北京安泰金志科技有限公司

随着信息技术的发展和进步，尤其是网络的兴起和普及，组织和个人的联网条件得到改善，而组织内部员工已经不限于通过与同事闲聊来打发上班时间，网上购物、与好友通过IM（即时通讯，Instant Messenger）工具在线聊天、在线欣赏音乐和电影、通过BT等P2P工具下载、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。

针对用户互联网访问行为的管控与审计，美国于2002年颁布实施的《萨班斯-奥克斯利法案》对组织的内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施的《互联网安全保护技术措施规定》-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络访问行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上。

Dynamic Markets Limited每年会对全球企业员工和IT主管进行调查，一方面了解员工的上网习惯，另一方面从IT主管的立场来认识企业所面临的网络问题。其中对中国的调查结果令人吃惊：在办公室中国员工每周比其他国家员工多花7.6小时来使用IM、玩游戏、P2P或在线媒体；中国员工上网下载音乐的时间比其他国家高16%；上网进入聊天室和玩在线游戏两方面花费的时间分别比其他国家高约8%和12%！

员工沉溺在互联网带来的诱惑之中，组织有限的网络带宽资源却被不断蚕食和破坏。包括BT、电骡、迅雷等带宽资源“吞噬者”，让原本有限的带宽资源更加紧张，大部分员工抱怨网速太慢，带宽的拥塞除直接干扰视频会议、VOIP等对带宽较为敏感的系统正常运作外，还极大降低了各种基于互联网的业务运行的效率，给组织带来了更大的业务风险和机会成本！与此同时，不受限的互联网访问使得员工可能无意识甚至是恶意访问众多可能危害组织网络的内容，例如通过Web、IM和文件共享带来的病毒、蠕虫和木马，可以随着鼠标简单点击轻而易举的侵入内网。不受控的互联网访问可能带来的风险远不止上述那些，因为缺少有效的管理手段而导致的泄密、违法事件日益突出，正逐渐成为管理者头顶的达摩克利斯之剑。

让人无奈的是，员工的不规范网络行为往往是组织为其买单，除了因上班时间无心工作所带来的直接损失外，组织还面临着承担法律责任和泄密风险。部分员工利用上班时间访问内容不当的网站（如色情、反动等）、发表不负责的网络言论、甚至组织或参与非法网络活动，例如网上诈骗、网络攻击，这些行为将使组织名誉受损、蒙受牵连。组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。

值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现对员工的上网行为进行管理，接下来，让我们深入了解深信服AC上网行为管理解决方案如何帮助组织轻松解决互联网所带来的问题。

深信服科技的SINFOR AC为您带来了全面而灵活的用户上网行为管理解决方案。在此，我们通过在管理网络带宽、提升工作效率、保障内网安全和规避泄密和法律风险等四个方面的详细介绍阐述SINFOR AC为您带来的巨大价值。

组织有限的带宽资源，如何分配给不同部门/用户，如何保障服务器及关键应用对带宽的要求？SINFOR AC可以针对不同用户(组)结合具体应用进行合理的带宽通道划分，如为内网服务器提供充足带宽、保障市场部Email收发的带宽需求、为市场部每位员工平均分配带宽资源等，充分体现了不同部门、员工及应用的区别，既防止带宽滥用，又提升了带宽的使用效率。

SINFOR AC拥有深信服科技特有的多线路复用及带宽叠加策略技术（专利号：200310112006X），组织通过AC可同时连接多条互联网线路，形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL03113974.4），内网用户访问不同运营商的资源时，AC能够自动为用户匹配最佳出口。

AC强大的QoS（服务质量）技术包括专用带宽保留、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证，以此使流经AC的数据进行优先级处理，保障重要应用的带宽质量和服务质量。

P2P行为对带宽的吞噬能力众所周知，传统通过封堵服务器地址或端口等方式，已经不足以应对越来越智能的P2P行为了，而新的P2P软件层出不穷，更是让大多数P2P控制手段束手无策。SINFOR AC则改变了这一切。凭借P2P智能识别专利技术(专利号： 200610156977.8），不仅能识别和管控用户常用的P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。基于管理上的需要，完全禁止使用P2P这样的简单管理方法可能导致员工不满而导致实施困难，SINFOR AC提供的P2P流控技术使得管理员能够限制指定用户的P2P应用占用的带宽，既允许用户使用P2P，又不会滥用组织宝贵的带宽资源，充分满足了管理的灵活性。

AC的数据中心（Network Database Center，NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以了解哪些行为占用了带宽资源，并自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。

上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时间对内网员工的网络行为进行管理和引导？

上班时间浏览新闻网站、论坛发帖等私人活动，管理者却难以阻止，AC能针对不同用户(组)提供基于角色的管理方法，庞大的URL分类库让管理者轻松实现指定的员工和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

基于URL地址库的管控只是上网行为管理的一小部分，由于互联网飞速速度发展，全球URL数量正以惊人的速度增长，因此，仅仅采用URL库方式无法满足管理的真正需要，真正有效的方法是实现对内容的管理。无论员工访问何种URL地址、进行怎样的访问行为，例如上班时间下载电影/电视剧、搜索最新网络新闻/图片/视频、上班时间更新博客、上传图片、下载软件等问题，AC通过定义网页关键字、限制用户搜索指定关键字、过滤用户上传下载的文件格式等方式合理控制员工能够访问的互联网内容，将员工精力更多聚焦在工作上。

