深信服上网行为管理产品白皮书
构建健康安全、高效可管的互联网
SANFOR AC上网行为管理
产品白皮书
目录
1 互联网对组织提出的挑战................................... 错误!未定义书签。
2 上网行为管理给用户带来的价值............................. 错误!未定义书签。
管理网络带宽......................................... 错误!未定义书签。
避免法律和泄密风险................................... 错误!未定义书签。
提升工作效率......................................... 错误!未定义书签。
提升内网可靠可用性................................... 错误!未定义书签。
管理网络带宽......................................... 错误!未定义书签。
3 功能实现................................................. 错误!未定义书签。
规划用户分组结构..................................... 错误!未定义书签。
建立身份认证体系..................................... 错误!未定义书签。
分析网络流量......................................... 错误!未定义书签。
优化和分配带宽资源................................... 错误!未定义书签。
网页访问控制......................................... 错误!未定义书签。
管理IM即时通讯工具.................................. 错误!未定义书签。
控制BT等P2P行为.................................... 错误!未定义书签。
控制其他网络应用行为................................. 错误!未定义书签。
防泄密和法律风险..................................... 错误!未定义书签。
日志审计和报表中心................................... 错误!未定义书签。
内网可靠可用性增强................................... 错误!未定义书签。
管理和配置的易用性................................... 错误!未定义书签。
4 领先的技术优势........................................... 错误!未定义书签。
单点登录技术......................................... 错误!未定义书签。
反钓鱼网站功能....................................... 错误!未定义书签。
P2P智能识别......................................... 错误!未定义书签。
代理服务器识别....................................... 错误!未定义书签。
网页智能分析系统IWAS ................................ 错误!未定义书签。
最全面的应用识别..................................... 错误!未定义书签。
免审计Key功能....................................... 错误!未定义书签。
网络准入规则......................................... 错误!未定义书签。
加密聊天内容监控..................................... 错误!未定义书签。
邮件延迟审计......................................... 错误!未定义书签。
外发文件深度识别..................................... 错误!未定义书签。
智能的流量管理....................................... 错误!未定义书签。
海量日志快速检索..................................... 错误!未定义书签。
数据中心认证key ..................................... 错误!未定义书签。
异常流量感知......................................... 错误!未定义书签。
SC集中管理平台...................................... 错误!未定义书签。
5 部署您的AC产品.......................................... 错误!未定义书签。
网关模式(路由模式)................................. 错误!未定义书签。
网桥模式............................................. 错误!未定义书签。
多路桥接模式......................................... 错误!未定义书签。
旁路模式............................................. 错误!未定义书签。
互联网对组织提出的挑战
随着信息技术、特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。
针对用户互联网访问行为的管控与审计,美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求;而中国于2006年3月1日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款,也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留六十天以上。
缺乏有效管理的互联网是否让您常常面对如下情形却又束手无策?
■看似充裕的出口带宽却不断接到内网员工关于网速太慢的抱怨;
■视频会议、VOIP断断续续,与分支互联的VPN极不稳定、经常中断;
■过激言论、网络造谣给组织招致网监的压力,却又无法查找到责任人;
■研发代码、营销方案等让竞争对手得知,何人所为?
■内网病毒、木马、ARP欺骗、DOS攻击让IT管理者头痛不已;
■巨资购买的杀毒软件很多员工不装、不用,存在风险的终端肆意上网;
■专注的敲击键盘、认真的盯着屏幕,但却在发生工作无关的行为;
■……
让人无奈的是,员工的不规范网络行为往往是组织为其买单:除因上班时间无心工作所带来的直接损失外,组织的带宽资源陷入被滥用扩容再被滥用的恶性循环,同时组织还面临法律违规和泄密风险,组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首,由于互联网行为复杂且难以预料,无论是存心还是意外,一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。
值得庆幸的是,越来越多务实、具备安全意识的管理者发现了问题所在,并希望通过有效而可靠的途径来实现对员工的上网行为进行管理,接下来,让我们深入了解深信服SANFOR AC上网行为管理解决方案如何帮助组织轻松解决互联网所带来的问题。
1上网行为管理给用户带来的价值
深信服科技SANFOR AC为您带来了全面而灵活的上网行为管理解决方案。在此,我们通过管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性,以及管理的易用性等五个方面的详细阐述SANFOR AC为您带来的巨大价值。
1.1管理网络带宽
■多线路复用和智能选路
很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术(专利号:2006X),AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:),AC将流量自动匹配最佳出口。
■基于应用/网站/文件类型的智能流量管理
有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为?AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
