资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,SINFOR TECHNOLOGIES CO.,LTD.,Page,122,2005-2008连续四年入选德勤中国50强,SINFOR TECHNOLOGIES CO.,LTD.,AC产品培训,16号14:00-16:00,内容概要,优势、卖点和价值-自学,竞争分析,新功能、新规划,实际中的配套方案,AC周边技术初步介绍,5分钟,20分钟,45分钟,20分钟,30分钟,优势、卖点和价值-自学,5分钟,普及的互联网,个人、企业、政府、高校等都越来越离不开互联网,缺乏管理的上网行为必将给组织机构带来诸多问题,客户面临的问题,带宽,P2P下载、流媒体、工作无关行为等消耗了大量的网络出口带宽,有限的出口带宽资源如何细致、智能的划分与分配,保证业务所需,法律,非法网站(色情,暴力,反动)的访问,在论坛上的不负责任言论,机密,邮件发送了单位的内部文件,数据,聊天软件,论坛法帖,博客让个人轻易泄露机密,效率,员工在上班时间用QQ、MSN聊天,工作时间网上炒股,网上购买、玩网络游戏,在线听歌看电影,可靠,可用,蠕虫、病毒、木马、间谍软件从公网入侵至局域网导致DOS攻击、ARP欺骗,内网存在风险的终端肆意访问网络、组织统一的IT政策受到挑战,见鬼说人话、见人说神话,组织领导角度思考,如何规避泄密风险,如通过Email、IM等,如何规避法律风险,如访问非法网站、发表非法言论,对用户网络行为进行全面记录,对于有害事件能够有据可查,如何提升员工的工作效率,限制无关的网络访问行为?,IT管理员角度思考,如何提升网速,保障业务系统,避免用户对网速的抱怨?,如何对企业网络效能行为进行统计、分析和评估?,如何更加有效保障网络可靠可用性,抵御DOS攻击、ARP欺骗等,如何在万一发生问题时有一个证据或依据,避免背黑锅?,工作方法,公司领导和IT管理员都是项目决策链中的重要部分,两种用户,对AC的关注角度不同,需注意方法,上网行为管理标准,管理的要素,用户,终端,应用,管理的基础,用户识别,终端识别,应用识别,管理的手段,封堵,流控,审计,可靠可用,防火墙,防病毒,防攻击,让互联网创造更多价值,提升带宽效率,防范法律风险,杜绝泄密行为,提升工作效率,提高网络安全性,贯彻统一IT政策,创造更多价值,让互联网更好地为您服务,AC卖点,SINFOR AC:中国上网行为管理第一品牌,如何证明,市场份额第一,高端客户最多,技术最先进,技术手段最领先,识别能力最强,性能最强,方案最专业,终端+网关、行为+内容的整体解决方案,智能细致的流量管理,全面灵活的行为审计,市场份额第一,高端客户最多,超过6000多家客户,高端客户最多,上网行,为,为管理,技,技术最,先,先进(,一,一),技术,手,手段,最,最领,先,先,基于,统,统计,学,学的,智,智能,分,分析,如P2P,、,、Skype,等,等也,能,能被,识,识别,,,,不,仅,仅是,基,基于,静,静态,库,库的,分,分析,全流,量,量分,析,析技,术,术,全流,量,量分,析,析的,价,价值,:,:任,何,何应,用,用不,管,管是,采,采用,什,什么,端,端口,、,、什,么,么协,议,议、,是,是否,被,被加,密,密,,都,都可,以,以被,分,分析,和,和识,别,别出,来,来(,比,比如,非,非80端,口,口HTTP、SSL加,密,密流,量,量、,非,非21端,口,口FTP,、,、非25,端,端口SMTP,等,等都,能,能识,别,别和,过,过滤),内容,检,检索,引,引擎,精准,搜,搜索,快速,搜,搜索,全文,搜,搜索,10,分,分钟,上网,行,行为,管,管理,技,技术,最,最先,进,进(,二,二),识别,能,能力,最,最强,可以,识,识别,加,加密,的,的URL(Https),,不,不仅,是,是明,文,文URL,可以,识,识别,加,加密,的,的应,用,用(,加,加密BT,、,、Skype,、,、MSNShell),可以,识,识别,未,未知,的,的应,用,用(P2P),可以,记,记录,加,加密IM,聊,聊天,内,内容(如QQ,、,、Skype),14,分,分钟,上网,行,行为,管,管理,技,技术,最,最先,进,进(,三,三),性能,最,最强,自建,高,高性,能,能实,验,验室,唯一,支,支持1Gbps实,际,际应,用,用流,量,量的,上,上网,行,行为,管,管理,产,产品,高端,客,客户,普,普遍,选,选择,深,深信,服,服AC,20,分,分钟,上网,行,行为,管,管理,方,方案,最,最专,业,业(,一,一),终端+网,关,关、,行,行为+内,容,容的,整,整体,解,解决,方,方案,终端+网,关,关的,解,解决,方,方案,不仅,基,基于,网,网关,管,管理,,,,也,包,包括,对,对终,端,端的,识,识别,和,和管,理,理,行为+内,容,容的,解,解决,方,方案,尤其,基,基于,内,内容,对,对外,发,发Email,进,进行,管,管理,未来,基,基于,内,内容,对,对网,页,页访,问,问进,行,行管,理,理,符合,上,上网,行,行为,管,管理,标,标准,“以,精,精准,用,用户,识,识别+终,端,端识,别,别+,应,应用,识,识别,为,为基,础,础,,实,实施,封,封堵,、,、流,控,控、,审,审计,等,等管,理,理手,段,段,,同,同时,具,具备,安,安全,增,增强,功,功能,”,”,上网行,为,为管理,方,方案最,专,专业(,二,二),智能细,致,致的流,量,量管理,多线路,复,复用和,智,智能选,路,路,扩,展,展带宽,基于应,用,用类型,、,、网站,类,类型、,文,文件类,型,型的细,致,致流控,HTB(分层,标,标记桶) 