互联网应用极大丰富，从聊天到游戏、从P2P下载到在线电影，员工能使用各种应用程序从互联网上获得异常丰富的娱乐体验，而对层出不穷的应用程序的管理也日益成为IT管理者的心病。有别于传统防火墙IP+端口的落后管控方式，SINFOR AC具有深度内容检测技术，通过对应用协议和数据包特征的分析来识别具体的应用程序，无论应用程序如何变化连接的服务器IP和端口，AC都可以准确识别。

在SINFOR AC的帮助下，管理员可以利用AC内置的15大类153种应用程序的识别规则轻松封堵对应的应用程序，而如果基于管理上的需要，在不方便直接封堵的情况下，管理员还可以针对特定应用程序进行流量控制的管理。

上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒传播和机密信息通过IM泄密的问题，因此对于IM的管理日益重要，众多组织都通过各种手段试图封堵各种IM应用，但使用传统网络安全设备管控灵活多变的IM应用已经捉襟见肘，SINFOR AC基于应用协议的深度内容检测技术能够完美的帮助管理员实现对各种IM工具的完全封堵。

在某些情况下，基于业务需要或管理问题，完全封堵IM工具对某些组织来说比较困难，因此管理者希望能有效的管理IM聊天的通讯内容。但由于目前QQ、Skype、飞信等众多IM工具都采用加密方式进行传输，其它IM工具加密化的趋势也越来越明显。通过SINFOR AC特有的聊天内容同步侦听技术（Real-time Monitor for Messages , RMM)来实现对QQ等加密聊天内容的监听和记录，帮助组织在开放IM的同时确保聊天内容可审可控。

每个组织都有其工作时间安排，非工作时段适度的允许员工上网能够使组织在确保效率的同时体现足够的人情味，所以，根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。SINFOR AC提供基于时间的丰富管理策略，能针对不同部门或不同人员的身份赋予不同时间的不同权限，即能够控制在特定时间段内的上网权限，也可以限制员工一天内总的上网时间，实现人性化管理。

面对互联网的威胁，虽然许多组织已经在互联网入口处部署了防火墙、IDS等设备，但内网依然病毒频发、攻击不断，堡垒最容易从内部突破，内网员工不受控的互联网访问行为导致其无意中主动“邀请”病毒、木马等进入内网，如何应对这些导致传统安全技术失效的上网行为所带来的风险？SINFOR AC提供了完整的应对方案。

AC内置自动更新的海量URL库，包括色情、暴力、反动和恶意站点等分类，潜藏在此类网站中的威胁将被AC轻松过滤；AC允许用户手工添加新URL分类和新URL地址，帮助管理员完善URL库。与此同时，AC还支持过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，从而实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。

互联网上日益流行的假冒网上银行的钓鱼网站、SSL加密的反动网站等，显示“加密化”已经成为趋势，而业界多数设备根本无法对SSL加密网页进行管控。AC通过证书链检测及证书黑白名单技术，过滤含有不可信任数字证书的SSL网站，避免员工通过组织的互联网接口访问各类假冒网银、假冒网上证券等钓鱼网站，从而保护了员工和组织的利益，这项技术对过滤和屏蔽使用SSL加密过的色情、反动、邪教等非法站点也有完善的效果。

通过QQ、MSN等IM工具传播的病毒，会引诱用户下载指定文件或打开指定URL链接而实现快速的传播，而员工打开通过HTTP、FTP从互联网下载的各类文件时，也有很大几率感染各类病毒和木马，这些病毒、木马通过单个员工的无意识操作即可顺利进入内网，除了可能感染更多用户甚至瘫痪整个网络之外，有目的性的木马的植入还可能导致泄密、针对性的破坏等对组织伤害极大的后果。

从另一方面说，文件传输也是组织泄密的主要形式，有太多的方式可以在组织无法察知的情况下悄悄地将组织最核心的机密传送出去。因此，对文件传输的控制和内容安全的保障是上网行为管理中很重要的一个关注点。

针对这类风险，首先要做的是有效管理员工的文件传输行为。SINFOR AC可以有效的根据不同类型的传输方式给予相应的处理手段，除了可以限制用户通过HTTP、FTP上传下载指定类型的文件外，还可限制使用QQ、MSN等工具传递文件；对于允许下载的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马，而具有权限的员工上传的文件则可以进行相应的记录，作为组织的一种防范措施。

根据木桶理论，组织内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，进一步将感染整个内网用户群。借助网络准入规则技术（Network Admission Rules，NAR）（专利号：200510037455.1），AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，操作系统未安装指定补丁、不运行指定安全软件或其它用于帮助提升桌面安全的工具（如组织统一部署的桌面管理软件）就不允许接入Internet，从而修复内网安全短板。

即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击传统安全技术都进行了防御，而来自内网的DOS攻击由于关注点的不同传统技术并未采取对应措施，爆发于内网的DOS攻击不仅吞噬带宽，还严重影响出口网关的稳定。传统防火墙和网关较难防御来自内网的DOS攻击，定位于上网行为管理解决方案的SINFOR AC通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。

病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet，定位故障点又颇为麻烦，有别于部分厂商依赖第三方软件的方案，AC通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。

伴随互联网的普及，利用网络进行的违法行为层出不穷，因传播色情内容、网络泄密、网络造谣和非法言论等情况导致的刑事案件新闻已屡见不鲜。如果员工利用组织网络发生以上行为，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件压力的承担者。

