banner1

您的位置: 首頁 > 弱電資訊 > 網絡系統 > 室外無線wifi整體安裝方案-無線覆蓋安裝(圖文)

室外無線wifi整體安裝方案-無線覆蓋安裝(圖文)

(責任編輯: 無線覆蓋安裝) 發布日期: 2019-11-13 11:18:54

室外無線wifi整體安裝方案-無線覆蓋安裝(圖文)
1    項目概述
隨著信息技術的不斷發展,城市信息化應用水平不斷提升,智慧城市建設應運而生。建設智慧城市在實現城市可持續發展、引領信息技術應用、提升城市綜合競爭力等方面具有重要意義。
當前,無線城市的業務正由早期狹義的普通上網業務,向高速移動互聯網業務大局發展,未來還將拓展到物聯網、云計算和三網融合等眾多業務中。依靠這些層出不窮的新技術、新業務,“無線城市”會讓每個人,企業和政府享受更加智慧、高效和安全的服務。
為此,將建設常平土塘公共場所的無線覆蓋,本文就WLAN建設提供規劃及建議。
2    網絡建設需求
本期工程的主要目的是建設能支撐無線網絡運行的城域有線及無線網絡,滿足:
—在充分利用現有光纖資源的基礎上(或新建),連接無線網絡,承載無線網絡各類業務數據通訊需要;
—開展無線寬帶上網、移動視頻、無線數據VPN等業務的需要;
—滿足后續網絡擴展,提供更多數據業務的需要;
—提供必要的認證,安全,網管,審計等功能。
本次無線網絡建設包括幾個部分:
1)    統一的承載網絡。無線部分就近接入相應區域的匯聚交換機,通過核心交換機統一交換處理。
2)    統一認證。通過部署統一的認證系統,對用戶進行管理。
3)    統一門戶。可以根據不同用戶需求提供個性化的門戶,提供業務推送等。
4)    統一網管。作為運營網絡,管理和維護非常重要,需要規劃有線、無線一體化管理平臺。

3    建設原則
鑒于無線的業務存在一定的特殊性,故在設計網絡時主要遵循“高安全可靠、高運維、高帶寬、可擴充性、開放性”的原則,具體體現如下:
?    一體化網絡
設計應充分考慮整個網絡的統一性與協調性,在網絡建設過程中涉及到基礎網絡中的有線網絡與無線網絡、語音網絡、監控網絡,這樣要求基礎網絡與業務網絡具有很要的配合與協調性,從管理控制的角度,要求網絡具有統一的管理控制措施;
?    安全可靠性
設計應充分考慮整個網絡的穩定性,支持網絡節點的備份和鏈路保護,提供網絡安全防范措施,同時網絡具備一定的攻擊行業防范能力;
?    高帶寬
考慮到由于有無線網絡上要承載視頻流,要求方案設計的階段就要充分考慮到網絡帶寬資源的問題,同時由于業務模型的不確定,要求在標準的基礎上還要考慮網絡負載均衡能力,以達到網絡資源使用的可調配性;
?    高運維
由于網絡的設備分散,網絡所承載的用戶量較大,故要求網絡系統提供較好的運維手段;
?    可擴充性
隨著網絡的業務不斷擴充,要求網絡具有一定的可擴容能力。所有系統設備不但滿足當前需要,并在擴充模塊后滿足可預見將來需求,如帶寬和設備的擴展,應用的擴展等。保證建設完成后的系統在向新的技術升級時,能保護現有的投資
?    開放性
技術選擇符合相關國際標準及國內標準,確保網絡的開放性和互連互通,滿足信息準確、安全、可靠、優良交換傳送的需要;開放的接口,支持良好的維護、測量和管理手段,提供網絡統一實時監控的遙測、遙控的信息處理功能,實現網絡設備的統一管理
?    可管理
整個系統的設備應易于管理,易于維護,操作簡單,易學,易用,便于進行系統配置,在設備、安全性、數據流量、性能等方面得到很好的監視和控制,并可以進行遠程管理和故障診斷。

4    網絡建設方案
4.1    覆蓋區域
本WLAN項目主要覆蓋區域包括常平土塘如下場所:
1、港建路兩旁
2、塘霞路居民區
3、土塘第一工業園
4、橋東路--塘東路市場
5、盛塘路
6、家居家紡體驗館附近道路
    本次覆蓋區域屬于室外環境,室外環境多樣,根據各個場所的環境特點、大小等,部署相應數量的AP,滿足各個場所無線接入需求,為保證良好的用戶接入體驗,盡量保證每個AP的并發接入人數在30以內。
4.2    總體方案設計
4.2.1    方案設計
常平土塘無線覆蓋方案方案采用室外AP對土塘工業園和附近的居民區、市場、商業街以及家居家紡體驗館附近區域的道路進行覆蓋,目的是在以上區域的室外空間提供無線網絡服務。無線網絡組網采用AC+AP方式,在常平土塘新建一臺無線控制器(AC),對本次新建AP進行管理和控制,同時留有足夠的管理區間,可以為之后新增的AP提供集中的管理。AP接入使用PoE交換機,在提供數據傳輸千兆上聯傳輸的同時,為AP提供電力接入功能。在出口處部署一臺上網行為管理設備,對無線上網用戶進行策略管理,對用戶的網絡行為進行審計、記錄。整網拓撲如下圖所示:

本次網絡是一個綜合性的承載網絡,集成有線、無線、語音、視訊等多個實體的一個綜合性網絡,因此對網絡的性能、可靠性、業務提供能力等均有很高的要求。
4.2.1.1    核心層無線覆蓋安裝
核心層網絡設備,H3C S5500系列交換機通過千兆端口互聯上網行為管理設備和無線控制器,無線用戶數據在這里實現快速的數據轉發;互聯無線控制器,可以實時的監控著常平土塘區域的AP的工作情況,當AP需要改動或出現故障時,能第一時間進行配置及發現,對設備的維護提供了便捷的途徑。上網行為管理設備對無線用戶的網絡行為進行記錄審計,同時還能對流量進行控制,以確保各無線用戶能暢通無阻地進行網上沖浪。同時,設備間的千兆鏈路互聯,達到高帶寬、高轉發性能的效果。
4.2.1.2    接入層
接入層主要滿足AP的接入需求,雙鏈路上行至核心交換機,滿足高可靠、負載均衡的要求,同時,建議接入層使用POE接入交換機。
為方便統一管理,提高設備的安全性,本次無線供電設計建議采用POE供電的方式對無線AP進行遠程供電。采用POE方式即通過網線對AP進行供電,POE供電方式具備以下幾點優勢:首先,安全性更高,通過網線進行供電可以避免本地電源的使用,有效減少強電部署,提高土塘地區的用電安全。

4.2.1.3    無線AP
根據公共場地的環境特點,常平土塘無線覆蓋區域為室外區域,因此采用WA2620X-FIT(室外型,雙頻)方案,實現大功率AP設備對室外環境進行全面的覆蓋,滿足精細化覆蓋需求,詳細覆蓋請看部署方案。
基于網絡的先進性考慮,本次無線網絡項目采用目前主流的無線控制器+瘦AP的架構,在實現對校園進行無縫覆蓋的同時,又能夠實現對無線網絡的靈活管理配置,提高網絡維護效率.


