深信服上网行为管理安全网关.docx
《深信服上网行为管理安全网关.docx》由会员分享,可在线阅读,更多相关《深信服上网行为管理安全网关.docx(19页珍藏版)》请在冰豆网上搜索。
![深信服上网行为管理安全网关.docx](https://file1.bdocx.com/fileroot1/2023-2/28/0f51b2c8-0dbc-49c1-8958-c988a1a9ab3d/0f51b2c8-0dbc-49c1-8958-c988a1a9ab3d1.gif)
深信服上网行为管理安全网关
深信服上网行为管理安全网关
一、深信服上网行为治理安全网关产品
SINFORM5100-AC-S38000元/台适用中小型网络,标配4个100M电口;
SINFORM5400-AC-S100000元/台适用中型网络,标配2个100M电口4个1000M电口;
SINFORM5400-AC-P150000元/台适用中大型网络,标配4个1000M电口2个1000M光口
二、深信服上网行为治理安全网关产品截图
(1)防火墙模块
〔2〕分组模块
〔3〕操纵模块
〔4〕流量操纵模块
〔5〕记录审计模块
三、深信服产品介绍
针对网络安全问题和用户需求,SINFORM5X000-AC上网行为治理设备为您提供了完善的解决方案。
针对内网用户的各种互联网访问行为,能够全面封堵网站扫瞄、QQ谈天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和以后可能显现的各种P2P应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺诈等;专门的敏锐内容拦截和安全审计功能,防止隐秘泄露;全面记录网络行为日志,幸免法律风险,并让IT治理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFORM5X00-AC的其他安全扩展功能,全方位保证您的网络安全。
四、深信服上网行为治理安全网关产品特色
产品要紧特点:
网关+终端、行为+内容的完整上网行为管明白得决方案;
业界最丰富的用户认证方式,网络准入规那么提供安全终端接入;
针对用户组、用户、应用提供更细粒度的访问操纵;
针对应用协议、网站类型、文件类型等智能流量治理;
URL库数量:
1000万以上
最全的应用识别协议库,24大类,370多条应用识别规那么;
精准识别SSL加密流量、未知P2P行为、加密IM软件谈天内容;
独立日志中心,提供海量储备、内容检索、模糊查询、自动报表等功能
支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
功能特性:
一、上网行为操纵,规范职员上网行为,提高工作效率;
多种认证机制,细致的用户分组和权限划分,基于时刻段为用户分配合适的权限;
专门的WEB认证、基于扫瞄器实现方便的用户识别与认证;
网页过滤、关键字过滤、深度内容检测等多种操纵功能,管控职员在上班时刻访问与工作无关的网站、网络谈天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。
独有的网络访问准入系统〔专利技术〕,只承诺符合指定条件的用户才能够连 接Internet,幸免内网用户遭受病毒、木马、间谍软件等安全威逼;
二、强大的监控和审计,爱护内部数据安全、防止隐秘信息泄漏
记录所有访问过的网址、网页标题和网页内容、/FTP上传下载、通过BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等谈天内容等,所有上网记录,均可完整再现;
特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。
防止公司隐秘信息通过邮件、即时通讯软件、BBS等途径泄漏;
专门的〝免审计Key〞功能,完全免除对组织高层领导的网络行为记录;
三、流量操纵和带宽治理,优化带宽资源的使用
多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择最优上网线路。
对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时刻段等进行带宽分配;
智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。
智能QOS,重要数据优先传送;
四、海量日志储备、丰富的报表功能,为组织决策提供最有效的数据支持
网络行为日志支持海量储备,满足公安部82号令储备60天要求,且日志的查询、统计、审计等不阻碍网关性能;
全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;
自动报表,让治理者自动获知组织的网络状况
提供类似XX的搜索界面,实现海量日志的内容检索和搜索。
五、更多安全功能,全面提升内网安全级别
防火墙功能,防范来自公网和源自内网的DOS攻击,提升网络可用性;
防ARP欺诈;网关杀毒,从源头上查杀病毒;
网络准入规那么,修复内网安全短板,提升内网安全级别。
五、深信服产品功能列表
项目
指标
具体功能要求
部署方式
网关模式
设备必须支持网关模式,以提供路由转发等功能
网桥模式
设备必须支持网桥模式,以透亮方式串接在网络中
旁路模式
设备必须支持旁路模式,在不阻碍原有网络情形下,实现对用户网络访问行为的审计和部分操纵功能
VLAN支持
支持Access、Trunk模式;支持Vlan的穿透和终结
多路桥接
设备必须支持多路桥接功能,即支持网桥模式下至少二个Lan口,二个WAN口的部署方式
设备治理
WEB治理界面
以SSL加密的WEB图形化界面进行设备配置和治理,支持中文/英文界面
远程治理
支持SSH、Telnet、Web方式远程治理
分权限治理
