NetSys AC上网行为管理网关技术白皮书

1、构建安全 高效可管的互联网netsys ac上网行为管理产品白皮书深圳市网域科技有限公司二零一零年七月目 录一、产品概述- 3 -1.企业信息化建设现状分析- 3 -2.netsys ac上网行为管理网关产品概述- 4 -二、netsys ac上网行为管理网关核心价值- 5 -1.安全的网络服务网络安全接入互联网- 6 -2.专业的vpn互联企业分支安全互联- 7 -3.用户上网行为管理规范员工上网行为- 8 -4.用户桌面行为管理提升员工工作效率- 9 -6.安全的网络磁盘安全的文件共享服务器- 13 -三、功能模块列表- 14 -四、netsys ac上网行为管理网关部署- 20 -1.网

2、关模式- 20 -2.网桥模式- 21 -3.独立模式- 21 -五、产品规格- 22 -六、关于网域科技- 26 -1.公司简介- 26 -一、 产品概述netsys ac上网行为管理网关是面向企业级网络应用的硬件产品，为企业提供：企业防火墙、vpn互联、上网行为管理、桌面行为管理、文档安全管理以及网络磁盘等应用，为企业信息化建设提供一站式的技术服务。netsys ac上网行为管理网关本着“以人为本”的互联网管理理念和技术创新，帮助用户建立稳定、安全、高效的互联网应用环境，提升客户的网络应用价值。1. 企业信息化建设现状分析图1.1 通常的企业网络图目前，企业的网络应用情况如图1.1，通常都

3、是路由交换机的组网方式，能够满足企业的基本上网需求。也有部分企业采用专业的防火墙设备来保护企业内部网络安全，防范外部攻击，同时进行员工上网的基本控制。随着网络的飞速发展，互联网已成为企业发展不可或缺的交流平台。互联网在为企业创造价值和提高效益的同时，也带来了一定的负面影响。企业当前传统的网络架构体系，已经不能满足企业管理和发展的需要，无法保障企业网络安全。文档信息流失或窃取，网络带宽的滥用和浪费，员工行为无法规范，员工的工作效率逐渐低下等已成为企业的困扰。为了解决这些问题，企业需要多种解决方案配合使用，同时耗费大量的信息化建设资金。这对于中小企业来说是沉重的经济负担，并且网络管理员还需要掌握多

4、种软硬件的使用，加大了应用的难度和后续维护中故障排查的深度。因此，当前企业网络面临的挑战如下：图1.2 企业网络面临的挑战2. netsys ac上网行为管理网关产品概述基于上述现状，深圳市网域科技有限公司的netsys ac上网行为管理网关产品由此而诞生了。netsys ac上网行为管理网关可以帮助企业管好网络，用好网络，解决网络环境中的企业管理问题，提高员工的工作效率，提升企业市场竞争力，创造企业品牌形象价值。netsys ac上网行为管理网关功能架构如图1.3。图1.3 netsys ac上网行为管理网关功能架构图netsys ac上网行为管理网关立基于尖端行为管控技术、高度模块化集成，

5、界面简捷友好，是一款网络管理员最易理解最易使用的网络安全管理产品。通过对目前主流网络管理技术的不断创新和完善，在单一硬件平台上实现多种技术的有机融合，浓缩技术精华于一体，提高管理效率和产品的性价比，力求通过此产品提高客户的网络信息化建设水平，让中小企业客户也可以通过较低的成本来分享最新网络管理技术带来的便利和收益，从而推动网络信息化建设在高级应用方面的普及。netsys ac网络产品致力于塑造网关产品新标准，成为当前主流行为管理产品中最具竞争力的产品。经过不断的努力改进和对网关产品功能的丰富创新，为客户带来了管理的便利和网络应用价值的提升。二、 netsys ac上网行为管理网关核心价值net

