当前位置:首页 >> 信息与通信 >>

深信服上网行为管理介绍


业界通用的“上网行为管理”标准即:以精准用户识别、终端识别、应用识别为基础,结合封堵、 流控、审计等丰富的管理手段,并通过部分安全增强功能,为客户轻松应对互联网所带来的安全、

效率、泄密及法律风险等问题。

分类

具体指标 网关模式

深信服科技 AC 设备支持网关模式部署,并具有防御攻击、防病

毒、防 入侵等功能,可以作为组织的出口网关使用,同时代理 内网用户上网 支持以网桥模式部署, 并支持电口 Bypass 和光口 Bypass 功能 旁路部署简单方便,并能提供强大的行为记录和审计功 能 一台 AC 设备形成多对桥接口,以适应用户的 VRRP、双 击等双冗余网络环境 支持 SSL 加密形式 WEB 化设备管理界面、支持 SSH 命令 行管理方式。 支持系统管理员和普通管理员。AC 上各功能模块的查看 与配置权限可以分配给不同管理员;不同用户分组的查

部署 模式

网桥模式 旁路模式 多路桥接 设备管理

管理员分级管理 可管 理性 在线用户管理 冻结用户管理 策略故障排除工具 本地认证 (localDB) 第三方 LDAP 认证 第三方 Radius 认 证 第三方 POP3、 用户 识别 Web 认证 PROXY 认证

看和编辑权限可分配给不同管理员;所有管理员都可以 查看上网策略对象,但普通管理员只能删除和编辑自己 创建的上网策略对象; 通过控制台界面可实时查看在线用户名单及 IP、登录时 间、在线时间、所属组、认证方式等信息。 支持临时冻结指定用户的网络访问权限,并在超时后自 动解冻;支持对冻结用户的查询和管理。 支持图形化的策略故障排除工具,方便管理者查找定位 由于策略配置不当导致的故障 将用户账号信息静态配置并存储于设备内 支持 OpenLDAP、SUNLDAP、微软 AD 等,便于与组织内部 原有 LDAP 认证融合 支持用户账号存储于第三方 Radius 服务器,AC 实现与 Radius 的联动 AC 支持与现存的 POP3、Proxy 服务器中的账户信息进行 联动认证,方便部署 为接入用户提供 Web 认证功能,并能与第三方 LDAP、 Radius、POP3、Proxy 完善结合;无需将第三方认证服 务器上的帐户信息创建到设备上;并且支持为指定网段 用户不启用 Web 认证功能。 通过 USB-Key 认证,提升用户账号的安全性。 高端用户三层网络环境下依然能够实现客户端 IP-MAC 绑定功能 以用户的 IP 地址标示用户的身份 以用户的 MAC 地址标示用户的身份

USB-Key 认证 IP-MAC 绑定 IP 认证 MAC 认证

LDAP 单点登录 强制域帐号登录系 统 POP3、Proxy 单点 登录 指定 IP 段必须单 点登录

无需在 LDAP 服务器上安装插件, 通过数据包监听方式实 现 LDAP 单点登录 支持强制用户登录操作系统必须使用域帐号,否则不能 访问互联网 用户只要通过 POP3、Proxy 的认证,将自动通过 AC 的认 证 指定 IP 段内的用户必须使用单点登录, 否则不允许访问 互联网 未创建账号用户以其计算机名、IP 地址等作为新用户名 自动创建帐户(也可到指定的第三方服务器验证) ,同时 绑定 IP、绑定 MAC、绑定 IP-MAC,并自动分配到指定用 户组,享有指定网络权限。 根据未创建帐号用户的源 IP 段,将自动创建用户,并分 配到指定的用户组、赋予指定的网络访问权限 支持向认证通过的用户定向显示指定页面,如组织的公 告页面等 支持给未认证通过的用户授予低级别网络访问权限(根 组权限, HTTP 除外) 非公用账号重复登陆,支持是否踢掉前一次登陆 用户分组支持树形结构,支持组内套组、父组、子组等 支持按照 OU(组织结构)或 Group(安全组)方式将 AD 域控服务器上的用户组织结构读取到 AC 的树形用户分 组结构中,并保持自动同步 支持文本导入,一次性导入用户名,组名,IP,MAC,认 证方式,描述,密码 七个信息;支持从 LDAP 导入用户信息;支持自动扫描内 网 IP、MAC 信息; 识别操作系统版本,防止版本陈旧操作系统的用户访问 互联网 识别操作系统的补丁安装情况,防止不及时安装操作系 统补丁的终端接入互联网 可以检测终端电脑的系统进程,对于运行非法软件,不 运行指定软件的终端,将不允许接入互联网 识别终端操作系统的硬盘文件情况,安装非法软件,不 安装指定软件的终端,将不允许接入互联网 识别和检测终端电脑的指定注册表表项和键值,有效检 测终端防毒软件、防火墙软件的状态 海量预分类的 URL 地址库;支持用户手工添加新的 URL 地址和分类 部分论坛、网络聊天室等所采用的非 TCP 80端口访问的 URL 地址,同样可以识别和管理 对搜索引擎中输入的关键字进行过滤,形成对静态 URL 库的补充

