【文章內(nèi)容簡(jiǎn)介】 認(rèn)證。當(dāng)用戶(hù)在認(rèn)證服務(wù)器上進(jìn)行認(rèn)證后，AC能夠獲取用戶(hù)認(rèn)證信息，用戶(hù)不用在AC上進(jìn)行第二次身份認(rèn)證，形成單點(diǎn)登錄，避免重復(fù)認(rèn)證所帶來(lái)的麻煩。通過(guò)身份認(rèn)證功能，AC能夠準(zhǔn)確識(shí)別上網(wǎng)用戶(hù)，從而對(duì)該用戶(hù)進(jìn)行上網(wǎng)行為管理，而對(duì)于未通過(guò)認(rèn)證的用戶(hù)則限制其網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限。 外來(lái)訪(fǎng)客認(rèn)證：為了省去復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)機(jī)制，讓外來(lái)訪(fǎng)客便捷的接入網(wǎng)絡(luò)，但又滿(mǎn)足合規(guī)要 5 求。深信服上網(wǎng)行為管理AC提供了短信認(rèn)證、微信認(rèn)證、二維碼認(rèn)證等多種方式，當(dāng)來(lái)賓接入網(wǎng)絡(luò)后，系統(tǒng)會(huì)自動(dòng)推送出專(zhuān)門(mén)針對(duì)來(lái)賓訪(fǎng)客認(rèn)證界面。短信認(rèn)證，來(lái)賓只需要輸入手機(jī)號(hào)碼，獲得并輸入短信驗(yàn)證碼后，就可以獲得上網(wǎng)權(quán)限。而且為了簡(jiǎn)化用戶(hù)操作，與傳統(tǒng)的短信驗(yàn)證相比，用戶(hù)只需要點(diǎn)擊3次既可完成，十分便捷，不需要在瀏覽器和短信界面來(lái)回切換。微信認(rèn)證，訪(fǎng)客認(rèn)證頁(yè)面會(huì)自動(dòng)提醒來(lái)賓需要關(guān)注組織的“官方微信公眾賬號(hào)”，并發(fā)送上網(wǎng)請(qǐng)求，才能獲得上網(wǎng)權(quán)限。這可以幫助組織推廣社交媒體的粉絲數(shù)量，更好的幫助組織推廣品牌宣傳。二維碼認(rèn)證，訪(fǎng)客認(rèn)證頁(yè)面會(huì)自動(dòng)彈出一個(gè)二維碼，只有內(nèi)部接待人員用自己的移動(dòng)終端掃描二維碼，確認(rèn)同意后，訪(fǎng)客才能獲得上網(wǎng)權(quán)限。而且，為了滿(mǎn)足合規(guī)要求，接待人員，可以在頁(yè)面上備注來(lái)賓身份信息，便于后續(xù)查找。 靈活細(xì)致的權(quán)限控制深信服上網(wǎng)行為管理系統(tǒng)具有千萬(wàn)級(jí)URL庫(kù)和國(guó)內(nèi)最大的應(yīng)用識(shí)別規(guī)則庫(kù)，包含1100多種應(yīng)用、2400多種規(guī)則，可識(shí)別目前網(wǎng)絡(luò)中各種主流應(yīng)用，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤(pán)、在線(xiàn)視頻等。同時(shí)，AC還能夠識(shí)別SSL加密應(yīng)用，如加密郵箱、加密網(wǎng)頁(yè)等。通過(guò)全面的應(yīng)用識(shí)別，管理員能夠根據(jù)不同應(yīng)用制定不同的管理策略，限制與工作無(wú)關(guān)的行為，提高工作效率。 多維度的靈活策略為了針對(duì)一個(gè)用戶(hù)有多臺(tái)BYOD終端進(jìn)行靈活、細(xì)致的策略管控，深信服AC可以識(shí)別各種終端類(lèi)型，包括windows、IOS、安卓、phone、pad等類(lèi)型，還可以識(shí)別出用戶(hù)接入網(wǎng)絡(luò)的位置，包括有線(xiàn)、無(wú)線(xiàn)、辦公位、會(huì)議室等等。從而制定用戶(hù)的上網(wǎng)策略時(shí)，可以從用戶(hù)角色、使用終端類(lèi)型、所在區(qū)域位置等維度進(jìn)行組合，來(lái)制定精細(xì)的控制策略。比如用戶(hù)角色A，在辦公位置上使用PC接入，可以訪(fǎng)問(wèn)權(quán)限較多；但在接待區(qū)通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)，使用iPad接入網(wǎng)絡(luò)時(shí)，只有上網(wǎng)權(quán)限，不能訪(fǎng)問(wèn)內(nèi)部安全界別較高的應(yīng)用系統(tǒng)等。 