深信服科技

SANGFOR AC上網行為管理

第1章 上網行為管理產品應用價值

1.1 優化帶寬管理，提升用戶上網體驗

AC能幫助組織管理者透徹了解組織當前、歷史帶寬資源使用情況，并據此制定帶寬管理策略，驗證策略有效性。不但可以在工作時間保障核心用戶、核心業務所需帶寬，限制無關業務對資源的占用，亦可以在帶寬空閑時實現動態分配，以實現資源的充分利用?；诓煌瑫r間段、不同對象、不同應用的管道式流控，能有效保障用戶的上網體驗，保障網絡的穩定性。

1.2 管控網絡應用，提高員工工作效率

AC數據中心能幫助組織管理者透徹了解員工的網絡行為內容和行為分布情況。借助AC的管理功能，管理員能實現分時間段、基于用戶、基于應用、基于行為內容的網絡行為控制，據此限制員工上班時間的無關網絡行為，減少員工因效率低下帶來的加班、離職、薪金浪費、額外薪金支出等問題。管理員使用AC數據中心可自定義“員工工作效率報表”，作為員工工作效率考核的輔助依據。

1.3 管控上網權限，實現職位與權限匹配

使用AC，管理員能依據組織架構建立用戶身份認證體系，并采用分時間段、基于用戶、基于應用、基于行為內容的網絡行為控制，從而實現員工職位職責與上網權限的匹配，如限制研發部門不得使用webmail外發郵件、上班時間不能使用IM聊天工具，限制財務人員不能訪問不受信網站，等等。以此減少越權訪問和權限濫用的現象，防止泄密和不良輿論風險。

1.4 防范信息泄露，保障組織信息安全

互聯網的普及讓網絡泄密和網絡違法行為層出不窮。如果員工利用組織網絡發生泄密或違法行為，而如果又沒有證據，無法找到直接責任人，IT部門將成為該事件壓力的承擔者。使用AC，能幫助管理員實現基于內容的外發信息過濾，管控文件、郵件發送行為，對網絡中的異常流量、用戶異常行為及時發起告警，更有數據中心保留相關日志，風險智能報表發現潛在的泄密用戶，實現“事前預防、事發攔截、事后追查”。

1.5 過濾不良信息，規避管理與法律風險

互聯網資源極大豐富，亦良莠不齊。AC能幫助管理員過濾違法、違規不良網頁、含有不良關鍵字的網絡信息，防止用戶不慎訪問不受信的網站帶來法律風險。對于內網用戶的外發信息行為，AC基于內容的外發信息過濾能幫助管理員及時攔截不良言論，或者在特殊時期采用“允許看帖不允許發帖、允許收郵件不允許發郵件”的特殊管控手段，最大程度的減少輿論風險給組織形象聲譽帶來影響。

1.6 優化上網環境，提升上網安全

網絡犯罪日益善用偽裝：利用社交網絡散播，仿冒可信網站，將訪問合法網站的用戶“重定向”到非法網站，假冒可信軟件如防病毒軟件、插入非法軟件，通過惡意廣告、垃圾博客、惡意點對點文件傳播等等。對此，AC支持過濾危險插件和惡意腳本，防止用戶終端訪問被掛載的網頁而染毒，對于已中毒的終端，AC會檢測網絡中的異常流量如木馬流量、端口掃描行為、標準端口中的非標準流量，并自動封鎖并發起告警，提升局域網安全。

1.7 支撐IT管理，優化組織IT環境

“三分制度、七分管理”，缺乏技術手段支撐的管理制度就像一道沒有裝鎖的門，只能依賴人工值守或被管理者的自覺遵守。越來越多的IT管理員意識到，必須選擇適合組織IT環境的技術手段，才不會讓管理制度流于形式，AC有效支撐組織的IT管理，幫助規范網絡，減少IT管理員的無謂工作量，優化組織IT環境。

第2章 深信服上網行為管理產品功能

2.1 深信服上網行為管理產品部署模式

2.1.1 網關模式

網關模式是指設備工作在三層交換模式，AC以網關模式部署在組織網絡中，所有流量都通過AC處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能。作為組織的出口網關，AC的安全功能可保障組織網絡安全，支持多線路技術擴展出口帶寬，NAT功能代理內網用戶上網，實現路由功能等。

