深信服上网行为管理安全网关
深信服上网行为管理-基本功能介绍
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
定向至指定网页ipmac认证自建帐号密码usbkey认证短信认证ldapradiuspop3ipmac认证pop3proxyad单点登录微信认证web单点登录pppoe单点登陆数据库认证第三方设备单点登陆新用户认证自动分组自动认证自动授权用户身份识别有效区分用户分层次管理的组织架构是部署差异化管理策略的依据用户身份识别用户身份识别映射组织结构网关控制台用户与上网策略对应策略列表用户与行为一一对应数据中心网络应用识别识别网络应用了解用户行为是管控措施的基础和对象国内最大的应用识别库超过2000多种主流应用注
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为管理和入侵检测网关解决方案1.16
深信服上网行为管理和上网优化网关(入侵检测)解决方案深信服科技有限公司20XX年XX月XX日一.上网行为管理1.产品描述:随着互联网的普及,组织机构的业务几乎都依托于互联网进行着。
ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施,来为公司业务建立一个信息化平台。
但是在一个组织机构内部的网络,除了这些关键业务系统外,P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着,形成了复杂的网络应用“脉络”。
网络速度慢,正常业务受到影响,如何来解决问题呢?扩张带宽,将原有的10M扩张到20M?扩张带宽,IT部需要向公司申请一笔较大的经费,财务部需要从其他部门的预算中挤出30W左右的资金,难度大,周期长,有风险。
但是扩张带宽后,网络速度慢的问题是否会从根本上解决呢?而P2P对于带宽资源的吞噬是一方面,另外一方面P2P会产生大量的连接会话,会对于网络核心以及互联网出口设备都会产生比较大的压力,导致相关设备负载过高,导致设备新建会话的速度变慢从而影响网路速度。
由此看来,组织机构若不能应付P2P应用大量吞噬带宽的现象,单纯通过扩张带宽,也只能获得一时的效果,仍然不能从根本上解决网络速度慢的问题。
网络偶然发生拥堵,很常见,但如果网络开始遭遇频繁的数据重发和拥堵,有一件事情是确定的——如果不将网络拥堵处理妥当,它只会变得更糟。
组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全等风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。
项目具体描述性能稳定多机模式支持两台及两台以上设备同时做主机的部署模式,性能翻倍;识别能力用户KEY 能够以USB-KEY方式实现双因素身份认证,更安全,支持基于KEY的免审计功能应用识别库最大识别近400种应用,国内最大URL智能识别基于人工智能实现海量未知网页的自动识别与分类,从容应对一万亿个独立网页的管理挑战;SSL 加密识别基于关键字过滤SSL加密论坛/BBS/WEBMAIL发帖行为并审计内容,基于关键字/发件人地址等过滤邮件客户端外发SSL加密邮件行为并审计邮件内容,防范SSL加密带来的管理漏洞;管理全面发帖管理允许用户浏览帖子但不准发帖功能,网络言论管理更人性化Webmail管理允许用户登录webmail收邮件,而禁止发送webmail邮件的功能,防泄密管理更灵活;3.相关型号及参数;推荐型号:AC1200-HY价格:36500I.性能参数二.上网优化网关(入侵检测系统)1.产品描述当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册(总71页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言 ................................................................................................................... 错误!未定义书签。
第2章系统管理 ........................................................................................................... 错误!未定义书签。
设备登录 .............................................................................................................. 错误!未定义书签。
管理员配置 .......................................................................................................... 错误!未定义书签。
修改管理员密码 ......................................................................................... 错误!未定义书签。
深信服物联网接入安全网关SIG-20211129-V2
智慧交通
智慧安防 精准识别
智慧医疗
IoT 准入控制 智慧能源
有效保护智慧金融B064源自IoT 资产管理01
主动探测 + 被动分析,有效发现并识别各类 IoT 终端,识别率高、 准确性强;
支持网络设备、安防设备、医疗设备等 IoT 终端,提取设备指 纹信息,实现精细化管理;
可视化界面助力终端资产和 IP 地址高效管理,资产详情一目 了然。
产品介绍
深信服物联网接入安全网关 SIG,是专门针对物联网场景研发的 IoT 终端安全一体化产品,以“精准识别、有效保护”为价值主张,集 “IoT 资产管理”、“IoT 风险发现”、“IoT 准入控制”和“IoT 安全防护”四大核心能力于一体,为用户提供一站式、自闭环的 IoT 终端安 全管控方案
SIG
基础防护
访问权限控制 DDoS防护 传输加密
大屏展示
物
联
网
安
安全联动
全
管
理
平
统一管理
台
IoT安全防护
产品价值
摸清家底 全面、精确地识别各类 IoT 资产,建立设备指纹库,帮 助管理者摸清家底。
发现风险 对 IoT 终端和网络进行安全 体 检,准 确 发 现 脆 弱 性 风 险和违规行为。
有效管控 对 IoT 终端进行身份认证和 接入控制,避免未知、非法 终端随意入网。
深信服物联网接入
安全网关 SIG
需求背景
近年来,我国物联网 IoT(Internet of Things)快速发展,广泛应用于智慧安防、智慧交通、智慧医疗、智慧能源等领域,有效提升了社会、 企业的生产效率。同时,数量众多的 IoT 终端也给攻击者留下更大的攻击面,形成更大的潜在安全风险,如何对 IoT 终端进行有效的安 全管控,确保所有入网终端安全、可控,是 IoT 网络安全保障的关键。
深信服SG上网行为管理简介共34页
– 上网行为管理:中国上网行为管理第一品 牌;亚太第二、中国第一 (Forst&Sullivan&IDC)
– 广域网加速产品:亚州第一个推出产品, 最完整,Internet环境下加速效果最好
为什么和深信服合作?
