深信服上网行为管理AC解决方案.docVIP

新华书店教材中心 深信服上网行为管理解决方案 浙江创智科技有限公司 2012年7月 一、网络现状 结合拓扑分析目前网络需要解决如下问题： 规范员工的上网行为，提高工作效率：禁止员工上班时间从事一些私人网络行为，比如网络游戏、网上看电影、BT下载、炒股等。 日志信息的海量存储与快速定位，保证意外（泄密事件、非法言论、网络违法违规）发生时能够保留行为日志、快速定位责任人、及时规避法律责任。 流量管理与控制：如果不能够进行带宽划分、流量控制、P2P限流等，将导致带宽压力大，工作用户上网慢的问题。 解决缺乏对网点访问控制的管理，网点拨入VPN能够同时访问内外网，存在安全隐患 二、深信服AC解决方案 部署拓扑 采用透明模式部署AC拓扑如下： 实现功能 （一）控制功能：细致的访问控制功能，有效管理用户上网 SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。 表1：访问控制功能一览表 ?功能 ?详细指标 ?危险网站阻隔 ?使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问 ?访问控制策略 ?提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 ?P2P拦截 ?使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 ?用户认证 ?提供Web登录认证功能，提供本地用户数据库和LDAP、RADIUS用户数据集成功能 ?文件上传下载控制控制 ?对HTTP、FTP文件上传、下载类型和大小进行控制，也能对QQ、MSN等P2P软件的文件传送进行拦截 ?IPMAC绑定 ?提供灵活的IPMAC绑定策略 ?代理识别功能 ?能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，从而进行阻断 ?敏感数据拦截 ?对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密或引起法律纠纷 （二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏 谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计/监控模块为企业构筑了强大的内部安全屏障。 表2：访问审计功能一览表 ?功能 ?详细指标 ?邮件延迟审计 ?对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄 实时监控 ?实时监控用户的上网行为 内网监控 ?针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录，以监控员工上班时间的工作行为，防止企业内部机密、情报等泄漏，并事后追查责任人 （三）报表功能：强大的数据报表中心，提供直观的上网数据统计 SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。 表3：数据中心功能一览表 ?功能 详细指标? 流量统计日志 ?包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名 邮件日志 ?包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况 网络监控日志 ?包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 准入规则日志 ?包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看 IPS日志 ?包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可显示详细的网络安全情况 防火墙日志 ?包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析 ?日志库管理 ?主要包含日志库信息、日志库查询、日志库切换等功能 ?用户管理 ?管理员可在此新增用户、查询用户 （四）带宽及流量管