深信服上网行为管理M5000-AC产品参数及介绍

Sinfor M5000-AC系列——多功能安全网关的选择防火墙/ VPN/IPS/防病毒/防垃圾邮件/内容过滤/访问跟踪.All in One 概述：Sinfor UTM安全网关是集防火墙、VPN、IPS、病毒网关、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关；为用户提供了一体化的Internet安全解决方案，极大的降低了用户在网络安全方面的总体投资，并拥有强大的访问控制和内网审计功能，能有效管理用户上网，防止机密信息泄漏。

随着黑客攻击技术的不断变化，原本可以防御的安全威胁如：蠕虫病毒、木马间谍等逐渐混合在一起，这种混合式的攻击威胁，传统安全解决方案如单一的防火墙已经无法有效解决。

购买防火墙、杀毒软件、IPS等安全设备又往往需要企业花费巨大的投入成本，且管理众多不同型号、不同厂商界面的安全设备对管理员来说也是一件非常麻烦的事情，给企业带来了巨大的维护成本。

防火墙、网络防毒、防垃圾邮件……您是否真的需要购买这么多不同的设备？另外，当前内网安全管理已经提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。

越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。

针对以上安全问题，一种新的产品UTM设备应运而生。

UTM是统一威胁管理（United Treatment Management）的英文缩写，即一体化的安全设备，是在2004年9月由IDC提出的信息安全概念，通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。

目前UTM已经成为网络安全产品的一个发展方向。

根据IDC的数据，UTM产品市场在近几年会维持高速的增长态势，在2008年之前将维持平均接近百分之八十的年成长率，并于2008年成长成为一个容量达到20亿美元的市场细分，将占有整个信息安全市场的半壁江山，达到57.6%。

国海证券深信服上网行为管理S5000-AC安装调试报告目录1、产品介绍 (3)1.1、产品附件介绍 (3)1.2、S5000-AC外观界面 (3)1.3、登陆WEBUI配置界面 (3)2、实施前工作准备 (5)2.1、网络环境确认 (5)2.2、用户硬件环境 (5)2.3、整理安装实施所需要的资料 (5)3、设备上架规范 (5)3.1、设备上架准备 (5)3.2、设备安装 (6)3.3、设备安装检查 (7)4、各营业部现有网络环境的基本配置规范 (8)4.1、目的 (8)4.2用户现有网络环境及部署方式 (8)4.2.1、网络状况一：单网段、pc网关设置在路由器上 (8)4.2.2、网络状况二：单网段、pc网关设置在防火墙上 (13)4.2.3、网络状况三：多网段。

Pc网关设置在路由器上 (18)5、上网行为管理 (23)5.1、上网策略对象 (23)5.2、上网选项设置 (26)5.3、组织结构 (28)5.4、策略下发操作 (28)6、流量管理系统 (29)6.1、流量状态 (29)6.2、流量管理 (29)6.3、虚拟线路配置 (31)1、产品介绍1.1、产品附件介绍产品打开包装后请检查是否包括如下附件: RJ45 网线2 条（1 条直连线、1 条交叉线）、电源线1 条、软件安装光盘1 张、产品说明书1 本、快速安装手册1 份、固定板和螺丝配件各1 包。

1.2、S5000-AC外观界面SINFOR S5000-AC 设备前面板：1、控制口2、DMZ口3、WAN口4、LANS5000-AC 正常工作时POWER 灯长亮, WAN 口和LAN 口LINK 灯长亮,ACT 灯在有数据流量时会不停闪烁.ALARM 红色指示灯只在设备启动时因系统加载会长亮（约一分钟）,正常工作时熄灭.如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭，请与我们联系。

1.3、登陆WEBUI配置界面AC支持安全的https登陆，使用的是https协议的标准端口登陆。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

SINFOR AC上网行为管理设备选购指南深信服科技版权所有2008年6月构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。

IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。

调查结果表明：员工在上班时间发生的网络活动，30%-40%都与工作无关。

那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐，严重影响了工作效率和带宽使用效率。

在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。

据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。

而据中国公安部最新统计，70％的泄密犯罪来自于机构内部，电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。

