公司員工上網(wǎng)行為解決方案

1、上網(wǎng)行為管理及網(wǎng)絡安全解決方案一、需求概述背景需求分析隨著Internet的接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方 面也給企業(yè)帶來更 高的網(wǎng)絡使用危險性、復雜性和混亂。在IDC對全世界企業(yè)網(wǎng)絡使用情況 的調(diào)查中發(fā)現(xiàn)，在上班工作時間里 非法使用郵件、瀏覽非法Web網(wǎng)站、進行音樂/電影等BT下載或者在線收看流媒體的員工正在日益增加，令網(wǎng)絡管理者頭疼不已。據(jù)IDC的數(shù)據(jù)統(tǒng)計，企業(yè)中員工30%至40%的上網(wǎng)活動與工作無關；而來自色情網(wǎng)站訪問統(tǒng)計的分析表明：70%的色情網(wǎng)站訪問量發(fā)生在工作時間。尤其值得注意的是，中國員工比其它地區(qū)的員工每周多花7.6小時的時間 來使用IM、玩游戲、

2、P2P軟件或流動媒體?；ヂ?lián)網(wǎng)濫用，給中國企業(yè)帶來了巨大的損失。這些員工隨意使用網(wǎng)絡將導致三個問題：（1）工作效率低下、（2）網(wǎng)絡性能惡化、（3）網(wǎng)絡泄密和違法 行為。企業(yè)網(wǎng)作為一個開放的網(wǎng)絡系統(tǒng)，運行狀況愈來愈復雜。企業(yè)的IT管理者如何及時了解網(wǎng)絡運行基本狀 況，并對網(wǎng)絡整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如病毒、木馬造成的網(wǎng)絡異常），并進行快速的 故障定位，這一切都是對企業(yè)網(wǎng)信息安全管理的挑戰(zhàn)，這些問題包括：IT管理員如何對企業(yè)網(wǎng)絡效能行為進行統(tǒng)計、分析和評估？IT管理員如何限制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為（如色情網(wǎng)站），如何監(jiān)控、控制和引導員工正確使用 網(wǎng)絡？IT管理員如何杜

3、絕員工通過電子郵件、MSN等途徑泄漏企業(yè)內(nèi)部機密資料？IT管理員如何在萬一發(fā)生問題時有一個證據(jù)或依據(jù)？因此，如何有效地解決這些問題，以便提高員工的工作效率，降低企業(yè)的安全風險，減少企業(yè)的損失，已經(jīng)成為中國企業(yè)迫在眉睫的緊要任務。當前內(nèi)網(wǎng)安全管理也隨之提升到一個新的高度，在防 御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如審計、監(jiān)控、訪問控制、訪問跟蹤、流量限 制等問題也日益凸現(xiàn)。越來越多的企事業(yè)單位需要對內(nèi)網(wǎng)進行統(tǒng)一管理以調(diào)整網(wǎng)絡資源的合理利用。具體需求分析某某有限公司訪問控制詳細需求分析：隨著業(yè)務的發(fā)展，信息化建設步伐的加快，某公司網(wǎng)絡安全問題也日益嚴峻。雖然在網(wǎng)絡出口處己部署

4、了專門的防火墻設備，但無孔不入的病毒（尤其是木馬病毒）、垃圾郵件仍 然大肆泛濫，嚴重影響了企業(yè)應用系 統(tǒng)的運行和公司業(yè)務的正常運作；另外，在針對內(nèi)網(wǎng)的無法有安全方面（尤其是PC客戶端準入安全檢查），由于缺少專門的客戶端安全檢查設備， 效的保護整個局域網(wǎng)的安全性。導致員工的工作效率低最為重要的是企業(yè)對員工的網(wǎng)絡使用方面沒有很好的限制方法，下，而且BT下載嚴重影響了企業(yè)內(nèi)部關鍵應用的使用。通過對某公司需求的了解，在內(nèi)網(wǎng)行為方面在以下幾個方面需要解決。所面臨的問題：無法做到細致的訪問控制首先公司內(nèi)部辦公網(wǎng)絡有著自己的網(wǎng)絡服資源，將來又可能上其他系統(tǒng)如：OA系統(tǒng)、ERP系統(tǒng)、WEB服務器、郵件服務器等