部署方式：

? AC的WAN口與廣域網接入線路相連，支持光纖、ADSL線路或者是路由器；

? AC的LAN口（DMZ口）同局域網的交換機相連；

? 內網PC將網關指向AC的局域網接口，通過AC代理上網。

2.1.2 網橋模式

2.1.2.1 單網橋模式

網橋模式是指設備工作在二層交換模式，AC以網橋模式部署在組織網絡中，如同連接在出口網關和內網交換機之間的“智能網線”，實現對內網用戶上網行為的流量管理、行為控制、日志審計、安全防護等功能。網橋模式適用于不希望更改網絡結構、路由配置、IP配置的組織。

部署方式：

? AC的WAN口同出口網關LAN口相連，為AC分配一個網橋IP，該IP和出口網關LAN口在同一網段；

? LAN口（DMZ口）同核心交換機連接；

? 局域網內的任何網絡設備和PC都不需要更改IP地址。

2.1.2.2 多網橋模式

組織考慮到網絡的穩定性、可靠性，往往采用雙機、雙線路構建基礎網絡。AC支持多路橋接模式，適應組織的多機網絡環境要求。在不影響原有雙機、雙線路前提下，對流經AC的所有數據流進行審計、控制、攔截、流量管理等操作。

部署方式：

? 通過AC配置界面，定義兩對橋接口（WAN1-LAN1，WAN2-LAN2）；

? 為每對網橋分配IP地址。

2.1.3 旁路模式

AC以旁路模式部署在組織網絡中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網絡結構，降低了網絡單點故障的發生率。此時AC獲得的是鏈路中數據的“拷貝”，主要用于監聽、審計局域網中的數據流及用戶的網絡行為，以及實現對用戶的TCP行為的管控。

部署方式：

? 配置出口交換機的鏡像端口，與AC的廣域網口相連，實現對內網數據包的監聽。

2.1.4 多機模式

組織為了網絡穩定可靠，同時部署兩臺設備，AC支持兩臺以上設備同時以主機模式運行，完美支持組織的VRRP環境，起到設備冗余與負載均衡的作用。在這種環境中，AC以單網橋模式或者多網橋模式部署在組織網絡中。

部署方式：

? AC以網橋模式部署在網絡中，為每臺AC配置網橋IP；

? 為每臺AC配置同一組播IP地址，且每臺設備上指定的通信網口在同一個局域網內，AC之間即可實現同步。

2.1.5 雙機模式

組織為了網絡穩定可靠，同時部署兩臺設備，AC支持兩臺設備以雙機模式運行。兩臺設備通過串口線相連，一主一備，當主設備發生故障時自動切換到備用設備，提高網絡的穩定可靠性。在這種環境中，AC以單網橋模式或者多網橋模式部署在組織網絡中。

2.2 身份認證

2.2.1 建立身份認證體系

有效區分用戶，是部署差異化授權和審計策略、有效防御身份冒充、權限擴散與濫用等的管理基礎。

AC支持豐富的身份認證方式：

■ 本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定；

■ 第三方認證： LDAP、RADIUS、POP3、PROXY、數據庫等；

■ 短信認證：通過接收短信獲取驗證碼，快速認證；

■ 雙因素認證：USB-Key認證；

■ 單點登錄：AD域、POP3、PROXY、WEB和第三方系統等；

■ 強制認證：強制指定IP段的用戶必須使用單點登錄。

深信服AC短信模塊不僅能夠跟深信服自有品牌的短信貓對接，還能夠跟各運營商的短信網關對接。部署上，為了滿足有多個分支的客戶需求，AC的短信認證能夠配置多個不同的portal頁面給不同的分支使用。portal頁面還能夠上傳廣告圖片，自動滾動播放。短信認證支持二次免認證的功能，多個分支之間還能夠漫游，即在A分支認證過，到B分支直接免認證。深信服AC的短信認證功能，既能夠達到身份識別的目的，又將認證過程簡化到極致，不僅神別了用戶的身份，還為后續的短信營銷提供精準對象，一舉多得。

深信服AC獨特的微信認證功能，為企業公眾賬號迅速增粉，打造一個會營銷的無線網絡。微信認證功能支持一鍵關注公眾號并通過認證，適用各種終端（PC、PAD、手機）。同時，不需要在微信服務器部署代碼，節省實施成本。為了簡化用戶的認證過程，二次到店支持免認證，直接關聯上SSID即可自動認證通過并上網，用戶毫無感知。不僅如此，有多分支門店的客戶，門店間可以漫游認證，即在一個門店微信認證過后去其他門店可以免認證，給用戶超預期的用戶體驗，提高企業品牌認可度。