自动创建帐号

基于源 IP 自动分 组 认证通过后显示指 定页面 认证未通过用户权 限控制 认证冲突处理 树形用户分组结构 AD 域同步

账号导入

操作系统版本识别 操作系统补丁识别 终端 识别 系统进程识别 硬盘文件识别 注册表识别 海量 URL 库 应用 识别 网页识 别 非标准端口 URL 识 别 搜索关键字过滤

网页正文关键字过 滤 SSL 加密网页识别

基于网页正文内容的关键字智能分析和过滤技术,有效 管理用户的网页访问行为 对于互联网上日益泛滥的加密网页进行识别和过滤,防 止用户访问钓鱼网站、在线炒股基金网站、SSL 加密的 色情、反动网站等。

网络发贴过滤 HTTP 传输文件识 别 文件类 型识别 FTP 文件传输识别 非标准端口 FTP 识 别 应用识别规则总量 手工添加应用识别 规则

基于关键字对网络发贴进行过滤,防范法律违规 右键“另存为”方式的 HTTP 文件下载, 或通过页面跳转 方式的 HTTP 文件下载,都可以识别;对于 HTTP 方式的 文件上传也可以识别。 识别 FTP 形式的文件上传、下载,支持对文件类型的识 别和过滤;支持对非标准端口的 FTP 行为的识别。 通过非标准端口的 FTP 进行文件上传、下载,同样可以 对文件类型进行识别和过滤 目前已经具有20多个大类、超过260条应用识别规则,是 中国最大的应用协议识别库 客户可以手工添加基于“深度内容检测”技术的新的应 用协议识别规则,实现个性化识别和封堵、提供无限扩 展能力 识别包括:联众游戏、游戏中心、浩方、QQ 游戏、MSN Game、边锋游戏、联众好友、新浪游戏大厅、网易泡泡 游戏、游戏茶苑、互动游戏中心、Tom 在线游戏、UU 棋 牌、远航游戏等 识别包括:BT、Emule、Kugou、Bagaa、PP 点点通、百 度下吧、百宝、Gnutella 等 识别加密 BT、加密电骡等加密 P2P 行为,为进一步对加 密 P2P 行为的管理提供基础 对于业界存在的版本众多的 P2P 工具都可以识别,进而 为进一步的管理提供基础 能够识别不常见、不常用和未来可能出现的 P2P 行 为 , 从而为用户提供了一劳永逸的解决方案 识别包括:QQ 聊天、QQ 传文件、QQ 游戏、QQ 远程协助、 腾讯 TM、MSN 聊 天 、 炒 股 、 传文件、 MSN MSN 雅虎 Messenger、 新浪 UC、网易泡泡、Skeye、移动飞信等 识别包括:大智慧、钱龙、股票行情、同花顺、证券之 星、富贵满堂、未来趋势、分析家2006、和讯股道、股 道、通达信全系列炒股软件、华安证券、银河证券、MSN 炒股等 识别包括:PPlive,QQ 直播,PPStream,沸点,UUsee,风 行 ,Mysee,5TTK,PPGou,PPRich,QVoD,TVKoo,P2PSrv,PPVoD 等 以半小时为单位,支持任意的时间段设置;支持每天多 个时间段设置;支持每周七天每天各不相同的时间段设

