上网行为管理产品说明

构建健康安全、高效可管的互联网SANGFORAC上网行为治理产品白皮书深信服科技有限公司

版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特不注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款 本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。 深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。目录TOC\o"1-4"\h\z\u1 互联网对组织提出的挑战 62 上网行为治理给用户带来的价值 72.1 治理网络带宽 72.2 幸免法律和泄密风险 82.3 提升工作效率 92.4 提升内网可靠可用性 112.5 治理网络带宽 123 功能实现 123.1 规划用户分组结构 133.2 建立身份认证体系 133.3 分析网络流量 133.4 优化和分配带宽资源 143.5 网页访问操纵 153.6 治理IM即时通讯工具 173.7 操纵BT等P2P行为 173.8 操纵其他网络应用行为 183.9 防泄密和法律风险 183.10 日志审计和报表中心 183.11 内网可靠可用性增强 193.12 治理和配置的易用性 204 领先的技术优势 204.1 单点登录技术 204.2 反钓鱼网站功能 204.3 P2P智能识不 214.4 代理服务器识不 214.5 网页智能分析系统IWAS 214.6 最全面的应用识不 214.7 免审计Key功能 224.8 网络准入规则 224.9 加密谈天内容监控 234.10 邮件延迟审计 234.11 外发文件深度识不 234.12 智能的流量治理 234.13 海量日志快速检索 244.14 数据中心认证key 244.15 异常流量感知 244.16 SC集中治理平台 245 部署您的AC产品 255.1 网关模式（路由模式） 255.2 网桥模式 265.3 多路桥接模式 265.4 旁路模式 276 产品规格和荣誉 286.1 产品规格 286.2 产品荣誉 286.3 公司荣誉 296.4 AC产品专利 297 关于深信服科技 29

互联网对组织提出的挑战随着信息技术、特不是网络技术的普及，互联网差不多渗透到工作和生活的各方面。而组织内网职员使用IM谈天、网上购物、在线观赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要职员有兴趣，他们就能在上班时刻尽情享受互联网带来的乐趣。针对用户互联网访问行为的管控与审计，美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录领先提出了要求；而中国也颁布了相应的互联网法律法规法规进一步规范互联网行为。缺乏有效治理的互联网是否让您常常面对如下情形却又束手无策？看似充裕的出口带宽却不断接到内网职员关于网速太慢的抱怨；视频会议、VOIP断断续续，与分支互联的VPN极不稳定、经常中断；过激言论、网络造谣给组织招致网监的压力，却又无法查找到责任人；研发代码、营销方案等让竞争对手得知，何人所为？内网病毒、木马、ARP欺骗、DOS攻击让IT治理者头痛不已；巨资购买的杀毒软件专门多职员不装、不用，存在风险的终端肆意上网；专注的敲击键盘、认确实盯着屏幕，但却在发生工作无关的行为；…… 让人无奈的是，职员的不规范网络行为往往是组织为其买单：除因上班时刻无心工作所带来的直接损失外，组织的带宽资源陷入被滥用扩容再被滥用的恶性循环，同时组织还面临法律违规和泄密风险，组织的信息资产、机密信息的未授权传播同样令治理者痛心疾首，由于互联网行为复杂且难以预料，不管是存心依旧意外，一个居心叵测的职员和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的治理者发觉了问题所在，并希望通过有效而可靠的途径来实现对职员的上网行为进行治理，接下来，让我们深入了解深信服SANGFORAC上网行为治理解决方案如何关心组织轻松解决互联网所带来的问题。上网行为治理给用户带来的价值深信服科技SANGFORAC为您带来了全面而灵活的上网行为治理解决方案。在此，我们通过治理网络带宽、幸免法律和泄密风险、提升工作效率、提升内网可靠可用性，以及治理的易用性等五个方面的详细阐述SANGFORAC为您带来的巨大价值。治理网络带宽■多线路复用和智能选路 专门多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术（专利号：200310112006X），AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL03113974.4），AC将流量自动匹配最佳出口。■基于应用/网站/文件类型的智能流量治理有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为？AC能够基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时刻段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制职员P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量治理既防止带宽滥用，又提升带宽使用效率。■流量限额功能 为了更加合理、高效的利用组织有限的带宽资源，流量治理策略需要考虑假如部分用户长时刻持续下载非业务相关网络资源，由此对带宽资源的滥用如何治理？SANGFORAC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量，当用户上网总流量超过设限额后将自动终止互联网访问权限，从而促使用户珍惜带宽资源，幸免对带宽资源的白费。