豐富的認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與行為的一一對應，方便管理員實施上網行為管理解決方案。

AC支持為未認證通過的用戶分配受限的互聯網訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。

2.2.2 映射組織行政結構

為了給不同用戶、不同部門授予差異化的互聯網訪問、控制、審計權限，需要規劃和建立組織的用戶分組結構。

一般組織均有自己的行政結構，AC可以完全按照組織的行政結構建立樹形用戶分組，實現父組、子組等多層嵌套的要求。在完成用戶組的創建后，即可創建用戶，并將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。用戶創建的過程簡單方便，除手工輸入帳戶方式外，AC能夠根據OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便管理員管理。

此外，AC支持賬戶自動創建功能，依據管理員分配好的IP段與用戶組的對應關系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網絡權限。管理員亦可將用戶信息編輯成Excel、TXT文件，過AC的賬戶導入功能更加快捷的創建用戶和分組信息。

用戶帳號還支持有效期限定，賬號過期則自動失效，支持多人共用同一帳號等，豐富的帳號策略使得管理員可以根據實際情況自由地合理調整。

2.3 應用控制

2.3.1 應用控制策略

2.3.1.1 識別是管理的基礎

網絡應用極其豐富，尤其隨著大量社交型網絡應用的出現，用戶將個人網絡行為帶入辦公場所，由此引發各種管理和安全問題。

識別是管理的基礎，全面的應用識別幫助管理員透徹了解網絡應用現狀和用戶行為，保障管理效果。

AC多種應用識別技術，全面識別各種應用，進而有效管控和審計。主要包括：

a) URL識別： AC內置千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術。AC除了內置的上百種URL類別以外，管理員還可以自定義URL分組，分組默認可以到500組，特殊場景可以擴容到更多組。根據組織內部特殊需求，將一些指定的URL劃分到一個URL分組下，此時，各種權限策略就可以引用這個URL分組來做控制，滿足精細化的URL控制需求，讓企業內網管理更加靈活高效，更加滿足“權限最小化”的管理原則。

b) 應用規則識別庫：AC擁有國內最大的應用識別庫，該庫由深信服應用規則研發團隊定期維護，保證庫處于最新狀態；該庫支持2000種以上網絡主流應用，4500條以上規則 能識別125種以上IM、66種以上P2P/P2P流媒體、252種以上游戲、30種以上OA、16種以上網銀、50種以上金融行情軟件、45種以上金融交易軟件、13種木馬、30種以上代理軟件和590種以上移動APP，涵蓋主流的網絡應用；

c) 文件類型識別：識別并過濾HTTP、FTP、mail方式上傳下載的文件，即使刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳，AC同樣能識別和報警；

d) 深度內容檢測：IM聊天、在線炒股、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等，基于數據包特征精準識別，且支持管理員自行定義新規則，以及深信服科技及時更新和快速響應；

e) 智能識別：種類泛濫的P2P行為，靜態“應用識別規則”已經捉襟見肘，通過P2P智能識別技術，識別出不常見、未來可能出現的P2P行為，進而封堵、流控和審計。

通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等AC都能幫助組織實現對上網行為的封堵、流控、審計等管理。

2.3.1.2 上網策略對象化

AC支持完美映射組織的行政結構，管理員可依據組織結構添加管理策略。上網策略對象化，同一條上網策略可被多個用戶/用戶組復用，同一用戶/用戶組可關聯使用多條策略，實現策略和用戶/用戶組的雙向關聯，方便管理員調整。上網策略不僅僅支持生效時間調整、生效用戶/用戶組、應用類型限制，支持模板形式復制，更支持策略有效期，管理員可手動設定策略的過期時間，逾期自動失效，有效實現策略的回收管理。此外，AC支持將策略的查看、編輯權限分配給指定管理員，實現策略的分級管理。

2.3.1.3 靈活的授權

AC支持基于生效時間、用戶/用戶組、應用類型、位置、終端類型、SSID的授權，幫助組織實現上網權限與工作職責的匹配，防止越權訪問與泄密風險，一方面管控與業務無關的上網行為，提升員工工作效率，一方面過濾不良信息、阻止異常行為，防止法律與泄密風險。

