深信服上网行为管理产品白皮书

目录全文介绍 (4)一．互联网对组织提出挑战 (5)二．AC给用户带来的价值 (7)✓管理网络带宽 (7)✓保障内容安全 (8)✓提高生产效率 (9)✓规避法律风险 (11)三．功能实现 (13)3.1 规划你的部门 (13)3.2 建立身份认证体系 (14)3.3 开始分析网络流量 (16)3.4 优化带宽资源 (18)3.5 网页浏览的控制 (20)3.6 管理即时通讯工具 (23)3.7 应对BT类软件 (26)3.8 控制其他的网络应用 (29)3.9 防止机密泄露 (29)3.10更多的安全机制 (30)四．领先的技术优势 (34)4.1 邮件延迟审计(PSA) (34)4.2 网络准入规则(NAR) (36)4.3 数据中心(NDC) (38)4.4 单点登录技术(SSO) (40)4.5 反钓鱼网站功能 (41)4.6 代理服务器识别 (43)4.7 智能排障技术(IBF) (43)五．部署您的AC产品 (45)穿透式（Pass-Through）部署 (45)旁路式（Pass-by）部署 (46)六．为何选择深信服科技 (48)全文介绍在中国，Internet的普及为组织带来了更多的商业机会，极大地降低了运营和沟通成本。

同时，由于对互联网访问缺乏必要的管理措施，组织的网络资源往往得不到有效的利用，并由此引发了一系列安全、效率和法律问题。

本文针对互联网行为的管理和控制，介绍了一套行之有效的解决方案，旨在帮助用户实现对核心网络资源的保护，规避不良行为带来的法律风险，在有效提升组织工作效率的同时也使网络带宽资源得到合理的利用。

一．互联网对组织提出挑战过去，中国员工通过与同事闲聊来打发上班时间。

随着计算机和互联网的普及，员工有了更多的选择，网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨······。

上网行为管理方案建议书目录第1章需求概述 (1)1.1 背景介绍 (1)1.2 上网行为管理需求 (1)1.2.1 用户和终端多样化，管理复杂 (1)1.2.2 应用和内容不可视，存在风险 (2)1.2.3 网络流量识不全，控不住 (3)第2章可视可控、感知风险的上网管理方案 (5)2.1 全面的上网可视可控 (5)2.2 用户的可视与可控 (5)2.2.1 安全便捷的身份识别 (6)2.2.2 安全可视的用户管理 (7)2.3 行为的可视与可控 (8)2.3.1 全面精准的应用识别 (8)2.3.2 应用标签化管控 (8)2.3.3 灵活细致的权限控制 (8)2.3.4 非法的内容识别与管控 (9)2.3.5 全面完整的行为审计 (10)2.4 流量的可视与可控 (16)2.4.1 网络流量可视化 (16)2.4.2 合理有效的流量控制 (17)第3章方案优势 (20)3.1 全面完整 (20)3.2 细致精准 (20)3.3 灵活有效 (20)3.4 简单便捷 (21)-2-第1章需求概述1.1背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；⏹新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明确提出上网行为审计的要求，并且要求至少留存上网日志6个月。

因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

1.2上网行为管理需求互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。

深信服上网行为管理主要作用：能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能，防止机密泄露全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果：1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率上班时间从事私人活动，是办公室皆知的秘密。

管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。

而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。

2.流量控制、带宽管理，提升带宽利用率对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。

基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。

3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。

4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。

深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省深圳市学苑大道1001号南山智园A1栋邮编：518055电话：9传真：9您也可以访问深信服科技网站：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List访问控制列表ADC Application Delivery Controller应用交付设备BRAS Broadband Remote Access Server宽带接入服务器DNAT Destination NAT目的地址NATDNS Domain Name Service域名服务DR Direct Route直达路由FTP File Transfer Protocol文件传输协议HA High Availability高可用性HTTP Hypertext Transfer Protocol超文本传输协议ICMP Internet Control Message Protocol因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control介质访问控制NAT Network Address Translation网络地址转换OSPF Open Shortest Path First开放最短路径优先RADIUS Remote Authentication Dial In UserService 远程用户拨号认证系统RIP Routing Information Protocol路由信息协议RTT Round Trip Time往返时间STP Spanning Tree Protocol生成树协议SNAT Source NAT源地址NAT SNMP Simple Network Management Protocol简单网络管理协议SOA Service Oriented Architecture面向服务架构SSL Secure Socket Layer安全套接层TCP Transmission Control Protocol传输控制协议UDP User Datagram Protocol用户数据报协议URI Uniform Resource Identifier统一资源标识符URL Uniform Resource Locator统一资源定位符VLAN Virtual Local Area Network虚拟局域网目录第1章应用交付，后负载均衡时代的选择 ......... 错误!未定义书签。

