华为ASG上网行为管理产品定位和产品特点

0

产品定位

ASG系列(Application Security Gateway应用安全网关)是华为面向企业、数据中心、大型网络边界及行业中心和分支机构等而自主研发的综合型上网行为管理产品,该产品融合了用户管理、应用控制、行为审计、网络业务优化等功能,为用户提供一个综合、完整的全业务应用场景解决方案

ASG可以以网桥模式、旁路模式、网关模式、混合模式等方式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析。深度识别、管控和审计近千种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用,并利用智能流控、智能阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能、清晰易管理日志等功能,提供业界最全面、完善的网络行为管理解决方案

产品特点

快速部署

当存在多个分支网络需要互联,如何实现业务的快速部署和统一管理,一直是网络运维最头疼问题。配合ASG Manager,可实现ASG的业务快速部署,分支机构的设备只需要接上网线,确保外网连通便可自动从ASG Manager下载配置,加载流程约1分钟完成,无需专业人员到场,大幅节约总分型网络部署成本。

一体化策略管理

ASG系列产品的策略配置分为应用控制、应用审计、身份认证、流量控制等多种策略,其中控制策略更是集成了URL控制,精细化应用控制、IPS入侵防御、AV病毒查收等一系列完整控制和防御功能,可以根据不同的管控需求,为不同的用户定制不同的管理策略,灵活方便,维护简单。

全面身份认证

华为以用户需求为导向,实现了丰富的身份认证手段:

  • 本地Web认证:用户名/密码认证、IP/MAC/地址静态绑定(无需认证,根据源地址直接识别)。
  • 微信认证:支持通过公众号菜单或发消息完成认证,仅支持手机端。
  • 短信认证:传统的认证方式,方便快捷。
  • 第三方认证:RADIUS、LDAP、SAM认证、Portal认证等第三方服务器,在认证时与这些第三方服务器进行联动。
  • 免认证:认证用户无需进行身份认证,仅需确认上网须知,即可快速上网。
  • 单点登录:支持AD域单点登录。
  • 访客二维码认证:访客网络安全,管理授权网络访问。
  • IC卡认证:针对特定军事封闭行业提供通过IC卡的刷卡认证,刷卡上网,卡离开及断网,更加方便安全。
  • APP认证:针对包含登录行为的APP,且登录动作为http协议的APP,支持APP认证。打开APP登录的同时即可便捷完成认证,让您访问网络更加方便快捷。
  • POP3认证:针对大型企业场景除了常见的LDAP和RADIUS认证之外,同时也集成了对接第三方POP3服务器的认证,让认证更加灵活方便。
  • 钉钉认证:通过钉钉认证授权的方式进行验证身份后上网。
  • 酒店会员认证:支持配置设备ID、超时时间、Portal URL、认证URL、公钥以及私钥。
  • 第三方小程序认证:支持配置超时时间和加密秘钥。
  • 企业微信认证:通过企业微信认证授权的方式进行验证身份后上网。
  • OAUTH认证:指用户在使用网络服务时,可以在认证页面中输入OAUTH服务器的账号和密码进行认证,从而使认证用户接入使用网络。
  • 混合认证:集多种认证方式于一体。上网用户可以根据自身需求,灵活选择适合自己的认证方式完成认证。

多业务高性能

ASG系列产品采用先进的多核架构,结合华为的安全操作系统,采用协议特征库树形存储、用户结构树形存储、流扫描处理、并行深度包检测等技术,整个数据包解析过程一次完成,保证开启多项行为管理功能后依然保证高速低时延的处理。

快速部署、简易配置、可靠传输的VPN安全互联

ASG的VPN模块,在复杂网络环境下大大简化了管理员的维护工作量,通过IPsec快速配置功能,隧道接口无需配置自动创建,并接受对端推送的网段信息,对应邻居关系后,自动添加到对端网段的路由和感兴趣流。IPsec快速VPN相比一般的IPsec VPN的配置具有极高的易用性和效率性,完美的解决了分支运维能力弱的问题。而独创的主备切换0丢包技术,可实现业务不中断,包括最难解决的TCP业务(例如远程桌面)不中断,完美的实现HA切换VPN业务不中断。

ASG支持4G网络并支持4G IPsec VPN加密连接,4G连接提供按需拨号,无需改变原有网络架构,在主线路故障时主动承接和中心端的网络加密通信,具备数据完整性、数据传输安全、高性价比、网络无改变等特性,可让管理员高枕无忧。