、,队,队列缓,存,存、轮,转,转调度,的,的使用,上网行,为,为管理,方,方案最,专,专业(,三,三),全面灵,活,活的行,为,为审计,全面记,录,录各种,上,上网行,为,为日志,包括加,密,密的聊,天,天内容,免审计Key,避免过,分,分记录,对,对领导,行,行为日,志,志的威,胁,胁,数据中,心,心认证Key,避免行,为,为日志,被,被滥用,而,而侵犯,个,个人隐,私,私,显著功,能,能优势,总,总结,流控,多线路复用和智能选路(路由模式),审计,对比报表,P2P智能识别和控制,内容检索,、 主题订阅,基于应用/网站/文件类型的流控,封堵,加密URL访问控制(非代理方式),WAN-LAN的流控,搜索引擎关键字过滤,流量限额功能,管控非80端口网页,基于外网IP的流控,外发Email的过滤和延迟审计,审计,邮件延迟审计,国内最大的应用协议识别库,记录加密聊天内容,P2P智能识别,Wan-Lan审计,其他,AD融合(认证、,单点登录,、组织结构读取与同步、强制使用域帐号登录操作系统等),网页正文内容审计,网络准入规则,免审计key 、数据中心认证Key,网关杀毒,与其他网络可靠可用性增强措施(防火墙、防DOS攻击、防ARP欺骗),功能优,势,势总结,“上网,行,行为管,理,理”标,准,准:,“以精,准,准的用,户,户识别,、,、终端,识,识别、,应,应用识,别,别为基,础,础,实,施,施封堵,、,、流控,、,、审计,等,等管理,手,手段,,同,同时增,强,强内网,可,可靠可,用,用性”,,,,并且,综,综合行,为,为+内,容,容、网,关,关+终,端,端的管,理,理,为,客,客户轻,松,松应对,互,互联网,所,所带来,的,的安全,、,、效率,、,、泄密,及,及法律,风,风险等,问,问题。,项目,功能细节,价值,部署,多路桥接,最多支持四近四出,完美适应客户的双机、双线路、VRRP、HSRP等冗余网络环境,管理方式,管理员分级管理,AC上各功能模块的查看与配置权限可以分配给不同管理员;,不同用户分组的查看和编辑权限可分配给不同管理员,;不同用户组的日志审计也分配给不同管理员;,冻结用户管理,支持临时冻结指定用户的网络访问权限,并在超时后自动解冻;支持对冻结用户的查询和管理。,策略故障排除工具,支持图形化的策略故障排除工具,方便管理者查找定位由于策略配置不当导致的故障,用户识别,POP3、Proxy认证,与客户原有认证体系融合,快速方便部署,USB-Key认证,基于硬件防范账户泄漏和身份冒充,三层网络中识别MAC地址,无需插件即可实现三层网络环境下的终端MAC地址识别,用,户,识,别,IP-MAC绑定,高端用户三层网络环境下依然能够实现客户端IP-MAC绑定功能,AD单点登录,无需在AD服务器或客户端安装任何插件实现AD单点登录,强制域帐号登录系统,支持强制用户登录操作系统必须使用域帐号,否则不能访问互联网,POP3、Proxy单点登录,用户只要通过POP3、Proxy的认证,将自动通过AC的认证,指定IP段必须单点登录,指定IP段内的用户必须使用单点登录,否则不允许访问互联网,自动创建帐号,未创建账号用户以其计算机名、IP地址等作为新用户名自动创建帐户(也可到指定的第三方服务器验证),,同时绑定IP、绑定MAC、绑定IP-MAC,并自动分配到指定用户组,享有指定网络权限,基于源IP自动分组,根据未创建帐号用户的源IP段,将自动创建用户,并分配到指定的用户组、赋予指定的网络访问权限,认证通过后显示指定页面,支持向认证通过的用户定向显示指定页面,如组织的公告页面等,认证未通过用户权限控制,支持给未认证通过的用户授予低级别网络访问权限(根组权限, HTTP除外),认证冲突处理,非公用账号重复登陆,支持是否踢掉前一次登陆,AD域同步,支持按照OU(组织结构)或Group(安全组)方式将AD域控服务器上的用户组织结构读取到AC的树形用户分组结构中,并保持自动同步,终,端,识,别,操作系统版本识别,识别操作系统版本,防止版本陈旧操作系统的用户访问互联网,操作系统补丁识别,识别操作系统的补丁安装情况,防止不及时安装操作系统补丁的终端接入互联网,系统进程识别,可以检测终端电脑的系统进程,对于运行非法软件,不运行指定软件的终端,将不允许接入互联网,硬盘文件识别,识别终端操作系统的硬盘文件情况,安装非法软件,不安装指定软件的终端,将不允许接入互联网,注册表识别,识别和检测终端电脑的指定注册表表项和键值,有效检测终端防毒软件、防火墙软件的状态,应,用,识,别,网页识别,非标准端口URL识别,部分论坛、网络聊天室等所采用的非TCP 80端口访问的URL地址,同样可以识别和管理,搜索关键字过滤,对搜索引擎中输入的关键字进行过滤,形成对静态URL库的补充,基于正文关键字过滤网页,基于网页正文内容的关键字智能分析和过滤技术,有效管理用户的网页访问行为,SSL加密网页识别,对于互联网上日益泛滥的加密网页进行识别和过滤,防止用户访问钓鱼网站、在线炒股基金网站、SSL加密的色情、反动网站等。,文件类型识别,非标准端口FTP识别,通过非标准端口的FTP进行文件上传、下载,同样可以对文件类型进行识别和过滤,HTTP跳转下载识别,识别通过页面跳转方式的HTTP文件下载,应用协议识别,应用识别规则总量,基于应用协议特征字段的识别;目前已经具有20多个大类、超过320条应用识别规则,是中国最大的应用协议识别库,加密P2P的识别,识别加密BT、加密电骡等加密P2P行为,为进一步对加密P2P行为的管理提供基础,版本泛滥P2P的识别,对于业界存在的版本众多的P2P工具都可以识别,进而为进一步的管理提供基础,不常见P2P的识别,能够识别不常见、不常用和未来可能出现的P2P行为,从而为用户提供了一劳永逸的解决方案,金融网站识别,识别网银、在线购物、在线赌博、在线基金证券等金融相关网站,封,堵,时间控制,上网时长控制,能够对用户的总上网时间进行限制,并支持对指定端口的流量不进行计时统计和限制,客户端代理软件识别,能够识别客户端安装代理软件代理他人上网行为,并进行拦截与封堵,Email管控,Email过滤,基于发件人地址、关键字、附件类型过滤外发Email,Email延迟审计,基于收件人地址、邮件大小、关键字、附件个数延迟审计外发Email,策略管理,策略继承,子组支持继承父组的策略对象,从而简化配置操作,策略强制继承,父组要求子组强制继承的策略对象,子组无法删除、修改、绕过等,保障权限的可控性。