支持对设备治理员进行访问权限分级,不同治理员可配置治理不同用户组的各种配置,包括增删用户、权限配置等分级治理。
自动告警
支持对攻击〔DOS攻击、ARP欺诈〕、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能
策略故障排查
提供图形化诊断工具,便于治理员发觉错误策略、策略故障等问题
用户认证
用户认证方式
支持触发式WEB认证〔在WEB认证时支持某些IP范畴的用户可不通过WEB认证〕;支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式
树形组织结构
用户分组支持树形组织结构,支持组内套组,与客户的实际行政架构蕾西,支持父组、子组等。
AD单点登录
支持无插件的AD单点登录功能
AD同步
支持将AD域控服务器上指定的组织结构读取到设备的树形组织结构中,并保持与AD的自动同步
USB-Key认证
支持用户采纳USB-Key的双因素身份认证
新用户认证功能
支持未建帐户的新用户以其运算机名/IP地址作为用户名自动创建帐户。
支持来自指定IP网段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
认证重定向
支持向认证通过的用户显示指定的URL地址或网页,自动重定向到单位的公告通知网站等。
公用帐户
支持创建公用帐户以承诺多人同时使用,并支持帐户有效时刻限制
IP-MAC绑定
支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC;
支持跨三层设备的IP-MAC绑定功能
单点登录
支持LDAP、AD的单点登录,基于数据包侦听,无需在域控服务器上安装任何插件;支持POP3、PROXY的单点登录
认证不通过用户
支持给未认证通过用户授予差不多网络访问权限〔默认组权限、除外〕
帐户导入导出
支持从LDAP、AD服务器导入帐户信息;支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息
用户认证治理
支持通过WEB界面,查看认证后的用户列表和当前在线用户列表信息
公告文件显示
支持给未通过/通过认证的用户定向显示指定的公告文件页面
网页操纵功能
URL〔网址〕过滤
内置超过千万条预分类的URL库,承诺输入新URL地址和创建新分类;支持基于时刻段的URL过滤,时刻段可自定义
关键字过滤
可过滤通过搜索引擎搜索指定关键字〔关键字可定义〕;可针对网页正文关键字进行网页过滤;
可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论
反钓鱼网站功能
支持对SSL加密的钓鱼网站的识别和过滤
SSL加密的炒股网站
支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤
文件类型过滤
识别和过滤通过、FTP下载、上传指定类型的文件;
支持对非标准端口FTP传输文件的识别和过滤
邮件操纵功能
邮件地址限制
可限制指定后缀的邮件地址通过SMTP发送邮件;
可操纵哪些用户能够使用哪些邮箱发送邮件;
邮件附件过滤
可操纵用户所发送邮件的附件类型
邮件关键字过滤
可限制发送含有指定关键字的邮件
SSL加密邮箱操纵
对用户可能使用SSL加密邮箱〔如Gmail〕的行为进行识别和限制
Webmail操纵
可限制用户使用Webmail;
过滤用户Webmail邮件正文的指定关键字;
记录Webmail邮件正文及附件;
邮件监控
可监控所有通过Outlook、Foxmail等发送,接收的邮件;
邮件延迟审计功能
能对外发邮件进行延迟缓存,审计后才发出,且对发送者完全透亮;
支持依照收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存;
邮件延迟缓存后会自动通知审核人员,并支持在指定时刻段未审核后,自动删除邮件或放行邮件
垃圾邮件过滤功能
支持对接收的邮件进行垃圾邮件过滤
应用识别和治理
应用识别规那么
至少包括24个大类、300种以上的应用识别规那么;
不采纳过时的IP和端口识别,通过深度内容检测,依照顾用特点码进行应用识别;
策略对象
支持面向策略的上网行为治理;即创建好的策略对象可被多个用户/用户组复用、重用。
权限继承
父组的权限支持继承给子组,并支持强制继承,即子组无权删除强制继承的策略对象
P2P智能识别
支持对加密P2P、版本泛滥的P2P、以后可能显现的P2P进行识别和操纵
Skype识别
必须能够完全识别和封堵Skype的应用
P2P识别
包括:
BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、XX下吧、百宝、Gnutella、Foxy、Kugoo等
P2P流媒体识别
包括:
沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等
IM识别
包括:
阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等
网络游戏识别
包括:
联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等
炒股识别
包括:
大聪慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、以后趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等
识别规那么自定义
承诺治理者依照顾用协议特点字段和特点码,手工添加新的应用识别规那么,实现个性化封堵
上网操纵
可分组、分时段、分用户操纵用户能够使用的网络服务〔包括网页、下载、QQ、MSN、游戏、Email等〕
IM操纵
