深信服AC1100上网行为管理

设备功能介绍与特性：

　识别作为管理的基础，是上网行为管理产品功能是否健全的有利保障。SANGFOR- AC上网行为管理具有强大的识别功能。基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别，公用账号认证，同时支持LDAP认证、Radius认证、POP3认证、WEB认证等等，其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web认证。 其次SANGFOR- AC还能够对终端进行识别，包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。面对互联网应用的不断扩大，SANGFOR- AC具备强大的应用识别功能，能帮助客户识别各种互联网应用，特别是目前SSL加密网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用，能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过SSL加密的论坛/BBS发帖、webmail外发邮件、SMTP/POP3，AC都能对其进行识别。

控制功能：细致的访问控制，有效管理用户上网

对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。 针对目前P2P行为泛滥的趋势，SANGFOR- AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

带宽及流量管理功能：强大流量分析及带宽划分与分配

SANGFOR- AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署SANGFOR- AC网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。 SANGFOR- AC支持父通道中嵌套子通道，可支持8级子通道，最多能形成11级流量通道，为用户提供细致的流量管理手段，实现大流量划分成小流量通道，分级管理。 IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过AC智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。

监控与审计功能：防止机密信息泄漏和法律违规事件

谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SANGFOR- AC关完善的访问审计和监控功能有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送；对于通过Webmail发送邮件，AC全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，AC也能完全监控和记录等。值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，AC也都可以基于关键字过滤和内容审计记录；SANGFOR- AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。 针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能： 而高层领导的网络行为、收发的Email等关乎机构的发展命运，AC通过业界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。 为了防止企业的数据中心的日志被随意查看而引发员工隐私被泄露的情况发生，SANGFOR- AC配备专门的“日志审计KEY”，保护日志信息不会被无关人员进行窥视。 此外SANGFOR- AC还具备实时监控功能，在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外AC还支持实时连接监控，显示用户的所有会话连接状况。

提醒功能：智能化自动提醒

在企业管理工作中，员工的工作意识是非常重要的。怎样才能高效的提醒员工工作时间不要从事和工作无关的事情？SANGFOR- AC具有强大的智能提醒功能，可细分到每个指定用户的某个指定的应用。对用户上网时间长短、上网流量大小进行记录，一旦用户超过设定的这个值，AC可自动弹出提醒页面，便于员工自觉规范上网行为，大大降低了管理者的工作量。其中还可设置AC多长时间对上网流量进行统计。SANGFOR- AC还具有固定时间间隔再次提醒功能，支持自定义时间间隔再次提醒用户控制自己的上网行为。另外SANGFOR- AC支持自定义公告页面的内容，可针对不同情况设置不同情境的语言，这种人性化的设计使得管理员可根据企业员工上网情况给予不同的程度的警示。丰富、易用的智能化提醒平台：

从上图可知SANGFOR- AC上网时间、上网流量提醒功能都支持根据各种不同的应用类型进行控制。比如企业方想严格的设置P2P下载行为、在线流媒体等行为提醒，管理员就可设置对其流速控制在一个很小范围内，统计时间也可以设置一个相对较小的值，实现短时间统计，小流量限制策略来提醒员工。

报表和检索：直观的上网数据统计、报表和海量日志检索

机构内网用户每天的各种行为日志记录可达数十G，SANGFOR- AC通过外置数据中心实现了日志的海量存储。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SANGFOR- AC网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。 而如何从机构存储的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容，甚至是查找内网用户的泄密证据、法律违规证据？AC数据中心提供的内容检索工具，通过类似Google的界面，让您轻松实现。 另外为了防止数据中心中海量行为日志被滥用，AC提供了“数据中心认证Key”，只有插入该Key认证的管理员才能审计、查询指定用户组的行为日志。

