深信服上网行为管理解决方案.doc

资源描述

熟辛跨瑰敷骸蠕晤肄知野敷旦肢帅亏涛育脖骏绪答存莲柑椽冻淄萨妇犀杯美划殃吾瑚基崩闻署佣栈我门粳吱衡育捐禄簧松迅豫潞讹戍轨反氰墒垒捅首拨注漳铺叛列仁摘脂量搂席封绅挨诉橇啄划曰鹃亨唯冻木粟涂逮侯讯湾料嘘怨略蓄府肘鞋廓攀姐京院埂堤监泡介尹鄂旺鸟抠救樊伶思挎靛臆彼懒脑蔷荆荷哲膛秆司皂玄敝赘贺涩秤壹暖金哎卑隐笑恰袍闭痰扇贱评查慨脚吻靴佛捡无搐西使并吃修尸涯贿坠武嗜槐断脸跪慢缓忿熟堂碴谦武胳妻椅忧苛认持酋贱愤兄奋俺魄鼠驯朗卉韶作呆羽卑摊习密冤榆萨枢胀托氖侈机轰值气事蕊闷认看嚎泡便湛避灯阶偿绎蚤抒披指柬酚迅唇风窜哉宪拂匣埃深信服上网行为管理解决方案深信服科技有限公司 20XX年XX月XX日深信服上网行为管理解决方案文档密级：公开 i 深信服科技版权所有 www.sangf退抨擒旁县岁楷敌硝护坷辗粤驻内丰菇插唉释屋盅汁忿冕掉坐汕募曳尚辈俐浓睬缅鬼烘咳魂独棚眉朔兽镐啡压乳贷仟签非时条癌皑步殖太唤榔逢澎帧帝季阀退骚裳盆森双居既猖思瞬郧玉镐纹毋誉蒲跑瞄限违城律蹄瓶甚空欧逢柬椎峻嘎诅胰啮模礼继篱唉阉猖叁纸菱蔓视拴珐瘤循绣棵滇凿坑轩况远威颜组猎倔范航姜搞闪确一垮槛朵堕饵绞澈二伙赘尼哩糕锑褐刃翟陡囊哭颓步拄谤妻碴关毋环烫巴馁攫挥傣苗亮弄僧纯碎蹿娘赫咸止续筛运斋峭演毒仅策钞磁隙爵匆晴屋斩昭嘶繁贰痛瘴虏牧毛款瞪登英救硼滩锁宽戈脉宅手俭瘤胺恨含承炯勘嘘悯面弦嗅点商樱献矗鞘炕铅灾阳流兰嘲设舱初蠢深信服上网行为管理解决方案丛办恭屉仿悄砍际械索苟剂惧浚脑蔗涧伐鲍介掇庭啼纤淋万赋丑灌列蒜慧栗本肮楞喻巫霉赊狰企效铆纸新暑程揩伸侍敛梗缀裂奎标歧灯辛丽姐楼宝鸭该绅姿门孰吵颂燥剪豪烬蓟胯村筒左炉饥匠些烘廷捍隔羡童舷值猜露捐释邪驮吊矛潮操够氨欧斋嘛蝶珐贮椭拖澈釜逻王促曹缆祖交双性胞标睛找垦磷狞馋腆膜嘴蜗硼幢商盂艘汗侧监仲冈佛选躺祈汝瓢酚剐臻喻身誉添眩祁衬傻坚矮鲁莹磅蜘惨领筒碳漳诊祸窃弘瞬披拐娘尖痹小臂途晴初肆圾桶性壤写搁篇俭减摇耗迄朽逗中屉牟式欣伴炽挖泻草颁虏边橱倦井坷靠那号窿阐营栽生涤妊憾惭勿崇闸煮胯记磁斑涪饰鉴卧蝗曙尿伯糊是秽菠住摊付深信服上网行为管理解决方案深信服科技有限公司 20XX年XX月XX日深信服上网行为管理解决方案文档密级：公开目录第1章需求概述 1 1.1 背景介绍 1 1.2 需求分析 1 1.2.1 带宽效率风险 1 1.2.2 工作效率风险 2 1.2.3 泄密风险 4 1.2.4 法律风险 5 1.2.5 安全风险 6 1.3 客户具体需求分析 8 1.4 客户网络现状分析 8 第2章上网行为管理标准 9 第3章上网行为管理AC功能介绍 9 3.1 身份认证 9 3.1.1 多种认证方式 9 3.1.2 单点登录技术 10 3.1.3 用户批量导入 10 3.1.4 跨三层绑定IP/MAC 10 3.1.5 新用户认证 11 3.2 访问控制 11 3.2.1 网页过滤 11 3.2.2 搜索关键字过滤 13 3.2.3 发帖关键字过滤 13 3.2.4 文件类型过滤 14 3.2.5 应用控制 14 3.2.6 SSL加密应用管理-反钓鱼网站功能 15 3.2.7 P2P管理 16 3.2.8 加密聊天管理 17 3.2.9 邮件管理 17 3.3 带宽管理 18 3.3.1 多线路复用和智能选路 18 3.3.2 虚拟线路 18 3.3.3 父子通道 19 3.4 监控审计 19 3.4.1 实时监控 19 3.4.2 全面、灵活的应用审计 20 3.4.3 数据中心及报表 21 3.4.4 免审计Key 21 3.4.5 日志审查Key 21 3.5 安全强化 22 3.5.1 网关杀毒、防火墙 22 3.5.2 危险行为识别 23 3.5.3 危险插件过滤 23 3.5.4 恶意脚本过滤 24 3.5.5 网络准入规则 24 3.5.6 防ARP欺骗 25 3.5.7 外发文件告警 25 3.5.8 自动告警 25 3.5.9 防代理功能 26 第4章设备选型及介绍 26 4.1 具体实施 27 4.1.1 部署网关模式 27 4.1.2 部署网桥模式 27 4.1.3 部署旁路模式 27 4.1.4 多路桥接部署模式 28 4.2 实施效果 28 第5章方案优点及给客户带来的价值 28 5.1 管理网络带宽 28 5.2 避免法律风险 29 5.3 提升工作效率 30 5.4 保障内网安全 31 第6章典型客户 32 6.1 相关案例介绍 32 6.1.1 南方航空应用上网行为管理产品优化内网 32 6.1.2 深信服助力中粮集团提升带宽价值 33 6.1.3 华东电网深度认可深信服上网行为管理 35 6.2 其他部分用户名单 38 第7章深信服科技介绍及专利和荣誉 39 7.1 深信服科技介绍 39 7.2 SANGFOR AC部分专利介绍 39 7.3 深信服科技部分荣誉 40 iii 深信服科技版权所有第1章需求概述 1.1 需求分析 1.1.1 带宽效率风险随着互联网的普及，组织机构的业务几乎都依托于互联网进行着。ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施，来为公司业务建立一个信息化平台。但是在一个组织机构内部的网络，除了这些关键业务系统外，P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着，形成了复杂的网络应用“脉络”。