深信服sinforac上网行为管理解决方案

1、深信服SINFOR AC上网行为管理解决方案、上网行为管理与企业竞争力随着In ternet的接入的普及和带宽的增加，一方面员工上网的条件得到改善， 另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现， 在上班工作时间里非法使用邮件、浏览非法 Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加， 令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网 活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题：（1）工作效率低下、 网络性能恶

2、化、（3）网络违法行为。企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析， 发现可能存在 的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是 对企业网信息安全管理的挑战，这些问题包括：IT管理员如何对企业网络效能行为进行统计、分析和评估?IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如 何监控、控制和引导员工正确使用网络？IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手一一SINFOR

3、 AC 上网行为管理系统网络作为信息时代企业的生产工具， 同样面临着适当监控、合理使用的问题。在 美国和欧洲，有80%的企业对员工的互联网活动进行监视，而且这一举措得到 了法律条文上的支持。随着中国加入 WTO ,经济领域的国际竞争进一步加剧， 国内的企业也需要认真考虑合理使用网络资源，充分提高企业竞争力的问题。尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用，给中国企业带来了巨大的 损失。因此，如何有效地解决这些问题， 以便提高员工的工作效率， 降低企业的安全风 险，减少企业的损失， 已经成为中国企业迫在眉睫的紧要任务。

4、当前内网安全管 理也随之提升到一个新的高度， 在防御从外到内诸如病毒、 黑客入侵、 垃圾邮件 的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日 益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理 利用。针对内网安全上的这些问题， SINFOR M5*000 AC 系列 UTM 安全网关是一 个非常好的解决方案。在内部安全的上网行为管理（网络安全审计）上，为保证 企业合理使用 Internet 资源，防止企业信息资产泄漏， SINFOR AC 安全网关 提供了完善的访问控制功能。 通过合理设置访问权限， 能够杜绝对不良网站和危 险资源的访问，防止 P2P

5、 软件对企业网络带来的安全风险。通过带宽管理和访 问跟踪技术，能有效防止对 Internet 资源的滥用。 SINFOR AC 安全网关独特 的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。此外，作为一个 UTM 整合式设备， SINFOR AC 安全网关还提供了丰富的外部 安全保障措施。除了强大的 VPN 模块和防火墙模块之外， SINFOR AC 安全网 关还集成了来自欧洲的领先病毒厂商 F-PROT 的杀毒引擎，对内网用户接收的 邮件和下载的文件进行病毒过滤， 降低了内网用户感染病毒的风险。 另外，强大 的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用

6、Internet 的办公效率。同时 SINFOR AC 安全网关还提供了高效的 IPS （入侵 防御系统） 功能，能有效识别和抵御 3000 多种攻击， 更大范围的保护了企业连 接到 Internet 的安全。三、某某公司网络现状及 SINFOR AC 解决方案简单描述客户的网络现状及需要解决的问题， 针对这些问题提出深信服的解决方 案，并提供一个针对该方案的网络拓扑图。某某公司简介。随着业务的发展，信息化建设步伐的加快， 某某公司的网络安全问题也日益严峻， 虽然在网络出口处已部署了专门的防火墙设备， 但无孔不入的病毒 （尤其是木马 病毒）、垃圾邮件仍然大肆泛滥， 严重影响了企业应用系统的运行

7、和公司业务的 正常运作；另外，在针对内网的安全方面（尤其是 PC 客户端准入安全检查）， 由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。根据某某公司的网络环境和实际应用，需要部署如下安全设备：（1）在公司网络出口处部署专门的杀毒网关对过往数据进行杀毒，以便配合原 有的 Symantec 网络版杀毒； 说明：主机防病毒（网络版杀毒软件）和网关防病毒的互补 主机防病毒（网络版杀毒软件，如 Symantec 、Mcafee 等）主要是针对主机进 行防范，需要每台电脑都部署专门的客户端， 这样对于没有安装客户端的电脑主 机还是有可能在上 Internet 的时候感染上病毒，另外对

