深信服ACV方案模板..doc

《深信服ACV方案模板..doc》由会员分享，可在线阅读，更多相关《深信服ACV方案模板..doc（74页珍藏版）》请在三一办公上搜索。

1、深信服上网行为管理解决方案深信服科技有限公司2013年XX月XX日目录第1章概述5第2章需求分析6第3章建设原则8第4章设计思路11第5章方案介绍135.1网络现状135.2存在问题135.3解决方案135.3.1部署方式145.3.2身份认证185.3.3上网行为控制195.3.4流量控制255.3.5安全防护295.3.6行为审计405.3.7系统集中管理505.4设备选型545.4.1公司介绍545.4.2产品介绍545.5方案优势565.5.1全面565.5.2细致565.5.3灵活575.5.4有效575.6应用价值585.6.1提升工作效率585.6.2提高带宽利用率595.6.3

2、避免泄密和法律风险605.6.4保障内网安全615.6.5降低管理成本64第6章典型案例656.1南方航空优化内网656.2中粮集团流量控制676.3华东电网上网行为管理696.4其他部分用户名单74第7章售后服务767.1深信服服务体系介绍767.1.1简述767.1.2技术支持及服务内容777.2深信服服务及维修流程78第1章 概述项目概述，客户背景介绍第2章 需求分析（拓扑图，目前网络结构描述）随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为管理带来了新的挑战，主要问题体现在以下几个方面：带宽滥用随着互联网的普及，企业业务几乎

3、都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。在众多的网络应用中，尤以P2P应用的带宽侵蚀性最为强烈。据调查统计，P2P应用对带宽占用比大致是40%60%，在极端情况下占用比会达到80%90%。同时，再加上其他与工作无关的应用占用了带宽资源。因此，在日常办公当中带宽有效利用率不到30%。工作效率低下网络的普及改变了传统的办公方式，而企业内总有部分员工在上班时间有意无意的做与工作

4、无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，严重影响工作效率，从而导致企业竞争力的下降。数据泄密企业业务依托于互联网开展，ERP、CRM、OA、电子商务、视频会议等系统来自于全球高端厂商的开发，都承载着有关于企业的机密信息。在没有任何网络安全防护措施下，企业将承受机密信息外泄风险。因此，为了防止数据安全隐患，既要预防黑客入侵系统窃取资料，又要禁止企业内部员工主动外发资料。违法行为企业员工在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良信息，都属于网络违规违法行为，企业或个人将承担法律责任。安全隐患互联网的开放给企业带来

5、了信息共享的便利，为业务系统提供了传输平台，但是正因为互联网的开放，网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱的员工，在互联网上随意打开网页、点击链接，中毒受感染，并且在内部网络中传播导致大范围严重影响。因此，如何避免来自互联网的侵袭，解决内网安全管理问题，是信息化系统建设中需要考虑的重点问题。第3章 建设原则上网行为管理系统建设必须适应当前企业各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在建设过程中，需要遵循以下原则：实用性和先进性采用先进成熟的技术满足大规模数据、语音、视频综合业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、

6、语音、视频的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。安全可靠性为保证各项业务应用，系统必须具有高可靠性，尽量避免单点故障。要对结构、设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，在系统设计方案中要应用网络管理手段，保证接入网络用户身份的合法性；采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。灵活性和可扩展性上网行为管理系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据企业不断深入发展的需要，方便灵活的扩展应用覆盖范围、扩大存储容量和

7、增加系统功能。具备支持多种网络协议、多种物理接口的能力，提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互连互通的特性，确保本系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，坚持统一规范的原则，从而为未来的发展奠定基础。设备及端口模块的选型须满足国内外相关的技术标准，并保证与业界主流的网络设备厂家的设备互联、互通。经济性和投资保护应以较高的性能价格比构建本系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性由于系统本身具

8、有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在方案设计中，必须具备全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时实现先进的分布式管理。最终能够实现监控、监测整个系统的运行情况，合理分配资源、动态配置策略、可以迅速确定故障点等。通过先进的管理策略、管理工具提高系统的运行性能、可靠性，简化维护工作，从而为办公、管理提供最有力的保障。因此，系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。第4章 设计思路通过针对企业信息网络业务需求分析，结合上网行为管理系统建设原则，总结出本次方案的设计思路：1. 在网络出口处部署上网行

