华为ASG5000上网行为管理 产品解决方案
目录
1
项目挑战&需求
2
ASG产品解决方案
3
场景&案例分享
刚性需求：依法合规
大数据时代，网络安全和信息安全已成为“达摩克利斯之剑” ，国家出台诸多法规，用于保护个人与国家的网络安全和信息安全。
• 数字生活真方便！ • 收集信息真全面！ • 发表言论真自由！ • 盗取数据真简单！
传统类身份认证 营销类身份认证 增强类身份认证 共享网络管理 网络安全防护
审计合规
精准行为审计 网络安全法 151号令 GA/WA3011.1 多方式日志留存
行为管理
细致应用管理 访问权限最小化 动态流量管理 多出口选路 用户行为画像
营销增值
应用缓存 快速IPSec VPN 广告推送 上网数据分析
• 《网络安全法》 • 《GA/WA3011.1-2015（无线非经）》 • 《151号令》 • 《等级保护2.0》 • ··· ···
安全需求：权限最小化
上网过程是一个“黑盒子”，不可见，不可管
用户思维
不禁止即允许
管理者思维
不出事即安全
网页浏览
VPN
游戏
贷款
P2P下载 视频APP 越权访问
股票 黄色网站
• 同时提供多种身份认证方式， 用户自行选择任意一种认证方 式
共享接入管理
共享接入管理，针对私接路由器、使用Wi-FI共享软件和使用随身Wi-Fi等行为进行识别和管理，有效管理NAT场景
共享接入处理机制
放行
时间戳
白名单
UA识别
流量接入
应用特征
终端总数
阻断
Flash Cookie
微信长连接
例外情况
电脑、移动端分别的数量
保障
业务应用
···
限速
高带宽消耗
···
最小权限
泄密风险
···
禁止
降低工作效率
···
自定义
自定义
··· ···
流量管理
基于时间、用户组和网络行为等制定流量管理策略，规范员工上网行为，保障关键业务带宽
高性能限制通道
• 一体化流控限制、保障策略 • 包含：带宽保障、带宽限制、每用户\IP限速、
应用、端口、时间、IP地址等维度
• 关注公众号，点击认 证
• 扫描二维码、搜索公 众号、识别二维码
• 支持获取手机号
• 连接Wi-Fi弹出二维 码页面
• 由认证成功用户扫描Portal服务 器
• 通过流量识别，读取 APP用户名
• 支持PC、IOS、安卓 等终端APP
• AC Controller、 Radius、Http、深澜、 城市热点、PPPOE等 认证服务器、协议的 上线用户
IP MAC 认证用户名 终端类型 终端数量
业务需求：网络管理
世界上最遥远的距离就是：Loading
你认为的网络情况
实际的网络情况
实际的网络情况
目录
1
项目挑战&需求
2
ASG产品解决方案
3
场景&案例分享
产品简介
产品介绍
ASG5000系列上网行为管理产品（以下简称“ASG5000”）是华 为面向各类企业、政府、大中型数据中心以及各类无线非经营性场 所推出的业界领先的综合上网行为管理产品。
流控通道动态调配
• 高优先级通道可借用其他低优先级通道带宽， 如低优先级通道拥堵，则将借用带宽返还
• 无需人工干预，实现流量动态调配。
时长、流量限额
• 基于总时长、总流量额进行带宽限制 • 超阀值后支持禁止上网或降速等方式
主要特点：
该系列产品可深度识别、管控和审计IM聊天软件、P2P下载软件、 炒股软件、网络游戏应用、流媒体在线视频应用等几千种常见应用， 并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理 特性。此外，还提供创新的网络应用行为精细化管理功能和清晰的 易管理日志等功能。
ASG上网行为管理特点
安全准入
安全准入
传统类身份认证 营销类身份认证 增强类身份认证 共享网络管理
网络基础、IPS、AV防护
传统类身份认证
传统类身份认证
• 满足政府、军队、大型企业、SMB等行业身份认证需求，实现实名上网； • 具备认证专业特性，支持HTTPS认证、伪Portal抑制技术、用户MAC无感知等机制
本地认证
IP、MAC绑定
• 弹送页面，提示刷卡 • 刷卡成功后即可上网
营销类身份认证
营销类身份认证
• 适用于金融、酒店、商超等行业，提供专业、合规和简易的认证上网
• 具备认证专业特性，支持https认证、伪Portal抑制技术、用户MAC无感知等机制
短信认证
微信公众号认证
二维码认证
Portal认证
APP认证
用户同步
• 支持亿美软通、凌 凯、一信通、佳诺、 阿里云、梦网科技、 移动云MAS、诺尔 等短信平台
第三方认证
单点登录
IC卡认证
• 需创建本地用户 • 用户名、密码校验身份 • 支持唯一性检查
• IP和MAC绑定 • 支持唯一性检查 • 支持批量导入导出
• LDAP、RADIUS、 POP3服务器联动
• 支持将用户同步至本地
• 与AD域配合联动，减 少认证步骤，简化上网
• ASG中下载登录程序， 安装于域控终端PC
增强类身份认证
增强类身份认证
• 适用于金融、政府、大企业等行业，对于用户认证场景要求高可靠，ASG提供高适应性的用户认证机制 • 具备认证专业特性，支持https认证、伪Portal抑制技术、用户MAC无感知等机制
旁路认证
混合认证
• ASG旁路部署，提供认证功能 • 支持范围：本地WEB认证、
Portal Server认证、短信认证、 免认证、混合认证、单点登录
社区论坛 远程
IM聊天
直播
OA系统
共享网络
购物 代理
HTTPS网站
泄密邮件 微博
贷款
安全需求
• 上网内容可见 关联“人”、“行为”
和“内容”等信息 • 上网内容可管
划分用户组、区域等 管理对象
针对管理对象进行权 限最小化控制
业务需求：实名准入
实名准入是行为审计和管理的基础 “匿名用户”犹如人脸轮廓图，无法确定是小华，还是小为；“实名用户”犹如人脸肖像图，特征和细节确定是小华
限速
行为管理
上网行为审计 访问权限最小化 流量保障和限制
多出口选路
行为管理
行为特征库
• 预置5000+应用规则 • 预置2000万URL
ASG5000
行为管理机制
• DPI、DFI 融合识别技术 • 支持加密内容审计，包括：加密网站、搜索内容、加密邮件 • 自定义应用 • 自定义URL、加密URL • 全局白名单、URL白名单