上网行为管理产品介绍

SANGFOR AC上网行为管理产品白皮书 构建健康安全、高效可管的互联网SANGFOR AC上网行为管理产品白皮书深信服科技有限公司版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。目录1互联网对组织提出的挑战62上网行为管理给用户带来的价值72.1管理网络带宽72.2避免法律和泄密风险82.3提升工作效率92.4提升内网可靠可用性112.5管理网络带宽123功能实现123.1规划用户分组结构133.2建立身份认证体系133.3分析网络流量133.4优化和分配带宽资源143.5网页访问控制153.6管理IM即时通讯工具173.7控制BT等P2P行为173.8控制其他网络应用行为183.9防泄密和法律风险183.10日志审计和报表中心183.11内网可靠可用性增强193.12管理和配置的易用性204领先的技术优势204.1单点登录技术204.2反钓鱼网站功能204.3P2P智能识别214.4代理服务器识别214.5网页智能分析系统IWAS214.6最全面的应用识别214.7免审计Key功能224.8网络准入规则224.9加密聊天内容监控234.10邮件延迟审计234.11外发文件深度识别234.12智能的流量管理234.13海量日志快速检索244.14数据中心认证key244.15异常流量感知244.16SC集中管理平台245部署您的AC产品255.1网关模式（路由模式）255.2网桥模式265.3多路桥接模式265.4旁路模式276产品规格和荣誉286.1产品规格286.2产品荣誉286.3公司荣誉296.4AC产品专利297关于深信服科技291 互联网对组织提出的挑战随着信息技术、特别是网络技术的普及，互联网已经渗透到工作和生活的各方面。而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。针对用户互联网访问行为的管控与审计，美国于2002年颁布实施萨班斯-奥克斯利法案对组织内控和行为日志记录率先提出了要求；而中国也颁布了相应的互联网法律法规法规进一步规范互联网行为。缺乏有效管理的互联网是否让您常常面对如下情形却又束手无策？ 看似充裕的出口带宽却不断接到内网员工关于网速太慢的抱怨； 视频会议、VOIP断断续续，与分支互联的VPN极不稳定、经常中断； 过激言论、网络造谣给组织招致网监的压力，却又无法查找到责任人； 研发代码、营销方案等让竞争对手得知，何人所为？ 内网病毒、木马、ARP欺骗、DOS攻击让IT管理者头痛不已； 巨资购买的杀毒软件很多员工不装、不用，存在风险的终端肆意上网； 专注的敲击键盘、认真的盯着屏幕，但却在发生工作无关的行为； 让人无奈的是，员工的不规范网络行为往往是组织为其买单：除因上班时间无心工作所带来的直接损失外，组织的带宽资源陷入被滥用扩容再被滥用的恶性循环，同时组织还面临法律违规和泄密风险，组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现对员工的上网行为进行管理，接下来，让我们深入了解深信服SANGFOR AC上网行为管理解决方案如何帮助组织轻松解决互联网所带来的问题。2 上网行为管理给用户带来的价值深信服科技SANGFOR AC为您带来了全面而灵活的上网行为管理解决方案。在此，我们通过管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性，以及管理的易用性等五个方面的详细阐述SANGFOR AC为您带来的巨大价值。2.1 管理网络带宽 多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术（专利号：6X），AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL.4），AC将流量自动匹配最佳出口。 基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。 流量限额功能为了更加合理、高效的利用组织有限的带宽资源，流量管理策略需要考虑如果部分用户长时间持续下载非业务相关网络资源，由此对带宽资源的滥用如何管理？SANGFOR AC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量，当用户上网总流量超过设限额后将自动终止互联网访问权限，从而促使用户珍惜带宽资源，避免对带宽资源的浪费。 