9、为管理系统，对企业网络的进出数据流量进行管理。2. 根据企业组织架构和人员分布，建立用户组树形结构，匹配企业目前组织架构，为后续网络管理奠定基础。3. 通过上网行为管理系统，对员工在日常办公中与工作无关的网络应用进行控制，例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题，提高带宽有效利用率。同时，禁止工作无关应用，提高企业员工工作效率，为企业带来效益增长。4. 在部署上网行为管理系统后，通过定义关键字的方式，实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤，从而避免敏感信息泄露问题给企业带来经济损失。同时，有效防止不良信息外发行为，避免引起法律纠纷。5. 通过

10、利用上网行为管理系统中的安全功能，抵御外网安全攻击行为，有效隔离内网，提高内网安全性。6. 由于大规模部署了上网行为管理系统，因此，为了对整体系统实行有效管理，在总部部署一台集中管理设备，对全网的上网行为管理系统进行统一管理，降低管理成本，提高可管理性。第5章 方案介绍5.1 网络现状拓扑图，目前网络结构描述5.2 存在问题（客户网络中存在的问题，简单描述）（现有网络中缺乏上网行为管理手段，对于内部用户的上网行为无法控制，存在较大管理漏洞。员工在网络上进行一些与工作无关的行为，如网上购物、玩网络游戏、看在线视频等，占用大量的带宽资源，严重影响了个人及同事的工作效率，给办公环境带来负面影响。同时

11、，网络中缺少上网行为审计措施，无法记录员工在网络上一些发微博、写博客、发帖、上传文件、分享图片等行为，一旦出现了违法行为，企业将承担所有法律责任。）5.3 解决方案通过在网络出口处部署上网行为管理系统（以下简称AC），对员工上网行为进行精细化控制管理。（在内网部署上网行为管理系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量引流到上网行为管理系统，从而实现行为审计。）5.3.1 部署方式5.3.1.1 网关模式AC以网关模式部署于网络出口处，对内网用户上网行为进行识别与控制。 AC在网关模式下，具有路由选路、NAT地址转换等路由器功能，在网络出口充当“路由器”的角色，满足三层组网要求

12、。针对外网有多条连接互联网线路时，AC具备的多线路智能选路和多线路复用专利技术，可为出口的多条线路进行优化选择和流量均衡分配，为企业出口线路提供优化的速度和平衡的流量负荷。5.3.1.2 网桥模式在核心交换机和防火墙之间部署AC，AC以网桥模式部署，实现对内网用户上网行为管理，并且不用更改网络结构、路由配置以及IP配置，部署简单快捷。（2台AC间启用多机同步功能，实时同步用户认证、会话、配置等信息，互为冗余备份，提高系统可靠性。）同时，AC具有Bypass功能，在网桥模式部署下关机、开机、重启或者出现故障，则通过Bypass功能实现两端接口二层连通，避免出现链路断开状态，保证业务持续性。5.3

13、.1.3 旁路模式在内网部署上网行为管理系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量引流到上网行为管理系统，从而实现上网行为审计。所有有关的用户上网数据都将形成报表，存储在内置或者外置数据中心，为企业提供方便快捷的日志查询工具。5.3.1.4 统一部署本次方案设计中，网络架构为“总部-分支”星型结构，由于在各个分支大规模的部署了上网行为管理系统AC，数量多，地点分散，因此增加了管理难度。为了有效提升管理效率，降低管理成本，在总部部署一台集中管理设备SC。通过SC对全网范围内的AC进行集中式管理，统一下发策略和配置，有效降低管理复杂性。5.3.2 身份认证为了有效区分用户和用户组

14、，针对不同用户实施不同的上网行为管理策略，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、权限滥用等出现。5.3.2.1 本地认证AC支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。5.3.2.2 外部认证AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登

15、录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。5.3.3 上网行为控制网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。因此，全面的应用控制帮助管理员掌控网络应用现状和用户行为，保障管理效果。5.3.3.1 应用控制互联网应用众多，要在内网对各应用进行合理的管控，首先需要对应用进行识别。AC内置庞大应用特征识别库，包含1500多种应用，可识别目前网络中各种主流应用，如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用，AC支

16、持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而对不同用户进行控制。AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控制，还能够通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。针对目前P2P应用泛滥的趋势， AC的P2P智能识别技术基于P2P行为进行识别，不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控，还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供P2P应用

17、封堵措施。针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。 AC具备多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。5.3.3.2 应用标签化管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。5.3.3.3 网页过滤企业员工在日常需要使用网络的工作中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同

18、时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，因此，需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。AC内置千万级URL库，将互联网网页分成60多个类别，同时每半个月实时更新和维护URL库。AC提供自行添加URL的功能，在查询URL库中没有此URL地址时，用户可自行在设备界面进行添加，也可自定义URL类型，对企业内部网页进行管理。AC具备URL智能识别功能，可对未知的网页进行自动学习、判别、归类，保持URL识别库动态更新。5.3.3.4 发帖过滤网络的开放性给人们带来更多的言论自由，但发表一些类似色情、反动、迷信或者暴力的信息