移動(dòng)APP管控為了滿(mǎn)足移動(dòng)終端的管理需要，深信服上網(wǎng)行為管理系統(tǒng)可以針對(duì)數(shù)百種移動(dòng)終端 的APP、云應(yīng)用，防止員工通過(guò)移動(dòng)終端來(lái)進(jìn)行和工作無(wú)關(guān)的應(yīng)用，避免工作效率的下降。 防止非法AP和代理深信服上網(wǎng)行為管理系統(tǒng)通過(guò)技術(shù)創(chuàng)新，可以精準(zhǔn)的識(shí)別出，當(dāng)前網(wǎng)絡(luò)中員工私自架設(shè)的無(wú)線(xiàn)AP，代理應(yīng)用，從而防止帶寬資源的濫用，防止黑客通過(guò)非法AP接入企業(yè)網(wǎng)絡(luò)入侵。 應(yīng)用標(biāo)簽化管理員可通過(guò)AC對(duì)應(yīng)用或具體細(xì)分動(dòng)作進(jìn)行標(biāo)簽化，例如，迅雷下載定義為“高帶寬消耗”標(biāo)簽、網(wǎng)盤(pán)的上傳動(dòng)作定義為“泄密風(fēng)險(xiǎn)”標(biāo)簽等。管理員在制定策略時(shí)，可通過(guò)標(biāo)簽來(lái)選擇相應(yīng)的應(yīng)用或細(xì)分動(dòng)作，不用逐個(gè)選擇，從而避免錯(cuò)選漏選，提高管理效率。 加密應(yīng)用識(shí)別SSL(Secure Socket Layer)協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。正因?yàn)槿绱?，一方面，越?lái)越多的網(wǎng)頁(yè)使用SSL加密，如Google搜索、Gmail、郵箱、bbs甚至賭博網(wǎng)站，而因?yàn)椴捎昧思用芗夹g(shù)，普通的管理產(chǎn)品無(wú)法對(duì)其內(nèi)容進(jìn)行識(shí)別管理，別有用心的用戶(hù)可以利用這一缺陷繞過(guò)管理，通過(guò)SSL加密郵件、BBS、論壇發(fā)布的反動(dòng)言論或者是向外發(fā)送組織的機(jī)密信息，導(dǎo)致管理漏洞。 合理有效的流量控制深信服上網(wǎng)行為管理系統(tǒng)通過(guò)多級(jí)父子通道技術(shù)，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過(guò)用戶(hù)和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。同時(shí)，帶寬的分配并不是一成不變的。深信服上網(wǎng)行為管理系統(tǒng)具有動(dòng)態(tài)流控功能，在總體帶寬利用率偏低時(shí)自動(dòng)調(diào)整策略，有效提升帶寬利用率，避免資源浪費(fèi)。在P2P應(yīng)用流量控制方面，通過(guò)深信服P2P智能流控技術(shù)，能夠有效的抑制P2P流量，使得核心業(yè)務(wù)應(yīng)用有足夠的帶寬資源。 7 父子通道通過(guò)部署AC，可對(duì)網(wǎng)絡(luò)出口鏈路總帶寬進(jìn)行細(xì)分，采用“基于隊(duì)列的流控技術(shù)”，即建立通道，將不同的控制對(duì)象分配到不同的通道里。通道可應(yīng)用于不同用戶(hù)或者應(yīng)用，在通道中可以限制或保障其帶寬，控制靈活。AC支持多級(jí)父子通道，即在父通道中嵌套子通道，最大可支持8級(jí)父子通道。通過(guò)多級(jí)父子通道技術(shù)，能夠完全匹配企業(yè)的組織架構(gòu)，針對(duì)不同級(jí)別的通道進(jìn)行帶寬調(diào)整，為用戶(hù)提供細(xì)致的流量管理手段，使得帶寬分配更靈活、更合理。 P2P智能流控目前，通過(guò)封IP、端口等限制“帶寬殺手”P(pán)2P應(yīng)用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設(shè)。AC憑借P2P智能識(shí)別技術(shù)，不僅識(shí)別和管控常用P2P、加密P2P，還能對(duì)不常見(jiàn)和未來(lái)將出現(xiàn)的P2P應(yīng)用加以控制。