1、精選優質文檔-傾情為你奉上精選優質文檔-傾情為你奉上專心-專注-專業專心-專注-專業精選優質文檔-傾情為你奉上專心-專注-專業深信服Sinfor AC 上網行為管理解決方案目 錄目錄 TOC o 1-3 h z u 一、上網行為管理與企業競爭力隨著Internet的接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給企業帶來更高的網絡使用危險性、復雜性和混亂。在IDC對全世界企業網絡使用情況的調查中發現，在上班工作時間里非法使用郵件、瀏覽非法Web網站、進行音樂/電影等BT下載或者在線收看流媒體的員工正在日益增加，令網絡管理者頭疼不已。據IDC的數據統計，企業中員工30%至40%

2、的上網活動與工作無關；而來自色情網站訪問統計的分析表明：70%的色情網站訪問量發生在工作時間。這些員工隨意使用網絡將導致三個問題：(1)工作效率低下、(2)網絡性能惡化、(3)網絡違法行為。企業網作為一個開放的網絡系統，運行狀況愈來愈復雜。企業的IT管理者如何及時了解網絡運行基本狀況，并對網絡整體狀況作出基本的分析，發現可能存在的問題（如病毒、木馬造成的網絡異常），并進行快速的故障定位，這一切都是對企業網信息安全管理的挑戰，這些問題包括：IT管理員如何對企業網絡效能行為進行統計、分析和評估？IT管理員如何限制一些非工作上網行為和非正常上網行為（如色情網站），如何監控、控制和引導員工正確使用網絡

3、？IT管理員如何杜絕員工通過電子郵件、MSN等途徑泄漏企業內部機密資料？IT管理員如何在萬一發生問題時有一個證據或依據？二、互聯網管理的好幫手深信服SINFOR AC上網行為管理系統網絡作為信息時代企業的生產工具，同樣面臨著適當監控、合理使用的問題。在美國和歐洲，有80%的企業對員工的互聯網活動進行監視，而且這一舉措得到了法律條文上的支持。隨著中國加入WTO，經濟領域的國際競爭進一步加劇，國內的企業也需要認真考慮合理使用網絡資源，充分提高企業競爭力的問題。尤其值得注意的是，中國員工比其它地區的員工每周多花7.6小時的時間來使用IM、玩游戲、P2P軟件或流動媒體?；ヂ摼W濫用，給中國企業帶來了巨大

4、的損失。因此，如何有效地解決這些問題，以便提高員工的工作效率，降低企業的安全風險，減少企業的損失，已經成為中國企業迫在眉睫的緊要任務。當前內網安全管理也隨之提升到一個新的高度，在防御從外到內諸如病毒、黑客入侵、垃圾郵件的同時，從內到外諸如審計、監控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現。越來越多的企事業單位需要對內網進行統一管理以調整網絡資源的合理利用。針對內網安全上的這些問題，Sinfor M5*000AC系列UTM安全網關是一個非常好的解決方案。在內部安全的上網行為管理（網絡安全審計）上，為保證企業合理使用Internet資源，防止企業信息資產泄漏，SINFOR AC安全網關提供了

5、完善的訪問控制功能。通過合理設置訪問權限，能夠杜絕對不良網站和危險資源的訪問，防止P2P軟件對企業網絡帶來的安全風險。通過帶寬管理和訪問跟蹤技術，能有效防止對Internet資源的濫用。Sinfor AC安全網關獨特的敏感內容攔截和安全審計功能更為防止保密信息泄漏提供了最有效的保證。此外，作為一個UTM整合式設備，SINFOR AC安全網關還提供了豐富的外部安全保障措施。除了強大的VPN模塊和防火墻模塊之外，SINFOR AC安全網關還集成了來自歐洲的領先病毒廠商F-PROT的殺毒引擎，對內網用戶接收的郵件和下載的文件進行病毒過濾，降低了內網用戶感染病毒的風險。另外，強大的垃圾郵件過濾功能將大