19、，影响社会安定，造成了不必要的影响，企业或个人也要承担法律责任。AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，AC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。5.3.3.5 邮件过滤Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并

20、完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。5.3.3.6 文件传输过滤利用网络来进行文件传输在日常办公中普遍出现，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN

21、等IM传文件，允许使用Webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护企业的信息资产安全。5.3.3.7 加密应用识别SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，

22、一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。此外，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利

23、号ZL200710072997.1）具有对SSL加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为组织打造坚固无漏洞的管理。5.3.4 流量控制企业的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P应用，若不对这些应用加以限制管理，企业的带宽资源必会被抢占，而核心业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。因此，企业需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。5.3.4.1 多线路复用和智能选路企业网络出口有多

24、条运营商提供的互联网线路，在进行数据传输的过程中，往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路，大小不一，流量分配不均，达不到预期的使用效果。AC拥有专利技术（ZL 200610061591.9，一种基于网关/网桥的线路自动选路方法），可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙，其他几条线路空闲时，AC可通过线路复用技术，将所有线路复用起来，不仅合理分配带宽资源，而且能在较短时间内传送要传输的数据，提高大容量数据的访问和传输速度。AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署AC网关，可实现智能化选择最快的出口

25、线路，有利于上网速度的提升。5.3.4.2 父子通道通过部署AC，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父子通道，即在父通道中嵌套子通道，最大可支持8级父子通道。通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。5.3.4.3 P2P智能流控目前，通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P

26、2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达不到预期的效果。针对这些问题， AC通过智能流控功能，能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包

27、不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制P2P流量。5.3.4.4 动态流量控制当带宽有限时，企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略，根据应用的重要性分配相应的带宽。无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。

28、针对此类问题， AC提供了动态流控功能。用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。通过灵活的带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。5.3.4.5 虚拟线路用户出口有多条运营商线路，而在防火墙和核心交换中间，往往只有一条链路。在一条物理线路中很难实现精细化的流量划分，容易造成几条外网线路流量分配不均，导致部分线路负荷过重。AC通过虚拟线路技术，即定义不同的虚拟线路来匹配多条出口线路流量或是来自内

29、网不同网段的流量，同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术，实现更灵活的带宽分配。5.3.5 安全防护AC在通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是一个和谐的内网环境。内网用户中毒，感染局域网，导致业务中断，这在很多企业中曾经出现过。因此，通过AC安全防护功能，从外至内提供牢固的内网安全防线。5.3.5.1 网关杀毒、防火墙作为一个全面的内网管理设备， AC提供了丰富的安全增值功能。AC集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项，

30、病毒库实时升级，帮助组织查杀病毒，支持杀毒引擎在线自动升级，也支持用户手工升级病毒库。AC具备强大的防火墙功能，不仅是对内网的环境保护，也是对设备自身的一个保护，保证设备在内网中的稳定性。5.3.5.2 危险行为识别内网用户将PC带出企业，不小心中毒后极易引起局域网内PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时，就会无意间受感染。AC通过危险行为智能识别、告警和阻断功能，防止企业遭受来自内部网络的安全威胁，并及时告警，帮助管理员快速定位安全隐患，及时响应，避免损失。 5.3.5.3 危险插件过滤企业员工在访问互联网网页时，经常出现打开网页后，未等

31、用户反应看清插件名字时，插件已自动安装。部分插件提示用户安装，但用户在不清楚插件是否合法的情况点了安装。随着电脑中安装插件的个数增加，用户电脑处理任务的速度越来越慢，甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。因此，AC在注重用户网络安全方面提出了危险插件过滤功能。AC将判断插件的数字签名是否合法，插件是否被修改过数据，证书是否过期等信息，自动过滤不合法的插件。同时，AC可设置信任插件，如常用的在线杀毒插件、播放器插件、休闲娱乐插件等，避免误杀情况。5.3.5.4 网络准入规则AC的网络准入规则通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。准入的设计意义在于三个方面：

32、1. 仅靠网络边缘的外围设备已经无法保证安全性。2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、不安装防火墙和杀毒软件等，都成为局域网安全中的漏洞。鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件安装情况、系统进程、硬盘文件、注册表等。不满足预设要求的接入端点，禁止其访问互联网或仅提交报告。通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于企业推行

