24小时热线:13681338439
总机:400-880-4082
地址:北京市海淀区上地十街1号院2号楼15层
上网行为管理AC-1160
时间:2015-03-10 15:47 作者:北京中网志达 点击:


上网行为管理产品应用价值
1.1   优化带宽管理,提升用户上网体验
AC能帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。
1.2   管控网络应用,提高员工工作效率
AC数据中心能帮助组织管理者透彻了解员工的网络行为内容和行为分布情况。借助AC的管理功能,管理员能实现分时间段、基于用户、基于应用、基于行为内容的网络行为控制,据此限制员工上班时间的无关网络行为,减少员工因效率低下带来的加班、离职、薪金浪费、额外薪金支出等问题。管理员使用AC数据中心可自定义“员工工作效率报表”,作为员工工作效率考核的辅助依据。
1.3   管控上网权限,实现职位与权限匹配
使用AC,管理员能依据组织架构建立用户身份认证体系,并采用分时间段、基于用户、基于应用、基于行为内容的网络行为控制,从而实现员工职位职责与上网权限的匹配,如限制研发部门不得使用webmail外发邮件、上班时间不能使用IM聊天工具,限制财务人员不能访问不受信网站,等等。以此减少越权访问和权限滥用的现象,防止泄密和不良舆论风险。
1.4   防范信息泄露,保障组织信息安全
互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。使用AC,能帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。
1.5   过滤不良信息,规避管理与法律风险
互联网资源极大丰富,亦良莠不齐。AC能帮助管理员过滤违法、违规不良网页、含有不良关键字的网络信息,防止用户不慎访问不受信的网站带来法律风险。对于内网用户的外发信息行为,AC基于内容的外发信息过滤能帮助管理员及时拦截不良言论,或者在特殊时期采用“允许看帖不允许发帖、允许收邮件不允许发邮件”的特殊管控手段,最大程度的减少舆论风险给组织形象声誉带来影响。
1.6   优化上网环境,提升上网安全
网络犯罪日益善用伪装:利用社交网络散播,仿冒可信网站,将访问合法网站的用户“重定向”到非法网站,假冒可信软件如防病毒软件、插入非法软件,通过恶意广告、垃圾博客、恶意点对点文件传播等等。对此,AC支持过滤危险插件和恶意脚本,防止用户终端访问被挂载的网页而染毒,对于已中毒的终端,AC会检测网络中的异常流量如木马流量、端口扫描行为、标准端口中的非标准流量,并自动封锁并发起告警,提升局域网安全。
1.7   支撑IT管理,优化组织IT环境
“三分制度、七分管理”,缺乏技术手段支撑的管理制度就像一道没有装锁的门,只能依赖人工值守或被管理者的自觉遵守。越来越多的IT管理员意识到,必须选择适合组织IT环境的技术手段,才不会让管理制度流于形式,AC有效支撑组织的IT管理,帮助规范网络,减少IT管理员的无谓工作量,优化组织IT环境。
参数规格:
AC-1160产品规格参数见下表:
硬件参数
网络接口 4电千兆
USB接口 2
RS232串口 1 x RJ45
面板Bypass按钮 支持
硬盘容量 250G
电源规格 交流 110~240V,150W
尺寸规格 300 x 430 x 44.5
性能参数
适用用户数 400人
适用出口带宽 45M
最大吞吐量  
最大并发连接数 45000
最大新建连接数 900个/S

















第2章        深信服上网行为管理产品功能

2.1   深信服上网行为管理产品部署模式
2.1.1    网关模式
网关模式是指设备工作在三层交换模式,AC以网关模式部署在组织网络中,所有流量都通过AC处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。作为组织的出口网关,AC的安全功能可保障组织网络安全,支持多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现路由功能等。

       部署方式:
Ø  AC的WAN口与广域网接入线路相连,支持光纤、ADSL线路或者是路由器;
Ø  AC的LAN口(DMZ口)同局域网的交换机相连;
Ø  内网PC将网关指向AC的局域网接口,通过AC代理上网。
2.1.2    网桥模式
2.1.2.1  单网桥模式
       网桥模式是指设备工作在二层交换模式,AC以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。

