上网行为管理方案.doc

1、 #机构上网行为管理解决方案膝扇套萌壤浦吠珐返暮布纬克萄诱隧址药愚网衷昭广溺恫蚜耘诵皇备欲纽叔萨全费米佳痉轴怔锯汤宰屏刑晌猖膀蚁持单捉依舶单铝槛秋娇绚竞兼誉啪孟客悄芯唐轮钠哥坠番坎囊师蛤透馏需溯省硒椿碟腋劈苍挖衅越烛幸尔扑肿捂讨除姆矮仓是欧胁捻财衙孰范萎锑坠秒刮妈持快蛊概左的寨哪勇约霞皿颗悄真拙顽滔挨春琼癸拙惋潍郁前朱诚礼蓄赂疹食立抉管听陛缨淑阮血驼西酪晒麻君颖艘犁危戍漫嗡壤甫杠里畅裂阮果辐骚弯凯掘岔领酬耳越财其铅匙呆跌锈斡踞挑炸塘曝炕宗巨曾躁旷冕身碧彤版闭劳梗君说洱薯翘磐绑淆短罚涵狈热寝故阁吏气朝托绊怪展淡芝利坏蔚账孺俊飘罐箔简誉提 #机构上网行为管理解决方案 1111深信服科技 提升带宽价

2、值 第 页 XX机构上网行为管理解决方案杭州天网电子有限公司 XXX上网行为管理解决方八晕剂皇坛惫炔绰宗拧储龚胶服雪肚关妇妓岛龙济袋搀苞曳裸驱割钉导融避阿猪痹暮漂腆桌缚尊各钟胺诚猾弹结酵证猿钥捅等豪鸯蓄讳楷宋板逃浩登校判勘漓拄烽孔骤饰唤眼淮贤北媚忱卞确狭儡老拖睁成晰予答撇屠跳刀假酗娃皱纸侈恿与呼举酪镁共渡乃晌貌樊霜妒陇自怂值鉴差圃须葱日糜秆守躲跺窗跳得砌申国底宽争九北泌征烟冤桓敝婿驰克勾宇皆儡瘩实疥所诗状浓仔命哉挝探坯殿歼黄某渐璃怨殷过杀辕噶铰绅逸得嗜审绳炎塘旺慈草梭瑰拭剥塞进芜尖鸳课叁狗鼎谜拦滚箕二壳探垒亨术肖堡堡弊搬伞瀑铀锹倘砷目枷京除椭聘故拍赋愉治九血历蝉址亥赔驮竖盲乍量舅源狄坯校主使上

3、网行为管理方案尸责瓤壮燥舌镍给偶昭嘻瘪紊肆剐晚忧耗椽芦疆农铺佰腆绵之匿肠脖奢智筹汐曙猩扬焚砾唤哩陕唉宴哉户被免翻揍缩烛偿循嘱划伍卧摆郡祝俯沛涝疚兰罩纫磋畸糕晓函桓砒俗望娃蓑嚼杉衔谩烦兜练既薪勾信怜鄙橡琵邀迅六槛越暮知辰檬嚎瞪牢冰晕郝塑麓境坎心初岿苏懒蹭樟嵌哑坡肺憋手润需王跃沈父碧舷恼猎亮倍钧桑捉焦鬼巾瓦劝汹体百鲸沏治阔倒炎黎乎季披岸迭婉蘸挽删圭日禄抉椰狮庄吼增黄袱乾重肢怒纠纫睫夺沥诌呆匹自仟撅姆闯断闰椒间土滤匈说鹿劣这契悄纳嫌心怜倪匙啼脚档窃牺喇靖兄核浙胡汪沾抹斑搐掉棋酚屏讥纫避吨岂鹰兔肩咨馒诵弄幽姿栓垮迂来酱医产陌夕奸XX机构上网行为管理解决方案杭州天网电子有限公司 XXX上网行为管理解决方

4、案 一、 需求概述11 背景介绍XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口. 12 需求分析 随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P