WA2620X-FIT無線接入設備
4.2.1.4    AP安裝規范及示例圖
室外無線AP的安裝既可以放置在樓層頂部抱桿安裝也可以通過墻裙安裝支架安裝。實際施工及部署時根據現場環境做相應調整。根據H3C多年無線施工經驗,可以參考如下安裝規范。





4.3    Portal認證方案
Portal的典型組網方式如下圖所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。
 
認證客戶端
安裝于用戶終端的客戶端系統。該客戶端系統為運行HTTP/HTTPS協議的瀏覽器或Portal客戶端軟件
接入設備
交換機、路由器等寬帶接入設備的統稱,主要有三方面的作用:
在認證之前:
?    如果不采用Portal客戶端,用戶直接使用IE上網瀏覽,那么設備將用戶的HTTP請求重定向到Portal服務器;
?    如果采用Portal客戶端,那么在用戶創建連接的時候,設備將會返回給客戶端Portal服務器的IP地址、服務端口等信息。
在認證過程中:
?    與Portal服務器、認證服務器交互,完成身份認證、授權等功能。
在認證通過后:
?    允許用戶訪問被管理員授權的部分互聯網資源。

Portal服務器
提供免費門戶服務和基于Web認證的界面,并與接入設備交互認證客戶端的認證信息。
認證服務器
與接入設備進行交互,完成對用戶的認證、授權。

4.3.1.1    訪客認證業務流程
業務流程如下圖所示:無線覆蓋安裝
 
1、    用戶通過無線網絡獲取IP地址上線,可直接訪問Portal網址或任意網站;
2、    訪問portal網址的用戶則直接彈出portal認證頁面,訪問其他網址的用戶則通過重定向功能,自動鏈接到portal認證頁面;
3、    Portal認證界面提供三種選擇:(1)訪客用戶 (2)普通員工用戶
(1)    由于沒有帳號,則需要通過輸入手機號碼,動態獲取到密碼并填入后進行認證;
(2)    通過選擇后,可以直接輸入用戶的帳號和密碼進行認證;
此處可以通過相關的策略,給不同用戶提供不同權限,例如帶寬;同時也可以通過portal推送不同的頁面等。
    4、認證成功則可以上網,認證失敗則推送相關信息并要求重新認證。
4.3.1.2    Portal認證無感知
目前Portal認證是WLAN網絡的主流接入認證方式之一。當采用Portal認證時,用戶每次接入WLAN網絡時都需要在Portal頁面中輸入用戶賬號/密碼信息,操作較為不便。特別是當前使用WiFi網絡的Pad、智能手機等終端設備越來越多,而此類終端受到屏幕、瀏覽器等資源限制,在Portal頁面中輸入用戶名/密碼等信息時極為不便,使得用戶上網體驗大打折扣。針對此問題,H3C特提出Portal無感知認證解決方案,大大簡化Portal接入流程,提升用戶的接入體驗。本文將為大家簡單介紹Portal無感知認證解決方案的相關流程。
一、Portal用戶首次接入,自動完成MAC綁定


在Portal無感知認證解決方案,用戶首次接入WLAN網絡認證流程如圖1所示。具體認證流程如下:
步驟1、用戶連接WLAN網絡SSID,并通過DHCP服務器獲取IP地址信息。
步驟2、AC將監控用戶的上網流量。
步驟3、當AC監控的用戶流量達到閾值時,(例如流量閥值可設置為5分鐘累積流量10KB),AC將向MAC綁定服務器發起MAC查詢請求。
步驟4、MAC綁定服務器向AC返回查詢結果:此終端MAC信息未綁定。(由于此終端用戶是首次連接WLAN網絡,所以MAC綁定服務器中無此終端的MAC地址信息)
步驟5、AC將按照正常Portal流程向終端重定向Portal認證頁面。
步驟6、用戶終端輸入用戶名、密碼信息發起Portal認證。
步驟7、AC與Portal服務器、AAA服務器之間完成Portal認證。
步驟8、AC向MAC綁定服務器發起MAC綁定請求,MAC綁定服務器完成此用戶終端MAC地址信息的與Portal賬號的綁定。
步驟9、用戶認證成功,正常上網。
二、Portal用戶再次接入,后臺自動認證,用戶零配置


圖2 Portal用戶再次接入認證流程
在Portal無感知認證解決方案,用戶再次接入WLAN網絡認證流程如圖2所示。具體認證流程如下:
步驟1、用戶連接WLAN網絡SSID,并通過DHCP服務器獲取IP地址信息。
步驟2、AC將監控用戶的上網流量。
步驟3、當AC監控的用戶流量達到閾值時,(例如流量閥值可設置為5分鐘累積流量10KB),AC將向MAC綁定服務器發起MAC查詢請求。
步驟4、MAC綁定服務器向AC返回查詢結果:此終端MAC信息已綁定,并攜帶此終端的Portal賬號/密碼等信息向AC發起Portal認證。(由于此終端用戶已完成首次登錄,MAC地址、Portal賬號/密碼已在MAC綁定服務器中完成信息綁定)
步驟5、AC與Portal服務器、AAA服務器之間完成Portal認證。
步驟6、用戶認證成功,正常上網。
三、用戶下線方式
 
