公司員工上網(wǎng)行為解決方案

1、上網(wǎng)行為管理及網(wǎng)絡(luò)安全解決方案一、需求概述背景需求分析隨著Internet的接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方 面也給企業(yè)帶來(lái)更 高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂。在IDC對(duì)全世界企業(yè)網(wǎng)絡(luò)使用情況 的調(diào)查中發(fā)現(xiàn)，在上班工作時(shí)間里 非法使用郵件、瀏覽非法Web網(wǎng)站、進(jìn)行音樂(lè)/電影等BT下載或者在線收看流媒體的員工正在日益增加，令網(wǎng)絡(luò)管理者頭疼不已。據(jù)IDC的數(shù)據(jù)統(tǒng)計(jì)，企業(yè)中員工30%至40%的上網(wǎng)活動(dòng)與工作無(wú)關(guān)；而來(lái)自色情網(wǎng)站訪問(wèn)統(tǒng)計(jì)的分析表明：70%的色情網(wǎng)站訪問(wèn)量發(fā)生在工作時(shí)間。尤其值得注意的是，中國(guó)員工比其它地區(qū)的員工每周多花7.6小時(shí)的時(shí)間 來(lái)使用IM、玩游戲、

2、P2P軟件或流動(dòng)媒體。互聯(lián)網(wǎng)濫用，給中國(guó)企業(yè)帶來(lái)了巨大的損失。這些員工隨意使用網(wǎng)絡(luò)將導(dǎo)致三個(gè)問(wèn)題：（1）工作效率低下、（2）網(wǎng)絡(luò)性能惡化、（3）網(wǎng)絡(luò)泄密和違法 行為。企業(yè)網(wǎng)作為一個(gè)開(kāi)放的網(wǎng)絡(luò)系統(tǒng)，運(yùn)行狀況愈來(lái)愈復(fù)雜。企業(yè)的IT管理者如何及時(shí)了解網(wǎng)絡(luò)運(yùn)行基本狀 況，并對(duì)網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問(wèn)題（如病毒、木馬造成的網(wǎng)絡(luò)異常），并進(jìn)行快速的 故障定位，這一切都是對(duì)企業(yè)網(wǎng)信息安全管理的挑戰(zhàn)，這些問(wèn)題包括：IT管理員如何對(duì)企業(yè)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計(jì)、分析和評(píng)估？IT管理員如何限制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為（如色情網(wǎng)站），如何監(jiān)控、控制和引導(dǎo)員工正確使用 網(wǎng)絡(luò)？IT管理員如何杜

3、絕員工通過(guò)電子郵件、MSN等途徑泄漏企業(yè)內(nèi)部機(jī)密資料？IT管理員如何在萬(wàn)一發(fā)生問(wèn)題時(shí)有一個(gè)證據(jù)或依據(jù)？因此，如何有效地解決這些問(wèn)題，以便提高員工的工作效率，降低企業(yè)的安全風(fēng)險(xiǎn)，減少企業(yè)的損失，已經(jīng)成為中國(guó)企業(yè)迫在眉睫的緊要任務(wù)。當(dāng)前內(nèi)網(wǎng)安全管理也隨之提升到一個(gè)新的高度，在防 御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時(shí)，從內(nèi)到外諸如審計(jì)、監(jiān)控、訪問(wèn)控制、訪問(wèn)跟蹤、流量限 制等問(wèn)題也日益凸現(xiàn)。越來(lái)越多的企事業(yè)單位需要對(duì)內(nèi)網(wǎng)進(jìn)行統(tǒng)一管理以調(diào)整網(wǎng)絡(luò)資源的合理利用。具體需求分析某某有限公司訪問(wèn)控制詳細(xì)需求分析：隨著業(yè)務(wù)的發(fā)展，信息化建設(shè)步伐的加快，某公司網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。雖然在網(wǎng)絡(luò)出口處己部署

4、了專(zhuān)門(mén)的防火墻設(shè)備，但無(wú)孔不入的病毒（尤其是木馬病毒）、垃圾郵件仍 然大肆泛濫，嚴(yán)重影響了企業(yè)應(yīng)用系 統(tǒng)的運(yùn)行和公司業(yè)務(wù)的正常運(yùn)作；另外，在針對(duì)內(nèi)網(wǎng)的無(wú)法有安全方面（尤其是PC客戶端準(zhǔn)入安全檢查），由于缺少專(zhuān)門(mén)的客戶端安全檢查設(shè)備， 效的保護(hù)整個(gè)局域網(wǎng)的安全性。導(dǎo)致員工的工作效率低最為重要的是企業(yè)對(duì)員工的網(wǎng)絡(luò)使用方面沒(méi)有很好的限制方法，下，而且BT下載嚴(yán)重影響了企業(yè)內(nèi)部關(guān)鍵應(yīng)用的使用。通過(guò)對(duì)某公司需求的了解，在內(nèi)網(wǎng)行為方面在以下幾個(gè)方面需要解決。所面臨的問(wèn)題：無(wú)法做到細(xì)致的訪問(wèn)控制首先公司內(nèi)部辦公網(wǎng)絡(luò)有著自己的網(wǎng)絡(luò)服資源，將來(lái)又可能上其他系統(tǒng)如：OA系統(tǒng)、ERP系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等