办公室中太多的信息，无论是涉及组织前途命运的机密资料还是总裁办公室的八卦新闻，员工都可能会在有意无意中进行传播。而互联网的便利使得他们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式来实现信息的外发。如前所述，AC能够封堵IM聊天软件，过滤和审计Email邮件收发，过滤访问论坛、网站的行为，而网络发帖AC一样可以进行过滤和审计，让员工们认识到自己需要为其网络行为负责。

严谨的上网行为管理要求组织部署完整的认证体系来确保每个接入者的网络使用权限。SINFOR AC提供了完整的身份认证体系：可以启用Web方式的用户名/密码认证，IP和MAC地址绑定，或与组织的Radius、LDAP、微软域控服务器联动，AC甚至可以借助组织的POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何互联网资源。

互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致组织受到牵连。AC的访问控制系统通过对HTTP、FTP、IM工具、邮件收发的内容检测和控制，可以阻止员工搅入版权问题；同样，当员工已经出现违法违规问题时，你可以在AC的数据中心中找到其违规记录，进而使组织避免不必要的纠纷。

员工个人偏好导致的非正当网络行为，例如访问色情、反动网站等，AC能有效过滤和拦截；AC亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在AC数据中心中找到相关记录作为法律举证的重要依据。

如何保存和审计海量的网络行为日志，如网络发帖内容、外发信息详情、网站访问记录等？大型组织每天行为日志可达数十G，如何满足“公安部82号令”要求保存60天的要求？存储于网关设备本身，不仅存储空间有限，频繁的日志查询、统计、审计等操作还会严重影响网关性能。AC不仅支持中小规模组织存储日志于设备本身的要求，同时支持海量日志转存到第三方日志服务器，图形化的数据中心，让日志的查询、统计、自动报表等轻松实现。

如何从数十G、甚至上百G的海量日志中找到泄密证据、或管理者感兴趣的内容？AC数据中心提供的内容检索功能，让管理员类似Google、百度搜索一样，方便、轻松搜索需要的内容，并支持自动发送管理员指定关键字的检索结果到指定的Email邮箱。

在这一部分，我们将会展示组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为管理领域的丰富经验，我们强烈建议您按照顺序阅读，这样会使上网行为的管理更具方向性，且有助于后期的管理和维护。

为了给不同用户、不同部门授予差异化的互联网访问权限，包括差异化的行为审计策略，首先要规划和建立组织的用户分组结构。通常可以按照行政架构或IP分段/VLAN信息建立组织的用户分组结构，如建立“领导组”、“市场部”、“研发部”等，在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。

创建用户分组时AC支持以指定的用户组为模板，复制同样的网络权限，简化管理者的操作；而创建用户的过程同样简单方便，在支持用户名/密码身份验证方式的同时，AC提供绑定IP/MAC功能，并提供多种身份认证方式，可以限定账号的生效期限，并支持建立多人共用的同一账号等，丰富的用户身份识别方式使得管理员可以自由的根据实际用户在组织内的身份和权限合理安排其对应的认证手段。。

如果管理员已经将用户信息汇总到Excel、TXT等文件中，那么他将通过AC的导入导出功能更加快捷的创建用户和分组信息；而很多组织的AD域控服务器上现存的用户信息，也能够通过简单的鼠标点击而导入到AC设备中，实现统一认证。

AC支持自动添加未及时创建的用户、新员工等，同时绑定IP、MAC等，并将其分配到指定用户组中，继承指定的网络权限，方便了管理者的使用和权限的控制。

SINFOR AC所支持的多种身份认证方式将为您带来巨大的便利性。用户账号/密码信息既可存储于AC设备本身，又支持与组织现有的LDAP、微软AD域控制器、Radius服务器联动，甚至可以利用组织POP3服务器、PROXY服务器上的现有帐户信息来构建AC基本的帐号数据库，而无需管理员逐一添加用户帐号，对于数百人甚至上千人的大型网络来说，这个特性是极其重要和必要的。

SINFOR AC支持无需客户端软件的WEB认证方式，员工访问任意互联网网址时浏览器都会自动重定向到AC的WEB认证窗口，输入合法账号后即可访问互联网；AC支持向未通过的用户显示单位通告等指定网页，告知用户不能上网的原因及对应的解决方法；当用户指定时间内无流量，将自动注销用户，以提升用户在线的安全性。

在某些应用环境中，为了避免用户端有过多的操作，AC支持对所有或特定用户免认证，也可采用基于IP/MAC绑定的认证技术，如AC内设领导电脑的IP/MAC绑定信息，则该领导可自动通过AC认证。

对于使用LDAP、POP3、PROXY账户作为上网账户的组织，AC能够支持用户的单点登录功能，在用户通过LDAP认证（如用户登录了Windows域）、从对应POP3邮件服务器上收取了邮件或是通过了PROXY的认证后，用户无需再次输入AC的认证帐号即可自动获得对应上网权限。

由于采用帐号认证手段不可避免遭遇帐号盗用风险，为进一步提升用户认证的安全性和方便性，AC支持采用USB-Key的认证手段，用户只需在计算机上插入USB-Key，输入USB-Key对应的PIN码后即可通过AC的身份认证，使用基于USB-Key的双因素身份认证技术可彻底拒绝账号破解和身份冒充的威胁。

在网络的管理过程中，管理员往往需要进一步了解组织的互联网带宽的使用情况，了解带宽被哪些员工占用、哪些应用挤占了大部分的互联网带宽。

通常组织的互联网带宽比较有限，即使充裕，如果员工网络行为不规范，IT管理者仍然饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开等，IT管理者需要确知组织带宽的使用情况，这正是AC所能给您带来的价值体现：

