【文章內容簡介】 Q 郵箱、 bbs 甚至賭博網(wǎng)站，而因為采用了加密技術，普通的管理產(chǎn)品無法對其內容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過 SSL加密郵件 、 BBS、論壇發(fā)布的反動言論或者是向外發(fā)送組織的機密信息，導致管理漏洞 。 SG 可以 對 SSL網(wǎng)站提供的數(shù)字證書進行深度驗證，包括該證書的根頒發(fā)機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發(fā)機構數(shù)字證書的釣魚網(wǎng)站蒙騙用戶，此功能亦應用于過濾 SSL 加密的色情、反動站點，證券炒股站點等。此外， SG 擁有專利技術“基于網(wǎng)關、網(wǎng)橋防范網(wǎng)絡釣魚網(wǎng)站的方法”（專利號 ）具有對 SSL加密內容的完全管控能力，支持識別、管控、審計經(jīng)由 SSL 加密的內容，如支持基于關鍵字過濾 SSL 加密的搜索行為、發(fā)帖行為、網(wǎng)頁瀏覽行為，審計 SSL 加密行 為如郵件發(fā)送行為，為組織打造堅固無漏洞的管理。 流量控制 企業(yè)的出口帶寬有限，隨著網(wǎng)絡應用的豐富，出現(xiàn)各種吞噬帶寬的應用，如P2P 應用，若不對這些應用加以限制管理，企業(yè)的帶寬資源必會被搶占，而核心深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 業(yè)務卻得不到帶寬，從而導致整體網(wǎng)絡速度變慢，影響正常的郵件發(fā)送和網(wǎng)絡訪問。因此，企業(yè)需要一種流量管理工具，識別應用流量，對現(xiàn)有的帶寬進行合理的分配。 多線路復用和智能選路 企業(yè)網(wǎng)絡出口有多條運營商提供的互聯(lián)網(wǎng)線路，在進行數(shù)據(jù)傳輸?shù)倪^程中，往往因為跨運營商訪問出現(xiàn)丟包嚴重、延遲大的問題。出口多條線路，大小不一，流量分 配不均，達不到預期的使用效果。 SG 擁有專利技術（ ZL ，一種基于網(wǎng)關 /網(wǎng)橋的線路自動選路方法），可為數(shù)據(jù)包選擇最快最暢通線路進行數(shù)據(jù)傳輸。當一條線路繁忙，其他幾條線路空閑時， SG 可通過線路復用技術，將所有線路復用起來，不僅合理分配帶寬資源，而且能在較短時間內傳送要傳輸?shù)臄?shù)據(jù)，提高大容量數(shù)據(jù)的訪問和傳輸速度。 SG 的多線路復用專利技術使一臺 SG 可同時連接四條公網(wǎng)線路，擴展帶寬、互為備份、流量負載均衡。通過部署 SG 網(wǎng)關，可實現(xiàn)智能化選擇最快的出口線路，有利于上網(wǎng)速度的提升。 父子通 道 通過部署 SG，可對網(wǎng)絡出口鏈路總帶寬進行細分，采用“基于隊列的流控技術”，即建立通道，將不同的控制對象分配到不同的通道里。通道可應用于不同用戶或者應用，在通道中可以限制或保障其帶寬，控制靈活。 SG 支持多級父子通道，即在父通道中嵌套子通道，最大可支持 8 級父子通道。通過多級父子通道技術，能夠完全匹配企業(yè)的組織架構，針對不同級別的通道進行帶寬調整，為用戶提供細致的流量管理手段，使得帶寬分配更靈活、更合理。 P2P 智能流控 目前，通過封 IP、端口等限制 “帶寬殺手 ”P2P 應用的方式不起作用。加密深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 P2P、非主流 P2P、新型 P2P 工具等讓眾多 P2P 管理手段形同虛設。 SG 憑借 P2P智能識別技術，不僅識別和管控常用 P2P、加密 P2P，還能對不常見和未來將出現(xiàn)的 P2P 應用加以控制。 目前互聯(lián)網(wǎng)上流行的 P2P 下載、流媒體等應用程序通常具備強烈的帶寬侵占特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實現(xiàn)流量控制的目的，但是某些P2P 應用如 P2P 流媒體、 P2P 下載工具等缺乏自身流控機制，即使被丟包依然不會主動降低速率，仍搶占大量的帶寬資源。