深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数

项目指标具体功能要求

性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源

部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；

旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；

网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；

分级管理不同用户组的管理权限支持分配给不同管理员；

集中管理多台设备支持通过统一平台集中管理、集中配置等；

被控设备加入统一平台支持以硬件证书验证身份；

告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；

加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；

排障工具提供图形化排障工具，便于管理员排查策略错误等故障；

上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；

实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；

流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；

安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；

上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；

用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；

第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；

支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数

据库等第三方认证；

双因素认证支持以USB-Key方式实现双因素身份认证；

IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；

支持通过SNMP服务器跨三层获取MAC地址；

支持当用户MAC地址变动时，需要重新认证；

短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；

短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑

内容包括文字、颜色风格、图片，且图片支持轮询播放

公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；

账户有效期指定账户支持有效期限制，并支持自动过期；

单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；

可强制指定用户、指定IP段的用户使用单点登录；

强制AD认证指定用户用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；

LDAP服务器的域对象的策略管理与同步主要目的是对已有的AC与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能

认证失败支持为认证失败用户提供基本网络访问权限机制；

认证后页面跳转认证成功的用户支持页面跳转：

1.跳转到用户原本输入的URL地址；

2.跳转到管理员指定的URL地址；

3.跳转到该用户上网信息排行页面；

4.跳转到注销页面;

帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；

支持从外部LDAP服务器导入账户及分组信息；

组织结构用户分组支持树形结构，支持父组、子组、组内套组等；

用户状态查询支持用户登录时间、注销时间、在线时长的查询；

自动注销支持自动注销指定时间内无流量的已认证用户；

冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；

新密码不能与旧密码相同；

可设置密码最小长度；

可设置密码包括数字或字母或特殊字符；

应用管理应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发

送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖

6大类；

2、支持给每个应用自定义标签；

3、支持根据标签选择一类应用做控制；

4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；

5、支持给每一种应用列上图标，易于客户了解应用的特征。

应用控制1、设备内置应用识别规则库，支持超过1600种以上的应用，200种以上

移动应用，并保持每两个星期更新一次，保证应用识别的准确率；

2、支持根据应用的特征智能识别新更新的应用；

端口控制支持根据端口设定用户不允许访问的目标IP组提供的服务；

代理控制1、不允许使用外部HTTP代理；

2、不允许使用外部Sock4/5代理；

3、不允许在HTTP,SSL一些的标准端口上使用其他协议；（比如在80端

口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等）防共享1、具有防共享上网功能，可检测到内网共享代理上网行为，并冻结该用户；

2、支持共享用户数量及冻结时间设置；

3、在数据中心报表中可查询通过共享上网的IP、用户，并能导出报表；

网页管理静态URL库设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；URL智能识别支持未知网页的自动识别与分类；

支持根据用户训练的关键字、url、自动分类未知网页；

SSL加密网页识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等

自定义URL 设备支持管理者自定义新的URL地址和URL分类；

关键字过滤过滤同时匹配三个以上关键字的搜索行为；

过滤同时匹配三个以上关键字的网页访问行为；

网页过滤支持根据访问的URL、网页关键字进行网页过滤，支持设置拒绝以IP访问网页行为；

支持在放行URL时，自动放行主域名的子链接中被禁止的网站，保证网页显

示完整；

发帖管理过滤同时匹配三个以上关键字过滤的网络发帖行为；

支持允许用户浏览帖子但不准发帖功能；

SSL发帖管理支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；

网页附件管理支持根据文件类型限制http、FTP方式上传、下载行为；

文件管理外发文件告警支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理措施；

支持根据外发文件类型、关键字等条件的过滤告警，

扩展名识别支持基于外发文件的扩展名识别外发文件类型；

无扩展名识别能识别删除扩展名的外发文件类型并报警

改扩展名识别能识别篡改扩展名的外发文件类型并报警

压缩识别能解压压缩文件后再识别内含真实文件类型并报警；

加密识别能识别加密文件外发行为并报警；

邮件管理邮件地址过滤支持根据源地址和目的地址过滤外发邮件；

邮件附件过滤支持基于扩展名过滤含指定文件类型的邮件外发行为；

支持识别删除、篡改文件扩展名的邮件附件外发行为并报警；；

支持根据附件大小、附件个数限制外发邮件；

邮件关键字过滤过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为；Webmail管理支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能；邮件延迟审计支持延迟外发问题邮件，人工审核后再外发的邮件处理机制；

