【正文】 行為管理安全網(wǎng)關(guān)時，若啟用了WEB認(rèn)證功能，則用戶通過WEB認(rèn)證后，用戶的計算機(jī)會自動從AC上網(wǎng)行為管理安全網(wǎng)關(guān)下載相應(yīng)的安全策略掃描程序。此進(jìn)程會根據(jù)指定的安全策略啟動掃描程序，并檢查用戶的計算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)安全策略的計算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計算機(jī)，不允許上網(wǎng)。這樣從根本上提高了學(xué)校用戶計算機(jī)的安全性，減少了學(xué)校內(nèi)網(wǎng)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險。只有具備了安全級別的計算機(jī)才允許訪問網(wǎng)絡(luò)獨有的網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則(2) 深度內(nèi)容檢測技術(shù)惡意間諜軟件程序最常見的傳播途徑就是在一些惡意站點中嵌入ActiveX控件作為瀏覽器控件，當(dāng)用戶無意間瀏覽到該網(wǎng)址時，該控件會自動安裝到用戶的電腦上。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)通過上層應(yīng)用的內(nèi)容檢測技術(shù)來阻止類似的惡意間諜軟件程序的傳播。通過特定規(guī)則（如禁止以dll、cab、exe等擴(kuò)展名的文件下載）的限制，從而阻斷了間諜軟件的傳播途徑，防止了內(nèi)網(wǎng)用戶感染間諜軟件的危險。(3) URL過濾、關(guān)鍵字過濾通常間諜軟件是用戶在瀏覽網(wǎng)頁時，下載安裝免費軟件或無意間瀏覽到某些惡意站點而感染到的。當(dāng)用戶在網(wǎng)上沖浪時，無意中瀏覽到某些惡意設(shè)計的站點時，一些ActiveX控件會作為瀏覽器插件，自動下載并安裝到你的電腦當(dāng)中，而這個插件就是一個間諜軟件。這有些和木馬、病毒的傳播途徑類似。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)中將已知的非法URL（含有惡意代碼的網(wǎng)址連接）做成一個鏈接庫，用戶可以下載更新鏈接庫來防止間諜軟件、木馬、病毒等對學(xué)校的威脅。AC上網(wǎng)行為管理安全網(wǎng)關(guān)的關(guān)鍵字過濾功能，將一些含有一些明顯特征碼的關(guān)鍵字作為過濾條件。當(dāng)內(nèi)網(wǎng)用戶在訪問互聯(lián)網(wǎng)時，減少了內(nèi)網(wǎng)用戶遭受間諜程序或木馬、病毒的危險，保證了內(nèi)網(wǎng)的安全。URL過濾色情法輪功關(guān)鍵字過濾(4) 網(wǎng)絡(luò)監(jiān)控由于間諜軟件名目繁多，且難以預(yù)防。間諜軟件一旦成功潛入內(nèi)網(wǎng)用戶電腦，就會記錄用戶信息并通過一定的途徑向特定的黑客和服務(wù)器進(jìn)行后臺通信。假設(shè)當(dāng)內(nèi)網(wǎng)用戶的電腦已經(jīng)埋伏了間諜軟件以后，我們還有什么辦法挽救損失呢？SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)通過日志系統(tǒng)中的網(wǎng)絡(luò)活動日志，實時監(jiān)控并記錄用戶內(nèi)網(wǎng)所有的網(wǎng)絡(luò)連接，使得管理人員能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)傳輸中的間諜軟件威脅，阻止網(wǎng)絡(luò)中已經(jīng)存在的間諜軟件與互聯(lián)網(wǎng)上的黑客和服務(wù)器進(jìn)行后臺通信，防止了學(xué)校機(jī)密信息的泄漏，并在檢測和阻止新的間諜軟件時，及時采取相應(yīng)的安全措施，最大限度減少了學(xué)校的損失。(5) 郵件延遲審計對于間諜軟件的主要傳輸途徑：WEB方式和郵件方式，SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)分別有相應(yīng)的解決方案。