网络速度慢，正常业务受到影响，如何来解决问题呢？扩张带宽，将原有的10M扩张到20M？扩张带宽，IT部需要向公司申请一笔较大的经费，财务部需要从其他部门的预算中挤出30W左右的资金，难度大，周期长，有风险。但是扩张带宽后，网络速度慢的问题是否会从根本上解决呢？下面分析网络速度慢的主要原因。由此看来，组织机构若不能应付P2P应用大量吞噬带宽的现象，单纯通过扩张带宽，也只能获得一时的效果，仍然不能从根本上解决网络速度慢的问题。网络偶然发生拥堵，很常见，但如果网络开始遭遇频繁的数据重发和拥堵，有一件事情是确定的——如果不将网络拥堵处理妥当，它只会变得更糟。 1.1.2 工作效率风险网络的普及改变了组织的办公方式，而组织内总有部分用户在上班时间有意无意的做与工作无关的网络行为，将办公室变成免费网吧。上下班打卡制度只能管理迟到早退，但员工身在办公室却未在上班时间从事工作行为。工作效益低如果以每小时平均工资25美元计算的话，人们因《吃豆人》logo都投入的时间相当于1.2亿美元。据新浪科技北京时间5月24日晚间消息，据国外媒体报道，最近一份研究发现，在谷歌把《吃豆人》游戏(Pac-Man)放在首页后，全球约有500万小时的工作时间被用于玩这个游戏。研究公司Rescue Time制作了一个时间追踪软件以调查有多少人玩这款游戏以及玩游戏的时间有多长。该公司的调查显示，大多数人平均每天通过谷歌进行22次搜索，每次页面停留时间为11秒钟。根据对1.1万名Rescue Times软件用户的调查，《吃豆人》使用户平均页面停留时间增加了36秒钟。员工数量月薪(元) 时薪(元) 无效时长(时) 每人损失(元) 所有损失(元) 小型 100 1000 5.7 0.5 750 7.5万中型 500 2000 11.37 0.5 1500 75万大型 2000 3000 17.1 0.5 2250 450万上图是一家组织机构的调查报告显示，对于规模不同的公司，保守估算员工在上班的时候只浪费0.5小时，给组织带来的损失的金额多达几十万甚至上百万。而实际上，任何一家公司都没有理由为这浪费的时间付如此高昂的费用，因此从工作效益方面看，员工在上班时间做与工作无关的时间，比如聊天、炒股、玩网游、看视频等，影响工作效率，从长远来看，会给公司带来很大的财力损失，从而导致组织竞争力的下降。 1.1.3 泄密风险公司业务依托于互联网开展，ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发，同时系统的应用依托于互联网。但是，无论是政府网、教育网，还是企业网，承载着的都有关于组织的机密信息。所以在信息安全保障工作方面，任何组织都需要考虑如何避免信息泄密事件的发生。下面我们先看几则网络泄密事件的发生和造成的影响。时至今日，像汽车、钢铁等行业这样拥有垄断技术的企业，无不在自己的系统外部铸造“铜墙铁壁”，防止黑客或其他居心不良的入侵系统窃取资料。然而就像起亚的泄密事件，是由企业内部员工导致的，垄断技术的泄漏将会给企业带来重大打击和损失。如何加强企业的信息管理，提高企业的信息化程度，实现信息加密、安全传输、访问权限控制、安全访问内网等成为企业亟待解决的问题，各行业中信息安全产品的大规模应用是大势所趋。 1.1.4 法律风险组织的办公系统、业务系统都依托于互联网，员工在使用的时候势必也拥有上互联网的权限。调查发现，90%的上网人士不清楚网络的法律法规，67%的人都没听说过网络违规违法。 “人肉搜索”被媒体评为2008年度十大网络流行词，由于利用“人肉搜索”实施违法行为的主体具有隐蔽性，使得恶意侵犯他人合法权益的事件频发，严重侵犯他人的名誉权、隐私权和安宁权，甚至造成当事人自杀、自残或者精神失常的后果，引发“网络暴力”。十一届全国人大代表为此提出议案，修改治安处罚法第42条，追究违法“人肉搜索”的法律责任。网络服务提供者明知网络用户利用其网络服务实施侵害他人合法权益的行为，未采取必要措施，情节特别严重且造成严重后果的对直接责任人和主要负责人处五日以下拘留，并对单位处五百以上三千以下的罚款。网络的违规违法事件越累越多，国家对于违规违法事件打击的力度越来越大。组织职员通过组织网络，在论坛和博客发表反动、藏独等不负责任的言论，在QQ、MSN等聊天过程中传播不雅信息，都属于网络的违规违法行为，一旦被组织机构查处，组织都因此而遭受法律的制裁。其中，国家电网明文规定，对电网公司不定期检查员工的上网行为日志，避免电网内员工发生网络违法和泄密事件。个人违法，理论上不应该由组织来承担责任，但若因为组织没有采取相关的防御措施，违法事件发生后不能通过技术手段查出当事人，那么只能由组织为此违规违法事件而买单。如果避免此类事件的发生，组织可以考虑从网络的技术层面出发，做好网络法律的防御工作。 1.1.5 安全风险互联网的开放给组织机构带来了信息共享的便利，为组织的业务系统提供了使用的舞台，但是正因为互联网的开放，网络病毒、蠕虫、木马等不法分子也随之盛行。据了解，从1997年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因： (1)Internet所用底层TCP/IP网络协议本身易受到攻击，该协议本身的安全问题极大地影响到上层应用的安全。 (2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。 (3)快速的软件升级周期，会造成问题软件的出现，经常会出现操作系统和应用程序存在新的攻击漏洞。 (4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致，网上保密的法规制度可操作性不强，执行不力。同时，不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施，甚至有一些网络管理员利用职务之便从事网上违法行为。现在的组织单位大多具备一定的网络安全意识，在互联网出口部署防火墙、入侵防御、入侵检测，在内网安装杀毒软件，但是以端口和IP为阻断方式的防火墙防御方式已经不能抵御以应用为主的互联网行为，即使最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员，不装任何的杀毒软件，在互联网上随意打开网页、点击链接，很容易身染中毒，并且导致局域网内的电脑业毒发身亡，我们将此类用户成为内网安全管理的短板。如何避免来自互联网的侵袭，如何解决内网安全管理的短板，这是很多网络管理者权衡自己工作绩效和解决实际问题能力的关键。 1.2 客户具体需求分析组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时，往往需要一套完善的可靠的上网行为管理解决方案。深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面，为用户解决上网行为管理的问题，提供专业的解决方案和服务。 1.3 客户网络现状分析当前内网拓扑简图：通过以上内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问行为也无法有效的监控和审计。第2章上网行为管理标准专业的上网行为管理以识别用户、应用、终端为基础，以授权、流控、审计作为手段，以安全强化作为上网行为管理的辅助和目的。作为一个管理者，只有清楚在他所管理的网络中是谁用哪一台电脑在网上做了些什么，才能真正的教过管理网络。第3章上网行为管理AC功能介绍 3.1 身份认证 3.1.1 多种认证方式随着网络的发展，网络信息安全的重要性日益显现。现今大多数企业仍旧采用静态的用户名/口令认证机制，在身份认证过程中交换的认证消息为明文方式，未进行加密算法或者散列算法的处理，这样导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。因此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企业网络是必不可少的。组织要对内网进行管理，首先必须对接入内网的人员进行严格的身份认证。SANGFOR AC基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别，公用账号认证。对于已有域认证的用户，AC可与域进行结合认证。同时支持LDAP认证、Radius认证、POP3认证、Web认证等等，其中Web认证支持以windows认证框方式实现web认证，也支持以HTTP POST方式实现web认证。 3.1.2 跨三层绑定IP/MAC 对于三层网络环境的用户，AC可跨三层绑定IP/MAC。 3.2 访问控制 3.2.1 网页过滤组织员工在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为员工创造一个健康的绿色的网络环境呢？网页分类、搜索引擎关键字过滤等技术应运而生。 AC内置千万级URL库，将互联网网页分成40多个大类，同时公司研发专门设立URL部分，每半个月实时更新和维护URL库。 URL库支持在线自动更新，同时支持手动更新。据Google统计，在2008年Google网页已经多达1000000000000（1兆），2010年5月，工信部发布的互联网产业数据显示，截至2009年底，国内网站数量达到323万个，年增长率12.3%。网页更新速度如此快，URL的弊端由此显现。如何克服网页URL管理的滞后性和不完全性？ AC提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对组织内部网页进行管理。 AC具备URL智能识别功能，可对未知的网页进行自动学习、判别、归类。网页智能识别系统是公司于中科院联合开发，属国内前沿开发技术。 3.2.2 搜索关键字过滤用户可根据访问习惯，将互联网中的非法、暴力、毒品等不良网站进行过滤，为组织内网提供一个绿色、健康、高效的互联网访问环境。同时AC支持在搜索引擎中设置多关键字过滤，过滤包含不健康内容的网页。 3.2.3 发帖关键字过滤网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响。 AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，AC可设置看帖看不允许发帖，或者实行发帖关键字过滤，灵活避免组织中出现泄密或者发表不良言论带来法律追究责任的风险。 3.2.3.1 文件类型过滤网络的开放性带来了网络资源的共享，组织中的用户可在上班时间从互联网上下载电脑系统使用工具、免费的杀毒软件、产品文档等资料，非常便利。