部署方式:
Ø  AC的WAN口同出口网关LAN口相连,为AC分配一个网桥IP,该IP和出口网关LAN口在同一网段;
Ø  LAN口(DMZ口)同核心交换机连接;
Ø  局域网内的任何网络设备和PC都不需要更改IP地址。
2.1.2.2  多网桥模式
组织考虑到网络的稳定性、可靠性,往往采用双机、双线路构建基础网络。AC支持多路桥接模式,适应组织的多机网络环境要求。在不影响原有双机、双线路前提下,对流经AC的所有数据流进行审计、控制、拦截、流量管理等操作。

部署方式:
Ø  通过AC配置界面,定义两对桥接口(WAN1-LAN1,WAN2-LAN2);
Ø  为每对网桥分配IP地址。
2.1.3    旁路模式
AC以旁路模式部署在组织网络中,与交换机镜像端口相连,实施简单,完全不影响原有的网络结构,降低了网络单点故障的发生率。此时AC获得的是链路中数据的“拷贝”,主要用于监听、审计局域网中的数据流及用户的网络行为,以及实现对用户的TCP行为的管控。

部署方式:
Ø  配置出口交换机的镜像端口,与AC的广域网口相连,实现对内网数据包的监听。
2.1.4    多机模式
组织为了网络稳定可靠,同时部署两台设备,AC支持两台以上设备同时以主机模式运行,完美支持组织的VRRP环境,起到设备冗余与负载均衡的作用。在这种环境中,AC以单网桥模式或者多网桥模式部署在组织网络中。

部署方式:
Ø  AC以网桥模式部署在网络中,为每台AC配置网桥IP;
Ø  为每台AC配置同一组播IP地址,且每台设备上指定的通信网口在同一个局域网内,AC之间即可实现同步。
2.1.5    双机模式
组织为了网络稳定可靠,同时部署两台设备,AC支持两台设备以双机模式运行。两台设备通过串口线相连,一主一备,当主设备发生故障时自动切换到备用设备,提高网络的稳定可靠性。在这种环境中,AC以单网桥模式或者多网桥模式部署在组织网络中。

