admin 管理员组文章数量: 1184232
2024年3月7日发(作者:小数直接进位用哪个函数)
深信服上网行为AC-5000 管理设备功能
深信服上网行为AC-5000 管理设备功能
1) 控制功能:细致的访问控制,有效管理用户上网
对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表
认证方式
支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等
支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC;
支持三层网络环境下的IP-MAC绑定功能
支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录
支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步
用户分组支持树形结构,支持父组、子组、组内套组等
内置800万条以上预分类URL库;
允许手工输入新URL和新分类;
可过滤搜索引擎搜索的指定关键字(关键字可定义);
可针对网页正文关键字进行网页过滤;
可过滤BBS、Webmail等外发含有指定关键字的言论
支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤
过滤通过HTTP、FTP下载、上传指定类型的文件;
支持对非标准端口FTP文件传输行为的过滤
可根据发件人地址过滤SMTP外发邮件;
1账户自动创建
用户认证
IP-MAC绑定
单点登录
AD同步
组织结构
网址过滤
关键字过滤
网页控制
SSL网站过滤
文件类型过滤
邮件控制
地址限制
深信服上网行为AC-5000 管理设备功能
可控制哪些用户使用哪些邮箱外发邮件;
附件过滤
关键字过滤
加密邮箱控制
Webmail控制
延迟审计
上网控制
IM控制
可控制用户外发邮件的附件类型
可限制外发含有指定关键字的邮件
对SSL加密邮箱(如Gmail)识别和控制
可限制指定用户使用指定Webmail;
基于正文关键字过滤用户的Webmail行为;
支持延迟缓存外发邮件,人工审计后再外发
可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等)
可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等
可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive等P2P软件;并能够对非常见/未来可能出现的P2P软件进行管控
父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象
可以识别并禁止使用HTTP、Socks代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网
支持基于组、时间、服务、网址策略、内容策略等多种对象组合
控制用户总的上网时长;支持对用户上网时长进行统计
P2P控制
上网控制
权限继承
代理识别
访问控制策略
上网计时控制
2 带宽及流量管理功能:强大流量分析及带宽划分与分配
SINFOR AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
表2:带宽及流量管理功能一览表
2
深信服上网行为AC-5000 管理设备功能
多线路支持
应用流控
网站流控
流量控制
文件类型流控
单用户带宽
时间控制
支持复用至少四条外网线路,多线路间互为备份、负载均衡及智能选路(提供自主知识产权证明)
支持基于应用协议类型进行带宽划分与分配
支持基于被访问的网站类型进行带宽划分与分配
支持基于传输的文件类型进行带宽划分与分配宽分配
支持一个界面内为用户组内每用户分配带宽
支持基于时间段的带宽划分与分配策略
WAN->LAN流控 支持WANÆLAN方向访问行为的带宽划分与分配
带宽通道监控
3) 监控与审计功能
设备控制台界面实施显示流量TOP 10应用;
设备控制台界面实时显示各带宽通道使用情况
谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。SINFOR AC关完善的访问审计和监控功能有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送;对于通过Webmail发送邮件,AC全面记录邮件正文和附件等;对于QQ、MSN等聊天内容提供全面记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的URL地址、网页标题、甚至整个网页内容,AC也能完全监控和记录等。SINFOR
AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:
而高层领导的网络行为、收发的Email等关乎机构的发展命运,AC通过业界独有的“免审计Key”技术,从底层免除对其行为的监控和记录,达到全面和灵活的统一。
表3:访问审计功能一览表
监控审计
实时会话监控
对用户实时会话数进行排名;支持查看指定用户当前会话3
深信服上网行为AC-5000 管理设备功能
详细信息;
实时流量监控
实时连接监控
异常用户冻结
网站访问记录
网络言论记录
外发文件记录
邮件记录
聊天内容记录
其它行为记录
WAN->LAN审计
流量审计
时间审计
免审计功能
实时监控用户的上行、下行流量;详细显示指定用户各应用实时流量情况;支持用户实时流量排名
监控用户的实时连接,并能断开用户的指定连接;
支持临时冻结异常用户,阻止其访问网络;并能在冻结时间结束后自动解冻
分用户记录访问的网址、网页标题、网页内容;
支持只记录含有指定关键字的网页正文内容
分用户记录通过BBS、WEBMail等外发网络言论
分用户记录通过HTTP、FTP等外发文件行为;
并能将外发文件本身进行记录
