深信服上网行为管理AC产品白皮书.docx

1、深信服上网行为管理AC产品白皮书构建健康安全、高效可管的互联网SANFOR AC上网行为管理产品白皮书互联网对组织提出的挑战随着信息技术、特别是网络技术的普及，互联网已经渗透到工作和生活的各方面。而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。针对用户互联网访问行为的管控与审计，美国于2002年颁布实施萨班斯-奥克斯利法案对组织内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施互联网安全保护技术措施规定-简称公安部82号令的相关条款，也要求互联网

2、服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上。缺乏有效管理的互联网是否让您常常面对如下情形却又束手无策？ 看似充裕的出口带宽却不断接到内网员工关于网速太慢的抱怨； 视频会议、VOIP断断续续，与分支互联的VPN极不稳定、经常中断； 过激言论、网络造谣给组织招致网监的压力，却又无法查找到责任人； 研发代码、营销方案等让竞争对手得知，何人所为？ 内网病毒、木马、ARP欺骗、DOS攻击让IT管理者头痛不已； 巨资购买的杀毒软件很多员工不装、不用，存在风险的终端肆意上网； 专注的敲击键盘、认真的盯着屏幕

3、，但却在发生工作无关的行为； 让人无奈的是，员工的不规范网络行为往往是组织为其买单：除因上班时间无心工作所带来的直接损失外，组织的带宽资源陷入被滥用 扩容 再被滥用的恶性循环，同时组织还面临法律违规和泄密风险，组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现对员工的上网行为进行管理，接下来，让我们深入了解深信服SANFOR AC上网行为管理解决方

4、案如何帮助组织轻松解决互联网所带来的问题。1 上网行为管理给用户带来的价值深信服科技SANFOR AC为您带来了全面而灵活的上网行为管理解决方案。在此，我们通过管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性，以及管理的易用性等五个方面的详细阐述SANFOR AC为您带来的巨大价值。1.1 管理网络带宽 多线路复用和智能选路 很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术（专利号：200310112006X），AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路

5、专利技术（专利号：ZL03113974.4），AC将流量自动匹配最佳出口。 基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。 流量限额功能 为了更加合理、高效的利用组织有限的带宽资源，流量管理策略需要考虑如果部

6、分用户长时间持续下载非业务相关网络资源，由此对带宽资源的滥用如何管理？SANFOR AC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量，当用户上网总流量超过设限额后将自动终止互联网访问权限，从而促使用户珍惜带宽资源，避免对带宽资源的浪费。 P2P的智能识别与灵活控制 封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术(专利号： 200610156977.8），不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难， AC的P2P流控

7、技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 带宽统计和报表 AC的数据中心（Network Database Center，NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、统计结果等，可以了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。1.2 避免法律和泄密风险互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责

8、任人，IT部门将成为该事件压力的承担者。 外发信息控制办公室内无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻，员工都可能会有意无意传播。而便利的互联网让他们更多选择使用IM软件、Email、论坛、博客等方式实现信息的外发。AC可以封堵IM软件，过滤和审计收发的Email邮件，过滤论坛、网站访问行为，也可以过滤和审计网络发帖行为，让员工认识到自己需要为其网络行为负责。严谨的上网行为管理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。SANFOR AC提供完整身份认证体系： Web方式的用户名/密码认证，IP/MAC地址绑定，与现有Radius、LDAP、AD联动，AC甚至可以

9、借助现有POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，避免XX的接入用户访问互联网。 外发Email控制Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。传统设备处理泄密邮件时只能将其拷贝存储留作证据，但泄密邮件已经外发，损失已经造成。而SANFOR AC的邮件延迟审计技术（专利号：200510037454.7）基于用户、邮件标题、正文、附件等特征拦截泄密邮件，并自动通知审核人员人工审核后再外发，以确保组织信息资产安全。但存心的泄密者往往将Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查，即便如此SANFOR AC仍然能够对

10、以上行为进行识别和行报警，帮助组织强化信息资产保障措施。同时对于所有收发的Email邮件SANFOR AC都可以全面记录，并通过数据中心方便管理者对邮件日志进行查询、审计、报表统计等操作。 外发文件控制从互联网下载论文、软件、音视频等，不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险；而通过HTTP、FTP等外发文件则又存在泄密可能。SANFOR AC可以基于文件类型对传输的文件进行过滤，并全面记录外发文件内容，即使非善意用户篡改/删除文件后缀名、压缩、加密等AC一样可以识别并报警，保证组织的信息资产安全。 网络言论过滤策略论坛灌水、顶贴、人肉搜索等不仅降低工作效率，同时也潜在给组织带来法

