【正文】 通過(guò) AC 數(shù)據(jù)中心的內(nèi)容檢索工具，您可以類(lèi)似使用 Google 一樣，從海量日志中查詢(xún)、 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 26 26 審計(jì)您需要的日志記錄，并且支持高級(jí)搜索，支持。 通過(guò)統(tǒng)計(jì)報(bào)表功能，您將直觀的獲得關(guān)于流量、郵件收發(fā)、上網(wǎng)時(shí)間、網(wǎng)絡(luò)行為等方面的詳細(xì)的報(bào)表和圖形化統(tǒng)計(jì)結(jié)果，并且支持導(dǎo)出 PDF 等文檔、 Email 投遞等功能，方便 IT部門(mén)將統(tǒng)計(jì)結(jié)果向機(jī)構(gòu)高層匯報(bào)。 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 25 25 數(shù)據(jù)中心及報(bào)表 記錄員工網(wǎng)絡(luò)行為，不僅滿(mǎn)足公安部 82 號(hào)令等法律要求，又做到了有據(jù)可查。 AC 通過(guò)網(wǎng)絡(luò)準(zhǔn)入規(guī)則 NAR 插件結(jié)合防 ARP 欺騙技術(shù)，保證終端用戶(hù)安全和保障網(wǎng)絡(luò)可用性。 ARP 欺騙有多種，而以上即常見(jiàn)之一。 防 ARP 欺騙 ARP 協(xié)議是 IP 通信中的基本協(xié)議之一。 AC 實(shí)現(xiàn)了基于應(yīng)用的帶寬分配和管理功能，基于應(yīng)用數(shù)據(jù)、用戶(hù) /用戶(hù)組、時(shí)間段、優(yōu)先級(jí)等的流量管理系統(tǒng)，讓機(jī)構(gòu)的帶寬資源得到細(xì)致的優(yōu)化和高效的使用。 強(qiáng)大的流量管理系統(tǒng) 機(jī)構(gòu)有限的 Inter 帶寬資源，承擔(dān)業(yè)務(wù)系統(tǒng)、服務(wù)器和用戶(hù)的各種流量。指定的郵件審核人員會(huì)獲得郵件通知，經(jīng)人為審核后，才允許該Email 郵件發(fā)送到公網(wǎng)上，實(shí)現(xiàn)了對(duì)泄密郵件的封堵，保護(hù)了機(jī)構(gòu)的敏感信息的安全性。 郵件延遲審計(jì) AC 的郵件延遲審計(jì)（ Postponed Sending after Audit, PSA）專(zhuān)利技術(shù)，將敏感郵件阻擋 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 24 24 于內(nèi)網(wǎng)。 目前業(yè)界的解決方案 多數(shù)都無(wú)法對(duì) 、 Skype 的聊天內(nèi)容進(jìn)行監(jiān)控和記錄。 加密聊天內(nèi)容的記錄 “加密化”的趨勢(shì)不僅使明文的 HTTP 網(wǎng)站開(kāi)始轉(zhuǎn)向加密的 HTTPS 網(wǎng)站，各種 IM 聊天工具的聊天內(nèi)容也被加密，如騰訊 、 TM、 Skype 等。 通過(guò) AC 的網(wǎng)絡(luò)準(zhǔn)入規(guī)則，修補(bǔ)內(nèi)網(wǎng)安全短板，避免病毒、木馬等輕易感染內(nèi)網(wǎng)主機(jī)，利于機(jī)構(gòu)推行統(tǒng)一的 IT 政策。 SIA 檢測(cè)端點(diǎn)主機(jī)是否遵從管理者設(shè)定的安全策略，如操作系統(tǒng)版本和補(bǔ)丁安裝情況、殺毒 /防火墻軟件及更新情況、系統(tǒng)進(jìn)程、硬盤(pán)文件、注冊(cè)表等。 鑒于此， AC 網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)通過(guò)對(duì)端點(diǎn)安全評(píng)估和訪問(wèn)控制實(shí)現(xiàn)全方位安全防護(hù)。 2. 邊緣網(wǎng)關(guān)設(shè)備無(wú)法防止來(lái)自局域網(wǎng)內(nèi)部的濫用、攻擊和破壞。 