5、。并且公司的部門(mén)、人員組成十分復(fù)雜，無(wú)法對(duì)這些用戶進(jìn)行細(xì)致的分組 規(guī)定他們?cè)L問(wèn)的資源的權(quán)限。還有QQ、MSN、BT等網(wǎng)絡(luò)資源同樣無(wú)法進(jìn)行有效的控制，導(dǎo)致用戶可以任意的使用網(wǎng)絡(luò)資源使員工效率降低，并且加大了企業(yè)的風(fēng)險(xiǎn)。無(wú)法對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控提到網(wǎng)絡(luò)安全問(wèn)題，大多數(shù)用戶都只關(guān)注外網(wǎng)安全。但是其實(shí)企業(yè)的信息資產(chǎn)更多的不 是被黑客竊取， 而是通過(guò)內(nèi)部泄漏的。所以雖然公司內(nèi)部已經(jīng)部署了防火墻等安全設(shè)備，但 是無(wú)法對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行 有效的監(jiān)控，包括郵件、BBS上傳、下載等。沒(méi)有很好的統(tǒng)計(jì)方法，無(wú)法得知內(nèi)網(wǎng)的使用狀況管理員無(wú)法具體知道網(wǎng)絡(luò)的使用情況只能聽(tīng)員工反映的情況，最多只能簡(jiǎn)單的

6、記錄一些IP訪問(wèn)情況，查尋與統(tǒng)計(jì)相當(dāng)不方便。無(wú)法保證客戶端的安全性由于員工的機(jī)器沒(méi)有限制，所以無(wú)法保證在上網(wǎng)時(shí)的安全性，導(dǎo)致很容易從訪問(wèn)網(wǎng)站中感染病毒，木 馬，等不安全因素，從而影響整個(gè)內(nèi)網(wǎng)用戶的應(yīng)用。網(wǎng)絡(luò)現(xiàn)狀分析某某 有限公司目前在Internet出口處部署了防火墻設(shè)備，內(nèi)部網(wǎng)絡(luò)通過(guò)核心三層交換 機(jī)，2層交換連接 到各部門(mén)辦公區(qū)域，由于為將來(lái)可能會(huì)上OA系統(tǒng)、ERP系統(tǒng)、WEB服 務(wù)器、郵件服務(wù)器等，具體的部署結(jié)構(gòu) 圖如下：目前網(wǎng)絡(luò)的使用情況：某某有限公司內(nèi)部辦公網(wǎng)絡(luò)辦公用戶大約在100人左右。在P2P流量控制方面沒(méi)有下載帶寬限制，內(nèi)網(wǎng)有很多病毒，經(jīng)常出現(xiàn)攻擊事件，內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限沒(méi)有有效限

7、制等。鑒于以上情況，某某有限公司需部署一臺(tái)上網(wǎng)行為管理設(shè)備實(shí)現(xiàn)以下需求：1、對(duì)內(nèi)部用戶不同的部門(mén)劃分不同的組并給予不同的上網(wǎng)權(quán)限，如經(jīng)理以上級(jí)別的領(lǐng)導(dǎo)，要求內(nèi)網(wǎng)行為 不受限制；財(cái)務(wù)部門(mén)僅開(kāi)放國(guó)稅、地稅等稅務(wù)相關(guān)網(wǎng)站，其它任何訪問(wèn)In ternet的活動(dòng)均受限制。2、開(kāi)設(shè)公共區(qū)域，使沒(méi)有上網(wǎng)權(quán)限的用戶，可以通過(guò)自己的用戶名、密碼在這些PC上進(jìn)行有限的互聯(lián)網(wǎng)活動(dòng)，同時(shí)記錄每個(gè)公共區(qū)域用戶在互聯(lián)網(wǎng)上的行為。3、對(duì)終端用戶PC機(jī)上的代理軟件進(jìn)行徹底封堵。4、對(duì)內(nèi)網(wǎng)用戶所有的上網(wǎng)行為，包括MSN QQ等聊天內(nèi)容以及上傳下載進(jìn)行監(jiān)控審計(jì)，通過(guò)集中報(bào)表的 方式反應(yīng)網(wǎng)絡(luò)的使用情況。二、解決方案AC上網(wǎng)行為管理

8、設(shè)備功能介紹控制功能：細(xì)致的訪問(wèn)控制功能，有效管理用戶上網(wǎng)SINFOR AC安全網(wǎng)關(guān)不僅可以對(duì)員工訪問(wèn)WEB、FTP、MAIL等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對(duì)QQ、BT、MSN、SKYPE等各種P2P軟件的行為進(jìn)行限制和控制。豐富的報(bào)表功能還可以分析出企 業(yè)的In ternet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持?；赪eb的和LDAP/Radius集成的用戶認(rèn)證功能，使得對(duì)上網(wǎng)用戶的管理變得十分靈活方便。表2.1:訪問(wèn)控制功能一覽表功能模塊功能性能指標(biāo)身份認(rèn)證IP MAC綁定結(jié)合準(zhǔn)入規(guī)則功能，可實(shí)現(xiàn)跨三層交換機(jī)的IP-MAC綁定功能WEB認(rèn)證WEB認(rèn)證