支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、

抄送人数等条件设置延迟审计的邮件；

支持当检测到有邮件被延迟审计时，系统自动发送一封通知发送到管理员邮

箱；

SSL邮件管理能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为；

加密Webmail管

理

能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为，

比如gmail；

加密SMTP邮件过

滤

支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客

户端的邮件进行关键字过滤；

加密SMTP、POP3

邮件审计

支持对加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-TLS 、IMAP-SSL、

SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。

上网权限管理上网时长控制支持统计和控制用户终端每天上网时间，并支持排除应用或特殊端口后的灵活流量统计方法；

时间配额支持对单个用户/用户组设置一天内总上网时长；

并发连接控制支持限制指定用户最大并发连接数；

上网时间提醒用户指定应用上网时长超过预设阈值后，网关自动提醒该用户；上网流速提醒用户指定应用上网流速超过预设阈值后，网关自动提醒该用户；策略复用上网策略对象与用户无关联，同一条上网策略可复用、重用；策略有效期支持上网策略对象的自动过期功能；

排除IP 不控制、不监控目标为排除IP的上网行为；

排除域名不控制、不监控目标为排除域名的上网行为；

流量控制带宽管理支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量；

支持根据百分比或数值设置通道带宽，并支持设置各通道的优先级；

多线路技术网关能同时连接多条外网线路，且支持多条线路流量复用和智能选择流速最快线路的技术(提供自主知识产权证明，加盖厂商公章)；

虚拟多线路支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；

父子通道支持流量父子通道技术，且至少支持三级父子通道；

应用流控支持基于应用类型、网站类型和文件类型划分与分配带宽；

动态流控支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；

空闲值可自定义

P2P智能流控支持通过抑制P2P的下行流量，来减缓P2P的上行流量，从而解决网络出口在做流控后仍然压力较大的问题；

单IP限制支持限制单个IP的最大上行和下行带宽；

用户带宽分配支持平均分配、自由竞争等方式实现用户间带宽分配；

Wan-lan流控支持把每一个外网IP作为通道内的用户，使得通道的用户间公平分配带宽，以及单用户最高带宽属性对外网IP有效；

时间控制支持基于时间段的带宽划分与分配策略；

目标IP流控支持基于访问行为的目标IP/IP组实现带宽划分与分配；

流量配额支持对单个用户/用户组设置日流量、月流量配额功能；

流控策略适用多种

对象

上网策略适用对象，适用于以下对象

一、用户

1、本地组，

2、安全组，

3、域用户(ou和用户)，

4、域属性，

5、源IP

二、位置

三、适用终端

上网安全管理上网安全桌面支持在默认桌面上虚拟出一个新的桌面，在虚拟桌面中上网，在推出安全桌面后，一切还原到干净的默认桌面，防止PC和内网中毒；

支持通过设置安全桌面和默认桌面网络访问权限，实现互联网和内网的内外

网隔离；

支持通过设置安全桌面访问默认桌面目录文件访问权限，防止被动泄密；恶意网址过滤内置恶意网址库，支持对用户访问的URL进行恶意网址匹配和过滤；

移动终端管理设备支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型；

支持管理员配置热点信任列表；

支持发现信任列表外非法接入的热点和终端，并阻止该热点/终端上网；

支持将非法热点接入网络的行为通过邮件告警通知管理员，并在数据中心支

持行为记录和查询；

支持以图表方式显示移动终端接入趋势；

协议异常行为能识别并封堵内网终端感染木马、间谍软件、黑客远程控制的行为及流量，防止内网感染；

危险插件管理能识别网页中的插件，并过滤含有恶意插件的网页

危险脚本管理能识别执行脚本的网页，并过滤脚本中隐藏木马等程序的网页；

防范端口扫描能识别并封堵端口扫描行为；

防范DOS攻击能识别并封堵来自于内网或外网的DOS攻击；