6、sys ac 为企业提供全面而灵活的信息化建设为一体的解决方案。在此，我们将通过网络安全服务、专业的vpn互联、文档安全、用户上网行为管理、桌面行为管理和网络磁盘等六大方面的详细介绍来阐述netsys ac给企业带来的巨大价值。1. 安全的网络服务网络安全接入互联网 企业级防火墙基于时间对象、地址对象、服务对象和策略动作的专业防火墙；支持基于终端连接数的配置管理；支持动态mac/ip绑定。netsys ac上网行为管理网关通过内置的企业防火墙，能够很好的保护企业网络环境。 支持双线路支持自定义比例负载均衡、自定义分流策略和解决南北通讯的策略路由。通过线路叠加或者配置灵活的分流策略，能够有效解决

7、企业带宽不足或者关键业务带宽应用问题。 带宽控制支持基于实名制终端实时流量监视支持网关实时流量监视支持基于实名制终端历史流量查询支持基于实名制的带宽控制（有效解决动态ip的带宽控制问题）支持基于ip或业务的带宽控制netsys ac上网行为管理网关通过基于实名制的网络流量诊断，能够第一时间发现网络阻塞的终端机器。通过内置的带宽保证和带宽限制功能，能够保障关键业务（如邮件服务、erp数据服务）和关键人员的带宽，并且能够控制非法占用网络带宽的用户。 提供专业的网络服务支持双线路自动拨号服务支持千兆/百兆/10m网络环境自适应支持不影响原有网络结构的透明接入模式支持dhcp服务，提供地址自动分配功能

8、支持ddns服务，即使在adsl网络环境中也可保证管理人员随时随地连入企业进行管理netsys ac上网行为管理网关提供的丰富而专业的网络服务，为企业网络安全接入互联网提供了强有力的网络安全防护手段。它可以根据企业的实际网络应用环境进行灵活布署。2. 专业的vpn互联企业分支安全互联 遵循vpn国际标准分支节点间vpn建立采用标准ipsec算法，符合国际标准，保证企业分支节点安全互联。移动客户端采用标准l2tp算法，并且使用基于ukey的硬件识别，保障安全快捷互联。 支持对端动态ip隧道建立系统内置了智能寻址模块，即使分支节点双方全部使用adsl拨号，同样可以快速安全的建立隧道。 支持完全图形

9、化的快捷布署ipsec算法的复杂度决定了隧道建立是一个非常繁琐又复杂的工作，但是netsys ac上网行为管理网关采用独有的智能算法，将复杂的配置流程彻底简易化、人性化，支持各种网络环境的隧道自动生成。用户只需要轻点鼠标即可快速建立vpn隧道，无需考虑复杂的vpn参数。 支持完全图形化的快速故障定位netsys ac上网行为管理网关采用隧道和分支节点实时检测技术，一旦发现分支节点或者隧道异常，立刻告警并且使用醒目的颜色标识隧道和分支节点状态。 支持海量分支机构互联netsys ac上网行为管理网关的集中管理中心采用了完全分布式架构，可以同时管理一万个分支节点及其相互间建立vpn隧道。 支持海量

10、移动客户端netsys ac上网行为管理网关的移动客户端完全采用标准l2tp协议，移动客户端的数量完全取决于中心点设备的处理能力，一般而言netsys ac上网行为管理网关的低端设备可都以支持多达100个以上的移动客户端同时拨号接入。3. 用户上网行为管理规范员工上网行为上班时间,员工浏览与工作无关的网页、im 聊天、在线炒股、网络游戏等上网行为降低了工作效率，那么又将如何规范员工的上网行呢为？netsys ac上网行为管理网关提供了灵活的上网行为管控和网络行为审计的功能，能够有效的帮助企业进行网络行为合理的规范化。netsys ac上网行为管理网关管理的核心在于：有效管控严格审计，对于非法网

11、络行为进行严格的管控，对于合法网络行为进行日志记录，保证随时备案，有据可寻。 网络下载规范化互联网提供了丰富的资源下载，下载的同时也包含了很多有害文件。如：病毒文件等。netsys ac上网行为管理网关支持下载文件后缀限制，规范客户端文件类型下载。 网页访问规范化上班时间员工浏览新闻网站、论坛发帖等私人活动，管理者却难以阻止，netsys ac上网行为管理网关能针对不同用户提供基于模板的管理方法，让管理者轻松实现指定的员工和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。netsys ac上网行为管理网关同时提供正常访问网址的日志记录，并