網(wǎng)絡(luò)準(zhǔn)入規(guī)則 AC 的網(wǎng)絡(luò)準(zhǔn)入規(guī)則（ Network Admission Rules, NAR）通過(guò)對(duì)客戶(hù)端的評(píng)估來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制，并更好的維護(hù)網(wǎng)絡(luò)安全防線。總裁使用該“免審計(jì) Key”認(rèn)證后，AC 從底層免除對(duì)總裁的一切記錄。但如果“非善意”人員私下重新配置設(shè)備對(duì)敏感用戶(hù)進(jìn)行行為記錄，怎么辦？ 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 23 23 AC 正是考慮到用戶(hù)可能面臨的以上風(fēng)險(xiǎn)和威脅，推出了“免審計(jì) Key”功能。 P2P 智能識(shí)別：種類(lèi)泛濫的 P2P 行為，靜態(tài)“應(yīng)用識(shí)別規(guī)則”已經(jīng)捉襟見(jiàn)肘，通過(guò) P2P智能識(shí)別，識(shí)別不常見(jiàn)、未來(lái)可能出現(xiàn)的 P2P 行為，進(jìn)而封堵、流控和審計(jì)。 b) 文件類(lèi)型識(shí)別：以 HTTP、 FTP 上傳下載的文件，無(wú)論是非標(biāo)準(zhǔn)端口的 FTP 行為，還是輸入 URL 地址后通過(guò)頁(yè)面跳轉(zhuǎn)下載文 件， AC 都能識(shí)別、控制和審計(jì)。 AC 的多種應(yīng)用識(shí)別技術(shù)，全面識(shí)別各種應(yīng)用、進(jìn)而管控和審計(jì)。 全面的應(yīng)用識(shí)別 作為上網(wǎng)行為管控方案，必須能對(duì)應(yīng)用全面識(shí)別。 對(duì)于通過(guò) Proxy Server 代理上網(wǎng)的情況， AC 可以很好地適應(yīng)并發(fā)揮其作用。對(duì) P2P 的管控包括封堵和流控兩方面，即全面禁止指定部門(mén)使用 P2P 軟件，或允許其使用，但對(duì) P2P 行為占用的帶寬資源進(jìn)行限制和管理，既實(shí)現(xiàn)帶寬使用的優(yōu)化，又為機(jī)構(gòu)員工提供了人性化的管理方式。 AC 的深度內(nèi)容檢測(cè) TCD 技術(shù)對(duì)常 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 22 22 用 P2P 軟件進(jìn)行識(shí)別； P2P 行為特征的智能分析技術(shù)實(shí)現(xiàn)對(duì)不常見(jiàn)和未來(lái)可能出現(xiàn)的 P2P應(yīng)用的識(shí)別，為您提供了全面、高效的 P2P 行為管控手段。如何對(duì) P2P 行為進(jìn)行全面有效的管控成為業(yè)界的難題之一。釣魚(yú)網(wǎng)站采用非可信頒發(fā)機(jī)構(gòu)的數(shù)字證書(shū)，可以蒙騙用戶(hù)，但卻被 AC 識(shí)別和過(guò)濾，避免了用戶(hù)和機(jī)構(gòu)的經(jīng)濟(jì)損失?？梢?jiàn)如果不能甄別和過(guò)濾 SSL 加密網(wǎng)頁(yè)，則該行為管理方案、網(wǎng)絡(luò)過(guò)濾設(shè)備是不完備的。您訪問(wèn)網(wǎng)上銀行時(shí)看到地址欄是“ HTTPS”形式的 URL 地址，網(wǎng)頁(yè)正文點(diǎn)擊右鍵可以看到數(shù)字證書(shū)、瀏覽器右下角有小鎖頭標(biāo)示。 反釣魚(yú)網(wǎng)站功能 網(wǎng)絡(luò)“釣魚(yú) 者”通過(guò)偽造與網(wǎng)上銀行、網(wǎng)上購(gòu)物等網(wǎng)上交易頁(yè)面極其相似的界面，使用戶(hù)毫不知情時(shí)泄露自己的賬戶(hù)信息，導(dǎo)致銀行資金被“網(wǎng)絡(luò)姜太公”輕易盜取。