上網(wǎng)行為管理產(chǎn)品說明

構(gòu)建健康安全、高效可管的互聯(lián)網(wǎng)SANGFORAC上網(wǎng)行為治理產(chǎn)品白皮書深信服科技有限公司

版權(quán)聲明深圳市深信服電子科技有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。 本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特不注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深圳市深信服電子科技有限公司。未經(jīng)深圳市深信服電子科技有限公司書面同意，任何人不得以任何方式或形式對本文檔內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責(zé)條款 本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改，恕不另行通知。 深圳市深信服電子科技有限公司在編寫本文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但深圳市深信服電子科技有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。目錄TOC\o"1-4"\h\z\u1 互聯(lián)網(wǎng)對組織提出的挑戰(zhàn) 62 上網(wǎng)行為治理給用戶帶來的價值 72.1 治理網(wǎng)絡(luò)帶寬 72.2 幸免法律和泄密風(fēng)險 82.3 提升工作效率 92.4 提升內(nèi)網(wǎng)可靠可用性 112.5 治理網(wǎng)絡(luò)帶寬 123 功能實現(xiàn) 123.1 規(guī)劃用戶分組結(jié)構(gòu) 133.2 建立身份認(rèn)證體系 133.3 分析網(wǎng)絡(luò)流量 133.4 優(yōu)化和分配帶寬資源 143.5 網(wǎng)頁訪問操縱 153.6 治理IM即時通訊工具 173.7 操縱BT等P2P行為 173.8 操縱其他網(wǎng)絡(luò)應(yīng)用行為 183.9 防泄密和法律風(fēng)險 183.10 日志審計和報表中心 183.11 內(nèi)網(wǎng)可靠可用性增強 193.12 治理和配置的易用性 204 領(lǐng)先的技術(shù)優(yōu)勢 204.1 單點登錄技術(shù) 204.2 反釣魚網(wǎng)站功能 204.3 P2P智能識不 214.4 代理服務(wù)器識不 214.5 網(wǎng)頁智能分析系統(tǒng)IWAS 214.6 最全面的應(yīng)用識不 214.7 免審計Key功能 224.8 網(wǎng)絡(luò)準(zhǔn)入規(guī)則 224.9 加密談天內(nèi)容監(jiān)控 234.10 郵件延遲審計 234.11 外發(fā)文件深度識不 234.12 智能的流量治理 234.13 海量日志快速檢索 244.14 數(shù)據(jù)中心認(rèn)證key 244.15 異常流量感知 244.16 SC集中治理平臺 245 部署您的AC產(chǎn)品 255.1 網(wǎng)關(guān)模式（路由模式） 255.2 網(wǎng)橋模式 265.3 多路橋接模式 265.4 旁路模式 276 產(chǎn)品規(guī)格和榮譽 286.1 產(chǎn)品規(guī)格 286.2 產(chǎn)品榮譽 286.3 公司榮譽 296.4 AC產(chǎn)品專利 297 關(guān)于深信服科技 29

互聯(lián)網(wǎng)對組織提出的挑戰(zhàn)隨著信息技術(shù)、特不是網(wǎng)絡(luò)技術(shù)的普及，互聯(lián)網(wǎng)差不多滲透到工作和生活的各方面。而組織內(nèi)網(wǎng)職員使用IM談天、網(wǎng)上購物、在線觀賞音樂和電影，通過BT等P2P工具下載互聯(lián)網(wǎng)資源、收發(fā)個人郵件、在論壇上舞文弄墨……只要職員有興趣，他們就能在上班時刻盡情享受互聯(lián)網(wǎng)帶來的樂趣。針對用戶互聯(lián)網(wǎng)訪問行為的管控與審計，美國于2002年頒布實施《薩班斯-奧克斯利法案》對組織內(nèi)控和行為日志記錄領(lǐng)先提出了要求；而中國也頒布了相應(yīng)的互聯(lián)網(wǎng)法律法規(guī)法規(guī)進(jìn)一步規(guī)范互聯(lián)網(wǎng)行為。缺乏有效治理的互聯(lián)網(wǎng)是否讓您常常面對如下情形卻又束手無策？看似充裕的出口帶寬卻不斷接到內(nèi)網(wǎng)職員關(guān)于網(wǎng)速太慢的抱怨；視頻會議、VOIP斷斷續(xù)續(xù)，與分支互聯(lián)的VPN極不穩(wěn)定、經(jīng)常中斷；過激言論、網(wǎng)絡(luò)造謠給組織招致網(wǎng)監(jiān)的壓力，卻又無法查找到責(zé)任人；研發(fā)代碼、營銷方案等讓競爭對手得知，何人所為？內(nèi)網(wǎng)病毒、木馬、ARP欺騙、DOS攻擊讓IT治理者頭痛不已；巨資購買的殺毒軟件專門多職員不裝、不用，存在風(fēng)險的終端肆意上網(wǎng)；專注的敲擊鍵盤、認(rèn)確實盯著屏幕，但卻在發(fā)生工作無關(guān)的行為；…… 讓人無奈的是，職員的不規(guī)范網(wǎng)絡(luò)行為往往是組織為其買單：除因上班時刻無心工作所帶來的直接損失外，組織的帶寬資源陷入被濫用擴容再被濫用的惡性循環(huán)，同時組織還面臨法律違規(guī)和泄密風(fēng)險，組織的信息資產(chǎn)、機密信息的未授權(quán)傳播同樣令治理者痛心疾首，由于互聯(lián)網(wǎng)行為復(fù)雜且難以預(yù)料，不管是存心依舊意外，一個居心叵測的職員和一個忠實可靠的干將都有可能將組織內(nèi)網(wǎng)的重要資料泄露給第三方組織甚至競爭對手。值得慶幸的是，越來越多務(wù)實、具備安全意識的治理者發(fā)覺了問題所在，并希望通過有效而可靠的途徑來實現(xiàn)對職員的上網(wǎng)行為進(jìn)行治理，接下來，讓我們深入了解深信服SANGFORAC上網(wǎng)行為治理解決方案如何關(guān)心組織輕松解決互聯(lián)網(wǎng)所帶來的問題。上網(wǎng)行為治理給用戶帶來的價值深信服科技SANGFORAC為您帶來了全面而靈活的上網(wǎng)行為治理解決方案。在此，我們通過治理網(wǎng)絡(luò)帶寬、幸免法律和泄密風(fēng)險、提升工作效率、提升內(nèi)網(wǎng)可靠可用性，以及治理的易用性等五個方面的詳細(xì)闡述SANGFORAC為您帶來的巨大價值。治理網(wǎng)絡(luò)帶寬■多線路復(fù)用和智能選路 專門多組織擁有電信、網(wǎng)通等兩條以上互聯(lián)網(wǎng)出口鏈路，如何同時復(fù)用多條鏈路并做到流量的負(fù)載均衡與智能分擔(dān)？通過AC特有的多線路復(fù)用及帶寬疊加技術(shù)（專利號：200310112006X），AC復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)（專利號：ZL03113974.4），AC將流量自動匹配最佳出口?！龌趹?yīng)用/網(wǎng)站/文件類型的智能流量治理有限的帶寬資源如何分配給不同部門/用戶、不同應(yīng)用、不同訪問行為？AC能夠基于不同用戶(組)、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)地址、時刻段進(jìn)行細(xì)致的帶寬劃分與分配，如保證領(lǐng)導(dǎo)視頻會議的帶寬而限制職員P2P的帶寬、保證市場部訪問行業(yè)網(wǎng)站的帶寬而限制研發(fā)部訪問新聞類網(wǎng)站的帶寬、保證設(shè)計部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細(xì)智能的流量治理既防止帶寬濫用，又提升帶寬使用效率?！隽髁肯揞~功能 為了更加合理、高效的利用組織有限的帶寬資源，流量治理策略需要考慮假如部分用戶長時刻持續(xù)下載非業(yè)務(wù)相關(guān)網(wǎng)絡(luò)資源，由此對帶寬資源的濫用如何治理？