网络游戏识别

常见 P2P 识别 加密 P2P 的识别 应用协 议识别 版本泛滥 P2P 的识 别 不常见 P2P 的识别

IM 聊天工具识别

炒股软件识别

在线流媒体识别

封堵

时间控 制

自定义上网时间段

置,为客户提供最灵活的的时间段控制能力。 上网时长控制 上网控制 网络发帖封堵 文件类型控制 应用协议控制 客户端代理软件识 别 基于发件人地址过 滤 Email 基于关键字过滤 Email 基于附件类型过滤 Email 基于收件人地址拦 Email 管 控 截审计 Email 基于邮件大小拦截 审计 Email 基于附件个数拦截 审计 Email 基于关键字拦截审 计 Email 基于关键字过滤 Webmail 上网策略对象 策略管 理 复用策略对象 策略继承 策略强制继承 多线路复用 多线路智能选路 流控 免流控功能 P2P 流控 基于应用类别的流 能够对用户的总上网时间进行限制,并支持对指定端口 的流量不进行计时统计和限制 支持分组、分时段、分用户控制使用网络服务,支持为 用户设定网络访问时间限额和网速限额。 基于发帖正文关键字进行网络发帖的过滤和封堵 对于通过 HTTP、FTP 上传下载指定文件类型的行为进行 管控 基于 AC 最全的网络应用协议识别库,能够对前述的网 游、IM、炒股、在线流媒体、P2P 工具等进行封堵。 能够识别客户端安装代理软件代理他人上网行为,并进 行拦截与封堵 根据发件人地址过滤指定 Email 的发送 根据 Email 的正文关键字、标题关键字过滤指定 Email 的发送 根据 Email 附件的类型进行 Email 发送的过滤 根据收件人地址对发送的 Email 邮件进行拦截,人工审 计后才决定是否允许外发 根据邮件大小对发送的 Email 邮件进行拦截,人工审计 后才决定是否允许外发 根据附件个数对发送的 Email 邮件进行拦截,审计后才 决定是否允许外发 根据邮件正文关键字、邮件标题关键字对发送的 Email 邮件进行拦截,人工审计后才决定是否允许外发 根据 Webmail正文关键字过滤通过 Webmail发送的 Email 邮件 策略对象与用户无关联;默认支持512条上网策略对象。 用户上网权限以策略对象呈现, 策略对象与用户无关联, 策略对象支持复用 子组支持继承父组的策略对象,从而简化配置操作 父组要求子组强制继承的策略对象,子组无法删除、修 改、绕过等,保障权限的可控性。 最多四条公网线路可以同时连接到设备上, 多线路复用, 扩展了出口带宽 用户流量可以自动选择最快的外网线路,实现多线路智 能选路功能 对指定的应用类型、网站类型、文件类型的访问行为, 支持免流量管理和控制功能 允许指定用户使用 P2P 行为,但对其占用的带宽资源进 行管理和控制 可以根据用户的应用协议行为进行流量管理

控 基于网站类型的流 控 基于文件类型的流 控 基于用户组的流控 基于单用户的流控 基于时间段的流控 基于外网 IP 的流 控 WAN->LAN 流控 带宽通道状态查看 流量 TOP10应用查 看 可以根据用户访问的网站类型进行流量管理 可以根据用户上传、下载的文件类型进行流量管理 可以为不同用户组施加不同的流量管理措施 可在同一个配置界面中实现对指定用户组内每用户的流 量划分与分配 可以根据不同的时间段,进行差异化的流量管理措施 为外网每个 IP 进行带宽划分与分配 将出口中指定的带宽资源划分并分配给对外提供访问的 指定服务器 支持实时查看各带宽通道的使用情况、状态、流量等 能够实时查看当前流量前十名应用名称 对用户的流量进行实时排名,排名信息包括用户名、所 实时流量排名 实时监 控 实时会话排名 实时连接监控 内置数据中心 属组、IP 地址、总流量、各主要应用的流量、机器名等 ; 同时支持手动刷新、自动刷新、以及指定用户的临时冻 结等。 能够实时根据用户的总会话数进行排名 实时监控指定用户的连接情况,包括目标 IP、目标端口 等信息。 设备内置数据中心,实现日志的存储、查询、审计等, 以满足对日志量记录和审计要求较小的客户的要求; 内置数据中心支持自动删除 XX 天以前的日志; 或当磁盘 磁盘占用报警 审计 数据中 心概况 空间占用超过 XX%时自动删除前一天的日志,确保磁盘 剩余可用空间正常; 海量日志存储能力 第三方日志服务器 通过将行为日志自动转存于第三方日志服务器,实现日 志的海量存储 日志自动转存于第三方日志服务器, 以数据库格式存储, 方便查询和审计 接入日志中心的管理员支持基于 USB-Key 的硬件认证; 数据中心认证 Key 不使用 Key 的管理员只能查看趋势及统计信息,无权审 计、查询详细行为日志 图形化日志统计工 具 审计范 围 记录网站的 URL 地 址 记录网站的网页标 题 通过图形化的数据中心,方便用户对行为日志的查询、 审计、统计,并支持以饼状图、柱状图、曲线图等形式 直观显示统计结果 能够记录用户所访问网站的 URL 地址 记录用户所访问网页的网页标题内容