9、的用戶名和密碼可以使用本地用戶密碼也可以和LDAP服務(wù)器、Microsoft的AD服務(wù)器、Radius服務(wù)器，POP3服務(wù)器聯(lián)動(dòng)單點(diǎn)登錄支持基于 Microsoft AD域的單點(diǎn)登陸，用戶登陸域以后，不需要再次在WEB認(rèn)證頁(yè)面輸入密碼客戶端安全 檢查網(wǎng)絡(luò)準(zhǔn)入規(guī)則對(duì)上網(wǎng)的終端進(jìn)行安全檢查，可檢查是否安裝了防病毒軟件、個(gè)人防火墻軟 件或病毒庫(kù)是否升級(jí)、操作系統(tǒng)是否安裝安全補(bǔ)丁以及是否運(yùn)行了某個(gè)不該 運(yùn)行的軟件上網(wǎng)權(quán)限控 制策略管理分組、分時(shí)段，有選擇性的封堵各種上網(wǎng)行為代理檢測(cè)能識(shí)別采用Http、Https、Socks等代理服務(wù)器繞過(guò)防火墻檢查的行為，防 止訪問(wèn)非法網(wǎng)站P2P控制允許管理員有選擇性

10、的封堵各種 P2P和IM軟件上網(wǎng)時(shí)長(zhǎng)限制在用戶達(dá)到管理員設(shè)定的最長(zhǎng)上網(wǎng)時(shí)間后拒絕該用戶對(duì)互聯(lián)網(wǎng)的繼 續(xù)訪問(wèn)URL控制數(shù)十種多達(dá)300萬(wàn)條URL庫(kù)，控制對(duì)危險(xiǎn)、反動(dòng)、色情等各類(lèi)占點(diǎn)的訪問(wèn)內(nèi)容過(guò)濾關(guān)鍵字過(guò)濾基于網(wǎng)址/搜索引擎以及HTTP 上傳的關(guān)鍵字過(guò)濾功能。如通過(guò)WEB發(fā)郵件、 通過(guò)BBS發(fā)表言論文件類(lèi)型過(guò)濾對(duì)HTTP/ FTP上傳下載的文件做文件類(lèi)型過(guò)濾郵件過(guò)濾可對(duì)發(fā)送的郵件做關(guān)鍵字、郵箱地址的過(guò)濾。保證內(nèi)部機(jī)密信息不外泄漏SSL證書(shū)過(guò)濾及控制通過(guò)對(duì)網(wǎng)站的數(shù)字證書(shū)和數(shù)字簽名進(jìn)行審核和對(duì)照，利用SSL證書(shū)庫(kù)內(nèi)置的可信任證書(shū)頒布機(jī)構(gòu)列表，對(duì)SSL連接的證書(shū)內(nèi)容進(jìn)行可信度評(píng)估，當(dāng)危險(xiǎn)站點(diǎn)采用了偽造的

11、數(shù)字證書(shū)來(lái)騙取內(nèi)網(wǎng)用戶信任 時(shí)，AC可以判斷出其本來(lái)面目并進(jìn)行阻斷，避免組織成員蒙受經(jīng)濟(jì)損失。（二）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)SINFOR AC網(wǎng)關(guān)擁有強(qiáng)大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對(duì)象，按餅圖、柱狀 圖、曲線圖等方式進(jìn)行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān) 控、IPS系統(tǒng)、準(zhǔn)入規(guī)則、防火墻等詳細(xì) 信息，并可直接打印和導(dǎo)出報(bào)表。SINFOR AC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出企業(yè)的In ternet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。 表2.2:數(shù)據(jù)中心功能一覽表功能詳細(xì)指標(biāo)流量統(tǒng)計(jì)日志包含內(nèi)網(wǎng)

12、流量統(tǒng)計(jì)概要、組流量排行、流量日志、流量趨勢(shì)等，用餅狀、柱型 等直觀地表示網(wǎng)絡(luò)內(nèi)部的流量排名郵件日志包含郵件統(tǒng)計(jì)概要、郵件排行、郵件查詢、郵件趨勢(shì)等功能，可詳細(xì)統(tǒng)計(jì)用戶 所有收發(fā)郵件的具體情況網(wǎng)絡(luò)監(jiān)控日志包括監(jiān)控統(tǒng)計(jì)摘要、監(jiān)控排行、監(jiān)控查詢、監(jiān)控趨勢(shì)等功能。管理員可 詳細(xì)監(jiān) 控內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)資源的具體使用情況準(zhǔn)入規(guī)則日志包括準(zhǔn)入規(guī)則摘要、準(zhǔn)入排行、準(zhǔn)入查詢等功能，管理員可對(duì)內(nèi)部網(wǎng)絡(luò) 的違規(guī) 機(jī)器進(jìn)行詳細(xì)統(tǒng)計(jì)和查看IPS日志包含IPS日志摘要、IPS排行、IPS查詢、IPS趨勢(shì)等功能，可顯示詳細(xì) 的網(wǎng)絡(luò) 安全情況防火墻日志包含防火墻摘要、防火墻排行、防火墻查詢、防火墻趨勢(shì)等功能，管理員可以