6、量垃圾郵件拒之門外，也大大提高了員工使用Internet的辦公效率。同時SINFOR AC安全網關還提供了高效的IPS（入侵防御系統）功能，能有效識別和抵御3000多種攻擊，更大范圍的保護了企業連接到Internet的安全。三、濱江遠望公司網絡現狀及深信服解決方案1. 隨著公司發展，公司在外出差越來越多，無法通過遠程辦公，經常有文件耽誤審批。另外出口只有一個路由器沒有防火墻功能，想購買一個防火墻。2. 總部與分部之間網絡互聯程度低，不利于公司信息化資源的共享和網絡的統一管理3. 內網用戶上網存在諸多問題。3.1 員工上班期間做一些非工作的事情，如瀏覽和工作無關的網頁、IM 聊天、在線炒股、網絡

7、游戲等上網行為，不但降低了生產效率，同時還影響了公司的工作氛圍。3.2 P2P行為、文件下載、網絡流媒體等非工作應用占用了大量網絡帶寬，影響正常辦公對帶寬的需求。3.3 員工的上網權限、時間劃分不夠明確3.4 對外發數據缺乏必要的的審計和核查，達不到國家相關法律法規的要求，事后不能有效地查閱是誰通過公司網絡泄露了公司機密或者散布了敏感、違法信息。深信服解決方案建議總部采用深信服AC1200行為管理和SSL VPN，用網關模式部署替代前置路由器充當防火墻，另外還可解決在外辦公人員遠程安全接入問題（如果在外辦公人員較多，建議采用單獨的SSL VPN設備，解決在外辦公人員遠程安全接入問題）建議分部采

8、用深信服AC1100行為管理，用網關模式部署替代前置路由器充當防火墻，總部和分部設備通過IPSEC VPN互聯。網絡拓撲圖1：在外辦公人員比較多時，采用單獨的SSL VPN設備，在外辦公人員通過SSL VPN與總部相聯?？偛亢头植客ㄟ^設備采用IPSEC VPN互聯。網絡拓撲圖2：在外辦公人員比較少時，直接用AC行為管理自帶的IPSEC VPN，在外辦公人員通過IPSEC VPN客戶端程序與總部相聯?？偛亢头植客ㄟ^設備采用IPSEC VPN互聯。四、深信服AC上網行為管理功能介紹1，細致的訪問控制功能，有效管理用戶上網SINFOR AC安全網關不僅可以對員工訪問WEB、FTP、MAIL等常用服務

9、的內容進行控制，更可以對QQ、BT、MSN、SKYPE等各種P2P軟件的行為進行限制和控制。豐富的報表功能還可以分析出企業的Internet的詳細使用情況，為網絡管理員和決策者分配和了解員工網絡資源提供有效數據支持?；赪eb的和LDAP/Radius集成的用戶認證功能，使得對上網用戶的管理變得十分靈活方便。表1：訪問控制功能一覽表功能詳細指標危險網站阻隔使用更新的不良網站列表阻隔對色情、病毒、釣魚網站的訪問訪問控制策略提供基于組、時間、服務、網址策略、內容策略等多種對象組合的安全訪問控制策略P2P攔截使用深度內容檢測技術及在線網關監控技術實現對包括QQ、MSN、SKYPE、BT等任何P2P軟

10、件的流量阻隔用戶認證提供Web登錄認證功能，提供本地用戶數據庫和LDAP、RADIUS用戶數據集成功能文件上傳下載控制對HTTP、FTP文件上傳、下載類型和大小進行控制，也能對QQ、MSN等P2P軟件的文件傳送進行攔截IPMAC綁定提供靈活的IPMAC綁定策略代理識別功能能識別采用Http、Https、Socks等代理服務器繞過防火墻檢查的行為，從而進行阻斷敏感數據攔截對HTTP、FTP、SMTP、IMAP等應用協議做敏感數據攔截，以防泄密或引起法律糾紛2，完善的內容過慮和訪問審計功能，防止機密信息泄漏談到安全問題時，大多數人都只關注外網安全，但其實企業的信息資產更多的不是被黑客竊取，而是通過