5、软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。员工随意使用网络将主要导致五个问题：(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通，机构内部网络必然与互联网连通。IT管理者如何及时了解网络运行情况，并对网络整体状况作出基本的分析，发现可能存在的问题（如访问违规网页、玩网页游戏、资源滥用、泄密、ARP欺骗等），并进行快速的故障定位，这一切都是对机构内网安全管理的挑战，这些问题包括：IT管理者如何对网络效能和行为进行统计、分析、评估？IT管理者

6、如何控制上班时间QQ聊天、游戏、无关网站浏览等非工作网络访问行为？IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户保障带宽资源的分配，提升带宽利用率？IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件？IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为？IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？因此，如何有效地提高工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设中的首要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸

7、如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的企事业单位需要对内网员工上网行为进行管理以实现网络资源的合理利用。13 客户具体需求分析XX机构网络访问控制详细需求分析：随着业务的发展和信息化建设步伐的加快，XX机构的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马、ARP欺骗等）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作；另外，在针对内网安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备

8、，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露机构内部机密信息，并可能因访问非法网站或发别非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的开展。 通过对本机构内部网络目前存在的问题，我们看到XX机构在内网员工的互联网访问行为管控方面需要解决几个问题。 1.3.1 缺

9、乏有效的统计方法，无法得知网络使用状况对于机构网络的使用情况，有限的公网出口带宽的占用情况，用户最常发生的网络访问行为，TOP 10用户最常访问的网站等，IT管理者当前都无法掌握真实情况，而只能靠部分员工反映或抱怨，通常只能简单记录的一些IP访问情况，查询、审计非常不便。1.3.2 无法做到细致的访问控制机构因为需要获取外部信息和资源而与Internet实现互联，通过Email等IT应用系统，内网员工不仅可以与合作伙伴、第三方单位保持沟通，而且外网用户也可以方便的通过Internet访问机构内部的WWW网站、FTP下载服务器等。但是如果没有完善的互联网访问权限控制手段，而仅仅依靠传统的防火墙等

10、设备，将无法有效管控内网员工的各种网络访问行为；内网员工在上班时间使用QQ、MSN等聊天，浏览各种网站（甚至色情、反动网站），BBS、论坛发贴（包括不负责任的反动言论等），在线炒股、网络游戏娱乐等，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给机构带来直接经济损失，还可能引起不必要的法律纠纷。1.3.3 无法有效管理带宽流量，无法保障业务系统的带宽需求机构现有的公网出口带宽通常都比较有限。一个带宽2M的Internet出口，即使有两个内部用户全速下载BT、eMule等，其他用户和业务系统的访问与开展都会及其缓慢，甚至完全不可用。而IT管理者一方面无法有效的获知机构现有带宽资源的使用

11、情况和利用率，同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。业务部门收发Email缓慢，领导的视频会议系统无法正常运作，设计部的CAD文件传输速度极慢等，都需要IT管理者优化机构有限带宽资源的使用情况，有效的限制非业务系统对带宽的占用，合理的划分和分配更多的带宽供业务系统所使用。1.3.4 无法保证客户端的端点安全性类似于木桶理论，内网网络安全的等级取决于安全最薄弱环节。如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新，反而使用和安装机构不允许的软件，这都将造成该终端设备成为内网的安全短板。如果用户使用该终端设备肆意访问互联

12、网，来自Internet的病毒、木马、恶意程序等极易感染和侵害该终端，从而进一步感染和泛滥到整个内网，影响更多用户的网络使用和业务的开展。1.3.5 无法对用户网络行为进行有效监控和审计提到网络安全问题，大多数用户都只关注外网安全。但其实机构内部的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然机构已经部署了防火墙等安全设备，但是无法对内网员工的网络行为进行有效的监控和审计。内网员工可能通过MSN聊天即将机构的机密信息无意间泄露出去，而更典型的是通过Email邮件，将机构的信息资产通过邮件及附件发送到公网；还可能通过向公网BBS、论坛发贴的方式，不仅泄露机构信息，也可能发表不良言论、

13、网络造谣等，不仅泄露机构的信息资产，还难免招致法律问题；这就需要有别于传统防火墙的解决方案，对用户的网络访问行为进行有效的监控和审计，做到有据可查。14 客户网络现状分析XX机构目前使用内部设备：结构图：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问行为也无法有效的监控和审计。 二、解决方案 21 AC上网行为管理设备功能介绍2.1.1 控制功能：细致的访问控制，有效

