【文章內(nèi)容簡介】 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 12 頁AD同時接入多條線路提高線路總體帶寬，就可以在節(jié)省成本的同時提高線路帶寬，并且通過很好的動態(tài)負載均衡機制，有效的利用線路帶寬，局域網(wǎng)內(nèi)的上網(wǎng)請求是突發(fā)的，將這些突發(fā)的請求動態(tài)的分配到多條線路，從宏觀上看可以均衡的利用各條線路帶寬，避免了一條線路阻塞而另一條線路空閑的局面發(fā)生，可以充分有效的利用資源。深信服 AD提供 NAT會話和 IP地址兩種負載均衡的分配規(guī)則，路由器會將 NAT會話或者內(nèi)網(wǎng)主機 IP地址根據(jù)線路的權重比自動均衡到多條線路上，達到負載均衡的目的。 線路實時備份，加強通信接入系統(tǒng)的可靠性網(wǎng)絡的不穩(wěn)定因素很多，接入單條線路的情況下如果線路出現(xiàn)故障，會造成某部分網(wǎng)絡通信暫時癱瘓，但是如果選擇多 WAN口寬帶路由器同時接入多條線路，可以同時選擇不同接入商的不同線路，在其中一條線路出現(xiàn)故障的同時，多 WAN口寬帶路由器可以將局域網(wǎng)的上網(wǎng)請求轉(zhuǎn)到另一條線路，保證局域網(wǎng)的通信正常，不會因為其中某條線路故障造成部分局域網(wǎng)癱瘓，從而加強接入系統(tǒng)的可靠性。八. 混合組網(wǎng)安全性加密衛(wèi)生網(wǎng)數(shù)據(jù)，保障信息安全隧道加密： 內(nèi)置 AES 128 bit 加密算法，可通過軟件或硬件卡的形式擴展其他加密算法，隧道加密保證數(shù)據(jù)安全傳輸；數(shù)據(jù)完整性：使用 MD5SHA 算法保證數(shù)據(jù)完整性； 企業(yè)級防火墻：支持包過濾、URL 過濾、訪問監(jiān)控、上網(wǎng)控制、用戶認證、流量控制、 QOS、DHCP 服務等；獨有的防火墻規(guī)則虛擬 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 13 頁在線測試技術可避免人為設置錯誤產(chǎn)生 安全隱患。 攻擊功能： 對于 防 DOS 攻擊功能：不僅能夠防止來自外部的 DOS 攻擊（如 SYN Flood 攻擊） 內(nèi)部發(fā)起的 DOS 攻擊也可進行有效防御。九. 行為管理方案行為管理：針對專線的流量須進一步加強管理工作，對員工的上網(wǎng)行為進行必要的管理。正常工作時間內(nèi)，嚴禁使用與辦公無關的、占用大量網(wǎng)絡帶寬的應用，比如 P2P下載、電驢下載、在線看電影(視頻)、聽音樂、在線玩游戲、炒股等。同時，嚴格控制帶寬占用率高、采用多線程技術的網(wǎng)絡下載工具，避免這些工具軟件長時間、高帶寬地占用有限的專線資源，更好的保證業(yè)務系統(tǒng)的訪問。對目前互聯(lián)網(wǎng)的應用，能夠?qū)崿F(xiàn)自動升級。身份認證多種認證方式隨著網(wǎng)絡的發(fā)展，網(wǎng)絡信息安全的重要性日益顯現(xiàn)?，F(xiàn)今大多數(shù)企業(yè)仍舊采用靜態(tài)的用戶名/口令認證機制，在身份認證過程中交換的認證消息為明文方式，未進行加密算法或者散列算法的處理，這樣導致的直接結(jié)果是用戶名和口令這些敏感數(shù)據(jù)容易被截獲和泄露。因此一套安全穩(wěn)定高效的安全身份認證系統(tǒng)對于一個不斷發(fā)展擴大的企業(yè)網(wǎng)絡是必不可少的。組織要對內(nèi)網(wǎng)進行管理，首先必須對接入內(nèi)網(wǎng)的人員進行嚴格的 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 14 頁身份認證。