5、。并且公司的部門、人員組成十分復雜，無法對這些用戶進行細致的分組 規(guī)定他們訪問的資源的權限。還有QQ、MSN、BT等網(wǎng)絡資源同樣無法進行有效的控制，導致用戶可以任意的使用網(wǎng)絡資源使員工效率降低，并且加大了企業(yè)的風險。無法對內(nèi)網(wǎng)用戶的網(wǎng)絡行為進行有效的監(jiān)控提到網(wǎng)絡安全問題，大多數(shù)用戶都只關注外網(wǎng)安全。但是其實企業(yè)的信息資產(chǎn)更多的不 是被黑客竊取， 而是通過內(nèi)部泄漏的。所以雖然公司內(nèi)部已經(jīng)部署了防火墻等安全設備，但 是無法對內(nèi)網(wǎng)用戶的網(wǎng)絡行為進行 有效的監(jiān)控，包括郵件、BBS上傳、下載等。沒有很好的統(tǒng)計方法，無法得知內(nèi)網(wǎng)的使用狀況管理員無法具體知道網(wǎng)絡的使用情況只能聽員工反映的情況，最多只能簡單的

6、記錄一些IP訪問情況，查尋與統(tǒng)計相當不方便。無法保證客戶端的安全性由于員工的機器沒有限制，所以無法保證在上網(wǎng)時的安全性，導致很容易從訪問網(wǎng)站中感染病毒，木 馬，等不安全因素，從而影響整個內(nèi)網(wǎng)用戶的應用。網(wǎng)絡現(xiàn)狀分析某某 有限公司目前在Internet出口處部署了防火墻設備，內(nèi)部網(wǎng)絡通過核心三層交換 機，2層交換連接 到各部門辦公區(qū)域，由于為將來可能會上OA系統(tǒng)、ERP系統(tǒng)、WEB服 務器、郵件服務器等，具體的部署結構 圖如下：目前網(wǎng)絡的使用情況：某某有限公司內(nèi)部辦公網(wǎng)絡辦公用戶大約在100人左右。在P2P流量控制方面沒有下載帶寬限制，內(nèi)網(wǎng)有很多病毒，經(jīng)常出現(xiàn)攻擊事件，內(nèi)網(wǎng)用戶上網(wǎng)權限沒有有效限

7、制等。鑒于以上情況，某某有限公司需部署一臺上網(wǎng)行為管理設備實現(xiàn)以下需求：1、對內(nèi)部用戶不同的部門劃分不同的組并給予不同的上網(wǎng)權限，如經(jīng)理以上級別的領導，要求內(nèi)網(wǎng)行為 不受限制；財務部門僅開放國稅、地稅等稅務相關網(wǎng)站，其它任何訪問In ternet的活動均受限制。2、開設公共區(qū)域，使沒有上網(wǎng)權限的用戶，可以通過自己的用戶名、密碼在這些PC上進行有限的互聯(lián)網(wǎng)活動，同時記錄每個公共區(qū)域用戶在互聯(lián)網(wǎng)上的行為。3、對終端用戶PC機上的代理軟件進行徹底封堵。4、對內(nèi)網(wǎng)用戶所有的上網(wǎng)行為，包括MSN QQ等聊天內(nèi)容以及上傳下載進行監(jiān)控審計，通過集中報表的 方式反應網(wǎng)絡的使用情況。二、解決方案AC上網(wǎng)行為管理

8、設備功能介紹控制功能：細致的訪問控制功能，有效管理用戶上網(wǎng)SINFOR AC安全網(wǎng)關不僅可以對員工訪問WEB、FTP、MAIL等常用服務的內(nèi)容進行控制，更可以對QQ、BT、MSN、SKYPE等各種P2P軟件的行為進行限制和控制。豐富的報表功能還可以分析出企 業(yè)的In ternet的詳細使用情況，為網(wǎng)絡管理員和決策者分配和了解員工網(wǎng)絡資源提供有效數(shù)據(jù)支持。基于Web的和LDAP/Radius集成的用戶認證功能，使得對上網(wǎng)用戶的管理變得十分靈活方便。表2.1:訪問控制功能一覽表功能模塊功能性能指標身份認證IP MAC綁定結合準入規(guī)則功能，可實現(xiàn)跨三層交換機的IP-MAC綁定功能WEB認證WEB認證