,流,控,多线路复用,最多四条公网线路可以同时连接到设备上,多线路复用,扩展了出口带宽,多线路智能选路,用户流量可以自动选择最快的外网线路,实现多线路智能选路功能,基于网站类型的流控,可以根据用户访问的网站类型进行流量管理,基于文件类型的流控,可以根据用户上传、下载的文件类型进行流量管理,基于外网IP的流控,为外网每个IP进行带宽划分与分配,WAN-LAN流控,将出口中指定的带宽资源划分并分配给对外提供访问的指定服务器,流量配额,限制指定用户、用户每天、每月的总上网流量,审,计,数据中心认证Key,接入日志中心的管理员支持基于USB-Key的硬件认证;不使用Key的管理员只能查看趋势及统计信息,无权审计、查询详细行为日志,记录网站的网页标题,记录用户所访问网页的网页标题内容,记录网站的网页内容,记录用户所访问的整个网页内容;或只记录含有指定关键字的网页正文内容,记录发送Webmail正文及附件,记录通过Webmail发送的邮件的正文及附件,记录QQ、Skype、MSNShell聊天内容,能够记录QQ、Skype、MSNShell等加密的聊天内容,WAN-LAN的审计,对于外网用户通过Internet在内网服务器上的发贴、文件传输、访问的URL地址、收发的Email等行为进行日志记录,汇总对比报表,与前一天、上一周,前一月产生的所有用户的上网行为、访问网站、IM、炒股、P2P等进行对比,形成报表,指定对比报表,将指定用户、用户组的上网行为分布、流量、趋势等与上一天、上一周、上一月进行对比,方便管理者知悉上网行为管理策略的实施效果,行为日志内容检索,通过类似百度的搜索界面,支持对海量行为日志的内容搜索,日志附件内容检索,内容检索功能,支持对日志所包含的OFFICE、PDF、TXT等附件文件的内容搜索,主题订阅,将含有管理者指定关键字的内容检索结果,自动发送到指定Email邮箱,免审计Key,使用免审计Key的用户所发生的网络访问行为,将不进行记录和审计,可,靠,可,用,性,保,障,防火墙,基于状态监测技术的企业级防火墙,防范扫描、入侵、攻击,保障网关自身安全,防DOS攻击,防范DOS攻击流量,确保带宽高效和网关稳定,防ARP欺骗,防范爆发于子网内的ARP欺骗,提升网络可用性,网关杀毒,从源头上查杀病毒,提升网络可靠可用性,杀毒软件检测,检测桌面杀毒软件的安装、运行、更新情况,与网关杀毒融为一体,竞争分,析,析,20分,钟,钟,从其他解决方案到AC,防火墙,审计设备,流控设备,UTM,与对手的竞争分析,网康,网络督查,AceNet,网络哨兵,客户要,买,买防火,墙,墙,防火墙,的,的不足,防火墙,作,作为传,统,统的网,络,络安全,设,设备,,的,的确是,保,保护组,织,织内网,不,不可或,缺,缺的组,成,成部分,但防火,墙,墙传统,上,上只能,基,基于IP、端,口,口、协,议,议类型,进,进行识,别,别、过,滤,滤和管,控,控,泛滥的,应,应用层,访,访问行,为,为,防,火,火墙根,本,本无法,识,识别和,管,管理,用防火,墙,墙封堵,新,新浪新,闻,闻网站,、,、封堵QQ、,管,管理P2P软,件,件等都,难,难以实,现,现,很多客,户,户面临,的,的网络,违,违法、,泄,泄密风,险,险,防,火,火墙既,无,无法防,御,御、同,时,时又无,绝,绝可查,AC的,优,优势,防火墙,对,对于组,织,织网络,保,保障仍,然,然不可,或,或缺,,所,所以AC内置,企,企业级,防,防火墙,功,功能,与传统,防,防火墙,相,相比,AC的,防,防火墙,功,功能还,能,能防御,来,来自内,网,网的DOS攻,击,击、ARP欺,骗,骗等问,题,题,同,时,时具备IPS,、,、网关,杀,杀毒等,功,功能,,真,真正帮,助,助组织,构,构建可,靠,靠、可,用,用的网,络,络系统,基于七,层,层深度,内,内容检,测,测技术(摆脱,了,了传统IP、,端,端口识,别,别的局,限,限性),,,,AC,能,能更有,效,效的识,别,别和管,理,理泛滥,的,的互联,网,网应用,行,行为(,如,如新浪,新,新闻、QQ、,迅,迅雷等),封堵的,目,目的是,为,为了防,范,范不该,发,发生的,行,行为;,但,但总会,有,有漏网,之,之鱼,,所,所以需,要,要多个,中,中网络,行,行为进,行,行记录,和,和审计,,,,而这,正,正是AC擅长,的,的。