细致的网络应用管理

ASG上网行为管理控制层面不再局限对网络应用的阻断,更能深入识别应用的内置动作。例如对新浪微博的控制力度不仅仅是登录动作,更可识别到浏览和发表等动作,除此之外对于使用最频繁的即时通讯QQ软件更是可以识别到登录_收发消息、收发文件、视频语音、远程协助、注销等相关动作,从而对网络应用完成更加精细化的控制,使网络更加健康有序。

精细的带宽管理

ASG产品采用智能流控、智能阻断、智能路由等技术,将网络出口带宽划分为逻辑通道,并支持在通道中再划分子通道,完美进行带宽限制和带宽保障。同时支持将类型复杂的网络流量分布到不同的网络出口转发,是企业提升带宽利用率、保护带宽投资的最佳利器。

除传统的多层通道以外,还支持限制通道,同样可以完成针对用户、IP、应用等多维度的应用带宽控制。

基于用户的行为轨迹追踪分析

通过对用户网络账号、行为动作、上网设备及时间等多维度信息进行关联数据分析,ASG真正实现了基于用户的上网行为管理与审计的可视化,将用户的上网行为轨迹清晰直观的加以呈现,有助于网络管理人员制定更有针对性的网络管理策略,保障网络资源的合理有效利用和工作效率提升。

APP缓存

ASG创新的将APP缓存在设备本地,当用户下载时直接推送,几十M的文件只要几秒钟,极大的提升了带宽利用率的同时大大加速和提升了用户体验;并且支持iOS和安卓APP的缓存,业界技术领先;在低成本的投入下同时为客户的终端营销推广开辟了新的方向。配合APP身份认证,可强制推广商户的APP,提高商户的APP安装率,拥有更多的可转化潜在用户。

SSL解密

ASG支持通过中间人代理的方式完成对网络SSL加密流量的解密还原,内置丰富的解密域名列表,同时支持管理员手工添加,可完成对https网站访问和SMTP邮箱的解密,进一步协助引擎完成数据审计。

证书推送

ASG在完成中间人代理方式对ssl解密的同时,需要终端导入SSL解密根证书,ASG创新的完成了证书的自动推送功能,当发现终端未安装对应解密证书时,可以自动的推送安装信息,并辅助终端完成证书安装,真正做到解密审计的同时不影响终端高效办公。

IPS入侵防御

ASG在支持应用控制和管理的同时,也提供了基础的IPS入侵防御功能,具备超过8000条预定义入侵攻击特征,为您的网络额外增加一份安全的保障。专业BPS基于level5的全库测试,通过率在85%以上。

广告推送

ASG支持对用户进行广告推送的功能。广告推送作为电子商务营销阶段的应用,具有灵活性、互动性和目标受众准确的特点,极大的降低了广告投放的费用,广告推送为大量的广告主服务,把互联网广告以合适的方式推送给合适的消费者,广告投放的精准性高,转化率高。

针对window PC端的http网页浏览可以在页面的四个方位任意选择推送广告。针对手机和pad类型的设备的http访问,由于页面较小,所以会推送全屏的广告,广告结束之后浏览正常。

公告推送

ASG支持对用户公告的定时,定点推送的功能。公告推送作为企业内部通知类信息的重要传播途径,在保证正常上网的同时,ASG可以基于http协议的网页浏览在符合一定规则的前提下,完成管理员提前定义的公告的推送。且支持对接第三方公告页面。

针对window PC端的http网页浏览请求在满足一定策略的前提下推送对应的公告页面,目前主要覆盖IE9-IE11、chrome53版本及以上、Firefox58版本及以上、edge等浏览器。

清晰的事后审计

ASG系列产品支持详细、清晰、易用的日志特性,可以全面记录审计用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息;日志支持定制化过滤器,可根据IP地址、认证用户、访问应用、访问URL、发帖内容等要素进行搜索,让事后审计省时省力;可支持对HTTPS、邮箱类解密策略的配置。同时,ASG产品提供丰富美观的报表,以柱状图、饼状图、百分比等形式最直观地体现网络运行状况,让网络管理规划有据可循、有的放矢。

设备集中管控

ASG Manager是专门针对ASG开发的一个专业的网络管理与日志分析系统。用户可以通过ASG Manager同时对多台设备进行监控、管理,还可以同时收集多台设备的日志信息,最终以报表的方式将感兴趣的内容展现出来。报表内容丰富多样,通过图形、表格等展现形式,为客户提供清晰的网络管理依据,使网络管理清晰明了,有理有据。