8、于没有及时升级最新杀 毒版本的电脑主机也同样有可能会感染上病毒，从而导致整个局域网中毒。网关防病毒对所有流经网关的网络数据， 都会经过杀毒处理， 可以有效避免没有 安装杀毒客户端或没有升级最新杀毒版本的电脑发生的中毒事故。 但是网关防病 毒主要是防范通过网关传播的病毒，对于网络内部通过 U 盘、软盘等移动存储 介质、局域网文件共享等途径传播的病毒， 是网关防病毒鞭长莫及的， 必须要通 过主机防病毒才可以补充防范。可见，以上两种杀毒模式各有侧重点， 很难说那种模式更好； 针对当前日益严峻 的网络安全现状， 建议同时能够部署主机防病毒 （网络版杀毒软件） 和网关防病 毒设备。（2）部署防垃圾邮件设

9、备对垃圾邮件进行过虑；（3）部署互联网访问行为管理设备，对通过网关发送出去的相关数据、文件进 行内容过虑，对内网用户的相关访问行为进行跟踪，以提高对 Internet 资源的 使用效率；（4）部署客户端安全检查设备 （并集成 IPS/ 防 DDOS 攻击功能）， 能够对 PC 客户端的安全性进行检查，对不符合安全的 PC 机可以自动切断其连接 Ineternet ，以便整体提高局域网的安全性，另外要能集成 IPS 及防 DDOS 攻 击功能，能比较有效的防御木马的攻击。传统的 IT 解决方案中，需要对网关杀毒、防垃圾邮件、 IPS 、防 DDOS 以及内 容过虑、访问跟踪等分别购置多套设备，投

10、入成本巨大。 SINFOR AC 互联网控 制设备作为一款 UTM 多功能安全网关， 是 ALL IN ONE 的解决方案， 一个设 备解决所有的网络安全问题。另外， SINFOR AC 还集成了深信服获得国家专利的两项专利技术： “客户端网 络访问准入规则 ”、“邮件延迟审计 ”，可以提供良好的 PC 客户端安全检查扫描 功能，以及对邮件的延迟审计功能， 提高了局域网的整体安全性， 并有效保护了 企业商业机密的非法外泄。2R!户* 41* ft btKF?M 盅甘q付哲讣JIl ” 购g1 .4 臭难ht曲杀I人t?防箱“饋讣HlStfi：MierififiUtHh曲叭 迟戟事的舟需灯输fl

11、内fKVjHa* toil iTH嶺込朽戲幹,-:SilhrMRHttShifur MSIOO 心理的眾郁网:幷四、SINFOR AC 上网行为管理功能介绍（一）控制功能：细致的访问控制功能，有效管理用户上网SINFOR AC安全网关不仅可以对员工访问 WEB、FTP、MAIL等常用服务的内 容进行控制，更可以对 QQ、BT、MSN、SKYPE等各种P2P软件的行为进行 限制和控制。丰富的报表功能还可以分析出企业的In ternet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活

12、 方便。表3.1 :访冋控制功能一览表功能详细指标危险网站阻隔使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的 访问访问控制策略提供基于组、时间、服务、网址策略、内容策略等多种对 象组合的安全访问控制策略P2P拦截使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔用户认证提供Web登录认证功能，提供本地用户数据库和 LDAP、 RADIUS用户数据集成功能文件上传下载 控制控制对HTTP、FTP文件上传、下载类型和大小进行控制，也能 对QQ、MSN等P2P软件的文件传送进行拦截IPMAC绑定提供灵活的IPMAC绑定策略代理识别功能能识别采

13、用Http、Https、Socks等代理服务器绕过防火 墙检查的行为，从而进行阻断敏感数据拦截对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦 截，以防泄密或引起法律纠纷（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不 是被黑客窃取，而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和 监控功能能够有效防止信息通过In ternet泄漏，并建立强大的内部安全的威慑， 减少内部泄密的行为。对于邮件类型的应用还采用了深信服邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计

14、/监控模块为企业构筑了 强大的内部安全屏障。表3.2 :访问审计功能一览表功能详细指标邮件 延迟审 计对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄实时监控实时监控用户的上网行为内网监控针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下 载的文件等进行详细的记录，以监控员工上班时间的工作行为，防止 企业内部机密、情报等泄漏，并事后追查责任人（三）报表功能：强大的数据报表中心，提供直观的上网数据统计SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多 种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流 量、邮件、网络监控、IPS系统