,客户要,买,买审计,设,设备,单一审,计,计功能,的,的不足,审计网,络,络行为,的,的基础,必,必定是,先,先对网,络,络行为,的,的识别,,,,不能,识,识别也,就,就无法,有,有效审,计,计,因,此,此,审,计,计设备,的,的应用,识,识别库,至,至关重,要,要,传统审计,的,的目的是,为,为实现违,规,规行为发,生,生后“有,据,据可查”,,,,这是典,型,型的“事,后,后审计”,传统审计,通,通常围绕,客,客户“避,免,免违规行,为,为”的核,心,心目的,,事,事实上用,户,户还需要,“,“事前审,计,计”,即,主,主动封堵,、,、过滤违,规,规、违法,、,、泄密网,络,络行为,AC的优,势,势,AC丰富,的,的行为识,别,别手段、,国,国内最大,的,的应用协,议,议识别库,成,成为全面,审,审计的基,础,础,AC能够,详,详细记录,用,用户的各,种,种上网行,为,为;即使,其,其他厂商,束,束手无策,的,的加密IM聊天内,容,容、外发,泄,泄密邮件,等,等,AC,也,也通过独,特,特的技术,手,手段实现,全,全面审计,、,、并能够,很,很好的满,足,足公安部82号令,要,要求,AC的审,计,计功能更,灵,灵活,包,括,括“免审,计,计Key,”,”、“数,据,据中心认,证,证Key,”,”技术,针对“事,前,前审计”,,,,AC还,提,提供了外,发,发帖子过,滤,滤、邮件,延,延迟审计,、,、非法网,站,站过滤等,手,手段,主,动,动帮助客,户,户避免网,络,络违规行,为,为的发生,客户要买,流,流控设备,单一流控,功,功能的不,足,足,不能识别,、,、不能区,分,分应用数,据,据,如何,流,流控?应,用,用识别能,力,力是流控,的,的基础。,传,传统QoS技术基,于,于IP、,端,端口识别,显,显然无法,满,满足客户,需,需要。,内网用户,除,除了使用P2P、,网,网游、炒,股,股等软件,外,外,访问,网,网页所产,生,生的数据,量,量、无关,网,网页访问,行,行为的带,宽,宽滥用也,不,不容小视,,,,但传统,流,流控设备,却,却无法管,控,控,下载RMVB等影,音,音文件会,占,占用大量,带,带宽资源,,,,传统流,控,控设备却,束,束手无策,即使为内,网,网用户细,致,致、严格,的,的划分了,带,带宽通道,,,,但用户7*24,小,小时持续,不,不断下载,电,电影、产,生,生流量,,同,同样也是,带,带宽资源,的,的滥用,,怎,怎么办?,AC的优,势,势,国内最大,应,应用协议,识,识别库,,精,精准识别,绝,绝大部分,应,应用行为,,,,为流控,提,提供基础,AC不仅,如,如传统流,控,控设备一,样,样基于应,用,用类型进,行,行流控,,还,还能够基,于,于网站类,型,型、文件,类,类型进行,流,流控;,限制指定,用,用户(组)每天、,每,每月产生,的,的总流量,,,,也是避,免,免带宽滥,用,用的有效,手,手段,支持WAN-LAN流控,,,,将出口,中,中指定的,带,带宽资源,划,划分并分,配,配给对外,提,提供访问,的,的指定服,务,务器,另外对于,违,违法、违,规,规等行为,应,应该主动,禁,禁止,避,免,免此类行,为,为占用任,何,何带宽资,源,源,客户要买UTM设,备,备,UTM设,备,备的不足,UTM通,常,常集成了,防,防火墙、,入,入侵检测/防御、,防,防病毒等,安,安全功能,但是在解,决,决了安全,问,问题后,,管,管理的问,题,题如何解,决,决?缺乏,管,管理的组,织,织网络将,极,极易由于,用,用户上网,行,行为不受,控,控而导致,“,“堡垒被,从,从内部攻,破,破”,UTM设,备,备缺乏对,用,用户上网,行,行为的管,理,理,无法,避,避免由于,泛,泛滥上网,行,行为导致,的,的带宽利,用,用率低、,网,网络违法,和,和泄密、,工,工作效率,低,低等问题,AC的优,势,势,首先AC,具,具备UTM的各种,安,安全功能,,,,即AC,也,也是一台UTM,与传统UTM相比,,,,AC为,客,客户提供,了,了更有价,值,值的上网,行,行为管理,功,功能,提升带宽,效,效率,降低法律,风,风险,避免泄密,行,行为,提升工作,效,效率,提升组织,网,网络的可,靠,靠、可用,性,性,8分钟,SINFOR AC主要竞,争,争对手,上网行为,管,管理已经,被,被客户逐,渐,渐接受,,竞,竞争对手,也,也越来越,多,多,软件的对,手,手,Websense,、,、网络岗,等,等,软件方案,通,通常性能,低,低,大部,分,分需要安,装,装在windows系统之,上,上;针对windows的,病,病毒、攻,击,击等影响,了,了上层应,用,用软件的,可,可用性。,硬件对手,国内:网,康,康、网络,督,督察、网,络,络哨兵、ACEnet等,国外:Bluecoat、Allot流控设,备,备等,AC的差,异,异化优势,对手很多,,,,而且还,有,有更多不,常,常见对手,,,,如何向,客,客户介绍AC的功,能,能和价值,优,优势?,掌握了SINFOR AC,自,自身的差,异,异化优势,后,后,以不,变,变应万变,!,!,网康ICG 5.1概述,网康ICG5.1,主,主要改进,点,点,网康5.1完全是,对,对照SINFORAC查,缺,缺补漏的,版,版本,网康5.1主要增,加,加了旁路,支,支持和独,立,立数据中,心,心功能,,增,增加了Cache,代,代理功能(据称基,于,于代理可,以,以过滤SSL网址,;,;该Cache代,理,理功能应,该,该相对不,完,完善,不,能,能满足中,高,高端客户,需,需要),,其,其他功能,几,几乎维持,不,不变。,SSL加,密,密应用管,控,控技术分,析,析,建立TCP连接,建立TCP连接,建立TCP连接,SINFOR AC:基于,对,对数字证,书,书的识别,和,和过滤实,现,现对SSL加密应,用,用的管控,网康:通,过,过“中间,人,人攻击”,方,方式,解,密,密数据实,现,现流量过,滤,滤,但SSL加密,过,过的网银,帐,帐号、密,码,码被解密,,,,存在极,大,大安全隐,患,患。,解密数据,安全隐患,网康功能,缺,缺陷测试,方,方法,本页加入word,文,文档,描,述,述网康功,能,能缺陷的,测,测试方法,。,。