登陆AC控制台后，管理员可以直观查看WAN口流量曲线图，并可通过AC的数据中心NDC进一步详细查看、统计昨天或指定时间段的流量情况。管理员可以统计指定时间段指定分组或用户的流量情况，通过饼状图、柱状图、曲线图等直观展现；还可基于用户进行上行流量、下行流量、总流量等排名，找到流量最活跃的员工。

举个例子，通过数据中心对流量统计，管理员发现工作与Internet不太相关的财务部却占用45％的广域网流量，而其PC量只是总PC量的2％。此情况时，管理员可立即查询财务组中哪些服务占用带宽最多，是Web浏览、FTP还是P2P共享，如果是P2P共享，则进一步查询哪个人使用最多的P2P下载，在哪一时间段使用。如果发生在上班时间内，则需要采取进一步措施：限制该员工的网络权限，如只允许其在下班时间使用网络；或允许其使用P2P，但将该用户的P2P下载速度控制在一个合理的范围内。

如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。

组织如何获得更充足的互联网带宽呢？AC通过多线路复用、带宽叠加（专利号：200310112006X）技术，可同时连接4条互联网线路。试想您只需申请4条2M ADSL线路，通过AC您就获得了8M的互联网带宽。众所周知电信/网通等跨运营商的带宽瓶颈严重影响了用户的访问体验和业务的开展，而只要您同时连接电信和网通线路于AC，AC的多线路智能选路技术（专利号：ZL03113974.4），将为员工的Internet流量自动优选最佳出口，兼具负载均衡、线路备份等功能，大幅提升访问速度和可靠性。

在缺少有效管理的情况下，组织有限的带宽将被大量非业务流量所挤占，尤其BT、电骡等P2P行为严重吞噬带宽；AC不仅为管理员提供了强大的应用封堵手段（如直接禁止内网指定用户使用P2P等下载工具），更可在允许用户使用P2P的同时限制P2P占用的带宽，灵活的管理方法充分满足了各类组织在上网行为管理上的复杂需要。

从组织的业务开展角度考虑，与核心业务相关的应用如ERP、CRM、Email等所需的带宽资源是需要得到优先保证的，得益于AC强大的应用识别能力（目前AC能够识别15大类、153个应用），AC对每种应用都可以进行带宽保证、带宽限制等丰富操作，使得管理员拥有能够充分保障组织业务所需带宽的各种管理手段。

从上图可以看出，AC支持的流量管理策略非常全面，管理员可以选择对具体的流控对象（包括应用对象和用户对象）在不同时间段和不同互联网出口的流量管理策略。管理员可以轻松应对类似将所有员工上班时间P2P下载进行带宽限制、优先保障视频会议/VOIP等敏感应用带宽、限制研发部总带宽并为部门内每人平均分配带宽之类的管理策略，再结合AC的QoS功能，将大大超越传统基于常见服务“一刀切”划分方式，AC的带宽流量管理更加灵活、高效。

管理员可通过AC配置界面实时监控各用户流量排名、会话排名、连接信息等，一旦发现异常网络行为，管理员即可通过AC将该员工临时冻结，并在指定时间段后自动恢复上网。

网页浏览是员工主要互联网行为之一，与工作无关的网上冲浪给组织带来了巨大的损失。以一个500人规模的企业为例，如果员工平均月薪为3000元，月平均工作日23天，每小时薪金即16.30元；而如果员工每八小时上班时间中有一小时用于网页浏览、聊天等与工作无关的行为（据专业调查显示，中国员工每周花在网上处理私人事务的时间高达5.6小时），每人每年直接薪金损失为4498.8元；而如果500个员工都如此，组织每年直接薪金损失高达224.94万元，间接损失更是无法计量。

AC内置近千万预分类的URL库，同时允许管理员输入新URL地址和分类，该内置URL库是经专人人工审核分类，收录了互联网上各类涉及色情、反动、暴力等站点。由于互联网的容量正以爆炸性的速度增长，采用静态URL库的手段并不足以保证管理员能够有效的将互联网的所有内容进行分类和管理，因此AC还支持基于内容的过滤手段，包括过滤用户通过搜索引擎搜索的指定关键字、过滤包含指定关键字的网页、过滤含指定关键字的URL地址等。而AC的智能网页分析系统（Intelligent Webpage Analysis System, IWAS），更是能够根据网页的内容、用户可管理的关键字组、URL地址、网页中包含的文件类型进行组合式智能分析，自动将内网用户通过AC访问的网页按照预置的规则分类，从而丰富网页控制功能。

细心的您可能已经发现，越来越多的网站采用SSL加密形式发布，如网上银行、网上证券及在线交易系统都采用了SSL技术，甚至连假冒网上银行的钓鱼网站、试图逃避过滤的反动和色情网站等危险站点也采用SSL加密，“加密化”已经成为网络发展的趋势。不能管控SSL加密网站的上网行为管控方案是不完备的，利用特有的“证书链验证黑白名单技术”，SINFOR AC能够对SSL加密网站进行甄别和过滤，除了能够识别和阻断相应的URL外，还可以通过检查SSL证书链的方式屏蔽内网用户对未拥有合法证书的网站的访问，从而为组织提供了全面的网页控制方案。