33、统一的IT政策。5.3.5.5 防ARP欺骗ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个广播域用户无法访问外部网络资源。如何有效防控ARP欺骗是目前用户和业界的难题之一。AC通过网络准入规则插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且网络准入规则技术还将进一步加强端点安全级别，提升整个网络安全级别。5.3.5.6 外发文件告警数据泄密通常在HTTP、FTP、Email附件外发文件时会篡改、删除扩展名，压缩、加密再外发。AC能够对外发文件进行深度识别，一旦发现文件后缀名被篡改或删除则

34、定义为安全威胁，并且执行报警工作。5.3.5.7 自动告警AC支持在一定时间段里内网用户流量超过一定阀值时，实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时，内网由DOS攻击、ARP攻击产生的流量值会增加，当超过管理员设定的值时，自动告警提醒管理员内网安全存在隐患，以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警，AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。5.3.5.8 防代理功能部分员工为了逃避网络管理员对他的网络管控，通过使用代理、翻墙软件，越过网络规章制度，毫无顾忌的上网，给企业的网络管理和内网安全带来了一定的威胁。AC可自动识

35、别内网中使用代理、翻墙软件的终端，可对HTTP代理、SOCKS4、SOCKS5代理实行控制，禁止在HTTP协议和SSL 协议标准端口使用其他的协议，从浏览器的根源处防止代理行为的发生。一旦用户使用自由门、无界浏览器，AC将自动记录并阻断代理违禁行为，避免出现泄密和网络不可控的事件发生。5.3.5.9 安全桌面通过对网络安全风险分析，再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。本方案采用AC的上网安全桌面功能进行安全防护。管理员直接通过登录AC，对内网中的用户进行上网安全桌面策略配置管理，并统一下发策

36、略。管理员可以设定用户网络访问控制、文件目录访问控制以及文件导出等功能，保证内部网络及电脑的安全，避免病毒、木马等侵入系统。上网安全桌面功能采用了沙盒技术，在PC终端上创造一个安全的虚拟桌面，用户只能通过这个虚拟的安全桌面上网，在访问外网的过程中，在这个环境里所做的任何对文件、注册表的修改都被重定向，原始的文件和注册表不会被改动，关闭安全桌面后所有改动操作被删除。安全桌面与AC形成端到端的企业级安全解决方案，通过设置不同的上网权限，将内网与风险重重的互联网隔离开，保障内网PC与企业信息、个人隐私安全，再结合其内置的危险插件和恶意脚本过滤等创新技术，实现立体式安全护航，确保安全上网。保护用户办公

37、电脑与内部网络系统的安全。上网安全桌面主要功能包括：网络访问权限控制针对常见的内网安全问题，在AC上通过配置放行的IP或域名，控制默认桌面跟上网安全桌面各自允许访问的网络。 上网安全桌面会隔离虚拟环境访问主机的文件系统，从而也隔离了来自互联网的木马程序窃取本机文件的途径，保护了本机文件重要资料的安全。用户通过上网安全桌面访问外部互联网，通过默认桌面访问内网，实现双网隔离。采用逻辑隔离手段比物理隔离布放成本低，效果好，维护费用低，在充分享用信息交互的同时保障了内网信息的安全。目录访问权限控制通过目录访问权限控制功能设置安全桌面可访问的默认桌面目录，限制对某些目录的访问，保证个人隐私、企业机密信息

38、安全。一旦用户中了木马，也不用担心电脑中的机密信息被窃取，因为安全桌面内的所有程序只能访问特定的系统文件夹，无法看到机密信息，让黑客无从下手。文件导出权限控制在保证用户电脑及内网安全的同时，考虑到用户使用安全桌面时的便捷性，可在有文件导出权限的情况下，将安全桌面内的文件导出到默认桌面保存，避免重启安全桌面后文件丢失。通过AC的上网安全桌面功能，能够实现：有效保护内网信息沙盒技术已经是成为业界公认的一种安全技术，已经被各行业产品应用于安全防护。它不仅能解决传统杀软的病毒库小、查杀病毒滞后性的问题，而且能解决传统防病毒厂商无法解决的防止网页挂马、恶意插件的攻击。在特殊环境下，安全桌面及时中毒，也不