记录网站的网页内 容 记录发送 Email 的 正文及附件 记录接收 Email 的 正文及附件 记录发送 Webmail 正文及附件 网络发帖纪录 记录 MSN、雅虎通 聊天内容 记录 QQ、Skype、 MSNShell 聊天内 容 文件传输行为记录 网游行为记录 炒股行为记录 P2P 下载行为记录 在线流媒体行为记 录 WAN->LAN 的审计

记录用户所访问的整个网页内容;或只记录含有指定关 键字的网页正文内容 记录用户发送的 Email 邮件的正文及附件 记录用户接收的 Email 邮件的正文及附件 记录通过 Webmail 发送的邮件的正文及附件 全面记录内网用户向公网 BBS、论坛、博客发布的内容 及附件 记录 MSN、雅虎通等明文聊天内容

能够记录 QQ、Skype、MSNShell 等加密的聊天内容 记录用户通过 HTTP、FTP 下载的文件信息,记录上传的 文件信息和文件本身 记录内网用户的互联网网络游戏行为 记录内网用户的互联网炒股行为 记录内网用户的 P2P 下载行为 记录内网用户的在线流媒体行为 对于外网用户通过 Internet 在内网服务器上的发贴、 文 件传输、访问的 URL 地址、收发的 Email 等行为进行日 志记录 记录和审计在指定时间段内,某用户/某应用的上网时 长,某用户使用某应用的上网时长 记录和审计在指定时间段内, 某用户/某应用的流量统计 情况,某用户使用某应用的流量统计情况;包括组流量 排行,用户流量排行,ip 流量排行,应用流量排行合网 站分类流量排行;各流量统计都支持生成报表和订阅 可将用户指定的审计、统计、报告等功能页面加入数据 中心首页,方便后续使用 包括组行为,用户行为,ip 行为,应用类型,邮件地址 , url 排行合动作分布排行,行为统计结果支持生成报表 以及订阅 支持对用户上网时间的统计、用户流量统计、应用流量

时间记录和审计

流量记录和审计

自定义链接

上网行为统计

易用性

统计工具

统计、上网活跃度统计;最长访问的 URL 统计、最常使 用的应用统计、邮件行为统计等 支持对用户流量趋势、应用流量趋势、P2P 流 量 趋 势 、

趋势工具

邮件行为趋势、IM 行为趋势、炒股行为趋势等的查询和 审计 与前一天、上一周,前一月产生的所有用户的上网行为、 访问网站、IM、炒股、P2P 等进行对比,形成报表

