內(nèi)蒙古廣電網(wǎng)絡(luò)整改方案.doc

內(nèi)蒙古廣電網(wǎng)絡(luò)整改方案北京遠(yuǎn)景助力科技有限公司2010年5月12日內(nèi)蒙古廣電網(wǎng)絡(luò)整改方案一：如何構(gòu)建一個(gè)高效安全的網(wǎng)絡(luò)2二：公司網(wǎng)絡(luò)現(xiàn)狀31：公司的網(wǎng)絡(luò)現(xiàn)狀32：公司現(xiàn)存在的網(wǎng)絡(luò)問(wèn)題3三：針對(duì)內(nèi)蒙古廣電網(wǎng)絡(luò)整改建議41：深信服上網(wǎng)行為產(chǎn)品功能介紹42：針對(duì)存在問(wèn)題建議實(shí)現(xiàn)的配置功能4四：安裝售后及實(shí)施4五：典型的客戶(hù)案例4六：深信服AC設(shè)備專(zhuān)利及榮譽(yù)4一：如何構(gòu)建一個(gè)高效安全的網(wǎng)絡(luò)：隨著信息劃時(shí)代的到臨，企業(yè)辦公越來(lái)越離不開(kāi)網(wǎng)絡(luò)，如：ERP（企業(yè)資源計(jì)劃系統(tǒng)）；CRM（客戶(hù)關(guān)系管理系統(tǒng)）；財(cái)務(wù)系統(tǒng)等。一個(gè)高效安全的網(wǎng)絡(luò)能夠保證這些系統(tǒng)的高效運(yùn)行和企業(yè)機(jī)密資料不被外泄，有效的提高企業(yè)的生產(chǎn)力和競(jìng)爭(zhēng)力。高效安全網(wǎng)絡(luò)的具體要求大致可分為以下幾點(diǎn)：1：網(wǎng)絡(luò)拓?fù)浔仨毢侠?：網(wǎng)絡(luò)設(shè)備性能和兼容性要滿(mǎn)足企業(yè)要求和和后續(xù)擴(kuò)展3：客戶(hù)端安全；員工權(quán)限必須明確4：帶寬必須滿(mǎn)足內(nèi)部需求二：公司網(wǎng)絡(luò)現(xiàn)狀：1. 公司現(xiàn)有網(wǎng)絡(luò)設(shè)備：工作站60臺(tái)，交換機(jī)一臺(tái)（二層部署），深信服AC設(shè)備M5100一臺(tái)（路由模式部署）及其他設(shè)備若干。網(wǎng)絡(luò)接入情況為：4M電信接入。網(wǎng)絡(luò)拓?fù)淙缦拢?. 公司現(xiàn)階段存在的網(wǎng)絡(luò)問(wèn)題：隨著業(yè)務(wù)的發(fā)展和信息化建設(shè)步伐的加快，內(nèi)蒙古廣電的網(wǎng)絡(luò)可用性和內(nèi)網(wǎng)用戶(hù)的互聯(lián)網(wǎng)訪(fǎng)問(wèn)行為管控等問(wèn)題日益嚴(yán)峻，無(wú)孔不入的病毒（尤其是木馬、ARP欺騙）、惡意軟件、DOS攻擊等仍然大肆泛濫，嚴(yán)重影響了本機(jī)構(gòu)應(yīng)用系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常運(yùn)作；據(jù)google調(diào)查表明互聯(lián)網(wǎng)上獨(dú)立網(wǎng)頁(yè)超過(guò)一萬(wàn)億，每天正以幾十億的速度在突飛猛漲。訪(fǎng)問(wèn)了掛馬、含有惡意腳本、惡意插件的網(wǎng)頁(yè)用戶(hù)使內(nèi)網(wǎng)安全經(jīng)受巨大的考驗(yàn)，輕則導(dǎo)致內(nèi)網(wǎng)用戶(hù)斷網(wǎng)，重則導(dǎo)致用戶(hù)、企業(yè)機(jī)密信息被盜取，造成直接經(jīng)濟(jì)損失。另外，在針對(duì)內(nèi)網(wǎng)安全方面（尤其是PC客戶(hù)端準(zhǔn)入安全檢查），由于缺少專(zhuān)門(mén)的客戶(hù)端安全檢查設(shè)備，無(wú)法查找和修復(fù)內(nèi)網(wǎng)的安全短板，從而無(wú)法有效的保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性。更為重要的是上班時(shí)間內(nèi)部用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為沒(méi)有很好的管理、控制方法，上班時(shí)間長(zhǎng)時(shí)間使用QQ聊天、收發(fā)私人郵件、瀏覽無(wú)關(guān)網(wǎng)頁(yè)、在BBS、論壇上發(fā)帖等，不僅導(dǎo)致用戶(hù)工作效率低下，還潛在可能向公網(wǎng)泄露機(jī)構(gòu)內(nèi)部機(jī)密信息，并可能因訪(fǎng)問(wèn)非法網(wǎng)站或發(fā)表非法言論而違反法律。由于員工的上網(wǎng)行為沒(méi)有被管控，所以事后行為的審計(jì)成為企業(yè)面臨的另一個(gè)大問(wèn)題。單純的靠人工進(jìn)行審查，不但協(xié)調(diào)工作困難重重，造成周期冗長(zhǎng)，而且統(tǒng)計(jì)的結(jié)果不一定是有效的，不能為企業(yè)的管理提供科學(xué)有效的管理依據(jù)。