深信服上网行为管理解决方案(2)

网络监控日志 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看 包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可显示详细的网络安全情况 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析 主要包含日志库信息、日志库查询、日志库切换等功能 管理员可在此新增用户、查询用户 准入规则日志 IPS日志 防火墙日志 日志库管理 用户管理

（四）带宽及流量管理功能：强大的QOS功能及流量分析

SINFOR AC安全网关强大的访问控制和QOS功能可以使得企业合理利用Internet资源，为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。

SINFOR AC安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、telnet等常用软件的内容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。

表3.4：QOS及流量控制功能一览表 功能 QOS保证 详细指标 使用差分业务模型实现QOS 使用随机早期检测RED丢弃算法提供流量控制 流量控制 能针对内网每个用户或者不同的组，限定其上网能占用的带宽资源，使企业内网带宽资源得到充分有效的利用

（五）丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等

作为一个UTM整合式设备，SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外，SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用

户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS（入侵防御系统）功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。

五、SINFOR AC安全网关主要技术优势

（一）深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件

（1）深度的内容检测技术：目前的P2P软件，如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFOR AC安全网关的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。UTM 安全网关内置了多种深度内容检测技术所依赖的特征码规则，并且可以从网站上更新下载。依靠这种技术，SINFOR AC安全网关可以封堵目前所有的P2P软件；避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率，并防止泄密或由于员工泄密引起的重大损失。

（2）在线网关监控技术：与其他旁路监听的访问监控产品不同的是，SINFOR AC使用了在线网关监控技术。所有的旁路监听产品，对UDP发送的数据都难以拦截，并且拦截往往有一定时延，拦截敏感数据的效果不佳，并且容易遗漏监控数据。SINFOR AC的在线拦截监控技术能保证拦截到所有敏感数据，外出数据无一纰漏。

（二）邮件的延迟审计（专利技术）

SINFOR AC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。

SINFOR AC安全网关独创的邮件延迟审计功能，可以对经由AC安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件，AC安全网关会对其进行延迟缓存，只有等待管理员审计后才能发出，确保了企业信息资产不外泄，保证了企业内网信息的安全，且邮件延迟审计对发件人完全透明。

（三）独有的网络访问准入规则（专利技术）

企业的安全隐患，往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患，减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。

网络访问准入规则，是管理员在SINFOR AC安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者防火墙，或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定

制成相应的安全策略。

当用户计算机访问网络请求的数据包通过SINFOR AC安全网关时，若启用了WEB认证，当用户通过WEB认证后，此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序，并根据指定的安全策略启动扫描程序，检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

（四）WEB认证技术

AC安全网关基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后，除了对客户端的本地身份（如：用户名密码认证，LDAP、RADIUS等认证）进行常规性认证以外，还将启用Web认证。当客户端在浏览器中输入任意网址时，AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问Internet。

（五）高度集成，部署灵活

SINFOR AC安全网关很重要的一个特点就是除了作为专用的互联网访问控制设备外，它还是一个整合式的UTM设备，将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体拥有成本。另外，用户在使用AC作为互联网访问控制设备的同时，也可以选择使用AC设备的其他某个或某几个功能模块，比如将AC作为杀毒网关或防火墙等的网络设备使用，可与原有网络安全产品融合，部署灵活的同时也保护了投资。

六、成功典型案例

SINFOR 互联网访问控制设备构建乐凯集团安全网络

乐凯胶片集团公司是我国影像信息记录产业中规模最大、技术最强、产品品种最多、市场覆盖面最广、跨地区跨行业的现代化企业，是国务院国资委出资的189家大型国有企业之一，下属分公司和合资公司共有三十多家，其主导产品乐凯彩色胶卷和彩色相纸双双荣获国家银奖和科技进步一等奖，“乐凯”商标被国家商标局认定为中国驰名商标。

作为一个拥有上千名员工、信息化程度高的技术型企业，乐凯集团像众多企事业一样也面临很多困扰。员工在工作时间上网娱乐、购物、MP3下载等，不仅占用大量带宽，而且还导致员工工作效率的降低。SINFOR AC的使用可帮助乐凯制定和实施一套适合自己企业的互联网使用政策，把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作，提高工作效率，大大降低员工因为不正当使用互联网而受企业处罚或解雇等事件的发生。并且通过过滤掉大量占用带宽的文件及应用，还可以帮助企业最大化网络基础建设和带宽的投资回报。另外，深信服数据报表中心还能支持以图表的方式对局域网内的人员的上网行为进

