深信服上网行为管理功能参数

深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：λ·IT管理员如何对企业网络效能行为进行统计、分析和评估？λ·IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？λ·IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？λ·IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手——SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。

在美国和欧洲，有80%的企业对员工的互联网活动进行监视，而且这一举措得到了法律条文上的支持。

随着中国加入WTO，经济领域的国际竞争进一步加剧，国内的企业也需要认真考虑合理使用网络资源，充分提高企业竞争力的问题。

尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表图2 WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

图5管理员帐户列表如需对管理员帐户进行配置，直接单击蓝色用户名，如需创建新管理员，单击左上角“新增”图标，即可进入创建页面。

4.2.3 系统时间系统时间设置界面如图6所示。

图6系统时间设置页面4.2.4 系统升级如图7列表中所显示的，除病毒库未购买升级服务，网关补丁不需购买服务外，其他服务都在2012年4月7日到期，到时可根据实际情况决定是否购买。

构建健康安全、高效可管的互联网SANGFOR AC上网行为治理产品白皮书深信服科技有限公司版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特不注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录1互联网对组织提出的挑战 (6)2上网行为治理给用户带来的价值 (7)2.1治理网络带宽 (7)2.2幸免法律和泄密风险 (8)2.3提升工作效率 (9)2.4提升内网可靠可用性 (11)2.5治理网络带宽 (12)3功能实现 (12)3.1规划用户分组结构 (13)3.2建立身份认证体系 (13)3.3分析网络流量 (13)3.4优化和分配带宽资源 (14)3.5网页访问操纵 (15)3.6治理IM即时通讯工具 (17)3.7操纵BT等P2P行为 (17)3.8操纵其他网络应用行为 (18)3.9防泄密和法律风险 (18)3.10日志审计和报表中心 (18)3.11内网可靠可用性增强 (19)3.12治理和配置的易用性 (20)4领先的技术优势 (20)4.1单点登录技术 (20)4.2反钓鱼网站功能 (20)4.3P2P智能识不 (21)4.4代理服务器识不 (21)4.5网页智能分析系统IWAS (21)4.6最全面的应用识不 (21)4.7免审计Key功能 (22)4.8网络准入规则 (22)4.9加密谈天内容监控 (23)4.10邮件延迟审计 (23)4.11外发文件深度识不 (23)4.12智能的流量治理 (23)4.13海量日志快速检索 (24)4.14数据中心认证key (24)4.15异常流量感知 (24)4.16SC集中治理平台 (24)5部署您的AC产品 (25)5.1网关模式（路由模式） (25)5.2网桥模式 (26)5.3多路桥接模式 (26)5.4旁路模式 (27)6产品规格和荣誉 (28)6.1产品规格 (28) (28)6.3公司荣誉 (29)6.4AC产品专利 (29)7关于深信服科技 (29)1互联网对组织提出的挑战随着信息技术、特不是网络技术的普及，互联网差不多渗透到工作和生活的各方面。

南京秉创信息技术有限公司--------深信服M5000-AC上网行为管理设备主要技术特点：1.深度内容检测技术，封堵所有P2P软件（BT、电驴等）；2.邮件延迟审计专利，保证所有邮件先延迟、后发送；3.监控所有即时通讯软件(QQ、MSN等)聊天记录；4.独有网络访问准入规则，只允许符合上网策略的用户连接Internet；5.详细的日志中心，记录所有上网行为；6.分组管理，对特定组启用监控/不监控；适用于内网用户数在100人以下的小型网络功能特性：一、上网行为控制，规范员工上网行为，提高工作效率；多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别与认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。

独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁；二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。

防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏；独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；三、流量控制和带宽管理，优化带宽资源的使用多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。

对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户(组)、应用类别、时间段等进行带宽分配；智能QoS优先级技术，重要数据优先传送，提升贷款使用效率。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接（WEB管理）ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

深信服上网行为管理功能参数AC-4300-RY上网行为管理产品功能性能参数项目指标具体功能要求性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP 等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；被控设备加入统一平台支持以硬件证书验证身份；告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；双因素认证支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用户使用单点登录；强制AD认证指定用户用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；LDAP服务器的域对象的策略管理与同步主要目的是对已有的AC 与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1.跳转到用户原本输入的URL地址；2.跳转到管理员指定的URL地址；3.跳转到该用户上网信息排行页面；4.跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码包括数字或字母或特殊字符；应用管理应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、支持给每个应用自定义标签；3、支持根据标签选择一类应用做控制；4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、支持给每一种应用列上图标，易于客户了解应用的特征。