■流量限额功能
为了更加合理、高效的利用组织有限的带宽资源,流量管理策略需要考虑如果部分用户长时间持续下载非业务相关网络资源,由此对带宽资源的滥用如何管理?SANFOR AC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量,当用户上网总流量超过设限额后将自动终止互联网访问权限,从而促使用户珍惜带宽资源,避免对带宽资源的浪费。
■ P2P的智能识别与灵活控制
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术(专利号:),不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难, AC的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
■带宽统计和报表
AC的数据中心(Network Database Center,NDC)对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、统计结果等,可以了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况,为带宽管理的决策提供准确依据。
1.2避免法律和泄密风险
互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。
■外发信息控制
办公室内无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻,员工都可能会有意无意传播。而便利的互联网让他们更多选择使用IM软件、Email、论坛、博客等方式实现信息的外发。AC可以封堵IM软件,过滤和审计收发的Email邮件,过滤论坛、网站访问行为,也可以过滤和审计网络发帖行为,让员工认识到自己需要为其网络行为负责。
严谨的上网行为管理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。SANFOR AC提供完整身份认证体系: Web方式的用户名/密码认证,IP/MAC地址绑定,与现有Radius、LDAP、AD联动,AC甚至可以借助现有POP3邮件服务器、PROXY服务器上的用户帐号数据,对接入用户进行强身份认证,避免未经授权的接入用户访问互联网。
■外发Email控制
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。传统设备处理泄密邮件时只能将其拷贝存储留作证据,但泄密邮件已经外发,损失已经造成。而SANFOR AC 的邮件延迟审计技术(专利号:)基于用户、邮件标题、正文、附件等特征拦截泄密邮件,并自动通知审核人员人工审核后再外发,以确保组织信息资产安全。
但存心的泄密者往往将Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查,即便如此SANFOR AC仍然能够对以上行为进行识别和行报警,帮助组织强化信息资产保障措施。同时对于所有收发的Email邮件SANFOR AC都可以全面记录,并通过数据中心方便管理者对邮件日志进行查询、审计、报表统计等操作。
■外发文件控制
从互联网下载论文、软件、音视频等,不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险;而通过HTTP、FTP等外发文件则又存在泄密可能。SANFOR AC可以基于文件类型对传输的文件进行过滤,并全面记录外发文件内容,即使非善意用户篡改/删除文件后缀名、压缩、加密等AC一样可以识别并报警,保证组织的信息资产安全。
■网络言论过滤策略
论坛灌水、顶贴、人肉搜索等不仅降低工作效率,同时也潜在给组织带来法律风险。借助SANFOR AC管理者可以封堵指定论坛、BBS等。而且AC还支持基于关键字过滤用户向公网发布的网络言论、帖子等,即便成功发布到互联网的言论AC也能详细记录,通过数据中心提供的报表、查询工具方便管理者审计,避免组织遭遇的法律压力。
有些组织允许员工访问论坛、浏览帖子等,但不准发贴,通过SANFOR AC也可以实现。并且AC可实现员工只有使用帐号登录论坛、Webmail后才允许发表言论,从而避免员工的抵触情绪,同时确保网络言论和员工身份的对应。灵活的网络言论过滤策略既避免了组织遇到的法律风险,又满足了员工的正常上网需求。
■法律遵从和举证
AC有效过滤和拦截色情、反动等网站的访问、过滤非法网络言论的发表,即使逃脱过滤进入互联网的非法行为等,也可在AC数据中心中找到相关记录作为法律举证的依据。但“公安部82号令”要求日志至少留存60天如何满足? AC网关本身可存储大量日志,但大型组织每天将产生数十G的日志,只有通过独立于网关的数据中心才可实现海量存储。无论内置/外置数据中心,AC都为管理者提供丰富的日志查询、统计、自动报表等工具。
如何从数十G、甚至上百G的海量日志中找到泄密/违法证据、或管理者感兴趣的内容?AC数据中心提供的内容检索功能,让管理员类似Google、百度搜索一样,方便、轻松搜索需要的内容,并支持自动发送管理员指定关键字的检索结果到指定的Email邮箱。
1.3提升工作效率
上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率,如何在上班时间对内网员工的上网行为进行管理和引导?
■网页访问行为管理
上班时间浏览新闻网站、论坛灌水、写博客、参与网络虚拟活动等让管理遭受挑战。SANFOR AC内置千万级静态URL地址库是管理网页访问行为的基础,但员工显然会利用Google、百度等搜索到最新的、感兴趣的、或违法的互联网内容,可见AC对搜索引擎输入关键字的过滤是静态URL地址库的有效补充,而且AC可以根据网页正文包含的关键字过滤网页访问行为,有效管理用户的明文网页访问行为。
然而Google声称互联网独立网页已经超过一万亿、使得同一网站下有的网页健康、有的网页非法,如何管理?静态URL地址库明显不足。综合了人工智能的SANFOR AC网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类,并且具备自我学习和自我修正能力,可以依据管理者定义进行任意URL分类的识别和过滤,真正帮助组织完善网页访问行为的管理。
但网上银行、网上购物、钓鱼网站等的兴起,以及色情、反动网站等正逐步采用SSL 加密,传统封堵TCP 443端口的方式将阻断网上银行的操作,只有借助AC的SSL证书验证技术(专利号:)才能有效过滤非法加密网址、允许合法加密网址的访问。
■应用程序管理
互联网应用极大丰富,从聊天到游戏、从P2P下载到在线电影,员工享受互联网的同时对应用的管理却变成IT管理者的心病。有别于防火墙IP+端口的落后管控方式,SANFOR AC 具有全流量识别技术,无论使用什么端口、什么协议、是否加密,AC都可以准确识别。
目前SANFOR AC已经内置超过20大类300多条应用程序的识别规则以帮助组织轻松封堵各种常用应用程序,并且十余人的应用识别专家团队保证识别规则的更新和不断扩充。处于管理需要,在不方便封堵时,管理员还可以针对特定应用程序进行流量控制的管理。
■ IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和机密泄漏等问题,因此对于IM的管理日益重要。SANFOR AC基于应用协议的深度内容检测技术能够完美的帮助管理员实现对各种IM工具的完全封堵。
在某些情况下,基于业务需要或管理问题,某些组织很难完全封堵IM工具,因此管理者希望能记录IM聊天内容。但由于QQ、Skype、飞信、MSNShell等众多IM工具都采用加密方式传输,让业界很多厂商都束手无策。而SANFOR AC特有的聊天内容同步侦听技术(Real-time Monitor for Messages , RMM)可实现对QQ、Skype、MSNShell、飞信等加密聊天内容的监听和记录,帮助组织在开放IM的同时确保聊天内容可审可控。
■上网时间管理
非工作时间允许员工适度上网能够使组织在确保效率的同时体现足够的人情味,所以,根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。SANFOR AC提供基于时间的丰富管理策略,能基于时间段为不同部门、不同人员赋予差异化权限,同时也可以限制员工一天内总的上网时间,实现人性化管理。
1.4提升内网可靠可用性
面对互联网威胁,虽然许多组织已经部署防火墙、IDS等设备,但内网依然病毒频发、攻击不断,堡垒最容易从内部突破,内网员工不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网,如何应对这些导致传统安全技术失效的上网行为所带来的风险?