减少病毒/木马 改善Proxy代理
Si
创造更多价值
让网络更快速、安全、高效
SANGFOR SG优势
完整、专业的上网优化方案
SG:上网加速效果最好
SG:部署最智能
组织内部网络
WEB网站
用户区
OA
服务器区
SANGFOR SG 网桥模式部署
下载网站 流媒体网站
SG:性能最强
深信服科技简介
开启上网加速、上网优化新时代
--深信服SG上网优化网关简介
内容概要
SANGFOR
上网优化的必要性 SANGFOR SG 简介 SANGFOR SG 优势 深深信信服服科公技司简简介介
上网优化的必要性
普及的互联网
• 互联网正改变着人们的生产和生活方式! • “更高、更快、更强”同样是网络的追求!
MAC IP头 TCP头 应用协议/内容
– 网络层的防火墙、应用层的管理网关等无缓存加速特性 – 通常只支持QoS等基本流控措施,未能实现带宽有效管理 – 往往缺乏上网安全保障措施,不属上网优化范畴
SG上网优化网关
• SG:开启一个全新的上网优化时代
– 无需扩容组织的上网带宽! – 内网用户无需调整任何配置! – 提升上网速度! – 改善网络安全环境,让网络更好的为业务服务!
深信服Sinfor-AC上网行为管理解决方案
深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1: (5)网络拓扑图2: (6)四、深信服AC上网行为管理功能介绍 (7)1,细致的访问控制功能,有效管理用户上网 (7)2,完善的内容过虑和访问审计功能,防止机密信息泄漏 (7)3,强大的数据报表中心,提供直观的上网数据统计 (7)4,强大的QOS及流量分析功能 (8)5,集成丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1,深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2,邮件的延迟审计(专利技术) (9)3,独有的网络访问准入规则(专利技术) (9)4,WEB认证技术 (9)5,高度集成,部署灵活 (9)6,模块化设计,性能强大 (9)六、成功典型案例 (10)附1:深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:●IT管理员如何对企业网络效能行为进行统计、分析和评估?●IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?●IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服上网行为管理安全网关
一、深信服上网行为管理安全网关产品
SINFOR M5100-AC-S 38000元/台适用中小型网络,标配4个100M电口;
SINFOR M5400-AC-S 100000元/台适用中型网络,标配2个100M电口4个1000M电口;
SINFOR M5400-AC-P 150000元/台适用中大型网络,标配4个1000M电口2个1000M光口
二、深信服上网行为管理安全网关产品截图
(1)防火墙模块
(2)分组模块
(3)控制模块
(4)流量控制模块
(5)记录审计模块
三、深信服产品介绍
针对网络安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。
针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P 应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT 管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC 的其他安全扩展功能,全方位保障您的网络安全。
四、深信服上网行为管理安全网关产品特色
产品主要特点:
网关+终端、行为+内容的完整上网行为管理解决方案;
业界最丰富的用户认证方式,网络准入规则提供安全终端接入;
针对用户组、用户、应用提供更细粒度的访问控制;
针对应用协议、网站类型、文件类型等智能流量管理;
URL库数量:1000万以上
最全的应用识别协议库,24大类,370多条应用识别规则;
精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容;
独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能
支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
功能特性:
一、上网行为控制,规范员工上网行为,提高工作效率;
多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;
独特的WEB认证、基于浏览器实现方便的用户识别与认证;
网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。
独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁;
二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏
记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现;
特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。
防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏;
独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
三、流量控制和带宽管理,优化带宽资源的使用
多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择最优上网线路。
对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配;
智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。
智能QOS,重要数据优先传送;
四、海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持
网络行为日志支持海量存储,满足公安部82号令存储60天要求,且日志的查询、统计、审计等不影响网关性能;
全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;
自动报表,让管理者自动获知组织的网络状况
提供类似百度的搜索界面,实现海量日志的内容检索和搜索。
五、更多安全功能,全面提升内网安全级别
防火墙功能,防范来自公网和源自内网的DOS攻击,提升网络可用性;
防ARP欺骗;网关杀毒,从源头上查杀病毒;
网络准入规则,修复内网安全短板,提升内网安全级别。