上網行為管理產品說明

構建健康安全、高效可管的互聯(lián)網SANGFORAC上網行為治理產品白皮書深信服科技有限公司

版權聲明深圳市深信服電子科技有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。 本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特不注明外，其著作權或其它相關權利均屬于深圳市深信服電子科技有限公司。未經深圳市深信服電子科技有限公司書面同意，任何人不得以任何方式或形式對本文檔內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責條款 本文檔僅用于為最終用戶提供信息，其內容如有更改，恕不另行通知。 深圳市深信服電子科技有限公司在編寫本文檔的時候已盡最大努力保證其內容準確可靠，但深圳市深信服電子科技有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。目錄TOC\o"1-4"\h\z\u1 互聯(lián)網對組織提出的挑戰(zhàn) 62 上網行為治理給用戶帶來的價值 72.1 治理網絡帶寬 72.2 幸免法律和泄密風險 82.3 提升工作效率 92.4 提升內網可靠可用性 112.5 治理網絡帶寬 123 功能實現(xiàn) 123.1 規(guī)劃用戶分組結構 133.2 建立身份認證體系 133.3 分析網絡流量 133.4 優(yōu)化和分配帶寬資源 143.5 網頁訪問操縱 153.6 治理IM即時通訊工具 173.7 操縱BT等P2P行為 173.8 操縱其他網絡應用行為 183.9 防泄密和法律風險 183.10 日志審計和報表中心 183.11 內網可靠可用性增強 193.12 治理和配置的易用性 204 領先的技術優(yōu)勢 204.1 單點登錄技術 204.2 反釣魚網站功能 204.3 P2P智能識不 214.4 代理服務器識不 214.5 網頁智能分析系統(tǒng)IWAS 214.6 最全面的應用識不 214.7 免審計Key功能 224.8 網絡準入規(guī)則 224.9 加密談天內容監(jiān)控 234.10 郵件延遲審計 234.11 外發(fā)文件深度識不 234.12 智能的流量治理 234.13 海量日志快速檢索 244.14 數據中心認證key 244.15 異常流量感知 244.16 SC集中治理平臺 245 部署您的AC產品 255.1 網關模式（路由模式） 255.2 網橋模式 265.3 多路橋接模式 265.4 旁路模式 276 產品規(guī)格和榮譽 286.1 產品規(guī)格 286.2 產品榮譽 286.3 公司榮譽 296.4 AC產品專利 297 關于深信服科技 29

互聯(lián)網對組織提出的挑戰(zhàn)隨著信息技術、特不是網絡技術的普及，互聯(lián)網差不多滲透到工作和生活的各方面。而組織內網職員使用IM談天、網上購物、在線觀賞音樂和電影，通過BT等P2P工具下載互聯(lián)網資源、收發(fā)個人郵件、在論壇上舞文弄墨……只要職員有興趣，他們就能在上班時刻盡情享受互聯(lián)網帶來的樂趣。針對用戶互聯(lián)網訪問行為的管控與審計，美國于2002年頒布實施《薩班斯-奧克斯利法案》對組織內控和行為日志記錄領先提出了要求；而中國也頒布了相應的互聯(lián)網法律法規(guī)法規(guī)進一步規(guī)范互聯(lián)網行為。缺乏有效治理的互聯(lián)網是否讓您常常面對如下情形卻又束手無策？看似充裕的出口帶寬卻不斷接到內網職員關于網速太慢的抱怨；視頻會議、VOIP斷斷續(xù)續(xù)，與分支互聯(lián)的VPN極不穩(wěn)定、經常中斷；過激言論、網絡造謠給組織招致網監(jiān)的壓力，卻又無法查找到責任人；研發(fā)代碼、營銷方案等讓競爭對手得知，何人所為？內網病毒、木馬、ARP欺騙、DOS攻擊讓IT治理者頭痛不已；巨資購買的殺毒軟件專門多職員不裝、不用，存在風險的終端肆意上網；專注的敲擊鍵盤、認確實盯著屏幕，但卻在發(fā)生工作無關的行為；…… 讓人無奈的是，職員的不規(guī)范網絡行為往往是組織為其買單：除因上班時刻無心工作所帶來的直接損失外，組織的帶寬資源陷入被濫用擴容再被濫用的惡性循環(huán)，同時組織還面臨法律違規(guī)和泄密風險，組織的信息資產、機密信息的未授權傳播同樣令治理者痛心疾首，由于互聯(lián)網行為復雜且難以預料，不管是存心依舊意外，一個居心叵測的職員和一個忠實可靠的干將都有可能將組織內網的重要資料泄露給第三方組織甚至競爭對手。值得慶幸的是，越來越多務實、具備安全意識的治理者發(fā)覺了問題所在，并希望通過有效而可靠的途徑來實現(xiàn)對職員的上網行為進行治理，接下來，讓我們深入了解深信服SANGFORAC上網行為治理解決方案如何關心組織輕松解決互聯(lián)網所帶來的問題。上網行為治理給用戶帶來的價值深信服科技SANGFORAC為您帶來了全面而靈活的上網行為治理解決方案。在此，我們通過治理網絡帶寬、幸免法律和泄密風險、提升工作效率、提升內網可靠可用性，以及治理的易用性等五個方面的詳細闡述SANGFORAC為您帶來的巨大價值。治理網絡帶寬■多線路復用和智能選路 專門多組織擁有電信、網通等兩條以上互聯(lián)網出口鏈路，如何同時復用多條鏈路并做到流量的負載均衡與智能分擔？通過AC特有的多線路復用及帶寬疊加技術（專利號：200310112006X），AC復用多條鏈路形成一條互聯(lián)網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術（專利號：ZL03113974.4），AC將流量自動匹配最佳出口?！龌趹?網站/文件類型的智能流量治理有限的帶寬資源如何分配給不同部門/用戶、不同應用、不同訪問行為？AC能夠基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時刻段進行細致的帶寬劃分與分配，如保證領導視頻會議的帶寬而限制職員P2P的帶寬、保證市場部訪問行業(yè)網站的帶寬而限制研發(fā)部訪問新聞類網站的帶寬、保證設計部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細智能的流量治理既防止帶寬濫用，又提升帶寬使用效率?！