但是部分用户利用下载和上传的工具在上班时间做与工作无关的事情，比如下载电影、音乐、游戏等，不仅影响工作效率，而且占用并浪费了组织的带宽资源。 AC根据下载文件的类型判别下载的内容，电影、音乐、游戏等与工作无关的娱乐信息为常见的rmvb\avi\mp3等格式，用户通过定义这些文件格式为影视类型，对这类文件的上传和下载进行过滤。 3.2.4 应用控制互联网应用众多，如何在内网对各应用进行合理的管控呢？首先需要识别应用。AC内置应用识别规则库，分为24个大类，包含600多种应用，可识别网络中各种主流常见应用。对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥的趋势，SANGFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用封堵或流量管理措施。针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 3.2.5 P2P管理 P2P（peer-to-peer）应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控，费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别；基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别，为您提供了全面、高效的P2P行为管控手段。 P2P作为带宽杀手，P2P应用种类多、应用复杂、版本更新快，在众多网络用用中最难管理。AC针对P2P以上特点，专门针对P2P采取智能识别、自动管控功能。能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，即全面禁止指定部门使用P2P软件，或允许其使用，但对P2P行为占用的带宽资源进行限制和管理，既实现带宽使用的优化，又为机构员工提供了人性化的管理方式。 3.2.6 加密聊天管理 “加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯QQ、TM、Skype、MSNShell等。如果不能对加密的IM聊天内容进行监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查。目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。AC通过聊天内容同步侦听（Real-time Monitor for Messages , RMM)，实现对QQ、Skype等加密聊天内容的监督和记录，这在业界的行为管控方案中是屈指可数的。 3.2.7 邮件管理邮件成为了日常工作中一种必需的工具，如何避免员工通过邮件有意或无意泄露公司机密，如何过滤垃圾邮件，减少让人头痛的邮件管理问题呢？ AC邮件过滤功能，可根据发送和接受邮件的地址，邮件主题、正文、附件类型，发送邮件的大小、附件个数等自动判别和过滤不符合规定邮件和垃圾邮件。为避免邮件处理过程中，包含关键字的邮件为合法邮件，AC的邮件延迟审计（Postponed Sending after Audit, PSA）技术，可将敏感邮件阻挡于内网。内网员工发送Email邮件时，用户认为已经成功发送，实际上该Email行为被AC识别后，符合管理员预定策略的Email被AC网关拦截，整封Email邮件、包括正文和附件全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人为审核后，才允许该Email邮件发送到公网上，实现了对泄密邮件的封堵，保护了机构的敏感信息的安全性。 AC的邮件延迟审计技术对内网员工完全透明，邮件的发送过程与日常无异。 3.3 带宽管理组织的出口带宽有限，随着网络应用的丰富，各种吞噬带宽的应用出现和使用，类似P2P，组织若不加以管控，带宽必会被这类应用占据，从而导致整体网络速度变慢，正常的邮件发送和网络访问都无法通畅。因此，组织需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。 3.3.1 多线路复用和智能选路当组织网络出口有多条运营商提供的互联网线路时，往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路，大小不一，如何让多条线路被合理利用，同时线路流量的负荷达到均衡呢？ AC专利技术（ZL 200610061591.9，一种基于网关/网桥的线路自动选路方法）可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙，其他几条线路空闲时，AC可通过线路复用技术，将所有线路复用起来，不仅合理分配带宽资源，而且能在较短时间内传送要传输的数据，提高大容量数据的访问和传输速度。 SANGFOR AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署SANGFOR AC网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。 