12、通过网址解释和图表分析统计，为管理人员提供网址访问直观的信息。 信息发布和搜索规范化员工发布反动言论或公司机密信息给单位带来各种隐患风险。netsys ac上网行为管理网关通过策略对各种搜索引擎搜索敏感信息过滤，对违反国家法律、危害企业安全的内容进行过滤，避免用户有意无意访问包含非法内容的网页，净化网络，降低企业法律风险，创制健康文明的网络环境。 网络程序规范化上班时间员工使用迅雷、bt等p2p工具进行网络下载，炒股、玩网络游戏等，不仅影响企业宝贵的网络带宽资源，还大大的降低了员工的工作效率。但是这些网络程序通常具备一定的防限制功能，比如通过变换服务端口、服务器地址等技术手段防止防火墙的阻断，

13、通过标准的企业防火墙也很难进行有效阻断。netsys ac上网行为管理网关采用的是有别于传统防火墙ip+端口的管控方式，通过深度内容检测技术，通过对应用协议和数据包特征的分析来识别相应的应用程序特征，无论应用程序如何变化连接的服务器ip 和端口，netsys ac上网行为管理网关都能准确匹配并进行有效管控和审计。 信息外发规范化工作人员有意或者无意的外发企业机密资料已经是企业泄密的一个重要漏洞。netsys ac上网行为管理网关除了有效的阻断非法的邮件外发功能外，对合法外发的资料也记录了详细的日志。记录的日志包括：web邮件、pop3收取的邮件和smtp外发邮件。 4. 用户桌面行为管理提升员

14、工工作效率上班时间员工到底在干什么？如何清楚的知道员工每天工作业绩？企业的资产有没有丢失？有没有废弃不用的资产？员工有没有在利用公司资源做一些有损公司利益的事情？netsys ac上网行为管理网关提供桌面行为管理功能，帮助管理人员清晰的了解企业员工的工作状况和整体资产信息。 员工桌面行为控制工作人员在电脑上能够做什么，如何才能做到有效的桌面行为控制？netsys ac上网行为管理网关可以通过基于灵活的桌面行为策略配置对用户进行分类严格控制。具有独特而有效的远程操作技术，为管理员的维护带来便捷。 员工桌面行为日志netsys ac上网行为管理网关提供了各种实时信息和历史日志统计信息，帮助企业了解

15、员工的工作状态，对企业的近况做实时分析，提高企业生产率。实时状态检测：基于企业部门员工的二层逻辑层次，实时了解每个员工的状态。实时工作状态：实时检测员工当前屏幕、当前开启的应用程序等信息实时资产信息：实时检测终端电脑的资产状态。工作业绩分析：根据指定的时间段，统计分析员工的工作业绩。工作流水日志：员工每天的工作流水日志。屏幕录像日志：定时对终端屏幕录像并提供播放功能。聊天日志：记录包括qq/msn/雅虎通/飞信/阿里旺旺贸易通/新浪uc/skype聊天日志。文件传输日志：记录终端员工通过qq/msn传输的文件并记录其附件。 企业资产管理工作人员通过usb移动存储介质及电脑的输出接口私自拷贝文件

16、资料、私自拆除或更换电脑硬件部件以及有意或无意的使用恶意进程，都将对企业带来各种各样的安全隐患。netsys ac上网行为管理网关通过如下技术手段帮助企业解决这些问题：硬件资源管控：能够对usb移动存储介质、红外、光驱等能否使用进行管控。软件资源管控：员工非法进程管控。企业资产统计：通过指定查询条件可以清晰列出软硬件资产列表和详细信息。资产变更告警：硬盘变更、内存条变更或者cpu变更等都将形成变更告警，并日志记录。5 企业文档安全彻底保障企业信息安全 企业信息安全现状由于网络和计算机系统原有的特性，在提高数据与设备共享性的同时，也带来了信息、数据被非法窃取、复制、使用等弊端，对涉及国家机密及企

17、业内部敏感数据的安全管理形成了极大的挑战。为防止数据外泄，企业会不惜巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品，这样一来 就以为可以高枕无忧了。其实，这种想法是片面而极其危险的。 fbi和csi对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致了6056.5 万美元的损失，是黑客造成损失的16 倍，是病毒造成损失的12 倍。于是，对文件本身进行加密的产品就得到越来越多的重视，但是传统中的文件加密技术基本上都是以静态加解密为理论根据的。这种加解密技术过多的依赖应用程序和个人的操作，虽然技术本身可以比较好的实现对文