15、、准入规则、防火墙等详细信息，并可直接打印 和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析 出企业的In ternet的详细使用情况，为网络管理员和决策者提供了最有效的数 据支持。表3.3 :数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等， 用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、由M牛排行、由M牛查询、由M牛趋势等功能，可 详细统计用户所有收发邮件的具体情况网络监控日志包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管 理员可详细监控内网用户使用互联网资源的具体使用情况准入规则日

16、志包括准入规则摘要、准入排行、准入查询等功能，管理员可对内 部网络的违规机器进行详细统计和查看IPS日志包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可 显示详细的网络安全情况防火墙 日志包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能， 管理员可以对防火墙的日志进行更为详细地分析日志库管 理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可在此新增用户、查询用户（四）带宽及流量管理功能：强大的 QOS功能及流量分析SINFOR AC安全网关强大的访问控制和 QOS功能可以使得企业合理利用In ternet资源，为不同的用户分配不同的带宽和上网权限，使得I

17、n ternet资源 得到有效利用，并大大提高员工的工作效率。SINFOR AC安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、tel net 等常用软件的内容和 QQ、ICQ、MSN、YAHOO、MESSAGER 等IM软件的内容。另外还能按用户、用户组、协议和时间对In ternet流量进行统计分析，以优化员工对In ternet的资源使用情况。使得企业有限的带宽能 得到最充分的利用，提高企业的网络利用率。表3.4 : QOS及流量控制功能一览表功能详细指标QOS保使用差分业务模型实现QOS证使用随机早期检测RED丢弃算法提供流量控制流量控制能针对内网每个用户或者

18、不同的组，限定其上网能占用的带宽资 源，使企业内网带宽资源得到充分有效的利用（五）丰富的外网安全功能：包括防火墙、 VPN、IPS、网关杀毒及防垃圾邮 件等 作为一个UTM整合式设备，SINFOR AC安全网关还提供了丰富的外部安全保 障措施。除了强大的防火墙模块和 VPN模块之外，SINFOR AC安全网关还集 成了来自欧洲的领先病毒厂商 F-PROT的杀毒引擎，对内网用户接收的邮件和 下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾 邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用 Internet 的办 公效率。同时SINFOR AC安全网关还提供了高效的I

19、PS （入侵防御系统）功能， 能有效识别和抵御 3000 多种攻击，更大范围的保护了企业连接到 Internet 的 安全。五、SINFOR AC 安全网关主要技术优势（一）深度的内容检测技术及在线网关监控技术 及时封堵 P2P 、 IM 软件（1）深度的内容检测技术：目前的 P2P 软件，如 QQ、 MSN 等 IM 即时通讯软 件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报 文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFOR AC 安全网关的深度内容检测技术， 可以检测出数据包的报文中相对应的特征码， 并根据 预置策略进行及时封堵。 UTM 安全网

20、关内置了多种深度内容检测技术所依赖的 特征码规则，并且可以从网站上更新下载。依靠这种技术，SINFOR AC 安全网关可以封堵目前所有的 P2P 软件；避免了最终用户在 IM 或者 P2P 软件上浪费 时间，提高了员工的工作效率和企业的生产效率， 并防止泄密或由于员工泄密引 起的重大损失。（ 2）在线网关监控技术：与其他旁路监听的访问监控产品不同的是，SINFORAC 使用了在线网关监控技术。所有的旁路监听产品，对 UDP 发送的数据都难 以拦截，并且拦截往往有一定时延， 拦截敏感数据的效果不佳， 并且容易遗漏监 控数据。 SINFOR AC 的在线拦截监控技术能保证拦截到所有敏感数据，外出数

21、 据无一纰漏。（二）邮件的延迟审计（专利技术）SINFOR AC 安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。 目前电子邮件已经成为人们最重要的沟通方式。 电子邮件快捷、 方便的特点已经 成为企业与外部沟通的最有效的方式之一。 企业内部大量的信息都通过电子邮件 方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。SINFOR AC 安全网关独创的邮件延迟审计功能，可以对经由 AC 安全网关的所 有邮件进行延迟审计。对于内网用户向外发送邮件， AC 安全网关会对其进行延 迟缓存，只有等待管理员审计后才能发出， 确保了企业信息资产不外泄， 保证了 企业内网信息的安全，且