13、對(duì)防火墻的日志進(jìn)行更為詳細(xì)地分析日志庫(kù)管理主要包含日志庫(kù)信息、日志庫(kù)查詢、日志庫(kù)切換等功能用戶管理管理員可在此新增用戶、查詢用戶（三）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析SINFOR AC安全網(wǎng)關(guān)強(qiáng)大的訪問(wèn)控制和 QOS功能可以使得企業(yè)合理利用In ternet資源，為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得In ternet資源得到有效利用，并大大提高員工的工作效率。SINFOR AC安全網(wǎng)關(guān)可以詳細(xì)記錄和分析所有流量的內(nèi)容，包括http、ftp、mail、tel net等常用軟件的內(nèi)容和常用 IM軟件的內(nèi)容。另外還能按用戶、用戶組、協(xié)議和時(shí)間對(duì)In ternet 流量進(jìn)行統(tǒng)計(jì)分析

14、，以優(yōu)化員工對(duì)In ternet的資源使用情況。使得企業(yè)有限的帶寬能得到最充分的利用，提高企業(yè)的網(wǎng)絡(luò)利用率。 表2.3: QOS及流量控制功能一覽表功能詳細(xì)指標(biāo)QOS保證使用差分業(yè)務(wù)模型實(shí)現(xiàn)QOS使用隨機(jī)早期檢測(cè)RED丟棄算法提供流量控制流量控制能針對(duì)內(nèi)網(wǎng)每個(gè)用戶或者不問(wèn)的組，限定其上網(wǎng)能占用的帶寬資源，使企業(yè)內(nèi)網(wǎng)帶寬資源得到充分有效的利用針對(duì)P2P應(yīng)用采用上行流量和口下行流量得限制，保證整個(gè)網(wǎng)絡(luò)得帶 寬（四）增值的安全防護(hù)功能：多重的安全防護(hù)，給網(wǎng)內(nèi)設(shè)備予更有力的保護(hù)。強(qiáng)大AC的病毒防護(hù)模塊在通過(guò)網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制、流量合理劃分和監(jiān)控審計(jì)后，需要的就是一個(gè)和諧 的內(nèi)網(wǎng)環(huán)境。內(nèi)網(wǎng)用戶中毒，感染

15、局域網(wǎng)， 導(dǎo)致業(yè)務(wù)中斷，這在很多組織機(jī)構(gòu)中曾經(jīng)出現(xiàn)過(guò)。AC為此為組織網(wǎng)絡(luò)從外至內(nèi)提供三道牢固的內(nèi)網(wǎng)安全防線。從進(jìn)口杜絕來(lái)自外網(wǎng)的隱 患，并節(jié)省下巨額的購(gòu)買(mǎi)防毒設(shè)備的費(fèi)用。設(shè)備選型及介紹根據(jù)對(duì)某某有限公司的網(wǎng)絡(luò)結(jié)構(gòu)了解，推薦使用深信服科技AC1100 上網(wǎng)行為管理設(shè)備，它隸屬于深信服上網(wǎng)行為管理AC1000產(chǎn)品系列。AC1000系列設(shè)備是中端內(nèi)網(wǎng)行為管理產(chǎn)品中的典范，是安全防范意識(shí)強(qiáng)、 需要管理和控制互聯(lián)網(wǎng)訪問(wèn)的用戶的第一選擇。目前已經(jīng)成 功運(yùn)行在政府、教育科研、電信、金融證券、電 網(wǎng)電力、石油石化、制造等行業(yè)。終上所述，AC1100上網(wǎng)行為管理設(shè)備在這個(gè)項(xiàng)目上是十分合適的，以下是此設(shè)備的基 本

16、性能參數(shù):SINFOR AC1100性能參數(shù)表：重要性能指標(biāo)：吞吐量V 70Mbps并發(fā)會(huì)話數(shù)V 60,000并發(fā)用戶數(shù)V 100轉(zhuǎn)發(fā)時(shí)延V 0.1msBYPASS支持故障時(shí)BYPASS (可選配)設(shè)備接口具備4個(gè)1000 Base-T千兆電口至少具備一個(gè)串口尺寸標(biāo)準(zhǔn)1U硬件規(guī)格：電源功率180W尺寸(cm): 42.7(W)X 32.9(D) X 4.45(H)重量：4.5Kg1U機(jī)架式結(jié)構(gòu)具體實(shí)施某某有限公司的網(wǎng)絡(luò)情況，AC系統(tǒng)部署圖如下：部署總部網(wǎng)網(wǎng)橋模式網(wǎng)橋模式將SINFOR AC等同于一根連接在網(wǎng)關(guān)和交換機(jī)之間的“智能網(wǎng)線”。此部署模式帶來(lái)的價(jià)值在于：1、可以對(duì)所有流經(jīng)AC的數(shù)據(jù)流進(jìn)

17、行審計(jì)、管理和控制。2、對(duì)企業(yè)內(nèi)部原有的網(wǎng)絡(luò)部署結(jié)構(gòu)無(wú)需任何改變，只需要分配一條網(wǎng)線即可。三、方案優(yōu)點(diǎn)及價(jià)值某某有限公司的需求，通過(guò)深信服科技的上網(wǎng)行為管理Sinfor AC1100的具體實(shí)施，帶來(lái)以下價(jià)值：3.1管理網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)流量管理AC上網(wǎng)行為管理產(chǎn)品通過(guò)審計(jì)、控制、優(yōu)化和帶寬疊加等功能，協(xié)助管理者全面 分析和優(yōu)化廣域網(wǎng)帶寬 資源。AC的數(shù)據(jù)中心(Network Data Center，NDC )對(duì)局域網(wǎng)發(fā)生的所有網(wǎng)絡(luò)行為進(jìn)行記 錄、分析和趨 勢(shì)報(bào)告。借助圖形化的數(shù)據(jù)和報(bào)表，用戶可以直觀地了解到哪些服務(wù)占用了廣域網(wǎng)寶貴的帶寬資源，網(wǎng)頁(yè)瀏覽，收發(fā)郵件，還是瘋狂的P2P下載。同樣，我們還可以