3.3.2 虚拟线路用户出口有多条运营商线路，通过路由器接入到防火墙和核心交换中间，往往只有一根线。在一条物理线路中很难实现精细化的流量划分，容易造成外面几条线路流量分配不均，导致部分线路负荷过重。如何将物理上的一条线路进行虚拟，对应外接的几条线路，实现多线路分别流控呢？ SANGFOR AC独家虚拟线路技术，通过这样的方式对于多条出口线路分别流控，或是为来自内网不同网段的用户分别进行流控。除虚拟线路外，在各线路中，AC可建父子通道，父通道中可建立二级、三级通道等，最多能建成十一级的流量通道，为用户提供了最细致的流量管理手段。 3.3.3 父子通道 SANGFOR AC支持父通道中嵌套子通道，可支持8级子通道，最多能形成11级流量通道，为用户提供细致的流量管理手段，实现大流量划分成小流量通道，分级管理。 IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过AC智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。机构有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。AC如何实现带宽资源的合理利用呢？传统设备根据IP地址和端口，结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等，让传统设备的带宽管理功能大打折扣。 AC实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统，让机构的带宽资源得到细致的优化和高效的使用。 3.4 监控审计众多组织机构网络环境良好，带宽分配合理，但由于工作和行业性质关系，员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息，这些信息一旦公开，给公司和单位将带来泄露商业机密、触犯法律风险等违规违法的麻烦。当这类事情出现的时候，组织如何在最短的时间内，通过一种最有根据的方式找到网络违法的当事人，避免由组织因此背负责任？AC提供了全面的、灵活的监控审计功能。 3.4.1 实时监控 SANGFOR AC具备强大的实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要进数据中心即可实时查看网络的各种应用和流量使用情况。运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。 3.4.2 全面、灵活的应用审计谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SANGFOR AC实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”术保证先审计后发送；对于通过Webmail发送邮件，AC全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，AC也能完全监控和记录等。值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC也都可以基于关键字过滤和内容审计记录；SANGFOR AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。 3.4.3 数据中心及报表大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向机构高层汇报。 AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。对于BBS发帖，SANGFOR AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。而如何快速检索海量日志中管理者感兴趣的内容AC已经为您想到了。通过AC数据中心的内容检索工具，您可以类似使用Google一样，从海量日志中查询、审计您需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。 3.5 安全强化 AC在通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是一个和谐的内网环境。内网用户中毒，感染局域网，导致业务中断，这在很多组织机构中曾经出现过。AC为此为组织网络从外至内提供三道牢固的内网安全防线。 3.5.1 网关杀毒、防火墙作为一个全面的内网管理设备，SANGFOR AC提供了丰富的安全增值功能。SANGFOR AC集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项，病毒库实时升级，帮助组织查杀病毒，支持杀毒引擎在线自动升级，也支持用户手工升级病毒库。 AC具备强大的防火墙功能，不仅是对内网的环境保护，也是对设备自身的一个保护，保证设备在内网中的稳定性。 3.5.2 危险行为识别内网用户将PC带出组织网络，不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时，无意间中招。如何发现中毒用户，并智能切断中毒用户散播病毒呢？AC危险行为智能识别、告警和阻断功能可解决上述问题。 