 
2.2   身份认证
2.2.1    建立身份认证体系
有效区分用户,是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。
       AC支持丰富的身份认证方式:
■      本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定;
■      第三方认证: LDAP、RADIUS、POP3、PROXY、数据库等;
■      短信认证:通过接收短信获取验证码,快速认证;
■      双因素认证:USB-Key认证;
■      单点登录:AD、POP3、PROXY、WEB和第三方系统等;
■      强制认证:强制指定IP段的用户必须使用单点登录。
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与行为的一一对应,方便管理员实施上网行为管理解决方案。
AC支持为未认证通过的用户分配受限的互联网访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
2.2.2    映射组织行政结构
为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限,需要规划和建立组织的用户分组结构。
一般组织均有自己的行政结构,AC可以完全按照组织的行政结构建立树形用户分组,实现父组、子组等多层嵌套的要求。在完成用户组的创建后,即可创建用户,并将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,AC能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,AC支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,过AC的账户导入功能更加快捷的创建用户和分组信息。
用户帐号还支持有效期限定,账号过期则自动失效,支持多人共用同一帐号等,丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。
2.3   应用控制
2.3.1    应用控制策略
2.3.1.1 识别是管理的基础
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。
识别是管理的基础,全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。
AC多种应用识别技术,全面识别各种应用,进而有效管控和审计。主要包括:
a)    URL识别: AC内置千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;
b)    应用规则识别库:AC拥有国内最大的应用识别库,该库由深信服应用规则研发团队定期维护,保证库处于最新状态;该库支持1100种以上网络主流应用,2400条以上规则 能识别150种以上IM、75种以上P2P/P2P流媒体、240种以上游戏、30种以上OA、15种以上网银、55种以上股票行情软件、35种以上股票交易软件、10种以上木马、30种以上代理软件和200种以上移动APP,涵盖主流的网络应用;
c)    文件类型识别:识别并过滤HTTP、FTP、mail方式上传下载的文件,即使删除文件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警;
d)    深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自行定义新规则,以及深信服科技及时更新和快速响应;
e)    智能识别:种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。
2.3.1.2 上网策略对象化
AC支持完美映射组织的行政结构,管理员可依据组织结构添加管理策略。上网策略对象化,同一条上网策略可被多个用户/用户组复用,同一用户/用户组可关联使用多条策略,实现策略和用户/用户组的双向关联,方便管理员调整。上网策略不仅仅支持生效时间调整、生效用户/用户组、应用类型限制,支持模板形式复制,更支持策略有效期,管理员可手动设定策略的过期时间,逾期自动失效,有效实现策略的回收管理。此外,AC支持将策略的查看、编辑权限分配给指定管理员,实现策略的分级管理。
2.3.1.3 灵活的授权
AC支持基于生效时间、用户/用户组、应用类型的授权,帮助组织实现上网权限与工作职责的匹配,防止越权访问与泄密风险,一方面管控与业务无关的上网行为,提升员工工作效率,一方面过滤不良信息、阻止异常行为,防止法律与泄密风险。
AC更兼顾了管理与人性化的需求,对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织,AC提供了“智能提醒”功能,管理员可设定允许特定用户使用指定应用的时长、流速,一旦用户使用指定应用的时长、速度超限后,AC自动弹出提醒窗口,提醒用户注意违规行为,敦促用户自觉规范,达到促进自我管理的目的,减少管理带来的摩擦。
2.3.2    Web应用控制
2.3.2.1 URL访问控制
网页浏览是员工主要互联网行为之一,尤其随着大量社交型网站的出现,用户将个人网络行为带入办公场所,由此引发各种管理与安全问题。
在URL过滤方面,AC采用“静态URL库+URL智能识别+云系统”三重识别体系。
首先,AC内置千万级预分类URL地址库,该库由深信服URL研发小组专人负责维护,收集新增网页并经由人工审核分类,包含互联网上数十种分类站点,覆盖了95%以上用户访问量最高的网址。
其次,互联网网页容量爆炸性增长,Google声称互联网独立网址超过一万亿个,如微博等新的网址每天层出不穷,静态URL库不足以有效应对。因此,AC支持基于内容关键字的过滤手段,可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类,真正帮助组织完善网页访问行为的管理。
再次,互联网上数万台AC组成了一个庞大的云网络,自动收集上报新增的、不在URL库中的网页,经深信服URL研发小组复核后,加入URL库中。
以上三重识别体系保证了AC设备的URL识别率,保障了管理员实施URL控制策略的有效性。
2.3.2.2 SSL内容管理
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的******言论或者是向外发送组织的机密信息,导致管理漏洞;另一方面,互联网上存在大量伪造的网上银行、网上购物页面,此类网页利用了网银、网上购物等普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性,伪造虚假证书以骗取用户信任,警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息,导致直接或间接的经济损失。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、******站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
2.3.3    代理翻墙共享控制
许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网,也有的组织明文规定禁止内网用户私用代理上网,但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网,甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的,无法有效区分正常上网的流量和通过代理服务器上网的员工流量。
       对于如上情况,AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据和几个用户间的共享上网行为,进而对用户的违规行为进行管控和记录。
2.3.4    文件传输控制
利用网络来进行文件传输是许多用户每天的必修课,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护组织的信息资产安全。
2.3.5    邮件收发控制
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
一般的,传统设备处理泄密邮件时只能将其拷贝存储留作证据,但泄密邮件已经外发,损失已经造成。对此,AC的邮件延迟审计技术(Postponed Sending after Audit, PSA),支持基于用户、邮件标题、正文、附件等特征拦截泄密邮件,并自动通知审核人员人工审核后再外发,将敏感邮件阻挡于内网。内网用户发送Email邮件时,在终端上看到已经成功发送的邮件,实际上已被全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人工审核后,才允许符合组织安全规定的Email邮件发送到互联网上,而不符合要求的Email则被截留并作为追究责任的依据,有效实现了对泄密邮件的封堵,保护了组织的敏感信息的安全性。
2.4   带宽管理
2.4.1    流量可视化
带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。
对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。
2.4.2    流量管理
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。
2.4.2.1 多线路复用和智能选路
       很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
2.4.2.2 基于应用/网站/文件类型的智能流量管理
有限的带宽资源如何分配给不同部门/用户、不同应用,如何保障核心用户核心业务带宽,限制网络杀手如BT迅雷等等占用资源?AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用,提升带宽使用效率。
