XM流量管理，内容管理规划建议书

　 XM 流量管理， 内容管理 规划建议书

　TiderWay 科技有限公司（中国区代表处）

　 Chinnal Manager

　 任恩玉 MP: MSN:

　E-MAIL:

　Apr. 2006 Ver.1.10

　章

　序

　一、

　背景

　........................

　错误!未定义书签。

　二、

　规划目标

　....................

　错误!未定义书签。

　三、

　规划方案

　....................

　错误!未定义书签。

　(一) 构建方案...................................................................... 错误! 未定义书签。

　１ .企业较常见的网络架构图.................................... 错误! 未定义书签。

　２ .企业另一种架构模式............................................ 错误! 未定义书签。

　(二) 管理配置 ..................................................................... 错误! 未定义书签。

　四、

　产品规格

　....................

　错误!未定义书签。

　(一) 实际性能...................................................................... 错误! 未定义书签。

　(二) IM 管理 ...................................................................... 错误! 未定义书签。

　(三) P2P 管理 .................................................................... 错误! 未定义书签。

　(四) ICM 设备规格 ............................................................ 错误! 未定义书签。

　(五) ICM 规格 .................................................................... 错误! 未定义书签。

　五、

　功能特色

　....................

　错误!未定义书签。

　(一) 可靠性与可用性 ......................................................... 错误! 未定义书签。

　(二) IM 系统管理 .............................................................. 错误! 未定义书签。

　(三) IM 使用安全 .............................................................. 错误! 未定义书签。

　(四) P2P 网络管理 ............................................................ 错误! 未定义书签。

　(五) 其它.............................................................................. 错误! 未定义书签。

　六、

　预期效益

　....................

　错误!未定义书签。

　一、 背景

　在今时今日的网络使用者心中，实时通讯软件(InstanMessenger，以下简称 IM)，比电子邮件更实时、更互动，缩短了人们之间的距离，其所搭载的多项功能，更提供使用者便利传达讯息、表达情感与资源流通的管道。IM 的实时性与互动性，有助于企业员工工作效率的提升，但同时也造成企业对于机密外泄、私人聊天、频宽滥用等的顾虑。依据 IDC 的调查，企业在线实时通讯用户正处于爆炸性增加的过程，2005 年底全球使用人口更将到达三亿人之多。如何在 IM所提供的工作效率提升，和各种网络滥用的弊端之间取得平衡，将是企业的首要考虑。

　任何具有 Internet 联机能力的应用程序，都有可能成为病虫或恶意威胁侵入与扩散的工具，交流快速且直接的 IM 更不可能避免；IM 病虫充分利用了人们好奇心，和使用者对于在线友人的友谊与信赖感，仅凭着对话窗上熟悉的账户名称，就能让用户将平常的防毒常识，暂时性遗忘。近 3 个月的 6 个病毒警报中，有 3 个是经由 IM 衍生，并有两个 IM 蠕虫中有 bot(Robot 的简称)傀儡虫寄生其中，藉以潜入受害系统。

　IM 几乎成为网络使用者不会缺少的应用软件，一昧地禁止并非长远与智慧的选择；未经控管的 IM 和点对点(Peer-to-Peer，以下简称 P2P)传输软件，将为企业与公司带来私人聊天造成生产效率降低、传输非法软件与多媒体的法律责任、不必要的频宽消耗、机密泄漏与信息安全威胁等等的隐忧，提早规划建置强健的 IM 管理软件，有效管理 IM，才能真正享受 IM 所带来的沟通便利与效率提升，而非再身受其害。