■危险资源过滤
通过AC内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识别与过滤、以及基于人工智能的网页智能分析系统,帮助组织彻底避免因为访问非法网页、危险网页而带来的风险。
从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等,这可以通过AC实现文件传输的过滤。即使通过IM工具传文件,AC也可以在允许用户使用IM文本聊天的同时全面封堵各种IM工具的传文件功能。对于允许下载的文件,AC网关杀毒功能
将查杀该文件中潜藏的病毒、木马。
■网关杀毒功能
震荡波、冲击波、熊猫烧香等病毒的泛滥严重影响组织网络的可靠性、可用性,但单纯依赖桌面杀毒软件并不能有效解决病毒问题,从源头上查杀并清除病毒是桌面防毒体系的有力补充。SANFOR AC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行彻底查杀,即使隐藏在压缩包内AC也能识别和清除,为组织营造绿色、安全的网络应用环境。
■修复内网安全短板
组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等,极易导致自己感染并影响整个内网用户群。借助网络准入规则技术(专利号:),AC将检测接入终端的安全状况与安全级别,拒绝不符合IT管理者要求的终端访问互联网。
■异常流量感知
随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己,通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容,组织的信息资产安全如何保障?黑客远程控制内网终端形成僵尸网络如何避免?SANFOR AC的异常流量感知技术能够识别常用端口中的异常流量,并能够实时报警,帮助IT管理者掌控您的网络,防范风险。
■防DOS、防ARP欺骗
即使采取众多措施,威胁和风险仍无孔不入。来自外网的DOS攻击,以及爆发于内网的DOS攻击不仅吞噬带宽,还严重影响出口网关的稳定。传统防火墙等网关能够防御来自外网的DOS攻击但对来自内网的DOS攻击却无能为力,定位于上网行为管理解决方案的SANFOR AC 通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。
病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet,定位故障点又颇为麻烦,有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
1.5管理网络带宽
■管理员分级管理
可以按照组织的行政架构在SANFOR AC上配置用户分组结构,典型的是树形用户分组结
构,并包括子组、父组等。为了减轻大型组织机构IT部门的管理负担,同时方便各部门自行调整各自的上网权限,SANFOR AC支持细致的管理员分级管理功能。可以为AC上的用户组A配置Read-Only权限的管理员A1、配置Read-Write权限的管理员A2,A2只可修改用户组A(而不能修改其他用户组)的上网策略、用户等,但A1则只能查看而不能修改。同时A1、A2登录AC数据中心后智能查询、审计用户组A的行为日志(而不能查询其他用户组),从而既实现管理灵活性,又确保了管理的可控性。
■上网策略强制继承
总裁要求整个公司都不允许使用QQ,但如何确保“禁止QQ”这条上网行为管理策略能够在众多部门对应的AC用户分组上得到实施,并且确保“禁止QQ”的策略不会被部门管理员修改、删除、绕过?这通过SANFOR AC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过,即使新加“开通QQ”的策略也无济于事。严格的上网策略控制帮助组织更好使用互联网。
■SC集中管理平台
大型组织在总部、分支机构往往会部署多台SANFOR AC上网行为管理设备,通过深信服SC-AC集中管理平台可以实现全网数千台AC网关的集中管理、集中监控、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程监控和排障,统一的上网策略可以在整个组织得到贯彻和执行,日志集中管理和审计等要求,极大的方便大型组织机构部署上网行为管理解决方案。
2功能实现
如下我们将阐述组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为管理领域的丰富经验,我们强烈建议您按照顺序阅读,这样会使上网行为的管理更具方向性,且有助于后期的管理和维护。
2.1规划用户分组结构
为了给不同用户、不同部门授予差异化的互联网访问权限,包括差异化的行为审计策略,首先要规划和建立组织的用户分组结构。可以完全按照组织的行政架构在SANFOR AC上建立树形用户分组结构,实现父组、子组、组内套组等要求。在完成用户组的创建后,即可创建用户,并将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。
用户创建的过程简单方便,除手工输入帐户方式外,AC还能够根据OU或Group读取AD 域控服务器上用户组织结构,并保持与AD的自动同步,方便管理者维护AD这一套组织结构。另外AC也支持账户自动创建功能,基于新用户的源IP地址段自动将其添加到指定用户组、
同时绑定IP/MAC等,继承指定的网络权限,方便了管理者和权限的控制。用户帐号还支持生效时间的设定、支持多人共用同一帐号等,丰富的帐号策略使得管理者可以自由的根据实际情况合理调整。
如果管理员已经将用户信息汇总到Excel、TXT等文件中,那么他将通过AC的账户导入功能更加快捷的创建用户和分组信息。
2.2建立身份认证体系
没有严格的认证就无法有效区分用户,也就无法部署差异化授权和审计策略,自然无法有效防御身份冒充、权限扩散与滥用等。
SANFOR AC支持丰富的身份认证方式:
■本地认证:Web认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定等;
■第三方认证:AD、LDAP、Radius、POP3、PROXY等;
■双因素认证:USB-Key认证;
■免认证:IP免认证、MAC免认证、IP-MAC绑定免认证等;
■单点登录:AD、POP3、Proxy、HTTP POST等;
■强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等),否则不允许访问互联网;
丰富的认证方式,树形用户分组结构,上网权限的继承、强制继承等,极大方便管理者在组织内网实施AC上网行为管理解决方案。值得一提的是当用户通过Web认证后管理者可以向其定向显示指定网页、而未认证通过的用户也可以为其分配受限的互联网访问权限。
2.3分析网络流量
通常组织的互联网带宽比较有限,即使充裕,如果员工网络行为不规范,IT管理者仍然饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开等,IT管理者需要确知组织带宽的使用情况,这正是AC所能给您带来的价值体现:
登陆AC控制台后,管理员可以直观查看流量曲线图、当前流量TOP 10应用等,并可通过AC的数据中心进一步详细查看、统计昨天或指定时间段的流量情况。管理员可以统计指定时间段指定分组或用户的流量情况,通过饼状图、柱状图、曲线图等直观展现;还可基于用户进行上行流量、下行流量、总流量等排名,找到流量最活跃的员工。
如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。
2.4优化和分配带宽资源