安全增值功能：全面提升内网安全级别

作为一个全面的内网管理设备，SANGFOR- AC还提供了丰富的安全增值功能。除强大的防火墙模块外，SANGFOR- AC还集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。 防DOS攻击功能，不仅防御来自公网的DOS攻击，对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构遭遇的整个子网用户无法上网的故障得以根除。 AC具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的终端设备才允许接入Internet，修复了内网的安全短板。 危险流量识别；内网终端感染木马、间谍软件后往往通过网页、邮件、FTP端口与公网黑客通信，造成被动泄密，远程遥控等问题；AC能识别、报警、并阻断此类行为。

网关防毒功能	成F-PORT的杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能
查杀压缩文件	支持对压缩包的病毒查杀（包括zip、rar、gzip、tar、bz2等）
杀毒豁免	支持对指定网站的免病毒检查；支持仅对指定的文件类型进行病毒查杀
病毒库升级	支持杀毒引擎在线自动升级；支持用户手工升级病毒库
防DOS攻击功能	不仅防止来自外网的DOS攻击行为，还能防范来自内网的DOS攻击，侦测出内部发起攻击的终端，并提供对该终端在指定时间段内的冻结和封锁
防ARP欺骗	无需第三方软件，实现对终端用户和网关的双向防ARP欺骗功能
网络准入规则	提供网络准入规则，保证只有安装了指定的防毒软件和指定系统补丁（和检查注册表，硬盘文件，后台进程等）的主机才能使用Internet，大大减少主机被植入钓鱼软件和木马的风险

作为部署于机构网络出口处的核心网络设备，SANGFOR- 深信服AC1100网关支持双机热备、多路桥接、Bypass功能等，为组织提供了高可用、高可靠的上网行为管理解决方案。SANGFOR- AC通过多种管控、审计及安全增值功能，管控内网用户上网行为，改善内网环境，提升带宽价值。

具体实施

部署网关模式

网关模式将SANGFOR- AC作为局域网的出口网代理内网PC上网，除完成AC的管理控制功能外还可以实现NAT、路由和防火墙等网络与安全功能。

部署网桥模式

网关模式将SANGFOR- AC作为局域网的出口网代理内网PC上网，除完成AC的管理控制功能外还可以实现NAT、路由和防火墙等网络与安全功能。

部署旁路模式

旁路模式适用于希望通过AC来实现内网监控和审计的用户。

多路桥接部署模式

由于部分高端客户内网采用双机、双线路、多机为主、VRRP、HSRP等环境，SANGFOR- AC的完美多路桥接功还支持“三进三出”、“四进四出”，主备切换灵活，使得上网管理系统更加稳定可靠。

实施效果

深信服AC1100的产品优势价值

通过深信服科技的上网行为管理SANGFOR- AC1100的具体实施给客户带来以下价值：

管理网络带宽

多线路策略 AC产品继承了深信服科技的多线路复用、带宽叠加技术（专利号：200310112006X），机构通过AC同时连接多条公网线路，提升整体带宽水平。再结合多线路智能选路技术（专利号：ZL03113974.4），做到流量的智能选路和负载均衡。

P2P软件的控制 P2P行为对带宽的吞噬能力众所周知，而传统的只能封堵“昨天的BT软件”是不够的。AC凭借P2P智能识别专利技术(专利号： 200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC为您提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。

带宽统计和管理 AC数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。 AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的带宽使用效率。

避免法律风险

网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的直接责任人。 《外发信息控制》 内网用户使用IM软件、Email、BBS、论坛、个人博客等将办公室和机构内信息泄露出去。而AC能封堵IM软件，过滤和审计收发的Email，过滤访问论坛、网站的行为，网络发帖行为的过滤和审计等，让内网用户认识到自己需要为其网络行为负责。 对合作伙伴接入内网的认证，通过AC提供的完整身份认证体系：可以启用Web方式的用户名/密码认证，IP和MAC地址绑定，或与机构的Radius、LDAP、微软域控服务器联动，AC甚至可以借助机构的POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何网络资源。 《保护版权资料》 互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致机构受到牵连。AC的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制，可以阻止内网用户搅入版权问题；同样，当内网用户已经出现违法违规问题时，你可以在AC的数据中心中找到其违规记录，进而使机构摆脱不必要的纠纷。 《法律遵从和举证》 内网用户个人偏好导致的非正当网络行为，例如访问色情、反动网站等，AC能有效过滤和拦截；AC亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在AC数据中心中找到相关记录作为法律举证的重要依据。 AC通过独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。