11、內部泄漏的。SINFOR AC安全網關完善的訪問審計和監控功能能夠有效防止信息通過Internet泄漏，并建立強大的內部安全的威懾，減少內部泄密的行為。對于郵件類型的應用還采用了深信服“郵件延遲審計”的專利技術來保證先審計后發送。SINFOR AC的訪問審計/監控模塊為企業構筑了強大的內部安全屏障。表2：訪問審計功能一覽表功能詳細指標郵件延遲審計對外發郵件進行延遲緩存，審計后才能發出，確保信息資產不外泄實時監控實時監控用戶的上網行為內網監控針對員工在網上的所有行為，包括聊天記錄、瀏覽的網頁、上傳下載的文件等進行詳細的記錄，以監控員工上半時間的工作行為，防止企業內部機密、情報等泄漏，并事后追查責

12、任人3，強大的數據報表中心，提供直觀的上網數據統計SINFOR AC網關擁有強大的數據中心，管理者可分組、用戶、規則、協議等多種查詢對象，按餅圖、柱狀圖、曲線圖等方式進行查詢，可直觀地查看到網絡流量、郵件、網絡監控、IPS系統、準入規則、防火墻等詳細信息，并可直接打印和導出報表。SINFOR AC網關強大的日志系統和豐富的報表功能，可詳細分析出企業的Internet的詳細使用情況，為網絡管理員和決策者提供了最有效的數據支持。表3：數據中心功能一覽表功能詳細指標流量統計日志包含內網流量統計概要、組流量排行、流量日志、流量趨勢等，用餅狀、柱型等直觀地表示網絡內部的流量排名郵件日志包含郵件統計概要、

13、郵件排行、郵件查詢、郵件趨勢等功能，可詳細統計用戶所有收發郵件的具體情況網絡監控日志包括監控統計摘要、監控排行、監控查詢、監控趨勢等功能。管理員可詳細監控內網用戶使用互聯網資源的具體使用情況準入規則日志包括準入規則摘要、準入排行、準入查詢等功能，管理員可對內部網絡的違規機器進行詳細統計和查看IPS日志包含IPS日志摘要、IPS排行、IPS查詢、IPS趨勢等功能，可顯示詳細的網絡安全情況防火墻日志包含防火墻摘要、防火墻排行、防火墻查詢、防火墻趨勢等功能，管理員可以對防火墻的日志進行更為詳細地分析日志庫管理主要包含日志庫信息、日志庫查詢、日志庫切換等功能用戶管理管理員可在此新增用戶、查詢用戶4，強

14、大的QOS及流量分析功能SINFOR AC安全網關強大的訪問控制和QOS功能可以使得企業合理利用Internet資源，為不同的用戶分配不同的帶寬和上網權限，使得Internet資源得到有效利用，并大大提高員工的工作效率。SINFOR AC安全網關可以詳細記錄和分析所有流量的內容，包括http、ftp、mail、telnet等常用軟件的內容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM軟件的內容。另外還能按用戶、用戶組、協議和時間對Internet流量進行統計分析，以優化員工對Internet的資源使用情況。使得企業有限的帶寬能得到最充分的利用，提高企業的網絡利用率。表4：QOS及流

15、量控制功能一覽表QOS保證使用差分業務模型實現QOS使用隨機早期檢測RED丟棄算法提供流量控制流量控制能針對內網每個用戶或者不同的組，限定其上網能占用的帶寬資源，使企業內網帶寬資源得到充分有效的利用5，集成豐富的外網安全功能：包括防火墻、VPN、IPS、網關殺毒及防垃圾郵件等作為一個UTM整合式設備，SINFOR AC安全網關還提供了豐富的外部安全保障措施。除了強大的VPN模塊和防火墻模塊之外，SINFOR AC安全網關還集成了來自歐洲的領先病毒廠商F-PROT的殺毒引擎，對內網用戶接收的郵件和下載的文件進行病毒過濾，降低了內網用戶感染病毒的風險。另外，強大的垃圾郵件過濾功能將大量垃圾郵件拒之