P2P的智能识别与灵活控制封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术(专利号： 7.8），不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难， AC的P2P流控技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 带宽统计和报表AC的数据中心（Network Database Center，NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、统计结果等，可以了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。2.2 避免法律和泄密风险互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。 外发信息控制办公室内无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻，员工都可能会有意无意传播。而便利的互联网让他们更多选择使用IM软件、Email、论坛、博客等方式实现信息的外发。AC可以封堵IM软件，过滤和审计收发的Email邮件，过滤论坛、网站访问行为，也可以过滤和审计网络发帖行为，让员工认识到自己需要为其网络行为负责。严谨的上网行为管理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。SANGFOR AC提供完整身份认证体系： Web方式的用户名/密码认证，IP/MAC地址绑定，与现有Radius、LDAP、AD联动，AC甚至可以借助现有POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，避免未经授权的接入用户访问互联网。 外发Email控制Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。传统设备处理泄密邮件时只能将其拷贝存储留作证据，但泄密邮件已经外发，损失已经造成。而SANGFOR AC的邮件延迟审计技术（专利号：4.7）基于用户、邮件标题、正文、附件等特征拦截泄密邮件，并自动通知审核人员人工审核后再外发，以确保组织信息资产安全。但存心的泄密者往往将Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查，即便如此SANGFOR AC仍然能够对以上行为进行识别和行报警，帮助组织强化信息资产保障措施。同时对于所有收发的Email邮件SANGFOR AC都可以全面记录，并通过数据中心方便管理者对邮件日志进行查询、审计、报表统计等操作。 外发文件控制从互联网下载论文、软件、音视频等，不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险；而通过HTTP、FTP等外发文件则又存在泄密可能。SANGFOR AC可以基于文件类型对传输的文件进行过滤，并全面记录外发文件内容，即使非善意用户篡改/删除文件后缀名、压缩、加密等AC一样可以识别并报警，保证组织的信息资产安全。 网络言论过滤策略论坛灌水、顶贴、人肉搜索等不仅降低工作效率，同时也潜在给组织带来法律风险。借助SANGFOR AC管理者可以封堵指定论坛、BBS等。而且AC还支持基于关键字过滤用户向公网发布的网络言论、帖子等，即便成功发布到互联网的言论AC也能详细记录，通过数据中心提供的报表、查询工具方便管理者审计，避免组织遭遇的法律压力。有些组织允许员工访问论坛、浏览帖子等，但不准发贴，通过SANGFOR AC也可以实现。并且AC可实现员工只有使用帐号登录论坛、Webmail后才允许发表言论，从而避免员工的抵触情绪，同时确保网络言论和员工身份的对应。灵活的网络言论过滤策略既避免了组织遇到的法律风险，又满足了员工的正常上网需求。 法律遵从和举证AC有效过滤和拦截色情、反动等网站的访问、过滤非法网络言论的发表，即使逃脱过滤进入互联网的非法行为等，也可在AC数据中心中找到相关记录作为法律举证的依据。 AC网关本身可存储大量日志，但大型组织每天将产生数十G的日志，只有通过独立于网关的数据中心才可实现海量存储。无论内置/外置数据中心，AC都为管理者提供丰富的日志查询、统计、自动报表等工具。如何从数十G、甚至上百G的海量日志中找到泄密/违法证据、或管理者感兴趣的内容？AC数据中心提供的内容检索功能，让管理员类似Google、百度搜索一样，方便、轻松搜索需要的内容，并支持自动发送管理员指定关键字的检索结果到指定的Email邮箱。2.3 提升工作效率上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时间对内网员工的上网行为进行管理和引导？ 网页访问行为管理上班时间浏览新闻网站、论坛灌水、写博客、参与网络虚拟活动等让管理遭受挑战。SANGFOR AC内置千万级静态URL地址库是管理网页访问行为的基础，但员工显然会利用Google、百度等搜索到最新的、感兴趣的、或违法的互联网内容，可见AC对搜索引擎输入关键字的过滤是静态URL地址库的有效补充，而且AC可以根据网页正文包含的关键字过滤网页访问行为，有效管理用户的明文网页访问行为。