SANGFORAC支持為指定用戶、用戶組按照天/月為周期分配指定的上網(wǎng)總流量，當(dāng)用戶上網(wǎng)總流量超過設(shè)限額后將自動終止互聯(lián)網(wǎng)訪問權(quán)限，從而促使用戶珍惜帶寬資源，幸免對帶寬資源的白費?！鯬2P的智能識不與靈活操縱 封IP、端口等管控“帶寬殺手”P2P應(yīng)用的方式極不完全。加密P2P、不常見P2P、新P2P工具等讓眾多P2P治理手段束手無策。AC憑借P2P智能識不技術(shù)(專利號：200610156977.8），不僅識不和管控常用P2P、加密P2P，對不常見和以后將出現(xiàn)的P2P亦能管控。而完全封堵P2P可能實施困難，AC的P2P流控技術(shù)能限制指定用戶的P2P所占用的帶寬，既同意指定用戶使用P2P，又可不能濫用帶寬，充分滿足治理的靈活性。■帶寬統(tǒng)計和報表 AC的數(shù)據(jù)中心（NetworkDatabaseCenter，NDC）對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行記錄、審計、統(tǒng)計及趨勢、報表等。借助圖形化報表、統(tǒng)計結(jié)果等，能夠了解流量TOPN用戶、TOPN應(yīng)用等，并自動形成報表文檔，定時發(fā)送到指定郵箱，讓IT治理者輕松掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，為帶寬治理的決策提供準(zhǔn)確依據(jù)。幸免法律和泄密風(fēng)險互聯(lián)網(wǎng)的普及讓網(wǎng)絡(luò)泄密和網(wǎng)絡(luò)違法行為層出不窮。假如職員利用組織網(wǎng)絡(luò)發(fā)生泄密或違法行為，而假如又沒有證據(jù)，無法找到直接責(zé)任人，IT部門將成為該事件壓力的承擔(dān)者?！鐾獍l(fā)信息操縱辦公室內(nèi)不管是涉及組織前途命運的機密資料依舊總裁辦公室的八卦新聞，職員都可能會有意無意傳播。而便利的互聯(lián)網(wǎng)讓他們更多選擇使用IM軟件、Email、論壇、博客等方式實現(xiàn)信息的外發(fā)。AC能夠封堵IM軟件，過濾和審計收發(fā)的Email郵件，過濾論壇、網(wǎng)站訪問行為，也能夠過濾和審計網(wǎng)絡(luò)發(fā)帖行為，讓職員認(rèn)識到自己需要為其網(wǎng)絡(luò)行為負(fù)責(zé)。嚴(yán)謹(jǐn)?shù)纳暇W(wǎng)行為治理要求組織部署完整的認(rèn)證體系以確保每個接入者的網(wǎng)絡(luò)使用權(quán)限。SANGFORAC提供完整身份認(rèn)證體系：Web方式的用戶名/密碼認(rèn)證，IP/MAC地址綁定，與現(xiàn)有Radius、LDAP、AD聯(lián)動，AC甚至能夠借助現(xiàn)有POP3郵件服務(wù)器、PROXY服務(wù)器上的用戶帳號數(shù)據(jù)，對接入用戶進(jìn)行強身份認(rèn)證，幸免未經(jīng)授權(quán)的接入用戶訪問互聯(lián)網(wǎng)?！鐾獍l(fā)Email操縱Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。傳統(tǒng)設(shè)備處理泄密郵件時只能將其拷貝存儲留作證據(jù)，但泄密郵件差不多外發(fā)，損失差不多造成。而SANGFORAC的郵件延遲審計技術(shù)（專利號：200510037454.7）基于用戶、郵件標(biāo)題、正文、附件等特征攔截泄密郵件，并自動通知審核人員人工審核后再外發(fā)，以確保組織信息資產(chǎn)安全。但存心的泄密者往往將Email附件壓縮、加密、修改后綴名、刪除后綴名等試圖躲過攔截與審查，即便如此SANGFORAC仍然能夠?qū)σ陨闲袨檫M(jìn)行識不和行報警，關(guān)心組織強化信息資產(chǎn)保障措施。同時關(guān)于所有收發(fā)的Email郵件SANGFORAC都能夠全面記錄，并通過數(shù)據(jù)中心方便治理者對郵件日志進(jìn)行查詢、審計、報表統(tǒng)計等操作。■外發(fā)文件操縱從互聯(lián)網(wǎng)下載論文、軟件、音視頻等，不僅可能引入病毒、木馬還存在將組織卷入版權(quán)糾葛的風(fēng)險；而通過HTTP、FTP等外發(fā)文件則又存在泄密可能。SANGFORAC能夠基于文件類型對傳輸?shù)奈募M(jìn)行過濾，并全面記錄外發(fā)文件內(nèi)容，即使非善意用戶篡改/刪除文件后綴名、壓縮、加密等AC一樣能夠識不并報警，保證組織的信息資產(chǎn)安全。■網(wǎng)絡(luò)言論過濾策略論壇灌水、頂貼、人肉搜索等不僅降低工作效率，同時也潛在給組織帶來法律風(fēng)險。借助SANGFORAC治理者能夠封堵指定論壇、BBS等。而且AC還支持基于關(guān)鍵字過濾用戶向公網(wǎng)公布的網(wǎng)絡(luò)言論、帖子等，即便成功公布到互聯(lián)網(wǎng)的言論AC也能詳細(xì)記錄，通過數(shù)據(jù)中心提供的報表、查詢工具方便治理者審計，幸免組織遭遇的法律壓力。有些組織同意職員訪問論壇、掃瞄帖子等，但不準(zhǔn)發(fā)貼，通過SANGFORAC也能夠?qū)崿F(xiàn)。同時AC可實現(xiàn)職員只有使用帳號登錄論壇、Webmail后才同意發(fā)表言論，從而幸免職員的抵觸情緒，同時確保網(wǎng)絡(luò)言論和職員身份的對應(yīng)。靈活的網(wǎng)絡(luò)言論過濾策略既幸免了組織遇到的法律風(fēng)險，又滿足了職員的正常上網(wǎng)需求?！龇勺駨暮团e證AC有效過濾和攔截色情、反動等網(wǎng)站的訪問、過濾非法網(wǎng)絡(luò)言論的發(fā)表，即使逃脫過濾進(jìn)入互聯(lián)網(wǎng)的非法行為等，也可在AC數(shù)據(jù)中心中找到相關(guān)記錄作為法律舉證的依據(jù)。AC網(wǎng)關(guān)本身可存儲大量日志，但大型組織每天將產(chǎn)生數(shù)十G的日志，只有通過獨立于網(wǎng)關(guān)的數(shù)據(jù)中心才可實現(xiàn)海量存儲。不管內(nèi)置/外置數(shù)據(jù)中心，AC都為治理者提供豐富的日志查詢、統(tǒng)計、自動報表等工具。 如何從數(shù)十G、甚至上百G的海量日志中找到泄密/違法證據(jù)、或治理者感興趣的內(nèi)容？AC數(shù)據(jù)中心提供的內(nèi)容檢索功能，讓治理員類似Google、百度搜索一樣，方便、輕松搜索需要的內(nèi)容，并支持自動發(fā)送治理員指定關(guān)鍵字的檢索結(jié)果到指定的Email郵箱。提升工作效率上班時刻無關(guān)網(wǎng)頁掃瞄、IM談天、在線炒股、網(wǎng)絡(luò)游戲等上網(wǎng)行為降低了組織的生產(chǎn)效率，如何在上班時刻對內(nèi)網(wǎng)職員的上網(wǎng)行為進(jìn)行治理和引導(dǎo)？■網(wǎng)頁訪問行為治理 上班時刻掃瞄新聞網(wǎng)站、論壇灌水、寫博客、參與網(wǎng)絡(luò)虛擬活動等讓治理遭受挑戰(zhàn)。SANGFORAC內(nèi)置千萬級靜態(tài)URL地址庫是治理網(wǎng)頁訪問行為的基礎(chǔ)，但職員顯然會利用Google、百度等搜索到最新的、感興趣的、或違法的互聯(lián)網(wǎng)內(nèi)容，可見AC對搜索引擎輸入關(guān)鍵字的過濾是靜態(tài)URL地址庫的有效補充，而且AC能夠依照網(wǎng)頁正文包含的關(guān)鍵字過濾網(wǎng)頁訪問行為，有效治理用戶的明文網(wǎng)頁訪問行為。然而Google聲稱互聯(lián)網(wǎng)獨立網(wǎng)頁差不多超過一萬億、Web2.0使得同一網(wǎng)站下有的網(wǎng)頁健康、有的網(wǎng)頁非法，如何治理？靜態(tài)URL地址庫明顯不足。綜合了人工智能的SANGFORAC網(wǎng)頁智能分析系統(tǒng)（IntelligentWebpageAnalysisSystem,IWAS）能夠依照網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對網(wǎng)頁進(jìn)行智能分類，同時具備自我學(xué)習(xí)和自我修正能力，能夠依據(jù)治理者定義進(jìn)行任意URL分類的識不和過濾，真正關(guān)心組織完善網(wǎng)頁訪問行為的治理。 