圖3 用戶idle-cut被動下線方式流程
在Portal無感知認證解決方案,用戶下線可以通過idle-cut方式被動下線,即一段時間內AC沒有檢測到用戶流量,AC則強制用戶下線,流程如圖3所示:
步驟1、AC 將監控用戶的上網流量。
步驟2、一定時間內(例如15分鐘)AC檢測到用戶無流量,則向AAA發送計費結束報文。
步驟3、AC強制用戶下線。


圖4 用戶短信主動下線方式流程無線覆蓋安裝
同時在Portal無感知認證解決方案,用戶也可以考慮采用短信主動下線的方式完成用戶下線,具體流程如圖4所示:
步驟1、用戶發送下線請求短信(例如10085xxqq)到短信網關。
步驟2、短信網關收到用戶下線請求的短信后將通知MAC綁定服務器。
步驟3、MAC綁定服務器向AC設備發送下線請求。
步驟4、AC收到下線請求,則向AAA發送計費結束報文。
步驟5、AC強制用戶下線。

Portal短信認證功能
    確定使用WiFi網絡的客戶只需要接入無線網絡后輸入手機號,與短信平臺聯動,獲取密碼登錄。短信認證可確定客戶的唯一身份。注:需要提供短信接口對接
認證頁面和業務廣告推送功能
用戶在上網之前發表免責聲明,打開頁面,彈出定制的web頁面(提供修改廣告圖片及鏈接地址),用于提示上網政策及業務宣傳。可設置認證申請頁面,認證成功頁面,在網心跳頁面。在用戶接入無線網絡的時候,立刻向用戶終端推送業務廣告,包括實時的產品、服務、促銷活動或者互動投票等內容,讓用戶及時了解最新動態。下側示例為某銀行的推送頁面。
個性化Portal頁面定制功能
通過系統提供的繪制工具定制Portal頁面, 內置多個模板, 支持PC(包括PAD)和手機終端,同時還可以導入第三方繪制的Portal頁面, 方便頁面的集中管理。
用戶管理功能
可以對用戶進行分組,識別登錄用戶的信息。區分VIP用戶和內部用戶,普通用戶,分配不同的上網時長和流量配額,還可以對帶寬限制、應用控制和分配不同權限。

上網流量控制功能
可限制下載類的大流量應用,限制單用戶使用網絡的流量,保障用戶的上網體驗。

上網行為管理功能
管理設備可對用戶上網行為進行審計,過濾不良網頁和應用,提供健康綠色的上網環境。對部分敏感信息進行記錄,滿足公安部82號令的要求。

完整的報表分析功能和圖形化界面
便于了解網絡現狀現狀,進行統計/對比/趨勢分析。管理員登錄WLAN控制器后臺,可隨時查看WLAN的接入用戶數量及最新接入用戶名單,還可直接查看各個熱點的設備健康狀態,以及每臺AP的用戶接入數量。

短信認證概述
短信認證通常需要與企業短信平臺進行集成,而短信認證模塊支持與GSM/WCDMA短信貓或短信網關聯動,通過下發實時短信驗證碼的形式,驗證用戶信息。
從技術角度來看,目前企業實現短信認證的短信服務主要通過三種方式:


下面對三種方式的特點加以比較:
  短信貓(方式一) 運營商短信網關(方式二) 短信代理商短信網關(方式二) 專業短信網關代理設備(方式三)
深信服支持 支持主流GSM/CDMA短信貓 支持移動V2/V3、電信V3、聯通標準接口短信網關;
 
支持標準接口短信網關
非標準接口Webservice方案支持
支持標準接口短信網關
非標準接口Webservice方案支持
優勢 簡單實施,
不需要網絡支持
批量發送能力強
送達率高
資費更靈活
批量發送能力強
功能更豐富
批量發送能力強
劣勢 批量發送能力較弱 資費高 發送號碼可能不固定 資費高
需要硬件設備: 需要 一般不需要; 一般不需要; 需要;例如移動MAS代理服務器;或是用戶自主研發的短信代理平臺
廠家     億美、商信通 華為、嘉訊
【中國銀行95566短信平臺】
是否需要互聯網絡支持: 一般不需要 需要 需要 需要
需互聯網:   約2M 約2M 約2M
短信發送 - 響應速度: 大于5秒,方面取決于短信設備的處理時間,另一方面取決于運營商短信信號的問題 2秒-30分鐘不等;取決于短信網關的繁忙程度 2秒-30分鐘不等;取決于短信網關的繁忙程度 2秒-30分鐘不等;取決于短信網關的繁忙程度
批量發送速度: 10條 /分鐘 大于600條/分鐘
(可協商)
大于100條/分鐘
(可協商)
大于600條/分鐘
(可協商)
發送達到率: >90% >99% >97% >99%
其他限制 受運營商限制
不可發送廣告短信
協商 協商 協商
號碼: 普通手機號碼 普通手機號+特服號(運營商分配) 特服號(可能是多客戶共享,發送號碼不固定) 普通手機號+特服號(運營商分配)
發送范圍: 移動、聯通、電信2G/3G的所有用戶
短信接收:
接收范圍: 移動、聯通、電信2G/3G的所有用戶;
短信轉發: 提供,管理員可以自行設置
管理方式: 基于瀏覽器
和應用系統的接口: VB、LotusNotes、Java、數據庫、SMTP/SOCKET、統一Web應用接口等……
接口區別 獨立接口 各運營商內采用統一接口; 各短信代理商之間接口不同; 各運營商內采用統一接口;
各客戶自主研發接口不同
繳費方式: 和普通手機一致
(按月或自動扣繳)
預存話費(500元起)
自動扣繳
預存話費(協商)
自動扣繳
預存話費(500元起)
自動扣繳
資費方式: 發送0.05~0.1/條;接收免費; 0.06~0.02/條;接收免費 0.08~0.04/條;接收免費 0.06~0.02/條;接收免費
綜述: 小數據量,簡單,快捷 大數據量,量大價優,服務穩定, 中數據量,量大價優,服務穩定, 大數據量,量大價優,服務穩定,功能多
4.4    上網行為管理

4.4.1     網橋模式
在核心交換機和防火墻之間部署AC,AC以網橋模式部署,實現對內網用戶上網行為管理,并且不用更改網絡結構、路由配置以及IP配置,部署簡單快捷。(2臺AC間啟用多機同步功能,實時同步用戶認證、會話、配置等信息,互為冗余備份,提高系統可靠性。)
同時,AC具有Bypass功能,在網橋模式部署下關機、開機、重啟或者出現故障,則通過Bypass功能實現兩端接口二層連通,避免出現鏈路斷開狀態,保證業務持續性。


