【正文】 的時候?qū)ζ湫蓬^、信標題、主題和信體幾部分進行檢查，看里面是否有數(shù)據(jù)庫中的關(guān)鍵字，如果有就被判定為垃圾郵件，如果沒有就判斷為不是垃圾郵件。該技術(shù)主要采用的是關(guān)鍵字匹配。此技術(shù)的優(yōu)點就是：技術(shù)上比較容易實現(xiàn)，判斷處理速度比較快，缺點是誤判率比較高。 為了減少誤判率，深信服科技的AC上網(wǎng)行為管理安全網(wǎng)關(guān)采用關(guān)鍵字權(quán)重的方法來對垃圾郵件進行判斷。關(guān)鍵字權(quán)重過濾，是根據(jù)關(guān)鍵字數(shù)據(jù)庫中比較經(jīng)常出現(xiàn)的關(guān)鍵字分別賦予相應(yīng)的權(quán)重，權(quán)重的大小是根據(jù)關(guān)鍵字在垃圾郵件中出現(xiàn)的可能性和嚴重性來決定。當收到一封垃圾郵件時，AC上網(wǎng)行為管理安全網(wǎng)關(guān)就對其進行掃描，若發(fā)現(xiàn)有其中一個關(guān)鍵字就加相應(yīng)的權(quán)重值（此權(quán)重值用戶可自定義），最后將所有的權(quán)重累加并與預(yù)先設(shè)置好的閥值進行比較。閥值設(shè)為兩個，分為三種情況：一定是垃圾郵件；可能是垃圾郵件；一定不是垃圾郵件。對這三種情況，SINFOR UTM安全網(wǎng)關(guān)可分別進行相應(yīng)的處理。(2) 智能應(yīng)答確認技術(shù)對于疑似垃圾郵件，SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)創(chuàng)新性地采用了智能應(yīng)答確認的方式來減少誤判率。一般的垃圾郵件都是由垃圾郵件程序自動產(chǎn)生的，無法回復(fù)。對于疑似垃圾郵件，AC上網(wǎng)行為管理安全網(wǎng)關(guān)會發(fā)一封確認郵件給發(fā)件人，若發(fā)件人是垃圾郵件制造程序則無法回復(fù)，AC上網(wǎng)行為管理安全網(wǎng)關(guān)則判定此郵件為垃圾郵件，并將其列入黑名單。若對方是真正的發(fā)郵件者，而不是垃圾郵件程序，則只需回復(fù)AC上網(wǎng)行為管理安全網(wǎng)關(guān)所發(fā)出的確認郵件，AC上網(wǎng)行為管理安全網(wǎng)關(guān)則自動會將此發(fā)件人添加到白名單，下一次該地址發(fā)送過來的郵件就無需過濾，直接轉(zhuǎn)發(fā)給收件人。為了防止自動應(yīng)答程序回復(fù)確認郵件來繞過AC上網(wǎng)行為管理安全網(wǎng)關(guān)的檢測，AC上網(wǎng)行為管理安全網(wǎng)關(guān)在其確認郵件中采用了隨機碼的方式要求發(fā)郵件者輸入相應(yīng)特征碼（一串隨機序列號），以此來避免對某些垃圾郵件程序的自動回復(fù)程序造成的誤判。(3) 黑白名單過濾黑白名單過濾同樣是較早的一種反垃圾郵件的技術(shù)。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)將經(jīng)常發(fā)垃圾郵件的IP地址添加到IP黑名單中，以后再從同樣的IP地址發(fā)來的信件都被判定為垃圾郵件。如果郵件地址被加入到白名單中，則認為從那里發(fā)來的任何郵件都不是垃圾郵件。郵件服務(wù)器垃圾郵件黑名單正常郵件白名單UTM安全網(wǎng)關(guān)黑白名單(4) 垃圾郵件指紋識別指紋識別技術(shù)模仿了生物識別中指紋的概念。所謂郵件的指紋，就是郵件內(nèi)容中的一些字符串的組合，就是從類似、但不相同的信息中，識別出已經(jīng)被確認為垃圾郵件的信息。通常垃圾郵件都有一些特征，比如含有很多廣告的鏈接等。有些垃圾郵件程序為了躲避反垃圾郵件程序，在制造垃圾郵件時通過html等技術(shù)把一些含有垃圾郵件明顯特征的內(nèi)容、關(guān)鍵字等做轉(zhuǎn)換，以試圖欺騙反垃圾郵件程序。