但網(wǎng)上銀行、網(wǎng)上購物、釣魚網(wǎng)站等的興起，以及色情、反動網(wǎng)站等正逐步采納SSL加密，傳統(tǒng)封堵TCP443端口的方式將阻斷網(wǎng)上銀行的操作，只有借助AC的SSL證書驗證技術(shù)（專利號：200710072997.1）才能有效過濾非法加密網(wǎng)址、同意合法加密網(wǎng)址的訪問?！鰬?yīng)用程序治理互聯(lián)網(wǎng)應(yīng)用極大豐富，從談天到游戲、從P2P下載到在線電影，職員享受互聯(lián)網(wǎng)的同時對應(yīng)用的治理卻變成IT治理者的心病。有不于防火墻IP+端口的落后管控方式，SANGFORAC具有全流量識不技術(shù)，不管使用什么端口、什么協(xié)議、是否加密，AC都能夠準(zhǔn)確識不。目前SANGFORAC差不多內(nèi)置超過20大類300多條應(yīng)用程序的識不規(guī)則以關(guān)心組織輕松封堵各種常用應(yīng)用程序，同時十余人的應(yīng)用識不專家團(tuán)隊保證識不規(guī)則的更新和不斷擴充。處于治理需要，在不方便封堵時，治理員還能夠針對特定應(yīng)用程序進(jìn)行流量操縱的治理。■IM（即時通訊）談天軟件的治理上班時刻使用QQ、MSN等私人談天，不僅阻礙工作效率，還可能因IM傳文件而引入病毒和機密泄漏等問題，因此關(guān)于IM的治理日益重要。SANGFORAC基于應(yīng)用協(xié)議的深度內(nèi)容檢測技術(shù)能夠完美的關(guān)心治理員實現(xiàn)對各種IM工具的完全封堵。在某些情況下，基于業(yè)務(wù)需要或治理問題，某些組織專門難完全封堵IM工具，因此治理者希望能記錄IM談天內(nèi)容。但由于QQ、Skype、飛信、MSNShell等眾多IM工具都采納加密方式傳輸，讓業(yè)界專門多廠商都束手無策。而SANGFORAC特有的談天內(nèi)容同步偵聽技術(shù)（Real-timeMonitorforMessages,RMM)可實現(xiàn)對QQ、Skype、MSNShell、飛信等加密談天內(nèi)容的監(jiān)聽和記錄，關(guān)心組織在開放IM的同時確保談天內(nèi)容可審可控。■上網(wǎng)時刻治理非工作時刻同意職員適度上網(wǎng)能夠使組織在確保效率的同時體現(xiàn)足夠的人情味，因此，依照不同時刻段為用戶分配網(wǎng)絡(luò)訪問權(quán)限是上網(wǎng)行為治理過程中需要考慮的問題之一。SANGFORAC提供基于時刻的豐富治理策略，能基于時刻段為不同部門、不同人員給予差異化權(quán)限，同時也能夠限制職員一天內(nèi)總的上網(wǎng)時刻，實現(xiàn)人性化治理。提升內(nèi)網(wǎng)可靠可用性面對互聯(lián)網(wǎng)威脅，盡管許多組織差不多部署防火墻、IDS等設(shè)備，但內(nèi)網(wǎng)依舊病毒頻發(fā)、攻擊不斷，堡壘最容易從內(nèi)部突破，內(nèi)網(wǎng)職員不受控的互聯(lián)網(wǎng)訪問行為將主動“邀請”病毒、木馬等進(jìn)入內(nèi)網(wǎng)，如何應(yīng)對這些導(dǎo)致傳統(tǒng)安全技術(shù)失效的上網(wǎng)行為所帶來的風(fēng)險？■危險資源過濾 通過AC內(nèi)置自動更新的海量URL地址庫、結(jié)合搜索引擎輸入關(guān)鍵字過濾、基于網(wǎng)頁正文關(guān)鍵字過濾網(wǎng)頁、SSL加密網(wǎng)頁識不與過濾、以及基于人工智能的網(wǎng)頁智能分析系統(tǒng)，關(guān)心組織完全幸免因為訪問非法網(wǎng)頁、危險網(wǎng)頁而帶來的風(fēng)險。 從互聯(lián)網(wǎng)下載、安裝、運行應(yīng)用程序卻常常給內(nèi)網(wǎng)引入病毒、木馬、間諜軟件等，這能夠通過AC實現(xiàn)文件傳輸?shù)倪^濾。即使通過IM工具傳文件，AC也能夠在同意用戶使用IM文本談天的同時全面封堵各種IM工具的傳文件功能。關(guān)于同意下載的文件，AC網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。■網(wǎng)關(guān)殺毒功能 震蕩波、沖擊波、熊貓燒香等病毒的泛濫嚴(yán)峻阻礙組織網(wǎng)絡(luò)的可靠性、可用性，但單純依靠桌面殺毒軟件并不能有效解決病毒問題，從源頭上查殺并清除病毒是桌面防毒體系的有力補充。SANGFORAC內(nèi)置業(yè)界領(lǐng)先的殺毒引擎對網(wǎng)頁、郵件、文件中潛藏的病毒進(jìn)行完全查殺，即使隱藏在壓縮包內(nèi)AC也能識不和清除，為組織營造綠色、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境。 ■修復(fù)內(nèi)網(wǎng)安全短板 組織內(nèi)網(wǎng)的可靠可用性取決于最薄弱的一環(huán)。IT部門要求用戶操作系統(tǒng)及時更新、安裝指定殺毒/防火墻軟件并保持更新等，但并非所有用戶都能遵從，進(jìn)而形成內(nèi)網(wǎng)短板。一旦該“短板用戶”訪問危險網(wǎng)站、下載含病毒文件、執(zhí)行非法程序等，極易導(dǎo)致自己感染并阻礙整個內(nèi)網(wǎng)用戶群。借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)（專利號：200510037455.1），AC將檢測接入終端的安全狀況與安全級不，拒絕不符合IT治理者要求的終端訪問互聯(lián)網(wǎng)?！霎惓Ａ髁扛兄?隨U盤等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己，通常會通過常用的TCP80、443、25、110等端口泄漏內(nèi)網(wǎng)機密數(shù)據(jù)及同意黑客操縱。傳統(tǒng)設(shè)備防火墻等解決方案在開放了常用端口后并不能識不該端口中傳輸?shù)臄?shù)據(jù)及內(nèi)容，組織的信息資產(chǎn)安全如何保障？黑客遠(yuǎn)程操縱內(nèi)網(wǎng)終端形成僵尸網(wǎng)絡(luò)如何幸免？SANGFORAC的異常流量感知技術(shù)能夠識不常用端口中的異常流量，并能夠?qū)崟r報警，關(guān)心IT治理者掌控您的網(wǎng)絡(luò)，防范風(fēng)險?！龇繢OS、防ARP欺騙 即使采取眾多措施，威脅和風(fēng)險仍無孔不入。來自外網(wǎng)的DOS攻擊，以及爆發(fā)于內(nèi)網(wǎng)的DOS攻擊不僅吞噬帶寬，還嚴(yán)峻阻礙出口網(wǎng)關(guān)的穩(wěn)定。傳統(tǒng)防火墻等網(wǎng)關(guān)能夠防備來自外網(wǎng)的DOS攻擊但對來自內(nèi)網(wǎng)的DOS攻擊卻無能為力，定位于上網(wǎng)行為治理解決方案的SANGFORAC通過檢測流量和異常網(wǎng)絡(luò)行為等技術(shù)，完全防備來自外網(wǎng)和內(nèi)網(wǎng)的DOS攻擊。 病毒引起的ARP欺騙導(dǎo)致整個子網(wǎng)內(nèi)所有用戶無法正常訪問Internet，定位故障點又頗為苦惱，有不于部分廠商依靠第三方軟件的方案，AC通過內(nèi)置防ARP欺騙功能組件，保障用戶網(wǎng)絡(luò)的可用性和可靠性。治理網(wǎng)絡(luò)帶寬治理員分級治理能夠按照組織的行政架構(gòu)在SANGFORAC上配置用戶分組結(jié)構(gòu)，典型的是樹形用戶分組結(jié)構(gòu)，并包括子組、父組等。為了減輕大型組織機構(gòu)IT部門的治理負(fù)擔(dān)，同時方便各部門自行調(diào)整各自的上網(wǎng)權(quán)限，SANGFORAC支持細(xì)致的治理員分級治理功能。能夠為AC上的用戶組A配置Read-Only權(quán)限的治理員A1、配置Read-Write權(quán)限的治理員A2，A2只可修改用戶組A（而不能修改其他用戶組）的上網(wǎng)策略、用戶等，但A1則只能查看而不能修改。