統一部署
本次方案設計中,網絡架構為“總部-分支”星型結構,由于在各個分支大規模的部署了上網行為管理系統AC,數量多,地點分散,因此增加了管理難度。為了有效提升管理效率,降低管理成本,在總部部署一臺集中管理設備SC。通過SC對全網范圍內的AC進行集中式管理,統一下發策略和配置,有效降低管理復雜性。

身份認證
為了有效區分用戶和用戶組,針對不同用戶實施不同的上網行為管理策略,因此,在網絡訪問過程中,必須具備身份認證機制,避免身份冒充、權限濫用等出現。
4.4.3.1     本地認證
AC支持本地認證功能,包括Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定、USB-Key等。通過本地認證功能,能夠準確識別上網用戶,從而對該用戶進行上網行為管理,而對于未通過認證的用戶則限制其網絡訪問權限。
4.4.3.2     外部認證
AC支持與LDAP、Radius、POP3等外部認證服務器或者SAM、CAMS等認證計費系統結合進行身份認證。當用戶在認證服務器上進行認證后,AC能夠獲取用戶認證信息,用戶不用在AC上進行第二次身份認證,形成單點登錄,避免重復認證所帶來的麻煩。通過身份認證功能,AC能夠準確識別上網用戶,從而對該用戶進行上網行為管理,而對于未通過認證的用戶則限制其網絡訪問權限。
4.4.4     上網行為控制
網絡應用極其豐富,尤其隨著大量社交型網絡應用的出現,用戶將個人網絡行為帶入辦公場所,由此引發各種管理和安全問題。因此,全面的應用控制幫助管理員掌控網絡應用現狀和用戶行為,保障管理效果。
4.4.4.1     應用控制無線覆蓋安裝
互聯網應用眾多,要在內網對各應用進行合理的管控,首先需要對應用進行識別。AC內置龐大應用特征識別庫,包含1500多種應用,可識別目前網絡中各種主流應用,如微博、社區論壇、網盤、在線視頻和移動APP等。對于未知應用,AC支持自定義功能,用戶可通過協議、IP、端口等元素定義內網系統應用,從而對不同用戶進行控制。
 
AC不僅可以針對用戶使用WEB、FTP、EMAIL等常用服務的情況進行控制,還能夠通過深度內容檢測技術,實現對QQ、MSN、SKYPE等IM聊天工具,BT、電騾等P2P下載工具,PPLive、QQLive等在線影音工具,網絡游戲,在線炒股等網絡應用行為進行管理和控制。
針對目前P2P應用泛濫的趨勢, AC的P2P智能識別技術基于P2P行為進行識別,不僅能夠對現有的BT、迅雷、電騾等P2P軟件進行管控,還能夠對不常用的、未來可能出現的P2P軟件進行有效管控。并且對P2P行為嚴重吞噬帶寬資源的問題,提供P2P應用封堵措施。針對類似P2P難以管控的應用,AC內置應用智能識別庫,自動判斷新出現應用特征,從而歸類管理。
     AC具備多種網絡訪問控制功能,可以基于用戶/用戶組、基于時間段、基于不同目標行為進行靈活權限控制,實現人性化管理要求。
4.4.4.2     應用標簽化
管理員可通過AC對應用或具體細分動作進行標簽化,例如,迅雷下載定義為“高帶寬消耗”標簽、網盤的上傳動作定義為“泄密風險”標簽等。管理員在制定策略時,可通過標簽來選擇相應的應用或細分動作,不用逐個選擇,從而避免錯選漏選,提高管理效率。
4.4.4.3     網頁過濾
企業員工在日常需要使用網絡的工作中,需要搜索訪問互聯網。互聯網的開放性帶來了資源的傳播和共享,同時也為不良資源提供了擴散的平臺。反人類、反政府、色情、賭博、毒品等包含不良信息的網頁屢見不鮮、層出不窮,因此,需要網頁分類、搜索引擎關鍵字過濾等技術來控制網頁訪問行為。
AC內置千萬級URL庫,將互聯網網頁分成60多個類別,同時每半個月實時更新和維護URL庫。
 
AC提供自行添加URL的功能,在查詢URL庫中沒有此URL地址時,用戶可自行在設備界面進行添加,也可自定義URL類型,對企業內部網頁進行管理。
 
AC具備URL智能識別功能,可對未知的網頁進行自動學習、判別、歸類,保持URL識別庫動態更新。
4.4.4.4     發帖過濾
網絡的開放性給人們帶來更多的言論自由,但發表一些類似色情、反動、迷信或者暴力的信息,影響社會安定,造成了不必要的影響,企業或個人也要承擔法律責任。
AC可對發帖進行關鍵字過濾。天涯、貓撲、百度貼吧等論壇網站,AC可設置只允許登陸、看帖,但不允許發帖,或者實行發帖關鍵字過濾,靈活避免企業中出現泄密或者發表不良言論帶來法律追究責任的風險。
4.4.4.5     郵件過濾
Email不僅是組織重要的溝通方式之一,同時也是最常見的泄密方式。AC支持基于關鍵字、收發地址、附件類型/個數/大小過濾外發郵件,對于將文件修改后綴名、刪除后綴名,或者壓縮、加密后作為Email附件外發,試圖躲過攔截與審查的行為,AC能夠識別并進行報警。同時,對于所有收發的webmail、Email郵件AC都可以全面記錄并完整還原原郵件,并通過數據中心方便管理員對郵件日志進行查詢、審計、報表統計等操作。
4.4.4.6     文件傳輸過濾
利用網絡來進行文件傳輸在日常辦公中普遍出現,而在文件傳輸過程中存在種種管理和安全隱患,如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發起外發文件行為而用戶對此茫然無知,有意泄密者甚至會將外發文件的后綴名修改、刪除,或者加密、壓縮該文件,然后通過HTTP、FTP、Email附件等形式外發。
AC支持管控文件外發行為,如僅允許用戶從指定的可信的下載站點下載文件而封堵其他站點,基于關鍵字、文件類型控制上傳/下載行為,封堵QQ/MSN等IM傳文件,允許使用Webmail收郵件而禁止發送郵件等。其中,僅僅實現對外發文件的審計和記錄顯然無法挽回泄密已經給企業造成的損失,單純的基于文件擴展名過濾外發文件、外發Email也無法應對以上風險。鑒于此AC的文件類型深度識別技術能基于特征能夠識別文件類型,即便存在修改、刪除外發文件后綴名,或者加密、壓縮文件文件外發的行為,AC也能發現并且告警,保護企業的信息資產安全。
4.4.4.7     加密應用識別
SSL (Secure Socket Layer)協議,被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸,利用數據加密技術,可確保數據在網絡上之傳輸過程中不會被截取及竊聽。正因為如此,一方面,越來越多的網頁使用SSL加密,如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網站,而因為采用了加密技術,普通的管理產品無法對其內容進行識別管理,別有用心的用戶可以利用這一缺陷繞過管理,通過SSL加密郵件、BBS、論壇發布的反動言論或者是向外發送組織的機密信息,導致管理漏洞。