目前互聯(lián)網(wǎng)上流行的P2P下載、流媒體等應(yīng)用程序通常具備強(qiáng)烈的帶寬侵占特性，傳統(tǒng)流控手段是通過(guò)緩存和丟包手段來(lái)實(shí)現(xiàn)流量控制的目的，但是某些P2P應(yīng)用如P2P流媒體、P2P下載工具等缺乏自身流控機(jī)制，即使被丟包依然不會(huì)主動(dòng)降低速率，仍搶占大量的帶寬資源。同時(shí)對(duì)于下行的接收流量來(lái)說(shuō)，被丟棄的數(shù)據(jù)包已經(jīng)占用了線(xiàn)路帶寬，關(guān)鍵業(yè)務(wù)的帶寬依然得不到提升，流控達(dá)不到預(yù)期的效果。針對(duì)這些問(wèn)題，AC通過(guò)智能流控功能，能有效解決P2P應(yīng)用的問(wèn)題。雖然基于UDP 協(xié)議的P2P應(yīng)用對(duì)丟包不敏感，但是下行流量與上行流量有顯著的相關(guān)性，只要控制住上行流量，下行流量就能得到控制。當(dāng)開(kāi)啟AC的智能流控功能時(shí)，系統(tǒng)會(huì)根據(jù)下行流量的設(shè)定值對(duì)上行流量進(jìn)行自動(dòng)調(diào)整，從而達(dá)到控制和減少下行流量的效果，從源頭處有效限制P2P流量。 動(dòng)態(tài)流量控制當(dāng)帶寬有限時(shí)，企業(yè)希望通過(guò)限制P2P、流媒體等應(yīng)用來(lái)保障郵件、訪(fǎng)問(wèn)網(wǎng)站等業(yè)務(wù)相關(guān)應(yīng)用的流暢性。傳統(tǒng)的解決方法是通過(guò)靜態(tài)的帶寬分配策略，根據(jù)應(yīng)用的重要性分配相應(yīng)的帶寬。無(wú)論網(wǎng)絡(luò)情況如何變動(dòng)，分配的帶寬都是固定的，不能自動(dòng)調(diào)整，這樣的流控策略往往造成帶寬資源的浪費(fèi)。比如某些業(yè)務(wù)應(yīng)用帶寬資源不足，而其他應(yīng)用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。針對(duì)此類(lèi)問(wèn)題，AC提供了動(dòng)態(tài)流控功能。用戶(hù)可通過(guò)配置線(xiàn)路空閑閥值，以及定義線(xiàn)路的空閑和繁忙狀態(tài)，實(shí)現(xiàn)針對(duì)性制定流控策略。當(dāng)線(xiàn)路空閑時(shí)可以放寬通道帶寬限制，應(yīng)用流量可突破原來(lái)設(shè)定的最大帶寬限制；當(dāng)線(xiàn)路繁忙時(shí)可以下壓通道帶寬，使帶寬恢復(fù)到被限制狀態(tài)，執(zhí)行原有的流控策略。通過(guò)靈活的帶寬管理，最大滿(mǎn)足業(yè)務(wù)對(duì)帶寬的需求，實(shí)現(xiàn)帶寬的最大價(jià)值。 全面精準(zhǔn)的行為審計(jì)深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)了哪些網(wǎng)站，使用了哪些應(yīng)用，還能對(duì)用戶(hù)的上網(wǎng)行為內(nèi)容進(jìn)行深入審計(jì)，如IM聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時(shí)， 9 內(nèi)容審計(jì)，避免錯(cuò)審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。 實(shí)時(shí)監(jiān)控AC支持實(shí)時(shí)監(jiān)控功能，可對(duì)AC設(shè)備的運(yùn)行狀態(tài)、安全狀態(tài)、流量狀態(tài)、上網(wǎng)行為監(jiān)控、在線(xiàn)用戶(hù)管理、郵件延遲審計(jì)進(jìn)行實(shí)時(shí)監(jiān)控。管理員不需要登陸數(shù)據(jù)中心即可實(shí)時(shí)查看網(wǎng)絡(luò)的各種應(yīng)用和流量使用情況，簡(jiǎn)單快捷。運(yùn)行狀態(tài)包括系統(tǒng)資源信息、接口信息、接口吞吐率、應(yīng)用流速趨勢(shì)、應(yīng)用流量排名、用戶(hù)流量排名。安全狀態(tài)實(shí)時(shí)匯報(bào)內(nèi)網(wǎng)用戶(hù)安全情況。