行分析，如：每天上网情况的分析、访问最频繁的网站分析、上网最多的人员分析等，并提供按时间、服务、网站访问、使用网络流量等多种排行榜。

SINFOR 互联网访问控制设备应用于国家档案局档案科学技术研究所

国家档案局档案科学技术研究所是国家档案局直属的科学技研究机构，基本任务是面向全国档案部门，紧密结合档案工作的实际，开展档案保护技术、修复技术、缩微技术、现代化管理技术及档案标准化等方面的研究。下设办公室、科技处、行政处、技术开发部四个办事机构和档案保护技术、档案管理现代化、档案工作标准化、档案科学技术情报四个研究室。

信息是无价的，一些关键性科研信息的泄露，可能会给科研机构带来无法弥补的损失，深信服AC的邮件延迟审计专利技术可以洞察先机，做到事前防范，让企业高枕无忧。在经过仔细比较方案性价比后，国家档案局档案科技技术研究所最终选择了功能强大的SINFOR AC互联网访问控制设备。作为一款UTM整合式安全设备，SINFOR AC集VPN、防火墙、网关杀毒、内容过滤、防垃圾邮件功能于一体，既可以解决最新科研成果资料泄漏的问题，还能够对本地局域网进行很好的保护，避免病毒和垃圾邮件的困扰，同时还可以对带宽进行优化和管理，很好的解决了国家档案局档案科学技术研究所网络安全面临的各种问题。

北京理工大学选用SINFOR AC互联网访问控制设备

北京理工大学是“理工为主，工理文协调发展”的全国重点大学。其前身是1940年创办的延安自然科学院，是我国首批颁布的全国重点大学，是全国首批建立研究生院的高校，是“七五”、“八五”和“九五”期间国家重点投资建设的学校；也是国家首批“211工程”建设的高校。

学生由于约束力较差，容易在校园网上浏览色情等不健康内容，这也造成病毒以及针对网络的内部攻击次数非常多，需要相应的安全解决方案；另外，学校职能部门网络如办公室、图书馆、教务处由于涉及到学校的重要信息以及相关考试的信息，所以对保密安全等级要求也很高；鉴于教育部对于学校网络实名制以及对于整顿不良信息的规定，学校也需要部署相关的信息安全内容过滤与日志系统——经过对多家方案认真的测试对比后，北京理工大学最终选用了SINFOR AC互联网访问控制设备，完美的实现了对以上问题的解决。

附1：SINFOR AC上网行为管理功能一览表 分类 访问控制 功能 危险网站阻隔 详细指标 使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问 访问控制策略 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 P2P拦截 使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 用户认证 提供Web登录认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能 文件上传下载控制 对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ,MSN等P2P软件的文件传送进行拦截 IPMAC绑定 代理识别功能 提供灵活的IPMAC绑定策略 能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为，从而进行阻断 敏感数据拦截 对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截，以防泄密或引起法律纠纷 访问审计 邮件延迟审计 对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄 实时监控 访问监控 实时监控用户的上网行为。 监控用户所有的上网记录，包括Web访问、Ftp、Telnet、邮件（含Webmail）及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。 流量分析 能按用户、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。 防火墙 状态检测 提供各保护区域的流量过滤功能，基于状态检测和深度内容分析 NAT功能 QOS保证 支持静、动态NAT和NAPT 使用差分业务模型实现QOS 使用随机早期检测RED丢弃算法提供流量控制 DOS防御 使用SYN 代理和DOS智能识别功能对内部服务器提供DOS保护。 网络杀毒 支持协议 Http、Smtp、Pop3、Ftp、NetBios 邮件附件杀毒 查杀压缩文件类型 网页恶意代码过滤 病毒库升级 病毒引擎 报表日志统计 流量统计日志 支持 Zip,gzip,rar,tar,bz2 支持 自动(每天)/手动 F-PROT (可切换引擎) 包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名 包含邮件统计概要、邮件排行、邮件查询、邮件日志 邮件趋势等功能，可详细统计用户所有收发邮件的具体情况 包括监控统计摘要、监控排行、监控查询、网络监控日志 监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 包括准入规则摘要、准入排行、准入查询准入规则日志 等功能，管理员可对内部网络的违规机器进行详细统计和查看 包含IPS日志摘要、IPS排行、IPS查询、IPS日志 IPS趋势等功能，可显示详细的网络安全情况 包含防火墙摘要、防火墙排行、防火墙查防火墙日志 询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析 日志库管理 用户管理

主要包含日志库信息、日志库查询、日志库切换等功能 管理员可在此新增用户、查询用户

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库深信服上网行为管理解决方案(2)在线全文阅读。