AC可以對SSL網站提供的數字證書進行深度驗證,包括該證書的根頒發機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等,防止采用非可信頒發機構數字證書的釣魚網站蒙騙用戶,此功能亦應用于過濾SSL加密的色情、反動站點,證券炒股站點等。此外,AC擁有專利技術“基于網關、網橋防范網絡釣魚網站的方法”(專利號ZL200710072997.1)具有對SSL加密內容的完全管控能力,支持識別、管控、審計經由SSL加密的內容,如支持基于關鍵字過濾SSL加密的搜索行為、發帖行為、網頁瀏覽行為,審計SSL加密行為如郵件發送行為,為組織打造堅固無漏洞的管理。
4.4.5     流量控制
企業的出口帶寬有限,隨著網絡應用的豐富,出現各種吞噬帶寬的應用,如P2P應用,若不對這些應用加以限制管理,企業的帶寬資源必會被搶占,而核心業務卻得不到帶寬,從而導致整體網絡速度變慢,影響正常的郵件發送和網絡訪問。因此,企業需要一種流量管理工具,識別應用流量,對現有的帶寬進行合理的分配。
4.4.5.1     多線路復用和智能選路
企業網絡出口有多條運營商提供的互聯網線路,在進行數據傳輸的過程中,往往因為跨運營商訪問出現丟包嚴重、延遲大的問題。出口多條線路,大小不一,流量分配不均,達不到預期的使用效果。
AC擁有專利技術(ZL 200610061591.9,一種基于網關/網橋的線路自動選路方法),可為數據包選擇最快最暢通線路進行數據傳輸。當一條線路繁忙,其他幾條線路空閑時,AC可通過線路復用技術,將所有線路復用起來,不僅合理分配帶寬資源,而且能在較短時間內傳送要傳輸的數據,提高大容量數據的訪問和傳輸速度。
AC的多線路復用專利技術使一臺AC可同時連接四條公網線路,擴展帶寬、互為備份、流量負載均衡。通過部署AC網關,可實現智能化選擇最快的出口線路,有利于上網速度的提升。
4.4.5.2     父子通道
通過部署AC,可對網絡出口鏈路總帶寬進行細分,采用“基于隊列的流控技術”,即建立通道,將不同的控制對象分配到不同的通道里。通道可應用于不同用戶或者應用,在通道中可以限制或保障其帶寬,控制靈活。AC支持多級父子通道,即在父通道中嵌套子通道,最大可支持8級父子通道。通過多級父子通道技術,能夠完全匹配企業的組織架構,針對不同級別的通道進行帶寬調整,為用戶提供細致的流量管理手段,使得帶寬分配更靈活、更合理。
4.4.5.3     P2P智能流控
目前,通過封IP、端口等限制“帶寬殺手”P2P應用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設。AC憑借P2P智能識別技術,不僅識別和管控常用P2P、加密P2P,還能對不常見和未來將出現的P2P應用加以控制。
目前互聯網上流行的P2P下載、流媒體等應用程序通常具備強烈的帶寬侵占特性,傳統流控手段是通過緩存和丟包手段來實現流量控制的目的,但是某些P2P應用如P2P流媒體、P2P下載工具等缺乏自身流控機制,即使被丟包依然不會主動降低速率,仍搶占大量的帶寬資源。同時對于下行的接收流量來說,被丟棄的數據包已經占用了線路帶寬,關鍵業務的帶寬依然得不到提升,流控達不到預期的效果。


針對這些問題, AC通過智能流控功能,能有效解決P2P應用的問題。雖然基于UDP協議的P2P應用對丟包不敏感,但是下行流量與上行流量有顯著的相關性,只要控制住上行流量,下行流量就能得到控制。當開啟AC的智能流控功能時,系統會根據下行流量的設定值對上行流量進行自動調整,從而達到控制和減少下行流量的效果,從源頭處有效限制P2P流量。
4.4.5.4     動態流量控制
當帶寬有限時,企業希望通過限制P2P、流媒體等應用來保障郵件、訪問網站等業務相關應用的流暢性。傳統的解決方法是通過靜態的帶寬分配策略,根據應用的重要性分配相應的帶寬。無論網絡情況如何變動,分配的帶寬都是固定的,不能自動調整,這樣的流控策略往往造成帶寬資源的浪費。比如某些業務應用帶寬資源不足,而其他應用的帶寬資源卻處于空閑狀態,得不到有效利用。
針對此類問題, AC提供了動態流控功能。用戶可通過配置線路空閑閥值,以及定義線路的空閑和繁忙狀態,實現針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制,應用流量可突破原來設定的最大帶寬限制;當線路繁忙時可以下壓通道帶寬,使帶寬恢復到被限制狀態,執行原有的流控策略。通過靈活的帶寬管理,最大滿足業務對帶寬的需求,實現帶寬的最大價值。
4.4.5.5     虛擬線路
用戶出口有多條運營商線路,而在防火墻和核心交換中間,往往只有一條鏈路。在一條物理線路中很難實現精細化的流量劃分,容易造成幾條外網線路流量分配不均,導致部分線路負荷過重。
AC通過虛擬線路技術,即定義不同的虛擬線路來匹配多條出口線路流量或是來自內網不同網段的流量,同時在不同的虛擬線路中結合父子通道、P2P智能識別和動態流控等技術,實現更靈活的帶寬分配。
4.4.6     安全防護
AC在通過網頁過濾、應用控制、流量合理劃分和監控審計后,需要的就是一個和諧的內網環境。內網用戶中毒,感染局域網,導致業務中斷,這在很多企業中曾經出現過。因此,通過AC安全防護功能,從外至內提供牢固的內網安全防線。
4.4.6.1     網關殺毒、防火墻
作為一個全面的內網管理設備, AC提供了豐富的安全增值功能。AC集成來自歐洲領先病毒廠商F-PROT殺毒引擎,對內網用戶接收的郵件、訪問的網頁、下載的文件進行病毒過濾,降低內網用戶感染病毒的風險。管理員可自行設置網關殺毒的選項,病毒庫實時升級,幫助組織查殺病毒,支持殺毒引擎在線自動升級,也支持用戶手工升級病毒庫。
 