■P2P的智能识不与灵活操纵 封IP、端口等管控“带宽杀手”P2P应用的方式极不完全。加密P2P、不常见P2P、新P2P工具等让众多P2P治理手段束手无策。AC凭借P2P智能识不技术(专利号：200610156977.8），不仅识不和管控常用P2P、加密P2P，对不常见和以后将出现的P2P亦能管控。而完全封堵P2P可能实施困难，AC的P2P流控技术能限制指定用户的P2P所占用的带宽，既同意指定用户使用P2P，又可不能滥用带宽，充分满足治理的灵活性。■带宽统计和报表 AC的数据中心（NetworkDatabaseCenter，NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、统计结果等，能够了解流量TOPN用户、TOPN应用等，并自动形成报表文档，定时发送到指定邮箱，让IT治理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽治理的决策提供准确依据。幸免法律和泄密风险互联网的普及让网络泄密和网络违法行为层出不穷。假如职员利用组织网络发生泄密或违法行为，而假如又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。■外发信息操纵办公室内不管是涉及组织前途命运的机密资料依旧总裁办公室的八卦新闻，职员都可能会有意无意传播。而便利的互联网让他们更多选择使用IM软件、Email、论坛、博客等方式实现信息的外发。AC能够封堵IM软件，过滤和审计收发的Email邮件，过滤论坛、网站访问行为，也能够过滤和审计网络发帖行为，让职员认识到自己需要为其网络行为负责。严谨的上网行为治理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。SANGFORAC提供完整身份认证体系：Web方式的用户名/密码认证，IP/MAC地址绑定，与现有Radius、LDAP、AD联动，AC甚至能够借助现有POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，幸免未经授权的接入用户访问互联网。■外发Email操纵Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。传统设备处理泄密邮件时只能将其拷贝存储留作证据，但泄密邮件差不多外发，损失差不多造成。而SANGFORAC的邮件延迟审计技术（专利号：200510037454.7）基于用户、邮件标题、正文、附件等特征拦截泄密邮件，并自动通知审核人员人工审核后再外发，以确保组织信息资产安全。但存心的泄密者往往将Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查，即便如此SANGFORAC仍然能够对以上行为进行识不和行报警，关心组织强化信息资产保障措施。同时关于所有收发的Email邮件SANGFORAC都能够全面记录，并通过数据中心方便治理者对邮件日志进行查询、审计、报表统计等操作。■外发文件操纵从互联网下载论文、软件、音视频等，不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险；而通过HTTP、FTP等外发文件则又存在泄密可能。SANGFORAC能够基于文件类型对传输的文件进行过滤，并全面记录外发文件内容，即使非善意用户篡改/删除文件后缀名、压缩、加密等AC一样能够识不并报警，保证组织的信息资产安全。■网络言论过滤策略论坛灌水、顶贴、人肉搜索等不仅降低工作效率，同时也潜在给组织带来法律风险。借助SANGFORAC治理者能够封堵指定论坛、BBS等。而且AC还支持基于关键字过滤用户向公网公布的网络言论、帖子等，即便成功公布到互联网的言论AC也能详细记录，通过数据中心提供的报表、查询工具方便治理者审计，幸免组织遭遇的法律压力。有些组织同意职员访问论坛、扫瞄帖子等，但不准发贴，通过SANGFORAC也能够实现。同时AC可实现职员只有使用帐号登录论坛、Webmail后才同意发表言论，从而幸免职员的抵触情绪，同时确保网络言论和职员身份的对应。灵活的网络言论过滤策略既幸免了组织遇到的法律风险，又满足了职员的正常上网需求。■法律遵从和举证AC有效过滤和拦截色情、反动等网站的访问、过滤非法网络言论的发表，即使逃脱过滤进入互联网的非法行为等，也可在AC数据中心中找到相关记录作为法律举证的依据。AC网关本身可存储大量日志，但大型组织每天将产生数十G的日志，只有通过独立于网关的数据中心才可实现海量存储。不管内置/外置数据中心，AC都为治理者提供丰富的日志查询、统计、自动报表等工具。 如何从数十G、甚至上百G的海量日志中找到泄密/违法证据、或治理者感兴趣的内容？AC数据中心提供的内容检索功能，让治理员类似Google、百度搜索一样，方便、轻松搜索需要的内容，并支持自动发送治理员指定关键字的检索结果到指定的Email邮箱。提升工作效率上班时刻无关网页扫瞄、IM谈天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时刻对内网职员的上网行为进行治理和引导？■网页访问行为治理 上班时刻扫瞄新闻网站、论坛灌水、写博客、参与网络虚拟活动等让治理遭受挑战。SANGFORAC内置千万级静态URL地址库是治理网页访问行为的基础，但职员显然会利用Google、百度等搜索到最新的、感兴趣的、或违法的互联网内容，可见AC对搜索引擎输入关键字的过滤是静态URL地址库的有效补充，而且AC能够依照网页正文包含的关键字过滤网页访问行为，有效治理用户的明文网页访问行为。然而Google声称互联网独立网页差不多超过一万亿、Web2.0使得同一网站下有的网页健康、有的网页非法，如何治理？静态URL地址库明显不足。综合了人工智能的SANGFORAC网页智能分析系统（IntelligentWebpageAnalysisSystem,IWAS）能够依照网址、正文内容、关键字、代码特征等对网页进行智能分类，同时具备自我学习和自我修正能力，能够依据治理者定义进行任意URL分类的识不和过滤，真正关心组织完善网页访问行为的治理。 