前面介紹過的AC上網(wǎng)行為管理安全網(wǎng)關(guān) URL 過濾功能已經(jīng)阻斷了間諜軟件WEB方式的泄漏途徑。而對于間諜軟件電子郵件方式的泄漏機(jī)密途徑，SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)獨有的郵件延遲審計功能徹底阻斷了這一途徑。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)可以根據(jù)相應(yīng)規(guī)則，對所有內(nèi)網(wǎng)用戶通過SMTP、IMAP發(fā)往外部的電子郵件進(jìn)行審計?？蛻舳税l(fā)送的郵件雖然在其郵件程序的發(fā)送狀態(tài)中顯示已經(jīng)正常發(fā)送，但實際上并未真正發(fā)送到收件人，而是被截留在SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)的郵件延遲審計系統(tǒng)中。只有通過管理員審核，認(rèn)為是安全的郵件，才能被AC上網(wǎng)行為管理安全網(wǎng)關(guān)放行并發(fā)送到收件人郵箱，有效地防止間諜軟件通過電子郵件方式盜取學(xué)校的重要機(jī)密，保護(hù)了學(xué)校內(nèi)網(wǎng)的安全。郵件郵件延遲審計4）、 反垃圾郵件技術(shù)CNNIC最新發(fā)布的第16次互聯(lián)網(wǎng)報告顯示。由于垃圾郵件的泛濫，使得原本暢通的互聯(lián)網(wǎng)速度變的逐漸緩慢，并且浪費了用戶大量的時間。一般處理1封垃圾郵件至少需要10秒鐘的時間，那么員工每天就得花2分鐘左右的時間來處理。若學(xué)校擁有眾多員工，則將造成學(xué)校的生產(chǎn)力下降，效率低下，學(xué)校員工每天正常處理業(yè)務(wù)的時間被接受、打開、刪除垃圾郵件等動作白白浪費了。對于學(xué)校來說，垃圾郵件不僅浪費了學(xué)校員工的寶貴時間，而垃圾郵件中可能附帶的病毒、間諜軟件等對學(xué)校造成的損失更是巨大的。若用戶無意中不小心打開一些含有不安全因素的垃圾郵件，木馬、病毒、間諜軟件等就很可能不知不覺地潛入學(xué)校內(nèi)部盜取機(jī)密文件，造成學(xué)校重大的安全隱患。目前反垃圾郵件的技術(shù)主要有以下幾種：(1) 關(guān)鍵字過濾關(guān)鍵字過濾是最早的反垃圾郵件技術(shù)之一。它是將一些會在垃圾郵件中經(jīng)常出現(xiàn)的字符（如廣告、化妝品、發(fā)票等）收集起來形成一個龐大的數(shù)據(jù)庫，當(dāng)一封郵件來的時候?qū)ζ湫蓬^、信標(biāo)題、主題和信體幾部分進(jìn)行檢查，看里面是否有數(shù)據(jù)庫中的關(guān)鍵字，如果有就被判定為垃圾郵件，如果沒有就判斷為不是垃圾郵件。該技術(shù)主要采用的是關(guān)鍵字匹配。此技術(shù)的優(yōu)點就是：技術(shù)上比較容易實現(xiàn)，判斷處理速度比較快，缺點是誤判率比較高。 為了減少誤判率，深信服科技的AC上網(wǎng)行為管理安全網(wǎng)關(guān)采用關(guān)鍵字權(quán)重的方法來對垃圾郵件進(jìn)行判斷。關(guān)鍵字權(quán)重過濾，是根據(jù)關(guān)鍵字?jǐn)?shù)據(jù)庫中比較經(jīng)常出現(xiàn)的關(guān)鍵字分別賦予相應(yīng)的權(quán)重，權(quán)重的大小是根據(jù)關(guān)鍵字在垃圾郵件中出現(xiàn)的可能性和嚴(yán)重性來決定。當(dāng)收到一封垃圾郵件時，AC上網(wǎng)行為管理安全網(wǎng)關(guān)就對其進(jìn)行掃描，若發(fā)現(xiàn)有其中一個關(guān)鍵字就加相應(yīng)的權(quán)重值（此權(quán)重值用戶可自定義），最后將所有的權(quán)重累加并與預(yù)先設(shè)置好的閥值進(jìn)行比較。閥值設(shè)為兩個，分為三種情況：一定是垃圾郵件；可能是垃圾郵件；一定不是垃圾郵件。對這三種情況，SINFOR UTM安全網(wǎng)關(guān)可分別進(jìn)行相應(yīng)的處理。