无锡宝界科技
 

 

  自主产品: 安全网关系列 | IPSEC/SSL VPN | 网页防篡改系列 | 内网安全系列
  投资合作: 渠道政策 | 代理合作 | 联盟合作 | OEM合作 | 你有项目我投资 | 我有项目你投资
   
   
 
 
 您所在的位置:首页 > 解决方案 > 行为流控准入
解决方案
行为流控准入
 
宝界实名上网---教育行业解决方案

教育行业信息化的主要问题分析:

  • 学生众多,无法针对学生进行有效的身份认证和身份识别;

学校拥有大量的学生、教师员工,根据国家相关规定,要求对所有人员上网做到有据可查,并能根据上网者的相关信息查询到该用户的所有上网记录。目前学校机房更多的采用人工登记的方式,既浪费了人工成本,也无法做到及时有效的查询。

  • 应用系统众多,安全性不高;

学校内部应用系统较多,针对学生提供一套完整的学习系统,不仅仅要提供应用软件系统,还需要采购服务器.防火墙等硬件,成本较高,同时学校的应用系统都处于学校内网,学生在家也无法使用学校的网络资源,与学校之间互联也存在链路及安全面的问题。

  • 网络与业务复杂,维护成本较高;

复杂的网络结构,复杂的管理方案、复杂的信息系统,对管理人员造成了极大的困惑。不断的维护过程中造成了人力资源成本的巨大浪费和重复投资。如:如何快速有效的管理众多的网络设备、服务器、相关服务,及时准确的定位ARP病毒等。

  • 教育专网互联;

根据教育部规定,学校必须与教育专网互通,达到资源共享,统一管理。因此作为管理机构的教育局需要与学校保持高速、稳定的互联。考虑到学校数量总多,分布较散,如果架设专线,线路则无法全面覆盖所有学校,且专线成本较高,采用专线既浪费了网络资源,也为学校带来了较大的成本压力;

  • 出口统一,应用众多,核心设备压力极大;

当前所有学校全部通过DDN专线经由教育局访问互联网,教育局核心设备承担了极大的负荷,大量的HTTP请求/P2P下载/在线视频等应用层出不穷,既影响了核心设备的转发性能,也对正常的工作流产生了极大的影响。

教育行业需求分析:

针对学校的上述问题,我们可以看到,目前教育行业在信息化建设的主要问题,依然是以教育专网互联、身份认证为主,并通过合理的身份认证技术进行安全的远程访问,同时通过扩展的应用服务、基于应用访问的流量控制技术、监控管理技术对校园网进行集中的管理与访问。

宝界实名上网网关
是一款专用的宽带接入硬件设备,集路由器,防火墙,带宽控制设备,接入认证,上网行为管理,网络管理等功能为一体。设备广泛应用于企业,学校,小区,网吧等提供网络接入的场所。对于中小型网络,宝界实名上网网关放置于网络出口。支持宽带路由器和无线宽带路由器接入认证。

宝界实名上网网关提供如下功能:

1、路由器的功能,进行源地址转换,用硬件替代中小网络现有的代理服务器(软件)。
2、防火墙的功能,对内部的ip地址进行保护。同时可以对内部服务器进行虚拟映射。实现一个公网IP能虚拟多种公网服务的功能。
3、宝界实名上网网关能对内部的IP或者IP段进行非常详细的带宽控制功能。保证部分网络的优先权,优化带宽,提高网络访问速度。
4、用户管理功能。可对内部网络实行实名上网授权,分配上网帐号,并且支持IP地址、用户名、MAC地址等多种元素的组合绑定。在未登陆前,可以强制用户访问任何网站重定向到某一特定页面。
5、上网行为控制功能。能在第四层协议上内网用户的网络行为进行控制,允许用户使用特定的服务,控制用户的上网时段。限制用户每天使用的时间或者流量。
6、网络管理功能。对整个内部网络进行监控和优化,实现网管功能。支持策略路由,多线冗余等功能。
7、访问日志功能。能对用户访问的内容进行智能日志记录,日志格式符合公安部标准。

目前校园网络碰到的主要问题

1、通常接入ISP,需要配备防火墙或者路由器(完成安全防范和地址转换的功能),另外如果需要实名上网认证,又需要购买支持802.1x的接入交换机和radius计费管理软件。这样导致的结果是网络运营成本急剧升高。
2、缺乏有效的带宽管理手段,通常是业务流和其他数据流共用带宽,带宽易被恶意占用,整体网速无法得到有效保障,关键业务缺乏链路保证。
3、无法实现实名上网。存在着多人共享上网,盗用IP地址、MAC地址上网等,对此管理员束手无策。
4、对于上网的行为无法进行控制。针对某些特殊群体,无法实现基于行政权限来完成网络权限的分配。
5、用户的开通或者注销完全通过手工来实现。缺乏全面的用户管理系统。
6、缺乏访问日志系统,无法满足公安部的纪录60天访问日志的要求。
针对这些问题,宝界实名上网网关提供了全方位的解决方案。一台"实名上网网关"即可解决所有网络中令人头痛的问题。