可分组、分用户、分时段封堵所有谈天软件
P2P操纵
可分组、分用户、分时段封堵各种P2P工具;
并对加密P2P、版本泛滥的P2P、以后可能显现的P2P提供封堵策略;
代理操纵
识别并禁止使用、Socks代理;
对/S端口中封装的其他协议进行封堵;
可禁止内网用户使用代理软件代理他人上网
时刻限制
支持基于时刻段的访问操纵策略;
支持对用户的总上网时刻的限制策略;
排除IP
支持排除IP功能,即用户访问排除IP的行为将不进行操纵和监控
流量操纵功能
Internet多线路支持
支持复用四条Internet线路,多线路间可互为备份、负载均衡、且能够实现流量的智能选路
带宽通道状态实时查看
支持登录操纵台即可查看当前流量top10应用
应用协议流控
针对不同的用户分组、依照顾用协议类型进行带宽分配和流量治理
网站类型流控
针对不同用户分组、依照其访问的目标网站类型进行带宽分配和流量治理
文件类型流控
针对不同用户分组、依照其上传下载的文件类型进行带宽分配和流量治理
基于目标IP的流控
支持基于目标IP的带宽通道划分与分配。
静态/动态带宽分配策略
支持静态带宽预留策略和动态带宽保证策略
单用户带宽分配
支持为组内每用户进行带宽分配,分配策略包括平均分配和自由竞争
基于时刻段的流控
支持依照不同用户分组、不同时刻段分别流量治理和带宽分配
WAN->LAN的流控
支持WAN→LAN方向访问行为的流量治理功能
监控和审计
实时会话监控
对用户实时会话数进行排名;
可查看指定用户当前具体会话信息;
实时流量监控
对用户产生的实时流量,包括上行、下行流量,进行排名和查看;
实时连接监控
监控用户的实时连接情形,并能断开指定用户的指定连接;
专门用户冻结
支持对专门用户进行临时冻结,阻止其网络访问,并能在冻结时刻终止后,自动解冻
访问网站监控
分组、分用户监控用户访问的网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容
网络言论监控
分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论
邮件监控
分组、分用户监控用户发送、接收的所有邮件包含附件;
支持对Webmail正文及附件的监控和记录
IM监控
监控和记录QQ谈天内容,及市面上流行的所有谈天软件的谈天内容,包括:
QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等
FTP监控
分组、分用户监控通过FTP上传的文件〔和内容〕及FTP上传下载行为
Telnet监控
监控用户的Telnet行为
其它网络行为监控
可监控用户的其它所有网络行为
治理员/系统日志记录
支持对治理员的所有操作日志、系统日志的监控和记录
免监控功能
支持指定用户使用〝免审计key〞,实现对该用户所有网络访问行为的免监控功能
自动邮件告警
对特定安全事件支持通过邮件自动告警
WAN->LAN的审计
支持审计WAN->LAN方向的应用行为,如FTP,,Mail等,能审计文件名,文件类型,URL和邮件等。
流量审计
统计指定用户在指定时刻段内产生的总流量;
统计指定用户在指定时刻段,使用指定应用协议产生的流量,如使用BT和大聪慧产生的流量进行审计
时刻审计
统计指定用户在指定时刻段内产生的总上网时刻;
统计指定用户在指定时刻段,使用指定应用协议的上网时刻,如使用QQ、网游、大聪慧的上网时刻
日志审计、报表、检索功能
日志集中治理
一个数据中心,支持以WEB方式查看多台网关设备的日志监控数据
日志中心治理
支持通过Dkey认证后才能接入数据中心
独立日志中心
行为日志支持储备于设备本身;
考虑到设备内置储备空间有限和对性能的阻碍,必须支持将日志自动转存于第三方独立日志服务器,且必须以数据库形式储备
图形化日志审计工具
日志中心支持通过图形化工具,对日志进行分析、审计、统计、绘图等
报表导出
日志报表、日志查询结果支持PDF、Excel等格式导出
报表分析功能
支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、饼状图,趋势图等,支持丰富的报表和Excel导出
内容检索
支持类似XX的搜索工具,实现对海量日志的内容检索;
支持对日志中所记录附件:
OFFICE、TXT、PDF等文档的正文内容的检索
主题订阅
支持将治理者感爱好的内容检索结果周期性的自动形成报表结果,发送到指定邮箱
终端安全检查功能
终端安全检查
访问互联网时对存在安全隐患的终端设备进行预检测〔检测范畴包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等〕,只有满足预设安全要求的终端才承诺访问互联网
防火墙差不多功能
防火墙功能
基于状态检测的防火墙;
防火墙规那么可基于时刻段生效或失效〔时刻段可由用户定制〕
路由功能
支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能
代理上网功能
支持代理内网用户访问Internet
NAT功能
支持SNAT、DNAT、PNAT
DHCP功能
支持DHCP功能,为接入用户动态分配IP地址
防火墙QOS功能
支持智能QOS,可依照源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递,保证重要业务
网关杀毒功能
网关防毒功能
集成业界知名杀毒引擎;
支持对、POP3、SMTP、FTP等协议的网络防毒功能;
对RAR,Gzip等压缩包内文件同样提供病毒查杀支持
防DOS攻击功能
防DOS攻击
不仅防范来自外网的DOS攻击,关于来自内网的DOS攻击同样能够防备;
侦测出内部发起DOS攻击的客户端,并封堵其访问行为及流量
防ARP欺诈
防ARP欺诈
支持对用户终端和网关的双向防ARP欺诈功能,抵御ARP欺诈攻击