另外內(nèi)網(wǎng)用戶(hù)肆意使用BT、PPLive等P2P工具下載電影等、在線(xiàn)看電視、看電影、聽(tīng)歌等，嚴(yán)重吞噬了有限的帶寬資源，影響了機(jī)構(gòu)內(nèi)部關(guān)鍵應(yīng)用和業(yè)務(wù)的開(kāi)展。 員工一方面不斷下載，一方面抱怨上網(wǎng)速度慢，影響工作效率。為了滿(mǎn)足員工的需求,企業(yè)不斷擴(kuò)充出口帶寬，在耗費(fèi)資金的同時(shí)也并沒(méi)有從根本上解決制約速度的瓶頸。如何才能提高上網(wǎng)速度，怎么使有限的帶寬資源得到最高效的利用？通過(guò)對(duì)本機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)目前存在的問(wèn)題，我們看到內(nèi)蒙古廣電在內(nèi)網(wǎng)用戶(hù)的互聯(lián)網(wǎng)訪(fǎng)問(wèn)行為管控方面需要解決如下幾個(gè)問(wèn)題：1權(quán)限合理劃分對(duì)于內(nèi)蒙古廣電內(nèi)網(wǎng)網(wǎng)絡(luò)的具體情況而言，需要做到給合適的用戶(hù)以合適的權(quán)限，成為網(wǎng)絡(luò)訪(fǎng)問(wèn)控制中首先需要考慮的問(wèn)題，并且針對(duì)不同的用戶(hù)發(fā)生的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為需要做到審計(jì)和記錄功能。2.管理各種網(wǎng)絡(luò)軟件的使用用戶(hù)在工作時(shí)間所從事的無(wú)關(guān)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為：對(duì)于內(nèi)網(wǎng)用戶(hù)在上班時(shí)間使用炒股軟件進(jìn)行炒股行為；使用QQ、MSN等IM聊天軟件；QQGame、傳奇等各種網(wǎng)絡(luò)游戲的使用；在線(xiàn)影音娛樂(lè)軟件的使用； BT、迅雷等P2P下載軟件對(duì)帶寬的嚴(yán)重占用，都需要進(jìn)行有效的管理和控制。3.阻擋不良站點(diǎn)訪(fǎng)問(wèn)和風(fēng)險(xiǎn)言論發(fā)布公網(wǎng)上的資源良莠不齊，存在著大量的色情，暴力，反動(dòng)等網(wǎng)站，對(duì)于內(nèi)蒙古廣電來(lái)說(shuō)，尤其需要對(duì)其內(nèi)網(wǎng)用戶(hù)所訪(fǎng)問(wèn)的公網(wǎng)站點(diǎn)進(jìn)行嚴(yán)格管理和控制；對(duì)于內(nèi)網(wǎng)用戶(hù)向公網(wǎng)發(fā)布的各種言論，如何過(guò)濾，對(duì)于發(fā)布到公網(wǎng)的言論信息也需要進(jìn)行詳細(xì)記錄，以備事后審計(jì)。4.保證客戶(hù)端的安全性由于內(nèi)網(wǎng)用戶(hù)的機(jī)器沒(méi)有限制，對(duì)于用戶(hù)是否安裝殺毒軟件一無(wú)所知，也無(wú)法控制，所以無(wú)法保證在上網(wǎng)時(shí)的安全性，導(dǎo)致很容易從訪(fǎng)問(wèn)網(wǎng)站中感染病毒，木馬、被強(qiáng)制安裝插件等不安全因素。5.統(tǒng)計(jì)內(nèi)網(wǎng)的使用狀況管理員無(wú)從得知網(wǎng)絡(luò)的使用情況，只能根據(jù)內(nèi)網(wǎng)用戶(hù)反映，統(tǒng)計(jì)最多只能簡(jiǎn)單的記錄一些ip訪(fǎng)問(wèn)情況，對(duì)于細(xì)致的帶寬占用情況無(wú)法得知。6.記錄用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為對(duì)于內(nèi)網(wǎng)用戶(hù)發(fā)生的各種網(wǎng)絡(luò)訪(fǎng)問(wèn)行為，如訪(fǎng)問(wèn)了哪些公網(wǎng)網(wǎng)站、向公網(wǎng)論壇、BBS、發(fā)布了什么言論、發(fā)送的Email郵件信息等等行為需要進(jìn)行記錄，以便能具體到哪一位責(zé)任人。7.日志的海量存儲(chǔ)和查詢(xún)對(duì)于內(nèi)蒙古廣電來(lái)說(shuō)，每天能夠記錄的用戶(hù)公網(wǎng)訪(fǎng)問(wèn)行為信息量將是巨大的，對(duì)于已經(jīng)記錄的海量日志信息，通過(guò)怎樣的方式進(jìn)行方便和靈活的查詢(xún)，上網(wǎng)記錄能分時(shí)間段和帳號(hào)進(jìn)行查詢(xún)并打印，這都是公司迫切需要解決的問(wèn)題。三針對(duì)內(nèi)蒙古廣電網(wǎng)絡(luò)整改的建議1.AC上網(wǎng)行為管理設(shè)備功能介紹：1.1.1 識(shí)別：識(shí)別是管理的基礎(chǔ)識(shí)別作為管理的基礎(chǔ)，是上網(wǎng)行為管理產(chǎn)品功能是否健全的有利保障。