22、邮件延迟审计对发件人完全透明。（三）独有的网络访问准入规则（专利技术）企业的安全隐患， 往往是由于内网用户客户端缺乏安全防范造成的。 为了从根本 上杜绝企业内部网络安全隐患， 减少内网用户遭受间谍软件、 病毒的风险。 深信 服科技创新性地采用了网络访问准入规则这一技术。网络访问准入规则，是管理员在 SINFOR AC 安全网关的准入规则中预先定制 好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁， 以及用户的计算机是否安装有 相应的杀毒程序或者防火墙， 或者是用户的计算机是否启动相应的杀毒程序、 防 火墙程序等等，这一系列的安全标

23、准都可以定制成相应的安全策略。当用户计算机访问网络请求的数据包通过 SINFOR AC 安全网关时，若启用了 WEB 认证，当用户通过 WEB 认证后，此时用户的计算机会自动从 AC 安全网 关下载相应的安全策略扫描程序， 并根据指定的安全策略启动扫描程序， 检查用 户的计算机是否具备了相应的安全策略。 只有符合相应的安全策略的计算机才允 许访问外部网络， 不具备相应安全条件的用户计算机， 不允许上网。 这样从根本 上提高了企业用户计算机的安全性， 减少了企业用户遭受蠕虫、 病毒、木马以及 间谍软件的风险。（四）WEB 认证技术AC 安全网关基于 Web 的用户认证功能，使得管理员对上网用户的

24、管理变得十 分灵活方便。用户启用了 Web 认证功能以后，除了对客户端的本地身份（如： 用户名密码认证， LDAP 、RADIUS 等认证）进行常规性认证以外，还将启用 Web 认证。当客户端在浏览器中输入任意网址时， AC 安全网关会要求用户输入 用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问 Internet 。（五）高度集成，部署灵活SINFOR AC 安全网关很重要的一个特点就是除了作为专用的互联网访问控制 设备外，它还是一个整合式的 UTM 设备，将访问控制 / 监控、网关杀毒、防垃 圾邮件、防火墙、 VPN 和 IPS 等多种功能都集成在一个网关。用户可以使用较

25、 低的成本同时拥有多种网络安全模块， 大大降低了企业在网络安全方面的总体拥 有成本。另外，用户在使用 AC 作为互联网访问控制设备的同时，也可以选择使 用 AC 设备的其他某个或某几个功能模块， 比如将 AC 作为杀毒网关或防火墙等 的网络设备使用，可与原有网络安全产品融合，部署灵活的同时也保护了投资。六、成功典型案例SINFOR 互联网访问控制设备构建乐凯集团安全网络乐凯胶片集团公司是我国影像信息记录产业中规模最大、 技术最强、 产品品种最 多、市场覆盖面最广、 跨地区跨行业的现代化企业， 是国务院国资委出资的 189 家大型国有企业之一， 下属分公司和合资公司共有三十多家， 其主导产品乐凯

26、彩 色胶卷和彩色相纸双双荣获国家银奖和科技进步一等奖， “乐凯 ”商标被国家商标 局认定为中国驰名商标。作为一个拥有上千名员工、 信息化程度高的技术型企业， 乐凯集团像众多企事业 一样也面临很多困扰。员工在工作时间上网娱乐、购物、 MP3 下载等，不仅占 用大量带宽，而且还导致员工工作效率的降低。 SINFOR AC 的使用可帮助乐凯 制定和实施一套适合自己企业的互联网使用政策， 把与工作无关的上网行为降低 到最低，去除员工的分心，让他们专注于工作，提高工作效率，大大降低员工因 为不正当使用互联网而受企业处罚或解雇等事件的发生。 并且通过过滤掉大量占 用带宽的文件及应用，还可以帮助企业最大化网络基础建设和带宽的投资回报。 另外，深信服数据报表中心还能支持以图表的方式对局域网内的人员的上网行为 进行分析，如：每天上网情况的分析、访问最频繁的网站分析、上网最多的人员 分析等，并提供按时间、服务、网站访问、使用网络流量等多种排行榜。SINFOR 互联网访问控制设备应用于国家档案局档案科学技术研究所 国家档案局档案科学技