9、的用戶名和密碼可以使用本地用戶密碼也可以和LDAP服務器、Microsoft的AD服務器、Radius服務器，POP3服務器聯(lián)動單點登錄支持基于 Microsoft AD域的單點登陸，用戶登陸域以后，不需要再次在WEB認證頁面輸入密碼客戶端安全 檢查網(wǎng)絡準入規(guī)則對上網(wǎng)的終端進行安全檢查，可檢查是否安裝了防病毒軟件、個人防火墻軟 件或病毒庫是否升級、操作系統(tǒng)是否安裝安全補丁以及是否運行了某個不該 運行的軟件上網(wǎng)權限控 制策略管理分組、分時段，有選擇性的封堵各種上網(wǎng)行為代理檢測能識別采用Http、Https、Socks等代理服務器繞過防火墻檢查的行為，防 止訪問非法網(wǎng)站P2P控制允許管理員有選擇性

10、的封堵各種 P2P和IM軟件上網(wǎng)時長限制在用戶達到管理員設定的最長上網(wǎng)時間后拒絕該用戶對互聯(lián)網(wǎng)的繼 續(xù)訪問URL控制數(shù)十種多達300萬條URL庫，控制對危險、反動、色情等各類占點的訪問內(nèi)容過濾關鍵字過濾基于網(wǎng)址/搜索引擎以及HTTP 上傳的關鍵字過濾功能。如通過WEB發(fā)郵件、 通過BBS發(fā)表言論文件類型過濾對HTTP/ FTP上傳下載的文件做文件類型過濾郵件過濾可對發(fā)送的郵件做關鍵字、郵箱地址的過濾。保證內(nèi)部機密信息不外泄漏SSL證書過濾及控制通過對網(wǎng)站的數(shù)字證書和數(shù)字簽名進行審核和對照，利用SSL證書庫內(nèi)置的可信任證書頒布機構列表，對SSL連接的證書內(nèi)容進行可信度評估，當危險站點采用了偽造的

11、數(shù)字證書來騙取內(nèi)網(wǎng)用戶信任 時，AC可以判斷出其本來面目并進行阻斷，避免組織成員蒙受經(jīng)濟損失。（二）報表功能：強大的數(shù)據(jù)報表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計SINFOR AC網(wǎng)關擁有強大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對象，按餅圖、柱狀 圖、曲線圖等方式進行查詢，可直觀地查看到網(wǎng)絡流量、郵件、網(wǎng)絡監(jiān) 控、IPS系統(tǒng)、準入規(guī)則、防火墻等詳細 信息，并可直接打印和導出報表。SINFOR AC網(wǎng)關強大的日志系統(tǒng)和豐富的報表功能，可詳細分析出企業(yè)的In ternet的詳細使用情況，為網(wǎng)絡管理員和決策者提供了最有效的數(shù)據(jù)支持。 表2.2:數(shù)據(jù)中心功能一覽表功能詳細指標流量統(tǒng)計日志包含內(nèi)網(wǎng)

12、流量統(tǒng)計概要、組流量排行、流量日志、流量趨勢等，用餅狀、柱型 等直觀地表示網(wǎng)絡內(nèi)部的流量排名郵件日志包含郵件統(tǒng)計概要、郵件排行、郵件查詢、郵件趨勢等功能，可詳細統(tǒng)計用戶 所有收發(fā)郵件的具體情況網(wǎng)絡監(jiān)控日志包括監(jiān)控統(tǒng)計摘要、監(jiān)控排行、監(jiān)控查詢、監(jiān)控趨勢等功能。管理員可 詳細監(jiān) 控內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)資源的具體使用情況準入規(guī)則日志包括準入規(guī)則摘要、準入排行、準入查詢等功能，管理員可對內(nèi)部網(wǎng)絡 的違規(guī) 機器進行詳細統(tǒng)計和查看IPS日志包含IPS日志摘要、IPS排行、IPS查詢、IPS趨勢等功能，可顯示詳細 的網(wǎng)絡 安全情況防火墻日志包含防火墻摘要、防火墻排行、防火墻查詢、防火墻趨勢等功能，管理員可以