分用户记录发送、接收的所有邮件包含附件;
支持对Webmail正文及附件的监控和记录
支持记录QQ、MSNShell、Skype等加密聊天内容;
分时段记录MSN、Gtalk、新浪UC、网易泡泡等聊天内容支持记录其他网络行为,包括IP、端口等信息
支持审计WAN->LAN方向的应用行为,包括FTP、HTTP、Mail等行为,能审计文件名、文件类型、URL、邮件等
审计用户在指定时间段内产生的总流量;
审计用户在指定时间段、使用指定应用协议产生的流量;审计用户在指定时间段内产生的总上网时间;
审计用户在指定时间段、使用指定应用协议的时间
支持使用USB-Key实现对该用户网络行为的免审计功能
4) 报表和检索:直观的上网数据统计、报表和海量日志检索
机构内网用户每天的各种行为日志记录可达数十G,公安部82号令存储至少60天,SINFOR AC通过外置数据中心实现了日志的海量存储。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出机构的Internet的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
表4:数据中心功能一览表
报表检索
数据中心
日志集中管理
分级管理
管理员认证
流量统计
行为统计
流量趋势
支持内置和外置数据中心,并以数据库形式存储日志
一个数据中心支持以WEB方式查看多台设备的日志数据
指定管理员登录数据中心后只能审计该用户组的日志
管理员接入数据中心必须支持通过Dkey认证
无Dkey认证管理员只能查看统计和趋势,不能查询审计支持统计用户、用户组、各种应用的流量和排名,并支持绘图与导出
支持基于用户、用户组、应用类型、网址、邮件地址的上网行为统计,并支持绘图与导出
支持对用户、用户组、应用等的流量进行趋势绘图与导出 4
深信服上网行为AC-5000 管理设备功能
对比报表
自定义报表
报表订阅
内容检索
支持不同时间段、指定用户(用户组)的指定应用访问行为的对比报表;
支持按照用户、用户组、IP、应用类型等进行上网行为的统计、趋势、汇总自定义报表
将含有不同用户组的报表、统计自动发送到指定邮箱
提供类似百度的搜索工具,基于多关键字,秒级时间内实现上TB海量日志的快速检索与定位;支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索
支持将含有管理者指定关键字的内容检索结果周期性发送到指定邮箱
主题订阅
5) 丰富的安全增值功能,全面提升内网安全级别
作为一个全面的内网管理设备,SINFOR AC还提供了丰富的安全增值功能。除强大的防火墙模块外,SINFOR AC还集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了彻底的防御;防ARP欺骗,让机构遭遇的整个子网用户无法上网的故障得以根除。
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。
表5:安全增值功能一览表
网关防毒功能
查杀压缩文件
杀毒豁免
病毒库升级
防DOS攻击
防ARP欺骗
网络准入规则
集成F-PORT的杀毒引擎;可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能
支持对压缩包的病毒查杀(包括zip、rar、gzip、tar、bz2等)
支持对指定网站的免病毒检查;支持仅对指定的文件类型进行病毒查杀
支持杀毒引擎在线自动升级;支持用户手工升级病毒库
不仅防止来自外网的DOS攻击行为,还能防范来自内网的DOS攻击,侦测出内部发起攻击的终端,并提供对该终端在指定时间段内的冻结和封锁
无需第三方软件,实现对终端用户和网关的双向防ARP欺骗功能
提供网络准入规则,保证只有安装了指定的防毒软件和指定系统补丁(和检查注册表,硬盘文件,后台进程等)的主机才能使用Internet,大大减少主机被植入钓鱼软件和木马的风险
功能特点:
1.内置预分类超过800万条的URL库将过滤大部分色情、反动网站,再通过搜索关键字过滤、网页正文关键字过滤等,阻挡“垃圾网站”对内网的感染;
5
深信服上网行为AC-5000 管理设备功能
AC根据文件扩展名进行过滤,让非法软件、程序无法通过HTTP/FTP下载,避免了“无知用户”被木马、恶意程序等感染的可能。
2. AC集成来自欧洲领先杀毒厂商F-PORT的杀毒引擎,对经过AC的HTTP、FTP、Email等流量中潜藏的病毒进行查杀,即使是RAR、TAR等压缩包内的病毒也能彻底清除,网关杀毒从源头上清除病毒等威胁。
3. 通过AC的网络准入规则技术,将检测用户电脑的操作系统补丁、杀毒/防火墙软件、病毒库版本、注册表、硬盘文件和后台进程等,只有满足IT部门预设的安全要求的电脑才允许接入Internet,保证内网电脑都及时修补操作系统补丁、安装指定的杀毒和防火墙软件、禁止非法网络程序的运行,不仅修复了内网的安全短板,还让推行统一的IT政策成为可能。
4. 一旦病毒通过U盘、文件拷贝等方式在内网泛滥,引起DOS攻击,大量发包时,AC的防DOS功能,不仅防范来自内网的DOS,对于来自公网的DOS同样进行防护,隔离病毒和内网DOS攻击点,且避免了内网被控僵尸主机发起攻击导致的法律风险;而泛滥的ARP病毒、ARP欺骗等可能导致整网用户无法连接Internet,也将通过AC的防ARP欺骗功能根除其危害;
AC还具备入侵防御功能,对来自公网的超过3000种攻击进行抵御和防护。
除了以上四种措施保障内网安全,AC的上网行为管理功能,能够管理和限制用户的无关网络访问行为,为不同用户差异化分配合适的网络访问权限。
6
版权声明:本文标题:深信服上网行为 管理设备功能介绍(2) 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1709808383a547128.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论