[导读]深信服科技是国内规模最大、创新能力最强的前沿网络设备供应商，自2005年至今，公司已经为6000多家客户提供了性能强劲、专业可靠的上网行为管理解决方案：深信服上网行为管理解决方案。

　　深信服科技是国内规模最大、创新能力最强的前沿网络设备供应商，自2005年至今，公司已经为6000多家客户提供了性能强劲、专业可靠的上网行为管理解决方案：深信服上网行为管理解决方案。作为业界第一品牌，深信服上网行为管理产品可有效管理用户的上网行为，提升工作效率和带宽效率、避免法律/泄密风险等，同时通过规范上网行为，强化上网安全环境。

　　互联网的挑战

　　网络不仅为生产生活服务，同时病毒、木马、恶意插件、间谍软件、僵尸网络等烦恼也不期而至。他们占用系统资源，频频弹出广告、强行劫持浏览器，还可能使员工泄漏组织机密或个人隐私、或将用户控制为“肉鸡”，成为僵尸网络的一部分。据瑞星统计：2009年一季度平均每天有889万余人次网民访问挂马网站;mcafee的研究报告显示：2009年一季度黑客新劫持了1200万台电脑，其中18%位于美国，13.4%位于中国。恶化的上网环境带来诸多问题：

　　1、 风险终端肆意上网。组织通常巨资购买了专业杀毒/防火墙软件等，并结合it管理制度要求用户做好终端安全加固工作，但it水平参差不齐的用户及其终端仍然是组织网络安全性的最薄弱点之一。

　　2、 危险网站防不胜防。成人、色情等网站是木马、病毒、恶意插件的重灾区，但他却吸引着好奇用户的不断访问，此类网站不仅数量多、善隐蔽，而且新增速度快，缺乏有效管理措施更是放大了他的威胁与风险。

　　3、 挂马网站、恶意插件泛滥成灾。看似正常的网页却被挂载木马、恶意插件，it能力有限的普通用户往往在不知情时即被感染，而且挂马网页“寿命”极短，普通杀毒软件未能识别时该木马可能已经消失。

　　4、 终端感染的风险无法修补。即使采取多种安全措施仍然也无法保证网络100%安全。内网感染的病毒、木马、被黑客控制等，往往将其行为和流量隐藏在正常协议中，防火墙等基于ip、端口的传统设备已经束手无策。

　　当今黑客绝少破坏用户数据，反而千方百计隐藏自己，以窃取组织和用户的网银帐号等机密信息为目的。同时恶意用户付费即可调动黑客手中的僵尸网络对特定组织实施攻击，而僵尸主机所属组织却因此背负法律风险。

　　深信服解决方案：

　　深信服上网行为管理产品在规范用户上网行为的同时，还能灵活检查接入外网的用户终端的安全达标情况。通过过滤互联网危险网站、危险脚本、恶意插件，并结合网关杀毒等功能，上网行为管理产品可以帮助组织主动过滤风险与威胁，即使内网已感染威胁，深信服上网行为管理产品亦能识别、过滤和报警。

　　通常，深信服上网行为管理产品以网关或网桥模式(如右图)串接于组织网络中(也支持旁路模式)，管理用户互联网行为，强化上网安全环境。

　　a) 终端安全检查与网络准入。

　　为实现网络准入而采用uac等传统方案，往往需要替换所有接入层设备，成本高、实施复杂。而上网行为管理产品的终端检查与网络准入功能，可以根据管理员设定自动检查指定用户终端的操作系统版本、补丁安装情况，指定杀毒/防火墙软件的安装、运行、更新情况，以及检查终端硬盘文件、注册表、系统进程，甚至可自动调用管理员编写的脚本程序实现终端个性化检查。对于不符合组织安全要求或it制度的终端，上网行为管理产品可禁止其上网或警告提醒，从而强化促使用户自觉”提升终端安全性，强化组织的内网安全环境。

　　b) 过滤危险网站、危险文件等行为。

　　上网行为管理产品内置海量预分类url地址库，结合深信服十数人的“url分类更新专家组”，紧密跟踪网址网页变化。但互联网每天新增网页数以亿记，仅依靠静态url库是远远不够的。为此，上网行为管理产品融合中科院人工智能的“网页智能识别”技术，根据语义、网址、正文、代码等特征实现网页的自动识别与归类，全面管控成人、色情等各类网页，从而有效防范此类网页给用户带来木马、病毒、恶意插件等威胁。

　　另外用户从一些不知名网站下载软件并安装时，恶意插件、流氓软件等也会悄无声息或明目张胆地强行安装。通过ac不仅可以过滤指定类型文件的下载，同时可只允许用户到华军软件园等大型知名网站下载，将风险降到最低。

　　c) 过滤恶意插件、危险脚本、并杀毒。

　　web2.0的兴起，使得黑客们轻易将恶意代码、木马、恶意插件等直接挂载在门户、搜索引擎、sns社交等网站上。it能力匮乏的普通用户往往在不知情时即被感染，上网行为管理产品则能基于行为特征过滤危险脚本、网页木马、挂马网站等;上网行为管理产品还可以根据插件名称、签名、证书有效期等识别并过滤危险插件，放行管理员指定的安全插件;另外对潜藏在网页、email、文件中的病毒、蠕虫等，借助上网行为管理产品内含的业界知名杀毒引擎将彻底查杀之，从互联网入口处强化和保护内网安全环境。

　　d) 危险流量识别与防御。

　　内网终端难免会感染各种威胁，并且为了隐藏自己，此类威胁往往将外发流量和行为伪装到tcp 21、80、443、25、110等端口中，这将轻易穿透组织防火墙的管控。

　　借助深度内容检测技术，上网行为管理产品能够深入数据包应用层数据字段，通过深层次的数据分析，该产品将识别哪些数据包是真正的网页访问行为、哪些是伪装成http协议的非法危险流量，以此类推伪装成ftp、email等行为的木马、间谍软件、黑客远程控制、肉鸡等行为。上网行为管理产品同样可以彻底识别、封堵和报警，且最小化封堵，即仅将内网终端与外网黑客之间的会话连接中断，并不影响用户的正常上网行为。