提升工作效率

上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了生产效率，如何在上班时间对内网用户的网络行为进行管理和引导？ 《网页过滤策略》 上班时间从事私人活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。 《IM（即时通讯）聊天软件的管理》 上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件，IT管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器IP的方式，不仅费时费力且无法根治。AC通过检测应用数据包的特征字段，实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。 《各种行为的管理》 网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，AC通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户精力更多聚焦在工作上。 《上网时间管理》 每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，AC会自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

保障内网安全

多数机构已经在公网接口处部署了防火墙、IDS等设备，但内网依然病毒频发、攻击不断，是何原因？堡垒最容易从内部突破，内网用户主动“邀请”病毒、木马等进入内网。 《拦截不良网页》 AC内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被AC轻松过滤；AC允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。 假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。 《插件、脚本过滤》 网络上“危机四伏”到处存在安全隐患，使得用户防不胜防。SANGFOR- AC的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。 由于网络应用的不断发展，网页上提供的功能越来越多样化，要求用户安装插件的情况越来越普遍。SANGFOR- AC支持插件过滤，能够根据插件的名称、签名、证书等过滤掉IE插件，同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况，阻止恶意监控软件盗取个人信息、企业机密。 《文件传输控制》 针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；AC的“拦截不良网页”措施将避免用户访问含病毒URL地址；AC还可限制使用QQ、MSN等传递文件。 通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，瘫痪整个网络。而此类行为和流量经过AC时，AC首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。 《修复内网安全短板》 根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将感染整个内网用户群。借助网络准入规则技术（Network Admission Rules，NAR）（专利号：200510037455.1），AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入Internet，从而修复内网安全短板。 《防DOS、防ARP欺骗》 即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击AC能防御；而来自内网的DOS攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击，而AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。 ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地址”，但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。

SANGFOR- AC安全网关主要技术优势

单点登陆技术

AC为内网用户提供账号/密码等认证方式，结合单点登录技术(Single Sign On, SSO)将避免手工输入帐号信息以简化操作。 AC通过数据包监听方式即可支持AD单点登录功能。内网用户采用域账号登陆操作系统后，自动通过AC认证，简化用户操作，且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet，进一步降低机构信息资产外泄的风险。 AC的POP3、PROXY单点登录功能启用后，内网用户只需收发一下Email、或触发PROXY服务器的认证后，也将自动通过AC认证，极大的方便了用户的使用。

反钓鱼网站功能

网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户毫不知情时泄露自己的账户信息，导致银行资金被“网络姜太公”轻易盗取。网上金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页。钓鱼网站同样可以完全模仿真正网银网站的模样和操作过程，导致用户上当受骗。如果不能甄别和过滤SSL加密网页，则该行为管理方案、网络过滤设备是不完备的。 AC内置可信任数字证书颁发机构信息，并可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。钓鱼网站采用非可信颁发机构的数字证书，可以蒙骗用户，但却被AC识别和过滤，避免了用户和机构的经济损失。

P2P智能识别

P2P（peer-to-peer）应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控，费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别；基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别，为您提供了全面、高效的P2P行为管控手段。 能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，即全面禁止指定部门使用P2P软件，或允许其使用，但对P2P行为占用的带宽资源进行限制和管理，既实现带宽使用的优化，又为机构员工提供了人性化的管理方式。

代理服务器识别

机构的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容控制等设备对内网员工的管理是基于目的地址和端口的，这将无法识别通过代理服务器的员工流量和行为。 通过SANGFOR- 特有的流特征和弱特征识别技术，对于通过封装的数据，对于通过Proxy Server代理上网的情况，AC可以很好地适应并发挥其作用。AC的深度内容检测TCD技术识别用户的数据包含代理信息后，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。