然而Google声称互联网独立网页已经超过一万亿、Web2.0使得同一网站下有的网页健康、有的网页非法，如何管理？静态URL地址库明显不足。综合了人工智能的SANGFOR AC网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力，可以依据管理者定义进行任意URL分类的识别和过滤，真正帮助组织完善网页访问行为的管理。但网上银行、网上购物、钓鱼网站等的兴起，以及色情、反动网站等正逐步采用SSL加密，传统封堵TCP 443端口的方式将阻断网上银行的操作，只有借助AC的SSL证书验证技术（专利号：7.1）才能有效过滤非法加密网址、允许合法加密网址的访问。 应用程序管理互联网应用极大丰富，从聊天到游戏、从P2P下载到在线电影，员工享受互联网的同时对应用的管理却变成IT管理者的心病。有别于防火墙IP+端口的落后管控方式，SANGFOR AC具有全流量识别技术，无论使用什么端口、什么协议、是否加密，AC都可以准确识别。目前SANGFOR AC已经内置超过20大类300多条应用程序的识别规则以帮助组织轻松封堵各种常用应用程序，并且十余人的应用识别专家团队保证识别规则的更新和不断扩充。处于管理需要，在不方便封堵时，管理员还可以针对特定应用程序进行流量控制的管理。 IM（即时通讯）聊天软件的管理上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和机密泄漏等问题，因此对于IM的管理日益重要。SANGFOR AC基于应用协议的深度内容检测技术能够完美的帮助管理员实现对各种IM工具的完全封堵。在某些情况下，基于业务需要或管理问题，某些组织很难完全封堵IM工具，因此管理者希望能记录IM聊天内容。但由于QQ、Skype、飞信、MSNShell等众多IM工具都采用加密方式传输，让业界很多厂商都束手无策。而SANGFOR AC特有的聊天内容同步侦听技术（Real-time Monitor for Messages , RMM)可实现对QQ、Skype、MSNShell、飞信等加密聊天内容的监听和记录，帮助组织在开放IM的同时确保聊天内容可审可控。 上网时间管理非工作时间允许员工适度上网能够使组织在确保效率的同时体现足够的人情味，所以，根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。SANGFOR AC提供基于时间的丰富管理策略，能基于时间段为不同部门、不同人员赋予差异化权限，同时也可以限制员工一天内总的上网时间，实现人性化管理。2.4 提升内网可靠可用性面对互联网威胁，虽然许多组织已经部署防火墙、IDS等设备，但内网依然病毒频发、攻击不断，堡垒最容易从内部突破，内网员工不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网，如何应对这些导致传统安全技术失效的上网行为所带来的风险？ 危险资源过滤通过AC内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识别与过滤、以及基于人工智能的网页智能分析系统，帮助组织彻底避免因为访问非法网页、危险网页而带来的风险。从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等，这可以通过AC实现文件传输的过滤。即使通过IM工具传文件，AC也可以在允许用户使用IM文本聊天的同时全面封堵各种IM工具的传文件功能。对于允许下载的文件，AC网关杀毒功能将查杀该文件中潜藏的病毒、木马。 网关杀毒功能震荡波、冲击波、熊猫烧香等病毒的泛滥严重影响组织网络的可靠性、可用性，但单纯依赖桌面杀毒软件并不能有效解决病毒问题，从源头上查杀并清除病毒是桌面防毒体系的有力补充。SANGFOR AC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行彻底查杀，即使隐藏在压缩包内AC也能识别和清除，为组织营造绿色、安全的网络应用环境。 修复内网安全短板组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等，极易导致自己感染并影响整个内网用户群。借助网络准入规则技术（专利号：5.1），AC将检测接入终端的安全状况与安全级别，拒绝不符合IT管理者要求的终端访问互联网。 异常流量感知随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，组织的信息资产安全如何保障？黑客远程控制内网终端形成僵尸网络如何避免？SANGFOR AC的异常流量感知技术能够识别常用端口中的异常流量，并能够实时报警，帮助IT管理者掌控您的网络，防范风险。 