在實(shí)時(shí)應(yīng)用流量排行界面點(diǎn)擊某一個(gè)應(yīng)用即可自動(dòng)彈出該應(yīng)用流量的用戶(hù)排名情況。實(shí)時(shí)用戶(hù)流量排行界面可針對(duì)單個(gè)用戶(hù)實(shí)現(xiàn)用戶(hù)的應(yīng)用流量排行情況的頁(yè)面跳轉(zhuǎn)。此外AC還支持實(shí)時(shí)連接監(jiān)控，顯示用戶(hù)的所有會(huì)話(huà)連接狀況。 全面、靈活的應(yīng)用審計(jì)AC實(shí)時(shí)監(jiān)控和完善的應(yīng)用審計(jì)功能，幫助網(wǎng)絡(luò)管理員了解內(nèi)網(wǎng)用戶(hù)的上網(wǎng)行為，同時(shí)也作為追查依據(jù)。 網(wǎng)頁(yè)訪(fǎng)問(wèn)內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)的URL地址、網(wǎng)頁(yè)標(biāo)題、時(shí)間等內(nèi)容，AC能夠完全監(jiān)控與記錄。同時(shí)，通過(guò)網(wǎng)頁(yè)快照功能，直觀展現(xiàn)網(wǎng)頁(yè)內(nèi)容，便于管理人員快速查看。 10 郵件收發(fā)對(duì)于Webmail或郵件客戶(hù)端收發(fā)郵件，AC能夠記錄郵件的時(shí)間、發(fā)件人、收件人、標(biāo)題、正文內(nèi)容和附件等，附件內(nèi)容可提供下載做進(jìn)一步審核。 11 IM聊天對(duì)于、MSN、Gtalk等聊天應(yīng)用，無(wú)論是Web版或是桌面版，AC均能詳細(xì)記錄其聊天內(nèi)容。 微博論壇對(duì)于微博、社交論壇發(fā)帖不僅能夠根據(jù)關(guān)鍵字進(jìn)行過(guò)濾，發(fā)布的內(nèi)容也能全面記錄，準(zhǔn)確還原發(fā)帖內(nèi)容，提高可讀性。 12 SSL加密應(yīng)用同時(shí)，對(duì)于經(jīng)過(guò)SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3，AC可以基于關(guān)鍵字過(guò)濾和內(nèi)容審計(jì)記錄。針對(duì)不同的用戶(hù)、用戶(hù)組，通過(guò)數(shù)據(jù)簡(jiǎn)單的勾選，即可完成差異化的行為審計(jì)功能。 13 數(shù)據(jù)中心及報(bào)表大型機(jī)構(gòu)每天產(chǎn)生數(shù)十G日志數(shù)據(jù)，通過(guò)AC獨(dú)立數(shù)據(jù)中心實(shí)現(xiàn)日志海量存儲(chǔ)，而且提供了圖形化的日志查詢(xún)、統(tǒng)計(jì)、審計(jì)、報(bào)表中心等功能。通過(guò)統(tǒng)計(jì)報(bào)表功能，將直觀的獲得關(guān)于流量、郵件收發(fā)、上網(wǎng)時(shí)間、網(wǎng)絡(luò)行為等方面的詳細(xì)的報(bào)表和圖形化統(tǒng)計(jì)結(jié)果，并且支持導(dǎo)出PDF等文檔、Email投遞等功能，方便IT部門(mén)將統(tǒng)計(jì)結(jié)果向高層匯報(bào)。AC的風(fēng)險(xiǎn)智能報(bào)表能夠深入挖掘日志，根據(jù)管理員指定的上網(wǎng)行為特征及閾值，自動(dòng)挖掘日志，自動(dòng)幫助組織提前發(fā)現(xiàn)風(fēng)險(xiǎn)，包括：離職風(fēng)險(xiǎn)智能報(bào)表、泄密風(fēng)險(xiǎn)智能報(bào)表、工作效率低下風(fēng)險(xiǎn)智能報(bào)表等。 14對(duì)于BBS發(fā)帖，AC還支持進(jìn)行熱帖排名，只準(zhǔn)看貼不準(zhǔn)發(fā)帖的靈活管控方式。通過(guò)AC數(shù)據(jù)中心的內(nèi)容檢索工具，可以實(shí)現(xiàn)類(lèi)似Google一樣的內(nèi)容搜索，從海量日志中查詢(xún)需要的日志記錄，并且支持高級(jí)搜索，支持訂閱和自動(dòng)Email投遞功能，極大的方便了管理者的使用。 