防ARP欺骗能防范三层网络环境中的ARP欺骗问题；

病毒查杀设备内置业界知名杀毒引擎；

支持HTTP下载、FTP下载、POP3、SMTP杀毒；

支持对HTTP、FTP等下载中启用文件类型杀毒；

病毒库支持通过服务器或本地加载病毒库方式定期升级；

防火墙具有防火墙功能模块；

上网行为审计网站审计支持记录全部或者指定类别URL、网页标题等信息；

网页审计能审计记录网页正文内容；

支持只记录含有指定关键字的网页正文内容；

支持记录SSL加密网页的内容；

审计分权限支持对网页过滤和网页审计分开控制；

支持审计指定类型的URL，其他URL类型不予审计，以提高审计效率；

支持在审计时，将行为与内容分离，即可分别设置只审计用户行为还是审计

内容；

发帖审计支持审计用户的明文发帖内容；

能审计用户在SSL加密论坛、BBS上的发帖内容；

网页快照支持网页内容审计后的网页快照功能；

Webmail审计支持审计用户的Webmail邮件外发行为，支持webmail形式发送的附件审计，并能精准到原始邮件；

能审计用户通过SSL加密Webmail网站外发邮件的内容；

邮件审计支持审计用户外发Email邮件的正文及附件；

能审计用户使用邮件客户端外发SSL加密邮件的邮件内容；

文件外发审计支持审计用户通过HTTP、FTP、Email当方式外发的文件内容；

能审计记录无后缀名的文件外发行为；

能审计记录篡改后缀名的文件外发行为；

能将压缩包解压后识别文件类型并记录；

能对加密文件外发行为识别并记录；

Web IM 审计记录Web qq、mini qq、Web msn、qq mail等Web IM 的聊天内容、登陆和注销行为，且不需要安装插件；

审计用户通过iphone/ipad登陆web IM 聊天行为和内容；

IM审计支持记录QQ、MSN、skype、飞信、雅虎通等IM聊天行为和内容；

支持用户离线情况下审计IM聊天行为和内容；

支持根据QQ、MSN账号查询IM聊天行为和内容；

IM 传文件内容审

计

记录QQ、MSN传文件动作和所传文件内容，并可指定记录传文件类型和

文件长度；

微博审计支持对新浪微博、腾讯微博、搜狐微博、网易微博、百度说吧、凤凰微博、

饭否、嘀咕网、天涯微博、轻微博行为和内容的审计；

支持对以上十大微博上传附件行为和附件内容的审计；

支持微博关键字排行、热门关键字用户排行；

支持通过iphone、ipad、android、symbian等手机终端发送微博的行为

和内容的审计；

FTP审计支持审计通过FTP上传的文件名和内容；

支持审计通过FTP下载的文件名；

TELNET审计支持审计TELNET执行的命令；

应用审计审计用户使用P2P、流媒体、炒股、网络游戏、FTP、Telnet等应用行为；时间审计记录用户在指定时间段内的总上网时间；

记录用户在指定时间段内使用指定应用的总时长；

流量审计支持统计在指定时间段内网络应用流量产生的总流量；

记录用户在指定时间段内使用指定应用的总流量；

危险行为审计能审计木马、病毒、恶意脚本和插件、端口扫描等危险行为；

Wan-lan审计能审计来自外网访问内网网站的行为；

能审计来自外网在内网服务器下载上传文件的行为；

能审计来自外网在内网服务器发帖的行为；

能审计来自外网从内网服务器上收发邮件的行为；

其他行为审计支持记录其他网络行为，包括IP、端口等信息；

系统日志审计支持审计管理员的操作日志、系统日志等；

免审计Key 支持指定用户以USB-Key硬件方式免审计的功能；

免审计IP 免除审计目标为指定IP的上网行为；

免审计域名免除审计目标为指定域名的上网行为；

上网日志管理数据中心设备支持内置数据中心和独立数据中心；

高性能日志模式支持日志高性能模式处理，精简冗余日志；

日志分级审查管理员登录数据中心只能审计指定用户组的上网行为日志；

日志审查Key 支持以USB-Key方式验证接入数据中心的管理员身份；

支持以USB-Key方式分配管理员的日志审计权限；

统计报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的上网行为/上网流量/上网时间并形成报表；

趋势报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的上网行为趋势/上网流量趋势形成报表；

汇总报表支持将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表；

汇总对比报表支持将所有用户/用户组/IP的所有上网行为的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表；