同時對于下行的接收流量來說，被丟棄的數(shù)據(jù)包已經(jīng)占用了線路帶寬，關鍵業(yè)務的帶寬依然得不到提升，流控達 不到預期的效果。 針對這些問題， SG 通過智能流控功能，能有效解決 P2P 應用的問題。雖然基于 UDP 協(xié)議的 P2P 應用對丟包不敏感，但是下行流量與上行流量有顯著的相關性，只要控制住上行流量，下行流量就能得到控制。當開啟 SG 的智能流控功能時，系統(tǒng)會根據(jù)下行流量的設定值對上行流量進行自動調整，從而達到控制和減少下行流量的效果，從源頭處有效限制 P2P 流量。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 動態(tài)流量控制 當帶寬有限時，企業(yè)希望通過限制 P2P、流媒體等應用來保障郵件、訪問網(wǎng)站等業(yè)務相關應用的流暢性。傳統(tǒng)的解決方法是通過靜態(tài)的帶寬分配策略，根據(jù)應用的 重要性分配相應的帶寬。無論網(wǎng)絡情況如何變動，分配的帶寬都是固定的，不能自動調整，這樣的流控策略往往造成帶寬資源的浪費。比如某些業(yè)務應用帶寬資源不足，而其他應用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。 針對此類問題， SG 提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實現(xiàn)針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制，應用流量可突破原來設定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復到被限制狀態(tài)，執(zhí)行原有的流控策略。通過靈活的帶寬管理，最大滿足業(yè)務對帶寬 的需求，實現(xiàn)帶寬的最大價值。 虛擬線路 用戶出口有多條運營商線路，而在防火墻和核心交換中間，往往只有一條鏈路。在一條物理線路中很難實現(xiàn)精細化的流量劃分，容易造成幾條外網(wǎng)線路流量分配不均，導致部分線路負荷過重。 SG 通過虛擬線路技術，即定義不同的虛擬線路來匹配多條出口線路流量或是來自內網(wǎng)不同網(wǎng)段的流量，同時在不同的虛擬線路中結合父子通道、 P2P 智能深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 識別和動態(tài)流控等技術，實現(xiàn)更靈活的帶寬分配。 安全防護 SG 在通過網(wǎng)頁過濾、應用控制、流量合理劃分和監(jiān)控審計后，需要的就是一個和諧的內網(wǎng)環(huán)境。內網(wǎng)用戶中毒，感染局域 網(wǎng)，導致業(yè)務中斷，這在很多 企業(yè) 中曾經(jīng)出現(xiàn)過。 因此，通過 SG 安全防護功能， 從外至內提供牢固的內網(wǎng)安全防線。 網(wǎng)關殺毒、防火墻 作為一個全面的內網(wǎng)管理設備， SG 提供了豐富的安全增值功能。 SG 集成來自歐洲領先病毒廠商 FPROT 殺毒引擎，對內網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載的文件進行病毒過濾，降低內網(wǎng)用戶感染病毒的風險。管理員可自行設置網(wǎng)關殺毒的選項，病毒庫實時升級，幫助組織查殺病毒，支持殺毒引擎在線自動升級，也 支持用戶手工升級病毒庫 。 SG 具備強大的防火墻功能，不僅是對內網(wǎng)的環(huán)境保護，也是對設備自身的一 個保護，保證設備在內網(wǎng)中的穩(wěn)定性。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 危險行為識別 內網(wǎng)用戶將 PC 帶出 企業(yè) ，不小心中毒后極易引起局域網(wǎng)內 PC 癱瘓。中毒PC 通過外發(fā)郵件等信息散播蠕蟲、木馬等病毒，當其他用戶接受這些看似正常的郵件時， 就會 無意間 受感染 。 SG 通過 危險行為智能識別、告警和阻斷功能 ，防止企業(yè)遭受來自內部網(wǎng)絡的安全威脅，并及時告警，幫助管理員快速定位安全隱患，及時響應，避免損失 。 