构建健康安全、高效可管的互联网SANGFOR AC上网行为治理产品白皮书深信服科技有限公司版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特不注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录1互联网对组织提出的挑战 (6)2上网行为治理给用户带来的价值 (7)2.1治理网络带宽 (7)2.2幸免法律和泄密风险 (8)2.3提升工作效率 (9)2.4提升内网可靠可用性 (11)2.5治理网络带宽 (12)3功能实现 (12)3.1规划用户分组结构 (13)3.2建立身份认证体系 (13)3.3分析网络流量 (13)3.4优化和分配带宽资源 (14)3.5网页访问操纵 (15)3.6治理IM即时通讯工具 (17)3.7操纵BT等P2P行为 (17)3.8操纵其他网络应用行为 (18)3.9防泄密和法律风险 (18)3.10日志审计和报表中心 (18)3.11内网可靠可用性增强 (19)3.12治理和配置的易用性 (20)4领先的技术优势 (20)4.1单点登录技术 (20)4.2反钓鱼网站功能 (20)4.3P2P智能识不 (21)4.4代理服务器识不 (21)4.5网页智能分析系统IWAS (21)4.6最全面的应用识不 (21)4.7免审计Key功能 (22)4.8网络准入规则 (22)4.9加密谈天内容监控 (23)4.10邮件延迟审计 (23)4.11外发文件深度识不 (23)4.12智能的流量治理 (23)4.13海量日志快速检索 (24)4.14数据中心认证key (24)4.15异常流量感知 (24)4.16SC集中治理平台 (24)5部署您的AC产品 (25)5.1网关模式（路由模式） (25)5.2网桥模式 (26)5.3多路桥接模式 (26)5.4旁路模式 (27)6产品规格和荣誉 (28)6.1产品规格 (28) (28)6.3公司荣誉 (29)6.4AC产品专利 (29)7关于深信服科技 (29)1互联网对组织提出的挑战随着信息技术、特不是网络技术的普及，互联网差不多渗透到工作和生活的各方面。

