深信服上网行为管理基本功能介绍
深信服上网行为管理产品功能

深信服上网行为管理主要作用:能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能,防止机密泄露全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果:1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率上班时间从事私人活动,是办公室皆知的秘密。
管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。
而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。
2.流量控制、带宽管理,提升带宽利用率对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。
基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。
3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。
4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。
深信服上网行为管理-基本功能介绍

网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
定向至指定网页ipmac认证自建帐号密码usbkey认证短信认证ldapradiuspop3ipmac认证pop3proxyad单点登录微信认证web单点登录pppoe单点登陆数据库认证第三方设备单点登陆新用户认证自动分组自动认证自动授权用户身份识别有效区分用户分层次管理的组织架构是部署差异化管理策略的依据用户身份识别用户身份识别映射组织结构网关控制台用户与上网策略对应策略列表用户与行为一一对应数据中心网络应用识别识别网络应用了解用户行为是管控措施的基础和对象国内最大的应用识别库超过2000多种主流应用注
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服上网行为管理产品功能

深信服上网行为管理主要作用:能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能,防止机密泄露全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果:1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率上班时间从事私人活动,是办公室皆知的秘密。
管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。
而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。
2.流量控制、带宽管理,提升带宽利用率对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。
基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。
3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。
4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。
深信服上网行为管理产品功能简介

防ARP欺骗
防范因ARP欺骗导致的内网用户大规模断网的情况
防病毒引擎
集成欧洲领先防毒厂的杀毒引擎、提供对HTTP、FTP、Mail等容易携带病毒的网络内容的检测和病毒查杀、形成对组织能够应对组织病毒防护的管理的有益补充
深信服
类别
功能
功能说明
审计
邮件延迟审计
对处发邮伯进行延迟,特定审核人员审核后才能发出,确保信息资产不外泄
实时监控
实时监控员工上网行为,支持临时冻结员工或中断指定连接
内网监控
监控员工的各种网络行为,记录包括QQ、MSN等聊天内容(如果聊天内容是加密的则需要安装准入客户端);浏览网页的网址、网页标题、整个网页正文内容(监控正文内容比较消耗设备资源,一般不建议采用);网络发贴、WebMail正文及附件;收发的Email正文及附件;上传下载的文件等各种行为进行详细记录、防止组织机构内部机密、情报等外漏、并做到有据可查
5.可以限定某些服务的最大带宽,例如P2P的最大带宽
6.当带宽资源紧张时,可以通过优先级来区分服务的重要性从而优先尽量保证这些服务的带宽
7.用户的带宽分配策略较以前灵活,可以实现平均分配和自由抢占2种方式
8.支持限定单个用户的最大带宽,支持流控生效时间设置
9.可以排除某些服务,不进行流控
10.当网络空闲时,除了被限制上限带宽的服务外,其他网络行为都可以竭尽所能,享有所需要的带宽
IP/MAC绑定
灵活的ip、mac绑定策略、且在三层网络环境中实现ip-mac绑定
网站过滤
海量url库、黑白名单,多种关键字识别技术、过滤色情、反动、新闻等网站
SSL网站过滤
深信服上网行为管理

深信服上网行为管理随着互联网的快速发展和普及,让人们更加容易上网,高端甚至普通的手机设备也给大众带来了便利。
每个人都可以随时随地上网,获取各种信息和服务。
同时,也存在一些不良上网行为,这些行为有可能侵犯其他人的权益和利益,对个人和社会都会造成很大的影响。
为了规范和管理上网行为,深信服上网行为管理应运而生。
接下来,就让我们来详细地了解一下深信服上网行为管理的相关内容。
深信服上网行为管理是一个完整的网络上网管理方案,它包括网络上网行为监控、网络上网流量管理、上网行为审计、过滤与控制等方面。
其目的是规范和保障网络操作的安全性、合法性和合理性,确保网络资源的合理利用。
首先,网络上网行为监控是深信服上网行为管理的重要一环,它可以对网络用户的上网行为进行实时、准确、全面的监控和记录。
通过实时监控,可以及时发现和阻止不良上网行为,避免网络犯罪或其他不法行为的发生。
通过准确记录,可以为后续网络管理和维护提供重要的数据支持。
其次,网络上网流量管理是指对网络上网流量进行有效的管理和控制。
此管理可以精确测算网络上网用户的流量消耗情况,从而合理规划和利用网络带宽,减少网络瘫痪的情况产生。
同时,对于不合理的流量操作,如高流量、过度的流量等,我们可以通过一系列的控制措施进行管理和控制,保证网络正常运行。
第三,上网行为审计是深信服上网行为管理中的另一个重要部分。
通过对上网行为进行审计,我们可以对用户的上网情况进行精确评估,进而发现和消除潜在的网络风险。
同样,该审计还可以为网络管理人员提供有用的信息和数据,支持网络管理人员制定更加合理的网络管理计划。
最后,对于不良网络行为和不良内容,我们可以通过过滤和控制的方式来防止和消除。
深信服上网行为管理会通过各种先进的技术手段来过滤和控制网络上不良内容、欺诈交易、病毒等有害内容,保障网络环境的规范化、健康化,为用户带来更高品质的网络体验。
总之,深信服上网行为管理是一种完整和高效的上网管理方案,它旨在规范和保障网络操作的安全性、合法性和合理性。
深信服上网行为管理功能参数