免审计Key功能

机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，怎样防止此类用户行为的记录？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户进行行为记录，怎么办？ AC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。在AC上为总裁、财务部相关人员生成“免审计Key”。总裁使用该“免审计Key”认证后，AC从底层免除对总裁的一切记录。一旦“非善意”人员私下取消免审计功能后，总裁再插入该“免审计Key”后会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。

网络准入规则

AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。NAR的设计意义在于三个方面： 1. 仅靠网络边缘的外围设备已经无法保证安全性。 2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。 3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。 鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点，禁止其访问互联网或仅提交报告。 通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于机构推行统一的IT政策。 SANGFOR- AC的准入规则还能支持多条准入规则的“与”和“或”的关系，支持调用客户服务器上的指定脚本从而更好的保护内网安全。

加密聊天内容的记录

“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯QQ、TM、Skype、MSNShell等。如果不能对加密的IM聊天内容进行监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查。 目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。AC通过聊天内容同步侦听（Real-time Monitor for Messages , RMM)，实现对QQ、Skype等加密聊天内容的监督和记录，这在业界的行为管控方案中是屈指可数的。

邮件延迟审计

AC的邮件延迟审计（Postponed Sending after Audit, PSA）专利技术，将敏感邮件阻挡于内网。内网员工发送Email邮件时，用户认为已经成功发送，实际上该Email行为被AC识别后，符合管理员预定策略的Email被AC网关拦截，整封Email邮件、包括正文和附件全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人为审核后，才允许该Email邮件发送到公网上，实现了对泄密邮件的封堵，保护了机构的敏感信息的安全性。 AC的邮件延迟审计技术对内网员工完全透明，邮件的发送过程与日常无异。

强大的流量管理系统

机构有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。AC如何实现带宽资源的合理利用呢？传统设备根据IP地址和端口，结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等，让传统设备的带宽管理功能大打折扣。 AC实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统，让机构的带宽资源得到细致的优化和高效的使用。 SANGFOR- AC还支持虚拟线路功能，通过这样的方式对于多条出口线路分别流控，或是为来自内网不同网段的用户分别进行流控。父通道中可建立二级、三级通道等，最多能建成十一级的流量通道，为用户提供了最细致的流量管理手段。

数据中心及报表

大型机构每天产生数十G日志数据，通过AC独立数据中心实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。 通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向机构高层汇报。 AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。 对于BBS发帖，SANGFOR- AC还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。 而如何快速检索海量日志中管理者感兴趣的内容AC已经为您想到了。通过AC数据中心的内容检索工具，您可以类似使用Google一样，从海量日志中查询、审计您需要的日志记录，并且支持高级 搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

日志审查Key

组织结构内网用户的各种上网行为记录AC都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、深圳张贴到互联网上必将给组织造成不良影响、甚至经济损失。 鉴于此深信服科技推出了“日志审查Key”技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。

防ARP欺骗

ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个子网用户无法访问外部网络资源。 如何有效防控ARP欺骗是目前用户和业界的难题之一，部分厂商需要用户安装第三方客户端软件实现，难免有用户不安装、或安装后不运行。AC通过网络准入规则NAR插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且NAR技术还将进一步加强端点安全级别，提升整个网络安全级别。

外发文件告警

存心泄密者通常通过HTTP、FTP、Email附件外发文件时会篡改、删除扩展名，压缩、加密再外发，AC都能识别，并且报警。 AC尝试解压压缩包后再识别文件类型；无法识别特征的文件AC则识别为加密文件；通过这样的方式进行外发文件的细致完全监控，从根本上保护客户内部机密安全，彻底的防止机密的泄漏。

自动告警

SANGFOR- AC支持在一定时间段里内网用户流量超过一定阀值时，实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时，内网由DOS攻击、ARP攻击产生的流量值会增加，当超过管理员设定的值时，自动告警提醒管理员内网安全存在隐患，以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警，AC还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。

