深信服上网行为管理M5000-AC产品参数及介绍

Sinfor M5000-AC系列——多功能安全网关的选择防火墙/ VPN/IPS/防病毒/防垃圾邮件/内容过滤/访问跟踪.All in One 概述：Sinfor UTM安全网关是集防火墙、VPN、IPS、病毒网关、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关；为用户提供了一体化的Internet安全解决方案，极大的降低了用户在网络安全方面的总体投资，并拥有强大的访问控制和内网审计功能，能有效管理用户上网，防止机密信息泄漏。

随着黑客攻击技术的不断变化，原本可以防御的安全威胁如：蠕虫病毒、木马间谍等逐渐混合在一起，这种混合式的攻击威胁，传统安全解决方案如单一的防火墙已经无法有效解决。

购买防火墙、杀毒软件、IPS等安全设备又往往需要企业花费巨大的投入成本，且管理众多不同型号、不同厂商界面的安全设备对管理员来说也是一件非常麻烦的事情，给企业带来了巨大的维护成本。

防火墙、网络防毒、防垃圾邮件……您是否真的需要购买这么多不同的设备？另外，当前内网安全管理已经提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。

越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。

针对以上安全问题，一种新的产品UTM设备应运而生。

UTM是统一威胁管理（United Treatment Management）的英文缩写，即一体化的安全设备，是在2004年9月由IDC提出的信息安全概念，通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。

目前UTM已经成为网络安全产品的一个发展方向。

根据IDC的数据，UTM产品市场在近几年会维持高速的增长态势，在2008年之前将维持平均接近百分之八十的年成长率，并于2008年成长成为一个容量达到20亿美元的市场细分，将占有整个信息安全市场的半壁江山，达到57.6%。

国海证券深信服上网行为管理S5000-AC安装调试报告目录1、产品介绍 (3)1.1、产品附件介绍 (3)1.2、S5000-AC外观界面 (3)1.3、登陆WEBUI配置界面 (3)2、实施前工作准备 (5)2.1、网络环境确认 (5)2.2、用户硬件环境 (5)2.3、整理安装实施所需要的资料 (5)3、设备上架规范 (5)3.1、设备上架准备 (5)3.2、设备安装 (6)3.3、设备安装检查 (7)4、各营业部现有网络环境的基本配置规范 (8)4.1、目的 (8)4.2用户现有网络环境及部署方式 (8)4.2.1、网络状况一：单网段、pc网关设置在路由器上 (8)4.2.2、网络状况二：单网段、pc网关设置在防火墙上 (13)4.2.3、网络状况三：多网段。

Pc网关设置在路由器上 (18)5、上网行为管理 (23)5.1、上网策略对象 (23)5.2、上网选项设置 (26)5.3、组织结构 (28)5.4、策略下发操作 (28)6、流量管理系统 (29)6.1、流量状态 (29)6.2、流量管理 (29)6.3、虚拟线路配置 (31)1、产品介绍1.1、产品附件介绍产品打开包装后请检查是否包括如下附件: RJ45 网线2 条（1 条直连线、1 条交叉线）、电源线1 条、软件安装光盘1 张、产品说明书1 本、快速安装手册1 份、固定板和螺丝配件各1 包。

1.2、S5000-AC外观界面SINFOR S5000-AC 设备前面板：1、控制口2、DMZ口3、WAN口4、LANS5000-AC 正常工作时POWER 灯长亮, WAN 口和LAN 口LINK 灯长亮,ACT 灯在有数据流量时会不停闪烁.ALARM 红色指示灯只在设备启动时因系统加载会长亮（约一分钟）,正常工作时熄灭.如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭，请与我们联系。

1.3、登陆WEBUI配置界面AC支持安全的https登陆，使用的是https协议的标准端口登陆。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

SINFOR AC上网行为管理设备选购指南深信服科技版权所有2008年6月构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。

IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。

调查结果表明：员工在上班时间发生的网络活动，30%-40%都与工作无关。

那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐，严重影响了工作效率和带宽使用效率。

在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。

据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。

而据中国公安部最新统计，70％的泄密犯罪来自于机构内部，电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。

如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。

但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足上网行为管理的具体要求。

SINFOR AC上网行为管理设备，完善的上网行为管理解决方案作为国内最专业的前沿网络设备供应商，深信服科技以精准的用户识别+终端识别+应用识别技术为基础，结合封堵、流控和审计等丰富灵活的管理手段及优秀的安全增强功能，为客户轻松应对互联网所带来的安全、效率、泄密及法律风险等问题提供了全面、灵活的上网行为管理解决方案。

深信服M-5100-AC管理手册简介深信服M-5100-AC是一款企业级接入交换机，它通过高效的数据转发能力、强大的安全策略控制和丰富的接口类型，满足企业局域网接入、数据中心网核心交换和MAN接入等应用场景的需求。

本文档旨在提供M-5100-AC交换机的管理手册，帮助管理员实现对设备的管理和配置。

系统管理登录使用支持SSH2.0的终端软件，如SecureCRT或Putty，通过管理口（Console）进入交换机管理界面。

默认用户名为admin，密码为admin，请及时修改默认密码。

用户管理交换机提供多级用户管理功能，建议管理员在进行配置前添加并分配不同级别的账户。

用户等级包含管理员和操作员两种权限。

管理员可以执行所有管理操作，包括：•查看系统配置•修改系统配置•管理用户•控制交换机进程而操作员只能查看与交换机端口相关的信息。

管理员可以通过以下命令添加一个操作员用户：system-viewuser-interface vty 0 4user privilege level 1authorization-attribute user-role network-operator网络配置VLAN管理交换机提供VLAN（虚拟局域网）功能，管理员可以根据实际需要创建不同的VLAN，通过不同VLAN实现不同隔离级别的数据通信。

管理VLAN请按如下步骤：1.创建VLANsystem-viewvlan batch 10 20 302.配置端口加入VLANsystem-viewinterface Ethernet0/0/1port link-type accessport default vlan 10路由管理交换机支持静态路由和动态路由两种方式，管理员可根据需要配置。

•静态路由静态路由是通过手动添加路由逐渐完成的。

在管理端口处键入命令，例如：system-viewip route-static 192.168.1.0 255.255.255.0 192.168.2.1•动态路由动态路由协议使网络可以自行调整路由。

深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口；SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口；SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口二、深信服上网行为管理安全网关产品截图(1)防火墙模块（2）分组模块（3）控制模块（4）流量控制模块（5）记录审计模块三、深信服产品介绍针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。

针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC 的其他安全扩展功能，全方位保障您的网络安全。

四、深信服上网行为管理安全网关产品特色产品主要特点：网关+终端、行为+内容的完整上网行为管理解决方案；业界最丰富的用户认证方式，网络准入规则提供安全终端接入；针对用户组、用户、应用提供更细粒度的访问控制；针对应用协议、网站类型、文件类型等智能流量管理；URL库数量：1000万以上最全的应用识别协议库，24大类，370多条应用识别规则；精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容；独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能功能特性：一、上网行为控制，规范员工上网行为，提高工作效率；多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别与认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。