內(nèi)網(wǎng)員工采用域賬號(hào)登陸操作系統(tǒng)后，自動(dòng)通過(guò) AC 認(rèn)證，簡(jiǎn)化用戶(hù)操作，且合作伙伴等第三方人員接入機(jī)構(gòu)內(nèi)網(wǎng)后將自動(dòng)禁止訪問(wèn) Inter，進(jìn)一步降低機(jī)構(gòu)信息資產(chǎn)外泄的風(fēng)險(xiǎn)。 六、 SINFOR AC 安全網(wǎng)關(guān)主要技術(shù)優(yōu)勢(shì) 單點(diǎn)登陸技術(shù) AC 為內(nèi)網(wǎng)員工提供賬號(hào) /密碼等認(rèn)證方式，結(jié)合 單點(diǎn)登錄技術(shù) (Single Sign On, SSO)將避免手工輸入帳號(hào)信息以簡(jiǎn)化操作。需求方并可和深信服科技簽訂維護(hù)保障合同，服務(wù)內(nèi)容同上，金額按本次合同金額的 ％ 計(jì)算。天 的標(biāo)準(zhǔn)收取服務(wù)費(fèi)用。以下是目前能提供上門(mén)服務(wù)的區(qū)域分布圖： 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 20 20 如果上述區(qū)域之外的客戶(hù)要求提供上門(mén)服務(wù)，需支付深信服工程師相應(yīng)的差旅、住宿費(fèi)用。 ? 上門(mén)服務(wù)（限有辦事機(jī)構(gòu)地區(qū)） 驗(yàn)收合格 1 年 內(nèi)，深信服公司提供 5 次 上門(mén)維護(hù)。 ? 設(shè)備升級(jí) 1 年 質(zhì)保期內(nèi)，如 日 報(bào)機(jī)構(gòu)同型號(hào)設(shè)備有任何升級(jí)動(dòng)作，深信服將在第一時(shí)間告知 日 報(bào)機(jī)構(gòu)并建議升級(jí)。 5． 2 技術(shù)服務(wù)支持 ? 一年免費(fèi)電話支持服務(wù)： 免費(fèi)技術(shù)支持熱線 ： 8008306430 深信服公司提供以上技術(shù)支持熱線的 7 24 小時(shí)技術(shù)支持服務(wù) ? 遠(yuǎn)程技術(shù)支持服務(wù) 驗(yàn)收合格 1 年 內(nèi)，深信服科 技免費(fèi)提供遠(yuǎn)程技術(shù)支持服務(wù)，即：出現(xiàn)網(wǎng)絡(luò)故障，通過(guò)電話支持無(wú)法解決的情況下，可通過(guò)遠(yuǎn)程調(diào)試技術(shù)支持服務(wù)予以協(xié)助解決。 ? 實(shí)施結(jié)束后，如果 日 機(jī)構(gòu)驗(yàn)收不合格，則由深信服負(fù)責(zé)找出原因并改進(jìn)，直至驗(yàn)收合格。 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 19 19 五、實(shí)施與售后服務(wù) 深信服科技將在提供產(chǎn)品的同時(shí)向 機(jī)構(gòu) 提供從安裝實(shí)施到售后技術(shù)支持的一系列服務(wù)，具體內(nèi)容包括： 5． 1 安裝和實(shí)施 ? 深信服與 機(jī)構(gòu) 商定實(shí)施工 期、制定實(shí)施計(jì)劃和驗(yàn)收標(biāo)準(zhǔn)。 AC 通過(guò)獨(dú)立數(shù)據(jù)中心實(shí)現(xiàn)行為日志海量存儲(chǔ)，結(jié)合圖形化的報(bào)表、查詢(xún)、統(tǒng)計(jì)工具，和內(nèi)容檢索工具，讓機(jī)構(gòu)的管理者可以輕松掌控您的網(wǎng)絡(luò)和內(nèi)部員工的網(wǎng)絡(luò)訪問(wèn)行為。 AC 的訪問(wèn)控制系統(tǒng)通過(guò)對(duì) HTTP、 FTP、 IM 軟件、郵件收發(fā)的內(nèi)容檢測(cè)和控制，可以阻止員工攪入版權(quán)問(wèn)題；同樣，當(dāng)員工已經(jīng)出現(xiàn)違法違規(guī)問(wèn)題時(shí)，你可以在 AC 的數(shù)據(jù)中心中 找到其違規(guī)記錄，進(jìn)而使機(jī)構(gòu)擺脫不必要的糾紛。 