SANGFOR AC上網(wǎng)行為管理具有強(qiáng)大的識(shí)別功能?；谟脩?hù)識(shí)別的功能支持以IP、MAC、IP/MAC綁定、用戶(hù)名密碼、USB-Key識(shí)別，公用賬號(hào)認(rèn)證，同時(shí)支持LDAP認(rèn)證、Radius認(rèn)證、POP3認(rèn)證、WEB認(rèn)證等等，其中WEB認(rèn)證支持以windows認(rèn)證框方式實(shí)現(xiàn)web認(rèn)證也支持以HTTP POST方式實(shí)現(xiàn)web認(rèn)證。其次SANGFOR AC還能夠?qū)K端進(jìn)行識(shí)別，包括用戶(hù)操作系統(tǒng)的版本、補(bǔ)丁、系統(tǒng)進(jìn)程、系統(tǒng)文件、注冊(cè)表、自定義的腳本、識(shí)別規(guī)則與或的組合等等。面對(duì)互聯(lián)網(wǎng)應(yīng)用的不斷擴(kuò)大，SANGFOR AC具備強(qiáng)大的應(yīng)用識(shí)別功能，能幫助客戶(hù)識(shí)別各種互聯(lián)網(wǎng)應(yīng)用，特別是目前SSL加密網(wǎng)頁(yè)越來(lái)越多?；陉P(guān)鍵字、流特征、深度內(nèi)容檢測(cè)、關(guān)聯(lián)識(shí)別等等技術(shù)的應(yīng)用，能夠識(shí)別SSL加密的網(wǎng)頁(yè)、IM聊天軟件、P2P、流媒體、炒股等等多種應(yīng)用。而經(jīng)過(guò)SSL加密的論壇/BBS發(fā)帖、webmail外發(fā)郵件、SMTP/POP3，AC都能對(duì)其進(jìn)行識(shí)別。1.1.2 控制功能：細(xì)致的訪(fǎng)問(wèn)控制，有效管理用戶(hù)上網(wǎng)對(duì)于內(nèi)網(wǎng)用戶(hù)的網(wǎng)頁(yè)訪(fǎng)問(wèn)行為，AC不僅通過(guò)內(nèi)置URL庫(kù)，關(guān)鍵字過(guò)濾等方式進(jìn)行管控。對(duì)于采用SSL加密的網(wǎng)頁(yè)，如釣魚(yú)網(wǎng)站等，AC的證書(shū)驗(yàn)證鏈接黑白名單技術(shù)同樣可以管控。AC不僅管理用戶(hù)使用WEB、FTP、EMAIL等常用服務(wù)，通過(guò)深度內(nèi)容檢測(cè)技術(shù)，實(shí)現(xiàn)對(duì)QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線(xiàn)影音工具，網(wǎng)絡(luò)游戲，在線(xiàn)炒股等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理和控制。針對(duì)目前P2P行為泛濫的趨勢(shì)，SANGFOR AC的P2P智能識(shí)別技術(shù)能夠?qū)Σ怀Ｓ玫?、未?lái)可能出現(xiàn)的P2P軟件進(jìn)行有效管控。并且對(duì)P2P行為嚴(yán)重吞噬帶寬資源的問(wèn)題，提供流量控制功能。AC所具備的多種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制功能，可以基于用戶(hù)/用戶(hù)組、基于時(shí)間段、基于不同目標(biāo)行為進(jìn)行靈活權(quán)限控制，實(shí)現(xiàn)人性化管理要求。1.1.3 帶寬及流量管理功能：強(qiáng)大流量分析及帶寬劃分與分配SANGFOR AC的多線(xiàn)路復(fù)用專(zhuān)利技術(shù)使一臺(tái)AC可同時(shí)連接四條公網(wǎng)線(xiàn)路，擴(kuò)展帶寬、互為備份、流量負(fù)載均衡。通過(guò)部署SANGFOR AC網(wǎng)關(guān)，可實(shí)現(xiàn)智能化選擇最快的出口線(xiàn)路，有利于上網(wǎng)速度的提升。SANGFOR AC支持父通道中嵌套子通道，可支持8級(jí)子通道，最多能形成11級(jí)流量通道，為用戶(hù)提供細(xì)致的流量管理手段，實(shí)現(xiàn)大流量劃分成小流量通道，分級(jí)管理。IT管理者需要詳細(xì)了解當(dāng)前帶寬資源的使用情況，這可以通過(guò)訪(fǎng)問(wèn)AC的數(shù)據(jù)中心實(shí)現(xiàn)，如查看指定時(shí)間周期內(nèi)應(yīng)用流量分布情況，用戶(hù)流量分布和排名等。下一步IT管理者就需要對(duì)非業(yè)務(wù)流量如P2P行為等進(jìn)行帶寬限制，對(duì)領(lǐng)導(dǎo)的視頻會(huì)議系統(tǒng)等業(yè)務(wù)流量需求進(jìn)行滿(mǎn)足，這通過(guò)AC智能流量管理系統(tǒng)輕松實(shí)現(xiàn)，基于不同用戶(hù)/用戶(hù)組、時(shí)間段、應(yīng)用類(lèi)型/網(wǎng)站類(lèi)型/上傳下載文件類(lèi)型、結(jié)合QoS優(yōu)先級(jí)機(jī)制，進(jìn)行帶寬劃分和分配，實(shí)現(xiàn)帶寬資源利用率的最大化。