SSL VPN V4.1 技术白皮书目录第1章序言 (1)第2章SANGFOR SSL VPN网关简介 (3)第3章SANGFOR SSL VPN网关技术 (5)3.1更快的SSL VPN (5)3.1.1多线路智能选路解决您的网络延迟问题 (5)3.1.2多线路带宽叠加技术，扩大出口带宽 (6)3.1.3HTP技术，提高无线和恶劣环境下的访问速度 (7)3.1.4动态压缩技术，全面提高传输速度 (8)3.1.5基于Web的压缩技术，进一步提高传输效率 (8)3.1.6强大的硬件加速卡，更快的SSL处理速度 (8)3.2更安全的SSL VPN (8)3.2.1集成多种认证方式 (8)3.2.2混合认证 (8)3.2.3动态身份认证提供多重保证 (9)3.2.4内置的CA中心提供完整认证体系 (11)3.2.5与LDAP（AD）结合 (11)3.2.6与Radius结合 (12)3.2.7与第三CA结合 (12)3.2.8开放数据接口提供二次开发 (12)3.2.9与其他第三方认证系统结合，保护前期投资 (13)3.2.10图形码验证功能 (13)3.2.11软键盘功能 (13)3.2.12会话超时控制功能 (13)3.2.13全面的密码安全保障 (14)3.2.14客户端安全检查从端点开始保障您的网络安全 (14)3.2.15强化的网络防护－VPN虚拟专线功能 (14)3.2.16零痕迹访问功能避免安全漏洞 (15)3.2.17真正的SSL 协议加密传输 (15)3.2.18访问权限控制功能提供最细致的权限管理 (16)3.2.19完善的日志系统 (16)3.2.20丰富的日志信息 (17)3.2.21强大的实时监控能力 (17)3.2.22集成企业级状态防火墙 (17)3.3更好用的SSL VPN (18)3.3.1能支持您的所有网络应用 (18)3.3.2B/S正则替换，全面适应各种平台 (19)3.3.3提供IPSec/SSL一体化选择 (19)3.3.4配置向导简化管理员的操作过程 (20)3.3.5隐藏服务模式 (20)3.3.6支持动态IP (20)3.3.7管理员分级分权限管理 (21)3.3.8定制登录界面功能 (21)3.3.9单点登录功能（SSO） (21)3.3.10移动终端设备的完美支持 (22)3.3.11内网DNS支持 (22)3.3.12多虚拟IP池支持 (22)3.3.13User权限下正常访问 (22)3.3.14默认服务页面 (23)3.3.15系统托盘 (23)3.3.16全网资源 (23)3.4更稳定的SSL VPN (23)3.4.1支持动态IP (23)3.4.2多线路技术实现线路备份，保证VPN线路稳定 (24)3.4.3双机热备，保证VPN网络稳定性 (24)3.4.4自动恢复，提高网络适应能力 (25)3.4.5集群功能，满足大并发接入 (25)第4章SANGFOR SSL VPN网关网络和系统结构 (25)4.1路由模式部署 (25)4.2单臂模式部署 (26)4.3双机热备原理 (26)4.4客户端登录和使用界面 (27)4.4.1缺省登录界面 (27)4.4.2可用资源界面 (27)第5章SANGFOR SSL VPN网关技术优势 (28)5.1更方便易用的SSL VPN (28)5.1.1单点登录 (28)5.1.2默认服务页面 (28)5.1.3分级分权限管理 (28)5.1.4集群 (28)5.1.5完全页面定制 (28)5.2更安全的SSL VPN (29)5.2.1混合认证 (29)5.3更快的SSL VPN (29)5.3.1多线路技术 (29)5.3.2HTP技术 (29)5.3.3压缩技术 (30)5.3.4更多广域网加速技术 (30)5.4更好管理和易用的SSL VPN (30)5.4.1动态IP快速建立隧道 (30)第6章深信服公司简介 (1)第7章附录 (2)7.1VPN技术背景知识 (2)7.1.1VPN简介 (2)7.1.2SSL 协议介绍 (5)7.1.3SSL VPN技术 (6)第1章序言随着移动数据技术的进步和商务模式的发展，选择远程办公的人越来越多。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

SANGFOR NAC 网络准入控制白皮书深信服科技有限公司2010年06月21日目录第1章背景综述 (1)第2章SANGFOR NAC的组件 (2)2.1NAC安全硬件网关 (2)2.2NAC客户端组件 (2)第3章SANGFOR NAC的功能 (3)3.1网络准入控制 (3)3.2防病毒软件检测 (4)3.3Windows补丁检测 (5)3.4非法外联线路检测 (6)3.5USB防拷贝 (7)3.6终端应用程序统计 (8)第4章SANGFOR NAC的优势 (9)4.1丰富的身份认证方式 (9)4.2虚拟化的多隔离区 (9)4.3详细的日志和统计报表 (9)4.4易用性：系统托盘 (10)4.5可扩展性：上网行为管理 (10)第1章背景综述近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：虽然大多数组织都制定了身份认证与授权制度，并采用技术手段实现基于用户身份与职权的访问权限分配。

但是，对于用户终端设备的安全状况却缺乏“评估”与“管理”，尤其当来自外部网络的终端设备可以随意接入内网时，内网的其他用户由于未得到适当的保护而暴露在巨大的安全隐患面前；病毒、蠕虫、间谍软件等各种形式的恶意软件成为企业网中大量安全事故的根源，他们引起系统崩溃、网络瘫痪，造成系统中断、数据泄密、收入损失、数据损坏，给机构业务带来巨大影响；在企业网中，任何一台安全状态不佳的终端都可能成为整个网络的安全短板，即使是最值得信赖的用户也有可能无意间通过已被感染的终端，或者在业务访问、娱乐访问中不慎引入风险；已感染的终端除了在内网中不断寻找下一个受害者，并使其感染之外，甚至可能将终端上存储的资料不断外发，落入不法分子之手；即便组织投入大量资金购买防病毒软件、防病毒网关等安全防护设备，安全意识不足的用户却不理会管理员的一再强调，任由系统漏洞存在、不安装防病毒软件或不及时升级病毒库；而管理员靠人工查找、隔离、修复这些不符合安全策略的终端不但费时、费力、低效，且治标不治本；风险除了来自网络应用，用户私自使用3G、无线、路由器等在组织规定的上网线路之外的非法外联线路，将办公用电脑带离办公地点，通过USB口随意读取移动存储设备、拷贝组织机密文件，不受限制地通过网络外发文件等等行为，埋下数据泄密事件的隐患。

