【正文】 、LDAP、AD聯(lián)動(dòng)，AC甚至可以借助現(xiàn)有POP3郵件服務(wù)器、PROXY服務(wù)器上的用戶帳號(hào)數(shù)據(jù)，對(duì)接入用戶進(jìn)行強(qiáng)身份認(rèn)證，避免未經(jīng)授權(quán)的接入用戶訪問互聯(lián)網(wǎng)。傳統(tǒng)設(shè)備處理泄密郵件時(shí)只能將其拷貝存儲(chǔ)留作證據(jù)，但泄密郵件已經(jīng)外發(fā)，損失已經(jīng)造成。但存心的泄密者往往將Email附件壓縮、加密、修改后綴名、刪除后綴名等試圖躲過攔截與審查，即便如此SANGFOR AC仍然能夠?qū)σ陨闲袨檫M(jìn)行識(shí)別和行報(bào)警，幫助組織強(qiáng)化信息資產(chǎn)保障措施?！?外發(fā)文件控制從互聯(lián)網(wǎng)下載論文、軟件、音視頻等，不僅可能引入病毒、木馬還存在將組織卷入版權(quán)糾葛的風(fēng)險(xiǎn)；而通過HTTP、FTP等外發(fā)文件則又存在泄密可能?！?網(wǎng)絡(luò)言論過濾策略論壇灌水、頂貼、人肉搜索等不僅降低工作效率，同時(shí)也潛在給組織帶來法律風(fēng)險(xiǎn)。而且AC還支持基于關(guān)鍵字過濾用戶向公網(wǎng)發(fā)布的網(wǎng)絡(luò)言論、帖子等，即便成功發(fā)布到互聯(lián)網(wǎng)的言論AC也能詳細(xì)記錄，通過數(shù)據(jù)中心提供的報(bào)表、查詢工具方便管理者審計(jì)，避免組織遭遇的法律壓力。并且AC可實(shí)現(xiàn)員工只有使用帳號(hào)登錄論壇、Webmail后才允許發(fā)表言論，從而避免員工的抵觸情緒，同時(shí)確保網(wǎng)絡(luò)言論和員工身份的對(duì)應(yīng)。■ 法律遵從和舉證AC有效過濾和攔截色情、反動(dòng)等網(wǎng)站的訪問、過濾非法網(wǎng)絡(luò)言論的發(fā)表，即使逃脫過濾進(jìn)入互聯(lián)網(wǎng)的非法行為等，也可在AC數(shù)據(jù)中心中找到相關(guān)記錄作為法律舉證的依據(jù)。無論內(nèi)置/外置數(shù)據(jù)中心，AC都為管理者提供豐富的日志查詢、統(tǒng)計(jì)、自動(dòng)報(bào)表等工具。 提升工作效率上班時(shí)間無關(guān)網(wǎng)頁瀏覽、IM聊天、在線炒股、網(wǎng)絡(luò)游戲等上網(wǎng)行為降低了組織的生產(chǎn)效率，如何在上班時(shí)間對(duì)內(nèi)網(wǎng)員工的上網(wǎng)行為進(jìn)行管理和引導(dǎo)？■ 網(wǎng)頁訪問行為管理 上班時(shí)間瀏覽新聞網(wǎng)站、論壇灌水、寫博客、參與網(wǎng)絡(luò)虛擬活動(dòng)等讓管理遭受挑戰(zhàn)。然而Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)頁已經(jīng)超過一萬億、有的網(wǎng)頁非法，如何管理？靜態(tài)URL地址庫明顯不足。 但網(wǎng)上銀行、網(wǎng)上購物、釣魚網(wǎng)站等的興起，以及色情、反動(dòng)網(wǎng)站等正逐步采用SSL加密，傳統(tǒng)封堵TCP 443端口的方式將阻斷網(wǎng)上銀行的操作，只有借助AC的SSL證書驗(yàn)證技術(shù)（專利號(hào)：）才能有效過濾非法加密網(wǎng)址、允許合法加密網(wǎng)址的訪問。有別于防火墻IP+端口的落后管控方式，SANGFOR AC具有全流量識(shí)別技術(shù)，無論使用什么端口、什么協(xié)議、是否加密，AC都可以準(zhǔn)確識(shí)別。處于管理需要，在不方便封堵時(shí)，管理員還可以針對(duì)特定應(yīng)用程序進(jìn)行流量控制的管理。SANGFOR AC基于應(yīng)用協(xié)議的深度內(nèi)容檢測技術(shù)能夠完美的幫助管理員實(shí)現(xiàn)對(duì)各種IM工具的完全封堵。