深信服AC1100典型客户

相关案例介绍

南方航空应用上网行为管理产品优化内网 中国南方航空股份有限公司是中国南方航空集团公司属下航空运输主业公司，总部设在广州，是中国运输飞机最多、航线网络最发达、年客运量最大的航空公司。2008年，南航旅客运输量5824万人次，位列亚洲第一、世界第四，已连续30年居国内各航空公司之首，是亚洲唯一进入世界航空客运前五强，国内唯一连续4年进入世界民航客运前十强的航空公司。 南方航空的网络内网内现有1万余名员工，主要通过两条线路接入互联网进行办公，一条电信的100M光纤直接上网，一条是网通的100M光纤通过代理服务器上网，这两条线路都是在2008年从60M扩到的100M的,初期的线路使用率一般在70%以上。出于网络发展规划要求以及网络优化的工作需要，南方航空购买了两台深信服高端上网行为管理设备分别部署于两条主干道上，用于对网络流量分布情况进行数据分析。 在设备部署后，南方航空的网络管理部门详细的了解到内网流量的组成，并通过上网行为管理日志中心的强大报表功能获得了大量相关报表。在这些客观数据分析的帮助下，南方航空不断的对网络出口带宽的合理使用进行着调整工作。通过基于时间段、人员的网络流量分析报表的反馈，经过多次优化及调整后的南方航空网络出口利用率已经大幅度下降，为此南航取消了进一步扩充带宽的计划，节约了投资。同时，在流控策略的作用下，内网办公人员也普遍反馈办公应用等正常上网应用速度有明显的提升，达到了比较好的网络应用效果。

赛格集团选择深信服上网行为管理产品 赛格集团是以电子元器件生产经营、电子信息产品交易、房地产开发经营、物业租赁与管理为主要业务板块的大型企业集团，连续十年被评为“全国500强企业”、“全国电子百强企业”等。 作为国内电子行业的龙头企业之一，赛格集团的信息化建设已在业内率先完成了信息化网络数据平台的构建，随着各项信息业务系统部署的基本完成，赛格集团将信息化建设的重点转向了对现有网络平台的管理与优化方面。“我们今年工作的重点之一就是对现有网络进行整改，以更好的提高应用系统的访问速度，实现持续性的效益提升”。赛格集团信息中心工程师指出。 目前，赛格集团部署了邮件系统、OA协同办公系统、ERP管理系统等核心业务系统。随着内网应用越来越复杂，使用人员越来越多，访问速度开始变得异常缓慢，以往打开OA页面只需要10秒钟，现在打开一个页面需要等待近20几秒，影响了工作效率的同时还使工作人员对信息中心的工作抱怨纷纷，其他各种业务系统也出现了类似的问题。 另外在下午14：00—17：00的流量高峰期，网络负载非常高，局域网出口处的防火墙、路由器等设备的性能受到很大的考验，严重时候甚至死机，造成了业务的中断。赛格集增加了带宽，但问题依然存在。 通过详细的了解，赛格集团最终采用了深信服上网行为管理解决方案来解决问题。解决办法分为两个方面：1、对内网的P2P下载行为做管理。经过调查，赛格集团发现P2P下载行为占用了很多带宽，使应用系统的带宽使用受到威胁。利用深信服千兆级的上网行为管理产品，对不能使用P2P工作的部门和个人，将P2P工具彻底封堵、过滤，减缓了带宽利用的压力；对于需要使用P2P工具的部门和个人，将P2P下载限制在一个合理的速度范围内，保证P2P下载不占用业务系统的带宽资源。2、对带宽做细致的划分。利用深信服上网行为管理产品的流量管理系统，赛格集团实现对带宽资源做精细的划分与带宽保证，优先保障核心业务系统的带宽利用，使访问速度有了明显的改善，原来需要等到20几秒的操作行为，现在只需要不到5秒的等待时间。 同时，利用深信服上网行为管理产品强大的报表功能，赛格集团可以详细了解到每种应用的流量分布、趋势、对比情况，从而为制定合理的流量控制管理策略提供了依据，使内网业务系统资源的运行步入一个健康、高效、有序的状态。