隽髁肯揞~功能 為了更加合理、高效的利用組織有限的帶寬資源，流量治理策略需要考慮假如部分用戶長時刻持續(xù)下載非業(yè)務相關網絡資源，由此對帶寬資源的濫用如何治理？SANGFORAC支持為指定用戶、用戶組按照天/月為周期分配指定的上網總流量，當用戶上網總流量超過設限額后將自動終止互聯(lián)網訪問權限，從而促使用戶珍惜帶寬資源，幸免對帶寬資源的白費。■P2P的智能識不與靈活操縱 封IP、端口等管控“帶寬殺手”P2P應用的方式極不完全。加密P2P、不常見P2P、新P2P工具等讓眾多P2P治理手段束手無策。AC憑借P2P智能識不技術(專利號：200610156977.8），不僅識不和管控常用P2P、加密P2P，對不常見和以后將出現(xiàn)的P2P亦能管控。而完全封堵P2P可能實施困難，AC的P2P流控技術能限制指定用戶的P2P所占用的帶寬，既同意指定用戶使用P2P，又可不能濫用帶寬，充分滿足治理的靈活性?！鰩捊y(tǒng)計和報表 AC的數據中心（NetworkDatabaseCenter，NDC）對內網用戶的各種網絡行為進行記錄、審計、統(tǒng)計及趨勢、報表等。借助圖形化報表、統(tǒng)計結果等，能夠了解流量TOPN用戶、TOPN應用等，并自動形成報表文檔，定時發(fā)送到指定郵箱，讓IT治理者輕松掌控用戶網絡行為分布和帶寬資源使用等情況，為帶寬治理的決策提供準確依據。幸免法律和泄密風險互聯(lián)網的普及讓網絡泄密和網絡違法行為層出不窮。假如職員利用組織網絡發(fā)生泄密或違法行為，而假如又沒有證據，無法找到直接責任人，IT部門將成為該事件壓力的承擔者。■外發(fā)信息操縱辦公室內不管是涉及組織前途命運的機密資料依舊總裁辦公室的八卦新聞，職員都可能會有意無意傳播。而便利的互聯(lián)網讓他們更多選擇使用IM軟件、Email、論壇、博客等方式實現(xiàn)信息的外發(fā)。AC能夠封堵IM軟件，過濾和審計收發(fā)的Email郵件，過濾論壇、網站訪問行為，也能夠過濾和審計網絡發(fā)帖行為，讓職員認識到自己需要為其網絡行為負責。嚴謹的上網行為治理要求組織部署完整的認證體系以確保每個接入者的網絡使用權限。SANGFORAC提供完整身份認證體系：Web方式的用戶名/密碼認證，IP/MAC地址綁定，與現(xiàn)有Radius、LDAP、AD聯(lián)動，AC甚至能夠借助現(xiàn)有POP3郵件服務器、PROXY服務器上的用戶帳號數據，對接入用戶進行強身份認證，幸免未經授權的接入用戶訪問互聯(lián)網?！鐾獍l(fā)Email操縱Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。傳統(tǒng)設備處理泄密郵件時只能將其拷貝存儲留作證據，但泄密郵件差不多外發(fā)，損失差不多造成。而SANGFORAC的郵件延遲審計技術（專利號：200510037454.7）基于用戶、郵件標題、正文、附件等特征攔截泄密郵件，并自動通知審核人員人工審核后再外發(fā)，以確保組織信息資產安全。但存心的泄密者往往將Email附件壓縮、加密、修改后綴名、刪除后綴名等試圖躲過攔截與審查，即便如此SANGFORAC仍然能夠對以上行為進行識不和行報警，關心組織強化信息資產保障措施。同時關于所有收發(fā)的Email郵件SANGFORAC都能夠全面記錄，并通過數據中心方便治理者對郵件日志進行查詢、審計、報表統(tǒng)計等操作?！鐾獍l(fā)文件操縱從互聯(lián)網下載論文、軟件、音視頻等，不僅可能引入病毒、木馬還存在將組織卷入版權糾葛的風險；而通過HTTP、FTP等外發(fā)文件則又存在泄密可能。SANGFORAC能夠基于文件類型對傳輸的文件進行過濾，并全面記錄外發(fā)文件內容，即使非善意用戶篡改/刪除文件后綴名、壓縮、加密等AC一樣能夠識不并報警，保證組織的信息資產安全?！鼍W絡言論過濾策略論壇灌水、頂貼、人肉搜索等不僅降低工作效率，同時也潛在給組織帶來法律風險。借助SANGFORAC治理者能夠封堵指定論壇、BBS等。而且AC還支持基于關鍵字過濾用戶向公網公布的網絡言論、帖子等，即便成功公布到互聯(lián)網的言論AC也能詳細記錄，通過數據中心提供的報表、查詢工具方便治理者審計，幸免組織遭遇的法律壓力。有些組織同意職員訪問論壇、掃瞄帖子等，但不準發(fā)貼，通過SANGFORAC也能夠實現(xiàn)。同時AC可實現(xiàn)職員只有使用帳號登錄論壇、Webmail后才同意發(fā)表言論，從而幸免職員的抵觸情緒，同時確保網絡言論和職員身份的對應。靈活的網絡言論過濾策略既幸免了組織遇到的法律風險，又滿足了職員的正常上網需求?！龇勺駨暮团e證AC有效過濾和攔截色情、反動等網站的訪問、過濾非法網絡言論的發(fā)表，即使逃脫過濾進入互聯(lián)網的非法行為等，也可在AC數據中心中找到相關記錄作為法律舉證的依據。AC網關本身可存儲大量日志，但大型組織每天將產生數十G的日志，只有通過獨立于網關的數據中心才可實現(xiàn)海量存儲。不管內置/外置數據中心，AC都為治理者提供豐富的日志查詢、統(tǒng)計、自動報表等工具。 如何從數十G、甚至上百G的海量日志中找到泄密/違法證據、或治理者感興趣的內容？AC數據中心提供的內容檢索功能，讓治理員類似Google、百度搜索一樣，方便、輕松搜索需要的內容，并支持自動發(fā)送治理員指定關鍵字的檢索結果到指定的Email郵箱。提升工作效率上班時刻無關網頁掃瞄、IM談天、在線炒股、網絡游戲等上網行為降低了組織的生產效率，如何在上班時刻對內網職員的上網行為進行治理和引導？■網頁訪問行為治理 上班時刻掃瞄新聞網站、論壇灌水、寫博客、參與網絡虛擬活動等讓治理遭受挑戰(zhàn)。SANGFORAC內置千萬級靜態(tài)URL地址庫是治理網頁訪問行為的基礎，但職員顯然會利用Google、百度等搜索到最新的、感興趣的、或違法的互聯(lián)網內容，可見AC對搜索引擎輸入關鍵字的過濾是靜態(tài)URL地址庫的有效補充，而且AC能夠依照網頁正文包含的關鍵字過濾網頁訪問行為，有效治理用戶的明文網頁訪問行為。然而Google聲稱互聯(lián)網獨立網頁差不多超過一萬億、Web2.0使得同一網站下有的網頁健康、有的網頁非法，如何治理？靜態(tài)URL地址庫明顯不足。