【文章內(nèi)容簡介】 書進行深度驗證，包括該證書的根頒發(fā)機構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發(fā)機構(gòu)數(shù)字證書的釣魚網(wǎng)站蒙騙用戶，此功能亦應(yīng)用于過濾SSL加密的色情、反動站點，證券炒股站點等。 代理翻墻管控許多組織統(tǒng)一采用Microsoft ISA、CCproxy、Sygate等代理服務(wù)器上網(wǎng)，也有的組織明文規(guī)定禁止內(nèi)網(wǎng)用戶私用代理上網(wǎng)，但仍有用戶將瀏覽器等應(yīng)用配置公網(wǎng)服務(wù)器、私裝代理軟件代理他人上網(wǎng)，甚至使用自由門、無界瀏覽器、IPN等加密代理行為。由于防火墻等設(shè)備對內(nèi)網(wǎng)用戶的管理是基于目的地址和端口的，無法有效區(qū)分正常上網(wǎng)的流量和通過代理服務(wù)器上網(wǎng)的員工流量。對于如上情況，AC的深度內(nèi)容檢測技術(shù)能有效識別用戶數(shù)據(jù)中包含的代理上網(wǎng)流量，通過代理識別模塊可以識別從用戶端發(fā)送到達代理服務(wù)器之間的應(yīng)用數(shù)據(jù)，進而對用戶的網(wǎng)絡(luò)行為進行管控和記錄。利用網(wǎng)絡(luò)來進行文件傳輸是許多用戶每天的必修課，而在文件傳輸過程中存在種種管理和安全隱患，如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發(fā)過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發(fā)起外發(fā)文件行為而用戶對此茫然無知，有意泄密者甚至?xí)⑼獍l(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點下載文件而封堵其他站點，基于關(guān)鍵字、文件類型控制上傳/下載行為，封堵/MSN等IM傳文件，允許使用webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實現(xiàn)對外發(fā)文件的審計和記錄顯然無法挽回泄密已經(jīng)給組織造成的損失，單純的基于文件擴展名過濾外發(fā)文件、外發(fā)Email也無法應(yīng)對以上風(fēng)險。鑒于此AC的文件類型深度識別技術(shù)能基于特征能夠識別文件類型，即便存在修改、刪除外發(fā)文件后綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現(xiàn)并且告警，保護組織的信息資產(chǎn)安全。 郵件收發(fā)控制Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。AC支持基于關(guān)鍵字、收發(fā)地址、附件類型/個數(shù)/大小過濾外發(fā)郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識別并進行報警。同時，對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數(shù)據(jù)中心方便管理員對郵件日志進行查詢、審計、報表統(tǒng)計等操作。 帶寬管理 AC為IT管理員提供了網(wǎng)絡(luò)流量可視化方案，登陸AC控制臺后，管理員可以查看出口流量曲線圖、當前流量TOP N應(yīng)用、用戶流量排名、當前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網(wǎng)絡(luò)運行狀況。此外，數(shù)據(jù)中心（Network Database Center，NDC）對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結(jié)果等，幫助管理員了解流量TOP N用戶、TOP N應(yīng)用等，并自動形成報表文檔，定時發(fā)送到指定郵箱，讓IT管理員輕松掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據(jù)。 流量管理當您了解了帶寬的使用情況，并對帶寬進行優(yōu)化和分配后，我們即將對用戶(組)的上網(wǎng)行為做進一步的管理和控制。 多線路復(fù)用和智能選路很多組織擁有電信、網(wǎng)通等兩條以上互聯(lián)網(wǎng)出口鏈路，如何同時復(fù)用多條鏈路并做到流量的負載均衡與智能分擔(dān)？通過AC特有的多線路復(fù)用及帶寬疊加技術(shù)，AC復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，AC將出網(wǎng)流量自動匹配最佳出口。 基于應(yīng)用/網(wǎng)站/文件類型的智能流量管理AC可以基于不同用戶(組)、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。 多級父子通道嵌套技術(shù)AC采用“基于隊列的流控技術(shù)”，即建立管道，將不同的控制對象分配到不同的管道里。該技術(shù)的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時間、應(yīng)用協(xié)議、網(wǎng)站、文件類型等對象建立不同的通道，對于結(jié)構(gòu)復(fù)雜又希望實現(xiàn)差異化控制的組織來說可以做到更為精確的控制。 動態(tài)帶寬分配組織管理員往往既希望在網(wǎng)絡(luò)應(yīng)用高峰期保障核心用戶、核心業(yè)務(wù)帶寬，限制無關(guān)應(yīng)用占用資源，又希望在帶寬空閑時實現(xiàn)資源的充分利用。為此，AC支持帶寬的“自由競爭”與“動態(tài)分配”，除了基于父子通道進行流量控制之外，還可以根據(jù)在線的用戶數(shù)量將帶寬動態(tài)分配給在線用戶。 