防DOS、防ARP欺骗即使采取众多措施，威胁和风险仍无孔不入。来自外网的DOS攻击，以及爆发于内网的DOS攻击不仅吞噬带宽，还严重影响出口网关的稳定。传统防火墙等网关能够防御来自外网的DOS攻击但对来自内网的DOS攻击却无能为力，定位于上网行为管理解决方案的SANGFOR AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet，定位故障点又颇为麻烦，有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。2.5 管理网络带宽 管理员分级管理可以按照组织的行政架构在SANGFOR AC上配置用户分组结构，典型的是树形用户分组结构，并包括子组、父组等。为了减轻大型组织机构IT部门的管理负担，同时方便各部门自行调整各自的上网权限，SANGFOR AC支持细致的管理员分级管理功能。可以为AC上的用户组A配置Read-Only权限的管理员A1、配置Read-Write权限的管理员A2，A2只可修改用户组A（而不能修改其他用户组）的上网策略、用户等，但A1则只能查看而不能修改。同时A1、A2登录AC数据中心后智能查询、审计用户组A的行为日志（而不能查询其他用户组），从而既实现管理灵活性，又确保了管理的可控性。 上网策略强制继承总裁要求整个公司都不允许使用QQ，但如何确保“禁止QQ”这条上网行为管理策略能够在众多部门对应的AC用户分组上得到实施，并且确保“禁止QQ”的策略不会被部门管理员修改、删除、绕过？这通过SANGFOR AC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过，即使新加“开通QQ”的策略也无济于事。严格的上网策略控制帮助组织更好使用互联网。 SC集中管理平台大型组织在总部、分支机构往往会部署多台SANGFOR AC上网行为管理设备，通过深信服SC-AC集中管理平台可以实现全网数千台AC网关的集中管理、集中监控、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程监控和排障，统一的上网策略可以在整个组织得到贯彻和执行，日志集中管理和审计等要求，极大的方便大型组织机构部署上网行为管理解决方案。3 功能实现如下我们将阐述组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为管理领域的丰富经验，我们强烈建议您按照顺序阅读，这样会使上网行为的管理更具方向性，且有助于后期的管理和维护。3.1 规划用户分组结构为了给不同用户、不同部门授予差异化的互联网访问权限，包括差异化的行为审计策略，首先要规划和建立组织的用户分组结构。可以完全按照组织的行政架构在SANGFOR AC上建立树形用户分组结构，实现父组、子组、组内套组等要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC还能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理者维护AD这一套组织结构。另外AC也支持账户自动创建功能，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC等，继承指定的网络权限，方便了管理者和权限的控制。用户帐号还支持生效时间的设定、支持多人共用同一帐号等，丰富的帐号策略使得管理者可以自由的根据实际情况合理调整。如果管理员已经将用户信息汇总到Excel、TXT等文件中，那么他将通过AC的账户导入功能更加快捷的创建用户和分组信息。3.2 建立身份认证体系没有严格的认证就无法有效区分用户，也就无法部署差异化授权和审计策略，自然无法有效防御身份冒充、权限扩散与滥用等。SANGFOR AC支持丰富的身份认证方式： 本地认证：Web认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定等； 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 双因素认证：USB-Key认证； 免认证：IP免认证、MAC免认证、IP-MAC绑定免认证等； 单点登录：AD、POP3、Proxy、HTTP POST等； 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等），否则不允许访问互联网；丰富的认证方式，树形用户分组结构，上网权限的继承、强制继承等，极大方便管理者在组织内网实施AC上网行为管理解决方案。值得一提的是当用户通过Web认证后管理者可以向其定向显示指定网页、而未认证通过的用户也可以为其分配受限的互联网访问权限。