组织如何获得更充足的互联网带宽呢?AC通过多线路复用、带宽叠加(专利号:2006X)技术,可同时连接4条互联网线路。而只要您同时连接电信和网通线路于AC,AC的多线路智能选路技术(专利号:),将为员工的Internet流量自动优选最佳出口,解决跨运营商的带宽瓶颈问题,同时兼具负载均衡、线路备份等功能,大幅提升访问速度和可靠性。
组织有限的带宽往往被大量非业务流量所挤占,尤其BT、电骡等P2P行为严重吞噬带宽;AC不仅为管理员提供了强大的应用封堵手段(如直接禁止指定用户的P2P行为),更可在允许用户使用P2P时限制P2P占用的带宽,另外可以为指定用户、用户组每天、每月的总上网流量进行限制,灵活的管理方法充分满足组织在上网行为管理上的复杂需要。
除了限制非业务应用对带宽的占用,同时要保证业务应用的带宽需求。得益于AC强大的应用识别能力(目前超过20个大类、300多条识别规则),AC基于出口链路、用户/用户组、应用类型、网站类型、文件类型、时间段实现精细、智能的带宽划分与分配策略,使得管理员拥有能够充分保障组织业务所需带宽的各种管理手段。
从上图可以看出,AC支持的流量管理策略非常全面。另外管理员可以通过AC控制台实时监控各用户流量排名、会话排名、连接信息等,一旦发现异常网络行为,管理员即可通过AC将该员工临时冻结,并在指定时间段后自动恢复上网。
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。
2.5网页访问控制
网页浏览是员工主要互联网行为之一,与工作无关的上网行为给组织带来巨大的损失:
AC内置千万级预分类URL地址库,并经专人人工审核分类,包含互联网上各类涉及色情、反动、暴力等站点。由于互联网的容量爆炸性增长,Google声称互联网独立网址超过一万亿个,采用静态URL库显然不够,因此AC还支持基于内容的过滤手段,包括过滤用户通过搜索引擎搜索的指定关键字、过滤包含指定关键字的网页、过滤含指定关键字的URL 地址等。而结合了人工智能的网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类,并且具备自我
学习和自我修正能力,可以依据管理者定义进行任意URL分类的识别和过滤,真正帮助组织完善网页访问行为的管理。
细心的您可能已经发现网上银行、在线购物、钓鱼网站等都采用了SSL加密技术,包括试图逃避过滤的反动和色情网站等危险站点等,“加密化”已经成为网络发展的趋势,如何管控?有的解决方案通过中间人攻击原理解密SSL加密流量从而过滤,但网上银行的帐号、密码等也将被解密,存在极大安全风险。而利用特有的“证书链验证黑白名单技术”,SANFOR AC能够对SSL加密网站进行甄别和过滤,从而为组织提供了全面的网页控制方案。
组织往往需要通过时间计划给予网络管理更多的人情味。AC的时间管理有两种模式:微观时间管理(Micro Time Control, MTC,MTC将一周中每天以半小时为单位进行划分)和总体时间管理(Overall Time Control ,OTC,OTC为员工设置每天总上网时间),细致的时间管理不仅提高组织业务效率,还让员工更容易接受。
2.6管理IM即时通讯工具
权威统计显示国内网民最常使用的IM工具依次为QQ、飞信、MSN、Skype。办公室内IM 聊天、影音文件分享、甚至游戏对战屡见不鲜,而QQ病毒、MSN蠕虫也让IT管理者记忆犹新,如何有效管理IM工具?借助现有防火墙等传统手段封堵IM并不奏效。以下是SANFOR AC 提供的对IM从禁止、监管、再到安全防御的解决方案。
禁止
AC深度内容检测技术根据应用协议数据包特征字段全面封堵各种IM工具,包括QQ、MSN、新浪UC、网易泡泡、Yahoo Messenger、Skype、ICQ、Google Talk、飞信等;即使IM软件将数据包封装到80、443等端口传输,AC亦可区别IM流量和正常的Http、Https,从而有效管理IM的使用。同时AC可实现允许指定部门/用户(如市场部)通过IM与客户沟通,但禁止IM传文件、IM语音视频通话、玩IM游戏等,轻松、灵活管控IM。
监管
QQ、飞信、MSNShell、Skype等越来越多的IM聊天内容是加密的,如果不能记录将是上网行为管理的最大漏洞之一。AC的聊天内容同步侦听(Real-time Monitor for Messages , RMM)技术能够记录各种加密聊天内容,这在业界是屈指可数的,领先的技术使得深信服研发部门能够快速跟进任何一款新推出的IM工具,并推出针对性的升级策略使得AC支持对各种新IM工具的聊天监控功能。强大的功能往往涉及个人隐私,我们建议使用AC前在组织内发出通知,提醒员工他们在工作时间发生的网络行为是可以被监控到的。
安全防御
IM好友发来的URL链接、文件等,可能将病毒、木马、流氓软件送入内网,这也是组织已经购买防火墙、部署杀毒软件后仍然病毒层出不穷的原因之一:堡垒从内部被攻破了!AC的深度内容检测技术能够禁止用户使用IM传递文件,IM好友发送的URL地址,员工打开
过程中将被AC过滤和控制。另外,管理员也可以启用AC的网关杀毒功能从源头上查杀病毒、蠕虫,此内容将在后述部分详解。
2.7控制BT等P2P行为
封种子服务器IP、封种子资源网站、封端口的P2P管理方式让管理员忙的焦头烂额却得不到满意的效果。有效的P2P管控方法包括应用协议分析和P2P行为智能检测技术,SANFOR AC同时支持这两种技术。常用、普及的P2P软件,AC深度内容检测技术实现对其管控和封堵。截止本文档编写时,AC通过深度内容检测技术可以封堵P2P流媒体55个,其他P2P应用27个。
尽管已经内置了丰富的P2P识别规则,但新的P2P应用层出不穷,员工可以从网络上获得各种P2P工具,还有更多不常见和未来可能出现的P2P软件如何管控?AC采用网络行为智能分析技术(Network Behaviors Intelligence Analysis , NBIA),基于统计学分析原理,实现对各种P2P的智能识别和封堵,为用户提供了一劳永逸的P2P管控解决方案。
尽管AC提供了彻底封堵P2P的方案,但粗暴禁止P2P可能招致员工反感,在某些情况下个别部门或员工可能需要使用P2P进行文件共享等,此时AC的P2P流控功能完美的满足了管理上的灵活要求,利用此功能,AC可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽,且可管控部门内每个员工P2P行为对带宽的占用情况(“优化和分配带宽资源”已详细说明AC针对应用的带宽划分和分配)。
2.8控制其他网络应用行为
员工的上网行为远不止此,管理者还需关注在线炒股、网络游戏、在线视频(RTSP、MMS、Flash、RealMedia等)等。AC已经包括300多条常见应用的识别和管控规则,并定期从深信服公司网站上自动更新最新识别库。同时AC允许有编程基础的网络管理员自行添加、修改和导入自定义的网络应用识别规则。这相对于绝大多数其他厂商仅提供给管理者根据IP 和端口封堵应用的方式更加灵活和彻底。
对于局域网内出现的AC未能识别和控制的新应用,管理员如果无法自行编制对应的识别策略,仅需将所需控制的应用程序名称、版本号以及下载地址提交给深信服客服中心,我们将在三个工作日内提供最新的识别策略,并帮助用户完成对该应用的封堵和管控。
2.9防泄密和法律风险
内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手,或向论坛BBS发布不负责的言论、网络造谣等,将给组织带来泄密和法律风险。AC不仅能过滤、记录员工通过Mail(包括Webmail)、BBS、Blog、QQ空间等工具发布的网络言论,还能实时报警。即使通过Telnet访问部分BBS网站,所有输入的Telnet命令和内容,AC都能详细记录。