双因素认证
支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
URL智能识别
支持未知网页的自动识别与分类;
支持根据用户训练的关键字、url、自动分类未知网页;
SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;;
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台支持以硬件证书验证身份;
告警管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
加密连接
具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问;
深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服上网行为管理配置详解

第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
深信服上网行为管理

深信服上网行为管理由于互联网的普及,人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。
虽然这样的便利给我们的生活带来了很多乐趣,但是也带来了不少问题。
其中最重要的问题是如何管理上网行为,以保护个人和企业的隐私和安全。
这就是深信服上网行为管理所要解决的问题。
根据深信服的介绍,上网行为管理是指对企业和机构内部网络使用情况进行监控和管理,以确保网络资源的安全和有效利用。
一般而言,上网行为管理可以分为以下几个方面:1. 访问控制。
这个方面是指通过设置网络防火墙和访问控制规则,禁止一些不安全或不必要的网络连接,以避免病毒、背景音乐等对网络的破坏和浪费。
2. 员工监控。
这个方面是指通过网络监控软件,实时监测企业的内部网络使用情况,记录员工的网络活动,包括网站访问、打印和复制文件等操作。
这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。
3. 数据保护。
这个方面是指对企业机密信息进行加密和存储,防止黑客、病毒等非法入侵和窃取。
此外,深信服还提供了异地备份和自动恢复等功能,保障企业在网络灾难和硬件故障时仍能保持数据安全。
4. 网络优化。
这个方面是指通过访问统计和流量分析等工具,了解网络使用情况,判断网络流量波峰和波谷,调整网络带宽,使网络资源的利用率最大化。
综上所述,深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私,同时还可以提高网络资源的利用效率,增强企业的生产力和竞争力。
但是,由于监控和管理员工的上网活动涉及个人隐私,企业在使用上网行为管理的时候应该遵循以下几个原则:1. 进行明确的告知。
企业在使用上网行为管理之前,应该事先向员工做出相关的告知,让他们明白使用网络的条件和限制。
2. 合理使用。
在使用上网行为管理时,企业应该根据工作需要和风险评估的结果,制定合理、科学的网络管理策略,避免滥用和误用网络监控和管理的权利。
3. 保护员工隐私。
在进行员工监控时,企业应该保证员工个人隐私的保护,合法使用网络监控软件,不违反相关法律法规和规定。
深信服上网行为管理-基本操作介绍

•如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为 128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用 交叉线连接电脑和设备eth0口,通过https://128.127.125.252登录 设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2
•如何登录设备控制台
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
深信服AC基本功能简介

如果交叉线连接设备的eth1口,请配置电脑IP为和eth1口IP同网段的IP,并使 用eth1口IP地址登录网关控制台。 一般情况下,eth0和eth1口是登录设备的常用接口。
1、带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无 法有效的分配和利用)
2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥) 3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提
供了通道,泄密后无据可查,责任难追究) 4、违法网络行为为企业带来法律风险(肆意浏览色情、反动网站,无具体日志记录,无法
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
上网权限管理
上网策略对象化
树形的组织结构
灵活的权限管控
“策略”与“用 户、用户组”灵 活关联
分级的网络管 理员,制定分 级的上网策略
与组织的行政 架构保持一致
控制维度: 用户/应用/内容 /时间
基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件,提交人工审核
管理SSL 2
加密邮件
过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
深信服主打产品一张纸