P2P的智能識別與靈活控制通過封IP、端口等管控“帶寬殺手”P2P應(yīng)用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。AC憑借P2P智能識別技術(shù)，不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現(xiàn)的P2P亦能管控。對于某些企業(yè)文化較為寬松的組織，完全封堵P2P可能實施困難，AC的P2P流量控制技術(shù)能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。 日志記錄與報表分析記錄員工的網(wǎng)絡(luò)工作效率、分析網(wǎng)絡(luò)應(yīng)用情況、提供管理依據(jù)等。 安全防護 網(wǎng)絡(luò)世界中安全事件數(shù)量急劇攀升，內(nèi)網(wǎng)中斷、不穩(wěn)定將直接影響用戶的上網(wǎng)行為，所以需要AC保證網(wǎng)關(guān)自身安全，并強化內(nèi)網(wǎng)可靠性、可用性。 防火墻AC內(nèi)置基于狀態(tài)檢測技術(shù)的企業(yè)級防火墻，對進出組織的數(shù)據(jù)包提供過濾和控制。NAT（Network Address Translation）功能，代理內(nèi)網(wǎng)員工上網(wǎng)和實現(xiàn)靜態(tài)端口映射。 網(wǎng)關(guān)防病毒AC的網(wǎng)關(guān)防病毒功能集成知名廠商的防病毒引擎（防病毒引擎每天自動升級），從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。 終端安全級別檢測借助網(wǎng)絡(luò)準入規(guī)則專利技術(shù)（），AC將按照管理員要求檢查每位員工防病毒軟件安裝、運行、更新情況、操作系統(tǒng)版本、補丁情況、注冊表鍵值、終端程序運行情況、終端目錄盤下文件情況等，不滿足預(yù)設(shè)安全級別的終端將不允許訪問互聯(lián)網(wǎng)，從而提升整個內(nèi)網(wǎng)的可靠性和可用性。 近年來，在企業(yè)網(wǎng)中，新的安全威脅層出不窮，給組織帶來各種風(fēng)險：深信服科技推出了輕量級NAC（網(wǎng)絡(luò)準入控制）解決方案，只需在出口處部署一臺硬件網(wǎng)關(guān)，通過向內(nèi)網(wǎng)終端自動推送一個輕量級的客戶端控件，即可實現(xiàn)對接入內(nèi)網(wǎng)終端的網(wǎng)絡(luò)準入控制和安全隔離，執(zhí)行安全級別檢查，限制非法外聯(lián)線路，禁用USB拷貝功能。 危險插件惡意腳本過濾 非法網(wǎng)站假冒可信軟件如防病毒軟件、插入非法軟件，通過惡意廣告、垃圾博客、惡意點對點文件傳播等，當用戶發(fā)現(xiàn)時，用戶端已經(jīng)被安裝惡意插件，被強迫瀏覽黑客指定的網(wǎng)站，或者被利用攻擊某個站點，終端信息已被外發(fā)，損失已造成。究其根源，在于用戶訪問不可信的資源，如現(xiàn)在非常流行的是通過瀏覽器自動安裝ActiveX控件來進行惡意插件的傳播。AC通過對 ActiveX控件的簽名進行過濾，防止不被信任的插件安裝到內(nèi)網(wǎng)機器當中，從而解決通過IE瀏覽器亂裝控件的問題，起到保護內(nèi)網(wǎng)安全的作用。還有形形色色的病毒、木馬，而這些危害絕大部分都是危險腳本造成的。AC通過對內(nèi)網(wǎng)用戶訪問的網(wǎng)頁腳本進行特征識別，在腳本下載到瀏覽器執(zhí)行前進行攔截，從而起到保護內(nèi)網(wǎng)安全的作用。 危險插件過濾n 能識別那些下載文件是會自動安裝的插件，包括所有通過瀏覽器自動下載的文件。n 能根據(jù)插件白名單對插件進行過濾，內(nèi)置常用安全插件列表供用戶選擇，還可以自定義白名單（支持插件名稱、證書名稱和域名）。n 能根據(jù)插件證書的合法性進行過濾，包括：檢查插件簽名是否過期，對插件簽名進行證書鏈控制。n 能記錄控件過濾日志，包括被過濾控件名稱及被拒絕的原因，并能在數(shù)據(jù)中心查出來。n 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時做攔截，第二次實現(xiàn)時給出提示。 惡意腳本過濾功能：n 可以過濾注冊表的寫操作； n 可以過濾文件的寫操作； n 過濾危險對象和危險調(diào)用；n 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時做攔截，第二次實現(xiàn)時給出提示。 異常流量控制■ 異常流量感知 隨U盤等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己，通常會通過常用的TCP 80、442110等端口泄漏內(nèi)網(wǎng)機密數(shù)據(jù)及接受黑客控制。傳統(tǒng)設(shè)備防火墻等解決方案在開放了常用端口后并不能識別該端口中傳輸?shù)臄?shù)據(jù)及內(nèi)容，AC的異常流量感知技術(shù)能夠識別常用端口中的如上異常流量，并能夠?qū)崟r報警，幫助管理員掌控網(wǎng)絡(luò)，防范風(fēng)險。 （路由模式）AC以網(wǎng)關(guān)模式部署在組織網(wǎng)絡(luò)中，所有流量都通過AC處理，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能。單網(wǎng)橋模式：以網(wǎng)橋模式部署在組織網(wǎng)絡(luò)中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機之間的“智能網(wǎng)線”，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計、安全防護等功能。多網(wǎng)橋模式：組織考慮到網(wǎng)絡(luò)的穩(wěn)定性、可靠性，往往采用雙機、雙線路構(gòu)建基礎(chǔ)網(wǎng)絡(luò)。