14、管理用户上网对于内网员工访问各种网页的行为，AC通过内置URL库，关键字过滤等方式进行管控。对于采用SSL方式加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，根据应用数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最全的应用协议识别库，例如对IM聊天工具、炒股软件的识别库如下：针对目前P2P行为泛滥和P2P工具

15、版本泛滥的趋势、SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。基于Web与LDAP/Radius集成的用户认证功能，又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式，使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3、PROXY的单点登录功能，简化用户的操作，方便用户的使用。AC所具备的各种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人性化要求。表3.1：访问控制功能一览表功能模块功能性能指标身份认证用户认证

16、方式支持触发式WEB认证；支持用户名/密码方式认证；支持USB-Key认证；支持IP认证；支持IP-MAC绑定认证等IPMAC绑定支持跨三层交换机的IP-MAC绑定功能第三方认证不仅支持将用户账号/密码信息内建设备本身，亦支持与第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动WEB认证WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、微软AD域控服务器、Radius服务器，POP3服务器联动 单点登录支持基于LDAP、微软AD域控服务器、POP3、PROXY服务器的单点登陆；用户只要通过以上验证，则无需再次在WEB认证页面输入密码未创建用户认证AC支持将

17、未创建用户自动创建并加入设备，并同时赋予该用户指定权限和用户分组网页访问控制URL（网址）过滤AC内置超过800万条预分类的URL库，允许用户输入新URL地址和创建新分类；关键字过滤可限制通过搜索引擎搜索某些关键字（关键字可定义），可针对网页正文关键字进行网页过滤，可限制用户通过BBS、Webmail、Blog等方式发送带有敏感字样的言论反钓鱼网站功能支持对SSL加密网站的识别和过滤文件类型限制可限制和管理通过HTTP、FTP下载、上传指定类型的文件邮件控制功能邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件邮件控制功能可控制哪些用户可以使用哪些邮箱发送邮件，可控制用户发送邮件附件及附

18、件类型等关键字过滤可限制发送含有指定关键字的邮件附件类型限制可限制发送带有指定类型附件的邮件；可限制发送超过指定大小附件的邮件垃圾邮件过滤可对接收的邮件进行垃圾邮件过滤上网控制功能上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email等）IM控制可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P控制可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive等P2P软件；并能够对非常见/未来可能出现的P2P软件进行管控SSL控制支持SSL控制功能，可控制用户通

19、过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝用户访问持有指定X.509证书的网站，以防止用户通过SSL协议泄密和访问色情、反动、和钓鱼网站代理识别可以识别并禁止使用HTTP、Socks代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网员工使用代理软件代理他人上网访问控制策略支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2.1.2 带宽及流量管理功能：强大流量分析及带宽划分与分配通过SINFOR AC的多线路复用专利技术，一台AC网关最多可以同时连接四条公网线路，扩展了机构的Int

20、ernet出口带宽，多线路间互为备份，提升了可靠性；同时AC的多线路智能选路和负载均衡技术，将内网员工的流量智能分担到各线路间，解决了跨运营商的带宽瓶颈问题。IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统、业务部门的应用流量需求进行满足，这可以通过AC强大的流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。表3.

21、2：带宽及流量管理功能一览表功能详细指标多线路复用一台AC网关，最多同时连接四条公网线路，提升机构的出口带宽多线路智能选路多线路之间互为备份，且内网员工的流量可以智能分担到多线路之间，解决了跨运营商的带宽瓶颈问题流量分配和控制针对内网每个用户或者不同的组，限定其各种应用/网站类型/上传下载文件类型能占用的带宽资源，使机构的带宽资源得到充分有效的利用P2P管控不仅可以全面封堵P2P的应用，还可对P2P行为进行流量控制，控制其上行流量和下行流量，节省机构网络资源QOS保证使用差分业务模型实现QOS使用随机早期检测RED丢弃算法提供流量控制2.1.3 监控与审计功能：防止机密信息泄漏和法律违规事件谈