,网康市场,手,手段应对,网康手段,SINFOR应对,网康及其渠道恶意诋毁SINFOR和AC(公司不专业、产品不专业等);,根据先前话术应对;这些话术也请培训给SINFOR的渠道伙伴;,利用其华丽的界面吸引用户,项目前期产品经理的正式技术认可,从功能和技术角度引导用户,并能达成用SINFOR的测试方案测试网康的设备;,从客户的高层向下推动项目,摸清决策链,积极主动接触高层进行宣讲、引导、测试汇报、以及邀请参观公司等,避免网康先接触高层后让SINFOR被动,推网康设备的渠道似乎很多,积极发展本区域的渠道伙伴;积极接触网康渠道并利用多产品线等优势策反该渠道;对于不接受策反的渠道,争取在每个项目中打败他;,最后投标时网康冲低价,如果前期工作对投标已无影响,AC也可以低价,不能因为价格问题丢单给网康,网康:私下接触和策反我司渠道的Top Sales人员,与该渠道高层领导交流,分析渠道自身人员被私自策反的害处(利润损失;管理不规范;其他销售人员都这么干,公司怎么发展;与SINFOR的长期合作的影响等),网康:SINFOR主导的部分项目网康不做太多工作,直接向客户高层报一个低价,其中标是运气,不中标也将SINFOR AC价格拉低,项目中技术引导、测试、汇报、高层接触仍然不能少;与客户达成利益分配,网康的低价将直接客户利益的获取;万不得已时AC也可以低价,不能丢单给网康。,功能竞争,分,分析,流控,多线路复用和智能选路(路由模式),审计,对比报表,P2P智能识别和控制,内容检索,、 主题订阅,基于应用/网站/文件类型的流控,封堵,加密URL访问控制(非代理方式),WAN-LAN的流控,搜索引擎关键字过滤,流量限额功能,管控非80端口网页,基于外网IP的流控,外发Email的过滤和延迟审计,审计,邮件延迟审计,国内最大的应用协议识别库,记录加密聊天内容,P2P智能识别,Wan-Lan审计,其他,AD融合(认证、,单点登录,、组织结构读取与同步、强制使用域帐号登录操作系统等),网页正文内容审计,网络准入规则,免审计key 、数据中心认证Key,网关杀毒,与其他网络可靠可用性增强措施(防火墙、防DOS攻击、防ARP欺骗),网康价格,体,体系分析,SINFORAC,网康,型号,性能,公开价格(万),型号,性能,公开价格(万),历史价格,M5000-AC,Lan审计,网页内容审计,过滤外发泄密邮件,并做到事前审计,国内IM前三名:QQ、飞信、MSNShell都是加密的聊天内容,AC能审计,互联网人员在组织内网服务器上的留言、行为也可以审计记录,基于正文关键字审计记录整个网页内容,不能过滤和延迟设计外发Email,泄密风险将无法防范,主流IM都已加密聊天内容,无法审计将给组织的行为审计留下巨大漏洞,灵活审计,免审计key,数据中心认证Key,高层领导的上网行为往往不希望被记录、监控、审计。,AC支持硬件USB-Key方式从设备底层免除对高层领导行为的记录,即使该免审计Key的设置被意外修改,高层领导也能及时发现,持有数据中心Key的管理者才能审计用户行为日志,避免日志被滥用,其他厂商通过配置界面勾选“免除审计”方式实现,容易被恶意修改且高层领导不知情,行为日志如果被滥用、传播到网络上,将引起隐私问题,机密的行为日志被泄露,IT管理者将难表清白,快速审计,内容检索、,主题订阅,网络违法事件后如何从数百G日志中快速找寻违规行为日志?,AC内容检索工具类似百度,通过多关键字数秒内找到指定行为日志,AC支持对PDF、OFFICE、TXT附件正文内容的检索,AC的主题订阅自动将指定的内容检索结果发送到指定邮箱,关键日志的检索既不准(只能单关键字搜索)又非常耗时(数十G日志检索时可能死机),找不到违规行为日志,信息中心将承受网监的巨大压力,方便审计,对比报表,自定义链接,通过对比报表展示AC的效果、管理者配置策略的效果,向高层彰显政绩,常用的日志查询、审计、统计操作做成自定义链接,避免页面转换、一次鼠标点击即可获得结果,需求,AC杀手锏,话术要点,网,络,访,问,控,制,Web访问控制,加密URL访问控制,传统静态URL库无法管理越来越多的SSL加密网站,传统封堵TCP 443端口,导致网银都不能访问,AC专利基于证书识别过滤非法SSL加密网站,粗暴封堵TCP 443端口导致无法访问网上银行,通过代理方式过滤SSL流量无异于”中间人攻击”,网银变得不安全了,搜索引擎关键字过滤,Google声明互联网有超过一万亿个网页,静态URL库显然不足,过滤用户通过搜索引擎搜索指定关键字是必备的网页访问管理手段,管控非80端口网页,以Web聊天室为代表的网站正采用随机端口提供访问,无法管控非80端口网页访问行为是网页访问控制的严重漏洞,最大的应用协议识别库,国内最大的应用协议识别库,基于端口、IP的应用识别方式已经太落后,无法有效识别应用,AC通过识别数据包特征字段的深度内容检测技术识别,更精准,AC具有超过20个大类、260多条应用识别规则,国内最大,有的厂商还是根据IP、端口识别应用,就连QQ都封不住,应用识别库不够大,就无法有效管理内网用户的泛滥的应用行为,P2P智能识别、Skype封堵,P2P智能识别,使用加密P2P、不常见P2P、同一种P2P的多个版本等让很多厂商束手无策,AC基于行为特征的P2P智能识别实现对所有P2P行为的识别,即使让中国电信头痛的Skype,AC也能识别和封堵,部分厂商只能封堵常见P2P工具和常用版本,导致带宽仍然被滥用,没有P2P智能识别技术的上网行为管理产品不是专业的解决方案,控制外发Email,外发Email的过滤和延迟审计,Email邮件泄密屡见不鲜,无法过滤外发邮件就无法保障信息资产安全,AC根据多种条件过滤外发Email邮件,防范泄密,AC还支持对敏感邮件先拦截缓存、人工审核再外发,多数厂商只记录外发Email、却不能过滤外发泄密邮件,单纯的邮件记录只能找到泄密责任人,但泄密损失无可挽回,需求,AC杀手锏,话术要点,其,他,用户认证的快速部署,结合已有认证体系进行用户认证的