汇总对比报表

将指定用户、用户组的上网行为分布、流量、趋势等与 指定对比报表 上一天、上一周、上一月进行对比,方便管理者知悉上 网行为管理策略的实施效果 将指定用户、用户组、指定应用、指定时间段的行为统 自定义统计报表 计、流量形成报表,并自动周期性发送到指定邮箱,方 便管理者对网络的掌控 将指定用户、用户组、指定应用、指定时间段的流量、 自定义趋势报表 流速、行为形成趋势报表,并自动周期性发送到指定邮 箱,方便管理者对网络的掌控 将上网行为的所有情况汇总成报表,可以一次性生成一 自定义汇总报表 个报表,或每天、每周,每月形成一次汇总报表,并自 动发送到指定邮箱。 行为日志内容检索 日志附件内容检索 主题订阅 通过类似百度的搜索界面,支持对海量行为日志的内容 搜索 内容检索功能,支持对日志所包含的 OFFICE、PDF、TXT 等附件文件的内容搜索 将含有管理者指定关键字的内容检索结果,自动发送到 指定 Email 邮箱 所有查询页面,包括流量查询、邮件查询、网络监控查 Excel 导出 询、上网时间查询、操作日志查询页面的查询结果均支 持导出 EXCEL 和订阅功能 免审计 Key 自动告警 防范来自公网 DOS 防范来自内网 DOS 防范 ARP 欺骗 安全 保障 Email 中病毒的查 杀 网页中病毒的查杀 FTP 文件传输的病 毒查杀 防火墙 NAT 地址转换 使用免审计 Key 的用户所发生的网络访问行为,将不进 行记录和审计 将病毒、DOS 攻击、含有指定关键字的网络发帖、可能 的泄密邮件发送行为等,以 Email 形式自动告警 来自公网、攻击内网的的 DOS 攻击,支持防御 爆发于内部网络的 DOS 攻击,支持检测和防御 防御内网发生的 ARP 欺骗问题 对 Email 中潜藏的病毒、威胁等进行查杀 对网页访问流量中潜藏的病毒进行查杀 对 FTP 传输的文件中所潜藏的病毒进行查杀 支持基于状态监测的企业级防火墙,不仅保障网关设备 安全,还能保护组织内网安全 支持 DNAT、SNAT 等多种 NAT 地址转换策略 公安部销售许可证 公安部信息安全产品检测中心检验报告 国家信息安全认证产品型号证书 一种在网关、网桥上实现用户安全接入外网的方法 专利 一种电子邮件的安全审查方法 一种基于网关、网桥的防间谍软件侵犯方法 一种基于网络应用中的 P2P 流量识别控制方法

产品 资质

利用网络设备实现代理服务器负载均衡的方法 基于网关、网桥防范网络钓鱼网站的方法 具有国密办商用密码产品生产定点单位证书 具有国密办商用密码产品型号证书 具有国密办商用密码产品销售许可证 厂商 资质 具有公安部销售许可证 具有公安部信息安全产品检测中心检验报告 厂商具有自主知识产权证明 连续四年荣获德勤亚太高成长500强 连续四年荣获德勤中国高成长50强


相关文章:
深信服上网行为管理部署方式及功能实现配置说明
深信服上网行为管理部署方式及功能实现配置说明(标化院) 设备出厂的默认 IP 见下表: 接口 ETH0(LAN) ETH1(DMZ) ETH2(WAN1) IP 地址 10.251.251.251/24 ...
深信服上网行为管理解决方案
2.2.1 安全便捷的用户认证为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便 捷的认证方式,深信服上网行为管理可以提供如下多种身份认证。...
网康、深信服上网行为管理功能对比
网康、深信服的功能对比本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。 参数列表 基本参数厂商及产品简介 网康科技公司...
深信服上网行为管理解决方案
深信服 SINFOR AC 上网行为管理解决方案一、上网行为管理与企业竞争力 随着 Internet 的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方 面也给企业带来...
深信服上网行为管理产品介绍
深信服上网行为管理产品介绍_IT/计算机_专业资料。深信服上网行为管理产品介绍 概述深信服 AC 系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对...
深信服上网行为管理操作步骤(傻瓜版)
深信服上网行为管理操作步骤(傻瓜版) 简介:文档把做上网行为管理策略的部分抽出来,如果觉得用户手册内容太多,看起来太麻烦的,可以看看这个文档简介:文档把做上网行为管...
深信服上网行为管理解决方案
30 深信服科技版权所有 www.sangfor.com.cn iii 深信服上网行为管理解决方案 文档密级:公开 第1章 1.1 1.1.1 需求概述 需求分析带宽效率风险 随着互联网的普及...
深信服上网行为管理(AC)产品白皮书
22 深信服科技,提升带宽价值 http://www.sinfors.com 第 2 页,共 25 页 SANFOR AC 上网行为管理产品白皮书 互联网对组织提出的挑战随着信息技术、特别是网络...
深信服上网行为管理禁止访问某个网站的方法
深信服上网行为管理禁止访问某个网站的方法_计算机硬件及网络_IT/计算机_专业资料。禁用某一个网址的方法: 1. 对象定义——URL 分类——新增,添加一下这个网址: ...
深信服上网行为管理M5000-AC产品参数及介绍
深信服上网行为管理M5000-AC产品参数及介绍_IT/计算机_专业资料。上网行为管理第一品牌南京秉创信息技术有限公司 南京秉创信息技术有限公司 ---深信服 M5000-AC 上网行...
更多相关标签: