网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，it部门则将成为该违法事件的直接责任人。 《外发信息控制》 内网用户使用im软件、email、bbs、论坛、个人博客等将办公室和机构内信息泄露出去。而ac能封堵im软件，过滤和审计收发的email，过滤访问论坛、网站的行为，网络发帖行为的过滤和审计等，让内网用户认识到自己需要为其网络行为负责。 对合作伙伴接入内网的认证，通过ac提供的完整身份认证体系：可以启用web方式的用户名/密码认证，ip和mac地址绑定，或与机构的radius、ldap、微软域控服务器联动，ac甚至可以借助机构的pop3邮件服务器、proxy服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何网络资源。 《保护版权资料》 互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致机构受到牵连。ac的访问控制系统通过对http、ftp、im软件、邮件收发的内容检测和控制，可以阻止内网用户搅入版权问题；同样，当内网用户已经出现违法违规问题时，你可以在ac的数据中心中找到其违规记录，进而使机构摆脱不必要的纠纷。 《法律遵从和举证》 内网用户个人偏好导致的非正当网络行为，例如访问色情、反动网站等，ac能有效过滤和拦截；ac亦可过滤张贴的非法网络言论，即使逃脱过滤进入bbs的煽动性言论、网上聊天中的侵犯性语言等，也可在ac数据中心中找到相关记录作为法律举证的重要依据。 ac通过独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。

上班时间无关网页浏览、qq聊天、在线炒股、网络游戏等降低了生产效率，如何在上班时间对内网用户的网络行为进行管理和引导？ 《网页过滤策略》 上班时间从事私人活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。ac能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。 《im（即时通讯）聊天软件的管理》 上班时间使用qq、msn等私人聊天，不仅影响工作效率，还可能因im传文件而引入病毒和向外泄密。面对skype、yahoo messenger、飞信等众多im软件，it管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器ip的方式，不仅费时费力且无法根治。ac通过检测应用数据包的特征字段，实现对im聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。 《各种行为的管理》 网页过滤、im聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，ac通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户精力更多聚焦在工作上。 《上网时间管理》 每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。ac通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，ac会自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。

多数机构已经在公网接口处部署了防火墙、ids等设备，但内网依然病毒频发、攻击不断，是何原因？堡垒最容易从内部突破，内网用户主动“邀请”病毒、木马等进入内网。 《拦截不良网页》 ac内置自动更新的海量url库，包括色情、反动等分类，潜藏在此类网站中的威胁将被ac轻松过滤；ac允许用户手工添加新url分类；再过滤用户通过搜索引擎搜索的关键字、过滤url地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。 假冒网上银行的钓鱼网站、加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备无法对ssl加密网页进行管控。ac通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的ssl网站，实现对ssl加密过的色情、邪教、钓鱼网站等的过滤。 《插件、脚本过滤》 网络上“危机四伏”到处存在安全隐患，使得用户防不胜防。sangfor ac的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。 由于网络应用的不断发展，网页上提供的功能越来越多样化，要求用户安装插件的情况越来越普遍。sangfor ac支持插件过滤，能够根据插件的名称、签名、证书等过滤掉ie插件，同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况，阻止恶意监控软件盗取个人信息、企业机密。 《文件传输控制》 针对qq、msn等im软件的病毒，通过引诱用户下载指定文件或打开指定url链接而传播；ac的“拦截不良网页”措施将避免用户访问含病毒url地址；ac还可限制使用qq、msn等传递文件。 通过http、ftp从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险“感染点”还会伺机爆发，感染更多用户，瘫痪整个网络。而此类行为和流量经过ac时，ac首先限制用户通过http、ftp上传下载指定类型的文件，对于允许传输的文件，ac的网关杀毒功能将查杀该文件中潜藏的病毒、木马。 《修复内网安全短板》 根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。it部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将感染整个内网用户群。借助网络准入规则技术（network admission rules，nar）（专利号：200510037455.1），ac将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入internet，从而修复内网安全短板。 《防dos、防arp欺骗》 即使部署众多安全措施，安全威胁仍无孔不入。来自外网的dos攻击ac能防御；而来自内网的dos攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的dos攻击，而ac通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的dos攻击。 arp(address resolution protocol)协议原本用于“从ip地址寻找mac地址”，但病毒等引起的arp欺骗导致子网内所有用户无法访问internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，ac通过内置防arp欺骗功能组件，保障用户网络的可用性和可靠性。