同時A1、A2登錄AC數(shù)據(jù)中心后智能查詢、審計用戶組A的行為日志（而不能查詢其他用戶組），從而既實現(xiàn)治理靈活性，又確保了治理的可控性。上網(wǎng)策略強制繼承總裁要求整個公司都不同意使用QQ，但如何確保“禁止QQ”這條上網(wǎng)行為治理策略能夠在眾多部門對應(yīng)的AC用戶分組上得到實施，同時確?！敖筈Q”的策略可不能被部門治理員修改、刪除、繞過？這通過SANGFORAC的上網(wǎng)策略強制繼承輕松實現(xiàn)。子組從父組強制繼承的上網(wǎng)策略將無法修改、刪除、繞過，即使新加“開通QQ”的策略也無濟(jì)于事。嚴(yán)格的上網(wǎng)策略操縱關(guān)心組織更好使用互聯(lián)網(wǎng)。SC集中治理平臺大型組織在總部、分支機構(gòu)往往會部署多臺SANGFORAC上網(wǎng)行為治理設(shè)備，通過深信服SC-AC集中治理平臺能夠?qū)崿F(xiàn)全網(wǎng)數(shù)千臺AC網(wǎng)關(guān)的集中治理、集中監(jiān)控、集中配置、集中升級、集中日志等要求。從而確保分支機構(gòu)無專業(yè)人員也一樣快速部署、遠(yuǎn)程監(jiān)控和排障，統(tǒng)一的上網(wǎng)策略能夠在整個組織得到貫徹和執(zhí)行，日志集中治理和審計等要求，極大的方便大型組織機構(gòu)部署上網(wǎng)行為治理解決方案。功能實現(xiàn)如下我們將闡述組織如何借助AC實現(xiàn)全面而靈活的上網(wǎng)行為管控與審計。基于在上網(wǎng)行為治理領(lǐng)域的豐富經(jīng)驗，我們強烈建議您按照順序閱讀，如此會使上網(wǎng)行為的治理更具方向性，且有助于后期的治理和維護(hù)。規(guī)劃用戶分組結(jié)構(gòu)為了給不同用戶、不同部門授予差異化的互聯(lián)網(wǎng)訪問權(quán)限，包括差異化的行為審計策略，首先要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)。能夠完全按照組織的行政架構(gòu)在SANGFORAC上建立樹形用戶分組結(jié)構(gòu)，實現(xiàn)父組、子組、組內(nèi)套組等要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，AC還能夠依照OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動同步，方便治理者維護(hù)AD這一套組織結(jié)構(gòu)。另外AC也支持賬戶自動創(chuàng)建功能，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC等，繼承指定的網(wǎng)絡(luò)權(quán)限，方便了治理者和權(quán)限的操縱。用戶帳號還支持生效時刻的設(shè)定、支持多人共用同一帳號等，豐富的帳號策略使得治理者能夠自由的依照實際情況合理調(diào)整。假如治理員差不多將用戶信息匯總到Excel、TXT等文件中，那么他將通過AC的賬戶導(dǎo)入功能更加快捷的創(chuàng)建用戶和分組信息。建立身份認(rèn)證體系沒有嚴(yán)格的認(rèn)證就無法有效區(qū)分用戶，也就無法部署差異化授權(quán)和審計策略，自然無法有效防備身份冒充、權(quán)限擴散與濫用等。 SANGFORAC支持豐富的身份認(rèn)證方式：本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP認(rèn)證、MAC認(rèn)證、IP-MAC綁定等；第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等；雙因素認(rèn)證：USB-Key認(rèn)證；免認(rèn)證：IP免認(rèn)證、MAC免認(rèn)證、IP-MAC綁定免認(rèn)證等；單點登錄：AD、POP3、Proxy、HTTPPOST等；強制認(rèn)證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等），否則不同意訪問互聯(lián)網(wǎng)；豐富的認(rèn)證方式，樹形用戶分組結(jié)構(gòu)，上網(wǎng)權(quán)限的繼承、強制繼承等，極大方便治理者在組織內(nèi)網(wǎng)實施AC上網(wǎng)行為治理解決方案。值得一提的是當(dāng)用戶通過Web認(rèn)證后治理者能夠向其定向顯示指定網(wǎng)頁、而未認(rèn)證通過的用戶也能夠為其分配受限的互聯(lián)網(wǎng)訪問權(quán)限。分析網(wǎng)絡(luò)流量通常組織的互聯(lián)網(wǎng)帶寬比較有限，即使充裕，假如職員網(wǎng)絡(luò)行為不規(guī)范，IT治理者仍然飽受抱怨：網(wǎng)絡(luò)太慢、業(yè)務(wù)系統(tǒng)訪問遲緩、頁面遲遲打不開等，IT治理者需要確知組織帶寬的使用情況，這正是AC所能給您帶來的價值體現(xiàn)：登陸AC操縱臺后，治理員能夠直觀查看流量曲線圖、當(dāng)前流量TOP10應(yīng)用等，并可通過AC的數(shù)據(jù)中心進(jìn)一步詳細(xì)查看、統(tǒng)計昨天或指定時刻段的流量情況。治理員能夠統(tǒng)計指定時刻段指定分組或用戶的流量情況，通過餅狀圖、柱狀圖、曲線圖等直觀展現(xiàn)；還可基于用戶進(jìn)行上行流量、下行流量、總流量等排名，找到流量最活躍的職員。假如您是一位大型機構(gòu)的CIO或CEO，您需要面對的問題將遠(yuǎn)不止這些，而AC數(shù)據(jù)中心的功能需要您親軀體驗和掌握。當(dāng)您面對數(shù)據(jù)中心的Web頁面，通過幾次鼠標(biāo)點擊就發(fā)覺網(wǎng)絡(luò)及治理中存在的問題時，您將感受到領(lǐng)先技術(shù)帶來的極富樂趣的用戶體驗。優(yōu)化和分配帶寬資源組織如何獲得更充足的互聯(lián)網(wǎng)帶寬呢？AC通過多線路復(fù)用、帶寬疊加（專利號：200310112006X）技術(shù)，可同時連接4條互聯(lián)網(wǎng)線路。而只要您同時連接電信和網(wǎng)通線路于AC，AC的多線路智能選路技術(shù)（專利號：ZL03113974.4），將為職員的Internet流量自動優(yōu)選最佳出口，解決跨運營商的帶寬瓶頸問題，同時兼具負(fù)載均衡、線路備份等功能，大幅提升訪問速度和可靠性。 組織有限的帶寬往往被大量非業(yè)務(wù)流量所擠占，尤其BT、電騾等P2P行為嚴(yán)峻吞噬帶寬；AC不僅為治理員提供了強大的應(yīng)用封堵手段（如直接禁止指定用戶的P2P行為），更可在同意用戶使用P2P時限制P2P占用的帶寬，另外能夠為指定用戶、用戶組每天、每月的總上網(wǎng)流量進(jìn)行限制，靈活的治理方法充分滿足組織在上網(wǎng)行為治理上的復(fù)雜需要。 除了限制非業(yè)務(wù)應(yīng)用對帶寬的占用，同時要保證業(yè)務(wù)應(yīng)用的帶寬需求。得益于AC強大的應(yīng)用識不能力（目前超過20個大類、300多條識不規(guī)則），AC基于出口鏈路、用戶/用戶組、應(yīng)用類型、網(wǎng)站類型、文件類型、時刻段實現(xiàn)精細(xì)、智能的帶寬劃分與分配策略，使得治理員擁有能夠充分保障組織業(yè)務(wù)所需帶寬的各種治理手段。從上圖能夠看出，AC支持的流量治理策略特不全面。另外治理員能夠通過AC操縱臺實時監(jiān)控各用戶流量排名、會話排名、連接信息等，一旦發(fā)覺異常網(wǎng)絡(luò)行為，治理員即可通過AC將該職員臨時凍結(jié)，并在指定時刻段后自動恢復(fù)上網(wǎng)。當(dāng)您了解了帶寬的使用情況，并對帶寬進(jìn)行優(yōu)化和分配后，我們立即對用戶(組)的上網(wǎng)行為做進(jìn)一步的治理和操縱。網(wǎng)頁訪問操縱網(wǎng)頁掃瞄是職員要緊互聯(lián)網(wǎng)行為之一，與工作無關(guān)的上網(wǎng)行為給組織帶來巨大的損失：職員數(shù)量月薪(元)時薪(元)無關(guān)網(wǎng)絡(luò)行為時刻(時)/人··天直接薪金損失(元)/人··年組織薪金損失(元)/人··年小型組織10010005.70.5150015萬中型組織500200011.370.53000150萬大型組織2000300017.10.54500900萬AC內(nèi)置千萬級預(yù)分類URL地址庫，并經(jīng)專人人工審核分類，包含互聯(lián)網(wǎng)上各類涉及色情、反動、暴力等站點。