16、門外，也大大提高了員工使用Internet的辦公效率。同時SINFOR AC安全網關還提供了高效的IPS（入侵防御系統）功能，能有效識別和抵御3000多種攻擊，更大范圍的保護了企業連接到Internet的安全。五、SINFOR AC安全網關主要技術優勢1，深度的內容檢測技術及在線網關監控技術及時封堵P2P、IM軟件（1）深度的內容檢測技術：目前的P2P軟件，如QQ、MSN等IM即時通訊軟件以及BT、電驢等下載軟件，在用TCP或者UDP數據包的傳送過程中，其報文段都會有一段特征碼，該特征碼是用來標識其數據包類型。SINFOR AC安全網關的深度內容檢測技術，可以檢測出數據包的報文中相對應的特征碼

17、，并根據預置策略進行及時封堵。UTM 安全網關內置了多種深度內容檢測技術所依賴的特征碼規則，并且可以從網站上更新下載。依靠這種技術，Sinfor AC安全網關可以封堵目前所有的P2P軟件；避免了最終用戶在IM或者P2P軟件上浪費時間，提高了員工的工作效率和企業的生產效率，并防止泄密或由于員工泄密引起的重大損失。（2）在線網關監控技術：與其他旁路監聽的訪問監控產品不同的是，SINFOR AC使用了在線網關監控技術。所有的旁路監聽產品，對UDP發送的數據都難以攔截，并且攔截往往有一定時延，攔截敏感數據的效果不佳，并且容易遺漏監控數據。SINFOR AC的在線攔截監控技術能保證攔截到所有敏感數據，外

18、出數據無一紕漏。2，郵件的延遲審計（專利技術）SINFOR AC安全網關獨有的郵件延遲審計功能保證了企業的重要信息不外泄。目前電子郵件已經成為人們最重要的溝通方式。電子郵件快捷、方便的特點已經成為企業與外部溝通的最有效的方式之一。企業內部大量的信息都通過電子郵件方式發送到外部，因而電子郵件也成為泄漏企業重要信息的重要途徑之一。SINFOR AC安全網關獨創的郵件延遲審計功能，可以對經由AC安全網關的所有郵件進行延遲審計。對于內網用戶向外發送郵件，AC安全網關會對其進行延遲緩存，只有等待管理員審計后才能發出，確保了企業信息資產不外泄，保證了企業內網信息的安全，且郵件延遲審計對發件人完全透明。3，

19、獨有的網絡訪問準入規則（專利技術）企業的安全隱患，往往是由于內網用戶客戶端缺乏安全防范造成的。為了從根本上杜絕企業內部網絡安全隱患，減少內網用戶遭受間諜軟件、病毒的風險。深信服科技創新性地采用了網絡訪問準入規則這一技術。網絡訪問準入規則，是管理員在SINFOR AC安全網關的準入規則中預先定制好內網計算機的安全策略。所謂安全策略，是指特定的安全標準。如：用戶計算機的操作系統是否安裝有管理員指定的系統補丁，以及用戶的計算機是否安裝有相應的殺毒程序或者防火墻，或者是用戶的計算機是否啟動相應的殺毒程序、防火墻程序等等，這一系列的安全標準都可以定制成相應的安全策略。當用戶計算機訪問網絡請求的數據包通過

20、SINFOR AC安全網關時，若啟用了WEB認證，當用戶通過WEB認證后，此時用戶的計算機會自動從AC安全網關下載相應的安全策略掃描程序，根據指定的安全策略啟動掃描程序，并檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡，不具備相應安全條件的用戶計算機，不允許上網。這樣從根本上提高了企業用戶計算機的安全性，減少了企業用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。4，WEB認證技術AC安全網關基于Web的用戶認證功能，使得管理員對上網用戶的管理變得十分靈活方便。用戶啟用了Web認證功能以后，除了對客戶端的本地身份（如：用戶名密碼認證，LDAP、RADIUS

21、等認證）進行常規性認證以外，還將啟用Web認證。當客戶端在瀏覽器中輸入任意網址時，AC安全網關會要求用戶輸入用戶名和密碼進行認證。只有當用戶輸入了正確的帳號，該用戶才能夠訪問Internet。5，高度集成，部署靈活SINFOR AC安全網關很重要的一個特點就是作為整合式的UTM設備，將訪問控制/監控、網關殺毒、防垃圾郵件、防火墻、VPN和IPS等多種功能都集成在一個網關。用戶可以使用較低的成本同時擁有多種網絡安全模塊，大大降低了企業在網絡安全方面的總體擁有成本。另外，用戶也可以選擇僅僅使用AC設備的某個或某幾個功能模塊，比如將AC作為殺毒網關或防火墻等單一功能的網絡設備使用，可與原有網絡安全產