产品独特优势
随着类防火墙市场的成熟,市面上的类防火墙产品厂商多达数百个,同一档次的产品,功能,性能,应用方面相差无几,以下为宝界实名上网网关的独特优势:
1、 功能相对比较全面和适度,集中了防火墙,路由器,流量控制系统,上网行为管理系统,接入认证系统等硬件平台中最完美部分的功能(并非功能越多越好!功能越多,性能越低)。
2、 基于用户的管理方式。市面上的类防火墙(路由器)产品虽多,但都是基于网络层面的,需要专用的技术人员来进行配置。而宝界实名上网网关接入控制则把配置从网络层转换到用户层面。比如传统的防火墙需要限制某个用户的带宽或者其他行为,得先找到这个用户的IP,然后使用带宽控制功能来限制。而宝界实名上网网关不是基于IP的,而是基于用户的,直接针对用户或者用户组进行控制,无论该用户用什么IP。
3、坚守网络优化原则。市场上其他类防火墙宣传的主要功能为抗攻击性,转发率等。无论采用NP,还是X86构架的中低端防火墙,在启用NAT(地址转换后),设备自身均有一个NAT地址表的限制,所以很容易受到攻击而瘫痪。即便用户升级带宽,但上网的用户依然觉得不够,原因是因为网络上跑的大部分都是垃圾数据,病毒,攻击包等。所以再大的包转发性能和带宽在此均没有任何意义,而是要合理的利用这些带宽。宝界实名上网网关对经过设备的数据包经过特别的优化,将不用的垃圾数据,攻击数据等全部丢弃.让网络上跑的是真正有用的数据!!!
4、 内置Web认证和专用客户端认证功能,特定用户要访问外部网络,可以强制用户重定向到特点WEB认证页面,要求使用账号上网。对于采用专门的认证计费系统来说,此功能相对简单,部署容易,无需外部的radius服务器即可工作。特别适合中小网络,节省运营成本。支持账号限时,限流量(每天,每月)等功能。
5、 真正的"即插即用"。将设备架设到现有网络中,只需几分钟配置。就可以与现有网络融合,无需交换机,路由器等的支持,即可实现实名上网。
6、 可以防止用户使用"代理服务器",进行多人共用一个账号上网的情况。

实名上网认证流程
宝界实名上网网关放在internet的出口,当探测到内部用户有访问internet的请求时,设备会自动将用户的WEB访问请求定向到一个要求认证的页面,用户输入用户名和密码通过验证后方可进行正常的上网。对于有多级NAT地址转换的用户,可以使用宝界实名上网专用认证客户端,详细认证流程:

■用户开机,打开浏览器上网
■宝界实名上网网关向用户弹出登陆页面,包括用户名和密码输入窗口。
■用户输入用户名和密码并提交,一体化设备进行验证,通过则开通用户的上网访问权限。否则,拒绝访问。也可以通过宝界实名上网专用认证客户端来进行登陆。
■下网时,用户点击注销按钮,或者直接关闭计算机,则自动注销。

产品功能详解

1.网络功能
■支持桥接和路由(NAT)等多种网络接入模式,接口可以互换使用.
■支持DHCP动态IP地址分配,支持多路DHCP分发
■灵活的VLAN支持,提供方便的802.1QVLAN协议的接入、VLAN路由的支持
■IP-MAC地址绑定功能支持
■精确到KB级别的带宽控制功能
■内置Bt,e-mule,edk,迅雷,MaxIE,QQ,poco等几十种p2p软件的限制功能,并且可以设定p2p的允许使用时间和最大使用带宽
■支持源地址转换和目的地址转换(地址映射)
■支持多出口,策略路由(源地址路由)。
■支持IPSEC穿透。支持PPTP方式的VPN接入。

2.安全功能
■采用专用嵌入式安全操作系统
■内置抗NAT溢出攻击,synflood,udpflood,dos,ddos,pingofdeath等几十种攻击方式的防火墙。
■内置防DDOS攻击模块和专用的防蠕虫病毒模块
■设定管理IP,限制能进入管理界面的机器IP
■MAC地址过滤(白名单,黑名单功能)
■基于内核的高级防火墙规则控制,支持包过滤和状态检测防火墙,支持时间规则策略
■全面限制主机(网段)所允许建立的最大连接数和单位时间的发包频率,避免恶意攻击或者网络病毒占用设备资源.
■网站查封,url解析过滤
■客户端和web认证均经过高强度加密,防止用户账号被盗用

3.管理功能
■真正的即插即用,轻松融入现有网络。
■可远程对网关配置管理,管理人员即使在外地,只要可以上网,就可以远程对设备进行所有管理
■设备通过可升级,对于新的攻击方式,病毒等。可以通过升级系统来完成更新。
■支持ssh,telnet,控制口等进行管理
■配置文件轻松通过导入导出,方便在多台设备之间进行数据交换。

4.设备监控功能
■实时查看cpu,内存,网络利用率
■图表显示网络利用状态
■查看设备网络连接数,带宽利用,包转发速度等
■内置网络数据包监控功能,在病毒爆发或者黑客攻击时方便查找攻击源.

5.认证及用户管理功能
■支持专用客户端认证,web认证两种认证方式
■多种方式组合防止客户机使用共享上网(代理)功能,检测到客户使用代理服务器后,可由管理员设定是否查封用户帐号,查封多长时间
■支持外网白名单(仅允许访问某些IP段)和黑名单功能
■支持二层MAC+IP认证功能,即无须用户名和密码,只要IP和MAC地址被授权,则允许上网,默认情况下不允许上网。
■基于用户和组的带宽控制功能(精确到KB)

6.扩展功能
■可扩展计费模块,同时可以支持多种计费方式。

 
 
© 2004--2010 宝界科技有限公司