SANGFOR AC 基于用戶識別的功能支持以 IP、MAC、IP/MAC綁定、用戶名密碼、USBKey 識別，公用賬號認證。對于已有域認證的用戶，AC 可與域進行結(jié)合認證。同時支持LDAP認證、Radius 認證、POP3 認證、Web 認證等等，其中 Web認證支持以 windows認證框方式實現(xiàn) web認證，也支持以 HTTP POST方式實現(xiàn) web認證。 單點登錄技術AC為內(nèi)網(wǎng)用戶提供賬號/密碼等認證方式，結(jié)合單點登錄技術(Single Sign On, SSO)將避免手工輸入帳號信息以簡化操作。AC 通過數(shù)據(jù)包監(jiān)聽方式即可支持 AD單點登錄功能。內(nèi)網(wǎng)用戶采用域賬號登陸操作系統(tǒng)后，自動通過 AC認證，簡化用戶操作，且合作伙伴等第三方人員接入機構內(nèi)網(wǎng)后將自動禁止訪問 Inter，進一步降低機構信息資產(chǎn)外泄的風險。AC 的 POPPROXY 單點登錄功能啟用后，內(nèi)網(wǎng)用戶只需收發(fā)一下 Email、或觸發(fā) PROXY服務器的認證后，也將自動通過 AC認證，極大的方便了用戶的使用。 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 15 頁 用戶批量導入用戶第一次使用 AC，可批量導入用戶，避免手工一個一個用戶信息輸入的麻煩。AC 支持多種格式文件的導入，如 CSV，支持掃描IP自動導入，支持 AD域用戶導入。 跨三層綁定 IP/MAC對于三層網(wǎng)絡環(huán)境的用戶，AC 可跨三層綁定 IP/MAC。 新用戶認證對于進入內(nèi)網(wǎng)的新用戶，如臨時來訪的客戶、其他辦事處的同事等，AC 可為臨時的用戶提供簡單且可靠的認證方式。 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 16 頁 訪問控制網(wǎng)頁過濾組織員工在日常需要使用網(wǎng)絡的工作中，需要搜索訪問互聯(lián)網(wǎng)。互聯(lián)網(wǎng)的開放性帶來了資源的傳播和共享，同時也為不良資源提供了擴散的平臺。反人類、反政府、色情、賭博、毒品等包含不良信息的網(wǎng)頁屢見不鮮、層出不窮，如何在日常工作中過濾這些不良網(wǎng)頁，為員工創(chuàng)造一個健康的綠色的網(wǎng)絡環(huán)境呢？網(wǎng)頁分類、搜索引擎關鍵字過濾等技術應運而生。AC內(nèi)置千萬級 URL庫，將互聯(lián)網(wǎng)網(wǎng)頁分成 40多個大類，同時公司研發(fā)專門設立 URL部分，每半個月實時更新和維護 URL庫。URL庫支持在線自動更新，同時支持手動更新。據(jù) Google統(tǒng)計，在 2022年 Google網(wǎng)頁已經(jīng)多達1000000000000（1 兆） ，2022 年 5月，工信部發(fā)布的互聯(lián)網(wǎng)產(chǎn)業(yè)數(shù)據(jù) 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 17 頁顯示，截至 2022年底，國內(nèi)網(wǎng)站數(shù)量達到 323萬個，年增長率 %。網(wǎng)頁更新速度如此快，URL 的弊端由此顯現(xiàn)。如何克服網(wǎng)頁 URL管理的滯后性和不完全性？AC提供自行添加 URL的功能，在查詢 URL庫中沒有此 URL地址時，用戶可自行在設備界面進行添加，也可自定義 URL類型，對組織內(nèi)部網(wǎng)頁進行管理。AC具備 URL智能識別功能，可對未知的網(wǎng)頁進行自動學習、判別、歸類。網(wǎng)頁智能識別系統(tǒng)是公司于中科院聯(lián)合開發(fā)，屬國內(nèi)前沿開發(fā)技術。 