(2) 智能應(yīng)答確認(rèn)技術(shù)對于疑似垃圾郵件，SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)創(chuàng)新性地采用了智能應(yīng)答確認(rèn)的方式來減少誤判率。一般的垃圾郵件都是由垃圾郵件程序自動產(chǎn)生的，無法回復(fù)。對于疑似垃圾郵件，AC上網(wǎng)行為管理安全網(wǎng)關(guān)會發(fā)一封確認(rèn)郵件給發(fā)件人，若發(fā)件人是垃圾郵件制造程序則無法回復(fù)，AC上網(wǎng)行為管理安全網(wǎng)關(guān)則判定此郵件為垃圾郵件，并將其列入黑名單。若對方是真正的發(fā)郵件者，而不是垃圾郵件程序，則只需回復(fù)AC上網(wǎng)行為管理安全網(wǎng)關(guān)所發(fā)出的確認(rèn)郵件，AC上網(wǎng)行為管理安全網(wǎng)關(guān)則自動會將此發(fā)件人添加到白名單，下一次該地址發(fā)送過來的郵件就無需過濾，直接轉(zhuǎn)發(fā)給收件人。為了防止自動應(yīng)答程序回復(fù)確認(rèn)郵件來繞過AC上網(wǎng)行為管理安全網(wǎng)關(guān)的檢測，AC上網(wǎng)行為管理安全網(wǎng)關(guān)在其確認(rèn)郵件中采用了隨機(jī)碼的方式要求發(fā)郵件者輸入相應(yīng)特征碼（一串隨機(jī)序列號），以此來避免對某些垃圾郵件程序的自動回復(fù)程序造成的誤判。(3) 黑白名單過濾黑白名單過濾同樣是較早的一種反垃圾郵件的技術(shù)。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)將經(jīng)常發(fā)垃圾郵件的IP地址添加到IP黑名單中，以后再從同樣的IP地址發(fā)來的信件都被判定為垃圾郵件。如果郵件地址被加入到白名單中，則認(rèn)為從那里發(fā)來的任何郵件都不是垃圾郵件。郵件服務(wù)器垃圾郵件黑名單正常郵件白名單UTM安全網(wǎng)關(guān)黑白名單(4) 垃圾郵件指紋識別指紋識別技術(shù)模仿了生物識別中指紋的概念。所謂郵件的指紋，就是郵件內(nèi)容中的一些字符串的組合，就是從類似、但不相同的信息中，識別出已經(jīng)被確認(rèn)為垃圾郵件的信息。通常垃圾郵件都有一些特征，比如含有很多廣告的鏈接等。有些垃圾郵件程序為了躲避反垃圾郵件程序，在制造垃圾郵件時通過html等技術(shù)把一些含有垃圾郵件明顯特征的內(nèi)容、關(guān)鍵字等做轉(zhuǎn)換，以試圖欺騙反垃圾郵件程序。這好比警察與小偷，通常小偷都是穿著風(fēng)衣、帶著墨鏡等以避免警察和大眾對他的懷疑。這些垃圾郵件獨有的特征，也就是垃圾郵件的指紋。這些和反病毒技術(shù)的特征碼識別的思想是相同的。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)通過確認(rèn)郵件的指紋，完成對垃圾郵件的識別。AC上網(wǎng)行為管理安全網(wǎng)關(guān)先給郵件中出現(xiàn)的每一個字符賦予一個數(shù)值（這個數(shù)值的確定是按照特定垃圾的用詞規(guī)律特點進(jìn)行分類），再利用統(tǒng)計方法給這封郵件計算出一個綜合的數(shù)值。也可以根據(jù)是否與其他多次收到的郵件相似來判斷（多次收到相似的郵件很可能就是垃圾郵件）。(5) 實時黑名單列表為了有效地拒絕來自惡意的垃圾郵件來源站點或被利用的垃圾郵件來源站點所發(fā)來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。將確認(rèn)后的垃圾郵件來源站點（無論是否是惡意與否）放入一個黑名單（Blackhole List），然后通過發(fā)布該名單來保護(hù)郵件服務(wù)器不受到黑名單中站點的侵?jǐn)_，是一個目前對抗日益嚴(yán)重的垃圾郵件行之有效的方法。目前在黑名單技術(shù)上最流行的是實時黑名單（Realtime Blackhole List，簡稱RBL）技術(shù)。通常該技術(shù)是通過DNS方式（查詢和區(qū)域傳輸）實現(xiàn)的。實時黑名單類似于前面所提到黑名單過濾，區(qū)別在于實時黑名單列表是借助于第三方機(jī)構(gòu)，他們?yōu)橛脩籼峁崟r的黑名單列表。