对于使用HTTP、FTP等方式传送文件所引发的风险(如将研发部的核心代码发送出去),AC首先可以禁止用户使用HTTP、FTP上传下载指定类型的文件,对于上传的文件AC也可以全面记录文件内容,做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计(Postponed Sending after Audit , PSA)技术,根据管理员预设条件,将潜在的泄密邮件先拦截,经人工审核后再发送,保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等,再通过Email外发、或通过HTTP、FTP上传,AC对以上行为同样可以识别并报警,彻底避免因外发文件而产生的泄密风险。
2.10日志审计和报表中心
内网用户的所有上网行为AC都能够记录以满足公安部82号令的要求。AC可针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、Email、文件传输、QQ游戏行为、大智慧炒股行为、QQLive在线影音行为等,并且包含该行为的流量信息等。但CEO等高层领导的网络行为可能涉及组织的重要机密(如CEO与供应商的邮件),不应该被记录。AC“免审计Key”从技术上彻底免除行为记录,只要将“免审计Key”插入计算机USB接口并输入对应PIN码,该用户的任何网络行为都免除记录,消除高层领导的忧虑。
大型组织60天将产生数百G行为日志通过AC独立数据中心实现海量存储,并通过丰富报表工具方便日志的操作,报表工具主要包括:
■内置超过60多种报表模板,并支持用户自定义报表。
■对比报表:汇总对比、指定用户组的对比、指定用户的对比、指定IP的对比等;
■统计模板:上网流量统计、上网行为统计、病毒信息统计、上网时间统计等;
■趋势:流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等;
■查询工具:流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等;
■内容检索:网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等
如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志,甚至导致员工对IT管理者的误解和埋怨?AC的“数据中心认证Key”技术,保证只有插入该key的管理员才能审计他人行为日志,否则将只能查看统计报表、趋势图线等,确保日志不被滥用。
2.11内网可靠可用性增强
网络世界中安全事件数量急剧攀升,内网中断、不稳定将直接影响用户的上网行为,所以需要AC保证网关自身安全,并强化内网可靠性、可用性。
防火墙
AC内置基于状态检测技术的企业级防火墙,对进出组织的数据包提供过滤和控制。NAT (Network Address Translation)功能,代理内网员工上网和实现静态端口映射。
网关杀毒
AC的网关杀毒功能集成知名厂商的杀毒引擎(杀毒引擎每天自动升级),从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。
网络准入规则(Network Admission Rules,NAR)
借助网络准入规则专利技术,AC将按照管理员要求检查每位员工杀毒软件安装、运行、更新情况、操作系统版本、补丁情况等,不满足预设安全级别的终端将不允许访问互联网,从而提升整个内网的可靠性和可用性。
防DOS攻击
DOS攻击从外网而来侵害组织的服务器,而爆发于内网的DOS攻击(蠕虫病毒的暴发或僵尸网络的攻击等)不仅消耗带宽、甚至瘫痪网关。AC同时防御来自内网和外网的双向DOS 攻击,检测到内网DOS攻击点,可以强迫其下线以保障网络可用性。
防ARP欺骗
ARP欺骗通过发送虚假ARP数据包,导致内网用户无法访问网络,破坏性大且排查困难。AC内置防ARP欺骗功能,帮助管理员有效抵御ARP欺骗的威胁。
2.12管理和配置的易用性
深信服科技AC网关采用图形化管理配置界面,管理员无需安装客户端软件,通过IE 以HTTPS方式即可进入设备控制台界面;AC内置的策略故障排除功能,有助于管理员在配置失误时,图形化排查失误点;当用户违反指定规则、DOS攻击、ARP欺骗、泄密等时,支持自动报警,第一时间修复问题。
3领先的技术优势
深信服成立至今已申请三十多项发明专利,对研发的重视和高投入有效的保证了产品的强大功能和竞争力。通过本章节介绍,您将了解到能切实解决您问题的业界标杆特色技术。
3.1单点登录技术
SANFOR AC的单点技术(Single Sign On, SSO)将避免用户重复输入帐号密码的繁琐操作。AC支持LDAP、POP3、PROXY单点登录。尤其AC无需用户安装任何客户端软件即实现LDAP 单点登录,对用户完全透明。内网用户采用域账号登陆Windows系统后,即可自动通过AC 认证,而且支持不使用域帐号登录Windows系统即禁止其访问互联网。
AC的POP3、PROXY单点登录功能启用后,内网员工只需收发一下Email、或触发PROXY 服务器的认证后,也将自动通过AC认证,极大的方便了用户的使用。
3.2反钓鱼网站功能
网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面,使用户在毫不知情的情况下泄露自己的账户信息,导致银行资金被“网络姜太公”轻易盗取。网银、网上购物等金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页,但钓鱼网站可以伪造虚假证书,不具备专业知识的用户无法识别。
SANFOR AC可对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。由于钓鱼网站采用非可信颁发机构的数字证书,可以蒙骗用户,但却不能逃过AC的识别和过滤。改功能也可以被用于过滤一些使用SSL及证书技术加密的色情、反动站点,证券炒股站点等。
3.3P2P智能识别
P2P(peer-to-peer)应用的兴起直接导致P2P软件及其版本的爆炸性增长,如何对P2P 行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别,为管理员提供了全面、高效的P2P行为管控手段。
能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,既可全面禁止指定用户使用P2P软件,也可允许其使用但对P2P行为占用的带宽资源进行限制和管理,从而既优化带宽资源的使用,又为员工提供了人性化的管理方式。
3.4代理服务器识别
很多组织的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网,但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的,这将无法识别通过代理服务器的员工流量和行为。
对于通过Proxy Server代理上网的情况,AC可以很好地适应并发挥其作用。AC的深度内容检测技术识别用户数据中包含代理信息后,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录。
3.5网页智能分析系统IWAS
网页访问是用户最常发生的上网行为之一,而Google声称互联网独立网页超过一万亿,如何识别、分类、管理数量巨大的网页呢?博客是的典型产物,例如同样是新浪博客有的内容丰富正派,但有的博客违反道德、反动等,如何识别、区分、过滤?无需安装炒股软件,通过百度、新浪等网站也看在线实时查看股市行情,如何管理?