綜合了人工智能的SANGFORAC網頁智能分析系統(tǒng)（IntelligentWebpageAnalysisSystem,IWAS）能夠依照網址、正文內容、關鍵字、代碼特征等對網頁進行智能分類，同時具備自我學習和自我修正能力，能夠依據治理者定義進行任意URL分類的識不和過濾，真正關心組織完善網頁訪問行為的治理。 但網上銀行、網上購物、釣魚網站等的興起，以及色情、反動網站等正逐步采納SSL加密，傳統(tǒng)封堵TCP443端口的方式將阻斷網上銀行的操作，只有借助AC的SSL證書驗證技術（專利號：200710072997.1）才能有效過濾非法加密網址、同意合法加密網址的訪問?！鰬贸绦蛑卫砘ヂ?lián)網應用極大豐富，從談天到游戲、從P2P下載到在線電影，職員享受互聯(lián)網的同時對應用的治理卻變成IT治理者的心病。有不于防火墻IP+端口的落后管控方式，SANGFORAC具有全流量識不技術，不管使用什么端口、什么協(xié)議、是否加密，AC都能夠準確識不。目前SANGFORAC差不多內置超過20大類300多條應用程序的識不規(guī)則以關心組織輕松封堵各種常用應用程序，同時十余人的應用識不專家團隊保證識不規(guī)則的更新和不斷擴充。處于治理需要，在不方便封堵時，治理員還能夠針對特定應用程序進行流量操縱的治理。■IM（即時通訊）談天軟件的治理上班時刻使用QQ、MSN等私人談天，不僅阻礙工作效率，還可能因IM傳文件而引入病毒和機密泄漏等問題，因此關于IM的治理日益重要。SANGFORAC基于應用協(xié)議的深度內容檢測技術能夠完美的關心治理員實現(xiàn)對各種IM工具的完全封堵。在某些情況下，基于業(yè)務需要或治理問題，某些組織專門難完全封堵IM工具，因此治理者希望能記錄IM談天內容。但由于QQ、Skype、飛信、MSNShell等眾多IM工具都采納加密方式傳輸，讓業(yè)界專門多廠商都束手無策。而SANGFORAC特有的談天內容同步偵聽技術（Real-timeMonitorforMessages,RMM)可實現(xiàn)對QQ、Skype、MSNShell、飛信等加密談天內容的監(jiān)聽和記錄，關心組織在開放IM的同時確保談天內容可審可控。■上網時刻治理非工作時刻同意職員適度上網能夠使組織在確保效率的同時體現(xiàn)足夠的人情味，因此，依照不同時刻段為用戶分配網絡訪問權限是上網行為治理過程中需要考慮的問題之一。SANGFORAC提供基于時刻的豐富治理策略，能基于時刻段為不同部門、不同人員給予差異化權限，同時也能夠限制職員一天內總的上網時刻，實現(xiàn)人性化治理。提升內網可靠可用性面對互聯(lián)網威脅，盡管許多組織差不多部署防火墻、IDS等設備，但內網依舊病毒頻發(fā)、攻擊不斷，堡壘最容易從內部突破，內網職員不受控的互聯(lián)網訪問行為將主動“邀請”病毒、木馬等進入內網，如何應對這些導致傳統(tǒng)安全技術失效的上網行為所帶來的風險？■危險資源過濾 通過AC內置自動更新的海量URL地址庫、結合搜索引擎輸入關鍵字過濾、基于網頁正文關鍵字過濾網頁、SSL加密網頁識不與過濾、以及基于人工智能的網頁智能分析系統(tǒng)，關心組織完全幸免因為訪問非法網頁、危險網頁而帶來的風險。 從互聯(lián)網下載、安裝、運行應用程序卻常常給內網引入病毒、木馬、間諜軟件等，這能夠通過AC實現(xiàn)文件傳輸的過濾。即使通過IM工具傳文件，AC也能夠在同意用戶使用IM文本談天的同時全面封堵各種IM工具的傳文件功能。關于同意下載的文件，AC網關殺毒功能將查殺該文件中潛藏的病毒、木馬?！鼍W關殺毒功能 震蕩波、沖擊波、熊貓燒香等病毒的泛濫嚴峻阻礙組織網絡的可靠性、可用性，但單純依靠桌面殺毒軟件并不能有效解決病毒問題，從源頭上查殺并清除病毒是桌面防毒體系的有力補充。SANGFORAC內置業(yè)界領先的殺毒引擎對網頁、郵件、文件中潛藏的病毒進行完全查殺，即使隱藏在壓縮包內AC也能識不和清除，為組織營造綠色、安全的網絡應用環(huán)境。 ■修復內網安全短板 組織內網的可靠可用性取決于最薄弱的一環(huán)。IT部門要求用戶操作系統(tǒng)及時更新、安裝指定殺毒/防火墻軟件并保持更新等，但并非所有用戶都能遵從，進而形成內網短板。一旦該“短板用戶”訪問危險網站、下載含病毒文件、執(zhí)行非法程序等，極易導致自己感染并阻礙整個內網用戶群。借助網絡準入規(guī)則技術（專利號：200510037455.1），AC將檢測接入終端的安全狀況與安全級不，拒絕不符合IT治理者要求的終端訪問互聯(lián)網?！霎惓Ａ髁扛兄?隨U盤等潛入組織內網的木馬、間諜軟件等為了隱藏自己，通常會通過常用的TCP80、443、25、110等端口泄漏內網機密數據及同意黑客操縱。傳統(tǒng)設備防火墻等解決方案在開放了常用端口后并不能識不該端口中傳輸的數據及內容，組織的信息資產安全如何保障？黑客遠程操縱內網終端形成僵尸網絡如何幸免？SANGFORAC的異常流量感知技術能夠識不常用端口中的異常流量，并能夠實時報警，關心IT治理者掌控您的網絡，防范風險?！龇繢OS、防ARP欺騙 即使采取眾多措施，威脅和風險仍無孔不入。來自外網的DOS攻擊，以及爆發(fā)于內網的DOS攻擊不僅吞噬帶寬，還嚴峻阻礙出口網關的穩(wěn)定。傳統(tǒng)防火墻等網關能夠防備來自外網的DOS攻擊但對來自內網的DOS攻擊卻無能為力，定位于上網行為治理解決方案的SANGFORAC通過檢測流量和異常網絡行為等技術，完全防備來自外網和內網的DOS攻擊。 病毒引起的ARP欺騙導致整個子網內所有用戶無法正常訪問Internet，定位故障點又頗為苦惱，有不于部分廠商依靠第三方軟件的方案，AC通過內置防ARP欺騙功能組件，保障用戶網絡的可用性和可靠性。治理網絡帶寬治理員分級治理能夠按照組織的行政架構在SANGFORAC上配置用戶分組結構，典型的是樹形用戶分組結構，并包括子組、父組等。為了減輕大型組織機構IT部門的治理負擔，同時方便各部門自行調整各自的上網權限，SANGFORAC支持細致的治理員分級治理功能。能夠為AC上的用戶組A配置Read-Only權限的治理員A1、配置Read-Write權限的治理員A2，A2只可修改用戶組A（而不能修改其他用戶組）的上網策略、用戶等，但A1則只能查看而不能修改。同時A1、A2登錄AC數據中心后智能查詢、審計用戶組A的行為日志（而不能查詢其他用戶組），從而既實現(xiàn)治理靈活性，又確保了治理的可控性。