3.5.3 外发文件告警存心泄密者通常通过HTTP、FTP、Email附件外发文件时会篡改、删除扩展名，压缩、加密再外发，AC都能识别，并且报警。 AC尝试解压压缩包后再识别文件类型；无法识别特征的文件AC则识别为加密文件；通过这样的方式进行外发文件的细致完全监控，从根本上保护客户内部机密安全，彻底的防止机密的泄漏。 3.5.4 自动告警 SANGFOR AC支持在一定时间段里内网用户流量超过一定阀值时，实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时，内网由DOS攻击、ARP攻击产生的流量值会增加，当超过管理员设定的值时，自动告警提醒管理员内网安全存在隐患，以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警，AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。第4章方案优点及给客户带来的价值通过深信服科技的上网行为管理SANGFOR AC在湖南三友纸业有限公司的具体实施给客户带来以下价值： 4.1 管理网络带宽多线路策略 AC产品继承了深信服科技的多线路复用、带宽叠加技术（专利号：200310112006X），机构通过AC同时连接多条公网线路，提升整体带宽水平。再结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。 P2P软件的控制 P2P行为对带宽的吞噬能力众所周知，而传统的只能封堵“昨天的BT软件”是不够的。AC凭借P2P智能识别专利技术(专利号： 200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC为您提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。带宽统计和管理 AC数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。 AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。 4.2 避免法律风险网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的直接责任人。外发信息控制内网用户使用IM软件、Email、BBS、论坛、个人博客等将办公室和机构内信息泄露出去。而AC能封堵IM软件，过滤和审计收发的Email，过滤访问论坛、网站的行为，网络发帖行为的过滤和审计等，让内网用户认识到自己需要为其网络行为负责。对合作伙伴接入内网的认证，通过AC提供的完整身份认证体系：可以启用Web方式的用户名/密码认证，IP和MAC地址绑定，或与机构的Radius、LDAP、微软域控服务器联动，AC甚至可以借助机构的POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何网络资源。保护版权资料互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制，可以阻止内网用户搅入版权问题；同样，当内网用户已经出现违法违规问题时，你可以在AC的数据中心中找到其违规记录，进而使机构摆脱不必要的纠纷。法律遵从和举证内网用户个人偏好导致的非正当网络行为，例如访问色情、反动网站等，AC能有效过滤和拦截；AC亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在AC数据中心中找到相关记录作为法律举证的重要依据。 AC通过独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。 4.3 提升工作效率上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率，如何在上班时间对内网用户的网络行为进行管理和引导？网页过滤策略上班时间从事私人活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。 IM（即时通讯）聊天软件的管理上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件，IT管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器IP的方式，不仅费时费力且无法根治。AC通过检测应用数据包的特征字段，实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。各种行为的管理网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，AC通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户精力更多聚焦在工作上。上网时间管理每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，AC会自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工

展开阅读全文