3.3 分析网络流量通常组织的互联网带宽比较有限，即使充裕，如果员工网络行为不规范，IT管理者仍然饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开等，IT管理者需要确知组织带宽的使用情况，这正是AC所能给您带来的价值体现：登陆AC控制台后，管理员可以直观查看流量曲线图、当前流量TOP 10应用等，并可通过AC的数据中心进一步详细查看、统计昨天或指定时间段的流量情况。管理员可以统计指定时间段指定分组或用户的流量情况，通过饼状图、柱状图、曲线图等直观展现；还可基于用户进行上行流量、下行流量、总流量等排名，找到流量最活跃的员工。如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。3.4 优化和分配带宽资源组织如何获得更充足的互联网带宽呢？AC通过多线路复用、带宽叠加（专利号：6X）技术，可同时连接4条互联网线路。而只要您同时连接电信和网通线路于AC，AC的多线路智能选路技术（专利号：ZL.4），将为员工的Internet流量自动优选最佳出口，解决跨运营商的带宽瓶颈问题，同时兼具负载均衡、线路备份等功能，大幅提升访问速度和可靠性。组织有限的带宽往往被大量非业务流量所挤占，尤其BT、电骡等P2P行为严重吞噬带宽；AC不仅为管理员提供了强大的应用封堵手段（如直接禁止指定用户的P2P行为），更可在允许用户使用P2P时限制P2P占用的带宽，另外可以为指定用户、用户组每天、每月的总上网流量进行限制，灵活的管理方法充分满足组织在上网行为管理上的复杂需要。除了限制非业务应用对带宽的占用，同时要保证业务应用的带宽需求。得益于AC强大的应用识别能力（目前超过20个大类、300多条识别规则），AC基于出口链路、用户/用户组、应用类型、网站类型、文件类型、时间段实现精细、智能的带宽划分与分配策略，使得管理员拥有能够充分保障组织业务所需带宽的各种管理手段。从上图可以看出，AC支持的流量管理策略非常全面。另外管理员可以通过AC控制台实时监控各用户流量排名、会话排名、连接信息等，一旦发现异常网络行为，管理员即可通过AC将该员工临时冻结，并在指定时间段后自动恢复上网。当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。3.5 网页访问控制网页浏览是员工主要互联网行为之一，与工作无关的上网行为给组织带来巨大的损失：员工数量月薪(元)时薪(元)无关网络行为时间(时)/人天直接薪金损失(元)/人年组织薪金损失(元)/人年小型组织10010005.70.5150015万中型组织500200011.370.53000150万大型组织2000300017.10.54500900万AC内置千万级预分类URL地址库，并经专人人工审核分类，包含互联网上各类涉及色情、反动、暴力等站点。由于互联网的容量爆炸性增长，Google声称互联网独立网址超过一万亿个，采用静态URL库显然不够，因此AC还支持基于内容的过滤手段，包括过滤用户通过搜索引擎搜索的指定关键字、过滤包含指定关键字的网页、过滤含指定关键字的URL地址等。而结合了人工智能的网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力，可以依据管理者定义进行任意URL分类的识别和过滤，真正帮助组织完善网页访问行为的管理。细心的您可能已经发现网上银行、在线购物、钓鱼网站等都采用了SSL加密技术，包括试图逃避过滤的反动和色情网站等危险站点等，“加密化”已经成为网络发展的趋势，如何管控？有的解决方案通过中间人攻击原理解密SSL加密流量从而过滤，但网上银行的帐号、密码等也将被解密，存在极大安全风险。而利用特有的“证书链验证黑白名单技术”，SANGFOR AC能够对SSL加密网站进行甄别和过滤，从而为组织提供了全面的网页控制方案。组织往往需要通过时间计划给予网络管理更多的人情味。AC的时间管理有两种模式：微观时间管理（Micro Time Control, MTC，MTC将一周中每天以半小时为单位进行划分）和总体时间管理（Overall Time Control ,OTC，OTC为员工设置每天总上网时间），细致的时间管理不仅提高组织业务效率，还让员工更容易接受。3.6 管理IM即时通讯工具权威统计显示国内网民最常使用的IM工具依次为QQ、飞信、MSN、Skype。办公室内IM聊天、影音文件分享、甚至游戏对战屡见不鲜，而QQ病毒、MSN蠕虫也让IT管理者记忆犹新，如何有效管理IM工具？借助现有防火墙等传统手段封堵IM并不奏效。以下是SANGFOR AC提供的对IM从禁止、监管、再到安全防御的解决方案。禁止AC深度内容检测技术根据应用协议数据包特征字段全面封堵各种IM工具，包括QQ、MSN、新浪UC、网易泡泡、Yahoo Messenger、Skype、ICQ、Google Talk、飞信等；即使IM软件将数据包封装到80、443等端口传输，AC亦可区别IM流量和正常的Http、Https，从而有效管理IM的使用。