深信服SINFOR AC上网行为管理解决方案

　　一、上网行为管理与企业竞争力:随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业 网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

　　企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：

　　?

　　·IT管理员如何对企业网络效能行为进行统计、分析和评估？

　　?

　　·IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？

　　?

　　·IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？

　　?

　　·IT管理员如何在万一发生问题时有一个证据或依据？

　　二、互联网管理的好帮手——SINFOR AC上网行为管理系统

　　网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。在美国和欧洲，有80%的企业对员工的互联网活动进行监视，而且这一举措得到了法律条文上的支持。随着中国加入WTO，经济领域的国际竞争进一步加剧，国内的企业也需要认真考虑合理使用网络资源，充分提高企业竞争力的问题。

　　尤其值得注意的是，中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用，给中国企业带来了巨大的损失。

　　因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。

　　针对内网安全上的这些问题，SINFOR M5*000－AC系列UTM安全网关是一个非常好的解决方案。在内部安全的上网行为管理（网络安全审计）上，为保证企业合理使用Internet资源，防止企业信息资产泄漏，SINFOR AC安全网关提供了完善的访问控制功能。通过合理设置访问权限，能够杜绝对不良网站和危险资源的访问，防止P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术，能有效防止对Internet资源的滥用。SINFOR AC安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。

　　此外，作为一个UTM整合式设备，SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的VPN模块和防火墙模块之外，SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS（入侵防御系统）功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。

　　三、某某公司网络现状及SINFOR AC解决方案

　　简单描述客户的网络现状及需要解决的问题，针对这些问题提出深信服的解决方案，并提供一个针对该方案的网络拓扑图。

　　某某公司简介。

　　随着业务的发展，信息化建设步伐的加快，某某公司的网络安全问题也日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，在针对内网的安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。

　　根据某某公司的网络环境和实际应用，需要部署如下安全设备：

　　（1）在公司网络出口处部署专门的杀毒网关对过往数据进行杀毒，以便配合原有的Symantec网络版杀毒；

　　说明：主机防病毒（网络版杀毒软件）和网关防病毒的互补

　　主机防病毒（网络版杀毒软件，如Symantec、Mcafee等）主要是针对主机进行防范，需要每台电脑都部署专门的客户端，这样对于没有安装客户端的电脑主机还是有可能在上Internet的时候感染上病毒，另外对于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒，从而导致整个局域网中毒。

　　网关防病毒对所有流经网关的网络数据，都会经过杀毒处理，可以有效避免没有安装杀毒客户端或没有升级最新杀毒版本的电脑发生的中毒事故。但是网关防病毒主要是防范通过网关传播的病毒，对于网络内部通过U盘、软盘等移动存储介质、局域网文件共享等途径传播的病毒，是网关防病毒鞭长莫及的，必须要通过主机防病毒才可以补充防范。

　　可见，以上两种杀毒模式各有侧重点，很难说那种模式更好；针对当前日益严峻的网络安全现状，建议同时能够部署主机防病毒（网络版杀毒软件）和网关防病毒设备。

　　（2）部署防垃圾邮件设备对垃圾邮件进行过虑；

　　（3）部署互联网访问行为管理设备，对通过网关发送出去的相关数据、文件进行内容过虑，对内网用户的相关访问行为进行跟踪，以提高对Internet资源的使用效率；

　　（4）部署客户端安全检查设备（并集成IPS/防DDOS攻击功能），能够对PC客户端的安全性进行检查，对不符合安全的PC机可以自动切断其连接Ineternet，以便整体提高局域网的安全性，另外要能集成IPS及防DDOS攻击功能，能比较有效的防御木马的攻击。

　　传统的IT解决方案中，需要对网关杀毒、防垃圾邮件、IPS、防DDOS以及内容过虑、访问跟踪等分别购置多套设备，投入成本巨大。SINFOR AC互联网控制设备作为一款UTM多功能安全网关，是ALL IN ONE的解决方案，一个设备解决所有的网络安全问题。

　　另外，SINFOR AC还集成了深信服获得国家专利的两项专利技术：“客户端网络访问准入规则”、“邮件延迟审计”，可以提供良好的PC客户端安全检查扫描功能，以及对邮件的延迟审计功能，提高了局域网的整体安全性，并有效保护了企业商业机密的非法外泄。