18、了解到哪個(gè)員工在網(wǎng)上購(gòu)物方面表現(xiàn)出了異于常人的活躍，哪些部門(mén)在上班時(shí)間觀看了最多的在線影片。通過(guò)對(duì)網(wǎng)絡(luò)使用情況的深入了解，管理者能夠制定出最適合自身組織機(jī)構(gòu)情況和的互聯(lián)網(wǎng)訪問(wèn)策略。由于AC提供對(duì)各種網(wǎng)絡(luò)服務(wù)的攔截和管理，以往的拔網(wǎng)線、通報(bào)點(diǎn)名的強(qiáng)制性手段將成為過(guò)去，如何發(fā)揮AC的強(qiáng)大功能只取決于你的決心。如果你在“徹底封殺某個(gè)服務(wù)”，還是“完全放開(kāi)這項(xiàng)服務(wù)”的決定中搖擺不定(例如P2P下載，其吞噬帶寬的同時(shí)也帶給了我們豐富的信息資 源)，你也可以選擇對(duì)應(yīng)用的流量進(jìn)行調(diào)整。P2P軟件的控制P2P技術(shù)使人們可以高速獲取海量的網(wǎng)絡(luò)資源，而 P2P軟件對(duì)帶寬的占用也使其招致種種惡言。一個(gè)2M以太網(wǎng)出口

19、的局域網(wǎng)，只要有2個(gè)以上的員工不限速地使用BT,所有人的正常網(wǎng)絡(luò)瀏覽都將成為不可完成的任務(wù)(Mission Impossible )。每天，互聯(lián)網(wǎng)上都會(huì)有人發(fā)布最新的P2P軟件，這讓大多數(shù)的P2P控制工具望塵莫及，它們往往只能封堵“昨天的BT軟件”。AC改變了這一切。通過(guò)對(duì)P2P下載軟件的智能檢測(cè)(專(zhuān)利號(hào)：200610156977.8 )，管理員甚至可以徹底封鎖所有的P2P流量。如果你不想做的太絕，你可以選擇針對(duì)特定用戶和相應(yīng)的P2P工具進(jìn)行流量控制，只要不超出網(wǎng)絡(luò)使用者的容忍程度，大多數(shù)用戶還是 可以允許內(nèi)網(wǎng)中存在P2P下載。保障內(nèi)容安全攔截不良網(wǎng)頁(yè)AC設(shè)備內(nèi)置了可自動(dòng)更新的分類(lèi)URL庫(kù)，其

20、中包含了海量的成人、暴力、反動(dòng)和惡意網(wǎng)站信息，這有 助于將不健康和包含潛在威脅的網(wǎng)站攔截在外。由于每天互聯(lián)網(wǎng)都會(huì)涌現(xiàn)出大量的站點(diǎn)，AC的URL庫(kù)也提 供了使用者分享功能，用戶可以在AC的URL庫(kù)自定義需要被攔截的URL。通過(guò)對(duì)URL的阻攔，可大大地 降低了內(nèi)網(wǎng)用戶對(duì)不良Web頁(yè)面的訪 問(wèn)。對(duì)于很多URL過(guò)濾設(shè)備無(wú)法控制的SSL加密頁(yè)面，AC同樣能夠施展拳腳。很多釣魚(yú)網(wǎng)頁(yè)偽造成網(wǎng)上銀 行企圖騙取出用戶的銀行卡密碼和資金，通過(guò)在AC中導(dǎo)入和設(shè)定SSL證書(shū)和鏈接的黑白名單和證書(shū)時(shí)效性確 認(rèn)，將有力地避免網(wǎng)絡(luò)行騙者使用的伎倆。這對(duì)使用SSL方式進(jìn)行加密的反動(dòng)、色情、邪教等網(wǎng)站同樣有 效。提高生產(chǎn)效率U

21、RL匹配策略在工作時(shí)間里，員工往往在從事私人活動(dòng)，這是辦公室眾人皆知的秘密。管理者和 決策者許能夠影響一個(gè) 員工的生活質(zhì)量和職業(yè)方向，但卻難以阻止員工在上班時(shí)間通過(guò)網(wǎng)絡(luò)投遞簡(jiǎn)歷或在虛擬社區(qū)中開(kāi)Party，這 些都是隨機(jī)而難以控制的。AC提供基于角色的管理 方法，你可以讓你的員工和部門(mén)在工作時(shí)間訪問(wèn)特定的 網(wǎng)站，例如提供行業(yè)信息的網(wǎng)站、合 作伙伴鏈接和公司的門(mén)戶網(wǎng)站，而其他未經(jīng)允許的網(wǎng)頁(yè)瀏覽都將是被拒 絕的。IM （即時(shí)通訊）軟件的管理在工作時(shí)間，太多的人在使用聊天工具，也許在和同事討論工作，也許更多時(shí)間在同家 人、朋友甚至 是陌生人聊天搭訕。你無(wú)法確定員工何時(shí)使用IM談業(yè)務(wù)，何時(shí)用來(lái)聊私人話題