上網策略強制繼承總裁要求整個公司都不同意使用QQ，但如何確保“禁止QQ”這條上網行為治理策略能夠在眾多部門對應的AC用戶分組上得到實施，同時確保“禁止QQ”的策略可不能被部門治理員修改、刪除、繞過？這通過SANGFORAC的上網策略強制繼承輕松實現(xiàn)。子組從父組強制繼承的上網策略將無法修改、刪除、繞過，即使新加“開通QQ”的策略也無濟于事。嚴格的上網策略操縱關心組織更好使用互聯(lián)網。SC集中治理平臺大型組織在總部、分支機構往往會部署多臺SANGFORAC上網行為治理設備，通過深信服SC-AC集中治理平臺能夠實現(xiàn)全網數千臺AC網關的集中治理、集中監(jiān)控、集中配置、集中升級、集中日志等要求。從而確保分支機構無專業(yè)人員也一樣快速部署、遠程監(jiān)控和排障，統(tǒng)一的上網策略能夠在整個組織得到貫徹和執(zhí)行，日志集中治理和審計等要求，極大的方便大型組織機構部署上網行為治理解決方案。功能實現(xiàn)如下我們將闡述組織如何借助AC實現(xiàn)全面而靈活的上網行為管控與審計?；谠谏暇W行為治理領域的豐富經驗，我們強烈建議您按照順序閱讀，如此會使上網行為的治理更具方向性，且有助于后期的治理和維護。規(guī)劃用戶分組結構為了給不同用戶、不同部門授予差異化的互聯(lián)網訪問權限，包括差異化的行為審計策略，首先要規(guī)劃和建立組織的用戶分組結構。能夠完全按照組織的行政架構在SANGFORAC上建立樹形用戶分組結構，實現(xiàn)父組、子組、組內套組等要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實現(xiàn)網絡訪問權限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，AC還能夠依照OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便治理者維護AD這一套組織結構。另外AC也支持賬戶自動創(chuàng)建功能，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC等，繼承指定的網絡權限，方便了治理者和權限的操縱。用戶帳號還支持生效時刻的設定、支持多人共用同一帳號等，豐富的帳號策略使得治理者能夠自由的依照實際情況合理調整。假如治理員差不多將用戶信息匯總到Excel、TXT等文件中，那么他將通過AC的賬戶導入功能更加快捷的創(chuàng)建用戶和分組信息。建立身份認證體系沒有嚴格的認證就無法有效區(qū)分用戶，也就無法部署差異化授權和審計策略，自然無法有效防備身份冒充、權限擴散與濫用等。 SANGFORAC支持豐富的身份認證方式：本地認證：Web認證、用戶名/密碼認證、IP認證、MAC認證、IP-MAC綁定等；第三方認證：AD、LDAP、Radius、POP3、PROXY等；雙因素認證：USB-Key認證；免認證：IP免認證、MAC免認證、IP-MAC綁定免認證等；單點登錄：AD、POP3、Proxy、HTTPPOST等；強制認證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等），否則不同意訪問互聯(lián)網；豐富的認證方式，樹形用戶分組結構，上網權限的繼承、強制繼承等，極大方便治理者在組織內網實施AC上網行為治理解決方案。值得一提的是當用戶通過Web認證后治理者能夠向其定向顯示指定網頁、而未認證通過的用戶也能夠為其分配受限的互聯(lián)網訪問權限。分析網絡流量通常組織的互聯(lián)網帶寬比較有限，即使充裕，假如職員網絡行為不規(guī)范，IT治理者仍然飽受抱怨：網絡太慢、業(yè)務系統(tǒng)訪問遲緩、頁面遲遲打不開等，IT治理者需要確知組織帶寬的使用情況，這正是AC所能給您帶來的價值體現(xiàn)：登陸AC操縱臺后，治理員能夠直觀查看流量曲線圖、當前流量TOP10應用等，并可通過AC的數據中心進一步詳細查看、統(tǒng)計昨天或指定時刻段的流量情況。治理員能夠統(tǒng)計指定時刻段指定分組或用戶的流量情況，通過餅狀圖、柱狀圖、曲線圖等直觀展現(xiàn)；還可基于用戶進行上行流量、下行流量、總流量等排名，找到流量最活躍的職員。假如您是一位大型機構的CIO或CEO，您需要面對的問題將遠不止這些，而AC數據中心的功能需要您親軀體驗和掌握。當您面對數據中心的Web頁面，通過幾次鼠標點擊就發(fā)覺網絡及治理中存在的問題時，您將感受到領先技術帶來的極富樂趣的用戶體驗。優(yōu)化和分配帶寬資源組織如何獲得更充足的互聯(lián)網帶寬呢？AC通過多線路復用、帶寬疊加（專利號：200310112006X）技術，可同時連接4條互聯(lián)網線路。而只要您同時連接電信和網通線路于AC，AC的多線路智能選路技術（專利號：ZL03113974.4），將為職員的Internet流量自動優(yōu)選最佳出口，解決跨運營商的帶寬瓶頸問題，同時兼具負載均衡、線路備份等功能，大幅提升訪問速度和可靠性。 組織有限的帶寬往往被大量非業(yè)務流量所擠占，尤其BT、電騾等P2P行為嚴峻吞噬帶寬；AC不僅為治理員提供了強大的應用封堵手段（如直接禁止指定用戶的P2P行為），更可在同意用戶使用P2P時限制P2P占用的帶寬，另外能夠為指定用戶、用戶組每天、每月的總上網流量進行限制，靈活的治理方法充分滿足組織在上網行為治理上的復雜需要。 除了限制非業(yè)務應用對帶寬的占用，同時要保證業(yè)務應用的帶寬需求。得益于AC強大的應用識不能力（目前超過20個大類、300多條識不規(guī)則），AC基于出口鏈路、用戶/用戶組、應用類型、網站類型、文件類型、時刻段實現(xiàn)精細、智能的帶寬劃分與分配策略，使得治理員擁有能夠充分保障組織業(yè)務所需帶寬的各種治理手段。從上圖能夠看出，AC支持的流量治理策略特不全面。另外治理員能夠通過AC操縱臺實時監(jiān)控各用戶流量排名、會話排名、連接信息等，一旦發(fā)覺異常網絡行為，治理員即可通過AC將該職員臨時凍結，并在指定時刻段后自動恢復上網。當您了解了帶寬的使用情況，并對帶寬進行優(yōu)化和分配后，我們立即對用戶(組)的上網行為做進一步的治理和操縱。