但由于、Skype、飛信、MSNShell等眾多IM工具都采用加密方式傳輸，讓業(yè)界很多廠商都束手無策?！?上網(wǎng)時(shí)間管理非工作時(shí)間允許員工適度上網(wǎng)能夠使組織在確保效率的同時(shí)體現(xiàn)足夠的人情味，所以，根據(jù)不同時(shí)間段為用戶分配網(wǎng)絡(luò)訪問權(quán)限是上網(wǎng)行為管理過程中需要考慮的問題之一。 提升內(nèi)網(wǎng)可靠可用性面對(duì)互聯(lián)網(wǎng)威脅，雖然許多組織已經(jīng)部署防火墻、IDS等設(shè)備，但內(nèi)網(wǎng)依然病毒頻發(fā)、攻擊不斷，堡壘最容易從內(nèi)部突破，內(nèi)網(wǎng)員工不受控的互聯(lián)網(wǎng)訪問行為將主動(dòng)“邀請”病毒、木馬等進(jìn)入內(nèi)網(wǎng)，如何應(yīng)對(duì)這些導(dǎo)致傳統(tǒng)安全技術(shù)失效的上網(wǎng)行為所帶來的風(fēng)險(xiǎn)？■ 危險(xiǎn)資源過濾 通過AC內(nèi)置自動(dòng)更新的海量URL地址庫、結(jié)合搜索引擎輸入關(guān)鍵字過濾、基于網(wǎng)頁正文關(guān)鍵字過濾網(wǎng)頁、SSL加密網(wǎng)頁識(shí)別與過濾、以及基于人工智能的網(wǎng)頁智能分析系統(tǒng)，幫助組織徹底避免因?yàn)樵L問非法網(wǎng)頁、危險(xiǎn)網(wǎng)頁而帶來的風(fēng)險(xiǎn)。即使通過IM工具傳文件，AC也可以在允許用戶使用IM文本聊天的同時(shí)全面封堵各種IM工具的傳文件功能?！?網(wǎng)關(guān)殺毒功能 震蕩波、沖擊波、熊貓燒香等病毒的泛濫嚴(yán)重影響組織網(wǎng)絡(luò)的可靠性、可用性，但單純依賴桌面殺毒軟件并不能有效解決病毒問題，從源頭上查殺并清除病毒是桌面防毒體系的有力補(bǔ)充。 ■ 修復(fù)內(nèi)網(wǎng)安全短板 組織內(nèi)網(wǎng)的可靠可用性取決于最薄弱的一環(huán)。一旦該“短板用戶”訪問危險(xiǎn)網(wǎng)站、下載含病毒文件、執(zhí)行非法程序等，極易導(dǎo)致自己感染并影響整個(gè)內(nèi)網(wǎng)用戶群?！?異常流量感知 隨U盤等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己，通常會(huì)通過常用的TCP 80、442110等端口泄漏內(nèi)網(wǎng)機(jī)密數(shù)據(jù)及接受黑客控制?！?防DOS、防ARP欺騙 即使采取眾多措施，威脅和風(fēng)險(xiǎn)仍無孔不入。傳統(tǒng)防火墻等網(wǎng)關(guān)能夠防御來自外網(wǎng)的DOS攻擊但對(duì)來自內(nèi)網(wǎng)的DOS攻擊卻無能為力，定位于上網(wǎng)行為管理解決方案的SANGFOR AC通過檢測流量和異常網(wǎng)絡(luò)行為等技術(shù)，徹底防御來自外網(wǎng)和內(nèi)網(wǎng)的DOS攻擊。 管理網(wǎng)絡(luò)帶寬■ 管理員分級(jí)管理可以按照組織的行政架構(gòu)在SANGFOR AC上配置用戶分組結(jié)構(gòu)，典型的是樹形用戶分組結(jié)構(gòu)，并包括子組、父組等。可以為AC上的用戶組A配置ReadOnly權(quán)限的管理員A配置ReadWrite權(quán)限的管理員A2，A2只可修改用戶組A（而不能修改其他用戶組）的上網(wǎng)策略、用戶等，但A1則只能查看而不能修改?！?上網(wǎng)策略強(qiáng)制繼承總裁要求整個(gè)公司都不允許使用，但如何確保“禁止”這條上網(wǎng)行為管理策略能夠在眾多部門對(duì)應(yīng)的AC用戶分組上得到實(shí)施，并且確?！敖埂钡牟呗圆粫?huì)被部門管理員修改、刪除、繞過？這通過SANGFOR AC的上網(wǎng)策略強(qiáng)制繼承輕松實(shí)現(xiàn)。