AC具備強大的防火墻功能,不僅是對內網的環境保護,也是對設備自身的一個保護,保證設備在內網中的穩定性。
4.4.6.2     危險行為識別無線覆蓋安裝
內網用戶將PC帶出企業,不小心中毒后極易引起局域網內PC癱瘓。中毒PC通過外發郵件等信息散播蠕蟲、木馬等病毒,當其他用戶接受這些看似正常的郵件時,就會無意間受感染。AC通過危險行為智能識別、告警和阻斷功能,防止企業遭受來自內部網絡的安全威脅,并及時告警,幫助管理員快速定位安全隱患,及時響應,避免損失。  
4.4.6.3     危險插件過濾
企業員工在訪問互聯網網頁時,經常出現打開網頁后,未等用戶反應看清插件名字時,插件已自動安裝。部分插件提示用戶安裝,但用戶在不清楚插件是否合法的情況點了安裝。隨著電腦中安裝插件的個數增加,用戶電腦處理任務的速度越來越慢,甚至部分惡意插件在短時間內導致系統中毒或者硬盤毀壞。因此,AC在注重用戶網絡安全方面提出了危險插件過濾功能。
 
AC將判斷插件的數字簽名是否合法,插件是否被修改過數據,證書是否過期等信息,自動過濾不合法的插件。同時,AC可設置信任插件,如常用的在線殺毒插件、播放器插件、休閑娛樂插件等,避免誤殺情況。
4.4.6.4     網絡準入規則
AC的網絡準入規則通過對客戶端的評估來實現網絡訪問控制,并更好的維護網絡安全防線。準入的設計意義在于三個方面:
1. 僅靠網絡邊緣的外圍設備已經無法保證安全性。
2. 邊緣網關設備無法防止來自局域網內部的濫用、攻擊和破壞。
3. 客戶端的安全級別往往難以保證:使用版本陳舊的操作系統、不及時更新補丁、不安裝防火墻和殺毒軟件等,都成為局域網安全中的漏洞。
鑒于此,AC網絡準入規則技術通過對端點安全評估和訪問控制實現全方位安全防護。AC網絡準入規則檢測端點主機是否遵從管理者設定的安全策略,如操作系統版本和補丁安裝情況、殺毒/防火墻軟件安裝情況、系統進程、硬盤文件、注冊表等。不滿足預設要求的接入端點,禁止其訪問互聯網或僅提交報告。
通過AC的網絡準入規則,修補內網安全短板,避免病毒、木馬等輕易感染內網主機,利于企業推行統一的IT政策。
4.4.6.5     防ARP欺騙
ARP協議是IP通信中的基本協議之一。但感染ARP病毒的用戶會發送大量ARP欺騙數據包,從而導致整個廣播域用戶無法訪問外部網絡資源。
如何有效防控ARP欺騙是目前用戶和業界的難題之一。AC通過網絡準入規則插件結合防ARP欺騙技術,保證終端用戶安全和保障網絡可用性。這不僅避免了單獨安裝客戶端軟件的問題,而且網絡準入規則技術還將進一步加強端點安全級別,提升整個網絡安全級別。
4.4.6.6     外發文件告警
數據泄密通常在HTTP、FTP、Email附件外發文件時會篡改、刪除擴展名,壓縮、加密再外發。AC能夠對外發文件進行深度識別,一旦發現文件后綴名被篡改或刪除則定義為安全威脅,并且執行報警工作。
4.4.6.7     自動告警
AC支持在一定時間段里內網用戶流量超過一定閥值時,實現自動告警的功能。例如當內網遭到DOS攻擊、ARP攻擊時,內網由DOS攻擊、ARP攻擊產生的流量值會增加,當超過管理員設定的值時,自動告警提醒管理員內網安全存在隱患,以便管理員快速做出決策來保障內網的安全。除了支持上述攻擊告警,AC還支持殺毒、泄密、郵件延遲審計、危險行為識別等流量超過預定的閥值的自動告警。
4.4.6.8     防代理功能
部分員工為了逃避網絡管理員對他的網絡管控,通過使用代理、翻墻軟件,越過網絡規章制度,毫無顧忌的上網,給企業的網絡管理和內網安全帶來了一定的威脅。
AC可自動識別內網中使用代理、翻墻軟件的終端,可對HTTP代理、SOCKS4、SOCKS5代理實行控制,禁止在HTTP協議和SSL 協議標準端口使用其他的協議,從瀏覽器的根源處防止代理行為的發生。一旦用戶使用自由門、無界瀏覽器,AC將自動記錄并阻斷代理違禁行為,避免出現泄密和網絡不可控的事件發生。
4.4.6.9     安全桌面
通過對網絡安全風險分析,再加上黑客、病毒等安全危脅日益嚴重。網絡安全問題的解決勢在必行。針對不同安全風險必須采用相應的安全措施來解決。使網絡安全達到一定的安全目標。
本方案采用AC的上網安全桌面功能進行安全防護。管理員直接通過登錄AC,對內網中的用戶進行上網安全桌面策略配置管理,并統一下發策略。管理員可以設定用戶網絡訪問控制、文件目錄訪問控制以及文件導出等功能,保證內部網絡及電腦的安全,避免病毒、木馬等侵入系統。
 
上網安全桌面功能采用了沙盒技術,在PC終端上創造一個安全的虛擬桌面,用戶只能通過這個虛擬的安全桌面上網,在訪問外網的過程中,在這個環境里所做的任何對文件、注冊表的修改都被重定向,原始的文件和注冊表不會被改動,關閉安全桌面后所有改動操作被刪除。
 