基于管理上的便利，组织需要通过时间计划给予网络管理更多的人情味。许多网络行为管理方案仅将全天划为上班/下班时间两个大段，显然这缺乏灵活性。AC的时间管理包含两种模式：微观时间管理（Micro Time Control, MTC，MTC将一周中每一天以半小时为单位进行划分）和总体时间管理（Overall Time Control ,OTC，OTC可以为各部门员工设置每天总上网时间），无论是分时段管理还是限制总时间（当然，两者同时使用也是可以的）都能够使得员工在有效时间内首先完成工作任务，从而提高组织的业务效率。

腾讯07年公布统计显示中国百分之九十的网民都是QQ用户，同时在线用户数已经突破三千万。办公室内IM聊天、影音文件分享、甚至游戏对战屡见不鲜，而QQ病毒、MSN蠕虫等通过IM传播的病毒所造成的破坏仍令人记忆犹新，对IM工具的有效管理已经越来越多的成为业内人士及管理者的重要话题。可惜的是，借助组织现有防火墙等传统安全手段来封堵IM（通常是封堵IM服务器IP、或封堵通信端口）都无法彻底奏效，接下来，让我们看看SINFOR AC所提供的对IM软件从禁止、监管、再到安全防御的解决方案。

AC的深度内容检测技术，根据IM软件的传输协议数据包特征字段，全面封堵各种IM应用，包括QQ、MSN、新浪UC、网易泡泡、Yahoo Messenger、Skype、ICQ、Google Talk、移动飞信等；即使IM软件将数据包封装后通过80、443等端口传输（这正是传统防火墙等技术无法有效阻断IM工具的一个重要原因），AC的深度内容检测亦能有效区别IM流量和正常的Http和Https，从而有效管理IM的使用。

基于业务需要，组织往往允许外联部门（如市场部）通过IM与客户沟通，想要禁止员工与客户沟通的同时进行文件传送或语音视频等操作，管理员仅需直接调用AC内置的禁止IM传文件、进行语音视频通话、玩IM游戏等规则即可，轻松达到只允许员工使用IM文本聊天而不允许其他IM行为的目的。

允许使用IM工具的员工，其聊天内容也不一定与工作有关，尤其可能将组织机密泄露。AC能够记录所有IM聊天内容，包括QQ、Skype等采用加密方式进行传输的IM工具，AC通过聊天内容同步侦听（Real-time Monitor for Messages , RMM)技术来实现对QQ等加密聊天内容的监听和记录，这在业界的行为管控方案中是屈指可数的，领先的技术使得深信服的研发部门能够快速跟进任何一款新推出的IM工具，并推出针对性的升级策略使得AC支持对各种新IM工具的聊天监控功能。

强大的功能往往涉及个人隐私，我们建议在使用AC前在组织内发出通知，提醒每一位员工他们在工作时间发生的网络行为是可以被监控到的。当然，最好的管理是不需要管理，这也是AC产品期望为用户带来的最好成效，当员工意识到其在工作时间的网络行为有可能被审计和记录，便会主动减少上班时间的“无用功”，自觉地提高工作效率。

IM好友发来的URL链接、文件等，可能将病毒、木马、流氓软件送入内网，这也是组织已经购买防火墙、部署杀毒软件后仍然病毒层出不穷的原因之一：堡垒从内部被攻破了！AC的深度内容检测技术能够禁止用户使用IM传递文件，IM好友发送的URL地址，员工打开过程中将被AC过滤和控制。另外，管理员也可以启用AC的网关杀毒功能从源头上查杀病毒、蠕虫，此内容将在后述部分详解。

针对P2P的封堵传统上包括封端口，封种子服务器IP，封种子资源网站，但是BT等软件可以通过80端口传输数据，种子服务器的IP和资源网站的数量惊人，且随时在变化，管理员忙的焦头烂额却得不到满意的效果。

有效的P2P封堵方法包括应用协议分析和P2P行为智能检测技术，SINFOR AC同时对这两种技术提供了支持。常用、普及的P2P软件，AC深度内容检测TCD技术，通过分析数据包的服务类型、协议、端口及数据特征字段等内容，从四层到七层的全面检测，实现对其管控和封堵。截止本文档编写时，AC通过TCD技术可以封堵P2P流媒体26个，其他P2P应用29个。

尽管已经内置了丰富的P2P检测策略，但应对P2P所带来的挑战仍显不足，因为新的P2P应用层出不穷，员工可以从网络上获得的P2P工具绝不仅限于以上这些，还有更多不常见和未来可能出现的P2P软件如何管控？AC采用网络行为智能分析技术(Network Behaviors Intelligence Analysis , NBIA）技术，基于统计学的分析原理，根据P2P的行为特征进行识别和管控，实现了对各种P2P应用的智能判断和封堵，为用户提供了一劳永逸的P2P管控解决方案。

尽管AC提供了完善的封堵P2P应用的方案，但粗暴的禁止P2P可能会招致员工的反感，在某些情况下组织的个别部门或个人可能需要使用P2P进行文件共享等，此时AC的P2P流控功能完美的满足了管理上的灵活要求，利用此功能，AC可以针对不同部门、不同时间段、限制不同P2P应用占用的带宽，且可管控部门内每个员工P2P行为对带宽的占用情况（“3.4 优化和分配带宽资源”已详细说明AC针对应用的带宽划分和分配）。

