深信服上网行为管理安全网关.docx

深信服上网行为管理安全网关.docx

《深信服上网行为管理安全网关.docx》由会员分享，可在线阅读，更多相关《深信服上网行为管理安全网关.docx（19页珍藏版）》请在冰豆网上搜索。

深信服上网行为管理安全网关

深信服上网行为管理安全网关

一、深信服上网行为治理安全网关产品

SINFORM5100-AC-S38000元/台适用中小型网络，标配4个100M电口；

SINFORM5400-AC-S100000元/台适用中型网络，标配2个100M电口4个1000M电口；

SINFORM5400-AC-P150000元/台适用中大型网络，标配4个1000M电口2个1000M光口

二、深信服上网行为治理安全网关产品截图

（1）防火墙模块

〔2〕分组模块

〔3〕操纵模块

〔4〕流量操纵模块

〔5〕记录审计模块

三、深信服产品介绍

针对网络安全问题和用户需求，SINFORM5X000－AC上网行为治理设备为您提供了完善的解决方案。

针对内网用户的各种互联网访问行为，能够全面封堵网站扫瞄、QQ谈天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和以后可能显现的各种P2P应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺诈等；专门的敏锐内容拦截和安全审计功能，防止隐秘泄露；全面记录网络行为日志，幸免法律风险，并让IT治理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFORM5X00-AC的其他安全扩展功能，全方位保证您的网络安全。

四、深信服上网行为治理安全网关产品特色

产品要紧特点：

网关+终端、行为+内容的完整上网行为管明白得决方案；

业界最丰富的用户认证方式，网络准入规那么提供安全终端接入；

针对用户组、用户、应用提供更细粒度的访问操纵；

针对应用协议、网站类型、文件类型等智能流量治理；

URL库数量：

1000万以上

最全的应用识别协议库，24大类，370多条应用识别规那么；

精准识别SSL加密流量、未知P2P行为、加密IM软件谈天内容；

独立日志中心，提供海量储备、内容检索、模糊查询、自动报表等功能

支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能

功能特性：

一、上网行为操纵，规范职员上网行为，提高工作效率；

　　多种认证机制，细致的用户分组和权限划分，基于时刻段为用户分配合适的权限；

　　专门的WEB认证、基于扫瞄器实现方便的用户识别与认证；

　　网页过滤、关键字过滤、深度内容检测等多种操纵功能，管控职员在上班时刻访问与工作无关的网站、网络谈天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。

　　独有的网络访问准入系统〔专利技术〕，只承诺符合指定条件的用户才能够连　　接Internet，幸免内网用户遭受病毒、木马、间谍软件等安全威逼； 

二、强大的监控和审计，爱护内部数据安全、防止隐秘信息泄漏

　　记录所有访问过的网址、网页标题和网页内容、/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等谈天内容等，所有上网记录，均可完整再现；

　　特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。

　　防止公司隐秘信息通过邮件、即时通讯软件、BBS等途径泄漏；

　　专门的〝免审计Key〞功能，完全免除对组织高层领导的网络行为记录；

三、流量操纵和带宽治理，优化带宽资源的使用

　　多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。

　　对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时刻段等进行带宽分配；

　　智能QoS优先级技术，重要数据优先传送，提升带宽使用效率。

　　智能QOS，重要数据优先传送；

四、海量日志储备、丰富的报表功能，为组织决策提供最有效的数据支持

　　网络行为日志支持海量储备，满足公安部82号令储备60天要求，且日志的查询、统计、审计等不阻碍网关性能；

　　全面记录所有上网行为日志，图形化的日志查询、审计、统计功能；

　　自动报表，让治理者自动获知组织的网络状况

　　提供类似XX的搜索界面，实现海量日志的内容检索和搜索。

五、更多安全功能，全面提升内网安全级别

　　防火墙功能，防范来自公网和源自内网的DOS攻击，提升网络可用性；

　　防ARP欺诈；网关杀毒，从源头上查杀病毒；

　　网络准入规那么，修复内网安全短板，提升内网安全级别。

五、深信服产品功能列表

项目

指标

具体功能要求

部署方式

网关模式

设备必须支持网关模式，以提供路由转发等功能

网桥模式

设备必须支持网桥模式，以透亮方式串接在网络中

旁路模式

设备必须支持旁路模式，在不阻碍原有网络情形下，实现对用户网络访问行为的审计和部分操纵功能

VLAN支持

支持Access、Trunk模式；支持Vlan的穿透和终结

多路桥接

设备必须支持多路桥接功能，即支持网桥模式下至少二个Lan口，二个WAN口的部署方式

设备治理

WEB治理界面

以SSL加密的WEB图形化界面进行设备配置和治理，支持中文/英文界面

远程治理

支持SSH、Telnet、Web方式远程治理

分权限治理

支持对设备治理员进行访问权限分级，不同治理员可配置治理不同用户组的各种配置，包括增删用户、权限配置等分级治理。

自动告警

支持对攻击〔DOS攻击、ARP欺诈〕、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能

策略故障排查

提供图形化诊断工具，便于治理员发觉错误策略、策略故障等问题

用户认证

用户认证方式

支持触发式WEB认证〔在WEB认证时支持某些IP范畴的用户可不通过WEB认证〕；支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式