這好比警察與小偷，通常小偷都是穿著風衣、帶著墨鏡等以避免警察和大眾對他的懷疑。這些垃圾郵件獨有的特征，也就是垃圾郵件的指紋。這些和反病毒技術(shù)的特征碼識別的思想是相同的。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)通過確認郵件的指紋，完成對垃圾郵件的識別。AC上網(wǎng)行為管理安全網(wǎng)關(guān)先給郵件中出現(xiàn)的每一個字符賦予一個數(shù)值（這個數(shù)值的確定是按照特定垃圾的用詞規(guī)律特點進行分類），再利用統(tǒng)計方法給這封郵件計算出一個綜合的數(shù)值。也可以根據(jù)是否與其他多次收到的郵件相似來判斷（多次收到相似的郵件很可能就是垃圾郵件）。(5) 實時黑名單列表為了有效地拒絕來自惡意的垃圾郵件來源站點或被利用的垃圾郵件來源站點所發(fā)來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。將確認后的垃圾郵件來源站點（無論是否是惡意與否）放入一個黑名單（Blackhole List），然后通過發(fā)布該名單來保護郵件服務(wù)器不受到黑名單中站點的侵擾，是一個目前對抗日益嚴重的垃圾郵件行之有效的方法。目前在黑名單技術(shù)上最流行的是實時黑名單（Realtime Blackhole List，簡稱RBL）技術(shù)。通常該技術(shù)是通過DNS方式（查詢和區(qū)域傳輸）實現(xiàn)的。實時黑名單類似于前面所提到黑名單過濾，區(qū)別在于實時黑名單列表是借助于第三方機構(gòu)，他們?yōu)橛脩籼峁崟r的黑名單列表。實時黑名單對垃圾郵件的判斷工作是在Internet上進行的，不需要用戶進行干涉和手動添加。由于黑名單服務(wù)的提供和黑名單的維護是由黑名單服務(wù)提供者來承擔，所以該名單的權(quán)威性和可靠性就依賴于該提供者。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)采用了中國反垃圾郵件聯(lián)盟的RBL進行垃圾郵件識別，減少用戶的工作量和設(shè)置難度，同時大大提供了垃圾郵件的識別率。(6) 自動升級技術(shù) SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)提供了黑白名單、關(guān)鍵字權(quán)重庫和垃圾郵件指紋庫自動更新功能，減少了管理員手動升級的麻煩，降低了學校的維護成本，并降低了垃圾郵件的誤判率。5）、IPS（入侵防御系統(tǒng)）系統(tǒng)IPS，即入侵防御系統(tǒng)(Intrusion Prevention System)，是抵制外部網(wǎng)絡(luò)威脅最有效的安全防范技術(shù)。SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)，能夠?qū)λ辛鹘?jīng)網(wǎng)關(guān)的數(shù)據(jù)流進行實時檢測，為學校提供了網(wǎng)絡(luò)級的安全保護。由于采用了特征匹配、協(xié)議分析和異常行為檢測等多項技術(shù)，IPS系統(tǒng)能夠?qū)λ锌梢蓴?shù)據(jù)包實時阻攔，提高了對攻擊行為判斷的準確率，有效保證了學校的網(wǎng)絡(luò)安全。當前，特征匹配是應(yīng)用最廣泛的檢測技術(shù)，具有準確率高、速度快的特點。目前SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)已有3000多種攻擊特征庫，并且每天自動更新數(shù)據(jù)庫。由于采用了嵌入式運行模式，IPS系統(tǒng)能夠?qū)崟r分析經(jīng)過網(wǎng)關(guān)的所有流量，一旦檢測出網(wǎng)絡(luò)數(shù)據(jù)流中含有可疑數(shù)據(jù)，UTM網(wǎng)關(guān)將根據(jù)其所匹配到的攻擊特征規(guī)則，及時進行相應(yīng)處理。