嚴(yán)格的上網(wǎng)策略控制幫助組織更好使用互聯(lián)網(wǎng)。從而確保分支機(jī)構(gòu)無專業(yè)人員也一樣快速部署、遠(yuǎn)程監(jiān)控和排障，統(tǒng)一的上網(wǎng)策略可以在整個(gè)組織得到貫徹和執(zhí)行，日志集中管理和審計(jì)等要求，極大的方便大型組織機(jī)構(gòu)部署上網(wǎng)行為管理解決方案?；谠谏暇W(wǎng)行為管理領(lǐng)域的豐富經(jīng)驗(yàn)，我們強(qiáng)烈建議您按照順序閱讀，這樣會(huì)使上網(wǎng)行為的管理更具方向性，且有助于后期的管理和維護(hù)?？梢酝耆凑战M織的行政架構(gòu)在SANGFOR AC上建立樹形用戶分組結(jié)構(gòu)，實(shí)現(xiàn)父組、子組、組內(nèi)套組等要求。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，AC還能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理者維護(hù)AD這一套組織結(jié)構(gòu)。用戶帳號(hào)還支持生效時(shí)間的設(shè)定、支持多人共用同一帳號(hào)等，豐富的帳號(hào)策略使得管理者可以自由的根據(jù)實(shí)際情況合理調(diào)整。 建立身份認(rèn)證體系沒有嚴(yán)格的認(rèn)證就無法有效區(qū)分用戶，也就無法部署差異化授權(quán)和審計(jì)策略，自然無法有效防御身份冒充、權(quán)限擴(kuò)散與濫用等。值得一提的是當(dāng)用戶通過Web認(rèn)證后管理者可以向其定向顯示指定網(wǎng)頁、而未認(rèn)證通過的用戶也可以為其分配受限的互聯(lián)網(wǎng)訪問權(quán)限。管理員可以統(tǒng)計(jì)指定時(shí)間段指定分組或用戶的流量情況，通過餅狀圖、柱狀圖、曲線圖等直觀展現(xiàn)；還可基于用戶進(jìn)行上行流量、下行流量、總流量等排名，找到流量最活躍的員工。當(dāng)您面對(duì)數(shù)據(jù)中心的Web頁面，通過幾次鼠標(biāo)點(diǎn)擊就發(fā)現(xiàn)網(wǎng)絡(luò)及管理中存在的問題時(shí)，您將感受到領(lǐng)先技術(shù)帶來的極富樂趣的用戶體驗(yàn)。而只要您同時(shí)連接電信和網(wǎng)通線路于AC，AC的多線路智能選路技術(shù)（專利號(hào)：），將為員工的Internet流量自動(dòng)優(yōu)選最佳出口，解決跨運(yùn)營商的帶寬瓶頸問題，同時(shí)兼具負(fù)載均衡、線路備份等功能，大幅提升訪問速度和可靠性。 除了限制非業(yè)務(wù)應(yīng)用對(duì)帶寬的占用，同時(shí)要保證業(yè)務(wù)應(yīng)用的帶寬需求。從上圖可以看出，AC支持的流量管理策略非常全面。當(dāng)您了解了帶寬的使用情況，并對(duì)帶寬進(jìn)行優(yōu)化和分配后，我們即將對(duì)用戶(組)的上網(wǎng)行為做進(jìn)一步的管理和控制。由于互聯(lián)網(wǎng)的容量爆炸性增長，Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)址超過一萬億個(gè)，采用靜態(tài)URL庫顯然不夠，因此AC還支持基于內(nèi)容的過濾手段，包括過濾用戶通過搜索引擎搜索的指定關(guān)鍵字、過濾包含指定關(guān)鍵字的網(wǎng)頁、過濾含指定關(guān)鍵字的URL地址等。 細(xì)心的您可能已經(jīng)發(fā)現(xiàn)網(wǎng)上銀行、在線購物、釣魚網(wǎng)站等都采用了SSL加密技術(shù)，包括試圖逃避過濾的反動(dòng)和色情網(wǎng)站等危險(xiǎn)站點(diǎn)等，“加密化”已經(jīng)成為網(wǎng)絡(luò)發(fā)展的趨勢，如何管控？有的解決方案通過中間人攻擊原理解密SSL加密流量從而過濾，但網(wǎng)上銀行的帳號(hào)、密碼等也將被解密，存在極大安全風(fēng)險(xiǎn)。