树形组织结构

用户分组支持树形组织结构，支持组内套组，与客户的实际行政架构蕾西，支持父组、子组等。

AD单点登录

支持无插件的AD单点登录功能

AD同步

支持将AD域控服务器上指定的组织结构读取到设备的树形组织结构中，并保持与AD的自动同步

USB-Key认证

支持用户采纳USB-Key的双因素身份认证

新用户认证功能

支持未建帐户的新用户以其运算机名/IP地址作为用户名自动创建帐户。

支持来自指定IP网段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

认证重定向

支持向认证通过的用户显示指定的URL地址或网页，自动重定向到单位的公告通知网站等。

公用帐户

支持创建公用帐户以承诺多人同时使用，并支持帐户有效时刻限制

IP-MAC绑定

支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC；

支持跨三层设备的IP-MAC绑定功能

单点登录

支持LDAP、AD的单点登录，基于数据包侦听，无需在域控服务器上安装任何插件；支持POP3、PROXY的单点登录

认证不通过用户

支持给未认证通过用户授予差不多网络访问权限〔默认组权限、除外〕

帐户导入导出

支持从LDAP、AD服务器导入帐户信息；支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息

用户认证治理

支持通过WEB界面，查看认证后的用户列表和当前在线用户列表信息

公告文件显示

支持给未通过/通过认证的用户定向显示指定的公告文件页面

网页操纵功能

URL〔网址〕过滤

内置超过千万条预分类的URL库，承诺输入新URL地址和创建新分类；支持基于时刻段的URL过滤，时刻段可自定义

关键字过滤

可过滤通过搜索引擎搜索指定关键字〔关键字可定义〕；可针对网页正文关键字进行网页过滤；

可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论

反钓鱼网站功能

支持对SSL加密的钓鱼网站的识别和过滤

SSL加密的炒股网站

支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤

文件类型过滤

识别和过滤通过、FTP下载、上传指定类型的文件；

支持对非标准端口FTP传输文件的识别和过滤

邮件操纵功能

邮件地址限制

可限制指定后缀的邮件地址通过SMTP发送邮件；

可操纵哪些用户能够使用哪些邮箱发送邮件；

邮件附件过滤

可操纵用户所发送邮件的附件类型

邮件关键字过滤

可限制发送含有指定关键字的邮件

SSL加密邮箱操纵

对用户可能使用SSL加密邮箱〔如Gmail〕的行为进行识别和限制

Webmail操纵

可限制用户使用Webmail；

过滤用户Webmail邮件正文的指定关键字；

记录Webmail邮件正文及附件；

邮件监控

可监控所有通过Outlook、Foxmail等发送，接收的邮件；

邮件延迟审计功能

能对外发邮件进行延迟缓存，审计后才发出，且对发送者完全透亮;

支持依照收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存；

邮件延迟缓存后会自动通知审核人员，并支持在指定时刻段未审核后，自动删除邮件或放行邮件

垃圾邮件过滤功能

支持对接收的邮件进行垃圾邮件过滤

应用识别和治理

应用识别规那么

至少包括24个大类、300种以上的应用识别规那么；

不采纳过时的IP和端口识别，通过深度内容检测，依照顾用特点码进行应用识别；

策略对象

支持面向策略的上网行为治理；即创建好的策略对象可被多个用户/用户组复用、重用。

权限继承

父组的权限支持继承给子组，并支持强制继承，即子组无权删除强制继承的策略对象

P2P智能识别

支持对加密P2P、版本泛滥的P2P、以后可能显现的P2P进行识别和操纵

Skype识别

必须能够完全识别和封堵Skype的应用

P2P识别

包括：

BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、XX下吧、百宝、Gnutella、Foxy、Kugoo等

P2P流媒体识别

包括：

沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等

IM识别

包括：

阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等

网络游戏识别

包括：

联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等

炒股识别

包括：

大聪慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、以后趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等