　　四、SINFOR AC上网行为管理功能介绍

　　（一）控制功能：细致的访问控制功能，有效管理用户上网

　　SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。

　　表3.1：访问控制功能一览表

　　功能 详细指标 危险网站阻隔 使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问 访问控制策略 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 P2P拦截 使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 用户认证 提供Web登录认证功能，提供本地用户数据库和LDAP、RADIUS用户数据集成功能 文件上传下载控制控制 对HTTP、FTP文件上传、下载类型和大小进行控制，也能对QQ、MSN等P2P软件的文件传送进行拦截 IPMAC绑定 提供灵活的IPMAC绑定策略 代理识别功能 能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，从而进行阻断 敏感数据拦截 对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密或引起法律纠纷

　　（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏

　　谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计/监控模块为企业构筑了强大的内部安全屏障。

　　表3.2：访问审计功能一览表

　　功能 详细指标 邮件延迟审计 对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄 实时监控 实时监控用户的上网行为 内网监控 针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录，以监控员工上班时间的工作行为，防止企业内部机密、情报等泄漏，并事后追查责任人

　　（三）报表功能：强大的数据报表中心，提供直观的上网数据统计

　　SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。

　　表3.3：数据中心功能一览表

　　功能详细指标 流量统计日志 包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名 邮件日志 包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况 网络监控日志 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 准入规则日志 包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看 IPS日志 包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可显示详细的网络安全情况 防火墙日志 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析 日志库管理 主要包含日志库信息、日志库查询、日志库切换等功能 用户管理 管理员可在此新增用户、查询用户

　　（四）带宽及流量管理功能：强大的QOS功能及流量分析

　　SINFOR AC安全网关强大的访问控制和QOS功能可以使得企业合理利用Internet资源，为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。

　　SINFOR AC安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、telnet等常用软件的内容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。

　　表3.4：QOS及流量控制功能一览表

　　功能 详细指标 QOS保证 使用差分业务模型实现QOS

　　使用随机早期检测RED丢弃算法提供流量控制

　　流量控制 能针对内网每个用户或者不同的组，限定其上网能占用的带宽资源，使企业内网带宽资源得到充分有效的利用

　　（五）丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等

　　作为一个UTM整合式设备，SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外，SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS（入侵防御系统）功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。

　　五、SINFOR AC安全网关主要技术优势

　　（一）深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件

　　（1）深度的内容检测技术：目前的P2P软件，如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFOR AC安全网关的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。UTM 安全网关内置了多种深度内容检测技术所依赖的特征码规则，并且可以从网站上更新下载。依靠这种技术，SINFOR AC安全网关可以封堵目前所有的P2P软件；避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率，并防止泄密或由于员工泄密引起的重大损失。

　　（2）在线网关监控技术：与其他旁路监听的访问监控产品不同的是，SINFOR AC使用了在线网关监控技术。所有的旁路监听产品，对UDP发送的数据都难以拦截，并且拦截往往有一定时延，拦截敏感数据的效果不佳，并且容易遗漏监控数据。SINFOR AC的在线拦截监控技术能保证拦截到所有敏感数据，外出数据无一纰漏。

　　（二）邮件的延迟审计（专利技术）

　　SINFOR AC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。

　　SINFOR AC安全网关独创的邮件延迟审计功能，可以对经由AC安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件，AC安全网关会对其进行延迟缓存，只有等待管理员审计后才能发出，确保了企业信息资产不外泄，保证了企业内网信息的安全，且邮件延迟审计对发件人完全透明。

　　（三）独有的网络访问准入规则（专利技术）

　　企业的安全隐患，往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患，减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。

　　网络访问准入规则，是管理员在SINFOR AC安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者防火墙，或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定制成相应的安全策略。

　　当用户计算机访问网络请求的数据包通过SINFOR AC安全网关时，若启用了WEB认证，当用户通过WEB认证后，此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序，并根据指定的安全策略启动扫描程序，检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

　　（四）WEB认证技术

　　AC安全网关基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后，除了对客户端的本地身份（如：用户名密码认证，LDAP、RADIUS等认证）进行常规性认证以外，还将启用Web认证。当客户端在浏览器中输入任意网址时，AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问Internet。

　　（五）高度集成，部署灵活

　　SINFOR AC安全网关很重要的一个特点就是除了作为专用的互联网访问控制设备外，它还是一个整合式的UTM设备，将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体拥有成本。另外，用户在使用AC作为互联网访问控制设备的同时，也可以选择使用AC设备的其他某个或某几个功能模块，比如将AC作为杀毒网关或防火墙等的网络设备使用，可与原有网络安全产品融合，部署灵活的同时也保护了投资。