指定对比报表支持将指定用户/用户组/IP的指定上网行为的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表；

日志删除支持同时启用按天删除和按百分比删除日志；

病毒信息统计支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信

息统计新增恶意URL排行；

关键字排行支持对搜索关键字排行并输出报表；

支持对网络发贴关键字排行并输出报表；

支持对含有指定关键字行为的用户排行；

热帖排行支持对指定时间段内网络热帖进行统计和排行；

热门论坛排行支持热门论坛排行，方便统计内网用户参与热门讨论，支持论坛地址和行为数的链接查询；

外发文件用户排行支持外发文件用户排行，统计某组内用户常规文件、加密文件和多重压缩的告警；

外发文件排行支持按照传输方式和文件类型统计外发文件，支持按照常规文件、加密文件和多重压缩的告警选项统计；

网站时长排行能够根据被访问时长对网站进行统计排行和报表输出；

手机活跃用户排行支持根据手机号导出短信认证的用户，并根据手机用户活跃情况进行排行；危险行为报表支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统计和报表输出；

文件外发报表能统计并输出含有篡改/删除扩展名、压缩/加密后外发文件行为的报表；风险智能报表能根据管理者自定义的风险行为特征自动挖掘并输出离职风险、泄密风险、安全风险、工作效率风险、法律风险智能报表；

流速趋势报表支持将指定时间段内、指定用户组/用户/应用的上网流速以条带叠加图的形式直观显示；

上网行为趋势支持将指定时间段内用户行为趋势、用户组行为趋势、应用行为趋势以曲线图的形式直观显示；

报表订阅支持将统计/趋势/查询等报表自动发送到指定邮箱；

报表导出支持导出统计/趋势/查询等报表，包括Excel、PDF等格式；

内容检索支持基于五个以上关键字对行为日志检索定位的功能；

支持对日志中OFFICE等附件正文内容关键字的检索；

主题订阅支持将含五个以上关键字的日志检索结果自动周期性发送到指定邮箱；

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

深信服上网行为管理

深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力，产品内置业界最大的应用识别库，可对多达500多种互联网应用软件进行管控；基于统计学的P2P智能识别技术，可实现对加密的、新版本甚至未知版本的P2P应用进行识别，为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累，以及充分优化的系统架构、高性能的硬件平台，深信服上网行为管理产品的性能遥遥领先于其他同类产品，可管控5万人以上的大型网络。 目前，在中国上网行为管理的高端市场中，深信服AC产品拥有着极高的占有率，6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制，规范员工上网行为，提高工作效率

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别和认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统，只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 2、强大的监控和审计，保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露；同时具有独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 3、流量控制和带宽管理，优化带宽资源的使用 多线路复用和智能选路技术，提升出口带宽，流量负载分担，智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时间段等进行带宽分配； 4、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能 1) 控制功能：细致的访问控制，有效管理用户上网 对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 表1：访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类； 关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤； 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件；

深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计； 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； 被控设备加入统一平台支持以硬件证书验证身份； 告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； 短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑 内容包括文字、颜色风格、图片，且图片支持轮询播放 公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期指定账户支持有效期限制，并支持自动过期； 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户使用单点登录；

深信服上网行为管理解决方案

深信服上网行为管理解决方案篇一：深信服上网行为管理部署方式及功能实现配置说明 深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：，默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮，WAN口和LAN口LINK 灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能； 网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且 可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面， 、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。 配置方法： 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是/24，在电脑上配置一个此网段的IP地址，通过https://登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』 ，右边进入【部署模式】 第三步：定义LAN区网口和WAN