但网上银行、网上购物、钓鱼网站等的兴起，以及色情、反动网站等正逐步采纳SSL加密，传统封堵TCP443端口的方式将阻断网上银行的操作，只有借助AC的SSL证书验证技术（专利号：200710072997.1）才能有效过滤非法加密网址、同意合法加密网址的访问。■应用程序治理互联网应用极大丰富，从谈天到游戏、从P2P下载到在线电影，职员享受互联网的同时对应用的治理却变成IT治理者的心病。有不于防火墙IP+端口的落后管控方式，SANGFORAC具有全流量识不技术，不管使用什么端口、什么协议、是否加密，AC都能够准确识不。目前SANGFORAC差不多内置超过20大类300多条应用程序的识不规则以关心组织轻松封堵各种常用应用程序，同时十余人的应用识不专家团队保证识不规则的更新和不断扩充。处于治理需要，在不方便封堵时，治理员还能够针对特定应用程序进行流量操纵的治理。■IM（即时通讯）谈天软件的治理上班时刻使用QQ、MSN等私人谈天，不仅阻碍工作效率，还可能因IM传文件而引入病毒和机密泄漏等问题，因此关于IM的治理日益重要。SANGFORAC基于应用协议的深度内容检测技术能够完美的关心治理员实现对各种IM工具的完全封堵。在某些情况下，基于业务需要或治理问题，某些组织专门难完全封堵IM工具，因此治理者希望能记录IM谈天内容。但由于QQ、Skype、飞信、MSNShell等众多IM工具都采纳加密方式传输，让业界专门多厂商都束手无策。而SANGFORAC特有的谈天内容同步侦听技术（Real-timeMonitorforMessages,RMM)可实现对QQ、Skype、MSNShell、飞信等加密谈天内容的监听和记录，关心组织在开放IM的同时确保谈天内容可审可控。■上网时刻治理非工作时刻同意职员适度上网能够使组织在确保效率的同时体现足够的人情味，因此，依照不同时刻段为用户分配网络访问权限是上网行为治理过程中需要考虑的问题之一。SANGFORAC提供基于时刻的丰富治理策略，能基于时刻段为不同部门、不同人员给予差异化权限，同时也能够限制职员一天内总的上网时刻，实现人性化治理。提升内网可靠可用性面对互联网威胁，尽管许多组织差不多部署防火墙、IDS等设备，但内网依旧病毒频发、攻击不断，堡垒最容易从内部突破，内网职员不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网，如何应对这些导致传统安全技术失效的上网行为所带来的风险？■危险资源过滤 通过AC内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识不与过滤、以及基于人工智能的网页智能分析系统，关心组织完全幸免因为访问非法网页、危险网页而带来的风险。 从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等，这能够通过AC实现文件传输的过滤。即使通过IM工具传文件，AC也能够在同意用户使用IM文本谈天的同时全面封堵各种IM工具的传文件功能。关于同意下载的文件，AC网关杀毒功能将查杀该文件中潜藏的病毒、木马。■网关杀毒功能 震荡波、冲击波、熊猫烧香等病毒的泛滥严峻阻碍组织网络的可靠性、可用性，但单纯依靠桌面杀毒软件并不能有效解决病毒问题，从源头上查杀并清除病毒是桌面防毒体系的有力补充。SANGFORAC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行完全查杀，即使隐藏在压缩包内AC也能识不和清除，为组织营造绿色、安全的网络应用环境。 ■修复内网安全短板 组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等，极易导致自己感染并阻碍整个内网用户群。借助网络准入规则技术（专利号：200510037455.1），AC将检测接入终端的安全状况与安全级不，拒绝不符合IT治理者要求的终端访问互联网。■异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP80、443、25、110等端口泄漏内网机密数据及同意黑客操纵。传统设备防火墙等解决方案在开放了常用端口后并不能识不该端口中传输的数据及内容，组织的信息资产安全如何保障？黑客远程操纵内网终端形成僵尸网络如何幸免？SANGFORAC的异常流量感知技术能够识不常用端口中的异常流量，并能够实时报警，关心IT治理者掌控您的网络，防范风险。■防DOS、防ARP欺骗 即使采取众多措施，威胁和风险仍无孔不入。来自外网的DOS攻击，以及爆发于内网的DOS攻击不仅吞噬带宽，还严峻阻碍出口网关的稳定。传统防火墙等网关能够防备来自外网的DOS攻击但对来自内网的DOS攻击却无能为力，定位于上网行为治理解决方案的SANGFORAC通过检测流量和异常网络行为等技术，完全防备来自外网和内网的DOS攻击。 病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet，定位故障点又颇为苦恼，有不于部分厂商依靠第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。治理网络带宽治理员分级治理能够按照组织的行政架构在SANGFORAC上配置用户分组结构，典型的是树形用户分组结构，并包括子组、父组等。为了减轻大型组织机构IT部门的治理负担，同时方便各部门自行调整各自的上网权限，SANGFORAC支持细致的治理员分级治理功能。能够为AC上的用户组A配置Read-Only权限的治理员A1、配置Read-Write权限的治理员A2，A2只可修改用户组A（而不能修改其他用户组）的上网策略、用户等，但A1则只能查看而不能修改。同时A1、A2登录AC数据中心后智能查询、审计用户组A的行为日志（而不能查询其他用户组），从而既实现治理灵活性，又确保了治理的可控性。上网策略强制继承总裁要求整个公司都不同意使用QQ，但如何确保“禁止QQ”这条上网行为治理策略能够在众多部门对应的AC用户分组上得到实施，同时确保“禁止QQ”的策略可不能被部门治理员修改、删除、绕过？这通过SANGFORAC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过，即使新加“开通QQ”的策略也无济于事。严格的上网策略操纵关心组织更好使用互联网。SC集中治理平台大型组织在总部、分支机构往往会部署多台SANGFORAC上网行为治理设备，通过深信服SC-AC集中治理平台能够实现全网数千台AC网关的集中治理、集中监控、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程监控和排障，统一的上网策略能够在整个组织得到贯彻和执行，日志集中治理和审计等要求，极大的方便大型组织机构部署上网行为治理解决方案。功能实现如下我们将阐述组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为治理领域的丰富经验，我们强烈建议您按照顺序阅读，如此会使上网行为的治理更具方向性，且有助于后期的治理和维护。规划用户分组结构为了给不同用户、不同部门授予差异化的互联网访问权限，包括差异化的行为审计策略，首先要规划和建立组织的用户分组结构。能够完全按照组织的行政架构在SANGFORAC上建立树形用户分组结构，实现父组、子组、组内套组等要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC还能够依照OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便治理者维护AD这一套组织结构。另外AC也支持账户自动创建功能，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC等，继承指定的网络权限，方便了治理者和权限的操纵。用户帐号还支持生效时刻的设定、支持多人共用同一帐号等，丰富的帐号策略使得治理者能够自由的依照实际情况合理调整。假如治理员差不多将用户信息汇总到Excel、TXT等文件中，那么他将通过AC的账户导入功能更加快捷的创建用户和分组信息。建立身份认证体系没有严格的认证就无法有效区分用户，也就无法部署差异化授权和审计策略，自然无法有效防备身份冒充、权限扩散与滥用等。 SANGFORAC支持丰富的身份认证方式：本地认证：Web认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定等；第三方认证：AD、LDAP、Radius、POP3、PROXY等；双因素认证：USB-Key认证；免认证：IP免认证、MAC免认证、IP-MAC绑定免认证等；单点登录：AD、POP3、Proxy、HTTPPOST等；强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等），否则不同意访问互联网；丰富的认证方式，树形用户分组结构，上网权限的继承、强制继承等，极大方便治理者在组织内网实施AC上网行为治理解决方案。值得一提的是当用户通过Web认证后治理者能够向其定向显示指定网页、而未认证通过的用户也能够为其分配受限的互联网访问权限。分析网络流量通常组织的互联网带宽比较有限，即使充裕，假如职员网络行为不规范，IT治理者仍然饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开等，IT治理者需要确知组织带宽的使用情况，这正是AC所能给您带来的价值体现：登陆AC操纵台后，治理员能够直观查看流量曲线图、当前流量TOP10应用等，并可通过AC的数据中心进一步详细查看、统计昨天或指定时刻段的流量情况。治理员能够统计指定时刻段指定分组或用户的流量情况，通过饼状图、柱状图、曲线图等直观展现；还可基于用户进行上行流量、下行流量、总流量等排名，找到流量最活跃的职员。假如您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲躯体验和掌握。当您面对数据中心的Web页面，通过几次鼠标点击就发觉网络及治理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。优化和分配带宽资源组织如何获得更充足的互联网带宽呢？AC通过多线路复用、带宽叠加（专利号：200310112006X）技术，可同时连接4条互联网线路。而只要您同时连接电信和网通线路于AC，AC的多线路智能选路技术（专利号：ZL03113974.4），将为职员的Internet流量自动优选最佳出口，解决跨运营商的带宽瓶颈问题，同时兼具负载均衡、线路备份等功能，大幅提升访问速度和可靠性。 组织有限的带宽往往被大量非业务流量所挤占，尤其BT、电骡等P2P行为严峻吞噬带宽；AC不仅为治理员提供了强大的应用封堵手段（如直接禁止指定用户的P2P行为），更可在同意用户使用P2P时限制P2P占用的带宽，另外能够为指定用户、用户组每天、每月的总上网流量进行限制，灵活的治理方法充分满足组织在上网行为治理上的复杂需要。 除了限制非业务应用对带宽的占用，同时要保证业务应用的带宽需求。得益于AC强大的应用识不能力（目前超过20个大类、300多条识不规则），AC基于出口链路、用户/用户组、应用类型、网站类型、文件类型、时刻段实现精细、智能的带宽划分与分配策略，使得治理员拥有能够充分保障组织业务所需带宽的各种治理手段。从上图能够看出，AC支持的流量治理策略特不全面。另外治理员能够通过AC操纵台实时监控各用户流量排名、会话排名、连接信息等，一旦发觉异常网络行为，治理员即可通过AC将该职员临时冻结，并在指定时刻段后自动恢复上网。当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们立即对用户(组)的上网行为做进一步的治理和操纵。网页访问操纵网页扫瞄是职员要紧互联网行为之一，与工作无关的上网行为给组织带来巨大的损失：职员数量月薪(元)时薪(元)无关网络行为时刻(时)/人··天直接薪金损失(元)/人··年组织薪金损失(元)/人··年小型组织10010005.70.5150015万中型组织500200011.370.53000150万大型组织2000300017.10.54500900万AC内置千万级预分类URL地址库，并经专人人工审核分类，包含互联网上各类涉及色情、反动、暴力等站点。由于互联网的容量爆炸性增长，Google声称互联网独立网址超过一万亿个，采纳静态URL库显然不够，因此AC还支持基于内容的过滤手段，包括过滤用户通过搜索引擎搜索的指定关键字、过滤包含指定关键字的网页、过滤含指定关键字的URL地址等。而结合了人工智能的网页智能分析系统（IntelligentWebpageAnalysisSystem,IWAS）能够依照网址、正文内容、关键字、代码特征等对网页进行智能分类，同时具备自我学习和自我修正能力，能够依据治理者定义进行任意URL分类的识不和过滤，真正关心组织完善网页访问行为的治理。 细心的您可能差不多发觉网上银行、在线购物、钓鱼网站等都采纳了SSL加密技术，包括试图躲避过滤的反动和色情网站等危险站点等，“加密化”差不多成为网络进展的趋势，如何管控？有的解决方案通过中间人攻击原理解密SSL加密流量从而过滤，但网上银行的帐号、密码等也将被解密，存在极大安全风险。而利用特有的“证书链验证黑白名单技术”，SANGFORAC能够对SSL加密网站进行甄不和过滤，从而为组织提供了全面的网页操纵方案。组织往往需要通过时刻打算给予网络治理更多的人情味。AC的时刻治理有两种模式：微观时刻治理（MicroTimeControl,MTC，MTC将一周中每天以半小时为单位进行划分）和总体时刻治理（OverallTimeControl,OTC，OTC为职员设置每天总上网时刻），细致的时刻治理不仅提高组织业务效率，还让职员更容易同意。治理IM即时通讯工具权威统计显示国内网民最常使用的IM工具依次为QQ、飞信、MSN、Skype。办公室内IM谈天、影音文件分享、甚至游戏对战屡见不鲜，而QQ病毒、MSN蠕虫也让IT治理者经历犹新，如何有效治理IM工具？借助现有防火墙等传统手段封堵IM并不奏效。以下是SANGFORAC提供的对IM从禁止、监管、再到安全防备的解决方案。 禁止 AC深度内容检测技术依照顾用协议数据包特征字段全面封堵各种IM工具，包括QQ、MSN、新浪UC、网易泡泡、YahooMessenger、Skype、ICQ、GoogleTalk、飞信等；即使IM软件将数据包封装到80、443等端口传输，AC亦可区不IM流量和正常的Http、Https，从而有效治理IM的使用。同时AC可实现同意指定部门/用户（如市场部）通过IM与客户沟通，但禁止IM传文件、IM语音视频通话、玩IM游戏等，轻松、灵活管控IM。 监管 QQ、飞信、MSNShell、Skype等越来越多的IM谈天内容是加密的，假如不能记录将是上网行为治理的最大漏洞之一。AC的谈天内容同步侦听（Real-timeMonitorforMessages,RMM)技术能够记录各种加密谈天内容，这在业界是屈指可数的，领先的技术使得深信服研发部门能够快速跟进任何一款新推出的IM工具，并推出针对性的升级策略使得AC支持对各种新IM工具的谈天监控功能。强大的功能往往涉及个人隐私，我们建议使用AC前在组织内发出通知，提醒职员他们在工作时刻发生的网络行为是能够被监控到的。 安全防备 IM好友发来的URL链接、文件等，可能将病毒、木马、流氓软件送入内网，这也是组织差不多购买防火墙、部署杀毒软件后仍然病毒层出不穷的缘故之一：堡垒从内部被攻破了！AC的深度内容检测技术能够禁止用户使用IM传递文件，IM好友发送的URL地址，职员打开过程中将被AC过滤和操纵。另外，治理员也能够启用AC的网关杀毒功能从源头上查杀病毒、蠕虫，此内容将在后述部分详解。操纵BT等P2P行为封种子服务器IP、封种子资源网站、封端口的P2P治理方式让治理员忙的焦头烂额却得不到中意的效果。有效的P2P管控方法包括应用协议分析和P2P行为智能检测技术，SANGFORAC同时支持这两种技术。常用、普及的P2P软件，AC深度内容检测技术实现对其管控和封堵。截止本文档编写时，AC通过深度内容检测技术能够封堵P2P流媒体55个，其他P2P应用27个。 尽管差不多内置了丰富的P2P识不规则，但新的P2P应用层出不穷，职员能够从网络上获得各种P2P工具，还有更多不常见和以后可能出现的P2P软件如何管控？AC采纳网络行为智能分析技术(NetworkBehaviorsIntelligenceAnalysis,NBIA），基于统计学分析原理，实现对各种P2P的智能识不和封堵，为用户提供了一劳永逸的P2P管控解决方案。 尽管AC提供了完全封堵P2P的方案，但粗暴禁止P2P可能招致职员反感，在某些情况下个不部门或职员可能需要使用P2P进行文件共享等，现在AC的P2P流控功能完美的满足了治理上的灵活要求，利用此功能，AC能够针对不同部门、不同时刻段、限制不同P2P应用占用的带宽，且可管控部门内每个职员P2P行为对带宽的占用情况（“3.4优化和分配带宽资源”已详细讲明AC针对应用的带宽划分和分配）。操纵其他网络应用行为职员的上网行为远不止此，治理者还需关注在线炒股、网络游戏、在线视频（RTSP、MMS、Flash、RealMedia等）等。AC差不多包括300多条常见应用的识不和管控规则，并定期从深信服公司网站上自动更新最新识不库。同时AC同意有编程基础的网络治理员自行添加、修改和导入自定义的网络应用识不规则。这相关于绝大多数其他厂商仅提供给治理者依照IP和端口封堵应用的方式更加灵活和完全。关于局域网内出现的AC未能识不和操纵的新应用，治理员假如无法自行编制对应的识不策略，仅需将所需操纵的应用程序名称、版本号以及下载地址提交给深信服客服中心，我们将在三个工作日内提供最新的识不策略，并关心用户完成对该应用的封堵和管控。