組織往往需要通過時(shí)間計(jì)劃給予網(wǎng)絡(luò)管理更多的人情味。 管理IM即時(shí)通訊工具權(quán)威統(tǒng)計(jì)顯示國內(nèi)網(wǎng)民最常使用的IM工具依次為、飛信、MSN、Skype。以下是SANGFOR AC提供的對(duì)IM從禁止、監(jiān)管、再到安全防御的解決方案。同時(shí)AC可實(shí)現(xiàn)允許指定部門/用戶（如市場部）通過IM與客戶溝通，但禁止IM傳文件、IM語音視頻通話、玩IM游戲等，輕松、靈活管控IM。AC的聊天內(nèi)容同步偵聽（Realtime Monitor for Messages , RMM)技術(shù)能夠記錄各種加密聊天內(nèi)容，這在業(yè)界是屈指可數(shù)的，領(lǐng)先的技術(shù)使得深信服研發(fā)部門能夠快速跟進(jìn)任何一款新推出的IM工具，并推出針對(duì)性的升級(jí)策略使得AC支持對(duì)各種新IM工具的聊天監(jiān)控功能。 安全防御 IM好友發(fā)來的URL鏈接、文件等，可能將病毒、木馬、流氓軟件送入內(nèi)網(wǎng)，這也是組織已經(jīng)購買防火墻、部署殺毒軟件后仍然病毒層出不窮的原因之一：堡壘從內(nèi)部被攻破了！AC的深度內(nèi)容檢測技術(shù)能夠禁止用戶使用IM傳遞文件，IM好友發(fā)送的URL地址，員工打開過程中將被AC過濾和控制。 控制BT等P2P行為封種子服務(wù)器IP、封種子資源網(wǎng)站、封端口的P2P管理方式讓管理員忙的焦頭爛額卻得不到滿意的效果。常用、普及的P2P軟件，AC深度內(nèi)容檢測技術(shù)實(shí)現(xiàn)對(duì)其管控和封堵。 盡管已經(jīng)內(nèi)置了豐富的P2P識(shí)別規(guī)則，但新的P2P應(yīng)用層出不窮，員工可以從網(wǎng)絡(luò)上獲得各種P2P工具，還有更多不常見和未來可能出現(xiàn)的P2P軟件如何管控？AC采用網(wǎng)絡(luò)行為智能分析技術(shù)(Network Behaviors Intelligence Analysis , NBIA），基于統(tǒng)計(jì)學(xué)分析原理，實(shí)現(xiàn)對(duì)各種P2P的智能識(shí)別和封堵，為用戶提供了一勞永逸的P2P管控解決方案。 控制其他網(wǎng)絡(luò)應(yīng)用行為員工的上網(wǎng)行為遠(yuǎn)不止此，管理者還需關(guān)注在線炒股、網(wǎng)絡(luò)游戲、在線視頻（RTSP、MMS、Flash、RealMedia等）等。同時(shí)AC允許有編程基礎(chǔ)的網(wǎng)絡(luò)管理員自行添加、修改和導(dǎo)入自定義的網(wǎng)絡(luò)應(yīng)用識(shí)別規(guī)則。對(duì)于局域網(wǎng)內(nèi)出現(xiàn)的AC未能識(shí)別和控制的新應(yīng)用，管理員如果無法自行編制對(duì)應(yīng)的識(shí)別策略，僅需將所需控制的應(yīng)用程序名稱、版本號(hào)以及下載地址提交給深信服客服中心，我們將在三個(gè)工作日內(nèi)提供最新的識(shí)別策略，并幫助用戶完成對(duì)該應(yīng)用的封堵和管控。AC不僅能過濾、記錄員工通過Mail（包括Webmail）、BBS、Blog、空間等工具發(fā)布的網(wǎng)絡(luò)言論，還能實(shí)時(shí)報(bào)警。對(duì)于使用HTTP、FTP等方式傳送文件所引發(fā)的風(fēng)險(xiǎn)（如將研發(fā)部的核心代碼發(fā)送出去），AC首先可以禁止用戶使用HTTP、FTP上傳下載指定類型的文件，對(duì)于上傳的文件AC也可以全面記錄文件內(nèi)容，做到有據(jù)可查。但存心的泄密者通常會(huì)更改文件后綴名、刪除后綴名、壓縮、加密等，再通過Email外發(fā)、或通過HTTP、FTP上傳，AC對(duì)以上行為同樣可以識(shí)別