1.1.4 監(jiān)控與審計(jì)功能：防止機(jī)密信息泄漏和法律違規(guī)事件談到安全時(shí)多數(shù)人只關(guān)注外網(wǎng)安全，但其實(shí)機(jī)構(gòu)的信息資產(chǎn)更多的是通過(guò)內(nèi)部泄漏的。SANGFOR AC關(guān)完善的訪(fǎng)問(wèn)審計(jì)和監(jiān)控功能有效防止信息通過(guò)Internet泄漏。對(duì)郵件類(lèi)型應(yīng)用采用深信服“郵件延遲審計(jì)”專(zhuān)利技術(shù)保證先審計(jì)后發(fā)送；對(duì)于通過(guò)Webmail發(fā)送郵件，AC全面記錄郵件正文和附件等；對(duì)于QQ、MSN、Gtalk等聊天內(nèi)容提供全面記錄功能；對(duì)于BBS、論壇發(fā)帖不僅根據(jù)關(guān)鍵字進(jìn)行過(guò)濾，成功發(fā)布的內(nèi)容也能全面記錄；內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)的URL地址、網(wǎng)頁(yè)標(biāo)題、甚至整個(gè)網(wǎng)頁(yè)內(nèi)容，AC也能完全監(jiān)控和記錄等。值得一提的是對(duì)于經(jīng)過(guò)SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3，AC也都可以基于關(guān)鍵字過(guò)濾和內(nèi)容審計(jì)記錄；SANGFOR AC的訪(fǎng)問(wèn)審計(jì)/監(jiān)控模塊為機(jī)構(gòu)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障。針對(duì)不同的用戶(hù)、用戶(hù)組，通過(guò)數(shù)據(jù)簡(jiǎn)單的勾選，即可完成差異化的行為審計(jì)功能：而高層領(lǐng)導(dǎo)的網(wǎng)絡(luò)行為、收發(fā)的Email等關(guān)乎機(jī)構(gòu)的發(fā)展命運(yùn)，AC通過(guò)業(yè)界獨(dú)有的“免審計(jì)Key”技術(shù)，從底層免除對(duì)其行為的監(jiān)控和記錄，達(dá)到全面和靈活的統(tǒng)一。為了防止企業(yè)的數(shù)據(jù)中心的日志被隨意查看而引發(fā)員工隱私被泄露的情況發(fā)生，SANGFOR AC配備專(zhuān)門(mén)的“日志審計(jì)KEY”，保護(hù)日志信息不會(huì)被無(wú)關(guān)人員進(jìn)行窺視。此外SANGFOR AC還具備實(shí)時(shí)監(jiān)控功能，在實(shí)時(shí)應(yīng)用流量排行界面點(diǎn)擊某一個(gè)應(yīng)用即可自動(dòng)彈出該應(yīng)用流量的用戶(hù)排名情況。實(shí)時(shí)用戶(hù)流量排行界面可針對(duì)單個(gè)用戶(hù)實(shí)現(xiàn)用戶(hù)的應(yīng)用流量排行情況的頁(yè)面跳轉(zhuǎn)。此外AC還支持實(shí)時(shí)連接監(jiān)控，顯示用戶(hù)的所有會(huì)話(huà)連接狀況。1.1.5 提醒功能：智能化自動(dòng)提醒 在企業(yè)管理工作中，員工的工作意識(shí)是非常重要的。怎樣才能高效的提醒員工工作時(shí)間不要從事和工作無(wú)關(guān)的事情？SANGFOR AC具有強(qiáng)大的智能提醒功能，可細(xì)分到每個(gè)指定用戶(hù)的某個(gè)指定的應(yīng)用。對(duì)用戶(hù)上網(wǎng)時(shí)間長(zhǎng)短、上網(wǎng)流量大小進(jìn)行記錄，一旦用戶(hù)超過(guò)設(shè)定的這個(gè)值，AC可自動(dòng)彈出提醒頁(yè)面，便于員工自覺(jué)規(guī)范上網(wǎng)行為，大大降低了管理者的工作量。其中還可設(shè)置AC多長(zhǎng)時(shí)間對(duì)上網(wǎng)流量進(jìn)行統(tǒng)計(jì)。SANGFOR AC還具有固定時(shí)間間隔再次提醒功能，支持自定義時(shí)間間隔再次提醒用戶(hù)控制自己的上網(wǎng)行為。另外SANGFOR AC支持自定義公告頁(yè)面的內(nèi)容，可針對(duì)不同情況設(shè)置不同情境的語(yǔ)言，這種人性化的設(shè)計(jì)使得管理員可根據(jù)企業(yè)員工上網(wǎng)情況給予不同的程度的警示。豐富、易用的智能化提醒平臺(tái)：從上圖可知SANGFOR AC上網(wǎng)時(shí)間、上網(wǎng)流量提醒功能都支持根據(jù)各種不同的應(yīng)用類(lèi)型進(jìn)行控制。