员工的上网行为远不止如上提到的内容，管理者还需关注在线炒股、网络游戏、在线视频（RTSP、MMS、Flash、RealMedia等）等。AC已经包括150多种常见应用的识别和管控规则，并能定期从深信服公司网站上自动更新最新的应用识别库。同时，在TCD高级设置中，AC允许有编程基础的网络管理员添加、修改和导入自定义的网络应用识别规则。这相对于绝大多数其他厂商仅提供给管理者根据IP和端口封堵应用的方式更加灵活和彻底。

对于局域网内出现的AC未能识别和控制的新应用，管理员如果无法自行编制对应的识别策略，仅需将所需控制的应用程序名称、版本号以及下载地址提交给深信服客服中心，我们将在三个工作日内提供最新的识别策略，并帮助用户完成对该应用的封堵和管控。

内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手，无疑会造成巨大损失；员工向互联网论坛BBS发布不负责的言论、网络造谣等，还会给组织带来严重的法律问题。

AC能过滤、记录员工通过Mail（包括Webmail）、BBS、Blog、QQ空间等工具发布的网络言论，还能实时报警，第一时间封堵和管理（IM的管控见“3.6 管理IM即时通讯工具”；论坛、博客言论管控见“3.5网页访问控制”；）。部分BBS网站提供Telnet方式登陆，此时用户通过Telnet输入的任何命令和内容，AC都能详细记录。

对于使用HTTP、FTP等方式传送文件所引发的风险（如将研发部的核心代码发送出去），AC首先可以禁止用户使用HTTP、FTP上传文件，对于上传的文件AC不仅可以根据文件类型进行过滤，且可以全面记录文件内容，做到有据可查。

Email是组织主要应用系统之一。一封泄密Email邮件，在经过传统安全设备时只会拷贝一份进行备份记录，只能找到直接责任人而已，但泄密事件已经发生。AC的邮件延迟审计（Postponed Sending after Audit , PSA）技术，根据管理员预设条件，将潜在的泄密邮件先拦截，经人工审核后再发送，保障组织信息资产安全。而员工使用类似mail.163.com的Webmail进行发送邮件，AC能根据URL过滤功能禁止用户访问，即使允许使用，AC也可以详细记录员工通过Webmail发送的邮件正文内容和附件内容，全面保障信息安全。

员工利用内网发生的各种网络行为，AC提供了异常丰富的管控和封堵手段，但由于不同组织采用了不同的管理策略，难免有“漏网之鱼”导致不良言论、机密泄露等发生。这就需要AC的日志审计和报表中心以实现有据可查。

通过AC “应用审计”界面即可针对不同用户(组)进行行为记录和审计，包括访问的URL地址、网页标题、通过BBS/博客发布的言论、通过Webmail发送的邮件正文及附件、通过客户端收发的所有Email邮件及附件、通过HTTP/FTP上传文件的信息及文件内容、下载文件的信息；同时AC还可以记录哪些用户、什么时间、发生了哪些行为，如QQ游戏行为、大智慧炒股行为、QQLive在线影音行为等，并且包含该行为的流量信息等。

或许有些组织在部署上网行为管理方案时会有所顾虑，CEO等高层领导的网络行为可能涉及组织的重要机密（如CEO与核心供应商的商务邮件），不应该被记录。AC“免审计Key”从技术上彻底免除了对CEO等特定人员的行为记录，只要将“免审计Key”插入计算机USB接口并输入对应PIN码，该用户的任何网络行为都将不被记录，如果有“非善意”人员试图私下修改配置以期对持有“免审计Key”的用户进行记录，该用户在插入“免审计Key”时，会自动报警，并阻断网络访问，保障行为绝不会被记录。

部署上网行为管理方案必然会产生大量的审计日志，大量日志存储于设备本身并不现实，且大量日志在查询、统计及生成报表时会严重影响网关性能。为了解决这一问题，SINFOR AC同时支持内置日志存储和第三方服务器海量存储，结合图形化数据中心，实现对行为日志查询、统计、自动报表等功能。为了快速实现对海量数据的查询，AC的内容检索工具，提供类似Google的搜索引擎，能够在几百G的数据中快速搜索到预期的内容。

网络世界中安全风险、威胁频发，安全事件数量急剧攀升，组织为了应对网络安全风险不得不购置更多的安全产品，而这对于规模较小的组织来说是一个很大的负担，SINFOR AC在一台网关内为您提供了更多的安全增值功能，帮助组织低成本的实现网络安全的整体应对方案。

AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT（Network Address Translation）功能，代理内网员工上网和实现静态端口映射。

AC的网关杀毒功能集成欧洲知名厂商的杀毒引擎（杀毒引擎每天自动升级），从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，gzip等）中的病毒。为避免性能的无谓浪费，AC支持免除公认网站的病毒检测，也支持只针对指定类型的文件进行病毒查杀。

管理员要求每位员工都必须安装指定杀毒软件、及时更新操作系统补丁等，但并非所有用户都遵从。借助于网络准入规则专利技术，AC将按照管理员预设规则检测接入终端的安全状况，不满足预设安全级别的终端将不允许访问互联网，从而保障内网其他用户的安全。

DOS（Denial of service）攻击从外网而来侵害组织的服务器，而爆发于内网的DOS攻击（蠕虫病毒的暴发或是僵尸网络的攻击都可能导致来自内网的DOS攻击）不仅消耗带宽、严重影响网关性能从而影响所有人使用，僵尸网络的攻击还可能招致法律纠纷。AC同时防御来自内网和外网的双向DOS攻击，检测到内网DOS攻击点，可以强迫其下线以保障网络可用性。