深信服主打产品一张纸一、上网行为管理(AC)销售指导1、核心功能:上网行为管理AC主要支持认证、应用封堵、流控和审计功能2、商机快速判断依据:依据1:流量滥用客户出现上网慢,P2P流量占据带宽,影响正常上网业务的问题依据2:上网随意、无管控客户出现上网娱乐、访问非法应用,影响工作且造成网络违法依据3:网络违法,无记录随意发布违法言论,缺乏上网日志记录,无法满足《网络安全法》依据4:信息泄漏,难追溯网络外发途径多难封堵,泄密后无据可查,责任难追追究。
3、商机挖掘话术:(1)《网络安全法》要求保留上网日志6个月,咱们公司有部署审计设备吗?(2)咱们公司网络出口带宽多大?平时是否有领导或员工抱怨上网慢?(3)咱们公司是不是可以随意通过网络外发资料?是否需要对网络泄密行为进行追溯?(4)咱们公司对于员工上网是否有要求,比如禁止浏览不良网站,禁止网购/看视频/刷朋友圈等?4、产品选型:AC选型参考出口带宽和用户数,报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务二、下一代防火墙(AF)销售指导1、核心功能:下一代防火墙集成FW/IPS/WAF/模块,支持勒索病毒监测防护、僵尸网络防护和风险分析等功能,实现L2-L7层的安全防护2、商机快速判断依据:依据1:网络出口:互联网边界、有购买防火墙、IPS、安全网关需求,需要对终端上网安全管控、防勒索病毒依据2:对外发布场景1、用户担心网站被非法篡改2、对外发布业务系统应用层被黑客攻击3、等保合规及来自上级监管部门监管要求4、担心业务系统遭受黑客DDOS攻击及暴力破解依据3:数据中心场景企业、政府、教育、金融、医疗等有新建数据中心、现有数据中心新建业务系统,担心失陷主机、运维复杂、无WAF和IPS依据4:分支场景企业、政府、教育局等有分支机构的客户,存在终端上网安全、隔离恶意流程和入侵行为的需求依据5:终端场景终端PC担心遭受勒索病毒考虑终端僵尸木蠕病毒3、商机挖掘话术:1:咱们单位目前部署了哪些安全设备?什么品牌?这些安全设备使用了多长时间了?使用情况如何?(了解替换机会)2:现在勒索病毒事件频发,我们有一款能防勒索病毒的防火墙,可以帮助咱们单位快速发现是否具备勒索病毒的防护能力,请问您有没有兴趣试用?(深信服AF集成SAVE智能安全检测引擎,能够有效防御未知威胁和变种病毒,区别于其他安全产品只能靠限制端口和静态特征来防御);3:等级保护2.0即将发布,其中对防火墙有了新的要求,比如积极防御,持续检测,您是不是要了解有这些功能的防火墙?(递上一本由《等保测评联盟推荐标准》的销售工具);4:现有的是如何运维管理的?是否多种安全设备管理起来非常的困难?;(深信服融合安全,简单有效)4、产品选型:AF选型主要参考带宽,报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路(2U设备)、最新威胁防御(URL库、安全规则库更新)和服务;三、SSL VPN1、核心功能:安全性强、兼容性强、易用性强2、商机快速判断依据:依据1:远程接入办公1、客户存在OA/邮箱/企业云盘/财务/CRM等系统,需要领导、员工随时接入办公2、客户属于制造业,有下游代理商、供应商接入其渠道管理系统3、客户属于连锁型企业,需要门店实时上报营业数据4、客户有远程运维人员(外包运维),需要临时接入单位网络依据2:远程应用发布客户内部开发(或外包)的某类业务相关的应用,正常情况下,只适用于Windows环境,但是,用户希望苹果和安卓手机/PAD等也可以使用,即存在“远程应用发布”机会依据3:商密合规改造客户属于银行、证劵、保险类行业或客户属于广电网络、人社局、卫计委、交通、财政、公检法等,现有网络中的VPN设备需要支持国家商用密码算法SM1,SM2,SM3,SM4。
深信服上网行为管理-基础访问认证介绍

点写入DKEY前请先在本机安装KEY驱动, 如果第一步已安装dkey客户端,则不需 要再安装此驱动,因为dkey客户端中已 打包安装了dkey驱动
场景三配置(总经理上多使用DKEY认证)
3、使用DKEY客户端进行认证
场景四配置(IT部使用不需要认证上网)
3、效果展示 IT部员工通过AC上网时,在AC在线用户管理可以看到用户已在AC上线。如下图。
密码认证安全性
设置用户密码强度
设置密码强度主要为了满足对WEB认证用户的密码安全的需求。密码强度 限制仅对私有用户在客户端修改密码有效,管理员在控制台建立或修改密码 不受此限制。
场景四配置(IT部使用不需要认证上网)
1、首先为办公区的用户建一个用户组,在【用户与策略管理】-【用户管理】-【组/用户】中, 点新增,选择【组】,定义组名:IT部,设置完后点提交。
场景四配置(IT部使用不需要认证上网)
2、配置认证策略 新增认证策略,选择认证方式,本案例的要求不需要认证,不绑定任何地址。在 新用户选项中,自动添加新用户到IT部用户组。
PPPOE单点登录
第三方设备单点登录(锐捷,H3C,城市热点) 深信服设备之间单点登录 POP3单点登录 PROXY单点登录
本章节PPT主要介绍不需要认证,密码认证和DKEY认证
认证方式介绍
1、不需要认证 设备根据数据包的源IP地址、源MAC地址、上网PC的计算机名来
标识用户。 优点:终端用户上网认证的过程是透明的,不会感知AC的存在。
(3)总经理的上网数据要保证安全, 不能被审计。
IT部
总经理
办公区
上网行为管理设备详细介绍

