深信服上网行为管理网关有如下功能特性:
一、上网行为控制,规范员工上网行为,提高工作效率;
多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;
独特的WEB认证、基于浏览器实现方便的用户识别与认证;
网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。
独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连 接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁;
二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏
记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现;
特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。
防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏;
独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
三、流量控制和带宽管理,优化带宽资源的使用
多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择更优上网线路。
对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配;
智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。
智能QOS,重要数据优先传送;
四、海量日志存储、丰富的报表功能,为组织决策提供更有效的数据支持
网络行为日志支持海量存储,满足公安部82号令存储60天要求,且日志的查询、统计、审计等不影响网关性能;
全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;
自动报表,让管理者自动获知组织的网络状况
提供类似百度的搜索界面,实现海量日志的内容检索和搜索。
五、更多安全功能,全面提升内网安全级别
防范来自公网和源自内网的DOS攻击,提升网络可用性;
防ARP欺骗;网关杀毒,从源头上查杀病毒;
网络准入规则,修复内网安全短板,提升内网安全级别。
更具体详细功能,请参见产品白皮书或与我们联系。
功能一栏表:
分类 |
功能 |
详细指标 |
访问控制 |
危险网站阻隔 |
用户可自定义对色情、病毒、钓鱼网站的阻隔访问 |
访问控制策略 |
提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 |
P2P拦截 |
使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 |
用户认证 |
提供Web登录认证功能,提供本地用户数据库和LDAP,Radius用户数据集成功能 |
文件上传下载控制 |
对Http、Ftp文件上传、下载类型和大小进行控制,也能对QQ,MSN等P2P软件的文件传送进行拦截 |
IPMAC绑定 |
提供灵活的IPMAC绑定策略 |
代理识别功能 |
能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断 |
敏感数据拦截 |
对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截,以防泄密或引起法律纠纷 |
访问审计 |
邮件延迟审计 |
对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄 |
实时监控 |
实时监控用户的上网行为。 |
访问监控 |
监控用户所有的上网记录,包括Web访问、Ftp、Telnet、邮件(含Webmail)及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。 |
流量分析 |
能按用户、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。 |
管理功能 |
管理员权限 |
权限粒度细致,分级管理 |
本地管理 |
GUI方式 |
远程管理 |
GUI方式 |
配置备份 |
使用加密的配置文件进行配置备份和分发 |
Firmware升级 |
通过远程升级Firmware获得更新的软件版本和更多功能模块 |
高可靠设计 |
自动恢复 |
看门狗提供自动恢复功能,配置恢复功能 |
双机备份 |
支持双机备份功能 |
多线路备份 |
支持2~4条线路的备份 |
日志 |
日志容量 |
可以使用独立的日志服务器,容量无限制。 |
日志备份 |
支持自动定时备份 |
日志导入 |
支持转换日志为标准的TXT文件,便于导入到MS SQL或ORACLE数据库进行二次开发和分析 |
数据中心 |
可用SINFOR 独立的数据中心进行详细的分析 |
网络特性 |
支持的Internet接口 |
PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN |
支持的协议 |
IPv4、IPv6 |
网络分区 |
WAN、DMZ、LAN |
多线路支持 |
支持2-4条Internet线路的负载均衡和备份,提供智能选择更优线路等多种负载均衡策略 |
工作方式 |
路由模式、透明模式 |
SINFOR AC依靠多项业界前列技术及满足用户需求的功能,已经成为国内前列的上网行为管理解决方案。
一、SSL网站识别和过滤,反钓鱼网站、非法SSL网站等(专利技术)
采用SSL加密网页的钓鱼网站假冒网上银行,诱骗用户;越来越多的色情、反动网站也采用SSL加密形式以躲避过滤;网页“加密化”已经成为趋势,而业界绝大多数设备采用的URL库仅能对明文URL地址进行过滤,却无法对SSL加密网站进行识别和过滤。
SINFOR AC通过SSL证书验证链接黑白名单技术,通过识别目标SSL网站的数字证书特征及信息,实现对非法SSL网站的识别和过滤。
二、深度内容检测,业界更全的应用协议识别库
如何有效管控纷繁复杂的网络应用,如QQ、在线炒股、网游等,成为组织管理者必须考虑的问题之一。通过封堵服务器IP、通讯端口的方式不仅费时费力,而且治标不治本。
各种应用协议在数据交互时,其收发的数据包中均含有其特有的特征字段。SINFOR AC通过检测和识别该特征字段,实现了对应用协议的识别和管控能力。当前AC已能识别数百种应用协议,甚至员工使用代理上网,AC也可识别和管控。
三、P2P智能识别,全面彻底的P2P行为管控技术(专利技术)
P2P软件和应用方便用户共享资源的同时,也严重吞噬组织有限的带宽资源。业界存在众多P2P工具和各种版本,采用静态协议库的方式只能封堵“昨天的P2P软件”。
SINFOR AC通过基于统计学的行为智能分析等四层识别技术,超越静态协议库的概念,实现对不常见的、未来可能出现的P2P应用的识别和管控,为用户提供了一劳永逸的解决方案。
四、网络准入规则,修复内网安全短板(专利技术)
内网终端安装老旧的操作系统、不及时更新补丁、不安装指定的杀毒/防火墙软件、反而安装运行违规软件等行为,致使该终端成为内网安全短板,一旦该终端访问色情网站、肆意下载文件等,极易感染病毒、木马,进而感染内网其他终端,“堡垒被从内部突破”。
SINFOR AC网络准入规则技术,将按照管理者指定的条件检测接入终端的安全级别,可禁止违反安全规则的终端接入Internet,从而修复内网安全短板,提升内网安全级别。
五、邮件延迟审计,将泄密阻挡于内网(专利技术)
Email已经成为组织办公和沟通的主要工具之一,但通过Email的泄密事件也时而发生。传统安全设备在收到泄密邮件时,拷贝备份后发送该邮件到公网,泄密事件轻易发生了。
SINFOR AC不仅能限制哪些用户、哪些Email地址可以发送邮件、限制Email大小等,还可根据预设的过滤条件,先拦截潜在的泄密邮件,人为审计后才能继续发送,从而将泄密邮件阻隔于内网,保障组织的信息资产安全。
六、免审计Key,消除高层领导的疑虑
通过图形化界面的简单勾选配置,SINFOR AC针对不同用户差异化记录用户的各种网络行为。但高层领导的网络行为往往涉及组织的发展、规划等敏感信息,如CEO、总裁收发的Email等,如何避免“非善意”IT人员对CEO的行为记录?