SANFOR AC融合中科院人工智能技术推出的网页智能分析系统IWAS能够根据网址、正
文内容、关键字、代码特征等对网页进行智能分类,并且具备自我学习和自我修正能力。管理者可以自定义个性化URL分类如“中国足球”类,并在AC中输入数个“中国足球”相关URL地址后,AC将自动分析学习“中国足球”相关网页特征,并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习,帮助组织从容应对泛滥的网页访问行为。
3.6最全面的应用识别
无法识别,何谈管控?内网用户的上网行为纷繁复杂,且伴随着应用“加密化”和“种类爆发”的趋势,是否具备全面的应用识别能力,是考量上网行为管理方案的重要标准之一。
SANFOR AC多种应用识别技术,全面识别各种应用、进而管控和审计。主要包括:
a)URL识别:千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明
文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网
上数以万亿的网页。
b)文件类型识别:识别并过滤HTTP、FTP方式上传下载的文件,即使恶意用户删除文
件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警。
c)深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、
常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自行定义新规则,
以及深信服科技及时更新和快速响应。
d)智能识别:种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P
智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。
3.7免审计Key功能
总裁、高层领导网络访问行为,财务部收发的邮件等关乎组织机密信息,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?
AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。
3.8网络准入规则
AC的网络准入规则(Network Admission Rules, NAR)通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。NAR的设计意义在于三个方面:
1. 仅靠网络边缘的外围设备已经无法保证安全性。
2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
3. 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、长
时间不更新防火墙和杀毒软件等,都成为局域网安全中的“短板”。
鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。不能满预设要求的接入端点,禁止其访问互联网或允许访问但提交报告给管理员做后续处理。通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,便于组织推行统一的IT政策。该准入规则允许管理者手工添加和定制,从而可以管理几乎所有终端在线状态,使端点安全和网关安全紧密结合,为组织构筑统一的安全防御体系。
3.9加密聊天内容监控
“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQ、TM、MSNShell、飞信、Skype等。如果不能监控和记录加密IM聊天内容,隐匿其中的安全风险、安全事件就无法防御、无据可查。
目前业界解决方案多数都无法监控和记录QQ、MSNShell、飞信、Skype的聊天内容。AC 的聊天内容同步侦听技术实现对QQ、、MSNShell、飞信Skype等加密聊天内容的监督和记录,帮助组织轻松应对应用加密化的影响。
3.10邮件延迟审计
AC的邮件延迟审计(Postponed Sending after Audit, PSA)专利技术,将敏感邮件阻挡于内网。内网用户发送Email邮件时,用户认为已经成功发送,实际上符合管理员预定策略的整封Email邮件(包括正文和附件)全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人工审核后,才允许符合组织安全规定的Email邮件发送到互联网上,而不符合要求的Email则被截留并作为追究责任的依据,有效实现了对泄密邮件的封堵,保护了组织的敏感信息的安全性。
*AC的邮件延迟审计技术对内网用户完全透明,邮件的发送过程与日常无异。
3.11外发文件深度识别
存心的泄密者往往会将外发文件的后缀名修改/删除,或者加密/压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失,单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无
法应对以上风险。鉴于此SANFOR AC的外发文件深度识别技术基于文件特征能够识别超过一千种以上的文件类型,基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为,保护组织的信息资产安全。
3.12智能的流量管理
组织有限的Internet带宽资源,如何避免非业务行为的滥用,同时为业务行为细致智能的划分与分配带宽资源?传统设备根据IP和端口结合QoS实现带宽分配,但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP 等,让传统设备的带宽管理功能大打折扣。
AC实现了基于用户、用户组、出口链路、应用类型、网站类型、文件类型、目标地址、时间段、优先级等的细致智能的流量管理系统,让组织的带宽资源得到细致的优化和高效的使用。
3.13海量日志快速检索
记录员工网络行为,不仅满足公安部82号令等法律要求,又做到了有据可查。大型组织每天产生数G的日志数据,通过AC的外置数据中心实现了海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。
组织通过AC的外置数据中心保存了上百G的海量日志信息,而一旦发生关键事件或管理者需要从大量日志信息中快速检索获取其感兴趣的内容,却难以快速从海量日志中发现期望得到的数据。AC内置了强大的数据中心内容检索系统,利用类似Google的先进搜索技术,从高达几百G的海量数据中通过多个关键字快速搜索指定内容,并且支持对Email附件正文内容的检索、支持高级检索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。
3.14数据中心认证key
员工、领导的上网行为日志已经通过AC数据中心实现海量存储,但如何鉴别访问数据中心的管理员的身份,避免行为日志被滥用(如员工的MSN聊天内容被传播、领导的Email 内容被张贴到互联网上等)而产生的个人隐私侵犯、机密日志泄漏等问题,是组织IT管理者和内网员工普遍关心的问题之一。
SANFOR AC管理员分级管理功能可实现A管理员登录数据中心后只能审计、查看A用户组的行为日志,同时配发启用数据中心认证Key功能后,如果没有该“数据中心认证Key”,A管理员登录数据中心后只能查看统计、趋势等概要信息,只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格控制。
3.15异常流量感知
随用户互联网访问、移动存储设备的使用、以及局域网内其他终端的感染导致用户终端设备往往存在木马、间谍软件、远程控制软件等威胁。此类恶意软件为了藏匿自己的行踪往往通过常用的TCP 80、443、25、110等端口与互联网控制端交互数据,这使得组织的信息安全、资产安全、网络安全等无法保障。SANFOR AC的异常流量感知技术正是对于以上异常流量行为进行识别并报警,帮助IT管理者主动发现组织内网潜藏的安全威胁,提升组织内网可靠性和可用性。
3.16S C集中管理平台
深信服科技于2005年即推出的SC集中管理平台多年来已经为众多大型、超大型网络规模的客户将VPN设备完善管理,目前SC也已将AC上网行为管理设备纳入其中,实现了全网数千台AC网关的集中管理、集中监控、集中配置、集中升级、集中日志等要求,并且具有如下特色:
■管理员强认证:接入SC的管理员身份认证除用户名/密码外,还支持将管理员账户与指定的电脑绑定,采用其他电脑即使有正确的用户名/密码也不能访问SC;
■分级管理:在SC中将众多AC网关划归到不同“区域”,不同管理员授予不同“区域”AC的Read-Only或Read-Write管理权限;
■Webagent动态寻址:分支机构使用无固定IP的链路,有别于传统DDNS、花生壳等方式,借助Webagent动态寻址技术实现分支机构AC与总部SC的安全互联;
■多线路:总部SC同时连接多条公网线路,保证了遍布全国数千台AC网关到总部SC 互联网络的可靠性,同时解决了AC和SC之间跨运营商带宽瓶颈问题;
■……
4部署您的AC产品
在深信服科技六千多家AC用户中,从没发现过两个完全相同的网络环境。作为保护组织网络资源和信息资产的核心设备,AC的多种部署方式适应了不同的网络环境和用户需求。
4.1网关模式(路由模式)
将AC通过网关模式串接在用户网络链路中,所有流量都通过AC处理,对内网用户上网行为和数据包实施所有的审计、控制、拦截、流量管理等功能。若将AC作为组织的Internet 出口网关,AC的防火墙功能保障组织网络安全,多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现基本的路由功能等。
部署方式:AC的WAN口与广域网的接入线路相连,一般是光纤、ADSL线路或者是路由器,AC的LAN口(DMZ口)同局域网的交换机相连,内网PC将网关指向AC的局域网接口,
深信服上网行为管理-管理员手册v1.0
深信服上网行为管理-管理员手册 深信服电子科技有限公司
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。
深信服上网行为管理
深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作,可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力,产品内置业界最大的应用识别库,可对多达500多种互联网应用软件进行管控;基于统计学的P2P智能识别技术,可实现对加密的、新版本甚至未知版本的P2P应用进行识别,为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累,以及充分优化的系统架构、高性能的硬件平台,深信服上网行为管理产品的性能遥遥领先于其他同类产品,可管控5万人以上的大型网络。 目前,在中国上网行为管理的高端市场中,深信服AC产品拥有着极高的占有率,6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同,是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制,规范员工上网行为,提高工作效率