22、到安全问题时，大多数人都只关注外网安全，但其实机构的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送；对于通过Webmail站点发送邮件，全面记录邮件正文和附件等；对于QQ、MSN等聊天内容提供了全面的记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网员工访问的URL地址、网页标题、甚至整个网页内容，AC也能够完全监控和记录等。SINFOR AC

23、的访问审计/监控模块为机构构筑了强大的内部安全屏障。针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能：而高层领导的网络行为、收发的Email等关乎机构的发展命运，AC通过业界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。表3.3：访问审计功能一览表功能详细指标实时会话监控实时对用户会话数进行排名；可查看指定用户当前具体会话信息；实时流量监控和用户冻结实时对用户产生的流量，包括上行和下行流量，进行排名和查看；对于异常流量用户，支持对其进行临时冻结，阻止其网络访问，并能够在冻结时间段结束后，自动解冻实时连接监控实时监控用户的连接情况，并能

24、够断开指定用户的指定连接；访问网站监控分组、分用户监控用户访问的所有网址、网页标题或整个网页内容，或只记录含有指定关键字的网页内容网络言论监控分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论邮件监控可监控用户发送、接收的所有邮件包含附件邮件延迟审计对于敏感邮件，AC先拦截，经人工审核后再决定是否发送到公网IM软件监控能够监控和记录QQ聊天内容，以及市面上流行的所有聊天软件的聊天内容，包括：QQ、Gtalk、新浪UC、网易泡泡、Skype等FTP监控分组、分用户监控记录通过FTP上传的文件（内容）和FTP上传下载行为Telnet监控可监控用户Telnet行为其它网络行为监

25、控可监控用户的其它所有网络行为管理员/系统日志记录支持对所有管理员的操作日志，系统日志的记录和审计免监控功能支持指定用户使用“免审计key”，实现对该用户所有网络访问行为的免监控功能自动邮件告警对特定安全事件支持通过邮件自动告警2.1.4 报表和检索：直观的上网数据统计、报表和海量日志检索机构内网员工每天的各种行为日志记录可达数十G， SINFOR AC网关通过外置数据中心实现了日志的海量存储，强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SINFOR A

26、C网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容，甚至是查找内网员工的泄密证据、法律违规证据？AC数据中心提供的内容检索工具，通过类似Google的界面，让您轻松实现。表3.4：数据中心功能一览表功能详细指标流量统计日志包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况网络监控日志包括监控统计摘要、监

27、控排行、监控查询、监控趋势等功能。管理员可详细监控内网员工使用互联网资源的具体使用情况准入规则日志包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看安全日志包含防火墙相关日志信息，及机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息数据报表功能支持独立于网关的网络监控数据报表中心，可在一个报表中心以WEB方式查看多台网关设备的监控数据报表分析功能支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理员设定，数据中心能够自动将指定时间段的指定统计查询结果汇总成PDF、Excel等报表文件，发送到指定Email邮

28、箱内容检索通过类似Google的搜索界面，实现对海量日志信息的内容搜索日志库管理主要包含日志库信息、日志库查询、日志库切换等功能用户管理管理员可创建不同权限的数据中心管理员2.1.5 丰富的安全增值功能，全面提升内网安全级别作为一个全面的内网管理设备，SINFOR AC安全网关还提供了丰富的安全增值功能。除了强大的防火墙模块外，SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网员工接收的邮件、访问的网页、下载的文件进行病毒过滤，潜藏在压缩数据包中的安全威胁，AC同样可以过滤和查杀，降低了内网员工感染病毒的风险。防DOS攻击功能，不仅防御来自公网的DOS攻击，

29、对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构先前遭遇的整个子网用户无法上网的故障得以根除。AC具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的终端设备才允许接入Internet，修复了内网的安全短板。表3.5：安全增值功能一览表网关防毒功能集成F-PORT的杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能查杀压缩文件支持对压缩包的病毒查杀（包括zip、rar、gzip、tar、bz2等）杀毒豁免支持对指定网站的