快速部署,AC支持与AD、Radius的完善结合,无需将帐号、密码导入AC设备,AC的AD单点登录无需插件、无客户端软件,方便易用,AC还支持POP3认证、USB-Key认证等,部分厂商与AD的结合,必须将AD上的帐号全部导入其设备,否则需要每个用户安装客户端软件,非常麻烦,组织结构与AD融合,用户结构与行政架构一致,并保持与AD融合,树形用户组织结构,与行政架构保持一致,从现有AD上读取用户组织结构,部署方便,用户组织结构保持与AD的自动同步,终端识别/网络准入,检查终端是否符合组织安全规定,堡垒最容易从内部被攻破,内网终端安全短板势必影响组织整个内网的安全性、稳定可靠性等,AC的终端识别可以根据信息中心要求对接入互联网的终端安全级别进行检查,由于内网DOS攻击、ARP欺骗而中断网络的事件屡见不鲜,网络都中断了还何谈管理上网行为?,终端识别是保障网络可靠、可用的基础功能,不具备终端识别的方案不是完整的上网行为管理方案,网关杀毒,作为内网防病毒体系的有效补充 (招行就在使用AC的网关杀毒功能+网络准入功能),熊猫烧香等病毒严重干扰了组织网络的正常使用,AC集成领先杀毒厂商F-PROT的杀毒引擎从源头上对病毒进行查杀,招行总行及全国22个支行都使用了AC的网关杀毒功能,上网行为管理包括对行为和内容两方面的管理,多数厂商缺乏管理内容的能力,无法保障网络可靠、可用、防范病毒、识别终端安全级别,引起网络中断,还会有用户发生上网行为吗?,新网程网,络,络督查概,述,述,概述,起步较早,,,,进步较,慢,慢;高端,设,设备性能,和,和稳定性,较,较差;很,多,多区域依,赖,赖和网监,合,合作而销,售,售给网吧,、,、酒店等,中,中小客户,。,。,优势:,1.和网,监,监的关系,往,往往较好,,,,通过网,监,监给客户,压,压力,并,给,给AC销,售,售设置障,碍,碍,2.功能,优,优势,用户识别,很,很灵活:IP、MAC、AD域、VlanID、交,换,换机端口,、,、IC卡,、,、用户名,密,密码等;,支,支持用户,自,自动创建,;,;无插件,实,实现三层,网,网络环境,中,中的MAC识别,宣称旁路,部,部署时也,可,可以封堵QQ,具有集中,管,管理平台,,,,尤其在,日,日志集中,监,监控、实,时,时报警方,面,面做得较,好,好,上网行为,实,实时审计,、,、查询、,监,监控、统,计,计功能较,直,直观,具有邮件,延,延迟审计,功,功能,支,持,持独立数,据,据中心,具有网关,杀,杀毒功能,,,,但仅查,杀,杀邮件中,的,的病毒(,不,不查杀网,页,页中病毒),支持AD,单,单点登录(效果未,知,知),但,作,作为独立,模,模块需要,另,另付费,与AC相,比,比的劣势,:,:,网络督查,只,只能识别50多种,应,应用,基,于,于IP、,端,端口识别(包括QQ),无,法,法实现允,许,许QQ文,本,本聊天、,不,不准QQ,视,视频传文,件,件功能等,网络督查URL库,大,大概400万,分,类,类少,更,新,新慢;关,键,键字过滤,不,不支持;SSL加,密,密网址过,滤,滤不支持,;,;,应用识别,能,能力差注,定,定其流控,效,效果差、,行,行为审计,不,不全面不,细,细致差;,SINFOR具有,邮,邮件延迟,审,审计专利,,,,网络督,查,查盗用将,给,给客户带,来,来知识产,权,权风险,网络督查,不,不支持双,机,机热备功,能,能,AC与之,竞,竞争分析,:,:,引导客户,关,关注应用,识,识别是上,网,网行为管,理,理的基础,,,,IP、,端,端口识别,太,太落后,,从,从前期引,导,导就帮助,用,用户树立,网,网络督查,技,技术手段,落,落后的印,象,象,由于AC,的,的功能远,强,强于网络,督,督查,所,以,以设备功,能,能性测试,将,将对AC,有,有利,大型客户,案,案例介绍,、,、高端客,户,户使用报,告,告、性能,测,测试报告,用,用以反证,网,网络督查,只,只适合中,小,小网络,,高,高端用户,普,普遍选择AC而不,是,是网络督,查,查。,AC1.9与网络,督,督查技术,的,的竞争,流控,多线路复用和智能选路,审计,内容检索,、 主题订阅,P2P流量智能识别和控制,对比报表,基于应用/网站/文件类型的流控,封堵,海量URL库,WAN-LAN流控,SSL加密网页的管控,流量限额功能,搜索引擎关键字过滤,基于外网IP的流控,国内最大的应用协议识别库,审计,最大的应用协议识别库保证细致的应用行为审计,P2P智能识别,加密聊天审计,其他,用户结构与AD融合,Wan-Lan审计,网络准入规则(终端识别),网页内容审计,HTTPS方式访问控制台,免审计key、数据中心认证Key,防火墙 、防DOS攻击、防ARP欺骗、杀网页流量中的病毒,AC1.9对比网,络,络督查的,优,优势:流,控,控,AC1.9对比网,络,络督查的,优,优势:审,计,计,需求,AC杀手锏,话术要点,审,计,全面审计,应用行为审计,加密聊天审计,Wan-Lan审计,网页内容审计,只有强大的应用识别能力才能保证应用审计效果,国内IM前三名:QQ、飞信、MSNShell都是加密的聊天内容,AC能审计,互联网人员在组织内网服务器上的留言、行为也可以审计记录,基于正文关键字审计记录整个网页内容,网络督查基于IP、端口仅能识别50种应用,可想而知其应用行为审计能力有多差,主流IM都已加密聊天内容,无法审计将给组织的行为审计留下巨大漏洞,灵活审计,免审计key,数据中心认证Key,高层领导的上网行为不希望被记录、监控、审计,AC支持USB-Key方式从设备底层免除对高层领导行为的记录,持有数据中心认证Key的管理员才能审计用户行为日志,避免日志被滥用,其他厂商通过配置界面勾选“免除审计”方式实现,容易被恶意修改