多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;独特的WEB认证、基于浏览器实现方便的用户识别和认证;网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。 独有的网络访问准入系统,只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 2、强大的监控和审计,保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现;特有的邮件延迟审计技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露;同时具有独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录; 3、流量控制和带宽管理,优化带宽资源的使用 多线路复用和智能选路技术,提升出口带宽,流量负载分担,智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配; 4、海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持
上网行为管理_深信服上网行为管理解决方案模版
上网行为管理方案建议书
目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化,管理复杂 (1) 1.2.2 应用和内容不可视,存在风险 (2) 1.2.3 网络流量识不全,控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-
第1章需求概述 1.1背景介绍 随着互联网技术的发展,组织的业务模式和员工的工作模式、行为习惯都在不断发生改变: ?网上业务:组织建设了更多的网上业务平台,通过互联网来开展业务; ?沟通桥梁:内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流,提升工作效率,获取资讯和知识,维系人脉关系; ?移动互联网:移动互联网的消费化趋势也逐渐影响到组织内部的IT系统, 员工更喜欢通过WLAN、移动终端类开展工作; ?新的法规要求:2017年6月1日,网络安全法正式推出,其中对组织明 确提出上网行为审计的要求,并且要求至少留存上网日志6个月。 因此,在员工的日常工作中,#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造,提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料,越来越多组织的业务在向互联网迁移,然而互联网却是一把“双刃剑”,管理得好可以让办公效率大增,促进业务的发展;而缺乏管理的互联网将带来诸多问题,不仅降低工作效率,还给组织带来各种业务风险。 而且互联网也在不断发生变化,从最早使用PC、有线局域网,到更多使用 移动终端、WLAN来进行办公,从早期的网页、PC应用,到移动APP的广泛发展,愈加复杂的上网环境,“看不见管不住”,使得上网管理困难重重。由于互联网应用的多样化,一些看似正常的上网行为,也可能隐藏着巨大的风险。 1.2.1用户和终端多样化,管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端,通
深信服NC500上网行为管理系统技术规格要求.doc
深信服NC-500上网行为管理系统技术规格要求、产品服务明细: 技术指标:吞吐量》800Mbps并发会话数》800,000,用户规模》3000,接口:6个千兆电口, 2个千兆光口,1个RJ45串口,尺寸2U。 二、服务要求: 1.质保期限:36个月; 2.安装调试服务:提供上门进行实施和调试,保证设备实施工作和调试工作; 3.产品质保服务:本次投标全部产品验收通过后,深信服科技承诺对用户所购买的深信服产品(包括 硬件设备、模块、部件等)享受所购服务期内的维修或更换保修服务。 4?软件升级服务:提供服务期限内免费产品软件版本升级服务; 5.URL库升级:提供服务期限内免费URL库升级服务; 6.7x24小时电话支持:全国免费售后服务热线:400-630-6430为用户解答设备使用中遇到的 问题,并及时提出解决问题的建议和操作方法;7x24小时在线技术支持服务;技术支持论坛:技术支持邮箱: 7?增值服务:承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训,并提供供应商上门取送修服务; 8.故障响应:针对本次投标的所有产品提供5*8小时现场保修和技术支持服务,报修后2小 时内电话响应,24小时内上门相应,72小时内实现故障修复,如诊断为硬件故障,携带备件并进行现场更换,承诺尽力在最短时间内恢复系统正常运行,如果故障不能在72小时内排除,提供免费替换服务。 9.产品和配件更换:当本次投标产品发生非人为因素严重故障时,免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地,由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商,且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价,从服务起始时间到服务终止时间等一切费用,我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的,将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。
深信服上网行为管理产品功能
深信服上网行为管理 主要作用: 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能,防止机密泄露 全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果: 1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率 上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。 2.流量控制、带宽管理,提升带宽利用率 对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能 1) 控制功能:细致的访问控制,有效管理用户上网 对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。 表1:访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构,支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类; 关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤; 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件;
深信服上网行为管理功能参数
AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps,标配6个千兆电口,4个千兆光口,标准2U设备,配备冗余电源 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计; 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; 被控设备加入统一平台支持以硬件证书验证身份; 告警管理支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 加密连接具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问; 排障工具提供图形化排障工具,便于管理员排查策略错误等故障; 上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证; 短信认证支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码; 短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑 内容包括文字、颜色风格、图片,且图片支持轮询播放 公用账户支持多人使用同一帐号登录,且支持重复登陆检测机制; 账户有效期指定账户支持有效期限制,并支持自动过期; 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作; 可强制指定用户、指定IP段的用户使用单点登录;
深信服上网行为管理解决方案
深信服上网行为管理解决方案篇一:深信服上网行为管理部署方式及功能实现配置说明 深信服上网行为管理部署方式及功能实现配置说明(标化院) 设备出厂的默认IP见下表: AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮,WAN口和LAN口LINK 灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。 『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能; 网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;
旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且 可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面, 、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。 路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。 配置方法: 第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是/24,在电脑上配置一个此网段的IP地址,通过https://登录设备,默认登录用户名/密码是:admin/admin。 第二步:在【导航菜单】页面中的『网络配置』→『部署模式』 ,右边进入【部署模式】 第三步:定义LAN区网口和WAN