2.4.2.3 多级父子通道嵌套技术
AC采用“基于队列的流控技术”,即建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,同时小管道继承大通道的属性,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。
2.4.2.4 动态带宽分配
组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,AC支持带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据整体带宽的利用率进行动态调整,上浮“限制通道”的最大带宽值,避免带宽浪费,实现价值最大化。
2.4.2.5 P2P的智能识别与灵活控制
通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术,不仅有效识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
区别于传统的基于缓存丢包的流控方式,P2P智能识别技术能够有效的从源端抑制P2P流量,释放外网链路带宽,保障核心业务的应用带宽。
对于某些企业文化较为宽松的组织,完全封堵P2P可能实施困难, AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
2.5   行为审计
2.5.1     日志记录
近年来,一方面随着国家为了净化互联网环境,逐步建立对互联网行业发展的市场规范,监管力度不断增强,另一方面,组织出于自身信息安全保护的需求如防止信息资产泄密、预防舆论风险、保留安全事件的相关证据,以及管理上的要求,如考核员工的网络工作效率、分析网络应用情况、提供管理依据等,对于行为记录方案的需求日益明确。
内网用户的所有上网行为AC都能够记录以满足公安部82号令的要求。AC可针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、邮件Email、IM聊天内容、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为,并且包含该行为的详细信息等。
近年来信息防泄密方案备受组织管理员关注,内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手,或向论坛BBS发布不负责的言论、网络造谣等,将给组织带来泄密和法律风险。AC不仅能基于关键字过滤、记录员工通过Mail(包括Webmail)、BBS、Blog、QQ空间等发布的网络言论,还支持实时报警功能。
对于使用HTTP、FTP、mail等方式传送文件所引发的风险(如将研发部的核心代码发送出去),首先AC可以禁止用户使用HTTP、FTP上传下载指定类型的文件,对于上传的文件AC也可以全面记录文件内容,做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计(Postponed Sending after Audit , PSA)技术,根据管理员预设条件,将潜在的泄密邮件先拦截,经人工审核后再发送,保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等,再通过Email外发、或通过HTTP、FTP上传,AC对以上行为同样可以识别并及时报警。
2.5.2     报表分析
大型组织可能在短短60天就产生数百G行为日志,仅仅实现日志的海量审计尚不足以帮助组织管理员透彻了解网络状况,而通过AC独立数据中心丰富报表工具,管理员可以根据组织的现实情况和关注点定制、定期导出所需报表,形成网络调整依据、组织网络资源使用情况报告、员工工作情况报告,等。报表工具主要包括:
■      内置超过60多种报表模板,并支持自定义报表,管理员可手动设定时间、用户对象、应用对象、报表周期等;
■      对比报表:汇总对比、指定用户组/指定用户的对比、指定时间的对比等;
■      统计模板:上网流量/行为/时间统计、病毒信息统计、关键字报表、网络热帖报表、热门论坛报表、外发文件行为报表、危险行为报表;
■      智能报表:管理员可手动设定基于行为特征的风险智能报表,如离职风险报表、工作效率报表、泄密风险报表、异常思想倾向报表,等;
■      趋势:流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等;
■      查询工具:流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等;
■      内容检索:网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等
2.5.3     日志与隐私的平衡
对用户网络行为的记录一直是一个颇有争议的话题,许多组织管理员对于部署行为记录方案可能遭遇的管理阻力和舆论阻力表示担忧,主要来自“如何避免对关键人员(如组织高层领导)的过度记录”、“如何实现对日志的保护和保密”、“如何控制对日志的访问和查看权限”三方面,并希望方案提供商能给出合理的解决方法。
对此,AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等高层管理人员创建帐户时使用DKEY认证,并勾选“不审计此用户的网络应用”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC的免审计选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。
而如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志,甚至导致员工对IT管理员的误解和埋怨?AC的“数据中心认证Key”技术,保证只有插入该key的管理员才能审计他人行为日志,否则将只能查看统计报表、趋势图线等,确保日志不被滥用。
2.6   安全防护
2.6.1     终端安全
网络世界中安全事件数量急剧攀升,内网中断、不稳定将直接影响用户的上网行为,所以需要AC保证网关自身安全,并强化内网可靠性、可用性。
2.6.1.1   防火墙
AC内置基于状态检测技术的企业级防火墙,对进出组织的数据包提供过滤和控制。NAT(Network Address Translation)功能,代理内网员工上网和实现静态端口映射。同时,能够防御DoS、ARP等网络攻击。
2.6.1.2   网关防病毒
       AC的网关防病毒功能集成知名厂商的防病毒引擎(防病毒引擎每天自动升级),从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。
2.6.1.3 终端安全级别检测
       借助网络准入规则专利技术(专利号ZL200510037455.1),AC将按照管理员要求检查每位员工防病毒软件安装、运行、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等,不满足预设安全级别的终端将不允许访问互联网,从而提升整个内网的可靠性和可用性。
2.6.2     上网安全桌面
深信服上网安全桌面采用沙盒技术,创造一种安全的虚拟环境,在这个环境里所做的任何对文件、注册表的修改都是虚拟的,真实的文件和注册表不会被改动,关闭安全桌面后清空一切操作。这样就可以隔离那些对整体内网安全造成危害的行为,从而让安全风险降到较低水平。同时,通过上网安全桌面能够控制默认桌面跟上网安全桌面各自的网络访问权限。
文件重定向是安全桌面对文件进行操作的一种方式,即用户在安全桌面对某个文件进行了修改,再切换到默认桌面时看到的还是该文件原先的样子。修改后的文件被放置在安全桌面的默认文件夹中加密保存,当我们切换回安全桌面后,可以直接看到修改后的文件。但如果没有导出文件的权限,退出安全桌面后,修改后的文件不会被真正保存。重新启动安全桌面,该文件还是保持未修改状态。注册表重定向功能与文件重定向相似,即在安全桌面内对注册表所做的更改也会备份保存,退出安全桌面后清除。
2.6.3     危险插件恶意脚本过滤
       网络犯罪非法获利大,对组织网络的安全威胁也是日新月异,并且更加善用伪装:利用社交网络散播,仿冒可信网站,将访问合法网站的用户“重定向”到非法网站,假冒可信软件如防病毒软件、插入非法软件,通过恶意广告、垃圾博客、恶意点对点文件传播等等。当用户发现时,用户端已经被安装恶意插件,被强迫浏览黑客指定的网站,或者被利用攻击某个站点,终端信息已被外发,损失已造成。
究其根源,在于用户访问不可信的资源,如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤,防止不被信任的插件安装到内网机器当中,从而解决通过IE浏览器乱装控件的问题,起到保护内网安全的作用。还有形形色色的病毒、木马,而这些危害绝大部分都是危险脚本造成的。 AC通过对内网用户访问的网页脚本进行特征识别,在脚本下载到浏览器执行前进行拦截,从而起到保护内网安全的作用。
2.6.3.1 危险插件过滤
n  能识别那些下载文件是会自动安装的插件,包括所有通过浏览器自动下载的文件。
n  能根据插件白名单对插件进行过滤,内置常用安全插件列表供用户选择,还可以自定义白名单(支持插件名称、证书名称和域名)。
n  能根据插件证书的合法性进行过滤,包括:检查插件签名是否过期,对插件签名进行证书链控制。
n  能记录控件过滤日志,包括被过滤控件名称及被拒绝的原因,并能在数据中心查出来。
n  能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
2.6.3.2 恶意脚本过滤功能:
n  可以过滤注册表的写操作;
n  可以过滤文件的写操作;
n  过滤危险对象和危险调用;
n  能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
 