網頁訪問操縱網頁掃瞄是職員要緊互聯(lián)網行為之一，與工作無關的上網行為給組織帶來巨大的損失：職員數量月薪(元)時薪(元)無關網絡行為時刻(時)/人··天直接薪金損失(元)/人··年組織薪金損失(元)/人··年小型組織10010005.70.5150015萬中型組織500200011.370.53000150萬大型組織2000300017.10.54500900萬AC內置千萬級預分類URL地址庫，并經專人人工審核分類，包含互聯(lián)網上各類涉及色情、反動、暴力等站點。由于互聯(lián)網的容量爆炸性增長，Google聲稱互聯(lián)網獨立網址超過一萬億個，采納靜態(tài)URL庫顯然不夠，因此AC還支持基于內容的過濾手段，包括過濾用戶通過搜索引擎搜索的指定關鍵字、過濾包含指定關鍵字的網頁、過濾含指定關鍵字的URL地址等。而結合了人工智能的網頁智能分析系統(tǒng)（IntelligentWebpageAnalysisSystem,IWAS）能夠依照網址、正文內容、關鍵字、代碼特征等對網頁進行智能分類，同時具備自我學習和自我修正能力，能夠依據治理者定義進行任意URL分類的識不和過濾，真正關心組織完善網頁訪問行為的治理。 細心的您可能差不多發(fā)覺網上銀行、在線購物、釣魚網站等都采納了SSL加密技術，包括試圖躲避過濾的反動和色情網站等危險站點等，“加密化”差不多成為網絡進展的趨勢，如何管控？有的解決方案通過中間人攻擊原理解密SSL加密流量從而過濾，但網上銀行的帳號、密碼等也將被解密，存在極大安全風險。而利用特有的“證書鏈驗證黑白名單技術”，SANGFORAC能夠對SSL加密網站進行甄不和過濾，從而為組織提供了全面的網頁操縱方案。組織往往需要通過時刻打算給予網絡治理更多的人情味。AC的時刻治理有兩種模式：微觀時刻治理（MicroTimeControl,MTC，MTC將一周中每天以半小時為單位進行劃分）和總體時刻治理（OverallTimeControl,OTC，OTC為職員設置每天總上網時刻），細致的時刻治理不僅提高組織業(yè)務效率，還讓職員更容易同意。治理IM即時通訊工具權威統(tǒng)計顯示國內網民最常使用的IM工具依次為QQ、飛信、MSN、Skype。辦公室內IM談天、影音文件分享、甚至游戲對戰(zhàn)屢見不鮮，而QQ病毒、MSN蠕蟲也讓IT治理者經歷猶新，如何有效治理IM工具？借助現(xiàn)有防火墻等傳統(tǒng)手段封堵IM并不奏效。以下是SANGFORAC提供的對IM從禁止、監(jiān)管、再到安全防備的解決方案。 禁止 AC深度內容檢測技術依照顧用協(xié)議數據包特征字段全面封堵各種IM工具，包括QQ、MSN、新浪UC、網易泡泡、YahooMessenger、Skype、ICQ、GoogleTalk、飛信等；即使IM軟件將數據包封裝到80、443等端口傳輸，AC亦可區(qū)不IM流量和正常的Http、Https，從而有效治理IM的使用。同時AC可實現(xiàn)同意指定部門/用戶（如市場部）通過IM與客戶溝通，但禁止IM傳文件、IM語音視頻通話、玩IM游戲等，輕松、靈活管控IM。 監(jiān)管 QQ、飛信、MSNShell、Skype等越來越多的IM談天內容是加密的，假如不能記錄將是上網行為治理的最大漏洞之一。AC的談天內容同步偵聽（Real-timeMonitorforMessages,RMM)技術能夠記錄各種加密談天內容，這在業(yè)界是屈指可數的，領先的技術使得深信服研發(fā)部門能夠快速跟進任何一款新推出的IM工具，并推出針對性的升級策略使得AC支持對各種新IM工具的談天監(jiān)控功能。強大的功能往往涉及個人隱私，我們建議使用AC前在組織內發(fā)出通知，提醒職員他們在工作時刻發(fā)生的網絡行為是能夠被監(jiān)控到的。 安全防備 IM好友發(fā)來的URL鏈接、文件等，可能將病毒、木馬、流氓軟件送入內網，這也是組織差不多購買防火墻、部署殺毒軟件后仍然病毒層出不窮的緣故之一：堡壘從內部被攻破了！AC的深度內容檢測技術能夠禁止用戶使用IM傳遞文件，IM好友發(fā)送的URL地址，職員打開過程中將被AC過濾和操縱。另外，治理員也能夠啟用AC的網關殺毒功能從源頭上查殺病毒、蠕蟲，此內容將在后述部分詳解。操縱BT等P2P行為封種子服務器IP、封種子資源網站、封端口的P2P治理方式讓治理員忙的焦頭爛額卻得不到中意的效果。有效的P2P管控方法包括應用協(xié)議分析和P2P行為智能檢測技術，SANGFORAC同時支持這兩種技術。常用、普及的P2P軟件，AC深度內容檢測技術實現(xiàn)對其管控和封堵。截止本文檔編寫時，AC通過深度內容檢測技術能夠封堵P2P流媒體55個，其他P2P應用27個。 盡管差不多內置了豐富的P2P識不規(guī)則，但新的P2P應用層出不窮，職員能夠從網絡上獲得各種P2P工具，還有更多不常見和以后可能出現(xiàn)的P2P軟件如何管控？AC采納網絡行為智能分析技術(NetworkBehaviorsIntelligenceAnalysis,NBIA），基于統(tǒng)計學分析原理，實現(xiàn)對各種P2P的智能識不和封堵，為用戶提供了一勞永逸的P2P管控解決方案。 盡管AC提供了完全封堵P2P的方案，但粗暴禁止P2P可能招致職員反感，在某些情況下個不部門或職員可能需要使用P2P進行文件共享等，現(xiàn)在AC的P2P流控功能完美的滿足了治理上的靈活要求，利用此功能，AC能夠針對不同部門、不同時刻段、限制不同P2P應用占用的帶寬，且可管控部門內每個職員P2P行為對帶寬的占用情況（“3.4優(yōu)化和分配帶寬資源”已詳細講明AC針對應用的帶寬劃分和分配）。操縱其他網絡應用行為職員的上網行為遠不止此，治理者還需關注在線炒股、網絡游戲、在線視頻（RTSP、MMS、Flash、RealMedia等）等。AC差不多包括300多條常見應用的識不和管控規(guī)則，并定期從深信服公司網站上自動更新最新識不庫。同時AC同意有編程基礎的網絡治理員自行添加、修改和導入自定義的網絡應用識不規(guī)則。這相關于絕大多數其他廠商僅提供給治理者依照IP和端口封堵應用的方式更加靈活和完全。關于局域網內出現(xiàn)的AC未能識不和操縱的新應用，治理員假如無法自行編制對應的識不策略，僅需將所需操縱的應用程序名稱、版本號以及下載地址提交給深信服客服中心，我們將在三個工作日內提供最新的識不策略，并關心用戶完成對該應用的封堵和管控。