　二、 规划目标

　 辨识与统计出口网络上各种 IM/P2P 联机数量与通道，可以完全限制隐藏于合法通路的 IM/P2P 软件之联机。

　能允许 IM 用户登入聊天，但禁止挡案传送或开起视讯，以防止机密档案直接传送或开起视讯的私人事务频宽浪费。

　IM 以账号区别使用权限与对象，可制定哪些人员、哪些时段，享有哪些 IM软件的使用权、哪些功能。

　可定义不同群组 IM 使用权限，指定群组( 或个人)与群组( 或个人)的使用规则，使管理达到灵活与弹性。

　IM Account Learning 功能，让 IS 具有实时的「第七层」监控能力，可将收集到的新账号暂存，待管理者选择是否加入。

　IM 通讯文字内容，备份保留双向通讯内容；可做档案传送、关键词词过滤管理的拦截能力。

　IM 传档的实时扫毒，警告。

　对于网内员工的 IM 软件，适当加以账号管理，避免员工在上班期间滥用网资源聊天浪费生产力，藉以提升公司竞争力。

　P2P 软件联机管制与频宽管理，减低频宽资源耗损。

　需能够自动与原厂联机自动更新病毒码与特征码，并支持目录服务数据汇入，减低管理者负担。

　三、 规划方案

　依照频宽效能考虑，可于网络出口处或(及)各个小型部门、网段交接处，架设 TiderWay 内容管理防火墙 ICM 。

　采用分散处理集中监控方式

　ICM 配属一套 Management Server 安装程序，安装于一般 PC 或 Server设备上，用以透过 Management Server 来设定 ICM 设备上之政策，并同时收集分析 ICM 所回报的各项资料。Management Server 将统计分析IM/P2P 网络使用状况，产生各项完整的报表供管理者作为管理上的参考数据。

　( ( 一) ) 建置方案

　放置于 firewall 下，内部网络的出口处

　LAN Firewall

　１. . 企业较常见的网络架构图

　(1) 对 Client 端而言一般正常联机都必须设定 Proxy server 才可上网，如上图 蓝色线。

　(2) Hopster(帮 Msn 建立 Tunnel 的软件)以及 Softether 这类型软件就不走预设 Proxy server，而是钻 Firewall 上开的 Port Service 穿出去，如上图 红色线。

　(3) ICM 在此架构来说不但能看到 Source IP 作群组控管，也只需要Firewall 上开 Port 不需要动到 Proxy server 任何设定。然而为何需要在 Firewall 上开 Port 呢？原因是目前 Port Number 一共有 65535个，为了减轻 ICM 的 loading，ICM 上启动 IM Manager 做细部控管，此时 ICM 就只允许 MSN、Yahoo、ICQ、AOL 四大 IM 软件走正规的 Port Number。

　例如：MSN port 1863、Yahoo port 5050、ICQ port 5190、AOL port 5190。

　(4) 所以只要在 Firewall 上开 Rule。

　 LAN to WAN Allow Service：1863

　 LAN to WAN Allow Service：5050

　LAN to WAN Allow Service：5190

　 ２ . 企业另一种架构模式

　此架构与上图 1.差别只在于 Proxy Server 上的设定模式不同，目前 Proxy Serve Mode 有 2 种：

　第一种 Client 端把 Gateway 指到 Proxy Server 上 第二种 在 Core Switch 把 Default Route 指定 Proxy Server 上

　( ( 二) ) 管理配置

　独立配置

　Management Server 配置在 DMZ 网段内。

　设定 ICM 设备之 IP 为 DMZ 网段之 IP，并将 Mgt 端口以网络线连接到该DMZ 区域内的 switch 上。

　一般

　Management Server 配置在 LAN 网段内。

　设定 ICM 设备之 IP 为 LAN 网段，并将 Mgt 端口以网络线连接到 LAN。

　四、 产品规格

　( ( 一) )

　机器性能

　ICM-100 ICM-200 ICM-1000 内存 256MB 256MB 512MB 网络接口 10/100 Base-T Ethernet 10/100 Base-T Ethernet 10/100 Base-T Ethernet 同时上线人数 无上限 无上限 无上限 人 个人 IM 政策化 <50 <100 <200 最高同时承载联机数 6,000 40,000 200,000 流量负载能力( 双向) 25Mbps * 2 75Mbps * 2 100Mbps * 2