比如企業(yè)方想嚴(yán)格的設(shè)置P2P下載行為、在線(xiàn)流媒體等行為提醒，管理員就可設(shè)置對(duì)其流速控制在一個(gè)很小范圍內(nèi)，統(tǒng)計(jì)時(shí)間也可以設(shè)置一個(gè)相對(duì)較小的值，實(shí)現(xiàn)短時(shí)間統(tǒng)計(jì)，小流量限制策略來(lái)提醒員工。1.1.6 報(bào)表和檢索：直觀(guān)的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)、報(bào)表和海量日志檢索機(jī)構(gòu)內(nèi)網(wǎng)用戶(hù)每天的各種行為日志記錄可達(dá)數(shù)十G，SANGFOR AC通過(guò)外置數(shù)據(jù)中心實(shí)現(xiàn)了日志的海量存儲(chǔ)。強(qiáng)大的數(shù)據(jù)中心允許管理者分組、分用戶(hù)、規(guī)則、協(xié)議等多種查詢(xún)對(duì)象，按餅圖、柱狀圖、曲線(xiàn)圖等方式進(jìn)行查詢(xún)，可直觀(guān)地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、安全日志等詳細(xì)信息，并可直接打印和導(dǎo)出報(bào)表。SANGFOR AC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出機(jī)構(gòu)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。而如何從機(jī)構(gòu)存儲(chǔ)的上千G的海量日志中搜尋、審計(jì)IT管理者感興趣的內(nèi)容，甚至是查找內(nèi)網(wǎng)用戶(hù)的泄密證據(jù)、法律違規(guī)證據(jù)？AC數(shù)據(jù)中心提供的內(nèi)容檢索工具，通過(guò)類(lèi)似Google的界面，讓您輕松實(shí)現(xiàn)。另外為了防止數(shù)據(jù)中心中海量行為日志被濫用，AC提供了“數(shù)據(jù)中心認(rèn)證Key”，只有插入該Key認(rèn)證的管理員才能審計(jì)、查詢(xún)指定用戶(hù)組的行為日志。1.1.7 安全增值功能：全面提升內(nèi)網(wǎng)安全級(jí)別作為一個(gè)全面的內(nèi)網(wǎng)管理設(shè)備，SANGFOR AC還提供了豐富的安全增值功能。除強(qiáng)大的防火墻模塊外，SANGFOR AC還集成來(lái)自歐洲領(lǐng)先病毒廠(chǎng)商F-PROT殺毒引擎，對(duì)內(nèi)網(wǎng)用戶(hù)接收的郵件、訪(fǎng)問(wèn)的網(wǎng)頁(yè)、下載的文件進(jìn)行病毒過(guò)濾，降低內(nèi)網(wǎng)用戶(hù)感染病毒的風(fēng)險(xiǎn)。防DOS攻擊功能，不僅防御來(lái)自公網(wǎng)的DOS攻擊，對(duì)于發(fā)生于內(nèi)網(wǎng)的DOS攻擊同樣提供了徹底的防御；防ARP欺騙，讓機(jī)構(gòu)遭遇的整個(gè)子網(wǎng)用戶(hù)無(wú)法上網(wǎng)的故障得以根除。AC具備的網(wǎng)絡(luò)準(zhǔn)入規(guī)則專(zhuān)利技術(shù)，將按照管理員預(yù)定策略，檢測(cè)內(nèi)網(wǎng)接入終端設(shè)備的操作系統(tǒng)版本，操作系統(tǒng)補(bǔ)丁、防毒/防火墻軟件安裝和更新?tīng)顩r、注冊(cè)表、硬盤(pán)文件、后臺(tái)進(jìn)程等，只有符合安全要求的終端設(shè)備才允許接入Internet，修復(fù)了內(nèi)網(wǎng)的安全短板。危險(xiǎn)流量識(shí)別；內(nèi)網(wǎng)終端感染木馬、間諜軟件后往往通過(guò)網(wǎng)頁(yè)、郵件、FTP端口與公網(wǎng)黑客通信，造成被動(dòng)泄密，遠(yuǎn)程遙控等問(wèn)題；AC能識(shí)別、報(bào)警、并阻斷此類(lèi)行為。網(wǎng)關(guān)防毒功能成F-PORT的殺毒引擎；可支持HTTP、POP3、SMTP、FTP等協(xié)議數(shù)據(jù)的網(wǎng)絡(luò)防殺毒功能查殺壓縮文件支持對(duì)壓縮包的病毒查殺（包括zip、rar、gzip、tar、bz2等）殺毒豁免支持對(duì)指定網(wǎng)站的免病毒檢查；支持僅對(duì)指定的文件類(lèi)型進(jìn)行病毒查殺病毒庫(kù)升級(jí)支持殺毒引擎在線(xiàn)自動(dòng)升級(jí)；支持用戶(hù)手工升級(jí)病毒庫(kù)防DOS攻擊功能不僅防止來(lái)自外網(wǎng)的DOS攻擊行為，還能防范來(lái)自?xún)?nèi)網(wǎng)的DOS攻擊，偵測(cè)出內(nèi)部發(fā)起攻擊的終端，并提供對(duì)該終端在指定時(shí)間段內(nèi)的凍結(jié)和封鎖防ARP欺騙無(wú)需第三方軟件，實(shí)現(xiàn)對(duì)終端用戶(hù)和網(wǎng)關(guān)的雙向防ARP欺騙功能網(wǎng)絡(luò)準(zhǔn)入規(guī)則提供網(wǎng)絡(luò)準(zhǔn)入規(guī)則，保證只有安裝了指定的防毒軟件和指定系統(tǒng)補(bǔ)丁（和檢查注冊(cè)表，硬盤(pán)文件，后臺(tái)進(jìn)程等）的主機(jī)才能使用Internet，大大減少主機(jī)被植入釣魚(yú)軟件和木馬的風(fēng)險(xiǎn)作為部署于機(jī)構(gòu)網(wǎng)絡(luò)出口處的核心網(wǎng)絡(luò)設(shè)備，SANGFOR