且高层领导不知情,行为日志如果被滥用、传播到网络上,将引起隐私问题,IT管理者也将难表清白,快速审计,内容检索、,主题订阅,网络违法事件后如何从数百G日志中快速找寻违规行为日志?,AC内容检索工具类似百度,通过多关键字数秒内找到指定行为日志,AC支持对PDF、OFFICE、TXT附件正文内容的检索,AC的主题订阅自动将指定的内容检索结果发送到指定邮箱,日志检索既不准(只能单关键字搜索)又非常耗时(数十G日志检索时可能死机),找不到违规行为日志,信息中心将承受网监的巨大压力,方便审计,对比报表,自定义链接,通过对比报表展示AC的效果、管理者配置策略的效果,向高层彰显政绩,常用的日志查询、审计、统计操作做成自定义链接,避免页面转换、一次鼠标点击即可获得结果,AC1.9对比网,络,络督查的,优,优势:封,堵,堵,需求,AC杀手锏,话术要点,网,络,访,问,控,制,Web访问控制,海量URL库,静态URL库是网页访问控制的基础,分类细致且准确,并且更新要快,网络督查URL库规模400万,太小,分类粗糙,而且更新速度很慢,加密网页管控,静态URL库无法管理越来越多的SSL加密网站,传统封堵TCP 443端口,导致网银都不能访问,AC专利基于证书识别过滤非法SSL加密网站,搜索引擎关键字过滤,Google声明互联网有超过一万亿个网页,静态URL库显然不足,过滤用户通过搜索引擎搜索指定关键字是必备的网页访问管理手段,最大的应用协议识别库,国内最大的应用协议识别库,无法识别应用就无法对其进行封堵、流控、和审计,基于端口、IP的应用识别方式已经太落后,无法有效识别应用,AC通过识别数据包特征字段的深度内容检测技术识别,更精准,AC具有超过20个大类、300多条应用识别规则,国内最大,网络督查根据IP、端口识别应用,应用识别能力非常差,员工使用代理后的应用行为的IP、端口将改变,这将直接绕过网络督查的识别和管理,员工可以使用IM聊天,但不准IM语音视频传文件、网络督查不能实现,P2P智能识别、Skype封堵,P2P识别,基于IP、端口无法有效识别P2P、更无法对P2P进行有效的封堵、和流量管理,使用加密P2P、不常见P2P、同一种P2P的多个版本等让很多厂商束手无策,AC基于行为特征的P2P智能识别实现对所有P2P行为的识别,网络督查基于IP、端口根本无法有效识别P2P,没有P2P智能识别技术的上网行为管理产品不是专业的解决方案,AC1.9对比网,络,络督查的,优,优势:其,他,他,需求,AC杀手锏,话术要点,其,他,AD融合,用户结构与AD融合,从现有AD上读取用户组织结构,部署方便,用户组织结构保持与AD的自动同步,无需任何插件、客户端软件实现AD单点登录,可强制员工必须使用域帐号登录操作系统,否则不能上网,限制指定IP段的用户必须使用单点登录,网络准入,检查终端是否符合组织要求,堡垒最容易从内部被攻破,内网终端安全短板势必影响组织整个内网的安全性、稳定可靠性等,AC的终端识别可以根据信息中心要求对接入互联网的终端安全级别进行检查,由于内网DOS攻击、ARP欺骗而中断网络的事件屡见不鲜,网络都中断了还何谈管理上网行为?,终端识别是保障网络可靠、可用的基础功能,不具备终端识别的方案不是完整的上网行为管理方案,网关安全保障,HTTPS方式访问控制台,防火墙,防DOS攻击,防ARP欺骗,杀网页病毒,明文HTTP方式访问控制台容易被攻击、数据截获等,非常危险,没有防火墙保护,网关本身很容易遭受攻击、入侵,中断组织网络,不能防御DOS攻击,泛滥的DOS流量将瘫痪网关,中断网络,ARP欺骗招致同一子网/VLan数十用户同时无法上网;另外网关本身如果被ARP欺骗,还将导致网络中断,来自互联网的病毒更多的是在网页中,需要对网页中的病毒进行查杀,AceNet2.8.3概,述,述,概述:,AceNet公司,就,就这一款,产,产品,以,防,防火墙+,流,流控墙的,定,定位销售,。,。相比AC其防火,墙,墙功能较,专,专业、流,控,控功能得,益,益于强劲,性,性能所以,吸,吸引部分,用,用户,但,其,其上网行,为,为管理相,关,关功能严,重,重不足。,与AC相,比,比的优势,1.性能,强,强劲,单,向,向流量处,理,理能力可,达,达5G(,支,支持端口,汇,汇聚功能,功,功能,方,便,便部署在,大,大型的高,带,带宽网络,中,中);,2.用户,识,识别与认,证,证功能模,块,块,支持,识,识别用户,的,的VlanID、,交,交换机端,口,口号等(,与,与网络督,查,查类似),,,,同时支,持,持802.1x认,证,证;通过,支,支持Radius,认,认证,还,能,能实现基,于,于时间、,流,流量的计,费,费功能。,3.主要,对,对P2P,、,、和IM,进,进行应用,识,识别,其,他,他主要对SMTP,、,、FTP,、,、POP3、HTTP等此,类,类常见互,联,联网协议,进,进行识别,;,;不具备,其,其他应用,识,识别能力,;,;,4.基于,强,强劲性能,,,,满足了,大,大流量客,户,户的P2P流控、,基,基于用户,、,、用户组,的,的带宽划,分,分、分配,、,、限制、,保,保障等需,求,求。AceNet,流,流控功能,支,支持带宽,固,固定预留(最小带,宽,宽)、带,宽,宽保证、,带,带宽上限,限,限制等。,5.具有,用,用户黑名,单,单功能,,根,根据用户,的,的上网速,率,率、会话,数,数、总流,量,量累加和,等,等将指定,用,用户自动,加,加入黑名,单,单,并封,堵,堵其网络,访,访问权限,,,,或限制,其,其网络速,度,度。,6.非,常,常灵活,的,的多线,路,路复用,和,和智能,选,选路功,能,能。允,许,许客户,通,通过手,工,工配置,,,,实现,比,比较复,杂,杂、灵,活,活的多,线,线路功,能,能。