由于互聯(lián)網(wǎng)的容量爆炸性增長，Google聲稱互聯(lián)網(wǎng)獨立網(wǎng)址超過一萬億個，采納靜態(tài)URL庫顯然不夠，因此AC還支持基于內(nèi)容的過濾手段，包括過濾用戶通過搜索引擎搜索的指定關(guān)鍵字、過濾包含指定關(guān)鍵字的網(wǎng)頁、過濾含指定關(guān)鍵字的URL地址等。而結(jié)合了人工智能的網(wǎng)頁智能分析系統(tǒng)（IntelligentWebpageAnalysisSystem,IWAS）能夠依照網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對網(wǎng)頁進(jìn)行智能分類，同時具備自我學(xué)習(xí)和自我修正能力，能夠依據(jù)治理者定義進(jìn)行任意URL分類的識不和過濾，真正關(guān)心組織完善網(wǎng)頁訪問行為的治理。 細(xì)心的您可能差不多發(fā)覺網(wǎng)上銀行、在線購物、釣魚網(wǎng)站等都采納了SSL加密技術(shù)，包括試圖躲避過濾的反動和色情網(wǎng)站等危險站點等，“加密化”差不多成為網(wǎng)絡(luò)進(jìn)展的趨勢，如何管控？有的解決方案通過中間人攻擊原理解密SSL加密流量從而過濾，但網(wǎng)上銀行的帳號、密碼等也將被解密，存在極大安全風(fēng)險。而利用特有的“證書鏈驗證黑白名單技術(shù)”，SANGFORAC能夠?qū)SL加密網(wǎng)站進(jìn)行甄不和過濾，從而為組織提供了全面的網(wǎng)頁操縱方案。組織往往需要通過時刻打算給予網(wǎng)絡(luò)治理更多的人情味。AC的時刻治理有兩種模式：微觀時刻治理（MicroTimeControl,MTC，MTC將一周中每天以半小時為單位進(jìn)行劃分）和總體時刻治理（OverallTimeControl,OTC，OTC為職員設(shè)置每天總上網(wǎng)時刻），細(xì)致的時刻治理不僅提高組織業(yè)務(wù)效率，還讓職員更容易同意。治理IM即時通訊工具權(quán)威統(tǒng)計顯示國內(nèi)網(wǎng)民最常使用的IM工具依次為QQ、飛信、MSN、Skype。辦公室內(nèi)IM談天、影音文件分享、甚至游戲?qū)?zhàn)屢見不鮮，而QQ病毒、MSN蠕蟲也讓IT治理者經(jīng)歷猶新，如何有效治理IM工具？借助現(xiàn)有防火墻等傳統(tǒng)手段封堵IM并不奏效。以下是SANGFORAC提供的對IM從禁止、監(jiān)管、再到安全防備的解決方案。 禁止 AC深度內(nèi)容檢測技術(shù)依照顧用協(xié)議數(shù)據(jù)包特征字段全面封堵各種IM工具，包括QQ、MSN、新浪UC、網(wǎng)易泡泡、YahooMessenger、Skype、ICQ、GoogleTalk、飛信等；即使IM軟件將數(shù)據(jù)包封裝到80、443等端口傳輸，AC亦可區(qū)不IM流量和正常的Http、Https，從而有效治理IM的使用。同時AC可實現(xiàn)同意指定部門/用戶（如市場部）通過IM與客戶溝通，但禁止IM傳文件、IM語音視頻通話、玩IM游戲等，輕松、靈活管控IM。 監(jiān)管 QQ、飛信、MSNShell、Skype等越來越多的IM談天內(nèi)容是加密的，假如不能記錄將是上網(wǎng)行為治理的最大漏洞之一。AC的談天內(nèi)容同步偵聽（Real-timeMonitorforMessages,RMM)技術(shù)能夠記錄各種加密談天內(nèi)容，這在業(yè)界是屈指可數(shù)的，領(lǐng)先的技術(shù)使得深信服研發(fā)部門能夠快速跟進(jìn)任何一款新推出的IM工具，并推出針對性的升級策略使得AC支持對各種新IM工具的談天監(jiān)控功能。強大的功能往往涉及個人隱私，我們建議使用AC前在組織內(nèi)發(fā)出通知，提醒職員他們在工作時刻發(fā)生的網(wǎng)絡(luò)行為是能夠被監(jiān)控到的。 安全防備 IM好友發(fā)來的URL鏈接、文件等，可能將病毒、木馬、流氓軟件送入內(nèi)網(wǎng)，這也是組織差不多購買防火墻、部署殺毒軟件后仍然病毒層出不窮的緣故之一：堡壘從內(nèi)部被攻破了！AC的深度內(nèi)容檢測技術(shù)能夠禁止用戶使用IM傳遞文件，IM好友發(fā)送的URL地址，職員打開過程中將被AC過濾和操縱。另外，治理員也能夠啟用AC的網(wǎng)關(guān)殺毒功能從源頭上查殺病毒、蠕蟲，此內(nèi)容將在后述部分詳解。操縱BT等P2P行為封種子服務(wù)器IP、封種子資源網(wǎng)站、封端口的P2P治理方式讓治理員忙的焦頭爛額卻得不到中意的效果。有效的P2P管控方法包括應(yīng)用協(xié)議分析和P2P行為智能檢測技術(shù)，SANGFORAC同時支持這兩種技術(shù)。常用、普及的P2P軟件，AC深度內(nèi)容檢測技術(shù)實現(xiàn)對其管控和封堵。截止本文檔編寫時，AC通過深度內(nèi)容檢測技術(shù)能夠封堵P2P流媒體55個，其他P2P應(yīng)用27個。 盡管差不多內(nèi)置了豐富的P2P識不規(guī)則，但新的P2P應(yīng)用層出不窮，職員能夠從網(wǎng)絡(luò)上獲得各種P2P工具，還有更多不常見和以后可能出現(xiàn)的P2P軟件如何管控？AC采納網(wǎng)絡(luò)行為智能分析技術(shù)(NetworkBehaviorsIntelligenceAnalysis,NBIA），基于統(tǒng)計學(xué)分析原理，實現(xiàn)對各種P2P的智能識不和封堵，為用戶提供了一勞永逸的P2P管控解決方案。 盡管AC提供了完全封堵P2P的方案，但粗暴禁止P2P可能招致職員反感，在某些情況下個不部門或職員可能需要使用P2P進(jìn)行文件共享等，現(xiàn)在AC的P2P流控功能完美的滿足了治理上的靈活要求，利用此功能，AC能夠針對不同部門、不同時刻段、限制不同P2P應(yīng)用占用的帶寬，且可管控部門內(nèi)每個職員P2P行為對帶寬的占用情況（“3.4優(yōu)化和分配帶寬資源”已詳細(xì)講明AC針對應(yīng)用的帶寬劃分和分配）。操縱其他網(wǎng)絡(luò)應(yīng)用行為職員的上網(wǎng)行為遠(yuǎn)不止此，治理者還需關(guān)注在線炒股、網(wǎng)絡(luò)游戲、在線視頻（RTSP、MMS、Flash、RealMedia等）等。AC差不多包括300多條常見應(yīng)用的識不和管控規(guī)則，并定期從深信服公司網(wǎng)站上自動更新最新識不庫。同時AC同意有編程基礎(chǔ)的網(wǎng)絡(luò)治理員自行添加、修改和導(dǎo)入自定義的網(wǎng)絡(luò)應(yīng)用識不規(guī)則。這相關(guān)于絕大多數(shù)其他廠商僅提供給治理者依照IP和端口封堵應(yīng)用的方式更加靈活和完全。關(guān)于局域網(wǎng)內(nèi)出現(xiàn)的AC未能識不和操縱的新應(yīng)用，治理員假如無法自行編制對應(yīng)的識不策略，僅需將所需操縱的應(yīng)用程序名稱、版本號以及下載地址提交給深信服客服中心，我們將在三個工作日內(nèi)提供最新的識不策略，并關(guān)心用戶完成對該應(yīng)用的封堵和管控。防泄密和法律風(fēng)險內(nèi)網(wǎng)職員無意或有意將組織機密信息泄露到互聯(lián)網(wǎng)甚至競爭對手，或向論壇BBS公布不負(fù)責(zé)的言論、網(wǎng)絡(luò)造謠等，將給組織帶來泄密和法律風(fēng)險。AC不僅能過濾、記錄職員通過Mail（包括Webmail）、BBS、Blog、QQ空間等工具公布的網(wǎng)絡(luò)言論，還能實時報警。即使通過Telnet訪問部分BBS網(wǎng)站，所有輸入的Telnet命令和內(nèi)容，AC都能詳細(xì)記錄。