13、對防火墻的日志進行更為詳細地分析日志庫管理主要包含日志庫信息、日志庫查詢、日志庫切換等功能用戶管理管理員可在此新增用戶、查詢用戶（三）帶寬及流量管理功能：強大的QOS功能及流量分析SINFOR AC安全網(wǎng)關強大的訪問控制和 QOS功能可以使得企業(yè)合理利用In ternet資源，為不同的用戶分配不同的帶寬和上網(wǎng)權限，使得In ternet資源得到有效利用，并大大提高員工的工作效率。SINFOR AC安全網(wǎng)關可以詳細記錄和分析所有流量的內(nèi)容，包括http、ftp、mail、tel net等常用軟件的內(nèi)容和常用 IM軟件的內(nèi)容。另外還能按用戶、用戶組、協(xié)議和時間對In ternet 流量進行統(tǒng)計分析

14、，以優(yōu)化員工對In ternet的資源使用情況。使得企業(yè)有限的帶寬能得到最充分的利用，提高企業(yè)的網(wǎng)絡利用率。 表2.3: QOS及流量控制功能一覽表功能詳細指標QOS保證使用差分業(yè)務模型實現(xiàn)QOS使用隨機早期檢測RED丟棄算法提供流量控制流量控制能針對內(nèi)網(wǎng)每個用戶或者不問的組，限定其上網(wǎng)能占用的帶寬資源，使企業(yè)內(nèi)網(wǎng)帶寬資源得到充分有效的利用針對P2P應用采用上行流量和口下行流量得限制，保證整個網(wǎng)絡得帶 寬（四）增值的安全防護功能：多重的安全防護，給網(wǎng)內(nèi)設備予更有力的保護。強大AC的病毒防護模塊在通過網(wǎng)頁過濾、應用控制、流量合理劃分和監(jiān)控審計后，需要的就是一個和諧 的內(nèi)網(wǎng)環(huán)境。內(nèi)網(wǎng)用戶中毒，感染

15、局域網(wǎng)， 導致業(yè)務中斷，這在很多組織機構中曾經(jīng)出現(xiàn)過。AC為此為組織網(wǎng)絡從外至內(nèi)提供三道牢固的內(nèi)網(wǎng)安全防線。從進口杜絕來自外網(wǎng)的隱 患，并節(jié)省下巨額的購買防毒設備的費用。設備選型及介紹根據(jù)對某某有限公司的網(wǎng)絡結構了解，推薦使用深信服科技AC1100 上網(wǎng)行為管理設備，它隸屬于深信服上網(wǎng)行為管理AC1000產(chǎn)品系列。AC1000系列設備是中端內(nèi)網(wǎng)行為管理產(chǎn)品中的典范，是安全防范意識強、 需要管理和控制互聯(lián)網(wǎng)訪問的用戶的第一選擇。目前已經(jīng)成 功運行在政府、教育科研、電信、金融證券、電 網(wǎng)電力、石油石化、制造等行業(yè)。終上所述，AC1100上網(wǎng)行為管理設備在這個項目上是十分合適的，以下是此設備的基 本

16、性能參數(shù):SINFOR AC1100性能參數(shù)表：重要性能指標：吞吐量V 70Mbps并發(fā)會話數(shù)V 60,000并發(fā)用戶數(shù)V 100轉(zhuǎn)發(fā)時延V 0.1msBYPASS支持故障時BYPASS (可選配)設備接口具備4個1000 Base-T千兆電口至少具備一個串口尺寸標準1U硬件規(guī)格：電源功率180W尺寸(cm): 42.7(W)X 32.9(D) X 4.45(H)重量：4.5Kg1U機架式結構具體實施某某有限公司的網(wǎng)絡情況，AC系統(tǒng)部署圖如下：部署總部網(wǎng)網(wǎng)橋模式網(wǎng)橋模式將SINFOR AC等同于一根連接在網(wǎng)關和交換機之間的“智能網(wǎng)線”。此部署模式帶來的價值在于：1、可以對所有流經(jīng)AC的數(shù)據(jù)流進