防泄密和法律风险内网职员无意或有意将组织机密信息泄露到互联网甚至竞争对手，或向论坛BBS公布不负责的言论、网络造谣等，将给组织带来泄密和法律风险。AC不仅能过滤、记录职员通过Mail（包括Webmail）、BBS、Blog、QQ空间等工具公布的网络言论，还能实时报警。即使通过Telnet访问部分BBS网站，所有输入的Telnet命令和内容，AC都能详细记录。关于使用HTTP、FTP等方式传送文件所引发的风险（如将研发部的核心代码发送出去），AC首先能够禁止用户使用HTTP、FTP上传下载指定类型的文件，关于上传的文件AC也能够全面记录文件内容，做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计（PostponedSendingafterAudit,PSA）技术，依照治理员预设条件，将潜在的泄密邮件先拦截，经人工审核后再发送，保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等，再通过Email外发、或通过HTTP、FTP上传，AC对以上行为同样能够识不并报警，完全幸免因外发文件而产生的泄密风险。日志审计和报表中心内网用户的所有上网行为AC都能够记录以满足组织机构互联网行为审计要求。AC可针对不同用户(组)进行差异化的行为记录和审计，包括网页访问行为、网络发帖、Email、文件传输、QQ游戏行为、大智慧炒股行为、QQLive在线影音行为等，同时包含该行为的流量信息等。但CEO等高层领导的网络行为可能涉及组织的重要机密（如CEO与供应商的邮件），不应该被记录。AC“免审计Key”从技术上完全免除行为记录，只要将“免审计Key”插入计算机USB接口并输入对应PIN码，该用户的任何网络行为都免除记录，消除高层领导的忧虑。大型组织60天将产生数百G行为日志通过AC独立数据中心实现海量存储，并通过丰富报表工具方便日志的操作，报表工具要紧包括：内置超过60多种报表模板，并支持用户自定义报表。对比报表：汇总对比、指定用户组的对比、指定用户的对比、指定IP的对比等；统计模板：上网流量统计、上网行为统计、病毒信息统计、上网时刻统计等；趋势：流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等；查询工具：流量查询、行为查询、时刻查询、病毒日志查询、安全日志查询、操作日志查询等；内容检索：网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志，甚至导致职员对IT治理者的误解和埋怨？AC的“数据中心认证Key”技术，保证只有插入该key的治理员才能审计他人行为日志，否则将只能查看统计报表、趋势图线等，确保日志不被滥用。内网可靠可用性增强网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接阻碍用户的上网行为，因此需要AC保证网关自身安全，并强化内网可靠性、可用性。防火墙AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和操纵。NAT（NetworkAddressTranslation）功能，代理内网职员上网和实现静态端口映射。 网关杀毒 AC的网关杀毒功能集成知名厂商的杀毒引擎（杀毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。 网络准入规则（NetworkAdmissionRules，NAR） 借助网络准入规则专利技术，AC将按照治理员要求检查每位职员杀毒软件安装、运行、更新情况、操作系统版本、补丁情况等，不满足预设安全级不的终端将不同意访问互联网，从而提升整个内网的可靠性和可用性。防DOS攻击 DOS攻击从外网而来侵害组织的服务器，而爆发于内网的DOS攻击（蠕虫病毒的暴发或僵尸网络的攻击等）不仅消耗带宽、甚至瘫痪网关。AC同时防备来自内网和外网的双向DOS攻击，检测到内网DOS攻击点，能够强迫其下线以保障网络可用性。 防ARP欺骗 ARP欺骗通过发送虚假ARP数据包，导致内网用户无法访问网络，破坏性大且排查困难。AC内置防ARP欺骗功能，关心治理员有效抵御ARP欺骗的威胁。治理和配置的易用性 深信服科技AC网关采纳图形化治理配置界面，治理员无需安装客户端软件，通过IE以HTTPS方式即可进入设备操纵台界面；AC内置的策略故障排除功能，有助于治理员在配置失误时，图形化排查失误点；当用户违反指定规则、DOS攻击、ARP欺骗、泄密等时，支持自动报警，第一时刻修复问题。领先的技术优势深信服成立至今已申请三十多项发明专利，对研发的重视和高投入有效的保证了产品的强大功能和竞争力。通过本章节介绍，您将了解到能切实解决您问题的业界标杆特色技术。单点登录技术SANGFORAC的单点技术(SingleSignOn,SSO)将幸免用户重复输入帐号密码的繁琐操作。AC支持LDAP、POP3、PROXY单点登录。尤其AC无需用户安装任何客户端软件即实现LDAP单点登录，对用户完全透明。内网用户采纳域账号登陆Windows系统后，即可自动通过AC认证，而且支持不使用域帐号登录Windows系统即禁止其访问互联网。AC的POP3、PROXY单点登录功能启用后，内网职员只需收发一下Email、或触发PROXY服务器的认证后，也将自动通过AC认证，极大的方便了用户的使用。反钓鱼网站功能网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户在毫不知情的情况下泄露自己的账户信息，导致银行资金被“网络姜太公”轻易盗取。网银、网上购物等金融机构普遍采纳第三方权威机构颁发的数字证书以实现SSL加密网页，但钓鱼网站能够伪造虚假证书，不具备专业知识的用户无法识不。 SANGFORAC可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。由于钓鱼网站采纳非可信颁发机构的数字证书，能够蒙骗用户，但却不能逃过AC的识不和过滤。