深信服上网行为管理产品功能.doc

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 　　上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 　　对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 　　色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 　　员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 　　员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。 　　SANGFOR AC提供的数据中心，海量存储内网用户的各种网络行为日志，图形化的查询、审计、统计、自动报表、内容检索等功能，方便组织管理者了解和掌控您的网络。 SANGFOR M5000-AC有如下功能特性： 一、上网行为控制，规范员工上网行为，提高工作效率； 　　多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限； 　　独特的WEB认证、基于浏览器实现方便的用户识别与认证； 　　网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 　　独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连　　接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁；  二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏 　　记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现； 　　特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 　　防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏； 　　独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 三、流量控制和带宽管理，优化带宽资源的使用 　　多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。 　　对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户(组)、应用类别、时间段等进行带宽分配； 　　智能QoS优先级技术，重要数据优先传送，提升带宽使用效率。 　　智能QOS，重要数据优先传送； 四、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持 　　网络行为日志支持海量存储，满足公安部82号令存储60天要求，且日志的查询、统计、审计等不影响网关性能； 　　全面记录所有上网行为日志，图形化的日志查询、审计、统计功能； 　　自动报表，让管理者自动获知组织的网络状况 　　提供类似百度的搜索界面，实现海量日志的内容检索和搜索。 五、更多安全功能，全面提升内网安全级别 　　防范来自公网和源自内网的DOS攻击，提升网络可用性； 　　防ARP欺骗；网关杀毒，从源头上查杀病毒； 　　网络准入规则，修复内网安全短板，提升内网安全级别。 功能一栏表： 分类 功能 详细指标 访问控制 危险网站阻隔 用户可自定义对色情、病毒、钓鱼网站的阻隔访问 访问控制策略 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 P2P拦截 使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 用户认证 提供Web登录认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能 文件上传下载控制 对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ,MSN等P2P软件的文件传送进行拦截 IPMAC绑定 提供灵活的IPMAC绑定策略 代理识别功能 能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为，从而进行阻断 敏感数据拦截 对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截，以防泄密或引起法律纠纷 访问审计 邮件延迟审计 对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄 实时监控 实时监控用户的上网行为。 访问监控 监控用户所有的上网记录，包括Web访问、Ftp、Telnet、邮件（含Webmail）及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。 流量分析 能按用户、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。 管理功能 管理员权限 权限粒度细致，分级管理 本地管理 GUI方式 远程管理 GUI方式 配置备份 使用加密的配置文件进行配置备份和分发 Firmware升级 通过远程升级Firmware获得更新的软件版本和更多功能模块 高可靠设计 自动恢复 看门狗提供自动恢复功能，配置恢复功能 双机备份 支持双机备份功能 多线路备份 支持2～4条线路的备份 日志 日志容量 可以使用独立的日志服务器，容量无限制。 日志备份 支持自动定时备份 日志导入 支持转换日志为标准的TXT文件，便于导入到MS SQL或ORACLE数据库进行二次开发和分析 数据中心 可用SANGFOR 独立的数据中心进行详细的分析 网络特性 支持的Internet接口 PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN 支持的协议 IPv4、IPv6 网络分区 WAN、DMZ、LAN 多线路支持 支持2-4条Internet线路的负载均衡和备份，提供智能选择最优线路等多种负载均衡策略 工作方式 路由模式、透明模式 SANGFOR AC依靠多项业界领先技术及满足用户需求的功能，已经成为国内领先的上网行为管理解决方案。 一、SSL网站识别和过滤，反钓鱼网站、非法SSL网站等（专利技术） 　　采用SSL加密网页的钓鱼网站假冒网上银行，诱骗用户；越来越多的色情、反动网站也采用SSL加密形式以躲避过滤；网页“加密化”已经成为趋势，而业界绝大多数设备采用的URL库仅能对明文URL地址进行过滤，却无法对SSL加密网站进行识别和过滤。 　　SANGFOR AC通过SSL证书验证链接黑白名单技术，通过识别目标SSL网站的数字证书特征及信息，实现对非法SSL网站的识别和过滤。 二、深度内容检测，业界最全的应用协议识别库 　　如何有效管控纷繁复杂的网络应用，如QQ、在线炒股、网游等，成为组织管理者必须考虑的问题之一。通过封堵服务器IP、通讯端口的方式不仅费时费力，而且治标不治本。 　　各种应用协议在数据交互时，其收发的数据包中均含有其特有的特征字段。SANGFOR AC通过检测和识别该特征字段，实现了对应用协议的识别和管控能力。当前AC已能识别数百种应用协议，甚至员工使用代理上网，AC也可识别和管控。 三、P2P智能识别，全面彻底的P2P行为管控技术（专利技术） 　　P2P软件和应用方便用户共享资源的同时，也严重吞噬组织有限的带宽资源。业界存在众多P2P工具和各种版本，采用静态协议库的方式只能封堵“昨天的P2P软件”。 　　SANGFOR AC通过基于统计学的行为智能分析等四层识别技术，超越静态协议库的概念，实现对不常见的、未来可能出现的P2P应用的识别和管控，为用户提供了一劳永逸的解决方案。 四、网络准入规则，修复内网安全短板（专利技术） 　　内网终端安装老旧的操作系统、不及时更新补丁、不安装指定的杀毒/防火墙软件、反而安装运行违规软件等行为，致使该终端成为内网安全短板，一旦该终端访问色情网站、肆意下载文件等，极易感染病毒、木马，进而感染内网其他终端，“堡垒被从内部突破”。 　　SANGFOR AC网络准入规则技术，将按照管理者指定的条件检测接入终端的安全级别，可禁止违反安全规则的终端接入Internet，从而修复内网安全短板，提升内网安全级别。 五、邮件延迟审计，将泄密阻挡于内网（专利技术） 　　Email已经成为组织办公和沟通的主要工具之一，但通过Email的泄密事件也时而发生。传统安全设备在收到泄密邮件时，拷贝备份后发送该邮件到公网，泄密事件轻易发生了。 　　SANGFOR AC不仅能限制哪些用户、哪些Email地址可以发送邮件、限制Email大小等，还可根据预设的过滤条件，先拦截潜在的泄密邮件，人为审计后才能继续发送，从而将泄密邮件阻隔于内网，保障组织的信息资产安全。 六、免审计Key，消除高层领导的疑虑 　　通过图形化界面的简单勾选配置，SANGFOR AC针对不同用户差异化记录用户的各种网络行为。但高层领导的网络行为往往涉及组织的发展、规划等敏感信息，如CEO、总裁收发的Email等，如何避免“非善意”IT人员对CEO的行为记录？ 　　SANGFOR AC的“免审计Key”将从设备底层免除记录CEO的任何网络行为，解除高层领导的后顾之忧。 七、海量日志的内容检索，方便管理者的审计 　　大型组织使用SANGFOR AC记录的海量日志，通过自动导出到第三方数据中心实现了海量存储。但如何进行数据挖掘、如何从数百G的日志中查找管理者感兴趣的内容？ 　　SANGFOR AC提供的内容检索工具，通过类似Google的搜索界面，让管理者快速、方便的实现海量数据检索。 八、Web认证、辅以单点登录，方便用户的使用 　　无法识别用户就无法对用户进行差异化授权；AC支持多种认证方式和第三方认证服务器，并通过基于IE的WEB认证方式，方便了用户的身份识别和认证。 　　而SANGFOR AC的单点登录功能，允许用户在通过第三方认证服务器身份认证后，自动通过SANGFOR AC，简化用户操作。 5