安全桌面與AC形成端到端的企業級安全解決方案,通過設置不同的上網權限,將內網與風險重重的互聯網隔離開,保障內網PC與企業信息、個人隱私安全,再結合其內置的危險插件和惡意腳本過濾等創新技術,實現立體式安全護航,確保安全上網。保護用戶辦公電腦與內部網絡系統的安全。
上網安全桌面主要功能包括:
網絡訪問權限控制
針對常見的內網安全問題,在AC上通過配置放行的IP或域名,控制默認桌面跟上網安全桌面各自允許訪問的網絡。
 上網安全桌面會隔離虛擬環境訪問主機的文件系統,從而也隔離了來自互聯網的木馬程序竊取本機文件的途徑,保護了本機文件重要資料的安全。
 
用戶通過上網安全桌面訪問外部互聯網,通過默認桌面訪問內網,實現雙網隔離。采用邏輯隔離手段比物理隔離布放成本低,效果好,維護費用低,在充分享用信息交互的同時保障了內網信息的安全。
目錄訪問權限控制
通過目錄訪問權限控制功能設置安全桌面可訪問的默認桌面目錄,限制對某些目錄的訪問,保證個人隱私、企業機密信息安全。一旦用戶中了木馬,也不用擔心電腦中的機密信息被竊取,因為安全桌面內的所有程序只能訪問特定的系統文件夾,無法看到機密信息,讓黑客無從下手。
文件導出權限控制無線覆蓋安裝
在保證用戶電腦及內網安全的同時,考慮到用戶使用安全桌面時的便捷性,可在有文件導出權限的情況下,將安全桌面內的文件導出到默認桌面保存,避免重啟安全桌面后文件丟失。
通過AC的上網安全桌面功能,能夠實現:
有效保護內網信息
沙盒技術已經是成為業界公認的一種安全技術,已經被各行業產品應用于安全防護。它不僅能解決傳統殺軟的病毒庫小、查殺病毒滯后性的問題,而且能解決傳統防病毒廠商無法解決的防止網頁掛馬、惡意插件的攻擊。在特殊環境下,安全桌面及時中毒,也不會感染到默認桌面,因為病毒木馬在安全桌面關閉后,所有的數據都將清除,病毒木馬在虛擬的環境產生,也將在虛擬的環境中消失。
降低建設和維護成本
傳統防范互聯網風險的解決方案需要在網絡出口處部署防火墻,在終端部署殺毒軟件,不僅投入了大量的資金成本,同時后期IT管理員對于設備、軟件的維護、升級工作,工作量大,維護成本高。
上網安全桌面解決方案,不需要再部署防火墻及終端殺毒產品,只需要在原有的PC上安裝上網安全桌面客戶端,管理員在上網行為管理上通過設置策略實現網絡訪問的安全。因此無論在投入成本還是在維護成本上,相對于傳統方式會成倍的減少。
提高用戶體驗
安全桌面在提供嚴密的安全防護基礎上,也給用戶提供了大量易用的功能。例如ActiveX控件的代理安裝、Cookie自動保存、安全桌面文件導出等。
ActiveX控件是IE的一個重要特性,在國內使用也是非常廣泛的。在IE發現需要安裝控件的時候,安全桌面先進行檢測,看這個控件是否在允許的范圍內。如果在,那么我們將記錄安裝所必須的信息,然后將這些信息發送給默認桌面的另一個安全桌面組件,讓這個組件來執行真正的安裝工作。
Cookie自動保存功能可以幫助用戶在退出安全桌面以后,下次再次啟動仍然可以使用上次記錄的登陸信息等。例如用戶登陸過了新浪微博,然后用戶退出安全桌面,下次啟動以后就可以自動幫助用戶登陸成功了。
當用戶在安全桌面使用互聯網,需要將文件保存時,可以向管理員申請文件導出的權限。管理員在AC上做策略后,用戶就可以把文件導出到默認桌面了。
端到端便捷管理
大多的殺毒軟件產品提供的并非企業級解決方案,所以在組織中強制每個用戶去安裝并及時更新殺毒產品,是一件非常困難的事情。而位于終端的上網安全桌面與AC組成了端到端的企業級管理解決方案。IT管理員通過AC向終端安全桌面統一下發網絡和數據訪問權限策略,實現了終端安全的統一管理,簡單方便。
4.4.7    防共享(防1拖N)
當用戶通過路由器、代理軟件共享上網時,AC將通過先進的檢測技術發現共享上網的IP、用戶名、接入的終端數,并在防共享上網的狀態界面顯示出來。
 

核心技術:基于應用特征的方法 + 基于flash cookie的方法

基于應用特征的方法
AC設備內置防代理軟件規則庫,對最新熱門軟件唯一特征庫進行識別,比如QQ、360安全衛士、搜狗拼音、迅雷、英雄聯盟、穿越火線、快播、PPS、PPTV、風行、迅雷看看、暴風影音、愛奇藝影音、搜狐影音等

PC終端安裝這些熱門軟件后,在使用該軟件或者該軟件進行更新時,我們的AC設備在網絡出口處都能檢測到來自于該IP的應用特征。 若發現有同一個用戶賬號下有2個或超過2個的IP接入,則判斷為共享上網的行為,并自動檢測到有2個或超過2個終端在接入。

    基于flash  cookie的方法
同Http Cookie一樣,Flash Cookie也就是記錄用戶在訪問Flash網頁的時候保留的信息,鑒于Flash技術的普遍性,幾乎所有的網站都采用,所以具有同Http Cookie一樣的作用。但是相比起Http Cookie,Flash Cookie更加強大:
1、容量更大,Flash Cookie可以容納最多100千字節的數據,而一個標準的HTTP Cookie只有4千字節;
2、FlashCookie沒有默認的過期時間;
3、FlashCookie將被存儲在不同的地點,這使得它們很難被找到。

用IE瀏覽器(任意瀏覽器均可)進入百度MP3搜索,在不登錄百度帳號的情況下打開百度音樂盒,隨便試聽幾首歌曲,這時可以看到在百度音樂盒的試聽歷史中會出現之前試聽的歌曲。無線覆蓋安裝
接下來我們使用IE自帶的刪除功能來清除Cookie(也可以使用各種軟件的清理Cookie功能),清理完之后再重新打開百度音樂盒,我們發現之前試聽的歌曲信息居然還在,情況還不只如此,用任意一個瀏覽器打開百度音樂盒,都可以發現之前的試聽歷史,這就是Flash Cookie在起作用。