AC網(wǎng)關(guān)支持雙機(jī)熱備、多路橋接、Bypass功能等，為組織提供了高可用、高可靠的上網(wǎng)行為管理解決方案。SANGFOR AC通過(guò)多種管控、審計(jì)及安全增值功能，管控內(nèi)網(wǎng)用戶(hù)上網(wǎng)行為，改善內(nèi)網(wǎng)環(huán)境，提升帶寬價(jià)值。2.針對(duì)存在問(wèn)題建議實(shí)現(xiàn)的配置功能2.1：完善內(nèi)部用戶(hù)管理制度，實(shí)現(xiàn)內(nèi)網(wǎng)用戶(hù)管理透明化，可以有針對(duì)性的進(jìn)行點(diǎn)對(duì)點(diǎn)的管理，以解決內(nèi)網(wǎng)用戶(hù)管理混亂，用戶(hù)身份不明的現(xiàn)狀。具體通過(guò)以下幾點(diǎn)實(shí)現(xiàn)：1.針對(duì)部門(mén)劃分策略組：建議內(nèi)蒙古廣電內(nèi)網(wǎng)按照部門(mén)分IP段劃分，針對(duì)固定IP實(shí)現(xiàn)每位用戶(hù)的IP與MAC的綁定，如果內(nèi)網(wǎng)用戶(hù)隨意更改本機(jī)的IP，設(shè)備就會(huì)禁止該用戶(hù)接入互聯(lián)網(wǎng)絡(luò)，同時(shí)，由于內(nèi)網(wǎng)用戶(hù)的IP/MAC實(shí)現(xiàn)了綁定，在后期針對(duì)不同的用戶(hù)組，實(shí)行不同的策略及審計(jì)功能，在查看AC設(shè)備的日志時(shí)，可以有效的查閱每位內(nèi)網(wǎng)用戶(hù)的上網(wǎng)行為。2.實(shí)行多層次的認(rèn)證設(shè)置：首先，針對(duì)固定用戶(hù)實(shí)行分段按部門(mén)進(jìn)行認(rèn)證，實(shí)現(xiàn)內(nèi)網(wǎng)固定用戶(hù)的認(rèn)證。其次，針對(duì)外來(lái)用戶(hù)或者臨時(shí)用戶(hù)，實(shí)現(xiàn)通過(guò)WEB四安裝和實(shí)施及售后： 深信服與內(nèi)蒙古廣電公司商定實(shí)施工期、制定實(shí)施計(jì)劃和驗(yàn)收標(biāo)準(zhǔn)。組織實(shí)施人員進(jìn)行AC設(shè)備的安裝、調(diào)試、調(diào)優(yōu)工作，建立合理的項(xiàng)目建設(shè)機(jī)制，保證工程的安裝服務(wù)質(zhì)量。實(shí)施結(jié)束后，如果日公司驗(yàn)收不合格，則由深信服負(fù)責(zé)找出原因并改進(jìn)，直至驗(yàn)收合格。驗(yàn)收完畢后提供完整的技術(shù)文檔，內(nèi)容包括：系統(tǒng)的信息記錄、操作維護(hù)、調(diào)試的方法以及常見(jiàn)故障處理等等。4.2 技術(shù)服務(wù)支持 一年免費(fèi)電話(huà)支持服務(wù)：免費(fèi)技術(shù)支持熱線(xiàn)：800-830-6430深信服公司提供以上技術(shù)支持熱線(xiàn)的724小時(shí)技術(shù)支持服務(wù)遠(yuǎn)程技術(shù)支持服務(wù)驗(yàn)收合格1年內(nèi)，深信服科技免費(fèi)提供遠(yuǎn)程技術(shù)支持服務(wù)，即：出現(xiàn)網(wǎng)絡(luò)故障，通過(guò)電話(huà)支持無(wú)法解決的情況下，可通過(guò)遠(yuǎn)程調(diào)試技術(shù)支持服務(wù)予以協(xié)助解決。提供時(shí)間：星期一到星期五：每天8:3021:00星期六：9:0018:00 設(shè)備更換 驗(yàn)收合格1年內(nèi)，由非人為因素造成的設(shè)備損壞，深信服科技負(fù)責(zé)予以免費(fèi)更換及現(xiàn)場(chǎng)安裝調(diào)試；由人為因素造成的設(shè)備損壞，深信服科技負(fù)責(zé)提供備件予以更換，并提供現(xiàn)場(chǎng)安裝調(diào)試服務(wù)，備件價(jià)格可向深信服索取。設(shè)備升級(jí)1年質(zhì)保期內(nèi)，如內(nèi)蒙古廣電同型號(hào)設(shè)備有任何升級(jí)動(dòng)作，深信服將在第一時(shí)間告知內(nèi)蒙古廣電并建議升級(jí)。所有升級(jí)工作將由深信服工程師完成。