如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。

但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足上网行为管理的具体要求。

SINFOR AC上网行为管理设备，完善的上网行为管理解决方案作为国内最专业的前沿网络设备供应商，深信服科技以精准的用户识别+终端识别+应用识别技术为基础，结合封堵、流控和审计等丰富灵活的管理手段及优秀的安全增强功能，为客户轻松应对互联网所带来的安全、效率、泄密及法律风险等问题提供了全面、灵活的上网行为管理解决方案。

深信服M-5100-AC管理手册简介深信服M-5100-AC是一款企业级接入交换机，它通过高效的数据转发能力、强大的安全策略控制和丰富的接口类型，满足企业局域网接入、数据中心网核心交换和MAN接入等应用场景的需求。

本文档旨在提供M-5100-AC交换机的管理手册，帮助管理员实现对设备的管理和配置。

系统管理登录使用支持SSH2.0的终端软件，如SecureCRT或Putty，通过管理口（Console）进入交换机管理界面。

默认用户名为admin，密码为admin，请及时修改默认密码。

用户管理交换机提供多级用户管理功能，建议管理员在进行配置前添加并分配不同级别的账户。

用户等级包含管理员和操作员两种权限。

管理员可以执行所有管理操作，包括：•查看系统配置•修改系统配置•管理用户•控制交换机进程而操作员只能查看与交换机端口相关的信息。

管理员可以通过以下命令添加一个操作员用户：system-viewuser-interface vty 0 4user privilege level 1authorization-attribute user-role network-operator网络配置VLAN管理交换机提供VLAN（虚拟局域网）功能，管理员可以根据实际需要创建不同的VLAN，通过不同VLAN实现不同隔离级别的数据通信。

管理VLAN请按如下步骤：1.创建VLANsystem-viewvlan batch 10 20 302.配置端口加入VLANsystem-viewinterface Ethernet0/0/1port link-type accessport default vlan 10路由管理交换机支持静态路由和动态路由两种方式，管理员可根据需要配置。

•静态路由静态路由是通过手动添加路由逐渐完成的。

在管理端口处键入命令，例如：system-viewip route-static 192.168.1.0 255.255.255.0 192.168.2.1•动态路由动态路由协议使网络可以自行调整路由。

深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口；SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口；SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口二、深信服上网行为管理安全网关产品截图(1)防火墙模块（2）分组模块（3）控制模块（4）流量控制模块（5）记录审计模块三、深信服产品介绍针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。

针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC 的其他安全扩展功能，全方位保障您的网络安全。

四、深信服上网行为管理安全网关产品特色产品主要特点：网关+终端、行为+内容的完整上网行为管理解决方案；业界最丰富的用户认证方式，网络准入规则提供安全终端接入；针对用户组、用户、应用提供更细粒度的访问控制；针对应用协议、网站类型、文件类型等智能流量管理；URL库数量：1000万以上最全的应用识别协议库，24大类，370多条应用识别规则；精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容；独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能功能特性：一、上网行为控制，规范员工上网行为，提高工作效率；多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别与认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。