18、件的加解密，但是无法化解信息安全和工作效率之间的矛盾，也不能完全的防止企业内部人员主动泄密的隐患的发生。随着信息的发展，协同工作的要求愈来愈强烈，这需要信息的完全共享，这时传统意义上的加解密技术就无法满足这一时代要求，安全系数大大降低！另外，传统中的加解密技术基本上都需要人的手工操作，非智能化的，这种手工操作费时费精力，员工在专心工作的同时还要考虑着文件是否被加密的问题，降低了工作效率，有时还会因为一时的疏忽大意酿成无法挽回的严重后果。 netsys ac上网行为管理网关文档安全技术a. 基于底层驱动的双缓冲加解密技术国内目前应用最广的是基于应用程序二次开发加密以及基于驱动的单机加密系统，但这

19、两种加密系统都存在着明显的缺陷和安全漏洞。基于应用程序二次开发的加密软件，只能针对少数几种应用程序进行加密控制，而不能适应种类繁多的应用程序的加密控制，因此受到很大应用局限性。基于驱动的单机加密系统，虽然可以加密监控本地计算机所有的应用程序，但是由于不支持网络文件系统，打开本机加密文件另存至未受控的计算机时会自动解密，从而导致加密文件的安全泄漏。而netsys ac上网行为管理网关的文件加密系统则在底层技术上采用了以下技术：（1） 采用双缓冲底层驱动文件过滤技术进行文件加密。双缓冲技术，即在windows自有的缓冲区之外，另建了一个存储结构相同的缓冲区，这个缓冲区由netsys ac上网行为管

20、理网关文件加密系统单独管理和控制。在读取密文的时候，在windows缓存中保存密文，而在自建的缓冲区中保存明文信息，当进行写操作时，如果需要写入明文，则从自建的缓冲区中直接写入硬盘，如果需要写入密文，则将windows缓冲区的密文内容写入硬盘。这样做的优势就在于：n 直接在缓存中进行加解密，写硬盘的速度更快，加解密效率更高。n 在windows缓存中保存的是密文，可以防止别有用心的人从windows缓冲中窃取明文数据，导致泄密。n 不但可以实现强制加密功能，而且可以轻松的实现强制解密功能，更加符合企业的实际加密管理需求。（2） 全面支持网络文件系统。同时监控本地硬盘和网络驱动器的读写加密。对任

21、何应用程序生成的任何文件进行加密控制。同时，透明加解密的过程中，不产生临时文件， b. 高安全性算法和加解密效率并重加密强度和加解密速度是双面刃。加密强度越高，加解密速度越慢，而且文件越大，时间上的延迟越明显。加密强度太低，则很容易被破解。为了同时保证文件安全和加密效率，netsys ac上网行为管理网关文件加密系统采用了160位的ibm公司的seal加密算法，同时采用双缓冲技术，对加解密速度进行了优化。实际测试结果证明，使用netsys ac上网行为管理网关文件加密系统透明打开大于100m的文件，也不会有明显的时间延迟。c. 切合企业实际的安全管理国内的很多加密软件在关注文件加解密的同时，忽

22、略了将加解密管理融入到企业的管理体系当中，为了加密而加密，不但改变了企业原有的工作习惯，而且导致工作效率因此而大幅度降低。netsys ac上网行为管理网关文件加密系统则在产品的构架上充分考虑了企业的实际需求，因此在实施时能够很好的融合到企业的整体安全管理体系中。（1） 实名制身份认证完全基于实名制管理模式，并且支持策略模板自定义功能，可以为不同员工选择不同的策略模板。（2） 允许合法的脱机工作当加密终端不在线可以配置为禁止使用、允许使用和密码验证后可以使用。（3） 多种明文出口加密软件对企业工作习惯影响最大的，还是对外交流。netsys ac上网行为管理网关文件加密系统除了提供方便的手工解密