22、。當(dāng)管理者無(wú)所侍從時(shí)會(huì)想到如何來(lái)屏蔽聊天工具，網(wǎng)管員或一些工具通過(guò)將聊天軟件使用的服務(wù)器加入 黑名單來(lái)杜絕IM的使用。但聊天工具層出不窮，QQ、MSN、Skype、Yahoo ！ Messenger、ICQ，封服 務(wù)器地址最大的特色就是治標(biāo)不治本，而且會(huì)浪費(fèi)大量得到 時(shí)間。AC通過(guò)對(duì)聊天工具網(wǎng)絡(luò)訪問(wèn)規(guī)律和特征代 碼的深入分析，實(shí)現(xiàn)了對(duì)聊天工具的全面 控制。AC不僅可以對(duì)特定的聊天軟件進(jìn)行封堵，還可以記錄通話信 息，管理聊天軟件的文 件傳輸。對(duì)于聊天軟件擴(kuò)展的相關(guān)應(yīng)用程序，例如游戲、視頻等同樣可以做到封鎖和控 制。對(duì)各種應(yīng)用的管理 互聯(lián)網(wǎng)的成員有著各種興趣和愛(ài)好，僅實(shí)現(xiàn)對(duì)IM和URL的訪問(wèn)控制對(duì)

23、一個(gè)亟待完善 管理的網(wǎng)絡(luò)來(lái)說(shuō)還遠(yuǎn)遠(yuǎn)不夠。視頻、語(yǔ)音、圖片、文檔也同樣被大量的上傳和下載。你的員工可能剛進(jìn)辦公室 就迫不及待地下載一部電視劇，因?yàn)樗蛱煜挛缰恍蕾p了前兩集；還有的員工會(huì)利用上班時(shí)間更新自己博客 中的文章和照片，雖然這段時(shí)間你更希望他（她）做一些和工作相關(guān)的事情。對(duì)于上述的問(wèn)題，AC同樣 能夠?qū)崿F(xiàn)上傳和下載管理，避免員工在網(wǎng)上 花費(fèi)大量的時(shí)間來(lái)從事娛樂(lè)活動(dòng)。上網(wǎng)時(shí)間管理每個(gè)組織都有朝九晚五的工作時(shí)間安排，彈性工作時(shí)間的制定讓員工能夠更合理地安排工作內(nèi)容，讓組 織更有效率也更富人情味。同樣，將員工每天接觸的互聯(lián)網(wǎng)訪問(wèn)時(shí)間也進(jìn)行 合理有序的安排，也是專(zhuān)業(yè)的 網(wǎng)絡(luò)行為管理設(shè)備應(yīng)該考慮的問(wèn)

24、題。通過(guò)AC對(duì)員工個(gè)人和部而對(duì)于希望通過(guò)某種手段門(mén)的上網(wǎng)計(jì)時(shí)管理，你可以合理安排各個(gè)成員和部門(mén)的上網(wǎng)時(shí)間。 來(lái)實(shí)現(xiàn)上網(wǎng)計(jì)費(fèi)的組織，這個(gè)功能也極具擴(kuò)展價(jià)值。規(guī)避法律風(fēng)險(xiǎn)外發(fā)信息控制辦公室中有太多的信息，無(wú)論是涉及組織生死存亡的機(jī)密資料還是總裁辦公室的八卦新 聞，員工們總是希望一吐為快。除了打電話和寫(xiě)信，他們現(xiàn)在有更多的選擇，即時(shí)通訊軟件、郵件、BBS 論壇、個(gè)人博客等，都為傾訴和抱怨提供了 Anywhere、Anytime To Anyone的條件。同時(shí)，各種組織都存 在人員的流動(dòng)性問(wèn)題，組織的商業(yè)合作伙伴、投資人、審計(jì)員乃至新員工隨時(shí)都可能接入內(nèi)網(wǎng)，他們可以通過(guò) 網(wǎng)上鄰居下載機(jī)密的財(cái)務(wù)報(bào)表或人

25、事檔案，再打包發(fā)到互聯(lián)網(wǎng)的某一個(gè)角落。組織需要一個(gè)完整的認(rèn)證體系 來(lái)確保每個(gè)接入者的網(wǎng)絡(luò)使用權(quán)限。AC提供了完整的身份認(rèn)證體系。你可以啟用基于Web方式的用戶名/密碼認(rèn)證，IP和MAC地址的綁 定，如果你的內(nèi)網(wǎng)已經(jīng)部署了 Radius域認(rèn)證或者微軟的LDAP，你同樣可以在AC中找到它們的設(shè)置選 項(xiàng)。通過(guò)和域認(rèn)證的聯(lián)動(dòng)，你甚至可以通過(guò)AC來(lái)保護(hù)內(nèi)部服務(wù) 器的訪問(wèn)安全。如果你的組織已經(jīng)部署了郵 件服務(wù)器，你也可以把所有人的郵件帳號(hào)導(dǎo)入AC，讓員工在收取郵件的同時(shí)直接通過(guò)AC的POP3認(rèn)證。有 了這些認(rèn)證機(jī)制，只有受組織信賴的部門(mén)和成員才能訪問(wèn)特定的網(wǎng)絡(luò)資源，未經(jīng)授權(quán)的局域網(wǎng)接入用戶只能 望著自己的