改功能也能够被用于过滤一些使用SSL及证书技术加密的色情、反动站点，证券炒股站点等。P2P智能识不P2P（peer-to-peer）应用的兴起直接导致P2P软件及其版本的爆炸性增长，如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费劲且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识不；AC的P2P智能识不技术实现对加密P2P、不常见和以后将出现的P2P的完全识不，为治理员提供了全面、高效的P2P行为管控手段。 能够全面识不P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，既可全面禁止指定用户使用P2P软件，也可同意其使用但对P2P行为占用的带宽资源进行限制和治理，从而既优化带宽资源的使用，又为职员提供了人性化的治理方式。代理服务器识不专门多组织的内网职员通过MicrosoftISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容操纵等设备对内网用户的治理是基于目的地址和端口的，这将无法识不通过代理服务器的职员流量和行为。 关于通过ProxyServer代理上网的情况，AC能够专门好地适应并发挥其作用。AC的深度内容检测技术识不用户数据中包含代理信息后，通过代理识不模块能够识不从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。网页智能分析系统IWAS网页访问是用户最常发生的上网行为之一，而Google声称互联网独立网页超过一万亿，如何识不、分类、治理数量巨大的网页呢？博客是Web2.0的典型产物，例如同样是新浪博客有的内容丰富正派，但有的博客违反道德、反动等，如何识不、区分、过滤？无需安装炒股软件，通过百度、新浪等网站也看在线实时查看股市行情，如何治理？SANGFORAC融合中科院人工智能技术推出的网页智能分析系统IWAS能够依照网址、正文内容、关键字、代码特征等对网页进行智能分类，同时具备自我学习和自我修正能力。治理者能够自定义个性化URL分类如“中国足球”类，并在AC中输入数个“中国足球”相关URL地址后，AC将自动分析学习“中国足球”相关网页特征，并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习，关心组织从容应对泛滥的网页访问行为。最全面的应用识不无法识不，何谈管控？内网用户的上网行为纷繁复杂，且伴随着应用“加密化”和“种类爆发”的趋势，是否具备全面的应用识不能力，是考量上网行为治理方案的重要标准之一。SANGFORAC多种应用识不技术，全面识不各种应用、进而管控和审计。要紧包括：URL识不：千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网上数以万亿的网页。文件类型识不：识不并过滤HTTP、FTP方式上传下载的文件，即使恶意用户删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识不和报警。深度内容检测：IM谈天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识不，且支持治理员自行定义新规则，以及深信服科技及时更新和快速响应。智能识不：种类泛滥的P2P行为，静态“应用识不规则”差不多捉襟见肘，通过P2P智能识不，识不不常见、以后可能出现的P2P行为，进而封堵、流控和审计。通过强大的应用识不技术，不管网页访问行为、文件传输行为、邮件行为、应用行为等AC都能关心组织实现对上网行为的封堵、流控、审计等治理。免审计Key功能总裁、高层领导网络访问行为，财务部收发的邮件等关乎组织机密信息，如何样幸免记录此类用户的网络行为？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，幸免对这些用户网络行为的审计。但假如“非善意”人员私下重新配置设备对敏感用户又进行行为记录，如何办？AC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。在AC上为总裁等重要人员创建帐户时使用DKEY认证，并勾选“启用DKEY防监控”选项，为总裁生成“免审计Key”。总裁使用“免审计Key”认证后，AC从底层免除对总裁的所有记录。假如“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项，总裁再插入“免审计Key”后系统会自动弹出警告，且禁止总裁访问网络，完全保障信息安全。网络准入规则AC的网络准入规则（NetworkAdmissionRules,NAR）通过对客户端的评估来实现网络访问操纵，并更好的维护网络安全防线。NAR的设计意义在于三个方面：1.仅靠网络边缘的外围设备差不多无法保证安全性。2.边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。3.客户端的安全级不往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时刻不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。鉴于此，AC网络准入规则技术通过对端点安全评估和访问操纵实现全方位安全防护。不能满预设要求的接入端点，禁止其访问互联网或同意访问但提交报告给治理员做后续处理。通过AC的网络准入规则，修补内网安全短板，幸免病毒、木马等轻易感染内网主机，便于组织推行统一的IT政策。该准入规则同意治理者手工添加和定制，从而能够治理几乎所有终端在线状态，使端点安全和网关安全紧密结合，为组织构筑统一的安全防备体系。加密谈天内容监控“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM谈天工具的谈天内容也被加密，如腾讯QQ、TM、MSNShell、飞信、Skype等。