23、方式外，还提供多种自动解密渠道供企业选择，满足安全性和灵活性的要求：n 邮件发送自动解密发送自动解密等；n 存储到移动磁盘（u盘、移动硬盘等）时自动解密；n 刻录到光盘时自动解密；n 保存到网络磁盘（网上邻居的共享目录）时自动解密；n 保存到指定目录自动解密等等。n 保存某种指定文件格式时强制解密（如保存为txt文件格式时自动解密）等等。n 网络磁盘文件解密申请、打印申请和资料外发申请等。（4） 灵活的策略自定义提供开放的策略自定义功能，用户可以通过策略的自行配置，满足各种复杂的安全需求。如：n 本地打印机的控制n 禁止指定的应用程序运行n 禁止未授权的应用程序访问加密文件n 与pdm、oa、

24、erp系统的集成等等。 netsys ac上网行为管理网关文档安全实施效果n 企业内部可以透明地（不需要输入密码）打开加密的文件，进行正常交互。n 非企业内部机器之间无法彼此打开加密文件。n 通过各种渠道（邮件、u盘、即时通讯工具等）外发的文件如果没有通过正常的流程进行授权解密，接受者将无法打开。n 离线计算机仍然可以受到加密控制。6. 安全的网络磁盘安全的文件共享服务器netsys ac上网行为管理网关内置了一块硬盘，留有独立的分区用于安全存储企业加密或者非加密文件信息，充当企业安全的文件服务器角色。netsys ac上网行为管理网关的网络磁盘有别于传统的ftp服务器和文件服务器，除了支持普

25、通的文件存储外，还提供了文件更新查询和文件详细更新下载日志的功能，对企业文件进行更加安全的管理和保护。 netsys ac上网行为管理网关网络磁盘技术特点n 和netsys ac上网行为管理网关用户管理模块无缝集成，完全基于用户实名制。n 支持基于实名制的文件更新查询和管理。n 支持基于网络访问方式的文件读写。n 支持基于目录读写、文件后缀和文件大小的用户权限定制。三、 功能模块列表功能列表功能详细描述网络服务状态查询支持设备基本信息、接口状态及设备各种运行参数查询设备控制支持设备统一功能模块开启管理支持客户端异常终端禁止上网支持非法外联阻断接口配置支持固定ip、adsl拨号支持接口速率手工配

26、置支持网关模式、透明模式和旁路模式三种接入模式dhcp服务支持基于可配置地址池的dhcp服务ddns服务支持动态域名绑定服务双线路服务支持可调节权重的负载均衡支持基于ip或者端口的分流策略配置支持解决南北通讯的策略路由配置设备维护支持设备软件在线升级支持客户端软件在线升级支持设备时间自动或者手工校时支持设备开启服务端口查询支持设备文件在线编辑支持在设备执行用户自定义命令企业防火墙对象配置支持时间对象配置（支持基于星期定义的多时间段对象）支持地址对象（支持地址对象批量添加）支持地址对象组管理支持服务对象支持服务对象组管理策略配置支持mac/ip绑定（支持禁止上网的mac或ip）支持静态路由配置支

27、持源地址转换支持端口映射支持连接数控制（支持对单个ip连接数限制）支持基于对象的防火墙策略定义防火墙日志支持连接跟踪表查询和分析支持选择性记录防火墙阻断日志支持用户定义防火墙策略阻断日志支持认证失败阻断日志支持超过连接数阻断日志支持非法入侵阻断日志支持mac/ip绑定阻断日志支持应用层阻断日志支持url阻断日志支持论坛或者搜索非法关键字阻断日志支持文件下载阻断日志网络互联（vpn）隧道配置支持图形化隧道配置支持网状、星形拓扑隧道自动建立支持选择终端节点隧道建立支持多子网智能模式隧道建立支持对端全动态ip隧道建立实时维护支持图形化隧道和分支节点监视支持分支节点上下线实时报告支持隧道断开和连接实时

