上网行为管理给用户带来的价值

深信服科技 SINFOR AC为您带来了全面而灵活的上网行为管理解决方案。在此，我们通过管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性，以及管理的易用性等五个方面的详细阐述 SINFOR AC为您带来的巨大价值。

管理网络带宽

■多线路复用和智能选路

很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过 AC特有的多线路复用及带宽叠加技术（专利号： 200310112006X），AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL03113974.4），AC将流量自动匹配最佳出口。

■基于应用/网站/文件类型的智能流量管理

有限的带宽资源如何分配给不同部门/用户、不同应用、不同访问行为？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配，如保证领导视频会议的带宽而限制员工 P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输 CAD文件的带宽而限制营销部传输 RM文件的带宽。精细智能的流量管理既防止带宽滥用，又提升带宽使用效率。

■流量限额功能

为了更加合理、高效的利用组织有限的带宽资源，流量管理策略需要考虑如果部分用户长时间持续下载非业务相关网络资源，由此对带宽资源的滥用如何管理？SINFOR AC支持为指定用户、用户组按照天/月为周期分配指定的上网总流量，当用户上网总流量超过设限额后将自动终止互联网访问权限，从而促使用户珍惜带宽资源，避免对带宽资源的浪费。

■ P2P的智能识别与灵活控制

封 IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密 P2P、不常见 P2P、新 P2P工具等让众多 P2P管理手段束手无策。AC凭借 P2P智能识别技术(专利号： 200610156977.8），不仅识别和管控常用 P2P、加密 P2P，对不常见和未来将出现的 P2P亦能管控。而完全封堵 P2P可能实施困难， AC的 P2P流控技术能限制指定用户的 P2P所占用的带宽，既允许指定用户使用 P2P，又不会滥用带宽，充分满足管理的灵活性。

■带宽统计和报表

AC的数据中心（Network Database Center，NDC）对内网用户的网络行为进行记录、统计及趋势、报表等。借助图形化报表、统计结果等，可以了解流量 TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让 IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。

2.2避免法律和泄密风险

互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。

■外发信息管理

办公室内无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻，员工都可能会有意无意传播。而便利的互联网让他们更多选择使用 IM软件、Email、论坛、博客等方式实现信息的外发。AC可以封堵 IM软件，过滤收发的 Email邮件，过滤论坛、网站访问行为，让员工认识到自己需要为其网络行为负责。

严谨的上网行为管理要求组织部署完整的认证体系以确保每个接入者的网络使用权限。 SINFOR AC提供完整身份认证体系： Web方式的用户名/密码认证，IP/MAC地址绑定，与现有 Radius、LDAP、AD联动，AC甚至可以借助现有 POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，避免未经授权的接入用户访问互联网。

■外发 Email控制

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。尤其存心的泄密者往往将 Email附件压缩、加密、修改后缀名、删除后缀名等试图躲过拦截与审查，即便如此SINFOR AC仍然能够对以上行为进行识别和行为报警，帮助组织强化信息资产保障措施。

■外发文件控制

从互联网下载论文、软件、音视频等，不仅可能引入病毒、木马还存在将组织卷入版权纠葛的风险；而通过 HTTP、FTP等外发文件则又存在泄密可能。SINFOR AC可以基于文件类型对传输的文件进行过滤，即使非善意用户篡改/删除文件后缀名、压缩、加密等 AC一样可以识别并报警，保证组织的信息资产安全。

■法律遵从和举证

AC有效过滤和拦截色情、反动等网站的访问，即使逃脱过滤进入互联网的非法行为等，也可在 AC数据中心中找到相关访问记录以作为法律举证之用。但 “公安部 82号令”要求日志至少留存 60天如何满足？ AC网关本身可存储大量访问日志，但大型组织每天将产生数十 G的日志，只有通过独立于网关的数据中心才可实现海量存储。无论内置/外置数据中心，AC都为管理者提供丰富的日志查询、统计、自动报表等工具。

如何从数十 G、甚至上百 G的海量日志中找到关键的访问日志记录？AC数据中心提供的日志检索功能，让管理员类似 Google、百度搜索一样，方便、轻松搜索，并支持自动发送检索结果到指定的 Email邮箱。

2.3提升工作效率

上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时间对内网员工的上网行为进行管理和引导？

■网页访问行为管理

上班时间浏览新闻网站、论坛灌水、写博客、参与网络虚拟活动等让管理遭受挑战。 SINFOR AC内置千万级静态 URL地址库是管理网页访问行为的基础，但员工显然会利用 Google、百度等搜索到最新的、感兴趣的、或违法的互联网内容，可见 AC对搜索引擎输入关键字的过滤是静态 URL地址库的有效补充，而且 AC可以根据网页正文包含的关键字过滤网页访问行为，有效管理用户的明文网页访问行为。

然而 Google声称互联网独立网页已经超过一万亿、Web2.0使得同一网站下有的网页健康、有的网页非法，如何管理？静态 URL地址库明显不足。综合了人工智能的 SINFOR AC网页智能分析系统（Intelligent Webpage Analysis System, IWAS）能够对网页进行智能分类，并且具备自我学习和自我修正能力，可以依据管理者定义进行任意 URL分类的识别和过滤，真正帮助组织完善网页访问行为的管理。

但网上银行、网上购物、钓鱼网站等的兴起，以及色情、反动网站等正逐步采用 SSL加密，传统封堵 TCP 443端口的方式将阻断网上银行的操作，只有借助 AC的 SSL证书验证技术（专利号：200710072997.1）才能有效过滤非法加密网址、允许合法加密网址的访问。