免審計(jì)Key 機(jī)構(gòu)的總裁、高層領(lǐng)導(dǎo)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為，財(cái)務(wù)部收發(fā)的郵件，關(guān)乎機(jī)構(gòu)機(jī)密信息，對(duì)其記錄審計(jì)反而成為泄密風(fēng)險(xiǎn)。因此AC支持免審計(jì)Key功能。在AC上為總裁、財(cái)務(wù)部相關(guān)人員生成免審計(jì)Key。當(dāng)使用該免審計(jì)Key認(rèn)證后，AC從底層免除對(duì)該人員的一切記錄。一旦免審計(jì)功能被惡意取消后，當(dāng)再插入該免審計(jì)Key后會(huì)自動(dòng)彈出警告，且禁止該人員訪(fǎng)問(wèn)網(wǎng)絡(luò)，徹底保障信息安全。 日志審查Key 企業(yè)內(nèi)網(wǎng)用戶(hù)的各種上網(wǎng)行為記錄AC都可以記錄、并全部記錄到數(shù)據(jù)中心中，這避免了互聯(lián)網(wǎng)違法事件后無(wú)據(jù)可查的尷尬。但如果行為日志被濫用，領(lǐng)導(dǎo)的Email、MSN聊天內(nèi)容等被肆意傳播、私自張貼到互聯(lián)網(wǎng)上必將給組織造成不良影響、甚至經(jīng)濟(jì)損失。因此AC提供日志審查Key技術(shù)。數(shù)據(jù)中心管理員只有插入該Key后才能以審計(jì)、查詢(xún)權(quán)限接入數(shù)據(jù)中心，從而對(duì)行為日志進(jìn)行詳細(xì)查詢(xún)。對(duì)于沒(méi)有該Key的管理員接入數(shù)據(jù)中心后只能對(duì)有限的用戶(hù)組的行為進(jìn)行統(tǒng)計(jì)和趨勢(shì)查看，無(wú)權(quán)限對(duì)行為日志進(jìn)行審計(jì)、查詢(xún)，從而保障行為日志記錄不被濫用。 15 第3章 方案優(yōu)勢(shì) 全面完整無(wú)線(xiàn)有線(xiàn)統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計(jì)等功能外，深信服的上網(wǎng)行為管理針對(duì)無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)的各種PC、移動(dòng)終端上網(wǎng)遇到的新問(wèn)題、新風(fēng)險(xiǎn)，提供了統(tǒng)一全面的管理功能：?jiǎn)T工、來(lái)賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動(dòng)APP/云應(yīng)用管控和審計(jì)。從而簡(jiǎn)化了IT運(yùn)維操作，降低了管理難度。 細(xì)致精準(zhǔn)上網(wǎng)行為管理不是簡(jiǎn)單的對(duì)應(yīng)用進(jìn)行封堵，而是根據(jù)不同的管理需求來(lái)對(duì)應(yīng)用進(jìn)行限制。深信服上網(wǎng)行為管理能夠?qū)W(wǎng)絡(luò)應(yīng)用進(jìn)行細(xì)分控制，如分別識(shí)別出網(wǎng)盤(pán)應(yīng)用中的登陸、瀏覽、上傳和下載等動(dòng)作，根據(jù)企業(yè)中防泄密需求，實(shí)現(xiàn)允許瀏覽下載，同時(shí)禁止上傳。通過(guò)細(xì)分控制，能夠更細(xì)致的對(duì)員工的上網(wǎng)行為進(jìn)行管理。在審計(jì)方面，深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)了哪些網(wǎng)站，使用了哪些應(yīng)用，還能對(duì)用戶(hù)的上網(wǎng)行為內(nèi)容進(jìn)行深入審計(jì)，如IM聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時(shí)，還支持SSL加密網(wǎng)頁(yè)和應(yīng)用的內(nèi)容審計(jì)，避免錯(cuò)審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。 靈活有效AC支持父子通道技術(shù)，最高可支持八級(jí)，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過(guò)用戶(hù)和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。同時(shí)，由于通道具