17、行審計、管理和控制。2、對企業(yè)內(nèi)部原有的網(wǎng)絡部署結構無需任何改變，只需要分配一條網(wǎng)線即可。三、方案優(yōu)點及價值某某有限公司的需求，通過深信服科技的上網(wǎng)行為管理Sinfor AC1100的具體實施，帶來以下價值：3.1管理網(wǎng)絡帶寬網(wǎng)絡流量管理AC上網(wǎng)行為管理產(chǎn)品通過審計、控制、優(yōu)化和帶寬疊加等功能，協(xié)助管理者全面 分析和優(yōu)化廣域網(wǎng)帶寬 資源。AC的數(shù)據(jù)中心(Network Data Center，NDC )對局域網(wǎng)發(fā)生的所有網(wǎng)絡行為進行記 錄、分析和趨 勢報告。借助圖形化的數(shù)據(jù)和報表，用戶可以直觀地了解到哪些服務占用了廣域網(wǎng)寶貴的帶寬資源，網(wǎng)頁瀏覽，收發(fā)郵件，還是瘋狂的P2P下載。同樣，我們還可以

18、了解到哪個員工在網(wǎng)上購物方面表現(xiàn)出了異于常人的活躍，哪些部門在上班時間觀看了最多的在線影片。通過對網(wǎng)絡使用情況的深入了解，管理者能夠制定出最適合自身組織機構情況和的互聯(lián)網(wǎng)訪問策略。由于AC提供對各種網(wǎng)絡服務的攔截和管理，以往的拔網(wǎng)線、通報點名的強制性手段將成為過去，如何發(fā)揮AC的強大功能只取決于你的決心。如果你在“徹底封殺某個服務”，還是“完全放開這項服務”的決定中搖擺不定(例如P2P下載，其吞噬帶寬的同時也帶給了我們豐富的信息資 源)，你也可以選擇對應用的流量進行調(diào)整。P2P軟件的控制P2P技術使人們可以高速獲取海量的網(wǎng)絡資源，而 P2P軟件對帶寬的占用也使其招致種種惡言。一個2M以太網(wǎng)出口

19、的局域網(wǎng)，只要有2個以上的員工不限速地使用BT,所有人的正常網(wǎng)絡瀏覽都將成為不可完成的任務(Mission Impossible )。每天，互聯(lián)網(wǎng)上都會有人發(fā)布最新的P2P軟件，這讓大多數(shù)的P2P控制工具望塵莫及，它們往往只能封堵“昨天的BT軟件”。AC改變了這一切。通過對P2P下載軟件的智能檢測(專利號：200610156977.8 )，管理員甚至可以徹底封鎖所有的P2P流量。如果你不想做的太絕，你可以選擇針對特定用戶和相應的P2P工具進行流量控制，只要不超出網(wǎng)絡使用者的容忍程度，大多數(shù)用戶還是 可以允許內(nèi)網(wǎng)中存在P2P下載。保障內(nèi)容安全攔截不良網(wǎng)頁AC設備內(nèi)置了可自動更新的分類URL庫，其

20、中包含了海量的成人、暴力、反動和惡意網(wǎng)站信息，這有 助于將不健康和包含潛在威脅的網(wǎng)站攔截在外。由于每天互聯(lián)網(wǎng)都會涌現(xiàn)出大量的站點，AC的URL庫也提 供了使用者分享功能，用戶可以在AC的URL庫自定義需要被攔截的URL。通過對URL的阻攔，可大大地 降低了內(nèi)網(wǎng)用戶對不良Web頁面的訪 問。對于很多URL過濾設備無法控制的SSL加密頁面，AC同樣能夠施展拳腳。很多釣魚網(wǎng)頁偽造成網(wǎng)上銀 行企圖騙取出用戶的銀行卡密碼和資金，通過在AC中導入和設定SSL證書和鏈接的黑白名單和證書時效性確 認，將有力地避免網(wǎng)絡行騙者使用的伎倆。這對使用SSL方式進行加密的反動、色情、邪教等網(wǎng)站同樣有 效。提高生產(chǎn)效率U