■应用程序管理

互联网应用极大丰富，从聊天到游戏、从 P2P下载到在线电影，员工享受互联网的同时对应用的管理却变成 IT管理者的心病。有别于防火墙 IP+端口的落后管控方式， SINFOR AC具有全流量识别技术，无论使用什么端口、什么协议、是否加密，AC都可以准确识别。

目前 SINFOR AC已经内置超过 20大类 500多条应用程序的识别规则以帮助组织轻松封堵各种常用应用程序，并且十余人的应用识别专家团队保证识别规则的更新和不断扩充。处于管理需要，在不方便封堵时，管理员还可以针对特定应用程序进行流量控制的管理。

■ IM（即时通讯）聊天软件的管理

上班时间使用 QQ、MSN等私人聊天，不仅影响工作效率，还可能因 IM传文件而引入病毒和机密泄漏等问题，因此对于 IM的管理日益重要。SINFOR AC能够完美的帮助管理员实现对各种 IM工具的封堵等管理。

■上网时间管理

非工作时间允许员工适度上网能够使组织在确保效率的同时体现足够的人情味，所以，根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。 SINFOR AC提供基于时间的丰富管理策略，能基于时间段为不同部门、不同人员赋予差异

化权限，同时也可以限制员工一天内总的上网时间，实现人性化管理。

2.4提升内网可靠可用性

面对互联网威胁，虽然许多组织已经部署防火墙、IDS等设备，但内网依然病毒频发、攻击不断，堡垒最容易从内部突破，内网员工不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网，如何应对这些导致传统安全技术失效的上网行为所带来的风险？

■危险资源过滤

通过 AC内置自动更新的海量 URL地址库、结合搜索引擎输入关键字过滤网页、SSL加密网页识别与过滤、以及基于人工智能的网页智能分析系统，帮助组织彻底避免因为访问非法网页、危险网页而带来的风险。

从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等，这可以通过 AC实现文件传输的过滤。即使通过 IM工具传文件，AC也可以在允许用户使用 IM文本聊天的同时全面封堵各种 IM工具的传文件功能。对于允许下载的文件，AC网关杀毒功能将查杀该文件中潜藏的病毒、木马。

■网关杀毒功能

震荡波、冲击波、熊猫烧香等病毒的泛滥严重影响组织网络的可靠性、可用性，但单纯依赖桌面杀毒软件并不能有效解决病毒问题，从源头上查杀并清除病毒是桌面防毒体系的有力补充。SINFOR AC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行彻底查杀，即使隐藏在压缩包内 AC也能识别和清除，为组织营造绿色、安全的网络应用环境。

■修复内网安全短板

组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等，极易导致自己感染并影响整个内网用户群。借助网络准入规则技术（专利号：200510037455.1），AC将检测接入终端的安全状况与安全级别，拒绝不符合 IT管理者要求的终端访问互联网。

■异常流量感知

随 U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的 TCP 80、 443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容，组织的信息资产安全如何保障？黑客远程控制内网终端形成僵尸网络如何避免？SINFOR AC的异常流量感知技术能够识别常用端口中的异常流量，并能够实时报警，帮助 IT管理者掌控您的网络，防范风险。

■防 DOS、防 ARP欺骗

即使采取众多措施，威胁和风险仍无孔不入。来自外网的 DOS攻击，以及爆发于内网的 DOS攻击不仅吞噬带宽，还严重影响出口网关的稳定。传统防火墙等网关能够防御来自外网的 DOS攻击但对来自内网的 DOS攻击却无能为力，定位于上网行为管理解决方案的 SINFOR AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的 DOS攻击。

病毒引起的 ARP欺骗导致整个子网内所有用户无法正常访问 Internet，定位故障点又颇为麻烦，有别于部分厂商依赖第三方软件的方案，AC通过内置防 ARP欺骗功能组件，保障用户网络的可用性和可靠性。

2.5管理网络带宽

■管理员分级管理

可以按照组织的行政架构在 SINFOR AC上配置用户分组结构，典型的是树形用户分组结构，并包括子组、父组等。为了减轻大型组织机构 IT部门的管理负担，同时方便各部门自行调整各自的上网权限， SINFOR AC支持细致的管理员分级管理功能。可以为 AC上的用户组 A配置 Read-Only权限的管理员 A1、配置 Read-Write权限的管理员 A2，A2只可修改用户组 A（而不能修改其他用户组）的上网策略、用户等，但 A1则只能查看而不能修改。同时 A1、A2登录 AC数据中心只能操作用户组 A的行为日志（而不能操作其他用户组的行为日志），从而既实现管理灵活性，又确保了管理的可控性。

■上网策略强制继承

总裁要求整个公司都不允许使用 QQ，但如何确保“禁止 QQ”这条上网行为管理策略能够在众多部门对应的 AC用户分组上得到实施，并且确保“禁止 QQ”的策略不会被部门管理员修改、删除、绕过？这通过 SINFOR AC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过，即使新加“开通 QQ”的策略也无济于事。严格的上网策略控制帮助组织更好使用互联网。

■ SC集中管理平台

大型组织在总部、分支机构往往会部署多台 SINFOR AC上网行为管理设备，通过深信服 SC-AC集中管理平台可以实现全网数千台 AC网关的集中管理、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程排障，统一的上网策略可以在整个组织得到贯彻和执行，日志集中管理等要求，极大的方便大型组织机构部署上网行为管理解决方案。