深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能

1) 控制功能：细致的访问控制，有效管理用户上网

对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表

认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等

账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能

单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录

AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步

用户认证

组织结构 用户分组支持树形结构，支持父组、子组、组内套组等

网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；

关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；

可过滤BBS、Webmail等外发含有指定关键字的言论

SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤

网页控制

文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤

邮件控制

地址限制 可根据发件人地址过滤SMTP外发邮件；

可控制哪些用户使用哪些邮箱外发邮件；

附件过滤

可控制用户外发邮件的附件类型 关键字过滤

可限制外发含有指定关键字的邮件 加密邮箱控制

对SSL 加密邮箱（如Gmail）识别和控制

Webmail 控制

可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计

支持延迟缓存外发邮件，人工审计后再外发 上网控制

可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、

新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等

P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、

PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P

软件进行管控

权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无

权删除被强制继承的策略对象

代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS

端口中封装的其他协议进行封堵；可禁止内网用户使用代

理软件代理他人上网

访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对

象组合

上网控制 上网计时控制

控制用户总的上网时长；支持对用户上网时长进行统计

2 带宽及流量管理功能：强大流量分析及带宽划分与分配

SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

IT 管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC 的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT 管理者就需要对非业务流量如P2P 行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过AC 智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS 优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。

表2：带宽及流量管理功能一览表

多线路支持

支持复用至少四条外网线路，多线路间互为备份、负载均衡及智能选路（提供自主知识产权证明） 应用流控

支持基于应用协议类型进行带宽划分与分配 网站流控

支持基于被访问的网站类型进行带宽划分与分配 文件类型流控

支持基于传输的文件类型进行带宽划分与分配宽分配 单用户带宽

支持一个界面内为用户组内每用户分配带宽 时间控制 支持基于时间段的带宽划分与分配策略

WAN->LAN 流控 支持WAN ÆLAN 方向访问行为的带宽划分与分配

流量控制 带宽通道监控

设备控制台界面实施显示流量TOP 10应用； 设备控制台界面实时显示各带宽通道使用情况

3) 监控与审计功能 谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SINFOR AC 关完善的访问审计和监控功能有效防止信息通过Internet 泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送；对于通过Webmail 发送邮件，AC 全面记录邮件正文和附件等；对于QQ、MSN 等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL 地址、网页标题、甚至整个网页内容，AC 也能完全监控和记录等。SINFOR AC 的访问审计/监控模块为机构构筑了强大的内部安全屏障。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能：

而高层领导的网络行为、收发的Email 等关乎机构的发展命运，AC 通过业界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。 表3：访问审计功能一览表

监控审计 实时会话监控

对用户实时会话数进行排名；支持查看指定用户当前会话