39、会感染到默认桌面，因为病毒木马在安全桌面关闭后，所有的数据都将清除，病毒木马在虚拟的环境产生，也将在虚拟的环境中消失。降低建设和维护成本传统防范互联网风险的解决方案需要在网络出口处部署防火墙，在终端部署杀毒软件，不仅投入了大量的资金成本，同时后期IT管理员对于设备、软件的维护、升级工作，工作量大，维护成本高。上网安全桌面解决方案，不需要再部署防火墙及终端杀毒产品，只需要在原有的PC上安装上网安全桌面客户端，管理员在上网行为管理上通过设置策略实现网络访问的安全。因此无论在投入成本还是在维护成本上，相对于传统方式会成倍的减少。提高用户体验安全桌面在提供严密的安全防护基础上，也给用户提供了大量易用的

40、功能。例如ActiveX控件的代理安装、Cookie自动保存、安全桌面文件导出等。ActiveX控件是IE的一个重要特性，在国内使用也是非常广泛的。在IE发现需要安装控件的时候，安全桌面先进行检测，看这个控件是否在允许的范围内。如果在，那么我们将记录安装所必须的信息，然后将这些信息发送给默认桌面的另一个安全桌面组件，让这个组件来执行真正的安装工作。Cookie自动保存功能可以帮助用户在退出安全桌面以后，下次再次启动仍然可以使用上次记录的登陆信息等。例如用户登陆过了新浪微博，然后用户退出安全桌面，下次启动以后就可以自动帮助用户登陆成功了。当用户在安全桌面使用互联网，需要将文件保存时，可以向管理员

41、申请文件导出的权限。管理员在AC上做策略后，用户就可以把文件导出到默认桌面了。端到端便捷管理大多的杀毒软件产品提供的并非企业级解决方案，所以在组织中强制每个用户去安装并及时更新杀毒产品，是一件非常困难的事情。而位于终端的上网安全桌面与AC组成了端到端的企业级管理解决方案。IT管理员通过AC向终端安全桌面统一下发网络和数据访问权限策略，实现了终端安全的统一管理，简单方便。5.3.6 行为审计许多企业网络环境良好，带宽分配合理，但由于工作和行业性质关系，员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息，这些信息一旦公开，给企业将带来泄露商业机密、触犯法律风险等违规违法的隐患。当这类事情出

42、现的时候，为了在最短的时间内找到网络违法的当事人，避免由企业承担相应法律责任。因此，通过AC的应用审计功能，详细记录员工的日常上网行为。5.3.6.1 实时监控AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应

43、用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。5.3.6.2 全面、灵活的应用审计AC实时监控和完善的应用审计功能，帮助网络管理员了解内网用户的上网行为，同时也作为追查依据。网页访问内网用户访问的URL地址、网页标题、时间等内容，AC能够完全监控与记录。同时，通过网页快照功能，直观展现网页内容，便于管理人员快速查看。邮件收发对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。IM聊天对于QQ、MSN、Gtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。

44、微博论坛对于微博、社交论坛发帖不仅能够根据关键字进行过滤，发布的内容也能全面记录，准确还原发帖内容，提高可读性。SSL加密应用同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC可以基于关键字过滤和内容审计记录。针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能。5.3.6.3 数据中心及报表大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等

45、文档、Email投递等功能，方便IT部门将统计结果向高层汇报。AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。对于BBS发帖， AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。5.3.6.4 免审计Key机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，对

46、其记录审计反而成为泄密风险。因此AC支持免审计Key功能。在AC上为总裁、财务部相关人员生成免审计Key。当使用该免审计Key认证后，AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后，当再插入该免审计Key后会自动弹出警告，且禁止该人员访问网络，彻底保障信息安全。5.3.6.5 日志审查Key企业内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、私自张贴到互联网上必将给组织造成不良影响、甚至经济损失。因此AC提供日志审查Key技术。数据中心管理员只有插入该Ke

47、y后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。5.3.7 系统集中管理本次方案设计中，由于大规模的部署了上网行为管理系统AC，数量多，地点分散，因此增加了管理难度。为了有效提升管理效率，降低管理成本，在总部部署一台集中管理设备SC。通过SC对全网范围内的AC进行集中式管理，统一下发策略和配置，有效降低管理复杂性。5.3.7.1 方便快速的部署在全网实施多台AC上网行为管理系统时首先遇到的是如何快速方便部署的问题。由于多数分支机构并没有专业IT人员负责设备的配置、调试等操作，同时如果从总部派遣IT人员到分支机构实施无疑增加了额外成本和导致项目周期过长。因此，需要通过SC集中管理平台解决该问题。分支机构人员只需简单配置AC设备的IP、网关、路由等基本网络信息，确保AC能够与Internet连通后，将总部SC的地址填入即可。在总部SC与分支AC建立连接后，分支AC设备的所有其他配置选项完全可以通过总部SC实现配置和管理，无需分支人员在参与，从而帮助企业快速、方便的部署多台A