同时AC可实现允许指定部门/用户（如市场部）通过IM与客户沟通，但禁止IM传文件、IM语音视频通话、玩IM游戏等，轻松、灵活管控IM。监管QQ、飞信、MSNShell、Skype等越来越多的IM聊天内容是加密的，如果不能记录将是上网行为管理的最大漏洞之一。AC的聊天内容同步侦听（Real-time Monitor for Messages , RMM)技术能够记录各种加密聊天内容，这在业界是屈指可数的，领先的技术使得深信服研发部门能够快速跟进任何一款新推出的IM工具，并推出针对性的升级策略使得AC支持对各种新IM工具的聊天监控功能。强大的功能往往涉及个人隐私，我们建议使用AC前在组织内发出通知，提醒员工他们在工作时间发生的网络行为是可以被监控到的。安全防御IM好友发来的URL链接、文件等，可能将病毒、木马、流氓软件送入内网，这也是组织已经购买防火墙、部署杀毒软件后仍然病毒层出不穷的原因之一：堡垒从内部被攻破了！AC的深度内容检测技术能够禁止用户使用IM传递文件，IM好友发送的URL地址，员工打开过程中将被AC过滤和控制。另外，管理员也可以启用AC的网关杀毒功能从源头上查杀病毒、蠕虫，此内容将在后述部分详解。3.7 控制BT等P2P行为封种子服务器IP、封种子资源网站、封端口的P2P管理方式让管理员忙的焦头烂额却得不到满意的效果。有效的P2P管控方法包括应用协议分析和P2P行为智能检测技术，SANGFOR AC同时支持这两种技术。常用、普及的P2P软件，AC深度内容检测技术实现对其管控和封堵。截止本文档编写时，AC通过深度内容检测技术可以封堵P2P流媒体55个，其他P2P应用27个。尽管已经内置了丰富的P2P识别规则，但新的P2P应用层出不穷，员工可以从网络上获得各种P2P工具，还有更多不常见和未来可能出现的P2P软件如何管控？AC采用网络行为智能分析技术(Network Behaviors Intelligence Analysis , NBIA），基于统计学分析原理，实现对各种P2P的智能识别和封堵，为用户提供了一劳永逸的P2P管控解决方案。尽管AC提供了彻底封堵P2P的方案，但粗暴禁止P2P可能招致员工反感，在某些情况下个别部门或员工可能需要使用P2P进行文件共享等，此时AC的P2P流控功能完美的满足了管理上的灵活要求，利用此功能，AC可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽，且可管控部门内每个员工P2P行为对带宽的占用情况（“3.4 优化和分配带宽资源”已详细说明AC针对应用的带宽划分和分配）。3.8 控制其他网络应用行为员工的上网行为远不止此，管理者还需关注在线炒股、网络游戏、在线视频（RTSP、MMS、Flash、RealMedia等）等。AC已经包括300多条常见应用的识别和管控规则，并定期从深信服公司网站上自动更新最新识别库。同时AC允许有编程基础的网络管理员自行添加、修改和导入自定义的网络应用识别规则。这相对于绝大多数其他厂商仅提供给管理者根据IP和端口封堵应用的方式更加灵活和彻底。对于局域网内出现的AC未能识别和控制的新应用，管理员如果无法自行编制对应的识别策略，仅需将所需控制的应用程序名称、版本号以及下载地址提交给深信服客服中心，我们将在三个工作日内提供最新的识别策略，并帮助用户完成对该应用的封堵和管控。3.9 防泄密和法律风险内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手，或向论坛BBS发布不负责的言论、网络造谣等，将给组织带来泄密和法律风险。AC不仅能过滤、记录员工通过Mail（包括Webmail）、BBS、Blog、QQ空间等工具发布的网络言论，还能实时报警。即使通过Telnet访问部分BBS网站，所有输入的Telnet命令和内容，AC都能详细记录。对于使用HTTP、FTP等方式传送文件所引发的风险（如将研发部的核心代码发送出去），AC首先可以禁止用户使用HTTP、FTP上传下载指定类型的文件，对于上传的文件AC也可以全面记录文件内容，做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计（Postponed Sending after Audit , PSA）技术，根据管理员预设条件，将潜在的泄密邮件先拦截，经人工审核后再发送，保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等，再通过Email外发、或通过HTTP、FTP上传，AC对以上行为同样可以识别并报警，彻底避免因外发文件而产生的泄密风险。3.10 日志审计和报表中心内网用户的所有上网行为AC都能够记录以满足组织机构互联网行为审计要求。AC可针对不同用户(组)进行差异化的行为记录和审计，包括网页访问行为、网络发帖、Email、文件传输、QQ游戏行为、大智慧炒股行为、QQLive在线影音行为等，并且包含该行为的流量信息等。