青海省交通厅应用深信服上网行为管理 青海省交通厅作为重要的省厅级单位，执行国家公路、水路交通发展战略、方针、政策和法律、法规；拟订全省公路、水路交通行业的发展规划中长期计划和年度计划并监督实施；负责交通行业统计和信息引导工作等重要职能工作。 内网网络效能的提升是青海省交通厅信息化建设非常看重的一方面。对BT等P2P下载的控制，对部分网络游戏的封堵，对内网终端安全策略的把控等均是青海省交通厅急待解决的问题。 经过多方面的考察和选型，青海省交通厅最终选择了中国成长最快，创新能力最强的前沿网络设备供应商—深信服科技提供的上网行为管理解决方案。一台千兆上网行为管理设备部署于青海省交通厅内网出口处，对所有上网数据进行分析和处理。深信服上网行为管理提供的以下解决方案和技术是青海省交通厅所看重的。 《网络准入规则》 为在内网中贯彻用户必须安装和运行指定的杀毒软件，必须定期为系统打上补丁等策略，青海省交通厅启用深信服上网行为管理网络准入规则（专利技术）。内网用户必须符合单位要求的终端安全策略后方可接入互联网。网络准入规则的价值在于能够提升内网终端访问互联网的安全性，利于IT管理者将安全策略纳入统一管理。 《应用识别规则库》 深信服上网行为管理拥有国内最大的应用识别规则库，其内300多条的应用规则包含了网络流媒体，网络游戏，炒股软件，IM聊天工具等常用的网络应用及其不同版本。青海省交通厅运用这一工具便能对需要管控的网络游戏等应用进行封堵，提升员工工作效率。 《流量控制系统》 BT等P2P下载的开启是让内网网速变慢的主要因素。深信服上网行为管理强大的流量控制系统，能迅速将P2P下载的流量降下来；深信服上网行为管理独有的深度内容检测技术和基于统计学的网络智能分析技术，能迅速将未知的P2P版本进行识别和封堵。同时，深信服上网行为管理的带宽管理功能将青海省交通厅关键业务应用预先划分合理的带宽。在有限的出口带宽下，迅速提升内网网络效能。

橡果国际采用SANGFOR-上网行为管理方案 橡果国际，主要从事产品研发、生产、营销策划、商品零售等业务的大型技工贸一体化企业。公司以电视、网络等多种媒体为推广手段，以计算机信息管理系统为辅助工具，成功创立起多媒体的商业推广平台。橡果国际秉承“客户至上、永远创新”的理念，成功建立起一套独特有效的个人消费品的开发和销售推广系统，快速、安全、宽覆盖的物流配送系统，形成了销售通路拓展与品牌经营同步、终端渠道与电话订购并行的运作模式，构筑了以北京、上海为中心，辐射全国的研发、生产、销售、服务网络。橡果国际多年来一直保持良好的发展势头，现已成功进入多媒体商务推广领域，实现了历史性的跨越。 橡果国际十分重视信息化建设。随着企业的不断发展，传统的单一功能已经不能满足企业信息化建设的要求。在经过多方比较，SANGFOR- AC除了具备传统防火墙、VPN、IPS、防DOS攻击、病毒网关、垃圾邮件过滤功能之外，更重要的是SANGFOR- AC具备的“访问控制、内容过滤”等上网行为进行安全管理功能。通过制定策略，根据IP、IP组、时间对员工个人、部门实行上网行为管理。通过应用SANGFOR- AC产品，在保证了企业内外网安全的前提下，提高了员工的工作效率，优化了企业网络资源。