       除此之外,终端用户和IT管理员必须在自我防护方面始终保持警惕:坚持将软件更新至最新版本、部署全面的端点安全产品、保持警觉并采用高强度密码策略、采用网络准入技术鉴定并隔离不同安全级别的终端,定期对网络流量进行审视等。
2.6.4     异常流量控制
       随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己,通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容,组织的信息资产安全如何保障?黑客远程控制内网终端形成僵尸网络如何避免?AC的异常流量感知技术能够识别常用端口中的如上异常流量,并能够实时报警,帮助IT管理员掌控您的网络,防范风险。
2.6.5     组织外线路检测
组织为了规范内网终端使用,避免敏感数据外泄,限制内网终端只能在内网使用,一旦接入外部网络将产生告警。深信服AC通过组织外线路检测技术,制定合法网关列表,一旦发现终端的网关地址不在合法网关列表内,将向管理员发出告警信息,方便管理员发现非法外联行为并迅速响应。
2.6.6     无线热点发现
随着无线移动互联网的迅速发展,智能手机、平板电脑等这些移动终端愈来愈流行,但由于iPad等智能终端只能采用无线网络来上网,有些员工出于便捷考虑可能自己在工位旁私自拉一些无线AP,在公司通过无线AP到公司网络出口,而且这些AP由于安全措施薄弱,极容易被外人破解,可能导致内网暴露,信息安全遭受威胁。通过深信服AC的“无线热点发现”功能,可以帮管理员找到内网违反公司规定安置的无线AP,并可以对这些热点进行拒绝封堵。
第3章        深信服上网行为管理产品技术优势
3.1   SSL内容识别与管理
AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
3.2   P2P智能识别技术
P2P(peer-to-peer)应用的兴起直接导致P2P软件及其版本的爆炸性增长,如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别,为管理员提供了全面、高效的P2P行为管控手段。
       能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,既可全面禁止指定用户使用P2P软件,也可允许其使用但对P2P行为占用的带宽资源进行限制和管理,从而既优化带宽资源的使用,又为员工提供了人性化的管理方式。
3.3   免审计Key功能
总裁、高层领导网络访问行为,财务部收发的邮件等关乎组织机密信息,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?
AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。
 