上网行为管理设备详细介绍深信服上网行为管理设备主要功能如下:简述:能够规范员工的上网行为,提高员工的工作效率,并对员工的上网行为提供法律依据。
细述主要功能如下:1、屏蔽网络应用我们的用完善的上网策略来规范您内网用户的上网行为(比如:禁止在上班时间聊天、打游戏,上不健康网站、炒股、网上购物等)提高工作的效率。
2、流量控制能够对每个员工或部门,或者对内网不同的VLAN和终端上网电脑进行分组的流量进行控制和带宽管理提升宽带利用率,保证正常上班和业务系统拥有足够的带宽。
3、禁止大量占用资源的下载禁用一些关于BT、电驴、在线电视、电影等恶性下载软件的应用,保证上网的带宽价值。
4、降低法律诉讼风险降低企业的法律责任:员工利用公司提供的互联网连接访问色情、反政府、邪教等不良网站或在网上发表非法言论或从事其他一些非法活动等,这些活动极有可能会给所在的公司带来法律诉讼、行政处分等风险。
5、自动备份收发信息能够自动备份员工客户端的邮件收发,包括邮件的标题、正文和附件。
6、全面记录员工网络行为(即内容审计功能)强大的内容审计功能:能设定规则检测需要监控的所有电脑的所有上网行为(包括上的网站、聊天的内容、发的邮件和邮件的内容等)。
7、数据中心报表强大的数据中心报表功能,给领导提供直接的上网数据统计和上网行为统计。
高度的硬件集成,部署灵活。
8、邮件延迟审计现在内网的安全越来越受到广大网管的重视,保护内部重要数据安全、防止重要信息外泻(比如:设计图纸、公司内部方案、财务报表、最新的新闻信息等)例:现在企业大量使用电子邮件进行各种信息的交流,公司内部员工用互联网可以很轻易的把企业的关键信息传播出去一些商业、技术上的关键性信息的泄露会给企业带来无法弥补的损失。
对这我们用邮件延迟审计的专利,可以对所有的出口邮件进行审核拦截。
9、丰富的权限分配能够为设备的管理人员进行功能管理的细分。
比如网管只能管理流量控制、屏蔽网络应用功能,而行政可以查看和管理员工上网行为,信息审计员能够查看和管理收发信息。
深信服上网行为管理部署方式及功能实现配置说明

