百余种类别，涵盖工 作无关网站，木马、钓鱼和恶意软件网站，以及黄赌毒等不良站点。  特征库更新频率快，让用户在最短时间内获得最新的特征库。 通过丰富的应用识别库，精准识别用户访问的应用协议，并通过对不同的应用协 议采取合适的动作，从而更好地管理员工上网行为、提高办公效率。 2.2 全面的内容控制和审计，有效防止信息外泄和协助法规遵从 ASG通过多种方式的内容控制防止敏感信息外泄和员工发布违反法律法规的不良 言论，全面的审计功能为事后审查提供有力证据。 ASG支持主要内容外发方式的内容控制，实时过滤非法信息外传：  Web 内容控制包括提交内容关键字过滤（禁止关键字内容对外发布）和 HTTP 协议、FTP 协议文件外传控制。  邮件内容控制包括限制发件人和收件人，邮件内容关键字过滤（禁止关键字 内容邮件发送）和附件外发控制。 ASG支持全面的内容审计，协助企业事后审查：  Web 审计  记录用户访问的 URL  记录用户通过网页上传的文本内容  记录用户通过 HTTP 方式外发的文件名称、大小和类型，对于不大于 10M 的外发文件，还支持保存小于指定大小的原始文件  记录用户通过 HTTP 方式下载的文件名称、大小和类型  邮件审计  对于企业员工发送的邮件，记录发件人、收件人、邮件标题、邮件正文 和附件的名称、大小、类型，对于不大于 10M 的附件，还支持保存小于 指定大小的原始文件。  对于企业员工接收的邮件，记录记录发件人、收件人、邮件标题、邮件 正文和附件的名称、大小、类型。 2.3 四重保护上网用户，恶意软件无所遁形 针对用户上网面临的威胁，提供多重防护确保上网安全。用户上网时面临着各种 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 6 页, 共 23 页 安全威胁，如钓鱼网站、网页木马、文件病毒、黑客攻击等，ASG产品提供全方位的 防护措施，具备多重防护能力，确保用户上网安全。  迅速感知新的恶意站点，防止用户因访问这些网站遭受财务诈骗、私密信息 泄漏等。  基于业界领先的专业防病毒引擎，实现高达 99%的病毒检测率。  基于漏洞利用和启发式检测引擎，有效防御未知恶意软件和各种变形攻击行 为。  检测用户机器被黑客操控以及通过木马外传信息等异常流量行为，并及时阻 断。 2.4 专业报表针对性强，助力企业治理 ASG提供带宽利用、工作效率、法律合规和威胁过滤等丰富的报表，协助企业进 行上网业务运维、发现上网问题和完善内部管理，辅助企业在上网方面的管理和投资 决策。 ASG通过B/S架构的专业管理中心进行日志、报表管理。 支持访问网站日志、邮件日志、文件外传日志、异常行为日志和流量日志等多种日志 明细查询。 专业的报表系统提供统计报表、趋势报表、对比报表和综合报表四种报表形式， 并且支持多种输出格式，同时具有柱状图、饼状图和曲线图等丰富的呈现方式。  统计报表 提供上网时长、上网流量、上网行为和网络威胁统计报表，可以从用户、部门和应 用类型等多维度分别展示办公效率、带宽利用和威胁过滤方面的整体情况。  趋势报表 提供上网流量和上网行为的趋势分析报表，可以从用户、部门和应用类型等多维度 展示办公效率和带宽利用率的发展趋势。  对比报表 提供上网流量和上网行为的对比分析报表，可以对比分析基准日期和前一天、上一 周、上一月部门员工上网流量和访问指定类型网站次数，展示办公效率和带宽利用 率的对比情况。  综合报表 提供综合报表，展示用户在办公效率、带宽利用、威胁过滤和合规性方面的总体概 况和专项评估情况，以辅助管理和投资决策。 2.5 丰富附加功能，提升产品价值 ASG内置电信级状态检测防火墙对进出组织的数据包进行过滤，提供NAT代理内部员 工上网，提供NAT-SERVER功能将内部服务器映射到公网地址，可扩展Wifi模块实现本地 无线接入、为小型企业或分支机构客户节省客户成本和简化网络部署。 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 7 页, 共 23 页 2.6 电信级高可靠性，为业务保驾护航 ASG产品通过设备级和网络级的多种可靠性手段来保证业务的连续性。 2.6.1 设备级高可靠性 ASG按照电信级产品可靠性要求，采用专门设计的硬件系统，可长期运行于温度0℃～ 45℃，湿度10%RH～90%RH（无冷凝）的恶劣环境中。此外，ASG2600/2800支持温度监控、 风扇热插拔，电源模块采用双电源（1＋1备份），两个电源模块可以互相热备份，并且支持 热插拔，电源倒换时不影响系统运行。 2.6.2 网络级高可靠性 双机热备  ASG 支持双机热备份组网，支持 HRP（Huawei Redundancy Protocol）协议，双机 热备包括主备备份和负载分担两种方式。  主备备份方式组网时，一个备份组内包括一个主用设备和一个备用设备。HRP 协 议负责在主/备设备之间备份关键配置和会话表状态信息，从而确保主用设备出现 故障时能由备用设备平滑地接替工作。  负载分担方式组网时，两台设备互为主备，正常情况下两台设备同时处理业务。当 其中一台设备发生故障时，另外一台设备会立即承担其业务，保证原来需要通过这 台设备转发的业务不中断。相对于主备备份方式来说，主用设备和备用设备共同处