ARP（Address Resolution Protocol，地址解析协议）欺骗，通过发送虚假ARP数据包，导致内网用户无法正常访问网络，破坏性大且排查困难。AC内置的防ARP欺骗功能，无需其他厂商的第三方组件支持，帮助管理员有效抵御ARP欺骗的威胁。

深信服科技AC网关采用图形化管理配置界面，管理员无需安装客户端软件，通过IE以HTTPS方式即可进入设备控制台界面；AC内置的策略故障排除功能，有助于管理员在配置失误时，图形化排查失误点；当用户违反指定规则、DOS攻击、ARP欺骗、泄密等时，支持自动报警，第一时间修复问题。

深信服科技成立至今已申请近三十项发明专利，对研发的重视和高投入有效的保证了产品的强大功能和竞争力。通过本章节的介绍，您将了解到能够切实解决您的问题的业界标杆特色技术。

SINFOR AC为内网员工提供账号/密码等认证方式，WEB认证技术要求员工在上网前输入合法的帐号密码，是否有方法在确保有效管理的基础上避免重复输入帐号信息的繁琐操作？这正是单点登录技术(Single Sign On, SSO)将要为您解决的。

AC通过数据包监听方式即可支持LDAP单点登录功能，无需向LDAP服务器安装插件。内网员工采用域账号登陆Windows系统后，即可自动通过AC认证，无需用户再次进行WEB认证即可获得对应的上网权限。

中国金融认证中心近日发布的《2007中国网上银行调查报告》显示，71.7%的用户最担心网银的安全性。网络“钓鱼者”通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户在毫不知情的情况下泄露自己的账户信息，导致银行资金被“网络姜太公”轻易盗取。

网上金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页。用户访问网上银行时看到地址栏是“HTTPS”形式的URL地址，网页正文点击右键可以看到数字证书、浏览器右下角有小锁头标示。但钓鱼网站同样可以模仿这些，不具备专业知识的用户仍会上当受骗。

SINFOR AC内置可信任数字证书颁发机构信息，并可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。钓鱼网站采用非可信颁发机构的数字证书，可以蒙骗用户，但却不能逃过AC的识别和过滤。

通过上述技术的应用，AC能够的屏蔽非法站点，有效的避免了用户和组织的经济损失。这个功能也可以被用于控制一些使用SSL及证书技术加密的色情、反动站点，证券炒股站点等。

部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵P2P软件使用的端口等方式进行P2P管控，费时费力且达不到理想效果。AC的深度内容检测TCD技术对常用P2P软件进行识别；P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别，为管理员提供了全面、高效的P2P行为管控手段。

能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，在管理手段上可以是全面禁止指定部门或用户使用P2P软件，也可以是允许其使用但对P2P行为占用的带宽资源进行限制和管理，通过合理的策略定义既可实现带宽使用的优化，又为组织员工提供了人性化的管理方式。

很多组织的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的，这将无法识别通过代理服务器的员工流量和行为。

对于通过Proxy Server代理上网的情况，AC可以很好地适应并发挥其作用。AC的深度内容检测TCD技术识别用户数据中包含代理信息后，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。

内网用户的上网行为种类纷繁复杂，且伴随着应用“加密化”和“种类爆发”的趋势，是否具备全面的应用识别能力，是管理者考量上网行为管理方案的重要标准之一。

a) URL识别：以HTTP形式访问的URL地址和SSL加密形式访问的网站，AC都能识别；搜索引擎输入的关键字、网页正文包含的关键字、URL地址关键字等AC也能彻底识别；从而实现对用户访问网站的管理和审计。

b) 文件类型识别：以HTTP、FTP上传下载的文件，无论是非标准端口的FTP行为，还是输入URL地址后通过页面跳转下载文件，AC都能识别、控制和审计。

c) 深度内容检测：IM聊天工具、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，通过深度内容检测TCD技术，都能有效识别，且支持管理员手工添加新的检测规则，实现个性化识别、封堵和审计。

d) P2P智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

通过强大的应用识别技术，SINFOR AC并具备庞大的应用识别规则库，多达15个大类150多种具体应用的识别规则库能，够帮助用户有效进行应用识别及在此基础上相应的封堵、流控、审计等上网行为管理。

组织总裁、高层领导网络访问行为，财务部收发的邮件，关乎组织机密信息，怎样防止此类用户的关键行为被记录？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户进行行为记录，怎么办？

在AC上为总裁、财务部等重要人员创建帐户信息时，为用户指定DKEY认证，并“启用DKEY防监控”功能，为用户生成“免审计Key”。该用户使用该“免审计Key”认证后，AC从底层免除对该用户的一切记录。如果“非善意”人员私下取消设备配置界面上的“启用DKEY防监控”，该用户再插入对应的“免审计Key”后会系统会自动弹出警告，且禁止该用户访问网络，彻底保障信息安全。

AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。NAR的设计意义在于三个方面：

3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。

鉴于此，AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。当某用户组启用NAR后，用户第一次发起互联网连接请求时，AC自动以浏览器插件形式分发准入代理（Sinfor Ingress Agent，SIA）至客户端主机。SIA检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点，禁止其访问互联网或允许访问但提交报告给管理员做后续处理。

通过AC的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，便于组织推行统一的IT政策。该准入规则允许管理者手工添加和定制，从而可以管理几乎所有终端在线状态，使端点安全和网关安全紧密结合，为组织构筑统一的安全防御体系。