假如不能监控和记录加密IM谈天内容，隐匿其中的安全风险、安全事件就无法防备、无据可查。目前业界解决方案多数都无法监控和记录QQ、MSNShell、飞信、Skype的谈天内容。AC的谈天内容同步侦听技术实现对QQ、、MSNShell、飞信Skype等加密谈天内容的监督和记录，关心组织轻松应对应用加密化的阻碍。邮件延迟审计AC的邮件延迟审计（PostponedSendingafterAudit,PSA）专利技术，将敏感邮件阻挡于内网。内网用户发送Email邮件时，用户认为差不多成功发送，实际上符合治理员预定策略的整封Email邮件（包括正文和附件）全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人工审核后，才同意符合组织安全规定的Email邮件发送到互联网上，而不符合要求的Email则被截留并作为追究责任的依据，有效实现了对泄密邮件的封堵，爱护了组织的敏感信息的安全性。 *AC的邮件延迟审计技术对内网用户完全透明，邮件的发送过程与日常无异。外发文件深度识不存心的泄密者往往会将外发文件的后缀名修改/删除，或者加密/压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失，单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此SANGFORAC的外发文件深度识不技术基于文件特征能够识不超过一千种以上的文件类型，基于特征而非扩展名完全遏制存心泄密者的外发泄密文件行为，爱护组织的信息资产安全。智能的流量治理组织有限的Internet带宽资源，如何幸免非业务行为的滥用，同时为业务行为细致智能的划分与分配带宽资源？传统设备依照IP和端口结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等，让传统设备的带宽治理功能大打折扣。AC实现了基于用户、用户组、出口链路、应用类型、网站类型、文件类型、目标地址、时刻段、优先级等的细致智能的流量治理系统，让组织的带宽资源得到细致的优化和高效的使用。海量日志快速检索记录职员网络行为，不仅满足法律法规要求，又做到了有据可查。大型组织每天产生数G的日志数据，通过AC的外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。 组织通过AC的外置数据中心保存了上百G的海量日志信息，而一旦发生关键事件或治理者需要从大量日志信息中快速检索猎取其感兴趣的内容，却难以快速从海量日志中发觉期望得到的数据。AC内置了强大的数据中心内容检索系统，利用类似Google的先进搜索技术，从高达几百G的海量数据中通过多个关键字快速搜索指定内容，同时支持对Email附件正文内容的检索、支持高级检索，支持订阅和自动Email投递功能，极大的方便了治理者的使用。数据中心认证key职员、领导的上网行为日志差不多通过AC数据中心实现海量存储，但如何鉴不访问数据中心的治理员的身份，幸免行为日志被滥用（如职员的MSN谈天内容被传播、领导的Email内容被张贴到互联网上等）而产生的个人隐私侵犯、机密日志泄漏等问题，是组织IT治理者和内网职员普遍关怀的问题之一。SANGFORAC治理员分级治理功能可实现A治理员登录数据中心后只能审计、查看A用户组的行为日志，同时配发启用数据中心认证Key功能后，假如没有该“数据中心认证Key”，A治理员登录数据中心后只能查看统计、趋势等概要信息，只有插入“数据中心认证Key”后A治理员才能审计、查询A用户组的MSN谈天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格操纵。异常流量感知随用户互联网访问、移动存储设备的使用、以及局域网内其他终端的感染导致用户终端设备往往存在木马、间谍软件、远程操纵软件等威胁。此类恶意软件为了藏匿自己的行踪往往通过常用的TCP80、443、25、110等端口与互联网操纵端交互数据，这使得组织的信息安全、资产安全、网络安全等无法保障。SANGFORAC的异常流量感知技术正是关于以上异常流量行为进行识不并报警，关心IT治理者主动发觉组织内网潜藏的安全威胁，提升组织内网可靠性和可用性。SC集中治理平台深信服科技于2005年即推出的SC集中治理平台多年来差不多为众多大型、超大型网络规模的客户将VPN设备完善治理，目前SC也已将AC上网行为治理设备纳入其中，实现了全网数千台AC网关的集中治理、集中监控、集中配置、集中升级、集中日志等要求，同时具有如下特色：治理员强认证：接入SC的治理员身份认证除用户名/密码外，还支持将治理员账户与指定的电脑绑定，采纳其他电脑即使有正确的用户名/密码也不能访问SC；分级治理：在SC中将众多AC网关划归到不同“区域”，不同治理员授予不同“区域”AC的Read-Only或Read-Write治理权限；Webagent动态寻址：分支机构使用无固定IP的链路，有不于传统DDNS、花生壳等方式，借助Webagent动态寻址技术实现分支机构AC与总部SC的安全互联；多线路：总部SC同时连接多条公网线路，保证了遍布全国数千台AC网关到总部SC互联网络的可靠性，同时解决了AC和SC之间跨运营商带宽瓶颈问题；……部署您的AC产品在深信服科技六千多家AC用户中，从没发觉过两个完全相同的网络环境。作为爱护组织网络资源和信息资产的核心设备，AC的多种部署方式适应了不同的网络环境和用户需求。网关模式（路由模式）将AC通过网关模式串接在用户网络链路中，所有流量都通过AC处理，对内网用户上网行为和数据包实施所有的审计、操纵、拦截、流量治理等功能。若将AC作为组织的Internet出口网关，AC的防火墙功能保障组织网络安全，多线路技术扩展出口带宽，NAT功能代理内网用户上网，实现差不多的路由功能等。 部署方式：AC的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，AC的LAN口（DMZ口）同局域网