产品要求建议品牌型号：深信服M5100-AC-V数量：1台（需提供原厂商针对此项目的授权，包含厂商的售后服务承诺）上网行为管理性能参数：性能吞吐速度100M bps最大并发会话数300,000包转发速率96000转发时延0.3MS支持内网用户数400最大防火墙规则数目65,535最大时间规则数目1,024最大URL匹配数目1,024最大QOS规则数目1,024规格标准广域网接口WAN口 100BASE-T (RJ-45) *4规格1U机架式控制口RS232 * 1功能防火墙防火墙功能基于状态检测的的防火墙，防火墙规则可基于时间段生效或失效（时间段可由用户定制，能精确到半小时）深度内容分析基于应用层状态检测的防火墙，检测数据包中的报文相对应的特征码，并根据预置策略进行及时封堵路由功能支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能Internet多支持多条Internet 线路，Internet 线路之线路支持间可互为备份、负载均衡NAT功能支持SNAT、DNAT、PNAT；支持双向NAT防火墙QOS功能支持智能防火墙QOS功能，可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递，保证重要业务数据压缩功能支持IP头压缩、数据流压缩，以提高数据效率网关杀毒功能网关防毒功能集成杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议的网络防毒功能防ARP欺骗网关防ARP欺骗功能防止网关本身被ARP欺骗，同时也防止客户端被ARP欺骗的功能防DOS攻击功能防DOS攻击可防止来自内、外网的DOS攻击行为，侦测出内部发起攻击的终端IPS入侵防御功能入侵检测与防御含有多种攻击特征及脆弱性特征码数据库，以提供对最新威胁的防护；与内部防火墙联动以及时阻断攻击攻击种类可提供对特洛伊木马、蠕虫、病毒、DoS/DDoS攻击及混合威胁（甚至包括复杂的多形态攻击）的最大防护DOS类病毒发现系统通过智能统计网络流量和特征数据流量(如SYN)来发现异常行为，从而发现并阻断内网感染病毒的主机垃圾邮件过滤功能关键字权重过滤通过对垃圾邮件关键字的权重进行评分来识别垃圾邮件黑白名单对SMTP服务器的IP进行黑白名单识别垃圾邮件指纹识别根据垃圾邮件的特征进行指纹识别，比如没有发件人或在内容中试图采用防反垃圾邮件的技术等特征智能应答确对疑似垃圾邮件发送确认邮件来减少误判认实时黑名单技术采用中国反垃圾邮件联盟的RBL进行垃圾邮件识别升级提供黑白名单、关键字权重库、垃圾邮件指纹库的自动更新用户认证功能用户认证功能支持基于IP-MAC绑定跨三层交换机和触发式WEB认证用户认证方式支持基于LDAP、Radius、POP3认证和本地用户密码的认证方式（在WEB认证时应支持某些IP范围的用户可不通过WEB认证；支持用户通过POP3收发邮件时自动认证）用户认证管理可提供WEB界面，查看WEB认证以后的用户列表和当前在线用户列表。

深信服AC上网行为管理系统介绍1)AC产品简况深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。

深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力，除了识别普通的明文数据外，AC还可识别加密的流量和应用，并通过基于统计学的网络行为智能检测技术(NBID)，对用户最新面临的应用进行管理，进而提高用户的工作效率，避免机密信息的泄漏。

由于采用了高性能的硬件平台，以及不受硬盘空间限制、可独立部署的数据中心，深信服AC的性能领先于其他同类产品，更好的满足了大规模网络的苛刻要求。

目前，在中国上网行为管理的高端市场中，深信服AC拥有着极高的占有率，其客户包括：中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。

2)AC功能特点高性价比✓百兆设备，多WAN口设计；✓支持2条Internet线路的带宽叠加，扩大网络出口带宽;主要技术特点：✓深度内容检测技术，封堵所有P2P软件✓邮件延迟审计专利，保证所有邮件先延迟、后发送；✓监控所有即时通讯软件(QQ、MSN等)聊天记录；✓独有的网络访问准入规则，只允许符合上网策略的用户连接Internet；✓详细的日志中心，记录所有上网行为；✓分组管理，对特定组启用监控/不监控；三．产品安装及测试1.AC核心价值介绍下面介绍AC为用户带来的几大核心价值:1)网络带宽管理网络流量管理AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。

AC 的数据中心（Network Data Center， NDC）对局域网发生的所有网络行为进行记录、分析和趋势报告。

借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，还是P2P 下载。

同样，我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃，哪些部门在上班时间观看了最多的在线影片。

深信服主打产品一张纸一、上网行为管理（AC）销售指导1、核心功能：上网行为管理AC主要支持认证、应用封堵、流控和审计功能2、商机快速判断依据：依据1：流量滥用客户出现上网慢，P2P流量占据带宽，影响正常上网业务的问题依据2：上网随意、无管控客户出现上网娱乐、访问非法应用，影响工作且造成网络违法依据3:网络违法，无记录随意发布违法言论，缺乏上网日志记录，无法满足《网络安全法》依据4:信息泄漏，难追溯网络外发途径多难封堵，泄密后无据可查，责任难追追究。