IPS系統(tǒng)對所有攻擊特征庫中的規(guī)則自動進行分類，分為高、中、低三個優(yōu)先級別。管理員可以根據(jù)其自身網(wǎng)絡(luò)的安全情況，對相應(yīng)的優(yōu)先級別規(guī)則啟用IPS功能進行相應(yīng)防御，同時還可規(guī)定發(fā)現(xiàn)入侵以后采取防御行為的時間間隔。一旦檢測到可疑數(shù)據(jù)匹配到相應(yīng)規(guī)則，則UTM安全網(wǎng)關(guān)的IPS系統(tǒng)就啟動相應(yīng)的防御措施。比如當啟用中、高級別防御規(guī)則的防御措施時，一旦檢測到可疑數(shù)據(jù)與相對應(yīng)的中、高級別的防御規(guī)則相符，則立即阻隔網(wǎng)絡(luò)會話，并發(fā)出防御通知。而對于低級別的可疑攻擊，IPS系統(tǒng)可記錄下此入侵的類型、所匹配規(guī)則、以及該數(shù)據(jù)包的詳細信息，并立即發(fā)出告警。若在10秒內(nèi)連續(xù)檢測到5次相同的告警，則IPS系統(tǒng)判定為攻擊行為，將立即阻止網(wǎng)絡(luò)會話，并記錄到日志系統(tǒng)。對于所有可疑數(shù)據(jù)，IPS日志系統(tǒng)都將記錄下入侵類型、所匹配規(guī)則、以及該數(shù)據(jù)包特征碼等詳細信息，以便管理員對此次攻擊行為進一步分析和處理。從而達到整體網(wǎng)絡(luò)安全防護的目的。多種安全策略保證了UTM網(wǎng)關(guān)的IPS功能對所有攻擊行為辨別能力高度的準確性，降低了由于IPS誤報給學校帶來的安全風險。深信服的UTM安全網(wǎng)關(guān)除了可以定義對所有流經(jīng)網(wǎng)關(guān)的數(shù)據(jù)進行檢測以外，還可以選擇對特定方向、特定條件的數(shù)據(jù)啟用UTM網(wǎng)關(guān)中的IPS功能。通常，攻擊者的行為往往只針對某些提供特定服務(wù)的IP（比如WEB服務(wù)器）發(fā)起攻擊。而在校園網(wǎng)絡(luò)中，需要重點保護的往往也正是這些重要的服務(wù)器。因而針對某些特殊IP段，特定協(xié)議和端口的保護就顯得尤為重要。SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)制定了多種防御策略，更大程度上保護了校園網(wǎng)絡(luò)的安全。例如，管理員可以針對某些服務(wù)器制定更為嚴格的防護策略，只對符合指定的IP、協(xié)議和端口等相應(yīng)條件的數(shù)據(jù)流開啟IPS功能，降低了UTM網(wǎng)關(guān)開啟IPS所帶來的性能損耗，提高了IPS防御精準度。6）、 網(wǎng)關(guān)殺毒居于內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的關(guān)卡位置，網(wǎng)關(guān)的重要性不言而喻。網(wǎng)關(guān)殺毒，是守住病毒的第一道關(guān)口，有“一夫當關(guān)，萬毒莫開”的氣勢。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)集成來自歐洲著名殺毒廠商“FPROT”的高效殺毒引擎，殺毒速度達到50Mb/s，大大超過大多數(shù)殺毒廠商的網(wǎng)絡(luò)殺毒速度，也大大超過普通學校的Internet帶寬。強大的殺毒功能支持HTTP、SMTP、POPFTP、NETBIOS等多種協(xié)議的數(shù)據(jù)流，不僅可以查殺普通病毒郵件，還可以檢查出各種壓縮包（zip,rar,gzip等）隱藏的病毒。此外，SINFOR UTM安全網(wǎng)關(guān)殺毒功能，還可以針對網(wǎng)站和文件類型進行靈活的設(shè)置。比如可以對于一些公認的安全網(wǎng)站，不啟用殺毒功能。或者有選擇地對某些以exe、dll、dat等為擴展名的容易感染病毒的文件啟用殺毒。