實時黑名單對垃圾郵件的判斷工作是在Internet上進(jìn)行的，不需要用戶進(jìn)行干涉和手動添加。由于黑名單服務(wù)的提供和黑名單的維護(hù)是由黑名單服務(wù)提供者來承擔(dān)，所以該名單的權(quán)威性和可靠性就依賴于該提供者。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)采用了中國反垃圾郵件聯(lián)盟的RBL進(jìn)行垃圾郵件識別，減少用戶的工作量和設(shè)置難度，同時大大提供了垃圾郵件的識別率。(6) 自動升級技術(shù) SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)提供了黑白名單、關(guān)鍵字權(quán)重庫和垃圾郵件指紋庫自動更新功能，減少了管理員手動升級的麻煩，降低了學(xué)校的維護(hù)成本，并降低了垃圾郵件的誤判率。5）、IPS（入侵防御系統(tǒng)）系統(tǒng)IPS，即入侵防御系統(tǒng)(Intrusion Prevention System)，是抵制外部網(wǎng)絡(luò)威脅最有效的安全防范技術(shù)。SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)，能夠?qū)λ辛鹘?jīng)網(wǎng)關(guān)的數(shù)據(jù)流進(jìn)行實時檢測，為學(xué)校提供了網(wǎng)絡(luò)級的安全保護(hù)。由于采用了特征匹配、協(xié)議分析和異常行為檢測等多項技術(shù)，IPS系統(tǒng)能夠?qū)λ锌梢蓴?shù)據(jù)包實時阻攔，提高了對攻擊行為判斷的準(zhǔn)確率，有效保證了學(xué)校的網(wǎng)絡(luò)安全。當(dāng)前，特征匹配是應(yīng)用最廣泛的檢測技術(shù)，具有準(zhǔn)確率高、速度快的特點。目前SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)已有3000多種攻擊特征庫，并且每天自動更新數(shù)據(jù)庫。由于采用了嵌入式運行模式，IPS系統(tǒng)能夠?qū)崟r分析經(jīng)過網(wǎng)關(guān)的所有流量，一旦檢測出網(wǎng)絡(luò)數(shù)據(jù)流中含有可疑數(shù)據(jù)，UTM網(wǎng)關(guān)將根據(jù)其所匹配到的攻擊特征規(guī)則，及時進(jìn)行相應(yīng)處理。IPS系統(tǒng)對所有攻擊特征庫中的規(guī)則自動進(jìn)行分類，分為高、中、低三個優(yōu)先級別。管理員可以根據(jù)其自身網(wǎng)絡(luò)的安全情況，對相應(yīng)的優(yōu)先級別規(guī)則啟用IPS功能進(jìn)行相應(yīng)防御，同時還可規(guī)定發(fā)現(xiàn)入侵以后采取防御行為的時間間隔。一旦檢測到可疑數(shù)據(jù)匹配到相應(yīng)規(guī)則，則UTM安全網(wǎng)關(guān)的IPS系統(tǒng)就啟動相應(yīng)的防御措施。比如當(dāng)啟用中、高級別防御規(guī)則的防御措施時，一旦檢測到可疑數(shù)據(jù)與相對應(yīng)的中、高級別的防御規(guī)則相符，則立即阻隔網(wǎng)絡(luò)會話，并發(fā)出防御通知。而對于低級別的可疑攻擊，IPS系統(tǒng)可記錄下此入侵的類型、所匹配規(guī)則、以及該數(shù)據(jù)包的詳細(xì)信息，并立即發(fā)出告警。若在10秒內(nèi)連續(xù)檢測到5次相同的告警，則IPS系統(tǒng)判定為攻擊行為，將立即阻止網(wǎng)絡(luò)會話，并記錄到日志系統(tǒng)。對于所有可疑數(shù)據(jù)，IPS日志系統(tǒng)都將記錄下入侵類型、所匹配規(guī)則、以及該數(shù)據(jù)包特征碼等詳細(xì)信息，以便管理員對此次攻擊行為進(jìn)一步分析和處理。從而達(dá)到整體網(wǎng)絡(luò)安全防護(hù)的目的。多種安全策略保證了UTM網(wǎng)關(guān)的IPS功能對所有攻擊行為辨別能力高度的準(zhǔn)確性，降低了由于IPS誤報給學(xué)校帶來的安全風(fēng)險。