21、RL匹配策略在工作時間里，員工往往在從事私人活動，這是辦公室眾人皆知的秘密。管理者和 決策者許能夠影響一個 員工的生活質(zhì)量和職業(yè)方向，但卻難以阻止員工在上班時間通過網(wǎng)絡投遞簡歷或在虛擬社區(qū)中開Party，這 些都是隨機而難以控制的。AC提供基于角色的管理 方法，你可以讓你的員工和部門在工作時間訪問特定的 網(wǎng)站，例如提供行業(yè)信息的網(wǎng)站、合 作伙伴鏈接和公司的門戶網(wǎng)站，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將是被拒 絕的。IM （即時通訊）軟件的管理在工作時間，太多的人在使用聊天工具，也許在和同事討論工作，也許更多時間在同家 人、朋友甚至 是陌生人聊天搭訕。你無法確定員工何時使用IM談業(yè)務，何時用來聊私人話題

22、。當管理者無所侍從時會想到如何來屏蔽聊天工具，網(wǎng)管員或一些工具通過將聊天軟件使用的服務器加入 黑名單來杜絕IM的使用。但聊天工具層出不窮，QQ、MSN、Skype、Yahoo ！ Messenger、ICQ，封服 務器地址最大的特色就是治標不治本，而且會浪費大量得到 時間。AC通過對聊天工具網(wǎng)絡訪問規(guī)律和特征代 碼的深入分析，實現(xiàn)了對聊天工具的全面 控制。AC不僅可以對特定的聊天軟件進行封堵，還可以記錄通話信 息，管理聊天軟件的文 件傳輸。對于聊天軟件擴展的相關應用程序，例如游戲、視頻等同樣可以做到封鎖和控 制。對各種應用的管理 互聯(lián)網(wǎng)的成員有著各種興趣和愛好，僅實現(xiàn)對IM和URL的訪問控制對

23、一個亟待完善 管理的網(wǎng)絡來說還遠遠不夠。視頻、語音、圖片、文檔也同樣被大量的上傳和下載。你的員工可能剛進辦公室 就迫不及待地下載一部電視劇，因為他昨天下午只欣賞了前兩集；還有的員工會利用上班時間更新自己博客 中的文章和照片，雖然這段時間你更希望他（她）做一些和工作相關的事情。對于上述的問題，AC同樣 能夠?qū)崿F(xiàn)上傳和下載管理，避免員工在網(wǎng)上 花費大量的時間來從事娛樂活動。上網(wǎng)時間管理每個組織都有朝九晚五的工作時間安排，彈性工作時間的制定讓員工能夠更合理地安排工作內(nèi)容，讓組 織更有效率也更富人情味。同樣，將員工每天接觸的互聯(lián)網(wǎng)訪問時間也進行 合理有序的安排，也是專業(yè)的 網(wǎng)絡行為管理設備應該考慮的問

24、題。通過AC對員工個人和部而對于希望通過某種手段門的上網(wǎng)計時管理，你可以合理安排各個成員和部門的上網(wǎng)時間。 來實現(xiàn)上網(wǎng)計費的組織，這個功能也極具擴展價值。規(guī)避法律風險外發(fā)信息控制辦公室中有太多的信息，無論是涉及組織生死存亡的機密資料還是總裁辦公室的八卦新 聞，員工們總是希望一吐為快。除了打電話和寫信，他們現(xiàn)在有更多的選擇，即時通訊軟件、郵件、BBS 論壇、個人博客等，都為傾訴和抱怨提供了 Anywhere、Anytime To Anyone的條件。同時，各種組織都存 在人員的流動性問題，組織的商業(yè)合作伙伴、投資人、審計員乃至新員工隨時都可能接入內(nèi)網(wǎng)，他們可以通過 網(wǎng)上鄰居下載機密的財務報表或人

25、事檔案，再打包發(fā)到互聯(lián)網(wǎng)的某一個角落。組織需要一個完整的認證體系 來確保每個接入者的網(wǎng)絡使用權限。AC提供了完整的身份認證體系。你可以啟用基于Web方式的用戶名/密碼認證，IP和MAC地址的綁 定，如果你的內(nèi)網(wǎng)已經(jīng)部署了 Radius域認證或者微軟的LDAP，你同樣可以在AC中找到它們的設置選 項。通過和域認證的聯(lián)動，你甚至可以通過AC來保護內(nèi)部服務 器的訪問安全。如果你的組織已經(jīng)部署了郵 件服務器，你也可以把所有人的郵件帳號導入AC，讓員工在收取郵件的同時直接通過AC的POP3認證。有 了這些認證機制，只有受組織信賴的部門和成員才能訪問特定的網(wǎng)絡資源，未經(jīng)授權的局域網(wǎng)接入用戶只能 望著自己的