對(duì)合作伙伴、新員工接入內(nèi)網(wǎng)的認(rèn)證，通過(guò) AC 提供的完整身份認(rèn)證體系：可以啟用Web 方式的用戶(hù)名 /密碼認(rèn)證， IP 和 MAC 地址綁定，或與機(jī)構(gòu)的 Radius、 LDAP、微軟域控服務(wù)器聯(lián)動(dòng)， AC 甚至可以借助機(jī)構(gòu)的 POP3 郵件服務(wù)器、 PROXY 服務(wù)器上的用戶(hù)帳號(hào)數(shù)據(jù)，對(duì)接入用戶(hù)進(jìn)行強(qiáng)身份認(rèn)證，未經(jīng)授權(quán)的局域網(wǎng)接入用戶(hù)將無(wú)法訪問(wèn)任何網(wǎng)絡(luò)資源。 外發(fā)信息控制 員工們更多選擇使用 IM 軟件、 Email、 BBS、論壇、個(gè)人博客等方式將辦公室和機(jī)構(gòu)內(nèi)信息發(fā)布出去。 3． 4 避免法律風(fēng)險(xiǎn) 身邊的網(wǎng)絡(luò)違法事件也層出不窮：網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)造謠和 非法言論等。 ARP(Address Resolution Protocol)協(xié)議原本用于“從 IP 地址尋找 MAC 地址”，但病毒等引起的 ARP 欺騙導(dǎo)致子網(wǎng)內(nèi)所有用戶(hù)無(wú)法訪問(wèn) Inter，定位故障點(diǎn)又頗為麻煩。來(lái)自外網(wǎng)的 DOS 攻擊 AC 能防御；而來(lái)自?xún)?nèi)網(wǎng)的 DOS 攻擊，不僅吞噬帶寬，還將影響出口網(wǎng)關(guān)的穩(wěn) 定。借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)（ Network Admission Rules， NAR）（專(zhuān)利號(hào)： ）， AC 將檢測(cè)接入終端的操作系統(tǒng)及補(bǔ)丁、殺毒 /防火墻軟件等安全狀況，不安裝、不運(yùn)行指定安全軟件，就不允許接入 Inter，從而修復(fù)內(nèi)網(wǎng)安全短板。 IT 部門(mén)要求用戶(hù)操作系統(tǒng)及時(shí)更新、安裝指定殺毒 /防火墻軟件并保持更新等，但并非所有用戶(hù)都能遵從，進(jìn)而形成內(nèi)網(wǎng)安全短板。而此類(lèi)行為和流量經(jīng)過(guò) AC 時(shí)， AC 首先限制用戶(hù)通過(guò) HTTP、 FTP 上傳下載指定類(lèi)型的文件，對(duì)于允許傳輸?shù)奈募?AC 的網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。 通過(guò) HTTP、 FTP 從互聯(lián) 網(wǎng)下載的文件，往往打開(kāi)或運(yùn)行后導(dǎo)致用戶(hù)電腦感染病毒、木馬，甚至癱瘓。 AC 通過(guò)證書(shū)驗(yàn)證鏈接黑白名單技術(shù)，過(guò)濾含有不可信任數(shù)字證書(shū)的 SSL 網(wǎng)站，實(shí)現(xiàn)對(duì) SSL 加密過(guò)的色情、邪教、釣魚(yú)網(wǎng)站等的過(guò)濾。 3． 3 保障內(nèi)網(wǎng)安全 多數(shù)機(jī)構(gòu)已經(jīng)在公網(wǎng)接口處部署了防火墻、 IDS 等設(shè)備，但內(nèi)網(wǎng)依然病毒頻發(fā)、攻擊不斷，是何原因？堡壘最容易從內(nèi)部突破，內(nèi)網(wǎng)員工主動(dòng)“邀請(qǐng)”病毒、木馬等進(jìn)入內(nèi)網(wǎng)！ 