防泄密和法律風險內網職員無意或有意將組織機密信息泄露到互聯(lián)網甚至競爭對手，或向論壇BBS公布不負責的言論、網絡造謠等，將給組織帶來泄密和法律風險。AC不僅能過濾、記錄職員通過Mail（包括Webmail）、BBS、Blog、QQ空間等工具公布的網絡言論，還能實時報警。即使通過Telnet訪問部分BBS網站，所有輸入的Telnet命令和內容，AC都能詳細記錄。關于使用HTTP、FTP等方式傳送文件所引發(fā)的風險（如將研發(fā)部的核心代碼發(fā)送出去），AC首先能夠禁止用戶使用HTTP、FTP上傳下載指定類型的文件，關于上傳的文件AC也能夠全面記錄文件內容，做到有據可查。而外發(fā)Email潛在的泄密風險通過AC的郵件延遲審計（PostponedSendingafterAudit,PSA）技術，依照治理員預設條件，將潛在的泄密郵件先攔截，經人工審核后再發(fā)送，保障組織信息資產安全。但存心的泄密者通常會更改文件后綴名、刪除后綴名、壓縮、加密等，再通過Email外發(fā)、或通過HTTP、FTP上傳，AC對以上行為同樣能夠識不并報警，完全幸免因外發(fā)文件而產生的泄密風險。日志審計和報表中心內網用戶的所有上網行為AC都能夠記錄以滿足組織機構互聯(lián)網行為審計要求。AC可針對不同用戶(組)進行差異化的行為記錄和審計，包括網頁訪問行為、網絡發(fā)帖、Email、文件傳輸、QQ游戲行為、大智慧炒股行為、QQLive在線影音行為等，同時包含該行為的流量信息等。但CEO等高層領導的網絡行為可能涉及組織的重要機密（如CEO與供應商的郵件），不應該被記錄。AC“免審計Key”從技術上完全免除行為記錄，只要將“免審計Key”插入計算機USB接口并輸入對應PIN碼，該用戶的任何網絡行為都免除記錄，消除高層領導的憂慮。大型組織60天將產生數百G行為日志通過AC獨立數據中心實現(xiàn)海量存儲，并通過豐富報表工具方便日志的操作，報表工具要緊包括：內置超過60多種報表模板，并支持用戶自定義報表。對比報表：匯總對比、指定用戶組的對比、指定用戶的對比、指定IP的對比等；統(tǒng)計模板：上網流量統(tǒng)計、上網行為統(tǒng)計、病毒信息統(tǒng)計、上網時刻統(tǒng)計等；趨勢：流量趨勢、行為趨勢、IM趨勢、郵件趨勢、炒股趨勢等；查詢工具：流量查詢、行為查詢、時刻查詢、病毒日志查詢、安全日志查詢、操作日志查詢等；內容檢索：網頁搜索、郵件搜索、IM搜索、關鍵字搜索、Webmail/BBS搜索等如何防止非授權人員訪問數據中心并窺探或惡意傳播他人上網行為日志，甚至導致職員對IT治理者的誤解和埋怨？AC的“數據中心認證Key”技術，保證只有插入該key的治理員才能審計他人行為日志，否則將只能查看統(tǒng)計報表、趨勢圖線等，確保日志不被濫用。內網可靠可用性增強網絡世界中安全事件數量急劇攀升，內網中斷、不穩(wěn)定將直接阻礙用戶的上網行為，因此需要AC保證網關自身安全，并強化內網可靠性、可用性。防火墻AC內置基于狀態(tài)檢測技術的企業(yè)級防火墻，對進出組織的數據包提供過濾和操縱。NAT（NetworkAddressTranslation）功能，代理內網職員上網和實現(xiàn)靜態(tài)端口映射。 網關殺毒 AC的網關殺毒功能集成知名廠商的殺毒引擎（殺毒引擎每天自動升級），從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。 網絡準入規(guī)則（NetworkAdmissionRules，NAR） 借助網絡準入規(guī)則專利技術，AC將按照治理員要求檢查每位職員殺毒軟件安裝、運行、更新情況、操作系統(tǒng)版本、補丁情況等，不滿足預設安全級不的終端將不同意訪問互聯(lián)網，從而提升整個內網的可靠性和可用性。防DOS攻擊 DOS攻擊從外網而來侵害組織的服務器，而爆發(fā)于內網的DOS攻擊（蠕蟲病毒的暴發(fā)或僵尸網絡的攻擊等）不僅消耗帶寬、甚至癱瘓網關。AC同時防備來自內網和外網的雙向DOS攻擊，檢測到內網DOS攻擊點，能夠強迫其下線以保障網絡可用性。 防ARP欺騙 ARP欺騙通過發(fā)送虛假ARP數據包，導致內網用戶無法訪問網絡，破壞性大且排查困難。AC內置防ARP欺騙功能，關心治理員有效抵御ARP欺騙的威脅。治理和配置的易用性 深信服科技AC網關采納圖形化治理配置界面，治理員無需安裝客戶端軟件，通過IE以HTTPS方式即可進入設備操縱臺界面；AC內置的策略故障排除功能，有助于治理員在配置失誤時，圖形化排查失誤點；當用戶違反指定規(guī)則、DOS攻擊、ARP欺騙、泄密等時，支持自動報警，第一時刻修復問題。領先的技術優(yōu)勢深信服成立至今已申請三十多項發(fā)明專利，對研發(fā)的重視和高投入有效的保證了產品的強大功能和競爭力。通過本章節(jié)介紹，您將了解到能切實解決您問題的業(yè)界標桿特色技術。單點登錄技術SANGFORAC的單點技術(SingleSignOn,SSO)將幸免用戶重復輸入帳號密碼的繁瑣操作。AC支持LDAP、POP3、PROXY單點登錄。尤其AC無需用戶安裝任何客戶端軟件即實現(xiàn)LDAP單點登錄，對用戶完全透明。內網用戶采納域賬號登陸Windows系統(tǒng)后，即可自動通過AC認證，而且支持不使用域帳號登錄Windows系統(tǒng)即禁止其訪問互聯(lián)網。AC的POP3、PROXY單點登錄功能啟用后，內網職員只需收發(fā)一下Email、或觸發(fā)PROXY服務器的認證后，也將自動通過AC認證，極大的方便了用戶的使用。反釣魚網站功能網絡“釣魚者”通過偽造與網上銀行、網上購物等網上交易頁面極其相似的界面，使用戶在毫不知情的情況下泄露自己的賬戶信息，導致銀行資金被“網絡姜太公”輕易盜取。網銀、網上購物等金融機構普遍采納第三方權威機構頒發(fā)的數字證書以實現(xiàn)SSL加密網頁，但釣魚網站能夠偽造虛假證書，不具備專業(yè)知識的用戶無法識不。 SANGFORAC可對SSL網站提供的數字證書進行深度驗證，包括該證書的根頒發(fā)機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等。由于釣魚網站采納非可信頒發(fā)機構的數字證書，能夠蒙騙用戶，但卻不能逃過AC的識不和過濾。