26、 顯示器發(fā)呆。保護版權資料互聯(lián)網(wǎng)充斥了大量的免費資源，涉及版權糾葛的音樂、視頻和論文可以隨意的下載。個 人用戶對版權 的忽視往往會若上相關部門的注意，當這些免費的下載和共享是發(fā)生在局域網(wǎng)時，組織難免惹火上身。AC 的訪問控制系統(tǒng)通過對HTTP、FTP、IM軟件、郵件收發(fā)的內(nèi)容檢測和控制，可以盡量阻止員工攪入版權話 題；同樣，當員工已經(jīng)出現(xiàn)問題時，你可以在AC的數(shù)據(jù)中心中找到其個人的違規(guī)記錄，進而為組織擺脫不 必要的糾紛。法律遵從和舉證由于員工的個人偏好導致的非正當?shù)男袨?，例如對色情、暴力、反動、邪教方面網(wǎng)站的 訪問，AC將有效的避免和攔截；當內(nèi)部員工發(fā)出的不負責任的言論已經(jīng)難以挽回時，例如在B

27、BS中發(fā)煽動 性言論、網(wǎng)上聊天中采用侵犯性語言等，你都可以在AC中找到相關記錄作為法律舉證的重要依據(jù)。增值的防病毒模塊網(wǎng)關殺毒、防火墻作為一個全面的內(nèi)網(wǎng)管理設備，SANGFOR A （提供了豐富的安全增值功能。SANGFOR AC集成來自歐洲領先病毒廠商F-PROT殺毒引擎，對內(nèi)網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載 的文件進行病毒過 濾，降低內(nèi)網(wǎng)用戶感染病毒的風險。管理員可自行設置網(wǎng)關殺毒的選項，病毒庫實時升級，幫助組織查殺病 毒，支持殺毒引擎在線自動升級，也支持用戶手工升級病毒庫?？趩⒂肏TTP下載條蓋 口啟用FT 口下戴殺蓋 口啟用POP3；殺毒 口啟用SMTP殺毒 口啟用排除網(wǎng)站（域創(chuàng)口啟

28、用文件類型殺毒適用于HTTP殺蓋和FTP殺毒AC具備強大的防火墻功能，不僅是對內(nèi)網(wǎng)的環(huán)境保護，也是對設備自身的一個保護，保證設備在內(nèi)網(wǎng)中的 穩(wěn)定性。過虢方村 LANDMZLANDMZif增Z 塔05 DM2 訓 AN庫號名稱動作眼務 盹 N2LAN1允許Fin.允許Fine LAtleLAM2BubfLMT-MZ DMZDMZ3放疔TCF允許LMT-)DIK所百2F思勞危險行為識別內(nèi)網(wǎng)用戶將PC帶出組織網(wǎng)絡，不小心中毒后極易引起局域網(wǎng)內(nèi)PC癱瘓。中毒PC通過外發(fā)郵件等信息散播蠕蟲、木馬等病毒，當其他用戶接受這些看似正常的郵件時，無意間中招。如何發(fā)現(xiàn)中毒用戶，并智能切斷中毒用戶散播病毒呢？AC危

29、險行為智能識別、告警和阻斷功能可解決上述問題。異蚩外卷郵拌識別=基武邀置識別靈柬堂：中 管警吸別:中 攔尊級別：低 危險插件過濾口限制每平IP地址發(fā)送相同大小郵件的頻軍口限制野個用地址笈坍郵件（任慧郵件）的率郵件數(shù)量（封）：一-V時聞間福（分井）：口發(fā)送郵件的頻率超過設定上限后，禁止發(fā)送郵件時聞分豺）：V組織員工在訪問互聯(lián)網(wǎng)網(wǎng)頁時，經(jīng)常出現(xiàn)打開網(wǎng)頁后，未等用戶反應看清插件名字時，插件已自動安裝。部分插件提示用戶安裝，但用戶在不清楚插件是否合法的情況點了安裝。隨著電腦中安裝插件的個數(shù)增加，用戶 電腦處理任務的速度越來越慢，甚至部分惡意插件在短時間內(nèi)導致系統(tǒng)中毒或者硬盤毀壞。如何叛變插件的合法，如