攔截不良網(wǎng)頁(yè) AC 內(nèi)置自動(dòng)更新的海量 URL 庫(kù)，包括色情、反動(dòng)等分類(lèi)，潛藏在此類(lèi)網(wǎng)站中的威脅將被 AC 輕松過(guò)濾； AC 允許用戶(hù)手工添加新 URL 分類(lèi)；再過(guò)濾用戶(hù)通過(guò)搜索引擎搜索的關(guān)鍵字、過(guò)濾 URL 地址關(guān)鍵字和網(wǎng)頁(yè)正文關(guān)鍵字，實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)頁(yè)的全面過(guò)濾，降 低內(nèi)網(wǎng)員工訪問(wèn)不良網(wǎng)頁(yè)和危險(xiǎn)網(wǎng)頁(yè)的可能。 上網(wǎng)時(shí)間管理 每個(gè)機(jī)構(gòu)都有其工作時(shí)間安排，所以，根據(jù)不同時(shí)間段為用戶(hù)分配網(wǎng)絡(luò)訪問(wèn)權(quán)限，是專(zhuān)業(yè)上網(wǎng)行為管理設(shè)備必須考慮的問(wèn)題之一。 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 17 17 各種行為的管理 網(wǎng)頁(yè)過(guò)濾、 IM 聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對(duì) Skype、 Yahoo Messenger、飛信等眾多 IM 軟件， IT 管理員使用現(xiàn)有防火墻等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，通過(guò)封堵端口和服務(wù)器 IP 的方式，不僅費(fèi)時(shí)費(fèi)力且無(wú)法根治。AC 能針對(duì)不同用戶(hù) (組 )提供基于角色的管理方法，讓管理者實(shí)現(xiàn)指定的員工和部門(mén)在工作時(shí)間只能訪問(wèn)特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門(mén)戶(hù)網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁(yè)瀏覽都將被拒絕。 AC 針對(duì)不同用戶(hù) (組 )結(jié)合具體應(yīng)用進(jìn)行合理的帶寬通道劃分，如為內(nèi)網(wǎng)服務(wù)器提供充足帶寬；保障市場(chǎng)部 Email 收發(fā)的帶寬需求，且為市場(chǎng)部每位員工平均分配帶寬資源，既防止帶寬濫用，又提升了帶寬的使用效率。 帶寬統(tǒng)計(jì)和管理 AC 的數(shù)據(jù)中心對(duì)內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)行為進(jìn)行記錄、審計(jì)、統(tǒng)計(jì)及趨勢(shì)、報(bào)表等。單純禁止使用 P2P 可能導(dǎo)致用戶(hù)不滿(mǎn)或?qū)嵤├щy， AC 為您提供的P2P 流控技術(shù)，將限制指定用戶(hù)開(kāi)啟 P2P 后占用的帶寬。 P2P 軟件的控制 P2P 行為對(duì)帶寬的吞噬能力眾所周知，而每天不斷發(fā)布的新 P2P 軟件，讓大多數(shù)控制工具 只 能 封 堵 “昨 天 的 BT 軟 件 ”。再結(jié)合多線路智能選路技術(shù) （專(zhuān)利號(hào)： ），內(nèi)網(wǎng)員工訪問(wèn)不同運(yùn)營(yíng)資源時(shí)， AC 能夠自動(dòng)為用戶(hù)匹配最佳出口。 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值 第 頁(yè) 15 15 2． 4 實(shí)施效果 如圖： 從圖中看出 機(jī)構(gòu)在實(shí)施深信服的上網(wǎng)行位管理后不僅在內(nèi)網(wǎng)管理方面得到了很好的支持，并且解決了機(jī)構(gòu)分支互聯(lián)的安全性問(wèn)題 。 機(jī)構(gòu)上網(wǎng)行為管理解決方案 深信服科技 提升帶寬價(jià)值