SINFOR AC的“免审计Key”将从设备底层免除记录CEO的任何网络行为,解除高层领导的后顾之忧。
七、海量日志的内容检索,方便管理者的审计
大型组织使用SINFOR AC记录的海量日志,通过自动导出到第三方数据中心实现了海量存储。但如何进行数据挖掘、如何从数百G的日志中查找管理者感兴趣的内容?
SINFOR AC提供的内容检索工具,通过类似Google的搜索界面,让管理者快速、方便的实现海量数据检索。
八、Web认证、辅以单点登录,方便用户的使用
无法识别用户就无法对用户进行差异化授权;AC支持多种认证方式和第三方认证服务器,并通过基于IE的WEB认证方式,方便了用户的身份识别和认证。
而SINFOR AC的单点登录功能,允许用户在通过第三方认证服务器身份认证后,自动通过SINFOR AC,简化用户操作。
信息和网络技术的发展,改善了用户的上网条件,同时也给组织带来更高的网络使用危险性、复杂性和混乱。据IDC调查发现,上班时间非法使用邮件、浏览非法网站、网络聊天、在线影音、P2P下载的员工日益增加,员工30%-40%的上网活动与工作无关;而对色情网站的访问统计表明:70%的色情网站访问量发生在工作时间。员工肆意使用网络将导致如下问题:
(1)工作效率低下;
(2)网速越来越慢;
(3)安全隐患不断;
(4)信息机密外泄;
(5)网络违法行为;
为获取外部资源、保持沟通,组织内部网络必然与互联网连通,同时运行状况也愈来愈复杂。组织的IT管理者如何及时了解网络运行状况、作出分析、发现可能存在的问题(如违规访问、资源滥用、泄密、ARP欺骗等),并进行故障快速定位等,组织IT管理者面临的挑战和问题包括:
如何对网络效能和行为进行统计、分析、评估?
如何限制上班时间QQ聊天、无关网站浏览等非工作网络行为?
如何封堵BT、PPLive等P2P行为,并进行流控,提升网速和带宽效率?
如何防范用户“主动”下载病毒、木马、恶意软件?
如何杜绝通过Email、MSN等途径潜在的泄密行为?
如何避免恶意发帖、反动言论等法律问题,并在发生问题时有据可查?
内部网络管控的好帮手——SINFOR AC上网行为管理设备
一直以来,网络安全防御局限于传统网关(防火墙等)、网络边界(防病毒、IDS等)等方面,有效防御了来自网络外部的安全威胁。但实际情况是,由于内网行为管理的缺失,来自网络内部的安全威胁给用户造成了事实上的更多损失。
在美国,有80%的机构对员工的互联网活动进行监控,且得到了“萨班斯法案”的支撑;而2006年3月1日开始实施的“《互联网安全保护技术措施规定(公安部令第82号)》”,也为中国的互联网使用单位,包括企业、政府、高校、行业用户等诸多机构,对内部用户的网络行为管控提供了法律依据。
举例来说,假设某组织有500雇员,平均月薪3000元,8小时工作时间中有1小时用于工作无关网络访问行为,一年直接损失的薪金就达2,250,000元。因此,如何有效提高工作效率,提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险,已经成为各行业信息化建设的首要任务。
针对内网安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全。
通过采用深信服上网行为管理网关管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果:
1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率
上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SINFOR AC可以把与工作无关的上网行为降低到更低,去除员工的分心,让他们专注于工作中。
2.流量控制、带宽管理,提升带宽利用率
对严重吞噬带宽的P2P行为,SINFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。
3.修补安全漏洞、提升内网安全级别
色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SINFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SINFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SINFOR AC亦能侦测发现,从而修复内网安全短板。
4.防范信息机密外泄、保护组织信息资产安全
员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SINFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SINFOR AC同样可以过滤和记录;而SINFOR AC对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。
5.规范员工网络行为、避免法律风险
员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SINFOR AC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。
SINFOR AC提供的数据中心,海量存储内网用户的各种网络行为日志,图形化的查询、审计、统计、自动报表、内容检索等功能,方便组织管理者了解和掌控您的网络。