30、何避免惡意插件的安全和運行，SANGFOR A （在注重用戶網(wǎng)絡安全方面提出了危險插件過濾功能。ActiveX插件過潼ActiveX插件過濾選項檢查插件數(shù)字簽名 0攔截未簽名的插件0攔赴數(shù)據(jù)被篡改的插件0攔截便用建期證書簽名的插件AC將判斷插件的數(shù)字簽名是否合法，插件是否被修改過數(shù)據(jù)，證書是否過期等信息，自動過濾不合法的插 件。同時，AC可設置信任插件，如常用的在線殺毒插件、播放器插件、休閑娛樂插件等，避免誤殺情況。 惡意腳本過濾 隨著網(wǎng)頁形式的多樣化，大量包含腳本程序的網(wǎng)頁被訪問。這些網(wǎng)頁中包含的鏈接和腳本程序是眾多黑客正關注的切入點。用戶在點擊網(wǎng)頁后，在不知不覺中感染病毒。如何讓用戶不可見

31、的腳本程序變的安全可靠？ AC提供了惡意腳本過濾功能。腳本過濾選項口過濾篡改注冊表行為口過濾修改文件行為 口過謔變形JW本(啟口過濾危險對象及危險調(diào)用排除網(wǎng)站AC內(nèi)置安全腳本庫，對于不符合安全級別的腳本程序?qū)⒆詣舆^濾，還給用戶一個放心的網(wǎng)絡使用。 網(wǎng)絡準入規(guī)則AC的網(wǎng)絡準入規(guī)則(Network Admission Rules, NAR )通過對客戶端的評估來實現(xiàn)網(wǎng) 絡訪問控制，并更好的 維護網(wǎng)絡安全防線。NAR的設計意義在于三個方面：僅靠網(wǎng)絡邊緣的外圍設備已經(jīng)無法保證安全性。邊緣網(wǎng)關設備無法防止來自局域網(wǎng)內(nèi)部的濫用、攻擊和破壞?？蛻舳说陌踩墑e往往難以保證：使用版本陳舊的操作系統(tǒng)、不及時更新補

32、丁、長時間不更新防火墻和殺毒軟件等，都成為局域網(wǎng)安全中的“短板”。鑒于此，AC網(wǎng)絡準入規(guī)則技術通過對端點安全評估和訪問控制實現(xiàn)全方位安全防護。AC網(wǎng)絡準入規(guī)則檢測端點主機是否遵從管理者設定的安全策略，如操作系統(tǒng)版本和補丁安裝情況、殺毒/防火墻軟件及 更新情況、系統(tǒng)進程、硬盤文件、注冊表等。不能滿預設要求的接 入端點，禁止其訪問互聯(lián)網(wǎng)或僅提交報告。 通過AC的網(wǎng)絡準入規(guī)則，修補內(nèi)網(wǎng)安全短板，避免病毒、木馬等輕易感染內(nèi)網(wǎng)主機，利于 機構推行統(tǒng)一的IT政 策。SANGFOR AC勺準入規(guī)則還能支持多條準入規(guī)則的“與”和“或”的關系，支持調(diào)用客戶服務器上的指定腳本 從而更好的保護內(nèi)網(wǎng)安全。防ARP欺騙ARP協(xié)議是IP通信中的基本協(xié)議之一。但感染ARP病毒的用戶會發(fā)送大量ARP欺騙數(shù)據(jù)包，從而導致整個子網(wǎng)用戶無法訪問外部網(wǎng)絡資源。如何有效防控ARP欺騙是目前用戶和業(yè)界的難題之一，部 分廠商需要用戶安裝第三方客戶端 軟件實現(xiàn)，難免有用戶不安裝、或安裝后不運行。AC通過網(wǎng)絡準入規(guī)則NARf 件結合防ARP欺騙技術，保證終端用戶安全和保障網(wǎng)絡可用性。這不僅避免了單獨安裝客戶端軟件的問題，而且 NAR技術還將進一步加強端點安全級別，提升整個網(wǎng)絡安全級別。規(guī)避法律風險外發(fā)信息控制 辦公室中有太多的信息，無