UTM網(wǎng)關(guān)的殺毒引擎可指定時間每天自動更新，保護了內(nèi)網(wǎng)所有用戶免受病毒困擾。該殺毒引擎可以更換，用戶可以自由選擇各種殺毒引擎，這種獨特的功能設(shè)計使得AC上網(wǎng)行為管理安全網(wǎng)關(guān)更加靈活、安全地保護學校的信息資源。不含有病毒的文件含有病毒的文件內(nèi)網(wǎng)用戶SINFOR UTM安全網(wǎng)關(guān)互聯(lián)網(wǎng)7 ）、防止DOS攻擊DoS攻擊(拒絕服務(wù)攻擊)，通常是以消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)為目標，通過偽造超過服務(wù)器處理能力的請求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，從而使正常的用戶請求得不到應(yīng)答，以實現(xiàn)其攻擊目的。通常DoS攻擊往往會導(dǎo)致服務(wù)器超負載運作，性能降低，影響正常用戶的登陸，甚至造成服務(wù)器癱瘓。而DDoS(Distributed Denial of Service，分布式拒絕服務(wù)) 是指攻擊者從多個計算機系統(tǒng)上向一個目標系統(tǒng)同時發(fā)起攻擊。因而比起DOS攻擊，危險性更大。通常DDOS攻擊是由黑客手動尋找可入侵的計算機入侵并植入攻擊程序，再下指令攻擊目標。SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊，而且對于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，AC上網(wǎng)行為管理安全網(wǎng)關(guān)也可以進行防御。通過AC上網(wǎng)行為管理安全網(wǎng)關(guān)豐富的日志系統(tǒng)，管理員可以根據(jù)內(nèi)網(wǎng)DOS攻擊日志，查找出學校內(nèi)網(wǎng)中了木馬、或者病毒的用戶，從而及時有效地阻斷由內(nèi)網(wǎng)發(fā)起的DOS攻擊。避免了DOS攻擊造成的校園網(wǎng)絡(luò)帶寬耗盡，或者因發(fā)起DOS攻擊可能產(chǎn)生的法律糾紛。來自外網(wǎng)的DOS攻擊內(nèi)網(wǎng)用戶SINFOR UTM 安全網(wǎng)關(guān)互聯(lián)網(wǎng)對外網(wǎng)的DOS攻擊防御互聯(lián)網(wǎng)SINFOR UTM 安全網(wǎng)關(guān)來自內(nèi)網(wǎng)的DOS攻擊內(nèi)網(wǎng)用戶對內(nèi)網(wǎng)發(fā)起的DOS攻擊防御8）、 強大的VPN功能SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)不僅是一款功能強大的安全網(wǎng)關(guān)，同時也是一款高性能的VPN網(wǎng)關(guān)。UTM網(wǎng)關(guān)具備有SINFOR VPN/防火墻系列產(chǎn)品的全部技術(shù)特性，包括WebAgent動態(tài)IP尋址、HARDCA硬件鑒權(quán)和身份識別、多線路綁定、即插即用的移動客戶端等發(fā)明專利技術(shù)其他VPN特色功能，同時SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)也集成了高速數(shù)據(jù)流壓縮算法、細致的QOS和內(nèi)網(wǎng)權(quán)限設(shè)定、防火墻等特色功能。9）、 多線路優(yōu)勢SINFOR AC上網(wǎng)行為管理安全網(wǎng)關(guān)支持2～6個WAN口，支持最多六條上網(wǎng)線路的疊加，可以輕易地實現(xiàn)多個WAN口之間的負載均衡和線路備份，并支持在多個WAN口上捆綁VPN技術(shù)，大大擴寬了學校的上網(wǎng)帶寬，增強了Internet線路的穩(wěn)定性?