26、 顯示器發(fā)呆。保護(hù)版權(quán)資料互聯(lián)網(wǎng)充斥了大量的免費(fèi)資源，涉及版權(quán)糾葛的音樂(lè)、視頻和論文可以隨意的下載。個(gè) 人用戶對(duì)版權(quán) 的忽視往往會(huì)若上相關(guān)部門(mén)的注意，當(dāng)這些免費(fèi)的下載和共享是發(fā)生在局域網(wǎng)時(shí)，組織難免惹火上身。AC 的訪問(wèn)控制系統(tǒng)通過(guò)對(duì)HTTP、FTP、IM軟件、郵件收發(fā)的內(nèi)容檢測(cè)和控制，可以盡量阻止員工攪入版權(quán)話 題；同樣，當(dāng)員工已經(jīng)出現(xiàn)問(wèn)題時(shí)，你可以在AC的數(shù)據(jù)中心中找到其個(gè)人的違規(guī)記錄，進(jìn)而為組織擺脫不 必要的糾紛。法律遵從和舉證由于員工的個(gè)人偏好導(dǎo)致的非正當(dāng)?shù)男袨?，例如?duì)色情、暴力、反動(dòng)、邪教方面網(wǎng)站的 訪問(wèn)，AC將有效的避免和攔截；當(dāng)內(nèi)部員工發(fā)出的不負(fù)責(zé)任的言論已經(jīng)難以挽回時(shí)，例如在B

27、BS中發(fā)煽動(dòng) 性言論、網(wǎng)上聊天中采用侵犯性語(yǔ)言等，你都可以在AC中找到相關(guān)記錄作為法律舉證的重要依據(jù)。增值的防病毒模塊網(wǎng)關(guān)殺毒、防火墻作為一個(gè)全面的內(nèi)網(wǎng)管理設(shè)備，SANGFOR A （提供了豐富的安全增值功能。SANGFOR AC集成來(lái)自歐洲領(lǐng)先病毒廠商F-PROT殺毒引擎，對(duì)內(nèi)網(wǎng)用戶接收的郵件、訪問(wèn)的網(wǎng)頁(yè)、下載 的文件進(jìn)行病毒過(guò) 濾，降低內(nèi)網(wǎng)用戶感染病毒的風(fēng)險(xiǎn)。管理員可自行設(shè)置網(wǎng)關(guān)殺毒的選項(xiàng)，病毒庫(kù)實(shí)時(shí)升級(jí)，幫助組織查殺病 毒，支持殺毒引擎在線自動(dòng)升級(jí)，也支持用戶手工升級(jí)病毒庫(kù)?？趩⒂肏TTP下載條蓋 口啟用FT 口下戴殺蓋 口啟用POP3；殺毒 口啟用SMTP殺毒 口啟用排除網(wǎng)站（域創(chuàng)口啟

28、用文件類(lèi)型殺毒適用于HTTP殺蓋和FTP殺毒AC具備強(qiáng)大的防火墻功能，不僅是對(duì)內(nèi)網(wǎng)的環(huán)境保護(hù)，也是對(duì)設(shè)備自身的一個(gè)保護(hù)，保證設(shè)備在內(nèi)網(wǎng)中的 穩(wěn)定性。過(guò)虢方村 LANDMZLANDMZif增Z 塔05 DM2 訓(xùn) AN庫(kù)號(hào)名稱(chēng)動(dòng)作眼務(wù) 盹 N2LAN1允許Fin.允許Fine LAtleLAM2BubfLMT-MZ DMZDMZ3放疔TCF允許LMT-)DIK所百2F思勞危險(xiǎn)行為識(shí)別內(nèi)網(wǎng)用戶將PC帶出組織網(wǎng)絡(luò)，不小心中毒后極易引起局域網(wǎng)內(nèi)PC癱瘓。中毒PC通過(guò)外發(fā)郵件等信息散播蠕蟲(chóng)、木馬等病毒，當(dāng)其他用戶接受這些看似正常的郵件時(shí)，無(wú)意間中招。如何發(fā)現(xiàn)中毒用戶，并智能切斷中毒用戶散播病毒呢？AC危

29、險(xiǎn)行為智能識(shí)別、告警和阻斷功能可解決上述問(wèn)題。異蚩外卷郵拌識(shí)別=基武邀置識(shí)別靈柬堂：中 管警吸別:中 攔尊級(jí)別：低 危險(xiǎn)插件過(guò)濾口限制每平IP地址發(fā)送相同大小郵件的頻軍口限制野個(gè)用地址笈坍郵件（任慧郵件）的率郵件數(shù)量（封）：一-V時(shí)聞間福（分井）：口發(fā)送郵件的頻率超過(guò)設(shè)定上限后，禁止發(fā)送郵件時(shí)聞分豺）：V組織員工在訪問(wèn)互聯(lián)網(wǎng)網(wǎng)頁(yè)時(shí)，經(jīng)常出現(xiàn)打開(kāi)網(wǎng)頁(yè)后，未等用戶反應(yīng)看清插件名字時(shí)，插件已自動(dòng)安裝。部分插件提示用戶安裝，但用戶在不清楚插件是否合法的情況點(diǎn)了安裝。隨著電腦中安裝插件的個(gè)數(shù)增加，用戶 電腦處理任務(wù)的速度越來(lái)越慢，甚至部分惡意插件在短時(shí)間內(nèi)導(dǎo)致系統(tǒng)中毒或者硬盤(pán)毀壞。如何叛變插件的合法，如