深信服上网行为管理M5000-AC产品参数及介绍

南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点： 1.深度内容检测技术，封堵所有P2P软件（BT、电驴等）； 2.邮件延迟审计专利，保证所有邮件先延迟、后发送； 3.监控所有即时通讯软件(QQ、MSN等)聊天记录； 4.独有网络访问准入规则，只允许符合上网策略的用户连接Internet； 5.详细的日志中心，记录所有上网行为； 6.分组管理，对特定组启用监控/不监控； 适用于内网用户数在100人以下的小型网络 功能特性： 一、上网行为控制，规范员工上网行为，提高工作效率； 多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限； 独特的WEB认证、基于浏览器实现方便的用户识别与认证； 网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现； 特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏； 独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；

深信服上网行为管理安全网关

深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口； SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口； SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 （2）分组模块

（3）控制模块 （4）流量控制模块 （5）记录审计模块

三、深信服产品介绍 针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC 的其他安全扩展功能，全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点： 网关+终端、行为+内容的完整上网行为管理解决方案； 业界最丰富的用户认证方式，网络准入规则提供安全终端接入； 针对用户组、用户、应用提供更细粒度的访问控制； 针对应用协议、网站类型、文件类型等智能流量管理； URL库数量：1000万以上 最全的应用识别协议库，24大类，370多条应用识别规则； 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容； 独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能

深信服上网行为管理解决方案

深信服上网行为管理 解决方案 深信服科技有限公司 20XX年XX月XX日

目录 第1章需求概述...................................................................... 错误!未定义书签。 背景介绍...................................................................... 错误!未定义书签。 需求分析...................................................................... 错误!未定义书签。 带宽效率风险.................................................... 错误!未定义书签。 工作效率风险.................................................... 错误!未定义书签。 泄密风险............................................................ 错误!未定义书签。 法律风险............................................................ 错误!未定义书签。 安全风险............................................................ 错误!未定义书签。 客户具体需求分析...................................................... 错误!未定义书签。 客户网络现状分析...................................................... 错误!未定义书签。第2章上网行为管理标准...................................................... 错误!未定义书签。第3章上网行为管理AC功能介绍....................................... 错误!未定义书签。 身份认证...................................................................... 错误!未定义书签。 多种认证方式.................................................... 错误!未定义书签。 单点登录技术.................................................... 错误!未定义书签。 用户批量导入.................................................... 错误!未定义书签。 跨三层绑定IP/MAC ......................................... 错误!未定义书签。 新用户认证........................................................ 错误!未定义书签。 访问控制...................................................................... 错误!未定义书签。 网页过滤............................................................ 错误!未定义书签。 搜索关键字过滤................................................ 错误!未定义书签。 发帖关键字过滤................................................ 错误!未定义书签。 文件类型过滤.................................................... 错误!未定义书签。 应用控制............................................................ 错误!未定义书签。 SSL加密应用管理-反钓鱼网站功能 .............. 错误!未定义书签。 P2P管理 ............................................................ 错误!未定义书签。

深信服上网行为管理产品功能.doc

. 深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ 聊天等各种工作无关网络行为 封堵和流控当前的BT、 eMule等，和未来可能出现的各种P2P 应用 杜绝不良网站和风险文件的访问及下载，防范DOS 攻击及 ARP 欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让 IT 管理者对网络效能和行为进行方便的统计、 审计、分析、报表 再辅以 SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用 SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理 者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间 QQ 聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、 QQ 聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过 SANGFOR AC 可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P 行为，SANGFOR AC 不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组 )、时间段、应用类型的带宽管理和带宽通

道划分，结合智能QoS ，既保证了业务应用对带宽的需求，又避免了对带宽的 滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网， SANGFOR AC 将过滤该行为，并提供网关杀毒功能从源 头消除威胁；源自内网的DOS 攻击、 ARP 欺骗等也将被 SANGFOR AC 彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/ 防火墙软件、安装使用违规软件的终端用户，SANGFOR AC 亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用 Email 邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC 特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员 工的网络发帖、 webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对 QQ 、MSN 等聊天内容的记录和审计，将警示通过 IM 聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的 Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。 SANGFOR AC 上网行为管理设备可以管控和过滤员工的此类行为，并 详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。