　　六、成功典型案例

　　SINFOR 互联网访问控制设备构建乐凯集团安全网络

　　乐凯胶片集团公司是我国影像信息记录产业中规模最大、技术最强、产品品种最多、市场覆盖面最广、跨地区跨行业的现代化企业，是国务院国资委出资的189家大型国有企业之一，下属分公司和合资公司共有三十多家，其主导产品乐凯彩色胶卷和彩色相纸双双荣获国家银奖和科技进步一等奖，“乐凯”商标被国家商标局认定为中国驰名商标。

　　作为一个拥有上千名员工、信息化程度高的技术型企业，乐凯集团像众多企事业一样也面临很多困扰。员工在工作时间上网娱乐、购物、MP3下载等，不仅占用大量带宽，而且还导致员工工作效率的降低。SINFOR AC的使用可帮助乐凯制定和实施一套适合自己企业的互联网使用政策，把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作，提高工作效率，大大降低员工因为不正当使用互联网而受企业处罚或解雇等事件的发生。并且通过过滤掉大量占用带宽的文件及应用，还可以帮助企业最大化网络基础建设和带宽的投资回报。另外，深信服数据报表中心还能支持以图表的方式对局域网内的人员的上网行为进行分析，如：每天上网情况的分析、访问最频繁的网站分析、上网最多的人员分析等，并提供按时间、服务、网站访问、使用网络流量等多种排行榜。

　　SINFOR 互联网访问控制设备应用于国家档案局档案科学技术研究所

　　国家档案局档案科学技术研究所是国家档案局直属的科学技研究机构，基本任务是面向全国档案部门，紧密结合档案工作的实际，开展档案保护技术、修复技术、缩微技术、现代化管理技术及档案标准化等方面的研究。下设办公室、科技处、行政处、技术开发部四个办事机构和档案保护技术、档案管理现代化、档案工作标准化、档案科学技术情报四个研究室。

　　信息是无价的，一些关键性科研信息的泄露，可能会给科研机构带来无法弥补的损失，深信服AC的邮件延迟审计专利技术可以洞察先机，做到事前防范，让企业高枕无忧。在经过仔细比较方案性价比后，国家档案局档案科技技术研究所最终选择了功能强大的SINFOR AC互联网访问控制设备。作为一款UTM整合式安全设备，SINFOR AC集VPN、防火墙、网关杀毒、内容过滤、防垃圾邮件功能于一体，既可以解决最新科研成果资料泄漏的问题，还能够对本地局域网进行很好的保护，避免病毒和垃圾邮件的困扰，同时还可以对带宽进行优化和管理，很好的解决了国家档案局档案科学技术研究所网络安全面临的各种问题。

　　北京理工大学选用SINFOR AC互联网访问控制设备

　　北京理工大学是“理工为主，工理文协调发展”的全国重点大学。其前身是1940年创办的延安自然科学院，是我国首批颁布的全国重点大学，是全国首批建立研究生院的高校，是“七五”、“八五”和“九五”期间国家重点投资建设的学校；也是国家首批“211工程”建设的高校。

　　学生由于约束力较差，容易在校园网上浏览色情等不健康内容，这也造成病毒以及针对网络的内部攻击次数非常多，需要相应的安全解决方案；另外，学校职能部门网络如办公室、图书馆、教务处由于涉及到学校的重要信息以及相关考试的信息，所以对保密安全等级要求也很高；鉴于教育部对于学校网络实名制以及对于整顿不良信息的规定，学校也需要部署相关的信息安全内容过滤与日志系统——经过对多家方案认真的测试对比后，北京理工大学最终选用了SINFOR AC互联网访问控制设备，完美的实现了对以上问题的解决。

　　其他典型用户列表：

　　德赛电子（惠州）有限公司 中原地产 广东堡狮龙实业有限公司 山西太原市公交总公司 中国人寿福建省分公司 四川省达州市电力公司 广西奥奇丽集团股份有限公司 北京广播电视报 日本花王（上海）有限公司 福建建筑设计研究院 北京市宅急送快运有限公司 北京市宣武区人民政府 上海医药集团 汕头海关酒泉卫星发射中心北京后勤部队 华侨城集团……