AC更兼顧了管理與人性化的需求，對于某些不便添加權限控制策略的部門或者是企業文化較為寬松的組織，AC提供了“智能提醒”功能，管理員可設定允許特定用戶使用指定應用的時長、流速，一旦用戶使用指定應用的時長、速度超限后，AC自動彈出提醒窗口，提醒用戶注意違規行為，敦促用戶自覺規范，達到促進自我管理的目的，減少管理帶來的摩擦。

2.3.1.4 應用標簽化

基于應用的權限劃分是企業員工上網行為不可忽視的一個重要管理需求，深信服在走訪大量客戶的時候了解到，很多網管在針對應用配置權限的時候體驗非常不好，比如：公司要求對所有具有“安全風險”的應用做封堵以保障內網安全，此時網管需要從2000多種應用當中挑選出具有“安全風險”屬性的應用，工作繁瑣單調且容易出現紕漏。

深信服AC給2000多種應用打上標簽，標簽根據客戶需求劃分為：“安全風險”、“發送電子郵件”、“高帶寬消耗”、“降低工作效率”、“論壇和微博發帖”、“外發文件泄密風險”等大類。網管只用根據需求針對這六大類標簽應用配置策略即可，不僅節省時間、還更加準確。

不僅如此，網管人員還可以根據實際個性化的管理需求，給應用打上“自定義標簽”，以此來對這些自定義的標簽應用做權限劃分，滿足更多個性化的需求場景，讓權限劃分更加靈活。

2.3.2 Web應用控制

2.3.2.1 URL訪問控制

網頁瀏覽是員工主要互聯網行為之一，尤其隨著大量社交型網站的出現，用戶將個人網絡行為帶入辦公場所，由此引發各種管理與安全問題。

在URL過濾方面，AC采用“靜態URL庫+URL智能識別+云系統”三重識別體系。

首先，AC內置千萬級預分類URL地址庫，該庫由深信服URL研發小組專人負責維護，收集新增網頁并經由人工審核分類，包含互聯網上數十種分類站點，覆蓋了95%以上用戶訪問量最高的網址。

其次，互聯網網頁容量爆炸性增長，Google聲稱互聯網獨立網址超過一萬億個，如微博等新的網址每天層出不窮，靜態URL庫不足以有效應對。因此，AC支持基于內容關鍵字的過濾手段，可基于管理員指定的多關鍵字過濾用戶搜索行為、網頁訪問行為、發帖行為等。更提供了人工智能的網頁智能分析系統（Intelligent Webpage Analysis System, IWAS）能夠根據已知網址、正文內容、關鍵字、代碼特征等對網進行學習和智能分類，真正幫助組織完善網頁訪問行為的管理。

再次，互聯網上數萬臺AC組成了一個龐大的云網絡，自動收集上報新增的、不在URL庫中的網頁，經深信服URL研發小組復核后，加入URL庫中。

以上三重識別體系保證了AC設備的URL識別率，保障了管理員實施URL控制策略的有效性。

2.3.2.2 SSL內容管理

SSL (Secure Socket Layer)協議，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸，利用數據加密技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。正因為如此，一方面，越來越多的網頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網站，而因為采用了加密技術，普通的管理產品無法對其內容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密郵件、BBS、論壇發布的反動言論或者是向外發送組織的機密信息，導致管理漏洞；另一方面，互聯網上存在大量偽造的網上銀行、網上購物頁面，此類網頁利用了網銀、網上購物等普遍采用第三方權威機構頒發的數字證書以實現SSL加密的特性，偽造虛假證書以騙取用戶信任，警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息，導致直接或間接的經濟損失。

AC可以對SSL網站提供的數字證書進行深度驗證，包括該證書的根頒發機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發機構數字證書的釣魚網站蒙騙用戶，此功能亦應用于過濾SSL加密的色情、反動站點，證券炒股站點等。此外，AC擁有專利技術“基于網關、網橋防范網絡釣魚網站的方法”（專利號ZL200710072997.1）具有對SSL加密內容的完全管控能力，支持識別、管控、審計經由SSL加密的內容，如支持基于關鍵字過濾SSL加密的搜索行為、發帖行為、網頁瀏覽行為，審計SSL加密行為如郵件發送行為，為組織打造堅固無漏洞的管理。

2.3.3 代理翻墻共享控制

許多組織統一采用Microsoft ISA、CCproxy、Sygate等代理服務器上網，也有的組織明文規定禁止內網用戶私用代理上網，但仍有用戶將瀏覽器等應用配置公網服務器、私裝代理軟件代理他人上網，甚至使用自由門、無界瀏覽器、IPN等加密代理行為。由于防火墻等設備對內網用戶的管理是基于目的地址和端口的，無法有效區分正常上網的流量和通過代理服務器上網的員工流量。