11、律风险。借助SANFOR AC管理者可以封堵指定论坛、BBS等。而且AC还支持基于关键字过滤用户向公网发布的网络言论、帖子等，即便成功发布到互联网的言论AC也能详细记录，通过数据中心提供的报表、查询工具方便管理者审计，避免组织遭遇的法律压力。有些组织允许员工访问论坛、浏览帖子等，但不准发贴，通过SANFOR AC也可以实现。并且AC可实现员工只有使用帐号登录论坛、Webmail后才允许发表言论，从而避免员工的抵触情绪，同时确保网络言论和员工身份的对应。灵活的网络言论过滤策略既避免了组织遇到的法律风险，又满足了员工的正常上网需求。 法律遵从和举证AC有效过滤和拦截色情、反动等网站的访问、过滤非法

12、网络言论的发表，即使逃脱过滤进入互联网的非法行为等，也可在AC数据中心中找到相关记录作为法律举证的依据。但 “公安部82号令”要求日志至少留存60天如何满足？ AC网关本身可存储大量日志，但大型组织每天将产生数十G的日志，只有通过独立于网关的数据中心才可实现海量存储。无论内置/外置数据中心，AC都为管理者提供丰富的日志查询、统计、自动报表等工具。 如何从数十G、甚至上百G的海量日志中找到泄密/违法证据、或管理者感兴趣的内容？AC数据中心提供的内容检索功能，让管理员类似Google、XX搜索一样，方便、轻松搜索需要的内容，并支持自动发送管理员指定关键字的检索结果到指定的Email邮箱。1.3 提

13、升工作效率上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时间对内网员工的上网行为进行管理和引导？ 网页访问行为管理 上班时间浏览新闻网站、论坛灌水、写博客、参与网络虚拟活动等让管理遭受挑战。SANFOR AC内置千万级静态URL地址库是管理网页访问行为的基础，但员工显然会利用Google、XX等搜索到最新的、感兴趣的、或违法的互联网内容，可见AC对搜索引擎输入关键字的过滤是静态URL地址库的有效补充，而且AC可以根据网页正文包含的关键字过滤网页访问行为，有效管理用户的明文网页访问行为。然而Google声称互联网独立网页已经超过一万亿、Web2.0使

14、得同一网站下有的网页健康、有的网页非法，如何管理？静态URL地址库明显不足。综合了人工智能的SANFOR AC网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力，可以依据管理者定义进行任意URL分类的识别和过滤，真正帮助组织完善网页访问行为的管理。 但网上银行、网上购物、钓鱼网站等的兴起，以及色情、反动网站等正逐步采用SSL加密，传统封堵TCP 443端口的方式将阻断网上银行的操作，只有借助AC的SSL证书验证技术（专利号：200710072997.1

15、）才能有效过滤非法加密网址、允许合法加密网址的访问。 应用程序管理互联网应用极大丰富，从聊天到游戏、从P2P下载到在线电影，员工享受互联网的同时对应用的管理却变成IT管理者的心病。有别于防火墙IP+端口的落后管控方式，SANFOR AC具有全流量识别技术，无论使用什么端口、什么协议、是否加密，AC都可以准确识别。目前SANFOR AC已经内置超过20大类300多条应用程序的识别规则以帮助组织轻松封堵各种常用应用程序，并且十余人的应用识别专家团队保证识别规则的更新和不断扩充。处于管理需要，在不方便封堵时，管理员还可以针对特定应用程序进行流量控制的管理。 IM（即时通讯）聊天软件的管理上班时间使用

16、QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和机密泄漏等问题，因此对于IM的管理日益重要。SANFOR AC基于应用协议的深度内容检测技术能够完美的帮助管理员实现对各种IM工具的完全封堵。在某些情况下，基于业务需要或管理问题，某些组织很难完全封堵IM工具，因此管理者希望能记录IM聊天内容。但由于QQ、Skype、飞信、MSNShell等众多IM工具都采用加密方式传输，让业界很多厂商都束手无策。而SANFOR AC特有的聊天内容同步侦听技术（Real-time Monitor for Messages , RMM)可实现对QQ、Skype、MSNShell、飞信等加密聊

17、天内容的监听和记录，帮助组织在开放IM的同时确保聊天内容可审可控。 上网时间管理非工作时间允许员工适度上网能够使组织在确保效率的同时体现足够的人情味，所以，根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。SANFOR AC提供基于时间的丰富管理策略，能基于时间段为不同部门、不同人员赋予差异化权限，同时也可以限制员工一天内总的上网时间，实现人性化管理。1.4 提升内网可靠可用性面对互联网威胁，虽然许多组织已经部署防火墙、IDS等设备，但内网依然病毒频发、攻击不断，堡垒最容易从内部突破，内网员工不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网，如何应对这些导致传