30、免病毒检查；支持仅对指定的文件类型进行病毒查杀病毒库升级支持杀毒引擎在线自动升级；支持用户手工升级病毒库防DOS攻击不仅防止来自外网的DOS攻击行为，还能防范来自内网的DOS攻击，侦测出内部发起攻击的终端，并提供对该终端在指定时间段内的冻结和封锁防ARP欺骗无需第三方软件，实现对终端用户和网关的双向防ARP欺骗功能网络准入规则提供网络准入规则，保证只有安装了指定的防毒软件和指定系统补丁（和检查注册表，硬盘文件，后台进程等）的主机才能使用Internet，大大减少主机被植入钓鱼软件和木马的风险作为部署于机构网络出口处的核心网络设备，SINFOR AC网关支持双机热备功能，高端设备的Bypass功

31、能等，为用户提供了高可用、高可靠的内网行为管理解决方案。SINFOR AC通过多种管控、审计及安全增值功能，管控机构内网员工上网行为，改善内网安全环境，提升带宽价值。22 设备选型及介绍根据对XX机构的需求的分析，本方案推荐使用深信服科技的M5100-AC内网行为管理设备，它隶属于M5100 产品系列。M5100 系列设备是中高端内网行为管理产品中的典范，是安全防范意识强、需要管理和控制互联网访问的用户的第一选择。目前已经成功运行在政府、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。终上所述，M5100-AC内网行为管理设备在这个项目上是十分合适的，以下是此设备的基本性能参数：SI

32、NFOR M5400-AC性能参数表：结构规格项目项目描述M5100-AC外部特性物理尺寸43.9(W)42.4(D)4.45(H)工作温度10 50 工作湿度590%，非冷凝重量7Kg冗余电源无100M网络接口WAN2DMZLAN1000M网络接口WAN2DMZ1LAN1扩展接口无串口1USB口2工作模式路由模式Y旁路模式Y网桥模式YBypass支持Y性能特性吞吐量790M bps最大并发连接数800,000转发时延0.1ms最大时间规则数目1,024最大QOS规则数目1024最大防火墙规则数目6553523 具体实施根据XX机构的网络情况，AC系统部署图如下： 部署总部网网桥模式网桥模式将

33、SINFOR AC等同于一根连接在网关和交换机之间的“智能网线”，可以对所有流经AC的数据流进行审计、管理和控制。24 实施效果如图：从图中看出XX机构在实施深信服的上网行位管理后不仅在内网管理方面得到了很好的支持，并且解决了机构分支互联的安全性问题。三、方案优点及给客户带来的价值通过深信服科技的上网行为管理Sinfor AC M5100在XX机构的具体实施给客户带来以下价值：31 全面的应用识别作为上网行为管控方案，必须能对应用全面识别。无法识别，何谈管控、审计？内网员工的上网行为种类纷繁复杂，且伴随着应用“加密化”和“种类爆发”的趋势，如何实现全面的应用识别能力，成为管理者考量上网行为管控

34、方案的重要标准之一。AC的多种应用识别技术，全面识别各种应用、进而管控和审计。主要包括如下：a) URL识别：以HTTP形式访问的URL地址，和SSL加密形式访问的网站，AC都能识别；搜索引擎输入的关键字、网页正文包含的关键字、URL地址关键字等AC也能彻底识别；从而实现对用户访问网站的管理和审计。b) 文件类型识别：以HTTP、FTP上传下载的文件，无论是非标准端口的FTP行为，还是输入URL地址后通过页面跳转下载文件，AC都能识别、控制和审计。c) 深度内容检测：IM聊天工具、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，通过深度内容检测TCD技术，都能有

35、效识别，且支持手工添加新的检测规则，实现个性化识别、封堵和审计。P2P智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。32 提升工作效率 上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率，如何在上班时间对内网员工的网络行为进行管理和引导？网页过滤策略上班时间从事私人活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定的员工和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允

36、许的网页浏览都将被拒绝。IM（即时通讯）聊天软件的管理上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件，IT管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器IP的方式，不仅费时费力且无法根治。AC通过检测应用数据包的特征字段，实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。各种行为的管理网页过滤、IM聊天等管控只是内网行为管理的一部分。面对员工上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，AC

37、通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将员工精力更多聚焦在工作上。上网时间管理每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同员工，基于时间段进行权限分配，也可以限制员工一天内总的上网时间，实现人性化管理。33 保障内网安全 多数机构已经在公网接口处部署了防火墙、IDS等设备，但内网依然病毒频发、攻击不断，是何原因？堡垒最容易从内部突破，内网员工主动“邀请”病毒、木马等进入内网！拦截不良网页AC内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC轻松过滤；AC