　 ICM-2000 ICM-5000

　内存 1GB 1GB

　网络接口 10/100/1000 Base-T Ethernet + SX 10/100/1000 Base-T Ethernet + MiniGBIC

　同时上线人数 无上限 无上限

　人 个人 IM 政策化 <400 <3,000

　最高同时承载联机数 400,000 1,600,000

　流量负载能力( 双向) 750Mbps * 2 1Gbps * 2

　 ( ( 二) )

　M IM 管理

　 Version MSN 6.2.0137 7.00425(eng) 7.00425(cht)

　YAHOO 5.5 6.0.1750

　 AIM 5.9.3690

　ICQ 2003pro V4.13 Lite V4.14 Lite V5.0

　2003II, III 2004formal Yam-2003 Yam-2004III -2004 formal edition Yam 2005 Formal Edition

　2005 Beta2

　Skype Skype v 1.0x Skype

　v1.1.x Skype

　v1.2.x Skype

　v1.3.x Google Google talk beta

　Talk

　实时讯息 档案传送 语音交谈 视讯传输 游戏 MSN OK OK OK OK OK Yahoo OK

　OK OK OK OK ICQ OK OK OK OK OK AIM OK OK OK OK OK Skype OK OK N/A N/A N/A Google Talk OK N/A OK N/A N/A

　 IM 行为阻止 ○ 关键词词过滤 ○ 互动讯息 ○ 通讯内容侧录 ○ 频宽管理 ○ 病毒侦测 ○

　 ( ( 三) )

　P P2P 管理

　协议标准 软 软

　体 Skype V1.0.x V1.1.x V1.2.x V1.3.x

　Bittorrent BitComet 0.54 Bitspirit 2.7.2.232

　Kuro Kuro m6 Kuro 2005 5.18

　Kazaa Kazaa 2.7, 3.0 Grosker 2.6.5

　Gnutella shareaza 2.1.0.0 morpheus 4.6.1,4.7.0 imesh 4.5 Bearshare 4.6.1.2 gnucleus 2.0.2.0 Softether Softether 1.0 Softether 2.0

　Directconnect directconnect 2.205 dc++ 0.668

　ezpeer ezpeer ezpeer

　1999A6 1999A10 (仅列重点项目)

　 登入阻止

　○ 频宽管理

　○

　 ( ( 四) )M ICM 设备规格

　 具备 HardwareBy-pass 与 HA 架构

　ICM-[200]/[1000]/[2000]为标准 Rack Mount 1U 高度机箱，可直接安装于 19 吋机架。

　四端口网络接口 HA port、Mgt port、internal-external bridge mode port

　具备管理知名实时通讯软件(例如：MSN、Yahoo、AOL、ICQ、Google Talk)的功能，包括阻挡软件使用非正常通讯端口(Socks4、Socks5、Http Proxy)联机，与依账号控管细部行为 (例如：登入、聊天、档案传输、影像、声音、游戏、远程协助、照片分享等)。

　支持超过 30 种以上 P2P(Peer-to-Peer)之管理功能，例如：eMule、eDonkey、Kuro、BitTorrent、ezPeer、KaZaA, iMesh、Gnuttela、Limewire、WinMx 等软件。

　具备 IM 行为管理能力：登入、聊天、传送档案、档案分享、语音、影像、白板、远程协助、游戏、相片交换(msn)、远程程序共享(msn)

　具备 P2P 管理：登入、频宽

　IS-5000 支持双电源的高可用性(High Availability)，达到网络不断线之备援机制。

　援双机备援的高可用性(High Availability)，达到网络不断线之备援机制。

　( ( 五) )

　r ICM Management Server 规格

　 可安装于 Windows 系统之 PC 或 Server 等级设备，效能与储存容量可依使用习惯调整。

　图型化使用者接口。

　具备定时传送统计报表之功能，管理者可以透过 E-mail 定时观看系统及网络之统计报表。

　具备警示讯息传送与系统资源调整使用接口。

　五、 功能特色

　( ( 一) )