；ヂ?lián)網(wǎng)SINFOR UTM 安全網(wǎng)關(guān)內(nèi)網(wǎng)用戶多線路綁定10）、 豐富的數(shù)據(jù)中心日志系統(tǒng)SINFOR UTM網(wǎng)關(guān)擁有強大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對象，按餅圖、柱狀圖、曲線圖等方式進行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、IPS系統(tǒng)、準入規(guī)則、防火墻等詳細信息，并可直接打印和導(dǎo)出報表。SINFOR UTM網(wǎng)關(guān)強大的日志系統(tǒng)和豐富的報表功能，可詳細分析出學校的Internet的詳細使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供了最有效的數(shù)據(jù)支持。功能內(nèi)容詳細指標網(wǎng)絡(luò)流量統(tǒng)計流量統(tǒng)計概要顯示某一段時間內(nèi)指定組的上行流量、下行流量、總流量等，并列出指定組的排名情況。組流量排行可按時間、組等查看指定條件組的上行流量、下行流量、總流量及流量比例等，并可按照柱狀圖、餅狀圖等進行流量排行，可支持歷史記錄查詢。流量日志普通查詢，可設(shè)定對訪問控制組、用戶、IP、端口、時間等進行查詢和排序詳細查詢，還可以詳細定義上行流量、下行流量、總流量的流量大小范圍進行查詢流量趨勢可以指定對訪問控制組、用戶、端口在相應(yīng)時間段內(nèi)的流量用曲線圖直觀地顯示，管理員可非常直觀地了解整個網(wǎng)絡(luò)的使用Internet資源的情況，便于數(shù)據(jù)統(tǒng)計和管理。郵件日志郵件統(tǒng)計概要可對指定時間的郵件總數(shù)、發(fā)送郵件數(shù)、接受郵件數(shù)、源地址總數(shù)、目的地址總數(shù)、包含附件的郵件數(shù)目進行統(tǒng)計，同時可按照郵件類型分布統(tǒng)計出：正常郵件、垃圾郵件、病毒郵件等詳細數(shù)字，并可對訪問控制組、用戶郵件數(shù)目進行排名；郵件排行可按照訪問控制組、郵件類型、郵件地址、用戶郵件、郵件類型分布進行排行，并可選擇餅狀、柱型等多種方式直觀表示排行。郵件查詢對于所有郵件，可按照查詢對象、郵件類型、標題或者正文所含的關(guān)鍵字進行查詢，可輕易查詢相應(yīng)的組、用戶、IP等所對應(yīng)的正常郵件、垃圾郵件、病毒郵件的數(shù)目，以及郵件的狀態(tài)。并可對郵件標題、內(nèi)容、源地址、目的地址、附件信息、郵件狀態(tài)、發(fā)生時間等信息進行詳細查詢。郵件趨勢可對指定用戶、組在相應(yīng)時間段內(nèi)的郵件發(fā)送郵件、接受郵件以及總郵件進行查詢，并用曲線圖直觀地表示。網(wǎng)絡(luò)監(jiān)控監(jiān)控統(tǒng)計摘要顯示指定時間內(nèi)的網(wǎng)絡(luò)監(jiān)控記錄總數(shù)、目標網(wǎng)站總數(shù)、目標IP地址總數(shù)、包含附件的監(jiān)控記錄，同時列出被監(jiān)控的用戶數(shù)和組數(shù)目。并對網(wǎng)絡(luò)活動最活躍的訪問控制組和用戶進行分類顯示。監(jiān)控排行可按照組、用戶、服務(wù)、URL、動作分布進行排名，管理員可充分了解每個內(nèi)網(wǎng)用戶使用Internet資源的具體情況。監(jiān)控查詢簡單查詢：可定義對用戶、組、IP、指定端口、相應(yīng)動作進行查詢復(fù)雜查詢：除了簡單查詢的條件以外，可對目標對象按照目標地址、目標端口等條件進行查詢，并可對訪問目標包含哪些關(guān)鍵字、訪問網(wǎng)站進行查詢，并可對發(fā)生動作、時間段等組合條件進行詳細檢索。監(jiān)控趨勢可對指定用戶、組在相應(yīng)時間段內(nèi)的活動趨勢用曲線圖表示，并用列表詳細表示出具體動作如：訪問網(wǎng)站、FTP、MSN、等在某個時間段的總記錄。準