3、商机挖掘话术：（1）《网络安全法》要求保留上网日志6个月，咱们公司有部署审计设备吗？（2）咱们公司网络出口带宽多大？平时是否有领导或员工抱怨上网慢？（3）咱们公司是不是可以随意通过网络外发资料？是否需要对网络泄密行为进行追溯？（4）咱们公司对于员工上网是否有要求，比如禁止浏览不良网站，禁止网购／看视频/刷朋友圈等?4、产品选型：AC选型参考出口带宽和用户数，报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务二、下一代防火墙（AF）销售指导1、核心功能：下一代防火墙集成FW/IPS/WAF/模块，支持勒索病毒监测防护、僵尸网络防护和风险分析等功能，实现L2-L7层的安全防护2、商机快速判断依据：依据1:网络出口：互联网边界、有购买防火墙、IPS、安全网关需求，需要对终端上网安全管控、防勒索病毒依据2:对外发布场景1、用户担心网站被非法篡改2、对外发布业务系统应用层被黑客攻击3、等保合规及来自上级监管部门监管要求4、担心业务系统遭受黑客DDOS攻击及暴力破解依据3:数据中心场景企业、政府、教育、金融、医疗等有新建数据中心、现有数据中心新建业务系统，担心失陷主机、运维复杂、无WAF和IPS依据4:分支场景企业、政府、教育局等有分支机构的客户，存在终端上网安全、隔离恶意流程和入侵行为的需求依据5:终端场景终端PC担心遭受勒索病毒考虑终端僵尸木蠕病毒3、商机挖掘话术：1：咱们单位目前部署了哪些安全设备？什么品牌？这些安全设备使用了多长时间了？使用情况如何？(了解替换机会)2：现在勒索病毒事件频发，我们有一款能防勒索病毒的防火墙，可以帮助咱们单位快速发现是否具备勒索病毒的防护能力，请问您有没有兴趣试用？（深信服AF集成SAVE智能安全检测引擎，能够有效防御未知威胁和变种病毒，区别于其他安全产品只能靠限制端口和静态特征来防御）；3：等级保护2.0即将发布，其中对防火墙有了新的要求，比如积极防御，持续检测，您是不是要了解有这些功能的防火墙？（递上一本由《等保测评联盟推荐标准》的销售工具）；4:现有的是如何运维管理的？是否多种安全设备管理起来非常的困难？；（深信服融合安全，简单有效）4、产品选型：AF选型主要参考带宽，报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路（2U设备）、最新威胁防御（URL库、安全规则库更新）和服务；三、SSL VPN1、核心功能：安全性强、兼容性强、易用性强2、商机快速判断依据：依据1:远程接入办公1、客户存在OA/邮箱/企业云盘/财务/CRM等系统，需要领导、员工随时接入办公2、客户属于制造业，有下游代理商、供应商接入其渠道管理系统3、客户属于连锁型企业，需要门店实时上报营业数据4、客户有远程运维人员（外包运维），需要临时接入单位网络依据2:远程应用发布客户内部开发（或外包）的某类业务相关的应用，正常情况下，只适用于Windows环境，但是，用户希望苹果和安卓手机/PAD等也可以使用，即存在“远程应用发布”机会依据3:商密合规改造客户属于银行、证劵、保险类行业或客户属于广电网络、人社局、卫计委、交通、财政、公检法等，现有网络中的VPN设备需要支持国家商用密码算法SM1，SM2,SM3,SM4。

深信服AC系列上网行为管理产品技术特点一款专业的上网行为管理产品，最重要需要满足的是能够对用户在网络上的流量进行有效的识别。

无论是对普通未加密的数据流和加密过后的数据流，或是已知应用的数据流，甚至还包括未知应用的数据流，只有做到了有效的识别，知道用户到底是利用网络在干些什么，才能做到有效的管理。