對于如上情況，AC的深度內容檢測技術能有效識別用戶數據中包含的代理上網流量，通過代理識別模塊可以識別從用戶端發送到達代理服務器之間的應用數據和幾個用戶間的共享上網行為，進而對用戶的違規行為進行管控和記錄。

2.3.4 文件傳輸控制

利用網絡來進行文件傳輸是許多用戶每天的必修課，而在文件傳輸過程中存在種種管理和安全隱患，如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發起外發文件行為而用戶對此茫然無知，有意泄密者甚至會將外發文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發。

AC支持管控文件外發行為，基于關鍵字、文件類型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用webmail收郵件而禁止發送郵件等。其中，僅僅實現對外發文件的審計和記錄顯然無法挽回泄密已經給組織造成的損失，單純的基于文件擴展名過濾外發文件、外發Email也無法應對以上風險。鑒于此AC的文件類型深度識別技術能基于特征能夠識別文件類型，即便存在修改、刪除外發文件后綴名，或者加密、壓縮文件文件外發的行為，AC也能發現并且告警，保護組織的信息資產安全。

2.3.5 郵件收發控制

Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。AC支持基于關鍵字、收發地址、附件類型/個數/大小過濾外發郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發，試圖躲過攔截與審查的行為，AC能夠識別并進行報警。同時，對于所有收發的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數據中心方便管理員對郵件日志進行查詢、審計、報表統計等操作。

一般的，傳統設備處理泄密郵件時只能將其拷貝存儲留作證據，但泄密郵件已經外發，損失已經造成。對此，AC的郵件延遲審計技術（Postponed Sending after Audit, PSA），支持基于用戶、郵件標題、正文、附件等特征攔截泄密郵件，并自動通知審核人員人工審核后再外發，將敏感郵件阻擋于內網。內網用戶發送Email郵件時，在終端上看到已經成功發送的郵件，實際上已被全部轉存至郵件緩沖區。指定的郵件審核人員會獲得郵件通知，經人工審核后，才允許符合組織安全規定的Email郵件發送到互聯網上，而不符合要求的Email則被截留并作為追究責任的依據，有效實現了對泄密郵件的封堵，保護了組織的敏感信息的安全性。

2.4 帶寬管理

2.4.1 流量可視化

帶寬有限，應用無限——組織不斷地擴展互聯網出口帶寬，但仍然感覺不充裕，一旦內網存在網絡行為不規范、濫用帶寬資源的用戶，IT管理員的工作就會飽受抱怨：網絡太慢、業務系統訪問遲緩、頁面遲遲打不開、郵件發送緩慢等。

對此，AC為IT管理員提供了網絡流量可視化方案，登陸AC控制臺后，管理員可以查看出口流量曲線圖、當前流量TOP N應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。

此外，數據中心（Network Database Center，NDC）對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量TOP N用戶、TOP N應用等，并自動形成報表文檔，定時發送到指定郵箱，讓IT管理員輕松掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。

2.4.2 流量管理

當您了解了帶寬的使用情況，并對帶寬進行優化和分配后，我們即將對用戶(組)的上網行為做進一步的管理和控制。

2.4.2.1 多線路復用和智能選路

很多組織擁有電信、網通等兩條以上互聯網出口鏈路，如何同時復用多條鏈路并做到流量的負載均衡與智能分擔？通過AC特有的多線路復用及帶寬疊加技術，AC復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術（專利號：ZL200610061591.9），AC將出網流量自動匹配最佳出口。

2.4.2.2 基于用戶/終端類型/應用/位置/網站類型/文件類型的智能流量管理

有限的帶寬資源如何分配給不同部門/用戶、不同應用、不同的終端和不同的業務，如何保障核心用戶核心業務帶寬，限制網絡殺手如BT迅雷等等占用資源？AC可以基于不同用戶(組)、出口鏈路、應用類型、終端類型、位置、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。從而保證領導視頻會議的帶寬而限制員工P2P的帶寬、保證市場部訪問行業網站的帶寬而限制研發部訪問新聞類網站的帶寬、保證設計部傳輸CAD文件的帶寬而限制營銷部傳輸RMVB文件的帶寬。精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。