危險插件過濾 企業(yè) 員工在訪問互聯(lián)網(wǎng)網(wǎng)頁時，經(jīng)常出現(xiàn)打開網(wǎng)頁后，未等用戶反應看清插件名字時，插件已自動安裝。部分插件提示用戶安裝，但用戶在不清楚插件是否合法 的情況點了安裝。隨著電腦中安裝插件的個數(shù)增加，用戶電腦處理任務的速度越來越慢，甚至部分惡意插件在短時間內導致系統(tǒng)中毒或者硬盤毀壞。 因此，SG 在注重用戶網(wǎng)絡安全方面提出了危險插件過濾功能。 SG 將判斷插件的數(shù)字簽名是否合法，插件是否被修改過數(shù)據(jù)，證書是否過期等信息，自動過濾不合法的插件。同時， SG 可設置信任插件，如常用的在線殺毒插件、播放器插件、休閑娛樂插件等，避免誤殺情況。 深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 網(wǎng)絡準入規(guī)則 SG 的網(wǎng)絡準入規(guī)則通過對客戶端的評估來實現(xiàn)網(wǎng)絡訪問控制，并更好的維護網(wǎng)絡安全防線。 準入 的設計意義在于三個方面： 1. 僅靠網(wǎng)絡邊緣的外圍設備已經(jīng)無法保證安全性。 2. 邊緣網(wǎng)關設備無法防止來自局域網(wǎng)內部的濫用、攻擊和破壞。 3. 客戶端的安全級別往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更新補丁、 不安裝 防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的 漏洞 。 鑒于此， SG 網(wǎng)絡準入規(guī)則技術通過對端點安全評估和訪問控制實現(xiàn)全方位安全防護。 SG 網(wǎng)絡準入規(guī)則檢測端點主機是否遵從管理者設定的安全策略，如操作系統(tǒng)版本和補丁安裝情況、殺毒 /防火墻軟件 安裝 情況、系統(tǒng)進程、硬盤文件、注冊表等。不 滿足 預設要求的接入端點，禁止其訪問互聯(lián)網(wǎng)或僅提交報告 。 通過 SG 的網(wǎng)絡準入規(guī)則，修補內網(wǎng)安全短板，避免病毒、木馬等輕易感染內網(wǎng)主機，利于 企業(yè) 推行統(tǒng)一的 IT 政策。 防 ARP 欺騙 ARP 協(xié)議是 IP 通信中的基本協(xié)議之一。但感染 ARP 病毒的用戶會發(fā)送大量ARP 欺騙數(shù)據(jù)包，從而導致整個 廣播域 用戶無法訪問外部網(wǎng)絡資源。 如何有效防控 ARP 欺騙是目前用戶和業(yè)界的難題之一。 SG 通過網(wǎng)絡準入規(guī)則插件結合防 ARP 欺騙技術，保證終端用戶安全和保障網(wǎng)絡可用性。這不僅避免了單獨安裝客戶端軟件的問題，而且 網(wǎng)絡準入規(guī)則 技術還將進一步加強端點安全級別，提升整個網(wǎng)絡安全級別。 外發(fā)文件告警 數(shù)據(jù)泄密 通常 在 HTTP、 FTP、 Email 附件外發(fā)文件時會篡改、刪除擴展名，壓縮、加密再外發(fā)。 SG 能夠對外發(fā)文件進行深度 識別， 一旦發(fā)現(xiàn)文件后綴名被深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 篡改或刪除則定義為安全威脅， 并且 執(zhí)行 報警 工作 。 自動告警 SG 支持在一定時間段里內網(wǎng)用戶流量超過一定閥值時，實現(xiàn)自動告警的功能。例如當內網(wǎng)遭到 DOS 攻擊、 ARP 攻擊時，內網(wǎng)由 DOS 攻擊、 ARP 攻擊產(chǎn)生的流量值會增加，當超過管理員設定的值時，自動告警提醒管理員內網(wǎng)安全存在隱患，以便管理員快速做出決策來保障內網(wǎng)的安全。除了支持上述攻擊告警，SG 還支持殺毒、泄密、郵件延 遲審計、危險行為識別等流量超過預定的閥值的自動告警。 防代理功能 部分員工為了逃避網(wǎng)絡管理員對他的網(wǎng)絡管控，通過使用代理、翻墻軟件，越過網(wǎng)絡規(guī)章制度，毫無顧忌的上網(wǎng)，給 企業(yè) 的網(wǎng)絡管理和內網(wǎng)安全帶來了一定的威脅。 