18、统安全技术失效的上网行为所带来的风险？ 危险资源过滤 通过AC内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识别与过滤、以及基于人工智能的网页智能分析系统，帮助组织彻底避免因为访问非法网页、危险网页而带来的风险。 从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等，这可以通过AC实现文件传输的过滤。即使通过IM工具传文件，AC也可以在允许用户使用IM文本聊天的同时全面封堵各种IM工具的传文件功能。对于允许下载的文件，AC网关杀毒功能将查杀该文件中潜藏的病毒、木马。 网关杀毒功能 震荡波、冲击波、熊猫烧香等病毒的泛滥严重

19、影响组织网络的可靠性、可用性，但单纯依赖桌面杀毒软件并不能有效解决病毒问题，从源头上查杀并清除病毒是桌面防毒体系的有力补充。SANFOR AC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行彻底查杀，即使隐藏在压缩包内AC也能识别和清除，为组织营造绿色、安全的网络应用环境。 修复内网安全短板 组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等，极易导致自己感染并影响整个内网用户群。借助网络准入规则技术（专利号：200510

20、037455.1），AC将检测接入终端的安全状况与安全级别，拒绝不符合IT管理者要求的终端访问互联网。 异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，组织的信息资产安全如何保障？黑客远程控制内网终端形成僵尸网络如何避免？SANFOR AC的异常流量感知技术能够识别常用端口中的异常流量，并能够实时报警，帮助IT管理者掌控您的网络，防范风险。 防DOS、防ARP欺骗 即使采取众多措施，威胁和风险仍无孔不入。来自外网

21、的DOS攻击，以及爆发于内网的DOS攻击不仅吞噬带宽，还严重影响出口网关的稳定。传统防火墙等网关能够防御来自外网的DOS攻击但对来自内网的DOS攻击却无能为力，定位于上网行为管理解决方案的SANFOR AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。 病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet，定位故障点又颇为麻烦，有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。1.5 管理网络带宽 管理员分级管理可以按照组织的行政架构在SANFOR AC上配置用户分组结构，典型的是树形用户分组结构，并包

22、括子组、父组等。为了减轻大型组织机构IT部门的管理负担，同时方便各部门自行调整各自的上网权限，SANFOR AC支持细致的管理员分级管理功能。可以为AC上的用户组A配置Read-Only权限的管理员A1、配置Read-Write权限的管理员A2，A2只可修改用户组A（而不能修改其他用户组）的上网策略、用户等，但A1则只能查看而不能修改。同时A1、A2登录AC数据中心后智能查询、审计用户组A的行为日志（而不能查询其他用户组），从而既实现管理灵活性，又确保了管理的可控性。 上网策略强制继承总裁要求整个公司都不允许使用QQ，但如何确保“禁止QQ”这条上网行为管理策略能够在众多部门对应的AC用户分组上

23、得到实施，并且确保“禁止QQ”的策略不会被部门管理员修改、删除、绕过？这通过SANFOR AC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过，即使新加“开通QQ”的策略也无济于事。严格的上网策略控制帮助组织更好使用互联网。 SC集中管理平台大型组织在总部、分支机构往往会部署多台SANFOR AC上网行为管理设备，通过深信服SC-AC集中管理平台可以实现全网数千台AC网关的集中管理、集中监控、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程监控和排障，统一的上网策略可以在整个组织得到贯彻和执行，日志集中管理和审计等要求，极大的方便

24、大型组织机构部署上网行为管理解决方案。2 功能实现如下我们将阐述组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为管理领域的丰富经验，我们强烈建议您按照顺序阅读，这样会使上网行为的管理更具方向性，且有助于后期的管理和维护。2.1 规划用户分组结构为了给不同用户、不同部门授予差异化的互联网访问权限，包括差异化的行为审计策略，首先要规划和建立组织的用户分组结构。可以完全按照组织的行政架构在SANFOR AC上建立树形用户分组结构，实现父组、子组、组内套组等要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，

25、除手工输入帐户方式外，AC还能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理者维护AD这一套组织结构。另外AC也支持账户自动创建功能，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC等，继承指定的网络权限，方便了管理者和权限的控制。用户帐号还支持生效时间的设定、支持多人共用同一帐号等，丰富的帐号策略使得管理者可以自由的根据实际情况合理调整。如果管理员已经将用户信息汇总到Excel、TXT等文件中，那么他将通过AC的账户导入功能更加快捷的创建用户和分组信息。2.2 建立身份认证体系没有严格的认证就无法有效区分用户，也就无法部署差异化