深信服AC系列上网行为管理产品目前采用三种识别技术手段：基于明文的识别技术、基于密文的识别技术和基于网络统计行为学的识别技术，是目前网络行为识别率最高、性能最强的专业上网行为管理设备。

基于明文的识别技术主要做到对URL库的过滤、关键字的过滤、垃圾邮件过滤、文件上传下载控制和应用协议特征码的分析。

在深信服AC的内置库中有着数百万的URL资料，分为新闻、音乐、视频、成人、财经、教育、科技等条目。

在内网中的用户浏览网页时，AC的联动式分析系统（Link Analysis System, LAS）将发挥作用。

由于每天互联网涌现出来的新网页数量超过30万，再强大的URL库也无法实现及时更新，这将导致大量的网站无法被网页过滤设备识别，进而无法实现对网页浏览的控制。

通过LAS技术，AC将根据网页的内容、用户可管理的关键字组、网页中包含的文件类型进行联动式分析，并根据AC默认的设置和管理员自定义的过滤规则对用户需要访问的网页进行过滤。

在反垃圾邮件方面，通过关键字过滤技术、智能应答技术、黑白名单和指纹识别等技术，AC可以有效地组织来自外网的垃圾邮件。

应用协议特征码的分析则可以对所有已知的网络应用流量做到有效识别。

随着网络技术的不断发展，越来越多的应用从未加密传输转向加密后再传输，一时间网络上的加密应用软件层出不穷――加密的IM聊天软件如QQ，加密的BT软件，甚至连网页都采用加密的HTTPS流传输，不计其数的“钓鱼网站”每天都有大量的受骗者上钩。

针对这一点，深信服 AC开发了基于密文的识别技术，是目前同类产品中唯一能够监控加密后的QQ聊天记录的产品。

XX公司上网行为管理解决方案一、应用背景随着信息技术、特别是网络技术的普及，互联网已经渗透到工作和生活的各方面。

公司员工使用QQ聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P 工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。

互联网一方面能够帮助企业提高生产力、促进企业发展；另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。

针对用户互联网访问行为的管控，为贵公司带来了全面而灵活的上网行为管理解决方案。

帮助企业有选择的禁止、监控BT，炒股，聊天，MSN，管理QQ，监控邮件，带宽流量等，减少病毒，对员工上网进行正确引导。

二、网络架构概述XX公司现有网络拓扑结构WAN：一条6M ADSL，两条4M ADSL路由器：一台飞鱼星VE900交换机：一台D-LINK DES1024A，一台TP-LINK TL-SF1024D，全部不带网管功能8K 报表计算机：现用44台三、XX公司在上网行为及计算机管理需求就员工的非工作上网行为而言，可为分为四大类行为：一类是获取与工作无关的资讯活动，如浏览新闻、看小说、看图片等；二类是从网络上下载与工作内容无关的数据流，如下载音乐、电影等，以及利用可移动存储设备带走公司相关资料；三类是从事获取个人收益的活动，如网上购物、炒股、兼职、发布广告等活动；四类是进行虚拟世界的沟通活动，如上网聊天、BBS论坛、撰写博客、收发私人邮件等。

；另外据反映，有员工突破网络限制，进行非工作上网行为。

这些举动无疑影响了公司正常运营，降低了员工工作效率，还会造成带宽紧张，影响到整个企业的运营，也可能随之给企业带来的严重信息安全隐患。

对于现代企业而言，网络无疑是一把棘手的双刃剑，如何改变员工滥用网络的难题，如何对员工上网行为进行有效的管理和控制，使员工上网行为朝着有利于企业大方向发展?四、上网行为管理的解决方案对于员工在公司的非工作上网行为，提供以下两个阶段的解决方案：第一阶段：宽松自觉管理模式经实地调研网络架构和所有设备后总结，在不改变现有所有设备的状态下，先根据公司的要求在现有的路由器上（飞鱼星路由器：VE900SERIES），进行网页访问过滤、网络应用控制、带宽流量管理和过滤聊天软件，限制非法下载等工具。