AC支持多路橋接模式，適應(yīng)組織的多機網(wǎng)絡(luò)環(huán)境要求。AC以旁路模式部署在組織網(wǎng)絡(luò)中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點故障的發(fā)生率。根據(jù)我院現(xiàn)有的網(wǎng)絡(luò)機構(gòu)適合使用網(wǎng)橋模式：第三篇：上網(wǎng)行為管理方案建議書XX 公司上網(wǎng)行為管理方案建議書上網(wǎng)行為管理方案建議書一、引言根據(jù)Dynamic Markets Limited對全球辦公室上網(wǎng)情況的調(diào)查：在上班時間，(Instant Messenger)工具、玩游戲、P2P下載或在線媒體。中國員工上網(wǎng)下載音樂的時間比拉美國家高16%，進入聊天室和玩在線游戲花費的時間分別比其他國家高約8%和12%。在互聯(lián)網(wǎng)發(fā)達的印度，只有26% 員工在工作場合瀏覽個人信件，而在中國，這個數(shù)字則是60%！辦公網(wǎng)中的辦公效率問題日益發(fā)達的互聯(lián)網(wǎng)讓員工有了更多的選擇，網(wǎng)上聊天、網(wǎng)上購物、在線視頻、論壇灌水、BT電影……上班時間，員工很難不受眾多網(wǎng)絡(luò)娛樂的誘惑，大家在或多或少地利用工作時間進行非業(yè)務(wù)操作。以上行為實實在在地存在于我們的辦公網(wǎng)中。事實上，我們很多企業(yè)員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數(shù)不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費的時間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個大大的問號。二、上網(wǎng)行為管理解決方案介紹——合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升，如何有效管理與利用互聯(lián)網(wǎng)資源，這已成為現(xiàn)代企業(yè)管理的重要衡量標準。與此同時，上網(wǎng)行為管理的理念愈發(fā)深入人心，提升員工網(wǎng)絡(luò)業(yè)務(wù)的辦公效率，這已經(jīng)成為企業(yè)IT管理者關(guān)心的首要問題。XX 公司上網(wǎng)行為管理方案建議書如上圖，企業(yè)通過以網(wǎng)關(guān)、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理設(shè)備，可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進行管理。上班時間，封掉影響業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站；對擠占公司帶寬資源的應(yīng)用進行流量控制，確保主流的辦公應(yīng)用帶寬資源，以提高業(yè)務(wù)應(yīng)用的辦公效率……具體而言，上網(wǎng)行為管理系統(tǒng)封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用解決方案，將給我們帶來下述價值：全方位封堵p2p，確保正常辦公業(yè)務(wù)帶寬P2P應(yīng)用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，上網(wǎng)行為管理設(shè)備通過檢測網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對常用軟件進行徹底封堵，包括BT、eMule、PPLive、Live等。對于加密BT、不常用的和未知版本的P2P軟件，上網(wǎng)行為管理系統(tǒng)獨有的網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。有些部門和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P，在全面封堵的同時，上網(wǎng)行為管理設(shè)備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應(yīng)用封堵、帶寬分配與流量控制，上網(wǎng)行為管理設(shè)備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。針對性應(yīng)用管控，對事張馳有度現(xiàn)在，網(wǎng)絡(luò)應(yīng)用不斷推陳出新，IT管理人員難以及時收集網(wǎng)絡(luò)及軟件版本，并制定相應(yīng)管理策略；他們即使花費了大量的精力實現(xiàn)了收集工作，也很難實現(xiàn)對其全面的識別和管理。為此，上網(wǎng)行為管理系統(tǒng)針對不斷更新的網(wǎng)絡(luò)應(yīng)用軟件來收集軟件類型與版本，不斷更新自己的應(yīng)用規(guī)則識別庫。XX 公司上網(wǎng)行為管理方案建議書選擇性內(nèi)容過濾，方式靈活除針對網(wǎng)絡(luò)應(yīng)用軟件外，上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等網(wǎng)站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網(wǎng)管人員工作的靈活性。同時，上網(wǎng)行為管理設(shè)備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業(yè)務(wù)的帶寬。差異化權(quán)限劃分，構(gòu)建和諧組織對于以上管控，上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、不同部