但CEO等高层领导的网络行为可能涉及组织的重要机密（如CEO与供应商的邮件），不应该被记录。AC“免审计Key”从技术上彻底免除行为记录，只要将“免审计Key”插入计算机USB接口并输入对应PIN码，该用户的任何网络行为都免除记录，消除高层领导的忧虑。大型组织60天将产生数百G行为日志通过AC独立数据中心实现海量存储，并通过丰富报表工具方便日志的操作，报表工具主要包括： 内置超过60多种报表模板，并支持用户自定义报表。 对比报表：汇总对比、指定用户组的对比、指定用户的对比、指定IP的对比等； 统计模板：上网流量统计、上网行为统计、病毒信息统计、上网时间统计等； 趋势：流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等； 查询工具：流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等； 内容检索：网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志，甚至导致员工对IT管理者的误解和埋怨？AC的“数据中心认证Key”技术，保证只有插入该key的管理员才能审计他人行为日志，否则将只能查看统计报表、趋势图线等，确保日志不被滥用。3.11 内网可靠可用性增强网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上网行为，所以需要AC保证网关自身安全，并强化内网可靠性、可用性。防火墙AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT（Network Address Translation）功能，代理内网员工上网和实现静态端口映射。网关杀毒AC的网关杀毒功能集成知名厂商的杀毒引擎（杀毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。网络准入规则（Network Admission Rules，NAR）借助网络准入规则专利技术，AC将按照管理员要求检查每位员工杀毒软件安装、运行、更新情况、操作系统版本、补丁情况等，不满足预设安全级别的终端将不允许访问互联网，从而提升整个内网的可靠性和可用性。防DOS攻击DOS攻击从外网而来侵害组织的服务器，而爆发于内网的DOS攻击（蠕虫病毒的暴发或僵尸网络的攻击等）不仅消耗带宽、甚至瘫痪网关。AC同时防御来自内网和外网的双向DOS攻击，检测到内网DOS攻击点，可以强迫其下线以保障网络可用性。防ARP欺骗ARP欺骗通过发送虚假ARP数据包，导致内网用户无法访问网络，破坏性大且排查困难。AC内置防ARP欺骗功能，帮助管理员有效抵御ARP欺骗的威胁。3.12 管理和配置的易用性深信服科技AC网关采用图形化管理配置界面，管理员无需安装客户端软件，通过IE以HTTPS方式即可进入设备控制台界面；AC内置的策略故障排除功能，有助于管理员在配置失误时，图形化排查失误点；当用户违反指定规则、DOS攻击、ARP欺骗、泄密等时，支持自动报警，第一时间修复问题。4 领先的技术优势深信服成立至今已申请三十多项发明专利，对研发的重视和高投入有效的保证了产品的强大功能和竞争力。通过本章节介绍，您将了解到能切实解决您问题的业界标杆特色技术。4.1 单点登录技术SANGFOR AC的单点技术(Single Sign On, SSO)将避免用户重复输入帐号密码的繁琐操作。AC支持LDAP、POP3、PROXY单点登录。尤其AC无需用户安装任何客户端软件即实现LDAP单点登录，对用户完全透明。内网用户采用域账号登陆Windows系统后，即可自动通过AC认证，而且支持不使用域帐号登录Windows系统即禁止其访问互联网。AC的POP3、PROXY单点登录功能启用后，内网员工只需收发一下Email、或触发PROXY服务器的认证后，也将自动通过AC认证，极大的方便了用户的使用。4.2 反钓鱼网站功能网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户在毫不知情的情况下泄露自己的账户信息，导致银行资金被“网络姜太公”轻易盗取。网银、网上购物等金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页，但钓鱼网站可以伪造虚假证书，不具备专业知识的用户无法识别。SANGFOR AC可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。由于钓鱼网站采用非可信颁发机构的数字证书，可以蒙骗用户，但却不能逃过AC的识别和过滤。改功能也可以被用于过滤一些使用SSL及证书技术加密的色情、反动站点，证券炒股站点等。