深信服上网行为管理M5000-AC产品参数及介绍
南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点: 1.深度内容检测技术,封堵所有P2P软件(BT、电驴等); 2.邮件延迟审计专利,保证所有邮件先延迟、后发送; 3.监控所有即时通讯软件(QQ、MSN等)聊天记录; 4.独有网络访问准入规则,只允许符合上网策略的用户连接Internet; 5.详细的日志中心,记录所有上网行为; 6.分组管理,对特定组启用监控/不监控; 适用于内网用户数在100人以下的小型网络 功能特性: 一、上网行为控制,规范员工上网行为,提高工作效率; 多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限; 独特的WEB认证、基于浏览器实现方便的用户识别与认证; 网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。 独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现; 特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏; 独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
深信服上网行为管理安全网关
深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台适用中型网络,标配2个100M电口4个1000M 电口; SINFOR M5400-AC-P 150000元/台适用中大型网络,标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 (2)分组模块
(3)控制模块 (4)流量控制模块 (5)记录审计模块
三、深信服产品介绍 针对网络安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P 应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC 的其他安全扩展功能,全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点: 网关+终端、行为+内容的完整上网行为管理解决方案; 业界最丰富的用户认证方式,网络准入规则提供安全终端接入; 针对用户组、用户、应用提供更细粒度的访问控制; 针对应用协议、网站类型、文件类型等智能流量管理; URL库数量:1000万以上 最全的应用识别协议库,24大类,370多条应用识别规则; 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容; 独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
深信服上网行为管理解决方案
深信服上网行为管理 解决方案 深信服科技有限公司 20XX年XX月XX日
目录 第1章需求概述...................................................................... 错误!未定义书签。 背景介绍...................................................................... 错误!未定义书签。 需求分析...................................................................... 错误!未定义书签。 带宽效率风险.................................................... 错误!未定义书签。 工作效率风险.................................................... 错误!未定义书签。 泄密风险............................................................ 错误!未定义书签。 法律风险............................................................ 错误!未定义书签。 安全风险............................................................ 错误!未定义书签。 客户具体需求分析...................................................... 错误!未定义书签。 客户网络现状分析...................................................... 错误!未定义书签。第2章上网行为管理标准...................................................... 错误!未定义书签。第3章上网行为管理AC功能介绍....................................... 错误!未定义书签。 身份认证...................................................................... 错误!未定义书签。 多种认证方式.................................................... 错误!未定义书签。 单点登录技术.................................................... 错误!未定义书签。 用户批量导入.................................................... 错误!未定义书签。 跨三层绑定IP/MAC ......................................... 错误!未定义书签。 新用户认证........................................................ 错误!未定义书签。 访问控制...................................................................... 错误!未定义书签。 网页过滤............................................................ 错误!未定义书签。 搜索关键字过滤................................................ 错误!未定义书签。 发帖关键字过滤................................................ 错误!未定义书签。 文件类型过滤.................................................... 错误!未定义书签。 应用控制............................................................ 错误!未定义书签。 SSL加密应用管理-反钓鱼网站功能 .............. 错误!未定义书签。 P2P管理 ............................................................ 错误!未定义书签。
深信服上网行为管理产品功能.doc
. 深信服上网行为管理 主要作用: 能够全面封堵网站浏览、QQ 聊天等各种工作无关网络行为 封堵和流控当前的BT、 eMule等,和未来可能出现的各种P2P 应用 杜绝不良网站和风险文件的访问及下载,防范DOS 攻击及 ARP 欺骗等 独特的敏感内容拦截和安全审计功能,防止机密泄露 全面记录网络行为日志,避免法律风险,并让 IT 管理者对网络效能和行为进行方便的统计、 审计、分析、报表 再辅以 SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全 通过采用 SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理 者实现完善的网络访问行为管控和行为审计,并达到如下效果: 1.规范员工上网行为(如禁止上班时间 QQ 聊天、炒股、网络游戏等),提升工作效率 上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、 QQ 聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过 SANGFOR AC 可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。 2.流量控制、带宽管理,提升带宽利用率 对严重吞噬带宽的P2P 行为,SANGFOR AC 不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组 )、时间段、应用类型的带宽管理和带宽通
道划分,结合智能QoS ,既保证了业务应用对带宽的需求,又避免了对带宽的 滥用,提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网, SANGFOR AC 将过滤该行为,并提供网关杀毒功能从源 头消除威胁;源自内网的DOS 攻击、 ARP 欺骗等也将被 SANGFOR AC 彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/ 防火墙软件、安装使用违规软件的终端用户,SANGFOR AC 亦能侦测发现,从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用 Email 邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC 特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员 工的网络发帖、 webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对 QQ 、MSN 等聊天内容的记录和审计,将警示通过 IM 聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的 Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。 SANGFOR AC 上网行为管理设备可以管控和过滤员工的此类行为,并 详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。