3.4   外发文件深度识别
存心的泄密者往往会将外发文件的后缀名修改/删除,或者加密/压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失,单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此SANGFOR AC的外发文件深度识别技术基于文件特征能够识别超过一千种以上的文件类型,基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为,保护组织的信息资产安全。
3.5   数据中心认证key
员工、领导的上网行为日志已经通过AC数据中心实现海量存储,但如何鉴别访问数据中心的管理员的身份,避免行为日志被滥用(如员工的MSN聊天内容被传播、领导的Email内容被张贴到互联网上等)而产生的个人隐私侵犯、机密日志泄漏等问题,是组织IT管理者和内网员工普遍关心的问题之一。
SANGFOR AC管理员分级管理功能可实现A管理员登录数据中心后只能审计、查看A用户组的行为日志,同时配发启用数据中心认证Key功能后,如果没有该“数据中心认证Key”,A管理员登录数据中心后只能查看统计、趋势等概要信息,只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格控制。
3.6   异常流量感知
随用户互联网访问、移动存储设备的使用、以及局域网内其他终端的感染导致用户终端设备往往存在木马、间谍软件、远程控制软件等威胁。此类恶意软件为了藏匿自己的行踪往往通过常用的TCP 80、443、25、110等端口与互联网控制端交互数据,这使得组织的信息安全、资产安全、网络安全等无法保障。SANGFOR AC的异常流量感知技术正是对于以上异常流量行为进行识别并报警,帮助IT管理者主动发现组织内网潜藏的安全威胁,提升组织内网可靠性和可用性。
关闭
400-880-4082

微信扫码咨询