Flash Cookie也就是記錄用戶在訪問Flash網頁的時候保留的信息,鑒于Flash技術的普遍性,幾乎所有的網站都采用,所以具有同Http Cookie一樣的作用,只要當用戶打開瀏覽器去上網,那么就能被AC記錄到fash cookie的特征值。

    由于flash cookie不容易被清除,而且具有針對每個用戶具有唯一,并且支持跨瀏覽器,所以被用于做防共享檢測,極大的減少了共享上網的漏判率和誤判率,使得我們AC防共享方案成為了行業內技術領先、獲得眾多客戶認可的解決方案。

4.4.8     行為審計
許多企業網絡環境良好,帶寬分配合理,但由于工作和行業性質關系,員工日常工作中涉及了大量與公司企業、政府單位密切相關的信息,這些信息一旦公開,給企業將帶來泄露商業機密、觸犯法律風險等違規違法的隱患。當這類事情出現的時候,為了在最短的時間內找到網絡違法的當事人,避免由企業承擔相應法律責任。因此,通過AC的應用審計功能,詳細記錄員工的日常上網行為。
4.4.8.1     實時監控
AC支持實時監控功能,可對AC設備的運行狀態、安全狀態、流量狀態、上網行為監控、在線用戶管理、郵件延遲審計進行實時監控。管理員不需要登陸數據中心即可實時查看網絡的各種應用和流量使用情況,簡單快捷。
運行狀態包括系統資源信息、接口信息、接口吞吐率、應用流速趨勢、應用流量排名、用戶流量排名。安全狀態實時匯報內網用戶安全情況。
 
在實時應用流量排行界面點擊某一個應用即可自動彈出該應用流量的用戶排名情況。實時用戶流量排行界面可針對單個用戶實現用戶的應用流量排行情況的頁面跳轉。此外AC還支持實時連接監控,顯示用戶的所有會話連接狀況。
4.4.8.2     全面、靈活的應用審計
AC實時監控和完善的應用審計功能,幫助網絡管理員了解內網用戶的上網行為,同時也作為追查依據。
網頁訪問
內網用戶訪問的URL地址、網頁標題、時間等內容,AC能夠完全監控與記錄。
 
同時,通過網頁快照功能,直觀展現網頁內容,便于管理人員快速查看。
 
郵件收發
對于Webmail或郵件客戶端收發郵件,AC能夠記錄郵件的時間、發件人、收件人、標題、正文內容和附件等,附件內容可提供下載做進一步審核。
 
 
IM聊天
對于QQ、MSN、Gtalk等聊天應用,無論是Web版或是桌面版,AC均能詳細記錄其聊天內容。
 
微博論壇
對于微博、社交論壇發帖不僅能夠根據關鍵字進行過濾,發布的內容也能全面記錄,準確還原發帖內容,提高可讀性。
 
 
SSL加密應用
同時,對于經過SSL加密的webmail外發郵件、SSL加密的SMTP/POP3,AC可以基于關鍵字過濾和內容審計記錄。
 
針對不同的用戶、用戶組,通過數據簡單的勾選,即可完成差異化的行為審計功能。
 
4.4.8.3     數據中心及報表
大型機構每天產生數十G日志數據,通過AC獨立數據中心實現日志海量存儲,而且提供了圖形化的日志查詢、統計、審計、報表中心等功能。
 
通過統計報表功能,將直觀的獲得關于流量、郵件收發、上網時間、網絡行為等方面的詳細的報表和圖形化統計結果,并且支持導出PDF等文檔、Email投遞等功能,方便IT部門將統計結果向高層匯報。
AC的風險智能報表能夠深入挖掘日志,根據管理員指定的上網行為特征及閾值,自動挖掘日志,自動幫助組織提前發現風險,包括:離職風險智能報表、泄密風險智能報表、工作效率低下風險智能報表等。
 
對于BBS發帖, AC還支持進行熱帖排名,只準看貼不準發帖的靈活管控方式。
 
通過AC數據中心的內容檢索工具,可以實現類似Google一樣的內容搜索,從海量日志中查詢需要的日志記錄,并且支持高級搜索,支持訂閱和自動Email投遞功能,極大的方便了管理者的使用。
4.4.8.4     免審計Key
機構的總裁、高層領導網絡訪問行為,財務部收發的郵件,關乎機構機密信息,對其記錄審計反而成為泄密風險。因此AC支持免審計Key功能。在AC上為總裁、財務部相關人員生成免審計Key。當使用該免審計Key認證后,AC從底層免除對該人員的一切記錄。一旦免審計功能被惡意取消后,當再插入該免審計Key后會自動彈出警告,且禁止該人員訪問網絡,徹底保障信息安全。
4.4.8.5     日志審查Key
企業內網用戶的各種上網行為記錄AC都可以記錄、并全部記錄到數據中心中,這避免了互聯網違法事件后無據可查的尷尬。但如果行為日志被濫用,領導的Email、MSN聊天內容等被肆意傳播、私自張貼到互聯網上必將給組織造成不良影響、甚至經濟損失。
因此AC提供日志審查Key技術。數據中心管理員只有插入該Key后才能以審計、查詢權限接入數據中心,從而對行為日志進行詳細查詢。對于沒有該Key的管理員接入數據中心后只能對有限的用戶組的行為進行統計和趨勢查看,無權限對行為日志進行審計、查詢,從而保障行為日志記錄不被濫用。









 
  • 上一篇: 展館的網絡布線系統-展館網絡布線   下一篇: 電力有限公司無線覆蓋技術解決方案
  • 微信二維碼

    技術支持 : 13828466009

    廣州鉅兆數據集成有限公司

    地址:廣州市天河區宦溪西路萬富商業大廈

    咨詢電話:13828466009

    售后服務:13828466009

    QQ:350756786

    郵箱:ogr@68uuy.com

    • 掃一掃
    logo

    在線留言

    Copyright ? 20162017 廣州鉅兆數據集成有限公司 網站地圖

    • 友情鏈接:
    聯系我們
    2019最简单的网赚项目 华夏网赚论坛官网华夏网赚论坛福缘网赚论坛网 2019美元网赚 2019最新网赚工具 2019年捞金网赚 迪士尼彩乐园娱乐 旺彩彩票开户 网赚投资是真的吗 网赚平台是真的吗 江苏快三跨度走势图