,7.另,:,:AceNet还给,客,客户以,一,一种高,端,端防火,墙,墙的感,觉,觉(未,见,见其设,备,备界面,,,,具体,功,功能未,知,知)。,与AC,相,相比的,劣,劣势,与AC,在,在上网,行,行为管,理,理方面,相,相比的,劣,劣势非,常,常明显,,,,以下,主,主要是,几,几个大,的,的劣势,点,点,具,体,体见附,件,件Excel(由于Acenet,的,的资料,有,有限,,难,难免有,疏,疏漏,,请,请指出),1.AceNet不,支,支持旁,路,路模式,2.Acenet不,支,支持管,理,理员分,级,级管理(即使,支,支持也,没,没有AC灵活,细,细致),3.用,户,户认证,方,方面AceNet不,支,支持:AD单,点,点登录,、,、从AD读取,用,用户分,组,组结构,、,、强制,使,使用域,帐,帐号登,录,录操作,系,系统等,4.AceNet不,支,支持终,端,端识别(即网,络,络准入,规,规则),5.应,用,用识别,方,方面AceNet劣,势,势更明,显,显(主,要,要识别P2P,和,和IM):,没有内,置,置URL库,,只,只能通,过,过URL关键,字,字过滤,网,网页访,问,问行为,;,;,应该不,支,支持搜,索,索引擎,关,关键字,过,过滤、,不,不支持,基,基于网,页,页正文,关,关键字,过,过滤网,页,页访问,行,行为、,不,不能过,滤,滤SSL加密,网,网页;,没看到AceNet,能,能过滤HTTP、FTP外,发,发、下,载,载文件,基,基于文,件,件类型,的,的过滤,功,功能;,主要识,别,别P2P下载,工,工具、P2P,流,流媒体,工,工具、IM工,具,具等。,资料显,示,示其不,能,能单独,封,封堵QQ传文,件,件、QQ语音,视,视频(,能,能单独,封,封堵MSN、Yahoo、ICQ,的,的传文,件,件功能),没有p2P智,能,能识别,功,功能;,不能识,别,别网络,游,游戏、,网,网络炒,股,股;,6.应,用,用控制,:,:AceNet既然,不,不能识,别,别以上,的,的网络,游,游戏、,网,网络炒,股,股当然,也,也不能,控,控制。,同时不,支,支持外,发,发邮件,过,过滤、,延,延迟审,计,计。,上网策,略,略强制,继,继承;,与AC,相,相比的,劣,劣势,7.流,量,量管理(AceNet做的,还,还算不,错,错):,基,基于网,站,站类型,、,、文件,类,类型的,流,流控AceNet不,支,支持;,而,而基于,应,应用类,型,型的流,控,控由于AceNet,的,的应用,识,识别较,少,少所以,也,也不如AC细,致,致;,8.行,为,为审计,与,与记录,:,:AceNet主要,通,通过AceReporter产品,支,支持(,需,需单独,付,付费购,买,买),,但,但由于,缺,缺乏资,料,料,所,以,以了解,的,的很少,,,,或不,准,准确。,AceNet,所,所记录,的,的日志,以,以基于,源,源IP,、,、源端,口,口、目,的,的IP,、,、目的,端,端口、,访,访问时,间,间、产,生,生的流,量,量为主,,,,其他,应,应用信,息,息记录,较,较少。AceNet,设,设备内,置,置日志,存,存储空,间,间很小,,,,主要,依,依赖于AceReporter或,通,通过Syslog外,传,传日志,。,。,AceReporter主,要,要实现,查,查询、,统,统计、,绘,绘图功,能,能。但,可,可能如,下,下信息,无,无法记,录,录审计,:,:,a:访,问,问的URL地,址,址、网,页,页标题,、,、网页,正,正文、,网,网路发,贴,贴内容,b:上传下,载,载的文件,c:收发的Email,邮,邮件,包括,邮,邮件标题、,收,收发件人、,正,正文、附件,等,等,d:加密聊,天,天内容,e:没有内,容,容检索、主,题,题订阅、对,比,比报表功能,。,。,9.网络可,靠,靠可用性增,强,强,防火墙功能,应,应该较为专,业,业、尤其NAT功能做,的,的较强,可,实,实现内网多,台,台服务器负,载,载均衡向外,网,网提供同一,服,服务。,不支持网关,杀,杀毒,防ARP欺骗功,能,能。,支持传统IPSecVPN、PPTP VPN。,AC1.9,与,与AceNet技术的,竞,竞争,流控,国内最大的应用协议识别库,,确保AC的应用流控更细致、更精准,封堵,网页封堵,:海量URL库、SSL加密网页过滤、关键字过滤、网络发贴过滤等,基于网站/文件类型的流控,应用协议库,:国内最大,不仅包括P2P、IM,还包括炒股、网游等;单独封堵QQ语音视频传文件,基于外网IP的带宽划分与分配,Email控制,:过滤外发Email、延迟审计Email等,审计,细致的网页访问行为记录,:URL地址、网页标题、网页内容、网络发贴内容等,其他,旁路部署,细致的应用行为记录,:Email、炒股、网游、IM行为等;,AD融合,:AD单点登录、组织结构同步等,日志操作工具丰富,:免审计key、数据中心认证Key、内容检索、主题订阅,终端识别,(网络准入规则),网关杀毒,AC1.9,比,比AceNet的优势,:,:流控,需求,AC杀手锏,话术要点,流,控,应用流控,应用识别是流控的基础,P2P是带宽杀手,同时加密P2P、不常见P2P、同一种P2P软件的多个版本让很多厂商束手无策,内网员工使用的互联网应用纷繁复杂,包括网游、炒股、QQ传文件等,如果不能识别也就不能流控,缺乏P2P智能识别能力将无法有效管控泛滥的P2P行为对带宽的占用,AceNet以识别P2P、IM为主,不能识别网游、炒股、QQ传文件等其他应用,所以无法对此类非业务网络行为进行带宽管理和限制。,带宽分配策略丰富,基于网站、文件类型的流控,传统QoS根据IP、端口的流控
展开阅读全文