　可靠性与可用性

　 透通模式，轻松安装，随插即用；In-Line 网关拓朴架构，投机者以 proxy为跳板也无法规避控管。

　标准机箱，可直接安装于 19 吋机架；提供硬件旁路设计，保持客户网络使用不断线。

　支持高可用性(High Availability)双机备援，提高网络可靠性。

　L7 L7 Content Management

　Firewall Anti-Virus Firewall/VPN

　(SSL virus scanning)

　提供在线注册与版本更新功能。

　( ( 二) )

　M IM 系统管理

　 IM 账号建立结合企业目录服务数据库，轻松导入员工基本数据。

　 结合 POP3(s)/IMAP(s)/Radius/LDAP 等个人认证程序，可让员工自行登记账号，进一步减低管理人员负担。

　 ICM 能辨识与控制实时通讯软件 MSN、Yahoo、AOL、ICQ 之各项细部行为，诸如：登入、聊天、传送档案、档案分享、语音、影像、白板、远程协助、游戏。

　 群组管理：可指定同一群组的账户，套用相同权限管理。

　提供群组(个人)与群组(个人)通讯权限政策之设定，将管理灵活性提升到最大程度。

　可让使用者自订响应讯息。

　 Bandwidth and traffic manager netreport

　( ( 三) )

　M IM 使用安全

　 以账号为基础管理 IM 行为，对实时通讯软件以特征辨识技术为导向，无论如何使用 Socks、HTTP Proxy，或伪装成其它通讯协议之联机，均无法规避 ICM 的管控。

　实时互动与通知 IM 使用者各项政策宣告，另可以 E-Mail 通知使用者。

　可指定对象测录 IM 通讯对话内容。

　可过滤 IM 通讯内容，可设定各项允许/不允许的文件名称传输、聊天关键词及聊天对象；配合病毒扫瞄，让实时通讯零风险。

　可控管 Skype 登入及传档，为其它知名厂牌所无法达到的功能。

　IM 应用软件 – MSN / Yahoo / ICQ / AOL / Google Talk

　– WebMSN / WebYahoo / WebICQ / WebAOL ( ( 四) )

　P P2P 网络管理

　 以特征辨识技术为导向，P2P(Peer-to-Peer)软件无法隐藏于其它流量。

　支持超过 30 种以上 P2P 软件联机特征辨别能力，例如：Skype、eMule、eDonkey、BitTorrent、ezPeer、KaZaA、iMesh、Gnuttela、Limewire、Kuro…等软件。

　 不相信端口号，以特征辨识技术为导向(联机的前 20 个封包即可判断)，P2P(Peer-to-Peer)软件无法隐藏于其它流量。

　可阻挡 P2P 软件多变性的登入方式；可限制其频宽使用上限。

　P2P 应用软件 – BitTorrent, KaZaA, Kuro, EzPeer, …

　( ( 五) )

　其它

　 在地客制化与服务团队。

　提供在线注册与版本更新功能。

　六、 预期效益

　 相较于 Proxy 拓朴架构的设备，本方案更能防止使用者规避检查， 预防机密档案直接传送或开起视讯的 私人事务频宽浪费。

　可限制员工于公司内只能与员工通讯，秉除私人聊天， 提高工作效率。

　可侧录并保留双向通讯内容，供 备份证据查阅。

　过滤 IM 通讯内容， 针对机密关键词词有拦截能力。

　防范 IM 传文件病毒、蠕虫传播。

　禁止 P2P 软件联机或限制使用频宽， 减低 P2P 软件对频宽资源的耗损。

　自动与 在地原厂联机自动更新病毒码与特征码，保持最佳的 IM/P2P 管控能力。