關(guān)于使用HTTP、FTP等方式傳送文件所引發(fā)的風(fēng)險（如將研發(fā)部的核心代碼發(fā)送出去），AC首先能夠禁止用戶使用HTTP、FTP上傳下載指定類型的文件，關(guān)于上傳的文件AC也能夠全面記錄文件內(nèi)容，做到有據(jù)可查。而外發(fā)Email潛在的泄密風(fēng)險通過AC的郵件延遲審計（PostponedSendingafterAudit,PSA）技術(shù)，依照治理員預(yù)設(shè)條件，將潛在的泄密郵件先攔截，經(jīng)人工審核后再發(fā)送，保障組織信息資產(chǎn)安全。但存心的泄密者通常會更改文件后綴名、刪除后綴名、壓縮、加密等，再通過Email外發(fā)、或通過HTTP、FTP上傳，AC對以上行為同樣能夠識不并報警，完全幸免因外發(fā)文件而產(chǎn)生的泄密風(fēng)險。日志審計和報表中心內(nèi)網(wǎng)用戶的所有上網(wǎng)行為AC都能夠記錄以滿足組織機構(gòu)互聯(lián)網(wǎng)行為審計要求。AC可針對不同用戶(組)進(jìn)行差異化的行為記錄和審計，包括網(wǎng)頁訪問行為、網(wǎng)絡(luò)發(fā)帖、Email、文件傳輸、QQ游戲行為、大智慧炒股行為、QQLive在線影音行為等，同時包含該行為的流量信息等。但CEO等高層領(lǐng)導(dǎo)的網(wǎng)絡(luò)行為可能涉及組織的重要機密（如CEO與供應(yīng)商的郵件），不應(yīng)該被記錄。AC“免審計Key”從技術(shù)上完全免除行為記錄，只要將“免審計Key”插入計算機USB接口并輸入對應(yīng)PIN碼，該用戶的任何網(wǎng)絡(luò)行為都免除記錄，消除高層領(lǐng)導(dǎo)的憂慮。大型組織60天將產(chǎn)生數(shù)百G行為日志通過AC獨立數(shù)據(jù)中心實現(xiàn)海量存儲，并通過豐富報表工具方便日志的操作，報表工具要緊包括：內(nèi)置超過60多種報表模板，并支持用戶自定義報表。對比報表：匯總對比、指定用戶組的對比、指定用戶的對比、指定IP的對比等；統(tǒng)計模板：上網(wǎng)流量統(tǒng)計、上網(wǎng)行為統(tǒng)計、病毒信息統(tǒng)計、上網(wǎng)時刻統(tǒng)計等；趨勢：流量趨勢、行為趨勢、IM趨勢、郵件趨勢、炒股趨勢等；查詢工具：流量查詢、行為查詢、時刻查詢、病毒日志查詢、安全日志查詢、操作日志查詢等；內(nèi)容檢索：網(wǎng)頁搜索、郵件搜索、IM搜索、關(guān)鍵字搜索、Webmail/BBS搜索等如何防止非授權(quán)人員訪問數(shù)據(jù)中心并窺探或惡意傳播他人上網(wǎng)行為日志，甚至導(dǎo)致職員對IT治理者的誤解和埋怨？AC的“數(shù)據(jù)中心認(rèn)證Key”技術(shù)，保證只有插入該key的治理員才能審計他人行為日志，否則將只能查看統(tǒng)計報表、趨勢圖線等，確保日志不被濫用。內(nèi)網(wǎng)可靠可用性增強網(wǎng)絡(luò)世界中安全事件數(shù)量急劇攀升，內(nèi)網(wǎng)中斷、不穩(wěn)定將直接阻礙用戶的上網(wǎng)行為，因此需要AC保證網(wǎng)關(guān)自身安全，并強化內(nèi)網(wǎng)可靠性、可用性。防火墻AC內(nèi)置基于狀態(tài)檢測技術(shù)的企業(yè)級防火墻，對進(jìn)出組織的數(shù)據(jù)包提供過濾和操縱。NAT（NetworkAddressTranslation）功能，代理內(nèi)網(wǎng)職員上網(wǎng)和實現(xiàn)靜態(tài)端口映射。 網(wǎng)關(guān)殺毒 AC的網(wǎng)關(guān)殺毒功能集成知名廠商的殺毒引擎（殺毒引擎每天自動升級），從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。 網(wǎng)絡(luò)準(zhǔn)入規(guī)則（NetworkAdmissionRules，NAR） 借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則專利技術(shù)，AC將按照治理員要求檢查每位職員殺毒軟件安裝、運行、更新情況、操作系統(tǒng)版本、補丁情況等，不滿足預(yù)設(shè)安全級不的終端將不同意訪問互聯(lián)網(wǎng)，從而提升整個內(nèi)網(wǎng)的可靠性和可用性。防DOS攻擊 DOS攻擊從外網(wǎng)而來侵害組織的服務(wù)器，而爆發(fā)于內(nèi)網(wǎng)的DOS攻擊（蠕蟲病毒的暴發(fā)或僵尸網(wǎng)絡(luò)的攻擊等）不僅消耗帶寬、甚至癱瘓網(wǎng)關(guān)。AC同時防備來自內(nèi)網(wǎng)和外網(wǎng)的雙向DOS攻擊，檢測到內(nèi)網(wǎng)DOS攻擊點，能夠強迫其下線以保障網(wǎng)絡(luò)可用性。 防ARP欺騙 ARP欺騙通過發(fā)送虛假ARP數(shù)據(jù)包，導(dǎo)致內(nèi)網(wǎng)用戶無法訪問網(wǎng)絡(luò)，破壞性大且排查困難。AC內(nèi)置防ARP欺騙功能，關(guān)心治理員有效抵御ARP欺騙的威脅。治理和配置的易用性 深信服科技AC網(wǎng)關(guān)采納圖形化治理配置界面，治理員無需安裝客戶端軟件，通過IE以HTTPS方式即可進(jìn)入設(shè)備操縱臺界面；AC內(nèi)置的策略故障排除功能，有助于治理員在配置失誤時，圖形化排查失誤點；當(dāng)用戶違反指定規(guī)則、DOS攻擊、ARP欺騙、泄密等時，支持自動報警，第一時刻修復(fù)問題。領(lǐng)先的技術(shù)優(yōu)勢深信服成立至今已申請三十多項發(fā)明專利，對研發(fā)的重視和高投入有效的保證了產(chǎn)品的強大功能和競爭力。通過本章節(jié)介紹，您將了解到能切實解決您問題的業(yè)界標(biāo)桿特色技術(shù)。單點登錄技術(shù)SANGFORAC的單點技術(shù)(SingleSignOn,SSO)將幸免用戶重復(fù)輸入帳號密碼的繁瑣操作。AC支持LDAP、POP3、PROXY單點登錄。尤其AC無需用戶安裝任何客戶端軟件即實現(xiàn)LDAP單點登錄，對用戶完全透明。內(nèi)網(wǎng)用戶采納域賬號登陸Windows系統(tǒng)后，即可自動通過AC認(rèn)證，而且支持不使用域帳號登錄Windows系統(tǒng)即禁止其訪問互聯(lián)網(wǎng)。AC的POP3、PROXY單點登錄功能啟用后，內(nèi)網(wǎng)職員只需收發(fā)一下Email、或觸發(fā)PROXY服務(wù)器的認(rèn)證后，也將自動通過AC認(rèn)證，極大的方便了用戶的使用。反釣魚網(wǎng)站功能網(wǎng)絡(luò)“釣魚者”通過偽造與網(wǎng)上銀行、網(wǎng)上購物等網(wǎng)上交易頁面極其相似的界面，使用戶在毫不知情的情況下泄露自己的賬戶信息，導(dǎo)致銀行資金被“網(wǎng)絡(luò)姜太公”輕易盜取。網(wǎng)銀、網(wǎng)上購物等金融機構(gòu)普遍采納第三方權(quán)威機構(gòu)頒發(fā)的數(shù)字證書以實現(xiàn)SSL加密網(wǎng)頁，但釣魚網(wǎng)站能夠偽造虛假證書，不具備專業(yè)知識的用戶無法識不。 SANGFORAC可對SSL網(wǎng)站提供的數(shù)字證書進(jìn)行深度驗證，包括該證書的根頒發(fā)機構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等。由于釣魚網(wǎng)站采納非可信頒發(fā)機構(gòu)的數(shù)字證書，能夠蒙騙用戶，但卻不能逃過AC的識不和過濾。改功能也能夠被用于過濾一些使用SSL及證書技術(shù)加密的色情、反動站點，證券炒股站點等。P2P智能識不P2P（peer-to-peer）應(yīng)用的興起直接導(dǎo)致P2P軟件及其版本的爆炸性增長，如何對P2P行為進(jìn)行全面有效的管控成為業(yè)界的難題之一。基于IP、端口、種子等封堵方式費時費勁且達(dá)不到理想效果。AC的深度內(nèi)容檢測技術(shù)對常用P2P軟件進(jìn)行識不；AC的P2P智能識不技術(shù)實現(xiàn)對加密P2P、不常見和以后將出現(xiàn)的P2P的完全識不，為治理員提供了全面、高效的P2P行為管控手段。 