SG 可自動識別內網(wǎng)中使用代理、翻墻軟件的終端，可對 HTTP 代理、SOCKS SOCKS5 代理實行控制，禁止在 HTTP 協(xié)議和 SSL 協(xié)議標準端口使用其他的協(xié)議，從瀏覽器的根源處防止代理行為的發(fā)生。一旦用戶使用自由門、無界瀏覽器， SG 將自動記錄并阻斷代理違禁行為，避免出現(xiàn)泄密和網(wǎng)絡不可控的事件發(fā)生。 安全桌面 通過對網(wǎng)絡安全風險分析，再加上黑客、病毒等安全危脅日益嚴重。網(wǎng)絡安全問題的解決勢在必行。針對不同安全風險必須采用相應的安全措施來解決。使網(wǎng)絡安全達到一定的安全目標 。 本方案采用 SG 的上網(wǎng)安全桌面功能進行安全防護。 管理員直接通過登錄SG，對內網(wǎng)中的用戶進行上網(wǎng)安全桌面策略配置管理，并統(tǒng)一下發(fā)策略。管理員可以設定用戶網(wǎng)絡訪問控制、文件目錄訪問控制以及文件導出等功能，保證內深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 部網(wǎng)絡及電腦的安全，避免病毒、木馬等侵入系統(tǒng) 。 上網(wǎng)安全桌面 功能 采用 了 沙盒技術 ，在 PC終端上 創(chuàng)造 一個安全的虛擬桌面，用戶只能通過 這個虛擬的安全桌面上網(wǎng)，在訪問外網(wǎng)的過程中， 在這個環(huán)境里所做的任何對文件、注冊表的修改都 被重定向 ， 原始 的文件和注冊表不會被改動 ，關閉安全桌面后 所有改動 操作 被刪除。 安全桌面與 SG 形成端到端的企業(yè)級安全解決方案，通過設置不同的上網(wǎng)權深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 限，將內網(wǎng)與風險重重的互聯(lián)網(wǎng)隔離開，保障內網(wǎng) PC 與企業(yè)信息、個人隱私安全，再結合其內置的危險插件和惡意腳本過濾等創(chuàng)新技術，實現(xiàn)立體式安全護航，確保安全上網(wǎng)。保護用戶辦公電腦與內部網(wǎng)絡系統(tǒng)的安全 。 上網(wǎng)安全桌面主要功能包括： 網(wǎng)絡訪問權限控制 針對常見的內網(wǎng)安全問題，在 SG 上通過 配置放行的 IP 或域名，控制默認桌面跟上網(wǎng)安全桌面各自允許訪問的網(wǎng)絡。 上網(wǎng)安全桌面會隔離虛擬環(huán)境訪問主機的文件系統(tǒng)，從而也隔離了來自互聯(lián)網(wǎng)的木馬程序竊取本機文件的途徑，保護了本機文件重要資料的安全。 用戶通過上網(wǎng)安全桌面訪問外部互聯(lián)網(wǎng)，通過默認桌面訪問內網(wǎng)，實現(xiàn)雙網(wǎng)隔離。采用邏輯隔離手段比物理隔離布放成本低，效果好，維護費用低，在充分享用信息交互的同時保障了內網(wǎng)信息的安全。 目錄訪問權限控制 通過 目錄訪問權限控制 功能設置安全桌面可訪問的默認桌面目錄，限制對某些目錄的訪問，保證個人隱私、企業(yè)機密信息安全。一旦用戶中了木馬，也不用擔心電腦中的機密信息被竊取，因為安全桌面內的所有 程序只能訪問特定的系統(tǒng)深信服 上網(wǎng)優(yōu)化網(wǎng)關 解決方案 文件夾，無法看到機密信息，讓黑客無從下手。 文件導出權限控制 在保證用戶電腦及內網(wǎng)安全的同時，考慮到用戶使用 安全桌面時的便捷 性，可在有文件導出權限的情況下，將安全桌面內的文件導出到默認桌面保存，避免重啟安全桌面后文件丟失。 通過 SG 的上網(wǎng)安全桌面功能，能夠實現(xiàn)： 有效保護內網(wǎng)信息 沙盒技術已經(jīng)是成為業(yè)界公認的一種安全技術，已經(jīng)被各行業(yè)產(chǎn)品應用于安全防護。它不僅能解決傳統(tǒng)殺軟的病毒庫小、查殺病毒滯后性的問題，而且能解決傳統(tǒng)防病毒廠商無法解決的防止網(wǎng)頁掛馬、惡意插件的攻擊。在特殊環(huán)境下，安全桌面及時中毒，也不會感染到默認桌面，因為病毒木馬在安全桌面關閉后，所有的數(shù)據(jù)都將清除，病毒木馬在虛擬的環(huán)境產(chǎn)生，也將在虛擬的環(huán)境 中消失。 降低 建設和 維護成本 傳統(tǒng)防范互聯(lián)網(wǎng)風險的解決方案需要在網(wǎng)絡出