4.3 P2P智能识别P2P（peer-to-peer）应用的兴起直接导致P2P软件及其版本的爆炸性增长，如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别；AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别，为管理员提供了全面、高效的P2P行为管控手段。能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，既可全面禁止指定用户使用P2P软件，也可允许其使用但对P2P行为占用的带宽资源进行限制和管理，从而既优化带宽资源的使用，又为员工提供了人性化的管理方式。4.4 代理服务器识别很多组织的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的，这将无法识别通过代理服务器的员工流量和行为。对于通过Proxy Server代理上网的情况，AC可以很好地适应并发挥其作用。AC的深度内容检测技术识别用户数据中包含代理信息后，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。4.5 网页智能分析系统IWAS网页访问是用户最常发生的上网行为之一，而Google声称互联网独立网页超过一万亿，如何识别、分类、管理数量巨大的网页呢？博客是Web2.0的典型产物，例如同样是新浪博客有的内容丰富正派，但有的博客违反道德、反动等，如何识别、区分、过滤？无需安装炒股软件，通过百度、新浪等网站也看在线实时查看股市行情，如何管理？SANGFOR AC融合中科院人工智能技术推出的网页智能分析系统IWAS能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力。管理者可以自定义个性化URL分类如“中国足球”类，并在AC中输入数个“中国足球”相关URL地址后，AC将自动分析学习“中国足球”相关网页特征，并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习，帮助组织从容应对泛滥的网页访问行为。4.6 最全面的应用识别无法识别，何谈管控？内网用户的上网行为纷繁复杂，且伴随着应用“加密化”和“种类爆发”的趋势，是否具备全面的应用识别能力，是考量上网行为管理方案的重要标准之一。SANGFOR AC多种应用识别技术，全面识别各种应用、进而管控和审计。主要包括：a) URL识别：千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网上数以万亿的网页。b) 文件类型识别：识别并过滤HTTP、FTP方式上传下载的文件，即使恶意用户删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警。c) 深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应。d) 智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。4.7 免审计Key功能总裁、高层领导网络访问行为，财务部收发的邮件等关乎组织机密信息，怎样避免记录此类用户的网络行为？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录，怎么办？AC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。在AC上为总裁等重要人员创建帐户时使用DKEY认证，并勾选“启用DKEY防监控”选项，为总裁生成“免审计Key”。总裁使用“免审计Key”认证后，AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项，总裁再插入“免审计Key”后系统会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。4.8 网络准入规则AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。NAR的设计意义在于三个方面：1. 仅靠网络边缘的外围设备已经无法保证安全性。2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。不能满预设要求的接入端点，禁止其访问互联网或允许访问但提交报告给管理员做后续处理。通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，便于组织推行统一的IT政策。该准入规则允许管理者手工添加和定制，从而可以管理几乎所有终端在线状态，使端点安全和网关安全紧密结合，为组织构筑统一的安全防御体系。4.9 加密聊天内容监控“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