30、何避免惡意插件的安全和運(yùn)行，SANGFOR A （在注重用戶網(wǎng)絡(luò)安全方面提出了危險(xiǎn)插件過(guò)濾功能。ActiveX插件過(guò)潼ActiveX插件過(guò)濾選項(xiàng)檢查插件數(shù)字簽名 0攔截未簽名的插件0攔赴數(shù)據(jù)被篡改的插件0攔截便用建期證書(shū)簽名的插件AC將判斷插件的數(shù)字簽名是否合法，插件是否被修改過(guò)數(shù)據(jù)，證書(shū)是否過(guò)期等信息，自動(dòng)過(guò)濾不合法的插 件。同時(shí)，AC可設(shè)置信任插件，如常用的在線殺毒插件、播放器插件、休閑娛樂(lè)插件等，避免誤殺情況。 惡意腳本過(guò)濾 隨著網(wǎng)頁(yè)形式的多樣化，大量包含腳本程序的網(wǎng)頁(yè)被訪問(wèn)。這些網(wǎng)頁(yè)中包含的鏈接和腳本程序是眾多黑客正關(guān)注的切入點(diǎn)。用戶在點(diǎn)擊網(wǎng)頁(yè)后，在不知不覺(jué)中感染病毒。如何讓用戶不可見(jiàn)

31、的腳本程序變的安全可靠？ AC提供了惡意腳本過(guò)濾功能。腳本過(guò)濾選項(xiàng)口過(guò)濾篡改注冊(cè)表行為口過(guò)濾修改文件行為 口過(guò)謔變形JW本(啟口過(guò)濾危險(xiǎn)對(duì)象及危險(xiǎn)調(diào)用排除網(wǎng)站AC內(nèi)置安全腳本庫(kù)，對(duì)于不符合安全級(jí)別的腳本程序?qū)⒆詣?dòng)過(guò)濾，還給用戶一個(gè)放心的網(wǎng)絡(luò)使用。 網(wǎng)絡(luò)準(zhǔn)入規(guī)則AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則(Network Admission Rules, NAR )通過(guò)對(duì)客戶端的評(píng)估來(lái)實(shí)現(xiàn)網(wǎng) 絡(luò)訪問(wèn)控制，并更好的 維護(hù)網(wǎng)絡(luò)安全防線。NAR的設(shè)計(jì)意義在于三個(gè)方面：僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已經(jīng)無(wú)法保證安全性。邊緣網(wǎng)關(guān)設(shè)備無(wú)法防止來(lái)自局域網(wǎng)內(nèi)部的濫用、攻擊和破壞?？蛻舳说陌踩?jí)別往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時(shí)更新補(bǔ)

32、丁、長(zhǎng)時(shí)間不更新防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的“短板”。鑒于此，AC網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)通過(guò)對(duì)端點(diǎn)安全評(píng)估和訪問(wèn)控制實(shí)現(xiàn)全方位安全防護(hù)。AC網(wǎng)絡(luò)準(zhǔn)入規(guī)則檢測(cè)端點(diǎn)主機(jī)是否遵從管理者設(shè)定的安全策略，如操作系統(tǒng)版本和補(bǔ)丁安裝情況、殺毒/防火墻軟件及 更新情況、系統(tǒng)進(jìn)程、硬盤(pán)文件、注冊(cè)表等。不能滿預(yù)設(shè)要求的接 入端點(diǎn)，禁止其訪問(wèn)互聯(lián)網(wǎng)或僅提交報(bào)告。 通過(guò)AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則，修補(bǔ)內(nèi)網(wǎng)安全短板，避免病毒、木馬等輕易感染內(nèi)網(wǎng)主機(jī)，利于 機(jī)構(gòu)推行統(tǒng)一的IT政 策。SANGFOR AC勺準(zhǔn)入規(guī)則還能支持多條準(zhǔn)入規(guī)則的“與”和“或”的關(guān)系，支持調(diào)用客戶服務(wù)器上的指定腳本 從而更好的保護(hù)內(nèi)網(wǎng)安全。防ARP欺騙ARP協(xié)議是IP通信中的基本協(xié)議之一。但感染ARP病毒的用戶會(huì)發(fā)送大量ARP欺騙數(shù)據(jù)包，從而導(dǎo)致整個(gè)子網(wǎng)用戶無(wú)法訪問(wèn)外部網(wǎng)絡(luò)資源。如何有效防控ARP欺騙是目前用戶和業(yè)界的難題之一，部 分廠商需要用戶安裝第三方客戶端 軟件實(shí)現(xiàn)，難免有用戶不安裝、或安裝后不運(yùn)行。AC通過(guò)網(wǎng)絡(luò)準(zhǔn)入規(guī)則NARf 件結(jié)合防ARP欺騙技術(shù)，保證終端用戶安全和保障網(wǎng)絡(luò)可用性。這不僅避免了單獨(dú)安裝客戶端軟件的問(wèn)題，而且 NAR技術(shù)還將進(jìn)一步加強(qiáng)端點(diǎn)安全級(jí)別，提升整個(gè)網(wǎng)絡(luò)安全級(jí)別。規(guī)避法律風(fēng)險(xiǎn)外發(fā)信息控制 辦公室中有太多的信息，無(wú)