26、授权和审计策略，自然无法有效防御身份冒充、权限扩散与滥用等。 SANFOR AC支持丰富的身份认证方式： 本地认证：Web认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定等； 第三方认证：AD、LDAP、Radius、POP3、PROXY等； 双因素认证：USB-Key认证； 免认证：IP免认证、MAC免认证、IP-MAC绑定免认证等； 单点登录：AD、POP3、Proxy、HTTP POST等； 强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域等），否则不允许访问互联网；丰富的认证方式，树形用户分组结构，上网权限的继承、强制继承等，极大方便管理者在组织内网实施A

27、C上网行为管理解决方案。值得一提的是当用户通过Web认证后管理者可以向其定向显示指定网页、而未认证通过的用户也可以为其分配受限的互联网访问权限。2.3 分析网络流量通常组织的互联网带宽比较有限，即使充裕，如果员工网络行为不规范，IT管理者仍然饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开等，IT管理者需要确知组织带宽的使用情况，这正是AC所能给您带来的价值体现：登陆AC控制台后，管理员可以直观查看流量曲线图、当前流量TOP 10应用等，并可通过AC的数据中心进一步详细查看、统计昨天或指定时间段的流量情况。管理员可以统计指定时间段指定分组或用户的流量情况，通过饼状图、柱状图、曲线图等直观展

28、现；还可基于用户进行上行流量、下行流量、总流量等排名，找到流量最活跃的员工。如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。2.4 优化和分配带宽资源组织如何获得更充足的互联网带宽呢？AC通过多线路复用、带宽叠加（专利号：200310112006X）技术，可同时连接4条互联网线路。而只要您同时连接电信和网通线路于AC，AC的多线路智能选路技术（专利号：ZL03113974.4），将为员工的Internet流量自动

29、优选最佳出口，解决跨运营商的带宽瓶颈问题，同时兼具负载均衡、线路备份等功能，大幅提升访问速度和可靠性。 组织有限的带宽往往被大量非业务流量所挤占，尤其BT、电骡等P2P行为严重吞噬带宽；AC不仅为管理员提供了强大的应用封堵手段（如直接禁止指定用户的P2P行为），更可在允许用户使用P2P时限制P2P占用的带宽，另外可以为指定用户、用户组每天、每月的总上网流量进行限制，灵活的管理方法充分满足组织在上网行为管理上的复杂需要。 除了限制非业务应用对带宽的占用，同时要保证业务应用的带宽需求。得益于AC强大的应用识别能力（目前超过20个大类、300多条识别规则），AC基于出口链路、用户/用户组、应用类型、

30、网站类型、文件类型、时间段实现精细、智能的带宽划分与分配策略，使得管理员拥有能够充分保障组织业务所需带宽的各种管理手段。从上图可以看出，AC支持的流量管理策略非常全面。另外管理员可以通过AC控制台实时监控各用户流量排名、会话排名、连接信息等，一旦发现异常网络行为，管理员即可通过AC将该员工临时冻结，并在指定时间段后自动恢复上网。当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。2.5 网页访问控制网页浏览是员工主要互联网行为之一，与工作无关的上网行为给组织带来巨大的损失：员工数量月薪(元)时薪(元)无关网络行为时间(时)/人天直接薪金损失(

31、元)/人年组织薪金损失(元)/人年小型组织10010005.70.5150015万中型组织500200011.370.53000150万大型组织2000300017.10.54500900万AC内置千万级预分类URL地址库，并经专人人工审核分类，包含互联网上各类涉及色情、反动、暴力等站点。由于互联网的容量爆炸性增长，Google声称互联网独立网址超过一万亿个，采用静态URL库显然不够，因此AC还支持基于内容的过滤手段，包括过滤用户通过搜索引擎搜索的指定关键字、过滤包含指定关键字的网页、过滤含指定关键字的URL地址等。而结合了人工智能的网页智能分析系统（Intelligent Webpage A

32、nalysis System, IWAS）能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类，并且具备自我学习和自我修正能力，可以依据管理者定义进行任意URL分类的识别和过滤，真正帮助组织完善网页访问行为的管理。 细心的您可能已经发现网上银行、在线购物、钓鱼网站等都采用了SSL加密技术，包括试图逃避过滤的反动和色情网站等危险站点等，“加密化”已经成为网络发展的趋势，如何管控？有的解决方案通过中间人攻击原理解密SSL加密流量从而过滤，但网上银行的帐号、密码等也将被解密，存在极大安全风险。而利用特有的“证书链验证黑白名单技术”，SANFOR AC能够对SSL加密网站进行甄别和过滤，从而为组织提供了全面的网页控制方案。组织往往需要通过时间