识别规那么自定义

承诺治理者依照顾用协议特点字段和特点码，手工添加新的应用识别规那么，实现个性化封堵

上网操纵

可分组、分时段、分用户操纵用户能够使用的网络服务〔包括网页、下载、QQ、MSN、游戏、Email等〕

IM操纵

可分组、分用户、分时段封堵所有谈天软件

P2P操纵

可分组、分用户、分时段封堵各种P2P工具；

并对加密P2P、版本泛滥的P2P、以后可能显现的P2P提供封堵策略；

代理操纵

识别并禁止使用、Socks代理；

对/S端口中封装的其他协议进行封堵；

可禁止内网用户使用代理软件代理他人上网

时刻限制

支持基于时刻段的访问操纵策略；

支持对用户的总上网时刻的限制策略；

排除IP

支持排除IP功能，即用户访问排除IP的行为将不进行操纵和监控

流量操纵功能

Internet多线路支持

支持复用四条Internet线路，多线路间可互为备份、负载均衡、且能够实现流量的智能选路

带宽通道状态实时查看

支持登录操纵台即可查看当前流量top10应用

应用协议流控

针对不同的用户分组、依照顾用协议类型进行带宽分配和流量治理

网站类型流控

针对不同用户分组、依照其访问的目标网站类型进行带宽分配和流量治理

文件类型流控

针对不同用户分组、依照其上传下载的文件类型进行带宽分配和流量治理

基于目标IP的流控

支持基于目标IP的带宽通道划分与分配。

静态/动态带宽分配策略

支持静态带宽预留策略和动态带宽保证策略

单用户带宽分配

支持为组内每用户进行带宽分配，分配策略包括平均分配和自由竞争

基于时刻段的流控

支持依照不同用户分组、不同时刻段分别流量治理和带宽分配

WAN->LAN的流控

支持WAN→LAN方向访问行为的流量治理功能

监控和审计

实时会话监控

对用户实时会话数进行排名；

可查看指定用户当前具体会话信息；

实时流量监控

对用户产生的实时流量，包括上行、下行流量，进行排名和查看；

实时连接监控

监控用户的实时连接情形，并能断开指定用户的指定连接；

专门用户冻结

支持对专门用户进行临时冻结，阻止其网络访问，并能在冻结时刻终止后，自动解冻

访问网站监控

分组、分用户监控用户访问的网址、网页标题或整个网页内容，或只记录含有指定关键字的网页内容

网络言论监控

分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论

邮件监控

分组、分用户监控用户发送、接收的所有邮件包含附件；

支持对Webmail正文及附件的监控和记录

IM监控

监控和记录QQ谈天内容，及市面上流行的所有谈天软件的谈天内容，包括：

QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等

FTP监控

分组、分用户监控通过FTP上传的文件〔和内容〕及FTP上传下载行为

Telnet监控

监控用户的Telnet行为

其它网络行为监控

可监控用户的其它所有网络行为

治理员/系统日志记录

支持对治理员的所有操作日志、系统日志的监控和记录

免监控功能

支持指定用户使用〝免审计key〞，实现对该用户所有网络访问行为的免监控功能

自动邮件告警

对特定安全事件支持通过邮件自动告警

WAN->LAN的审计

支持审计WAN->LAN方向的应用行为，如FTP，，Mail等，能审计文件名，文件类型，URL和邮件等。

流量审计

统计指定用户在指定时刻段内产生的总流量；

统计指定用户在指定时刻段，使用指定应用协议产生的流量，如使用BT和大聪慧产生的流量进行审计

时刻审计

统计指定用户在指定时刻段内产生的总上网时刻；

统计指定用户在指定时刻段，使用指定应用协议的上网时刻，如使用QQ、网游、大聪慧的上网时刻

日志审计、报表、检索功能

日志集中治理

一个数据中心，支持以WEB方式查看多台网关设备的日志监控数据

日志中心治理

支持通过Dkey认证后才能接入数据中心

独立日志中心

行为日志支持储备于设备本身；

考虑到设备内置储备空间有限和对性能的阻碍，必须支持将日志自动转存于第三方独立日志服务器，且必须以数据库形式储备

图形化日志审计工具

日志中心支持通过图形化工具，对日志进行分析、审计、统计、绘图等

报表导出

日志报表、日志查询结果支持PDF、Excel等格式导出

报表分析功能

支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等，支持丰富的报表和Excel导出

内容检索

支持类似XX的搜索工具，实现对海量日志的内容检索；

支持对日志中所记录附件：

OFFICE、TXT、PDF等文档的正文内容的检索

主题订阅

支持将治理者感爱好的内容检索结果周期性的自动形成报表结果，发送到指定邮箱

终端安全检查功能

终端安全检查

访问互联网时对存在安全隐患的终端设备进行预检测〔检测范畴包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等〕，只有满足预设安全要求的终端才承诺访问互联网

防火墙差不多功能

防火墙功能

基于状态检测的防火墙；

防火墙规那么可基于时刻段生效或失效〔时刻段可由用户定制〕

路由功能

支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能

代理上网功能

支持代理内网用户访问Internet

NAT功能

支持SNAT、DNAT、PNAT

DHCP功能

支持DHCP功能，为接入用户动态分配IP地址

防火墙QOS功能

支持智能QOS，可依照源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递，保证重要业务

网关杀毒功能

网关防毒功能

集成业界知名杀毒引擎；

支持对、POP3、SMTP、FTP等协议的网络防毒功能；

对RAR，Gzip等压缩包内文件同样提供病毒查杀支持

防DOS攻击功能

防DOS攻击

不仅防范来自外网的DOS攻击，关于来自内网的DOS攻击同样能够防备；

侦测出内部发起DOS攻击的客户端，并封堵其访问行为及流量

防ARP欺诈

防ARP欺诈

支持对用户终端和网关的双向防ARP欺诈功能，抵御ARP欺诈攻击