28、报告支持分支节点和隧道在线维护支持上下线日志查询管理移动客户端支持移动客户端地址分配管理支持基于实名的移动客户端管理支持基于文件认证的移动客户端支持基于ukey认证的移动客户端支持基于动态域名的移动客户端拨号支持移动客户端拨号成功后是否可以接入互联网配置支持移动客户端只能在指定电脑拨号配置支持移动客户端状态实时查询管理用户管理用户配置支持各个功能模块使用统一用户配置支持基于企业部门员工的二级逻辑层次结构支持企业和部门配置拓扑位置自定义支持域用户信息和部门信息同步支持终端用户自动搜索支持手工添加认证用户支持批量导入用户信息支持安装客户端认证、web认证、ip认证和mac认证支持用户可选择实名绑定

29、信息支持安装客户端用户自动识别支持基于用户大头像的管理模式免监控用户支持免监控特权用户配置支持免监控用户不记录任何信息认证定制支持认证页面可定制，可定制内容包括：认证网页标题公司版权提示信息安装认证终端提示信息企业log图片信息上网行为上网行为管理支持实名制的实时状态信息查询支持员工上下线实时报告支持url访问日志查询统计分析支持web外发邮件（含正文和附件）日志查询支持pop3收取邮件（含正文和附件）日志查询支持smtp发送邮件（含正文和附件）日志查询上网行为审计支持基于实名的审计策略配置支持基于模板的审计策略配置支持文件后缀下载审计策略支持应用层审计策略（含八大类应用程序）支持url白名单

30、和黑名单审计策略支持论坛和搜索引擎关键字审计支持各种日志选择性记录流量监视支持基于实名制的员工实时流量监视支持基于实名制的员工历史流量监视支持网关实时流量监视带宽控制支持基于实名制的带宽限制配置支持基于实名制的带宽保证配置支持基于ip地址的带宽限制配置支持基于ip地址的带宽保证配置支持基于端口的带宽限制配置支持基于端口的带宽保证配置桌面行为桌面行为管理支持基于拓扑或者列表模式的实时信息管理支持员工上下线实时报告支持员工实时工作状态查询支持实时通知信息下发支持实时多屏幕查询支持聊天记录(qq/msn/yahoo/飞信/贸易通等)查询支持屏幕录像日志回放支持员工工作业绩分析统计支持员工每日工作流程

31、查询支持qq/msn传输文件及附件查询桌面行为审计支持基于实名的审计策略配置支持基于模板的审计策略配置支持硬件资产审计（光驱、红外、串口、并口等）支持软件信息审计（注册表、ip地址、arp欺骗等）支持进程审计使用支持各种日志选择性记录资产管理支持资产详细信息查询支持资产按条件查询过滤支持资产变更告警远程维护支持远程文件读取支持远程共享目录管理支持远程网络连接跟踪分析远程关机、重启等命令文档安全加密策略支持加密策略自定义支持标准内置加密策略支持基于实名的加密策略配置支持基于模板的加密策略配置文件使用支持文件透明加解密支持文件手工解密支持文件解密日志查询支持加密文件邮件外发自动解密并支持日志备案支

32、持加密文件在线申请和审核解密并支持日志备案支持加密文件打印申请和审核打印并支持日志备案支持离线情况下，加密文档基于密码的使用网络磁盘磁盘管理支持统一磁盘文件和目录管理支持按文件文件名称、文件大小、最近更新人员和更新时间查询过滤支持网络磁盘操作日志查询（文件解密、邮件外发、文件打印和磁盘文件操作日志）权限管理支持在现有用户信息中导入用户信息支持新增网络磁盘用户支持网络磁盘用户权限定制支持基于目录读写权限配置支持最大文件限制支持网络磁盘存储文件后缀限制终端管理支持局域网和互联网用户认证管理支持最近更新文件查询支持本地文件和网络磁盘文件交互支持员工文件打印申请支持文件打印管理人员对打印文件申请进行审

33、核支持员工邮件外发申请支持主管人员对外发邮件进行审核并自动外发支持员工加密文件解密申请支持主管人员对外发邮件进行审核并自动解密支持各种申请、审核在线通知提醒数据管理数据管理支持磁盘日志数据自动删除过期日志数据支持配置数据备份、恢复支持所有数据备份导出支持备份数据查看器对备份的日志数据进行查询支持手工删除指定人员的指定日志数据支持清空全部日志数据支持设备恢复出厂设置报表打印支持企业一定时间整体报表打印支持对个人的报表打印系统安全系统安全支持用户功能定制支持只能从指定ip或mac登录支持基于用户名密码ukey的双因子认证登录支持密码修改（系统密码统一使用md5加密）支持详细的系统操作日志四、 ne