SINFOR AC上网行为管理产品白皮书深信服科技有限公司二零零八年三月版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省、深圳市、南山区麒麟路1号创业中心四楼邮编：518052电话：0755-********传真：0755-********您也可以访问深信服科技网站：获得最新技术和产品信息目录1互联网对组织提出的挑战2上网行为管理给用户带来的价值2.1管理网络带宽2.2提升工作效率2.3保障内网安全2.4规避法律风险3功能实现4领先的技术优势5部署您的AC产品6典型组网7产品规格和荣誉8关于深信服科技1互联网对组织提出的挑战随着信息技术的发展和进步，尤其是网络的兴起和普及，组织和个人的联网条件得到改善，而组织内部员工已经不限于通过与同事闲聊来打发上班时间，网上购物、与好友通过IM（即时通讯，Instant Messenger）工具在线聊天、在线欣赏音乐和电影、通过BT等P2P 工具下载、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。

针对用户互联网访问行为的管控与审计，美国于2002年颁布实施的《萨班斯-奥克斯利法案》对组织的内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施的《互联网安全保护技术措施规定》-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络访问行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上。

深信服 aBos 一体机技术白皮书缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和 VMM 同义）VMM VMM Virtual Machine Manager虚拟机监视器HA HighAvailability高可用性vMotion vMotion实时迁移DRS Distributed Resource Scheduler分布式资源调度RAID Redundant Arrays ofIndependent Disks磁盘阵列IOPS Input/Output Operations PerSecond每秒读写（I/O）操作的次数VM Virtual Machine虚拟机SDN Software Defined Network软件定义网络NFV Network FunctionVirtualization网络功能虚拟化目录1 前言 (2)1.1 边缘IT 时代变革 (2)1.2 白皮书总览 (2)2 深信服aBos 一体机架构技术 (4)2.1 aBos 超融合架构概述 (4)2.1.1 aBos 超融合架构的定义 (4)2.2 深信服aBos 超融合架构组成模块 (4)2.2.1 系统总体架构 (4)2.3 aSV 计算虚拟化 (4)2.3.1 计算虚拟化概述 (4)2.3.2 aSV 技术原理 (5)2.3.3 深信服aSV 的技术特性 (14)2.3.4 aSV 的特色技术 (17)2.4 aNet 网络设备虚拟化 (18)2.4.1 网络设备虚拟化概述 (18)2.4.2 aNET 网络虚拟化技术原理 (19)2.4.3 aNet 功能特性 (22)2.4.4 深信服aNet 的特色技术 (28)2.5 aSAN 存储虚拟化 (29)2.5.1 存储虚拟化概述 (29)2.5.2 aSAN 技术原理 (29)2.5.3 aSAN 存储数据可靠性保障 (38)2.5.4 深信服aSAN 功能特性 (38)3 深信服aBos 一体机核心价值 (40)3.1 高稳定性 (40)3.2 简化分支机构IT (40)3.3 简化运维、集中管理 (40)3.4 灵活部署、扩展性好 (40)4 超融合架构最佳实践 (41)1 前言1.1 边缘 IT 时代变革随着在物联网的构建过程中传感器的大量使用，企业客户及员工使用的移动设备和云服务的大量增加,企业边缘的概念也正在被重新定义。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

Hillstone山石网科上网行为管理白皮书第一篇：Hillstone山石网科上网行为管理白皮书Hillstone山石网科上网行为管理白皮书概述互联网的兴起与普及为人们的工作和生活提供了极大的便利，与此同时，经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。

例如，在企业内部，部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密；在网吧等一些公共上网场所，人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……针对互联网所带来的上述问题，StoneOS提供许可证控制的上网行为管理功能。

该功能通过对用户的网络访问行为进行控制和管理，有效解决因接入互联网而可能引发的各种问题，优化对互联网资源的应用。

产品功能StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录，同时能够配合Hillstone山石网科集中网络安全管理系统（HSM）对网络行为日志进行查询统计与审计分析，从而为网络管理者的决策和管理提供重要的数据依据。