深信服的UTM安全網(wǎng)關(guān)除了可以定義對所有流經(jīng)網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行檢測以外，還可以選擇對特定方向、特定條件的數(shù)據(jù)啟用UTM網(wǎng)關(guān)中的IPS功能。通常，攻擊者的行為往往只針對某些提供特定服務(wù)的IP（比如WEB服務(wù)器）發(fā)起攻擊。而在校園網(wǎng)絡(luò)中，需要重點保護(hù)的往往也正是這些重要的服務(wù)器。因而針對某些特殊IP段，特定協(xié)議和端口的保護(hù)就顯得尤為重要。SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)制定了多種防御策略，更大程度上保護(hù)了校園網(wǎng)絡(luò)的安全。例如，管理員可以針對某些服務(wù)器制定更為嚴(yán)格的防護(hù)策略，只對符合指定的IP、協(xié)議和端口等相應(yīng)條件的數(shù)據(jù)流開啟IPS功能，降低了UTM網(wǎng)關(guān)開啟IPS所帶來的性能損耗，提高了IPS防御精準(zhǔn)度。6）、 網(wǎng)關(guān)殺毒居于內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的關(guān)卡位置，網(wǎng)關(guān)的重要性不言而喻。網(wǎng)關(guān)殺毒，是守住病毒的第一道關(guān)口，有“一夫當(dāng)關(guān)，萬毒莫開”的氣勢。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)集成來自歐洲著名殺毒廠商“FPROT”的高效殺毒引擎，殺毒速度達(dá)到50Mb/s，大大超過大多數(shù)殺毒廠商的網(wǎng)絡(luò)殺毒速度，也大大超過普通學(xué)校的Internet帶寬。強(qiáng)大的殺毒功能支持HTTP、SMTP、POPFTP、NETBIOS等多種協(xié)議的數(shù)據(jù)流，不僅可以查殺普通病毒郵件，還可以檢查出各種壓縮包（zip,rar,gzip等）隱藏的病毒。此外，SINFOR UTM安全網(wǎng)關(guān)殺毒功能，還可以針對網(wǎng)站和文件類型進(jìn)行靈活的設(shè)置。比如可以對于一些公認(rèn)的安全網(wǎng)站，不啟用殺毒功能。或者有選擇地對某些以exe、dll、dat等為擴(kuò)展名的容易感染病毒的文件啟用殺毒。UTM網(wǎng)關(guān)的殺毒引擎可指定時間每天自動更新，保護(hù)了內(nèi)網(wǎng)所有用戶免受病毒困擾。該殺毒引擎可以更換，用戶可以自由選擇各種殺毒引擎，這種獨特的功能設(shè)計使得AC上網(wǎng)行為管理安全網(wǎng)關(guān)更加靈活、安全地保護(hù)學(xué)校的信息資源。不含有病毒的文件含有病毒的文件內(nèi)網(wǎng)用戶SINFOR UTM安全網(wǎng)關(guān)互聯(lián)網(wǎng)7 ）、防止DOS攻擊DoS攻擊(拒絕服務(wù)攻擊)，通常是以消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)為目標(biāo)，通過偽造超過服務(wù)器處理能力的請求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，從而使正常的用戶請求得不到應(yīng)答，以實現(xiàn)其攻擊目的。通常DoS攻擊往往會導(dǎo)致服務(wù)器超負(fù)載運作，性能降低，影響正常用戶的登陸，甚至造成服務(wù)器癱瘓。而DDoS(Distributed Denial of Service，分布式拒絕服務(wù)) 是指攻擊者從多個計算機(jī)系統(tǒng)上向一個目標(biāo)系統(tǒng)同時發(fā)起攻擊。因而比起DOS攻擊，危險性更大。通常DDOS攻擊是由黑客手動尋找可入侵的計算機(jī)入侵并植入攻擊程序，再下指令攻擊目標(biāo)。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊，而且對于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，AC上網(wǎng)行為管理安全網(wǎng)關(guān)