能夠全面識不P2P行為是進(jìn)一步管控的基礎(chǔ)。對P2P的管控包括封堵和流控兩方面，既可全面禁止指定用戶使用P2P軟件，也可同意其使用但對P2P行為占用的帶寬資源進(jìn)行限制和治理，從而既優(yōu)化帶寬資源的使用，又為職員提供了人性化的治理方式。代理服務(wù)器識不專門多組織的內(nèi)網(wǎng)職員通過MicrosoftISA、Sygate、CCproxy等代理服務(wù)器上網(wǎng)，但由于防火墻、內(nèi)容操縱等設(shè)備對內(nèi)網(wǎng)用戶的治理是基于目的地址和端口的，這將無法識不通過代理服務(wù)器的職員流量和行為。 關(guān)于通過ProxyServer代理上網(wǎng)的情況，AC能夠?qū)ｉT好地適應(yīng)并發(fā)揮其作用。AC的深度內(nèi)容檢測技術(shù)識不用戶數(shù)據(jù)中包含代理信息后，通過代理識不模塊能夠識不從用戶端發(fā)送到達(dá)代理服務(wù)器之間的應(yīng)用數(shù)據(jù)，進(jìn)而對用戶的網(wǎng)絡(luò)行為進(jìn)行管控和記錄。網(wǎng)頁智能分析系統(tǒng)IWAS網(wǎng)頁訪問是用戶最常發(fā)生的上網(wǎng)行為之一，而Google聲稱互聯(lián)網(wǎng)獨立網(wǎng)頁超過一萬億，如何識不、分類、治理數(shù)量巨大的網(wǎng)頁呢？博客是Web2.0的典型產(chǎn)物，例如同樣是新浪博客有的內(nèi)容豐富正派，但有的博客違反道德、反動等，如何識不、區(qū)分、過濾？無需安裝炒股軟件，通過百度、新浪等網(wǎng)站也看在線實時查看股市行情，如何治理？SANGFORAC融合中科院人工智能技術(shù)推出的網(wǎng)頁智能分析系統(tǒng)IWAS能夠依照網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對網(wǎng)頁進(jìn)行智能分類，同時具備自我學(xué)習(xí)和自我修正能力。治理者能夠自定義個性化URL分類如“中國足球”類，并在AC中輸入數(shù)個“中國足球”相關(guān)URL地址后，AC將自動分析學(xué)習(xí)“中國足球”相關(guān)網(wǎng)頁特征，并在內(nèi)網(wǎng)用戶訪問“中國足球”相關(guān)的各種網(wǎng)頁時實時過濾并自動再學(xué)習(xí)，關(guān)心組織從容應(yīng)對泛濫的網(wǎng)頁訪問行為。最全面的應(yīng)用識不無法識不，何談管控？內(nèi)網(wǎng)用戶的上網(wǎng)行為紛繁復(fù)雜，且伴隨著應(yīng)用“加密化”和“種類爆發(fā)”的趨勢，是否具備全面的應(yīng)用識不能力，是考量上網(wǎng)行為治理方案的重要標(biāo)準(zhǔn)之一。SANGFORAC多種應(yīng)用識不技術(shù)，全面識不各種應(yīng)用、進(jìn)而管控和審計。要緊包括：URL識不：千萬級靜態(tài)URL庫、搜索引擎輸入關(guān)鍵字過濾、基于正文關(guān)鍵字過濾明文網(wǎng)頁、SSL證書驗證技術(shù)過濾加密網(wǎng)頁、網(wǎng)頁智能分析系統(tǒng)IWAS從容應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁。文件類型識不：識不并過濾HTTP、FTP方式上傳下載的文件，即使惡意用戶刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳，AC同樣能識不和報警。深度內(nèi)容檢測：IM談天、在線炒股、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP/IP協(xié)議等，基于數(shù)據(jù)包特征精準(zhǔn)識不，且支持治理員自行定義新規(guī)則，以及深信服科技及時更新和快速響應(yīng)。智能識不：種類泛濫的P2P行為，靜態(tài)“應(yīng)用識不規(guī)則”差不多捉襟見肘，通過P2P智能識不，識不不常見、以后可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計。通過強大的應(yīng)用識不技術(shù)，不管網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應(yīng)用行為等AC都能關(guān)心組織實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等治理。免審計Key功能總裁、高層領(lǐng)導(dǎo)網(wǎng)絡(luò)訪問行為，財務(wù)部收發(fā)的郵件等關(guān)乎組織機密信息，如何樣幸免記錄此類用戶的網(wǎng)絡(luò)行為？業(yè)界多數(shù)方案是通過將敏感用戶劃分到指定用戶組，通過設(shè)備配置界面的勾選，幸免對這些用戶網(wǎng)絡(luò)行為的審計。但假如“非善意”人員私下重新配置設(shè)備對敏感用戶又進(jìn)行行為記錄，如何辦？AC正是考慮到用戶可能面臨的以上風(fēng)險和威脅，推出了“免審計Key”功能。在AC上為總裁等重要人員創(chuàng)建帳戶時使用DKEY認(rèn)證，并勾選“啟用DKEY防監(jiān)控”選項，為總裁生成“免審計Key”?？偛檬褂谩懊鈱徲婯ey”認(rèn)證后，AC從底層免除對總裁的所有記錄。假如“非善意”人員私下取消AC配置界面上“啟用DKEY防監(jiān)控”選項，總裁再插入“免審計Key”后系統(tǒng)會自動彈出警告，且禁止總裁訪問網(wǎng)絡(luò)，完全保障信息安全。網(wǎng)絡(luò)準(zhǔn)入規(guī)則AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則（NetworkAdmissionRules,NAR）通過對客戶端的評估來實現(xiàn)網(wǎng)絡(luò)訪問操縱，并更好的維護(hù)網(wǎng)絡(luò)安全防線。NAR的設(shè)計意義在于三個方面：1.僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備差不多無法保證安全性。2.邊緣網(wǎng)關(guān)設(shè)備無法防止來自局域網(wǎng)內(nèi)部的濫用、攻擊和破壞。3.客戶端的安全級不往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更新補丁、長時刻不更新防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的“短板”。鑒于此，AC網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)通過對端點安全評估和訪問操縱實現(xiàn)全方位安全防護(hù)。不能滿預(yù)設(shè)要求的接入端點，禁止其訪問互聯(lián)網(wǎng)或同意訪問但提交報告給治理員做后續(xù)處理。通過AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則，修補內(nèi)網(wǎng)安全短板，幸免病毒、木馬等輕易感染內(nèi)網(wǎng)主機，便于組織推行統(tǒng)一的IT政策。該準(zhǔn)入規(guī)則同意治理者手工添加和定制，從而能夠治理幾乎所有終端在線狀態(tài)，使端點安全和網(wǎng)關(guān)安全緊密結(jié)合，為組織構(gòu)筑統(tǒng)一的安全防備體系。加密談天內(nèi)容監(jiān)控“加密化”的趨勢不僅使明文的HTTP網(wǎng)站開始轉(zhuǎn)向加密的HTTPS網(wǎng)站，各種IM談天工具的談天內(nèi)容也被加密，如騰訊QQ、TM、MSNShell、飛信、Skype等。假如不能監(jiān)控和記錄加密IM談天內(nèi)容，隱匿其中的安全風(fēng)險、安全事件就無法防備、無據(jù)可查。目前業(yè)界解決方案多數(shù)都無法監(jiān)控和記錄QQ、MSNShell、飛信、Skype的談天內(nèi)容。AC的談天內(nèi)容同步偵聽技術(shù)實現(xiàn)對QQ、、MSNShell、飛信Skype等加密談天內(nèi)容的監(jiān)督和記錄，關(guān)心組織輕松應(yīng)對應(yīng)用加密化的阻礙。