“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯QQ、TM、Skype等。如果不能对加密的IM聊天内容进行监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查。

目前业界的解决方案多数都无法对QQ、Skype的聊天内容进行监控和记录。AC通过聊天内容同步侦听（Real-time Monitor for Messages , RMM)，实现对QQ、Skype等加密聊天内容的监督和记录，帮助组织轻松应对应用加密化的影响。

AC的邮件延迟审计（Postponed Sending after Audit, PSA）专利技术，将敏感邮件阻挡于内网。内网用户发送Email邮件时，用户认为已经成功发送，实际上符合管理员预定策略的整封Email邮件（包括正文和附件）全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人工审核后，才允许符合组织安全规定的Email邮件发送到互联网上，而不符合要求的Email则被截留并作为追究责任的依据，有效实现了对泄密邮件的封堵，保护了组织的敏感信息的安全性。

组织有限的Internet带宽资源，如何承担业务系统、服务器和用户的各种流量。AC全面、灵活的管控用户上网行为，又如何有效利用有限的带宽资源呢？传统设备根据IP地址和端口，结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等，让传统设备的带宽管理功能大打折扣。

AC实现了基于应用的带宽分配和管理功能，基于应用数据、用户/用户组、时间段、优先级等的流量管理系统，让组织的带宽资源得到细致的优化和高效的使用。

例如在AC上创建包含高层领导的用户组，配置“流量管理系统”，全天优先保证领导用户组所的视频会议、访问公司网站和上传下载文本文件时的带宽需求。

记录员工网络行为，不仅满足公安部82号令等法律要求，又做到了有据可查。大型组织每天产生数G的日志数据，通过AC的外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和统计结果，并且能够自动导出为PDF等文档、自动Email投递到您指定的邮箱，方便IT部门将统计结果向组织高层汇报。

往往组织通过AC的外置数据中心保存了上百G的海量日志信息，而一旦发生关键事件或管理者需要从大量日志信息中快速检索获取其感兴趣的内容，却难以快速从海量日志中发现期望得到的数据。AC内置了强大的数据中心内容搜索系统，利用类似Google的先进搜索技术，从高达几百G的海量数据中快速搜索指定内容，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

数据中心详细记录的各种日志信息，通过为不同管理员细致的权限划分，实现指定管理员只能查询、审计指定用户分组的网络行为日志。更多AC数据中心功能和特性，将在后续版本中为您呈现。

ARP协议是IP通信中的基本协议之一。感染ARP病毒的用户会发送大量ARP广播通告数据包，告知子网内所有主机关于网关的虚假MAC地址，而子网内的接收主机会自动接受网关的虚假MAC地址，从而导致整个子网用户无法访问外部网络资源。

ARP欺骗有多种，而以上即常见之一。如何有效防控ARP欺骗是目前用户和业界的难题之一，部分厂商需要用户安装第三方客户端软件实现，难免有用户不安装、或安装后不运行。AC通过网络准入规则NAR插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且NAR技术还将进一步加强端点安全级别，提升整个网络安全级别。

在深信服科技数千家AC用户中，从没发现过两个完全相同的网络环境。作为保护组织网络资源和信息资产的核心设备，AC的多种部署方式适应了不同的网络环境和用户需求。

将AC通过网关模式串接在用户网络链路中，所有流量都通过AC处理，对内网用户上网行为和数据包实施所有的审计、控制、拦截、流量管理等功能。若将AC作为组织的Internet出口网关，AC的防火墙功能保障组织网络安全，多线路技术扩展出口带宽，NAT功能代理内网用户上网，实现基本的路由功能等。

部署方式：AC的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，AC的LAN口（DMZ口）同局域网的交换机相连，内网PC将网关指向AC的局域网接口，进而通过AC代理上网。

网桥模式部署的AC同样串接在用户网络链路中，如同连接在出口网关和内网交换机之间的“智能网线”，对流经AC的所有数据流进行审计、控制、拦截、流量管理等操作。

采用旁路模式部署的AC，将与交换机的镜像端口相连，部署实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生概率。主要用于监听、审计局域网中的数据流及用户的网络行为。

因为旁路模式部署的AC获得的是链路中数据的“拷贝”，因而主要用于满足管理者的内网监控和行为记录需求，同时能够对用户的TCP行为进行管控。

深信服科技有限公司致力于提升商业用户带宽价值。利用创新、高性价比的前沿网络产品，围绕商业用户Internet带宽资源，帮助用户降低成本（IPSec VPN实现网间互联）、提高效率（SSL VPN实现随时随地的移动办公、网间加速技术大幅度提升广域网速度）、防范风险（上网行为管理设备全面维护内网安全）等，提升Internet带宽价值。

公司现有产品包括SSL VPN、上网行为管理、广域网加速设备和IPSec VPN等。从2000年底成立至今，公司以每年销售收入增长2－3倍、人员增长1倍的速度高速发展，在近三年连续入选德勤中国高科技、高成长50强。深信服科技坚持自主研发、每年将销售收入的15％投入产品研发，目前已申请近30项网络及安全领域发明专利。

目前，深信服科技在全国三十余个大中城市设立有直属办事处，服务销售网络遍布全国。截止到2007年底，“SINFOR”系列产品已经应用于1.2万多家客户、连接着国内外数万个网络，移动用户数量更是超过数十万个，在政府、金融、电信、教育、电网电力、石油石化、民航、物流、制造等诸多行业有着大规模的成熟应用。

上网行为管理技术白皮书