改功能也能夠被用于過濾一些使用SSL及證書技術加密的色情、反動站點，證券炒股站點等。P2P智能識不P2P（peer-to-peer）應用的興起直接導致P2P軟件及其版本的爆炸性增長，如何對P2P行為進行全面有效的管控成為業(yè)界的難題之一?；贗P、端口、種子等封堵方式費時費勁且達不到理想效果。AC的深度內容檢測技術對常用P2P軟件進行識不；AC的P2P智能識不技術實現(xiàn)對加密P2P、不常見和以后將出現(xiàn)的P2P的完全識不，為治理員提供了全面、高效的P2P行為管控手段。 能夠全面識不P2P行為是進一步管控的基礎。對P2P的管控包括封堵和流控兩方面，既可全面禁止指定用戶使用P2P軟件，也可同意其使用但對P2P行為占用的帶寬資源進行限制和治理，從而既優(yōu)化帶寬資源的使用，又為職員提供了人性化的治理方式。代理服務器識不專門多組織的內網職員通過MicrosoftISA、Sygate、CCproxy等代理服務器上網，但由于防火墻、內容操縱等設備對內網用戶的治理是基于目的地址和端口的，這將無法識不通過代理服務器的職員流量和行為。 關于通過ProxyServer代理上網的情況，AC能夠專門好地適應并發(fā)揮其作用。AC的深度內容檢測技術識不用戶數據中包含代理信息后，通過代理識不模塊能夠識不從用戶端發(fā)送到達代理服務器之間的應用數據，進而對用戶的網絡行為進行管控和記錄。網頁智能分析系統(tǒng)IWAS網頁訪問是用戶最常發(fā)生的上網行為之一，而Google聲稱互聯(lián)網獨立網頁超過一萬億，如何識不、分類、治理數量巨大的網頁呢？博客是Web2.0的典型產物，例如同樣是新浪博客有的內容豐富正派，但有的博客違反道德、反動等，如何識不、區(qū)分、過濾？無需安裝炒股軟件，通過百度、新浪等網站也看在線實時查看股市行情，如何治理？SANGFORAC融合中科院人工智能技術推出的網頁智能分析系統(tǒng)IWAS能夠依照網址、正文內容、關鍵字、代碼特征等對網頁進行智能分類，同時具備自我學習和自我修正能力。治理者能夠自定義個性化URL分類如“中國足球”類，并在AC中輸入數個“中國足球”相關URL地址后，AC將自動分析學習“中國足球”相關網頁特征，并在內網用戶訪問“中國足球”相關的各種網頁時實時過濾并自動再學習，關心組織從容應對泛濫的網頁訪問行為。最全面的應用識不無法識不，何談管控？內網用戶的上網行為紛繁復雜，且伴隨著應用“加密化”和“種類爆發(fā)”的趨勢，是否具備全面的應用識不能力，是考量上網行為治理方案的重要標準之一。SANGFORAC多種應用識不技術，全面識不各種應用、進而管控和審計。要緊包括：URL識不：千萬級靜態(tài)URL庫、搜索引擎輸入關鍵字過濾、基于正文關鍵字過濾明文網頁、SSL證書驗證技術過濾加密網頁、網頁智能分析系統(tǒng)IWAS從容應對互聯(lián)網上數以萬億的網頁。文件類型識不：識不并過濾HTTP、FTP方式上傳下載的文件，即使惡意用戶刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳，AC同樣能識不和報警。深度內容檢測：IM談天、在線炒股、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協(xié)議等，基于數據包特征精準識不，且支持治理員自行定義新規(guī)則，以及深信服科技及時更新和快速響應。智能識不：種類泛濫的P2P行為，靜態(tài)“應用識不規(guī)則”差不多捉襟見肘，通過P2P智能識不，識不不常見、以后可能出現(xiàn)的P2P行為，進而封堵、流控和審計。通過強大的應用識不技術，不管網頁訪問行為、文件傳輸行為、郵件行為、應用行為等AC都能關心組織實現(xiàn)對上網行為的封堵、流控、審計等治理。免審計Key功能總裁、高層領導網絡訪問行為，財務部收發(fā)的郵件等關乎組織機密信息，如何樣幸免記錄此類用戶的網絡行為？業(yè)界多數方案是通過將敏感用戶劃分到指定用戶組，通過設備配置界面的勾選，幸免對這些用戶網絡行為的審計。但假如“非善意”人員私下重新配置設備對敏感用戶又進行行為記錄，如何辦？AC正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計Key”功能。在AC上為總裁等重要人員創(chuàng)建帳戶時使用DKEY認證，并勾選“啟用DKEY防監(jiān)控”選項，為總裁生成“免審計Key”?？偛檬褂谩懊鈱徲婯ey”認證后，AC從底層免除對總裁的所有記錄。假如“非善意”人員私下取消AC配置界面上“啟用DKEY防監(jiān)控”選項，總裁再插入“免審計Key”后系統(tǒng)會自動彈出警告，且禁止總裁訪問網絡，完全保障信息安全。網絡準入規(guī)則AC的網絡準入規(guī)則（NetworkAdmissionRules,NAR）通過對客戶端的評估來實現(xiàn)網絡訪問操縱，并更好的維護網絡安全防線。NAR的設計意義在于三個方面：1.僅靠網絡邊緣的外圍設備差不多無法保證安全性。2.邊緣網關設備無法防止來自局域網內部的濫用、攻擊和破壞。3.客戶端的安全級不往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更新補丁、長時刻不更新防火墻和殺毒軟件等，都成為局域網安全中的“短板”。鑒于此，AC網絡準入規(guī)則技術通過對端點安全評估和訪問操縱實現(xiàn)全方位安全防護。不能滿預設要求的接入端點，禁止其訪問互聯(lián)網或同意訪問但提交報告給治理員做后續(xù)處理。通過AC的網絡準入規(guī)則，修補內網安全短板，幸免病毒、木馬等輕易感染內網主機，便于組織推行統(tǒng)一的IT政策。該準入規(guī)則同意治理者手工添加和定制，從而能夠治理幾乎所有終端在線狀態(tài)，使端點安全和網關安全緊密結合，為組織構筑統(tǒng)一的安全防備體系。加密談天內容監(jiān)控“加密化”的趨勢不僅使明文的HTTP網站開始轉向加密的HTTPS網站，各種IM談天工具的談天內容也被加密，如騰訊QQ、TM、MSNShell、飛信、Skype等。假如不能監(jiān)控和記錄加密IM談天內容，隱匿其中的安全風險、安全事件就無法防備、無據可查。目前業(yè)界解決方案多數都無法監(jiān)控和記錄QQ、MSNShell、飛信、Skype的談天內容。