郵件延遲審計AC的郵件延遲審計（PostponedSendingafterAudit,PSA）專利技術(shù)，將敏感郵件阻擋于內(nèi)網(wǎng)。內(nèi)網(wǎng)用戶發(fā)送Email郵件時，用戶認(rèn)為差不多成功發(fā)送，實際上符合治理員預(yù)定策略的整封Email郵件（包括正文和附件）全部轉(zhuǎn)存至郵件緩沖區(qū)。指定的郵件審核人員會獲得郵件通知，經(jīng)人工審核后，才同意符合組織安全規(guī)定的Email郵件發(fā)送到互聯(lián)網(wǎng)上，而不符合要求的Email則被截留并作為追究責(zé)任的依據(jù)，有效實現(xiàn)了對泄密郵件的封堵，愛護(hù)了組織的敏感信息的安全性。 *AC的郵件延遲審計技術(shù)對內(nèi)網(wǎng)用戶完全透明，郵件的發(fā)送過程與日常無異。外發(fā)文件深度識不存心的泄密者往往會將外發(fā)文件的后綴名修改/刪除，或者加密/壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。僅僅實現(xiàn)對外發(fā)文件的審計和記錄顯然無法彌補由于泄密而給組織帶來的損失，單純的基于文件擴展名過濾外發(fā)文件、過濾外發(fā)Email郵件也無法應(yīng)對以上風(fēng)險。鑒于此SANGFORAC的外發(fā)文件深度識不技術(shù)基于文件特征能夠識不超過一千種以上的文件類型，基于特征而非擴展名完全遏制存心泄密者的外發(fā)泄密文件行為，愛護(hù)組織的信息資產(chǎn)安全。智能的流量治理組織有限的Internet帶寬資源，如何幸免非業(yè)務(wù)行為的濫用，同時為業(yè)務(wù)行為細(xì)致智能的劃分與分配帶寬資源？傳統(tǒng)設(shè)備依照IP和端口結(jié)合QoS實現(xiàn)帶寬分配，但類似80端口中會潛藏QQ、BT數(shù)據(jù)、部分業(yè)務(wù)系統(tǒng)沒有固定的端口、領(lǐng)導(dǎo)的視頻會議系統(tǒng)沒有固定IP等，讓傳統(tǒng)設(shè)備的帶寬治理功能大打折扣。AC實現(xiàn)了基于用戶、用戶組、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)地址、時刻段、優(yōu)先級等的細(xì)致智能的流量治理系統(tǒng)，讓組織的帶寬資源得到細(xì)致的優(yōu)化和高效的使用。海量日志快速檢索記錄職員網(wǎng)絡(luò)行為，不僅滿足法律法規(guī)要求，又做到了有據(jù)可查。大型組織每天產(chǎn)生數(shù)G的日志數(shù)據(jù)，通過AC的外置數(shù)據(jù)中心實現(xiàn)了海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。 組織通過AC的外置數(shù)據(jù)中心保存了上百G的海量日志信息，而一旦發(fā)生關(guān)鍵事件或治理者需要從大量日志信息中快速檢索獵取其感興趣的內(nèi)容，卻難以快速從海量日志中發(fā)覺期望得到的數(shù)據(jù)。AC內(nèi)置了強大的數(shù)據(jù)中心內(nèi)容檢索系統(tǒng)，利用類似Google的先進(jìn)搜索技術(shù)，從高達(dá)幾百G的海量數(shù)據(jù)中通過多個關(guān)鍵字快速搜索指定內(nèi)容，同時支持對Email附件正文內(nèi)容的檢索、支持高級檢索，支持訂閱和自動Email投遞功能，極大的方便了治理者的使用。數(shù)據(jù)中心認(rèn)證key職員、領(lǐng)導(dǎo)的上網(wǎng)行為日志差不多通過AC數(shù)據(jù)中心實現(xiàn)海量存儲，但如何鑒不訪問數(shù)據(jù)中心的治理員的身份，幸免行為日志被濫用（如職員的MSN談天內(nèi)容被傳播、領(lǐng)導(dǎo)的Email內(nèi)容被張貼到互聯(lián)網(wǎng)上等）而產(chǎn)生的個人隱私侵犯、機密日志泄漏等問題，是組織IT治理者和內(nèi)網(wǎng)職員普遍關(guān)懷的問題之一。SANGFORAC治理員分級治理功能可實現(xiàn)A治理員登錄數(shù)據(jù)中心后只能審計、查看A用戶組的行為日志，同時配發(fā)啟用數(shù)據(jù)中心認(rèn)證Key功能后，假如沒有該“數(shù)據(jù)中心認(rèn)證Key”，A治理員登錄數(shù)據(jù)中心后只能查看統(tǒng)計、趨勢等概要信息，只有插入“數(shù)據(jù)中心認(rèn)證Key”后A治理員才能審計、查詢A用戶組的MSN談天內(nèi)容、Email正文等詳細(xì)日志信息。通過將該“數(shù)據(jù)中心認(rèn)證Key”鎖入領(lǐng)導(dǎo)抽屜將實現(xiàn)行為日志審計查詢權(quán)限的嚴(yán)格操縱。異常流量感知隨用戶互聯(lián)網(wǎng)訪問、移動存儲設(shè)備的使用、以及局域網(wǎng)內(nèi)其他終端的感染導(dǎo)致用戶終端設(shè)備往往存在木馬、間諜軟件、遠(yuǎn)程操縱軟件等威脅。此類惡意軟件為了藏匿自己的行蹤往往通過常用的TCP80、443、25、110等端口與互聯(lián)網(wǎng)操縱端交互數(shù)據(jù)，這使得組織的信息安全、資產(chǎn)安全、網(wǎng)絡(luò)安全等無法保障。SANGFORAC的異常流量感知技術(shù)正是關(guān)于以上異常流量行為進(jìn)行識不并報警，關(guān)心IT治理者主動發(fā)覺組織內(nèi)網(wǎng)潛藏的安全威脅，提升組織內(nèi)網(wǎng)可靠性和可用性。SC集中治理平臺深信服科技于2005年即推出的SC集中治理平臺多年來差不多為眾多大型、超大型網(wǎng)絡(luò)規(guī)模的客戶將VPN設(shè)備完善治理，目前SC也已將AC上網(wǎng)行為治理設(shè)備納入其中，實現(xiàn)了全網(wǎng)數(shù)千臺AC網(wǎng)關(guān)的集中治理、集中監(jiān)控、集中配置、集中升級、集中日志等要求，同時具有如下特色：治理員強認(rèn)證：接入SC的治理員身份認(rèn)證除用戶名/密碼外，還支持將治理員賬戶與指定的電腦綁定，采納其他電腦即使有正確的用戶名/密碼也不能訪問SC；分級治理：在SC中將眾多AC網(wǎng)關(guān)劃歸到不同“區(qū)域”，不同治理員授予不同“區(qū)域”AC的Read-Only或Read-Write治理權(quán)限；Webagent動態(tài)尋址：分支機構(gòu)使用無固定IP的鏈路，有不于傳統(tǒng)DDNS、花生殼等方式，借助Webagent動態(tài)尋址技術(shù)實現(xiàn)分支機構(gòu)AC與總部SC的安全互聯(lián)；多線路：總部SC同時連接多條公網(wǎng)線路，保證了遍布全國數(shù)千臺AC網(wǎng)關(guān)到總部SC互聯(lián)網(wǎng)絡(luò)的可靠性，同時解決了AC和SC之間跨運營商帶寬瓶頸問題；……部署您的AC產(chǎn)品在深信服科技六千多家AC用戶中，從沒發(fā)覺過兩個完全相同的網(wǎng)絡(luò)環(huán)境。作為愛護(hù)組織網(wǎng)絡(luò)資源和信息資產(chǎn)的核心設(shè)備，AC的多種部署方式適應(yīng)了不同的網(wǎng)絡(luò)環(huán)境和用戶需求。網(wǎng)關(guān)模式（路由模式）將AC通過網(wǎng)關(guān)模式串接在用戶網(wǎng)絡(luò)鏈路中，所有流量都通過AC處理，對內(nèi)網(wǎng)用戶上網(wǎng)行為和數(shù)據(jù)包實施所有的審計、操縱、攔截、流量治理等功能。若將AC作為組織的Internet出口網(wǎng)關(guān)，AC的防火墻功能保障組織網(wǎng)絡(luò)安全，多線路技術(shù)擴展出口帶寬，NAT功能代理內(nèi)網(wǎng)用戶上網(wǎng)，實現(xiàn)差不多的路由功能等。 部署方式：AC的WAN口與廣域網(wǎng)的接入線路相連，一般是光纖、ADSL線路或者是路由器，AC的LAN口（DMZ口）同局域網(wǎng)