上門(mén)服務(wù) 驗(yàn)收合格1年內(nèi)，深信服公司提供5次上門(mén)維護(hù)。在出現(xiàn)網(wǎng)絡(luò)故障，電話(huà)支持、遠(yuǎn)程協(xié)助等方式無(wú)法解決的情況下，Sinfor工程師會(huì)在您提出上門(mén)要求后，2小時(shí)內(nèi)予以響應(yīng)并趕赴現(xiàn)場(chǎng)，幫助解決相關(guān)的故障。如果上述區(qū)域之外的客戶(hù)要求提供上門(mén)服務(wù)，需支付深信服工程師相應(yīng)的差旅、住宿費(fèi)用。如果一年內(nèi)深信服上門(mén)服務(wù)次數(shù)已達(dá)5次，客戶(hù)還要求繼續(xù)提供上門(mén)服務(wù)時(shí)，深信服將按照#元/人天 的標(biāo)準(zhǔn)收取服務(wù)費(fèi)用。質(zhì)保期后服務(wù)承諾 一年質(zhì)保期后深信服科技繼續(xù)提供免費(fèi)電話(huà)支持服務(wù)。需求方并可和深信服科技簽訂維護(hù)保障合同，服務(wù)內(nèi)容同上，金額按本次合同金額的 #計(jì)算。4.3 使用培訓(xùn) 深信服負(fù)責(zé)對(duì)用戶(hù)進(jìn)行客戶(hù)端操作使用培訓(xùn)。深信服負(fù)責(zé)對(duì)系統(tǒng)管理員進(jìn)行培訓(xùn)，使其掌握設(shè)備配置、日常維護(hù)的方法和技巧，并可獨(dú)立進(jìn)行操作、糾錯(cuò)處理，保證網(wǎng)絡(luò)開(kāi)通后的正常安全運(yùn)行。五典型客戶(hù)案例：1 相關(guān)案例介紹 富陽(yáng)市政府使用SINFOR AC提升工作效率和帶寬使用效率隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和政府信息化工程的推進(jìn)，浙江省富陽(yáng)市政府也加大了對(duì)信息化建設(shè)的投入，建立并完善了一整套政府辦公網(wǎng)絡(luò)及相應(yīng)的業(yè)務(wù)應(yīng)用系統(tǒng)。但隨著上網(wǎng)條件的改善，互聯(lián)網(wǎng)的雙刃劍特性也展露無(wú)遺。由于缺乏相應(yīng)的上網(wǎng)行為管控手段，內(nèi)網(wǎng)用戶(hù)的互聯(lián)網(wǎng)行為得不到有效地引導(dǎo)和管理，影響了工作效率；并且P2P下載、在線(xiàn)影視等無(wú)關(guān)行為嚴(yán)重吞噬了寶貴的帶寬資源。如何提升工作效率和帶寬使用效率，這正是深信服科技SINFOR AC為富陽(yáng)市政府帶來(lái)的價(jià)值。SINFOR AC的部署，為內(nèi)網(wǎng)不同部門(mén)、不同用戶(hù)授予了差異化的互聯(lián)網(wǎng)訪(fǎng)問(wèn)權(quán)限，在保障其業(yè)務(wù)和工作開(kāi)展的同時(shí)，避免了各種無(wú)關(guān)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為；而SINFOR AC的P2P智能檢測(cè)技術(shù)在富陽(yáng)市政府大顯身手，不僅將內(nèi)網(wǎng)用戶(hù)使用的常見(jiàn)的BT、電騾、PPLive、QQLive等進(jìn)行精確識(shí)別和管控，對(duì)于不常見(jiàn)的P2P行為也進(jìn)行了完善的流量限制，既允許用戶(hù)使用P2P工具，同時(shí)又對(duì)其占用的帶寬進(jìn)行合理劃分，SINFOR AC在用戶(hù)滿(mǎn)意度和帶寬使用效率之間找到了理想的平衡點(diǎn)。在部署SINFOR AC上網(wǎng)行為管理解決方案后，富陽(yáng)市政府再次選擇部署SINFOR SSLVPN移動(dòng)辦公解決方案，進(jìn)一步提升政府公務(wù)員的工作效率，為群眾提供更及時(shí)、更貼心的服務(wù)。長(zhǎng)虹集團(tuán)選用SINFOR AC避免法律風(fēng)險(xiǎn)、提升工作效率長(zhǎng)虹始創(chuàng)于1958年；2005年，長(zhǎng)虹跨入世界品牌500強(qiáng)；2007年，長(zhǎng)虹品牌價(jià)值達(dá)到583.25億元。長(zhǎng)虹現(xiàn)有員工六萬(wàn)四千余人，在中國(guó)30多個(gè)省市區(qū)設(shè)立200余個(gè)營(yíng)銷(xiāo)分支機(jī)構(gòu)，于國(guó)際上10數(shù)個(gè)國(guó)家和地區(qū)設(shè)立分支機(jī)構(gòu)，為全球100多個(gè)國(guó)家和地區(qū)提供產(chǎn)品與服務(wù)。作為一個(gè)擁有數(shù)萬(wàn)名員工、信息化程度極高的制造型企業(yè)，長(zhǎng)虹集團(tuán)像眾多企事業(yè)單位一樣面臨諸多困擾。員工在工作時(shí)間上網(wǎng)娛樂(lè)、購(gòu)物等，嚴(yán)重影響了員工的工作效率；而P2P行為的泛濫，吞噬了集團(tuán)寶貴的帶寬資源。