22、品融合，部署靈活的同時也保護了投資。6，模塊化設計，性能強大AC安全網關從以下三個方面來保證其性能的強大：（1）按服務分別處理模塊大多數企業的數據流并不是都要經過AC安全網關的所有模塊，比如不是Http、ftp或pop3等協議的數據就不會經過殺毒模塊和垃圾郵件處理模塊，因而通過針對不同服務的數據流處理模式減少了CPU負擔，從而保證數據包處理的高效性。（2）分優先級處理不同業務模塊AC安全網關分不同的優先級別處理不同的業務模塊。比如防火墻模塊會優先處理，而殺毒就在CPU空閑時處理，這樣能有效利用CPU資源，即保證了重要業務數據的及時傳送，又保證了所有功能模塊都能合理調度。（3）使用高性能CPU和

23、協處理器負荷分擔處理對于VPN使用協處理器加密，對于高性能應用環境使用多CPU分擔處理不同的業務模塊，有效保障了整體的處理性能。六、成功典型案例Sinfor UTM安全網關應用于樂凱集團樂凱膠片集團公司是我國影像信息記錄產業中規模最大、技術最強、產品品種最多、市場覆蓋面最廣、跨地區跨行業的現代化企業，是國務院國資委出資的189家大型國有企業之一，共有員工8870余人，下屬分公司和合資公司共有三十多家，公司總資產34億元， “樂凱”商標是被國家商標局認定的中國馳名商標。 樂凱集團在企業信息化建設的過程中提出了上網行為管理的需求，企業的IT管理者希望能夠及時了解網絡運行的基本狀況，以便發現可能存在

24、的問題（如病毒、木馬造成的網絡異常），并進行快速的故障定位，包括：監控、控制和引導員工正確使用網絡；限制一些非工作上網行為和非正常上網行為（如色情網站）；杜絕員工通過電子郵件、MSN等途徑泄漏企業內部機密資料等。針對此，深信服科技推薦了Sinfor AC上網行為管理解決方案。作為一款UTM多功能安全網關，Sinfor AC集防火墻、IPS、VPN、網關殺毒、防垃圾郵件及內容過慮、訪問跟蹤等多功能于一體，既能夠對上網數據進行過濾和監控，為IT管理者提供一個很好的網絡安全審計平臺；又能夠對本地局域網進行完善的保護，避免病毒和垃圾郵件的困擾，解決了企業網絡安全的多方面問題。其他成功典型案例：四川朗酒

25、集團 中國環境檢測總站上海醫藥集團 南京市委黨校廣東堡獅龍實業有限公司 深圳市千色店百貨用品有限公司廣西奧奇麗集團股份有限公司 依必安派特電氣（上海）有限公司北京市宣武區人民政府 北京市宅急送快運有限公司浙江省千島湖啤酒廠 上海運城制版公司德賽電子（惠州）有限公司 酒泉衛生星發射中心北京后勤部隊附1：深信服上網行為管理功能一覽表分類功能詳細指標訪問控制危險網站阻隔使用更新的不良網站列表阻隔對色情、病毒、釣魚網站的訪問訪問控制策略提供基于組、時間、服務、網址策略、內容策略等多種對象組合的安全訪問控制策略P2P攔截使用深度內容檢測技術實現對包括QQ、MSN、SKYPE、BT等任何P2P軟件的流量阻隔用戶認證提供Web登錄認證功能，提供本地用戶數據庫和LDAP,Radius用戶數據集成功能文件上傳下載控制對Http、Ftp文件上傳、下載類型和大小進行控制，也能對QQ,MSN等P2P軟件的文件傳送進行攔截IPMAC綁定提供靈活的IPMAC綁定策略代理識別功能能識別采用Http,Https,Socks等代理服務器繞過防火墻檢查的行為，從而進行阻斷敏感數據攔截對Htt