深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
深信服上网行为管理流量管理系统配置说明

第十六页,共17页。
第十七页,共17页。
带宽数值
网络应用
流控对象
第五页,共17页。
客户常见案例
针对客户的需求进行流量管理策略配置建议:
1、针对全部用户对P2P,P2P流媒体,文件下载,MEDIA进行带宽限制,控 制为总带宽的20%,且单用户上述应用不超过50KB.
2、针对某几位领导,对P2P,P2P流媒体,文件下载,MEDIA进行带宽限制,
流量管理功能介绍
流量管理功能是对用户上网的带宽进行分配,它广泛应用于互联
网出口的带宽管理。SANGFOR流量管理系统采用基于队列 (Per Flow Queuing)流量处理机制,为网络管理者提供了前 所未有的网络可见性,真正意义上帮助用户构建可视、可控、 可优化的高效网络。
第一页,共17页。
流量管理功能介绍
通道内单用户的带 宽,设置为上行下
行50KB
客户常见案例
配置图解:
2. 新增策略1,对P2P等流媒体应用限制带宽
1,选择 自定义
3,点击确定完成一条有
效的策略配置
第十页,共17页。
2,选择后点
击确定
客户常见案例
配置图解:
二,新增策略2,此策略是针对领导,配置步骤和上述新增步骤一致,
上下行带宽值不一样。
一,可流控什么? 1,网络应用
SANGFOR采用DPI(数据包深度内容检测)及DFI(动态流状态检测)技术,能够识别互 联网几乎所有的应用,并进行精确的流量管理控制。流控较为常用的应用为:P2P,P2P 流媒体,文件下载,MEDIA,HTTP应用,邮件。 2,网站类型
可基于不同的网站类型做流量管理。 3,文件类型
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
共享上网难管控
360wifi等随身wifi的发展,任何一台PC都可以共享给手机等智能终端上网, 同时企业内网也存在PC之间共享上网的场景。这样无上网权限的终端就绕 过了管控,给管理带来麻烦。
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
第三方认证
LDAP RADIUS POP3
透明认证
IP/MAC认证 POP3/Proxy/AD 单点登录 微信认证 •Web单点登录 •PPPOE单点登陆 •数据库认证 •第三方设备单点登陆
与组织的行政 架构保持一致
控制维度: 用户/应用/内容 /时间
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用控制
行为管理:应用授权--应用控制
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
识别共享上网
信任合法共享上网
冻结非法共享上网
行为管理:安全防护
识别异常流量,阻断网络攻击,病毒或异常外发行为 防DOS攻击,防arp欺骗,避免无安全防护的终端感染病毒、被劫持, 提升内网安全
数据分析:可视化网络管理
透视网络应用现状,实时验证管理效果
数据分析:上网行为记录
保留行为日志,响应公安部相关要求,防止舆论与法律风险 定位违规行为,追踪泄密事件
数据分析:报表分析
了解应用现状,验证管理效果,是制定和调整策略的依据
SANGFOR SG基本功能介绍
SG上网优化基本功能介绍
SANGFOR SG上网优化网关具备AC上网行为管理的所有功能, 并在此基础上新增了上网加速和代理功能,从速度和安全两大方面为广 大用户提供更优化的服务。
SG上网优化网关功能介绍-上网加速
行为
封堵QQ等 IM传文件
识别并告警: 篡改/删除扩展名 压缩/加密再外发
行为管理:应用授权—带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道
+ 虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
用户间 •动态分配 •竞争分配
行为管理:应用授权—带宽管理
行为管理:移动终端管理
识别无线智能终端的接入,防止无线智能终端设备接入引起无线安 全漏洞导致泄密
发现终端
信任合法终端接入
冻结非法终端接入
行为管理:共享上网管理
识别共享上网, 防范未经允许的终端通过随身wifi(如360wifi)共享 上网,绕过管控
SANGFOR AC&SG
上网行为管理产品应用背景 SANGFOR AC基本功能介绍 SANGFOR SG基本功能介绍
上网行为管理产品应用背景
使用上网行为管理产品必要性
带宽使用效率降低
带 宽
BT、迅雷等P2P下载 PPLive等在线流媒体 各种业务无关网络行为 带宽无法划分和分配等…
网络违法与机密泄露
发表、传播恶意言论 访问反动、邪教网站 下载传播非法文件 外发Email、Webmail泄密 文件外发泄密 IM聊天泄密
工作效率下降
员工上班长时间浏览新闻网站、论坛、QQ、MSN聊天、网络炒股、网络 游戏等与工作无关的网络行为,严重影响工作效率。
无线终端接入难管控
由于平板电脑、手机等智能终端的流行,有些员工可能自己拿一些 无线AP接入公司有线网络,这种行为难以管控。
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网权限管理
上网策略对象化
树形的组织结构
灵活的权限管控
“策略”与“用 户、用户组”灵 活关联
分级的网络管 理员,制定分 级的上键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
看贴不准发帖
封私装代理 封外网代理 封自由门/无界浏 览器
基于关键 字过滤:
发帖 邮件 搜索行为
收邮件不准 发邮件
行为管理:应用授权--WEB应用
行为管理:应用授权--WEB应用
行为管理:应用授权—邮件收发
过滤、拦截可疑邮件,防止机密文件通过邮件外发引起泄密
避免垃圾 3 邮件风险
• 过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 • 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
行为管理:应用授权—邮件收发
行为管理:应用授权—文件传输
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为管理 基本功能介绍
培训内容 上网行为管理产品应用背景
培训目标 1. 了解上网行为管理产品应用背景 2. 了解上网行为管理产品管理标准
SANGFOR AC 基本功能介绍 1. 了解SANGFOR AC产品的基本功能
SANGFOR SG 基本功能介绍 1.了解上网优化产品的应用背景和基本功能
新用户认证
自动分组 自动认证 自动授权
用户身份识别
映射组织结构(网关控制台) 用户与上网策略对应(策略列表) 用户与行为一一对应(数据中心)
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
邮件过滤 1 延迟审计
• 基于关键字、收发地址、附件类型/个数/大小过滤外发邮件
• 基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件,提交人工审核
管理SSL 2
加密邮件
• 过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) • 过滤/审计SSL加密Webmail邮箱外发的邮件