AC的談天內容同步偵聽技術實現(xiàn)對QQ、、MSNShell、飛信Skype等加密談天內容的監(jiān)督和記錄，關心組織輕松應對應用加密化的阻礙。郵件延遲審計AC的郵件延遲審計（PostponedSendingafterAudit,PSA）專利技術，將敏感郵件阻擋于內網。內網用戶發(fā)送Email郵件時，用戶認為差不多成功發(fā)送，實際上符合治理員預定策略的整封Email郵件（包括正文和附件）全部轉存至郵件緩沖區(qū)。指定的郵件審核人員會獲得郵件通知，經人工審核后，才同意符合組織安全規(guī)定的Email郵件發(fā)送到互聯(lián)網上，而不符合要求的Email則被截留并作為追究責任的依據，有效實現(xiàn)了對泄密郵件的封堵，愛護了組織的敏感信息的安全性。 *AC的郵件延遲審計技術對內網用戶完全透明，郵件的發(fā)送過程與日常無異。外發(fā)文件深度識不存心的泄密者往往會將外發(fā)文件的后綴名修改/刪除，或者加密/壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。僅僅實現(xiàn)對外發(fā)文件的審計和記錄顯然無法彌補由于泄密而給組織帶來的損失，單純的基于文件擴展名過濾外發(fā)文件、過濾外發(fā)Email郵件也無法應對以上風險。鑒于此SANGFORAC的外發(fā)文件深度識不技術基于文件特征能夠識不超過一千種以上的文件類型，基于特征而非擴展名完全遏制存心泄密者的外發(fā)泄密文件行為，愛護組織的信息資產安全。智能的流量治理組織有限的Internet帶寬資源，如何幸免非業(yè)務行為的濫用，同時為業(yè)務行為細致智能的劃分與分配帶寬資源？傳統(tǒng)設備依照IP和端口結合QoS實現(xiàn)帶寬分配，但類似80端口中會潛藏QQ、BT數據、部分業(yè)務系統(tǒng)沒有固定的端口、領導的視頻會議系統(tǒng)沒有固定IP等，讓傳統(tǒng)設備的帶寬治理功能大打折扣。AC實現(xiàn)了基于用戶、用戶組、出口鏈路、應用類型、網站類型、文件類型、目標地址、時刻段、優(yōu)先級等的細致智能的流量治理系統(tǒng)，讓組織的帶寬資源得到細致的優(yōu)化和高效的使用。海量日志快速檢索記錄職員網絡行為，不僅滿足法律法規(guī)要求，又做到了有據可查。大型組織每天產生數G的日志數據，通過AC的外置數據中心實現(xiàn)了海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。 組織通過AC的外置數據中心保存了上百G的海量日志信息，而一旦發(fā)生關鍵事件或治理者需要從大量日志信息中快速檢索獵取其感興趣的內容，卻難以快速從海量日志中發(fā)覺期望得到的數據。AC內置了強大的數據中心內容檢索系統(tǒng)，利用類似Google的先進搜索技術，從高達幾百G的海量數據中通過多個關鍵字快速搜索指定內容，同時支持對Email附件正文內容的檢索、支持高級檢索，支持訂閱和自動Email投遞功能，極大的方便了治理者的使用。數據中心認證key職員、領導的上網行為日志差不多通過AC數據中心實現(xiàn)海量存儲，但如何鑒不訪問數據中心的治理員的身份，幸免行為日志被濫用（如職員的MSN談天內容被傳播、領導的Email內容被張貼到互聯(lián)網上等）而產生的個人隱私侵犯、機密日志泄漏等問題，是組織IT治理者和內網職員普遍關懷的問題之一。SANGFORAC治理員分級治理功能可實現(xiàn)A治理員登錄數據中心后只能審計、查看A用戶組的行為日志，同時配發(fā)啟用數據中心認證Key功能后，假如沒有該“數據中心認證Key”，A治理員登錄數據中心后只能查看統(tǒng)計、趨勢等概要信息，只有插入“數據中心認證Key”后A治理員才能審計、查詢A用戶組的MSN談天內容、Email正文等詳細日志信息。通過將該“數據中心認證Key”鎖入領導抽屜將實現(xiàn)行為日志審計查詢權限的嚴格操縱。異常流量感知隨用戶互聯(lián)網訪問、移動存儲設備的使用、以及局域網內其他終端的感染導致用戶終端設備往往存在木馬、間諜軟件、遠程操縱軟件等威脅。此類惡意軟件為了藏匿自己的行蹤往往通過常用的TCP80、443、25、110等端口與互聯(lián)網操縱端交互數據，這使得組織的信息安全、資產安全、網絡安全等無法保障。SANGFORAC的異常流量感知技術正是關于以上異常流量行為進行識不并報警，關心IT治理者主動發(fā)覺組織內網潛藏的安全威脅，提升組織內網可靠性和可用性。SC集中治理平臺深信服科技于2005年即推出的SC集中治理平臺多年來差不多為眾多大型、超大型網絡規(guī)模的客戶將VPN設備完善治理，目前SC也已將AC上網行為治理設備納入其中，實現(xiàn)了全網數千臺AC網關的集中治理、集中監(jiān)控、集中配置、集中升級、集中日志等要求，同時具有如下特色：治理員強認證：接入SC的治理員身份認證除用戶名/密碼外，還支持將治理員賬戶與指定的電腦綁定，采納其他電腦即使有正確的用戶名/密碼也不能訪問SC；分級治理：在SC中將眾多AC網關劃歸到不同“區(qū)域”，不同治理員授予不同“區(qū)域”AC的Read-Only或Read-Write治理權限；Webagent動態(tài)尋址：分支機構使用無固定IP的鏈路，有不于傳統(tǒng)DDNS、花生殼等方式，借助Webagent動態(tài)尋址技術實現(xiàn)分支機構AC與總部SC的安全互聯(lián)；多線路：總部SC同時連接多條公網線路，保證了遍布全國數千臺AC網關到總部SC互聯(lián)網絡的可靠性，同時解決了AC和SC之間跨運營商帶寬瓶頸問題；……部署您的AC產品在深信服科技六千多家AC用戶中，從沒發(fā)覺過兩個完全相同的網絡環(huán)境。作為愛護組織網絡資源和信息資產的核心設備，AC的多種部署方式適應了不同的網絡環(huán)境和用戶需求。網關模式（路由模式）將AC通過網關模式串接在用戶網絡鏈路中，所有流量都通過AC處理，對內網用戶上網行為和數據包實施所有的審計、操縱、攔截、流量治理等功能。若將AC作為組織的Internet出口網關，AC的防火墻功能保障組織網絡安全，多線路技術擴展出口帶寬，NAT功能代理內網用戶上網，實現(xiàn)差不多的路由功能等。 部署方式：AC的WAN口與廣域網的接入線路相連，一般是光纖、ADSL線路或者是路由器，AC的LAN口（DMZ口）同局域網