2.4.2.3 多級父子通道嵌套技術

AC采用“基于隊列的流控技術”，即建立管道，將不同的控制對象分配到不同的管道里。該技術的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時間、應用協議、網站類型、文件類型、終端類型、位置等對象建立不同的通道，同時小管道繼承大通道的屬性，對于結構復雜又希望實現差異化控制的組織來說可以做到更為精確的控制。

2.4.2.4 動態帶寬分配

組織管理員往往既希望在網絡應用高峰期保障核心用戶、核心業務帶寬，限制無關應用占用資源，又希望在帶寬空閑時實現資源的充分利用。為此，AC支持帶寬的“自由競爭”與“動態分配”，除了基于父子通道進行流量控制之外，還可以根據整體帶寬的利用率進行動態調整，上浮“限制通道”的最大帶寬值，避免帶寬浪費，實現價值最大化。

2.4.2.5 P2P的智能識別與靈活控制

通過封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。AC憑借P2P智能識別技術，不僅有效識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能管控。

區別于傳統的基于緩存丟包的流控方式，P2P智能識別技術能夠有效的從源端抑制P2P流量，釋放外網鏈路帶寬，保障核心業務的應用帶寬。

對于某些企業文化較為寬松的組織，完全封堵P2P可能實施困難， AC的P2P流量控制技術能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。

2.5 行為審計

2.5.1 日志記錄

近年來，一方面隨著國家為了凈化互聯網環境，逐步建立對互聯網行業發展的市場規范，監管力度不斷增強，另一方面，組織出于自身信息安全保護的需求如防止信息資產泄密、預防輿論風險、保留安全事件的相關證據，以及管理上的要求，如考核員工的網絡工作效率、分析網絡應用情況、提供管理依據等，對于行為記錄方案的需求日益明確。

內網用戶的所有上網行為AC都能夠記錄以滿足公安部82號令的要求。AC可針對不同用戶(組)進行差異化的行為記錄和審計，包括網頁訪問行為、網絡發帖、郵件Email、IM聊天內容、文件傳輸、游戲行為、炒股行為、在線影音、P2P下載等行為，并且包含該行為的詳細信息等。

近年來信息防泄密方案備受組織管理員關注，內網員工無意或有意將組織機密信息泄露到互聯網甚至競爭對手，或向論壇BBS發布不負責的言論、網絡造謠等，將給組織帶來泄密和法律風險。AC不僅能基于關鍵字過濾、記錄員工通過Mail（包括Webmail）、BBS、Blog、QQ空間等發布的網絡言論，還支持實時報警功能。

對于使用HTTP、FTP、mail等方式傳送文件所引發的風險（如將研發部的核心代碼發送出去），首先AC可以禁止用戶使用HTTP、FTP上傳下載指定類型的文件，對于上傳的文件AC也可以全面記錄文件內容，做到有據可查。而外發Email潛在的泄密風險通過AC的郵件延遲審計（Postponed Sending after Audit , PSA）技術，根據管理員預設條件，將潛在的泄密郵件先攔截，經人工審核后再發送，保障組織信息資產安全。但存心的泄密者通常會更改文件后綴名、刪除后綴名、壓縮、加密等，再通過Email外發、或通過HTTP、FTP上傳，AC對以上行為同樣可以識別并及時報警。

2.5.2 報表分析

大型組織可能在短短60天就產生數百G行為日志，僅僅實現日志的海量審計尚不足以幫助組織管理員透徹了解網絡狀況，而通過AC獨立數據中心豐富報表工具，管理員可以根據組織的現實情況和關注點定制、定期導出所需報表，形成網絡調整依據、組織網絡資源使用情況報告、員工工作情況報告，等。報表工具主要包括：