34、tsys ac上网行为管理网关的部署 netsys ac上网行为管理网关支持3种部署模式：网关模式、网桥模式、独立模式。1. 网关模式将netsys ac上网行为管理网关通过网关模式部署在企业外网络边界处，作为企业的上网出口，所有流量都通过netsys ac上网行为管理网关处理，对内网用户上网行为和数据包实施所有的审计、控制、流量管理等功能。若将netsys ac上网行为管理网关作为企业的internet出口网关，netsys ac上网行为管理网关的防火墙功能可以保障企业网络服务安全，多线路技术扩展出口带宽，nat 功能代理内网用户上网，实现基本的防火墙路由功能等。目前企业接入internet

35、一般有3种情况：光纤接入的固定ip上网方式、adsl上网方式或dhcp方式的动态ip上网方式、小区或者写字楼的内部固定ip接入上网方式。netsys ac上网行为管理网关支持目前的各种上网方式，通过设备的外网口（wan口）和外部线路连接，通过设备的内网口（lan口）和（核心交换机）连接企业内部网络。物理连接如图1.4：图1.4网关模式连接示意图2. 网桥模式网桥模式，又称之为透明模式，网桥模式主要适用于不希望更改网络结构、路由配置、ip 配置的用户。此时的netsys ac上网行为管理网关在网络层次上表现为一个2层的交换设备。这种部署模式下，netsys ac网络设备被串联在用户的上网设备（路

36、由器或者防火墙）与内部网络之间。netsys ac设备的外网口（wan口）连接上网设备，内网口（lan口）连接企业内部网络（核心交换机），对内网的用户来说是“透明”的。这种连接方式，目的是确保被管理的客户端上网的数据都经过netsys ac上网行为管理网关设备。具体连接方式如图1.5。图1.5网桥模式连接示意图3. 独立模式独立模式，又称之为服务器模式。此时的netsys ac上网行为管理网关设备相当与一个独立的服务器。在连接上只需要连接设备内网口（lan口）。只要保证，被管理的pc机可以和netsys ac上网行为管理网关设备互通就可以。具体连接方式如图1.6。图1.6独立模式连接示意图采用

37、旁路模式部署的netsys ac上网行为管理网关，将与交换机的镜像端口相连，部署实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生概率。主要用于监视用户网络行为、桌面行为和文档安全等行为。五、 产品规格netsys ac2000上网行为管理网关 产品型号：ac2000 支持客户端数量：2000台尺寸：标准1u结构, 48.2(w)46.0(d)3.68(h),6.0kg接口：4个1000m接口； 1个console口；1个usb接口 性能：支持3000000条并发连接,转发性能千兆限速 应用：1000-2000台办公电脑的企业或分支机构 其他：防火墙,vpn功能,支持移动客户端，vp

38、n管理中心 netsys ac1000上网行为管理网关 产品型号：ac1000 支持客户端数量：1000台尺寸：标准1u结构, 48.2(w)46.0(d)3.68(h),6.0kg接口：4个1000m接口； 1个console口；1个usb接口 性能：支持2000000条并发连接,转发性能千兆限速 应用：500-1000台办公电脑的企业或分支机构 其他：防火墙,vpn功能,支持移动客户端，vpn管理中心 netsys ac500上网行为管理网关 产品型号：ac500 支持客户端数量：500台尺寸：标准1u结构, 48.2(w)46.0(d)3.68(h),6.0kg接口：4个1000m接口； 1个console口；1个usb接口 性能：支持700000条并发连接,转发性能千兆限速 应用：300-500台办公电脑的企业或分支机构 其他：防火墙,vpn功能,支持移动客户端，vpn管理中心 netsys ac300上网行为管理网关 产品型号：ac300 支持客户端数量：300台尺寸：标准1u结构, 48.2(w)43.0(d)4.45(h),6.0kg 接口：4个100m接口(分别为lan, 2个wan, ext)； 1个console口 性能：支持500000条并发连接