38、允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网员工访问不良网页和危险网页的可能。假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。文件传输控制针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；AC的“拦截不良网页”措施将避免用户访问含病毒URL地址；AC还可限制使用QQ、MSN等传递文

39、件。通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，瘫痪整个网络。而此类行为和流量经过AC时，AC首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。修复内网安全短板根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将

40、感染整个内网员工群。借助网络准入规则技术（Network Admission Rules，NAR）（专利号：200510037455.1），AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入Internet，从而修复内网安全短板。防DOS、防ARP欺骗即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击AC能防御；而来自内网的DOS攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击，而AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。ARP(Address Resoluti

41、on Protocol)协议原本用于“从IP地址寻找MAC地址”，但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。3 . 4 免审计Key功能机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，怎样防止此类用户行为的记录？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户进行行为记录，怎么办？AC正是考虑到用户可能面临的以上风险和威胁，推出了

42、“免审计Key”功能。在AC上为总裁、财务部相关人员创建帐户信息时，为用户指定DKEY认证，并“启用DKEY防监控”功能，为用户生成“免审计Key”。总裁使用该“免审计Key”认证后，AC从底层免除对总裁的一切记录。可能“总裁”会有疑问，如果“非善意”人员私下取消设备配置界面上的“启用DKEY防监控”怎么办？无须担心，此时总裁再插入该“免审计Key”后会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。35 避免法律风险 身边的网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果员工利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将

43、成为该违法事件的直接责任人。外发信息控制员工们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式将办公室和机构内信息发布出去。而AC能够封堵IM聊天软件，过滤和审计Email邮件收发，过滤访问论坛、网站的行为，而网络发帖AC一样可以进行过滤和审计，让员工们认识到自己需要为其网络行为负责。对合作伙伴、新员工接入内网的认证，通过AC提供的完整身份认证体系：可以启用Web方式的用户名/密码认证，IP和MAC地址绑定，或与机构的Radius、LDAP、微软域控服务器联动，AC甚至可以借助机构的POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接

44、入用户将无法访问任何网络资源。保护版权资料互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制，可以阻止员工搅入版权问题；同样，当员工已经出现违法违规问题时，你可以在AC的数据中心中找到其违规记录，进而使机构摆脱不必要的纠纷。法律遵从和举证员工个人偏好导致的非正当网络行为，例如访问色情、反动网站等，AC能有效过滤和拦截；AC亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在AC数据中心中找到相关记录作为法律举证的重要依据。AC通过

45、独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部员工的网络访问行为。四、购买事宜41 产品配置介绍 项目描述数量Sinfor M5100-AC 上网行为管理设备142 购买方式 深信服根据XX机构的具体资金预算，和具体的项目实施方案不同提供以下购买方式：如：l 一次性付款l 账期付款客户可以根据不同的情况选择，或者与深信服探讨新的运作方式，以保证双方的合作。五、实施与售后服务深信服科技将在提供产品的同时向机构提供从安装实施到售后技术支持的一系列服务，具体内容包括：51 安装和实施 深信服与机构商定实施工期、制定实施计划

46、和验收标准。 组织实施人员进行上网行为管理设备的安装、调试、调优工作，建立合理的项目建设机制，保证工程的安装服务质量。 实施结束后，如果5日机构验收不合格，则由深信服负责找出原因并改进，直至验收合格。 验收完毕后提供完整的技术文档，内容包括：系统的信息记录、操作维护、调试的方法以及常见故障处理等等。52 技术服务支持 一年免费电话支持服务：免费技术支持热线：800-830-6430深信服公司提供以上技术支持热线的724小时技术支持服务 远程技术支持服务验收合格1年内，深信服科技免费提供远程技术支持服务，即：出现网络故障，通过电话支持无法解决的情况下，可通过远程调试技术支持服务予以协助解决。提供时间：星期一到星期五：每天8:3021:00星期六：9:0018:00 设备更换 验收合格1年内，由非人为因素造成的设备损坏，深信服科技负责予以免费更换及现场安装调试