深信服上网行为管理产品功能

深信服上网行为管理

主要作用：

能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为

封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用

杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等

独特的敏感内容拦截和安全审计功能，防止机密泄露

全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、

报表

再辅以SANGFORM5X00—AC的其他安全扩展功能，全方位保障您的网络安全

通过采用SANGFORM5X00—AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访

问行为管控和行为审计，并达到如下效果：

1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率

上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无

关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞

争力.而通过SANGFORAC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们

专注于工作中.

2,流量控制、带宽管理，提升带宽利用率

对严重吞噬带宽的P2P行为，SANGFORAC不仅能彻底封堵，还能对其占用的带宽进行流量管

控。基于用户（组）、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS,既保证了业

务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率.

3.修补安全漏洞、提升内网安全级别

色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进

入内网，SANGFORAC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、

ARP欺骗等也将被SANGFORAC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不

安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFORAC亦能侦测发现，从而修

复内网安全短板0

4.防范信息机密外泄、保护组织信息资产安全

员工使用EmaiI邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFORAC特有

的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmaiI行为，SANGFOR

AC同样可以过滤和记录；而SANGFORAC对QQ、MSN等聊天内容的记录和审计，将警示通过IM

聊天工具泄密的行为。

5.规范员工网络行为、避免法律风险

员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布

色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFORAC上网行为

管理设备可以管控和过滤员工的此类行为，并详细记录用审计员工的各种网络行为日志，做到

有据可查，使组织避免法律风险。

SANGFORAC提供的数据中心，海量存储内网用户的各种网络行为日志，图形化的查询、审计、

统计、自动报表、内容检索等功能，方便组织管理者了解和掌控您的网络.

SANGFORM5000-AC有如下功能特性：

一、上网行为控制，规范员工上网行为，提高工作效率；

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；

独特的WEB认证、基于浏览器实现方便的用户识别与认证；

网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作

无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、

FTP等行为。

独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接

Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁:

二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏

记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表

的内容；各种搜索记录,QQ、MSN等聊天内容等，所有上网记录，均可完整再现；

特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;WebmaiI网页邮件内

容全面记录，包括正文和附件.

防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏；

独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；

三、流量控制和带宽管理，优化带宽资源的使用

多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。

对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划

分；基于用户（组）、应用类别、时间段等进行带宽分配；

智能QoS优先级技术，重要数据优先传送，提升带宽使用效率.

智能QOS,重要数据优先传送；

四、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

网络行为日志支持海量存储，满足公安部82号令存储60天要求，且日志的查询、统计、

审计等不影响网关性能；

全面记录所有上网行为日志，图形化的日志查询、审计、统计功能；

自动报表，让管理者自动获知组织的网络状况

提供类似百度的搜索界面，实现海量日志的内容检索和搜索。

五、更多安全功能，全面提升内网安全级别

防范来自公网和源自内网的DOS攻击，提升网络可用性;

监控用户所有的上网记录，起括Web访问、Ftp、

访问监控Telnet、邮件（含Webmail）及附件、QQ、MSN、ICQ、

YahooMessage等流行IM的数据.以防止信息泄密。

能按用户、协议和时间对Internet流量进行统计分

流量分析

析，以优化员工对Internet的资源使用情况.

管理员权限权限粒度细致，分级管理

本地管理GUI方式

远程管理GUI方式

管理功能

配置备份使用加密的配置文件进行配置备份和分发

通过远程升级Firmware获得更新的软件版本和更多

Firmware升级

功能模块

自动恢复看门狗提供自动恢复功能，配置恢复功能

高可靠设

双机备份支持双机备份功能

计

多线路备份支持2〜4条线路的备份

日志容量可以使用独立的日志服务器，容量无限制。

日志备份支持自动定时备份

日志支持转换日志为标准的TXT文件，便于导入到MSSQL

日志导入

或ORACLE数据库进行二次开发和分析

数据中心可用SANGFOR独立的数据中心进行详细的分析

支持的

网络特性PSTN/1SDNADSL/xDSLCableModemDDN/ATMWLAN

Internet接口

支持的协议IPv4、IPv6

网络分区WAN、DMZ、LAN

支持2—4条Internet线路的负载均衡和备份，提供

多线路支持

智能选择最优线路等多种负载均衡策略

工作方式路由模式、透明模式

SANGFORAC依靠多项业界领先技术及满足用户需求的功能，已经成为国内领先的上网行为管理

解决方案。

一、SSL网站识别和过滤，反钓鱼网站、非法SSL网站等（专利技术）

采用SSL加密网页的钓鱼网站假冒网上银行，诱骗用户；越来越多的色情、反动网站也采

用SSL加密形式以躲避过滤；网页“加密化”已经成为趋势，而业界绝大多数设备采用的URL库

仅能对明文URL地址进行过滤，却无法对SSL加密网站进行识别和过滤.

SANGFORAC通过SSL证书验证链接黑白名单技术，通过识别目标SSL网站的数字证书特征及

信息，实现对非法SSL网站的识别和过滤。

二、深度内容检测，业界最全的应用协议识别库

如何有效管控纷繁复杂的网络应用，如QQ、在线炒股、网游等，成为组织管理者必须考虑

的问题之一.通过封堵服务器IP、通讯端口的方式不仅费时费力，而且治标不治本。

各种应用协议在数据交互时，其收发的数据包中均含有其特有的特征字段.SANGFORAC通过

检测和识别该特征字段，实现了对应用协议的识别和管控能力。当前AC已能识别数百种应用协

议，甚至员工使用代理上网，AC也可识别和管控。

三、P2P智能识别，全面彻底的P2P行为管控技术（专利技术）

P2P软件和应用方便用户共享资源的同时，也严重吞噬组织有限的带宽资源。业界存在众多

P2P工具和各种版本，采用静态协议库的方式只能封堵“昨天的P2P软件二

SANGFORAC通过基于统计学的行为智能分析等四层识别技术，超越静态协议库的概念，实现

对不常见的、未来可能出现的P2P应用的识别和管控，为用户提供了一劳永逸的解决方案。

四、网络准入规则，修复内网安全短板（专利技术）

内网终端安装老旧的操作系统、不及时更新补丁、不安装指定的杀毒/防火墙软件、反而安

装运行违规软件等行为，致使该终端成为内网安全短板，一旦该终端访问色情网站、肆意下载文

件等，极易感染病毒、木马，进而感染内网其他终端，“堡垒被从内部突破“。

SANGFORAC网络准入规则技术，将按照管理者指定的条件检测接入终端的安全级别，可禁止

违反安全规则的终端接入Internet,从而修复内网安全短板，提升内网安全级别。

五、邮件延迟审计，将泄密阻挡于内网（专利技术）

EmaiI已经成为组织办公和沟通的主要工具之一，但通过Email的泄密事件也时而发生。传

统安全设备在收到泄密邮件时，拷贝备份后发送该邮件到公网，泄密事件轻易发生了。

SANGFORAC不仅能限制哪些用户、哪些EmaiI地址可以发送邮件、限制EmaiI大小等,还

可根据预设的过滤条件，先拦我潜在的泄密邮件，人为审计后才能继续发送，从而将泄密邮件阻

隔于内网，保障组织的信息资产安全。

六、免审计K