■ 內置超過60多種報表模板，并支持自定義報表，管理員可手動設定時間、用戶對象、應用對象、報表周期等；

■ 對比報表：匯總對比、指定用戶組/指定用戶的對比、指定時間的對比等；

■ 統計模板：上網流量/行為/時間統計、病毒信息統計、關鍵字報表、網絡熱帖報表、熱門論壇報表、外發文件行為報表、危險行為報表；

■ 智能報表：管理員可手動設定基于行為特征的風險智能報表，如離職風險報表、工作效率報表、泄密風險報表、異常思想傾向報表，等；

■ 趨勢：流量趨勢、行為趨勢、IM趨勢、郵件趨勢、炒股趨勢等；

■ 查詢工具：流量查詢、行為查詢、時間查詢、病毒日志查詢、安全日志查詢、操作日志查詢等；

■ 內容檢索：網頁搜索、郵件搜索、IM搜索、關鍵字搜索、Webmail/BBS搜索等

2.5.3 日志與隱私的平衡

對用戶網絡行為的記錄一直是一個頗有爭議的話題，許多組織管理員對于部署行為記錄方案可能遭遇的管理阻力和輿論阻力表示擔憂，主要來自“如何避免對關鍵人員（如組織高層領導）的過度記錄”、“如何實現對日志的保護和保密”、“如何控制對日志的訪問和查看權限”三方面，并希望方案提供商能給出合理的解決方法。

對此，AC正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計Key”功能。

在AC上為總裁等高層管理人員創建帳戶時使用DKEY認證，并勾選“不審計此用戶的網絡應用”選項，為總裁生成“免審計Key”?？偛檬褂谩懊鈱徲婯ey”認證后，AC從底層免除對總裁的所有記錄。如果“非善意”人員私下取消AC的免審計選項，總裁再插入“免審計Key”后系統會自動彈出警告，且禁止總裁訪問網絡，徹底保障信息安全。

而如何防止非授權人員訪問數據中心并窺探或惡意傳播他人上網行為日志，甚至導致員工對IT管理員的誤解和埋怨？AC的“數據中心認證Key”技術，保證只有插入該key的管理員才能審計他人行為日志，否則將只能查看統計報表、趨勢圖線等，確保日志不被濫用。

第3章 深信服上網行為管理產品技術優勢

3.1 SSL內容識別與管理

AC擁有專利技術“基于網關、網橋防范網絡釣魚網站的方法”（專利號ZL200710072997.1）具有對SSL加密內容的完全管控能力，支持識別、管控、審計經由SSL加密的內容，如支持基于關鍵字過濾SSL加密的搜索行為、發帖行為、網頁瀏覽行為，審計SSL加密的網頁內容，為組織打造堅固無漏洞的管理。

AC不僅對加密網頁能夠做到內容識別與管理，對于加密的web郵件和客戶端郵件也能做到過濾與審計。不管是SSL全加密的還是TLS半加密，AC都能夠對smtp、pop3、iamp等協議的郵件進行識別、過濾與審計。對于含有私有協議的特殊郵箱如：閃電郵，foxmail和QQ郵箱等，AC也做了兼容處理，能夠做到和標準協議一樣的效果。通過全面對加密郵件的識別過濾與審計，AC幫助客戶實現內網安全，為客戶提供全方位的內容防護，防止數據泄密，填補網絡管理漏洞。

3.2 P2P智能識別技術

P2P（peer-to-peer）應用的興起直接導致P2P軟件及其版本的爆炸性增長，如何對P2P行為進行全面有效的管控成為業界的難題之一?；贗P、端口、種子等封堵方式費時費力且達不到理想效果。AC的深度內容檢測技術對常用P2P軟件進行識別；AC的P2P智能識別技術實現對加密P2P、不常見和未來將出現的P2P的徹底識別，為管理員提供了全面、高效的P2P行為管控手段。

能夠全面識別P2P行為是進一步管控的基礎。對P2P的管控包括封堵和流控兩方面，既可全面禁止指定用戶使用P2P軟件，也可允許其使用但對P2P行為占用的帶寬資源進行限制和管理，從而既優化帶寬資源的使用，又為員工提供了人性化的管理方式。

3.3 免審計Key功能

總裁、高層領導網絡訪問行為，財務部收發的郵件等關乎組織機密信息，怎樣避免記錄此類用戶的網絡行為？業界多數方案是通過將敏感用戶劃分到指定用戶組，通過設備配置界面的勾選，避免對這些用戶網絡行為的審計。但如果“非善意”人員私下重新配置設備對敏感用戶又進行行為記錄，怎么辦？

AC正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計Key”功能。

在AC上為總裁等重要人員創建帳戶時使用DKEY認證，并勾選“啟用DKEY防監控”選項，為總裁生成“免審計Key”?？偛檬褂谩懊鈱徲婯ey”認證后，AC從底層免除對總裁的所有記錄。如果“非善意”人員私下取消AC配置界面上“啟用DKEY防監控”選項，總裁再插入“免審計Key”后系統會自動彈出警告，且禁止總裁訪問網絡，徹底保障信息安全。