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 18 頁 搜索關鍵字過濾用戶可根據(jù)訪問習慣，將互聯(lián)網(wǎng)中的非法、暴力、毒品等不良網(wǎng)站進行過濾，為組織內(nèi)網(wǎng)提供一個綠色、健康、高效的互聯(lián)網(wǎng)訪問環(huán)境。同時 AC支持在搜索引擎中設置多關鍵字過濾，過濾包含不健康內(nèi)容的網(wǎng)頁。 發(fā)帖關鍵字過濾網(wǎng)絡的開放性給網(wǎng)民帶來更多的言論自由，但互聯(lián)網(wǎng)上部分不負責任人士發(fā)表一些類似色情、反動、迷信或者暴力的信息，影響其他人士，造成了不必要的影響。AC可對發(fā)帖進行關鍵字過濾。天涯、貓撲、百度貼吧等論壇網(wǎng)站，AC 可設置看帖看不允許發(fā)帖，或者實行發(fā)帖關鍵字過濾，靈活避免組織中出現(xiàn)泄密或者發(fā)表不良言論帶來法律追究責任的風險。 文件類型過濾網(wǎng)絡的開放性帶來了網(wǎng)絡資源的共享，組織中的用戶可在上班時 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 19 頁間從互聯(lián)網(wǎng)上下載電腦系統(tǒng)使用工具、免費的殺毒軟件、產(chǎn)品文檔等資料，非常便利。但是部分用戶利用下載和上傳的工具在上班時間做與工作無關的事情，比如下載電影、音樂、游戲等，不僅影響工作效率，而且占用并浪費了組織的帶寬資源。AC根據(jù)下載文件的類型判別下載的內(nèi)容，電影、音樂、游戲等與工作無關的娛樂信息為常見的 rmvb\avi\mp3等格式，用戶通過定義這些文件格式為影視類型，對這類文件的上傳和下載進行過濾。 應用控制互聯(lián)網(wǎng)應用眾多，如何在內(nèi)網(wǎng)對各應用進行合理的管控呢？首先需要識別應用。AC 內(nèi)置應用識別規(guī)則庫，分為 24個大類，包含 600多種應用，可識別網(wǎng)絡中各種主流常見應用。對于內(nèi)網(wǎng)用戶的網(wǎng)頁訪問行為，AC 不僅通過內(nèi)置 URL庫，關鍵 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 20 頁字過濾等方式進行管控。對于采用 SSL加密的網(wǎng)頁，如釣魚網(wǎng)站等，AC的證書驗證鏈接黑白名單技術同樣可以管控。AC 不僅管理用戶使用 WEB、FTP、EMAIL 等常用服務，通過深度內(nèi)容檢測技術，實現(xiàn)對、MSN、SKYPE 等 IM聊天工具，BT、電騾等 P2P下載工具，PPLive、Live 等在線影音工具，網(wǎng)絡游戲，在線炒股等網(wǎng)絡應用行為進行管理和控制。針對目前 P2P行為泛濫的趨勢，SANGFOR AC的 P2P智能識別技術能夠?qū)Σ怀Ｓ玫?、未來可能出現(xiàn)的 P2P軟件進行有效管控。并且對P2P行為嚴重吞噬帶寬資源的問題，提供 P2P應用封堵或流量管理措施。針對類似 P2P難以管控的應用，AC 內(nèi)置應用智能識別庫，自動判斷新出現(xiàn)應用特征，從而歸類管理。AC所具備的多種網(wǎng)絡訪問控制功能，可以基于用戶/用戶組、基于時間段、基于不同目標行為進行靈活權限控制，實現(xiàn)人性化管理要求。 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 21 頁 SSL加密應用管理反釣魚網(wǎng)站功能互聯(lián)網(wǎng)從來不是一個寧靜的地方，黑客攻擊無處不在。隨著網(wǎng)絡信息的透明化，個人隱私不斷縮小，信息的安全需要加固安全保障。于是，網(wǎng)絡中重要信息不再以明文方式傳輸在網(wǎng)絡中，人們利用加密傳輸協(xié)議發(fā)送消息，網(wǎng)絡應用急趨加密化，如常見的網(wǎng)銀、加密郵件、加密聊天等。