上网行为管理策略StoneOS上网行为管理功能主要通过策略机制实现，网络管理者可以针对不同用户制定适合的上网行为管理策略规则，系统则会根据策略规则对网络应用流量进行行为控制和管理。

上网行为管理策略规则共分为三类：网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则，每类中又包含若干子控制策略规则。

策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。

通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：♦策略规则名称–上网行为管理策略规则的名称。

上网行为管理系统产品白皮书上网行为管理系统产品白皮书目录目录(2)1互联网给企业管理带来的挑战(4)1.1互联网一把双刃剑(4)1.2对员工上网行为进行规范管理势在必行(5) 1.3360上网行为管理系统帮您用好双刃剑(6)2产品形态(7)2.1硬件平台(7)2.2软件系统(7)3功能介绍(9)3.1网页访问审计与过滤(9)3.1.1最领先的中文URL分类数据库(9)3.1.2灵活的Web策略设置(10)3.1.3Web访问违禁提示(12)3.2应用控制(13)3.2.1基于特征识别的覆盖全面的应用协议数据库(13) 3.2.2支持用户各项应用限额管理(14)3.2.3灵活精细的管控策略(14)3.3带宽管理(15)3.3.1识别控制P2P软件和加密P2P数据(16)3.3.2针对用户/应用设置带宽(16)3.3.3基于时间段流量控制(17)3.4内容审计和过滤(17)3.4.1邮件收发审计和过滤(17)3.4.2IM审计和过滤(19)3.4.3论坛发帖审计和过滤(19)3.4.4搜索引擎关键字审计和过滤(19)3.4.5HTTP文件传输审计和过滤(20)3.4.6HTTPS加密网页的审计和过滤(20)3.4.7FTP文件传输审计和过滤(20)3.4.8TELNET内容审计(20)3.4.9SSL内容审计(20)3.4.10数据库审计(20)3.5终端控制与准入(21)3.5.1客户端准入(21)3.5.2客户端应用封堵(21)3.5.3移动终端管理与监控(22)3.6实时监控(22)3.7共享接入监控(24)3.8报警管理中心(26)3.9查询统计与报表分析(26)3.9.1详细的日志查询(26)3.9.2丰富的统计报告(28)3.10日志管理(35)3.10.1完整的日志记录与导出备份(35) 3.10.2日志中心(35)3.11集中管理SMC (36)3.12用户管理(37)3.12.1用户身份信息维护管理(37)3.12.2用户身份识别与认证(40)3.13分级分权管理(42)3.14特权USB-Key (43)3.15设备自身安全(44)3.16虚拟专用网络（IPSec VPN）(45)4特点与优势(47)4.1国际领先的中文URL过滤系统(47) 4.2国内最全面的网络应用协议数据库(48) 4.3精细化的策略管理(49)4.4细化的应用带宽管理与流量控制(50) 4.5高效内容分析引擎(50)4.6强大的查询统计与分析报告(51)4.7完整的BYOD解决方案(51)4.8人性化界面设计，易于操作管理(53) 4.9运行稳定可靠，确保网络畅通(53)4.10灵活的部署方式(54)4.11独立的日志中心(54)4.12分布部署，集中管理(54)5产品的部署(55)5.1串行接入(55)5.2镜像旁路(57)5.3集中管理中心(57)6产品荣誉(59)1互联网给企业管理带来的挑战1.1 互联网一把双刃剑经过十几年的高速发展，互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作、生活不可或缺的工具，成为企业高效运营、提高竞争力的基础平台。

第1章SANGFOR SSL-VPN技术特点1.1更安全的SSL VPNSANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个SSL VPN接入访问的安全性。

1.1.1身份认证安全1.1.1.1多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。

使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。

SANGFOR SSL VPN支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。

单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。

“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入SSL VPN系统。

“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到SSL VPN 系统中。

通过多因素组合认证大大加强认证安全的强度，确保接入SSL VPN的用户的身份的确认性。

1.1.1.2USB KEY认证SANGFOR SSL VPN支持基于数字证书的USB KEY认证，将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。

通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。

同时，SANGFOR SSL VPN支持无驱USB KEY认证，客户端无需安装驱动即可使用USB KEY进行登录认证，大大提高了客户端使用的易用性。

USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统，安全方便。