深信服AC1100上网行为管理其他部分用户名单

政府 行业 教育科研 企业 北海舰队 东北证券 吉林大学 河北三佳 江苏省政协 华夏基金 沈阳大学 玖龙纸业 郑州市商务局 北京电力公司 上海外语学院 长安汽车 湖州市环保局 华能澜沧江水电 中科院水生所 龙旗科技 北京市劳动局 哈尔滨商业银行 北京理工大学 北京宅急送 江西省委党校 人民银行烟台分行 北方交通大学 东莞步步高 广州黄浦区政府 中国银行天津分行 江西省委党校 四川长虹电器 江苏省疾控中心 中银保险有限公司 四川警察学院 安徽省电视台 南昌市信息中心 中电投高级培训中心 浙江省经贸学院 四川新华书店 北京崇文区统计局 中国银行广东省分行 中铁大桥勘测院 中国邮电器材集团 云南省监狱管理局 贵州太平洋财产保险 成都勘测设计院 上海中远物流公司 中国环境监测总站 中国电信福建分公司 广州广播电视大学 中国港湾工程公司 包头市国土资源局 中国电信重庆分公司 茂名市电白教育局 北京首都旅游集团 卫生部卫生监督中心 中国电能成套设备公司 浙江职业艺术学院 东风日产乘用车公司

深信服AC1100专利和荣誉

深信服科技有限公司是中国规模最大、创新能力最强的前沿网络设备供应商，致力于通过创新、高品质的产品及卓越的服务，帮助用户在将业务向互联网转型中获得成功。 作为一家专注于广域网市场的厂商，深信服提供了贯穿用户广域网建设生命周期的前沿产品及解决方案，包括IPSec VPN、SSL VPN、上网行为管理、广域网加速、应用交付、流量控制、上网优化等，并被公认为其中多个领域的技术及市场领导者。 截止到2009年8月，已有超过14，000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业，也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。 目前，深信服公司总人数已达到700人，直属分支机构36个，并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。2005年－2009年，深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”，并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年，深信服荣获《财富》杂志“卓越雇主奖”。深信服的产品已经应用于1万4千多家客户、连接着国内外数万个网络。在中国入选世界500强的企业中，超过一半的企业都是深信服的用户。

SANGFOR- AC1100部分专利介绍

深信服科技立足自主研发，目前各产品线已经申请了近30项专利技术，其中AC产品的部分专利如下： ZL 200510037455.1 一种在网关、网桥上实现用户安全接入外网的方法 ZL 200610061591.9 一种基于网关/网桥的线路自动选路方法 ZL 200710072997.1 基于网关、网桥防范网络钓鱼网站的方法 200810141807.1 一种网络插件的安全检查方法、系统及安全检查设备 200810241565.3 一种在网关进行数据安全检测方法、系统及设备 200910108672.3 一种网络数据流识别方法

深信服AC1100科技部分荣誉

深信服科技（SANGFOR-）不断为用户提供创新的解决方案，不仅得到了用户的认可和支持，也得到了媒体和国家有关部门的认可。 2005、2006、2007、2008、2009连续五年入选德勤中国高科技、高成长50强，亚太地区高科技高成长500强 高交会自主知识产权证书 高新技术企业证书 商用密码产品生产定点单位证书 商用密码产品销售许可证 公安部SANGFOR- AC上网行为管理网关检验报告

方案使用产品及可选模块：深信服AC1100上网行为管理设备:

1.深信服 AC-1100 上网行为管理网关:包含（*深信服 上网行为管理软件V2.0;*深信服 AC-1100 硬件平台)
2.AC-1100网关杀毒模块
3.AC-1100网关杀毒升级许可
4.AC-1100深信服URL系统软件V2.0
5.外发文件告警&危险行为识别模块
6.AC1100-NAC,NAC网络准入模块
7.VPN模块

---------------------------------------------------------------------------------------------------------------------港湾网络科技(Harbing)作为深信服华南区核心总代理商在深信服产品规划实施方面积累了丰富的经验，目前，东风日产、四川长虹、格兰仕电器、国电集团等知名企业，都选择了港湾网络提供的深信服AC1100金牌代理商解决方案。 如需要了解更多产品解决方案或者您需要产品测试与试用请联系我们的市场部工作人员：400-036-0060___ --------------------------------------------------------------------------------------------------------------------