道高一尺魔高一丈，當人們正信任來自可靠的 SSL加密傳輸協(xié)議發(fā)送的消息時，網(wǎng)絡“釣魚者”通過偽造與網(wǎng)上銀行、網(wǎng)上購物等網(wǎng)上交易頁面極其相似的界面，使用戶毫不知情時泄露自己的賬戶信息，導致銀行資金被“網(wǎng)絡姜太公”輕易盜取。網(wǎng)上金融機構普遍采用第三方權威機構頒發(fā)的數(shù)字證書以實現(xiàn) SSL加密網(wǎng)頁。釣魚網(wǎng)站同樣可以完全模仿真正網(wǎng)銀網(wǎng)站的模樣和操作過程，導致用戶上當受騙。如果不能甄別和過濾 SSL加密網(wǎng)頁，則該行為管理方案、網(wǎng)絡過濾設備是不完備的。AC內(nèi)置可信任數(shù)字證書頒發(fā)機構信息，并可對 SSL網(wǎng)站提供的數(shù)字證書進行深度驗證，包括該證書的根頒發(fā)機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等。釣魚網(wǎng)站采用非可信頒發(fā)機構的數(shù)字證書，可以蒙騙用戶，但卻被 AC識別和過濾，避免了用戶和機構的經(jīng)濟損失。AC不僅可識別和控制通過 SSL協(xié)議傳輸?shù)膬?nèi)容，而且可以對內(nèi)容進行審計，為突發(fā)可疑事件提供依據(jù)。同時為了避免 SSL內(nèi)容管理過度帶來的泄露用戶信息問題，AC 提供靈活的 SSL管理措施。AC 可 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 22 頁自動識別和過濾經(jīng)過合法機構頒發(fā)證書的 SSL加密應用，比如網(wǎng)銀，同時，管理員根據(jù)可判別可靠的 SSL應用，只對部分網(wǎng)站進行控制和審計。此技術已經(jīng)通過國家知識產(chǎn)權局檢驗，獲得專利（ZL 基于網(wǎng)關、網(wǎng)橋防范網(wǎng)絡釣魚網(wǎng)站的方法） 。 P2P管理P2P（peertopeer）應用的興起直接導致了 P2P軟件及各種版本的爆炸性增長。如何對 P2P行為進行全面有效的管控成為業(yè)界的難題之一。部分廠商通過封堵種子共享網(wǎng)站、過濾種子文件的下載、封堵資源服務器 IP或封堵端口等方式進行 P2P管控，費時費力且達不到理想效果。AC 的深度內(nèi)容檢測技術對常用 P2P軟件進行識別；基于 P2P行為特征的智能分析技術實現(xiàn)對不常見和未來可能出現(xiàn)的 P2P應用的識別，為您提供了全面、高效的 P2P行為管控手段。P2P作為帶寬殺手，P2P 應用種類多、應用復雜、版本更新快，在眾多網(wǎng)絡用用中最難管理。AC 針對 P2P以上特點，專門針對 P2P采取智能識別、自動管控功能。能夠全面識別 P2P行為是進一步管控的基礎。對 P2P的管控包括封堵和流控兩方面，即全面禁止指定部門使用 P2P軟件，或允許其使 衛(wèi)生網(wǎng)專網(wǎng)組網(wǎng)技術方案第 23 頁用，但對 P2P行為占用的帶寬資源進行限制和管理，既實現(xiàn)帶寬使用的優(yōu)化，又為機構員工提供了人性化的管理方式。 加密聊天管理“加密化”的趨勢不僅使明文的 HTTP網(wǎng)站開始轉(zhuǎn)向加密的HTTPS網(wǎng)站，各種 IM聊天工具的聊天內(nèi)容也被加密，如騰訊、TM、Skype、MSNShell 等。如果不能對加密的 IM聊天內(nèi)容進行監(jiān)控和記錄，隱匿其中的安全風險、安全事件就無法防御、無據(jù)可查。目前業(yè)界的解決方案多數(shù)都無法對、Skype、MSNShell、Gtalk 的聊天內(nèi)容進行監(jiān)控和記錄。AC 通過聊天內(nèi)容同步偵聽（Realtime Monitor for Messages , RMM)，實現(xiàn)對 、S