SINFOR AC的使用幫助長(zhǎng)虹制定和實(shí)施了一套適合自己的互聯(lián)網(wǎng)使用政策，把與工作無(wú)關(guān)的上網(wǎng)行為降到最低，將員工聚焦于工作，提升工作效率。并且P2P封堵和限流、過(guò)濾非業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為，幫助企業(yè)最大化網(wǎng)絡(luò)基礎(chǔ)建設(shè)和帶寬的投資回報(bào)。另外，SINFOR AC的數(shù)據(jù)報(bào)表中心還支持以圖表的方式對(duì)企業(yè)網(wǎng)內(nèi)人員的上網(wǎng)行為進(jìn)行分析，并提供按時(shí)間、服務(wù)、網(wǎng)站訪(fǎng)問(wèn)、使用網(wǎng)絡(luò)流量等多種排行榜，為管理者的決策提供了有力的數(shù)據(jù)支撐。SINFOR AC 構(gòu)建中國(guó)銀行廣東省分行安全、高效的前沿網(wǎng)絡(luò)應(yīng)用銀行信息化建設(shè)一直處于各行業(yè)的前端，銀行的各項(xiàng)業(yè)務(wù)也越來(lái)越依賴(lài)于互聯(lián)網(wǎng)平臺(tái)。雖然金融系統(tǒng)網(wǎng)絡(luò)中已經(jīng)部署了較多的網(wǎng)絡(luò)安全設(shè)備，抵御來(lái)自互聯(lián)網(wǎng)的安全威脅，但內(nèi)網(wǎng)安全防范手段上還存在部分薄弱環(huán)節(jié)。試想：如果銀行職員占用上班時(shí)間BT下載，觀(guān)看在線(xiàn)電影，甚至訪(fǎng)問(wèn)不良網(wǎng)站，泄漏機(jī)密信息等，這些行為通過(guò)已部署于網(wǎng)絡(luò)出口的防火墻能實(shí)現(xiàn)對(duì)它們的控制嗎？銀行內(nèi)網(wǎng)一旦缺乏有效的管理手段必然會(huì)增加各項(xiàng)業(yè)務(wù)操作的風(fēng)險(xiǎn)，同時(shí)對(duì)工作效率的影響也非常嚴(yán)重。SINFOR AC的部署及針對(duì)性的實(shí)施，滿(mǎn)足了中國(guó)銀行廣東省分行的上網(wǎng)行為管理要求：a) 為不同部門(mén)、不同員工分配差異化網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限，提升工作效率又防泄密；b) 郵件延遲審計(jì)、IM聊天內(nèi)容記錄、外發(fā)信息審計(jì)等，保障機(jī)密信息安全；c) 過(guò)濾非法網(wǎng)站、過(guò)濾非法網(wǎng)絡(luò)言論，并提供詳細(xì)日志記錄，避免法律風(fēng)險(xiǎn)；d) 對(duì)P2P的選擇性封堵和限流，為不同部門(mén)的不同應(yīng)用行為分配帶寬資源，提升帶寬使用效率；e) 詳細(xì)日志記錄，圖形化日志統(tǒng)計(jì)、審計(jì)、報(bào)表，讓管理者輕松掌控網(wǎng)絡(luò)使用狀況和內(nèi)網(wǎng)用戶(hù)網(wǎng)絡(luò)行為分布情況。沈陽(yáng)大學(xué)選用SINFOR AC避免法律風(fēng)險(xiǎn)、打造綠色校園網(wǎng)絡(luò)沈陽(yáng)大學(xué)是一所涵蓋經(jīng)、法、教、文、史、理、工、農(nóng)、管 9 大學(xué)科門(mén)類(lèi)，以本科教育為主體，碩士研究生教育為牽動(dòng)，高等職業(yè)技術(shù)教育、繼續(xù)教育和留學(xué)生教育為補(bǔ)充的多層次辦學(xué)的綜合性大學(xué)。學(xué)校的信息化建設(shè)為校園網(wǎng)帶來(lái)了巨大的互聯(lián)網(wǎng)出口帶寬，但還是有老師和同學(xué)抱怨網(wǎng)速較慢，如何對(duì)P2P行為進(jìn)行流量管理成為信息中心迫切需要解決的問(wèn)題之一；同時(shí)其他兄弟院校因?yàn)椴粷M(mǎn)足公安部82號(hào)令相關(guān)要求，在發(fā)生網(wǎng)絡(luò)違規(guī)事件后無(wú)據(jù)可查的遭遇也提醒了沈陽(yáng)大學(xué)信息中心的老師們。SINFOR AC為沈陽(yáng)大學(xué)帶來(lái)的完善解決方案，博得了老師們的一致認(rèn)可。SINFOR AC分用戶(hù)(組)的P2P限流功能，為更多的同學(xué)和老師提供了充裕的帶寬資源；巨大網(wǎng)絡(luò)流量中潛藏的訪(fǎng)問(wèn)違法網(wǎng)站、發(fā)表不負(fù)責(zé)的網(wǎng)絡(luò)言論等行為，SINFOR AC不僅能夠及時(shí)拒絕，而且將內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)行為詳細(xì)記錄，通過(guò)第三方數(shù)據(jù)中心實(shí)現(xiàn)了海量