您当前的位置： >
[行为管理-上网优化]上网优化解决方案
第1章 &需求概述
1.1&背景介绍
虽然近年来组织的互联网带宽在不断增加，却仍然难以满足内网人员规模的日渐扩大；尤其与互联网资源海量而泛滥的现实相比，组织的互联网带宽更是捉襟见肘；众多内网用户和管理者纷纷抱怨上网速度慢，让IT部门倍感压力。
同时组织宝贵的互联网带宽也未获得高效利用，内网用户相似的网络访问习惯往往导致大量冗余数据在反复传输。例如，用户通常都去访问一些知名的门户网站；某网络事件爆发后大量用户浏览相同链接的视频；同一网页、图片、视频等数据反复传输并占用互联网带宽资源，导致了上网速度变慢！
第三方统计显示，全球P2P流量占互联网总流量49%到83%。当前办公室里普遍存在迅雷、在线影音等带宽杀手极度消耗组织有限带宽资源的情况，而防火墙等传统方案却难以管控，即使投入大量成本扩容带宽，新增带宽仍然很快被P2P蛀虫们吞噬。不仅上网速度慢如蜗牛，而且ERP等业务系统访问质量也强差人意，IT部门不得不为此承受巨大的绩效压力。
1.2&需求分析
随着互联网的进一步发展，以及深信服科技对14000多家客户需求的跟踪，我们发现越来越多的客户对互联网访问提出了逐渐明晰的优化要求，但目前业界并没有专业的上网优化方案，这就如同2005年深信服提出&&这一超前理念一样。我们认为，是网络的发展和客户的需求推动了&上网优化&市场的诞生，所以SANGFOR SG上网优化网关应运而生。
SANGFOR SG主要提供三大功能：上网优化、上网安全、上网管理，SG产品推出的背景即SG能解决的客户问题是：组织的互联网链路带宽不可能快速、无限制的扩容下去，但互联网资源却一直在快速膨胀，内网用户的上网要求也越来越高，怎样解决两者之间的矛盾？
深信服科技认为应该上网优化，包括减少重复数据的传输，通过Cache缓存技术加快网页打开的速度，通过调节带宽分配策略提升上网速度等。
其次，由于互联网的开放性，使得内网用户极易感染各种网络安全威胁。试想一个被捆绑了众多恶意插件的浏览器，满是病毒、木马的电脑，经常中断、掉线的网络链路，此时用户是否还能轻松、愉悦的享受互联网的快乐？所以防范互联网威胁，改善上网安全环境，提升网络可用性是上网优化的基础功能。
再者，优化、快速、安全、可靠的上网环境虽然让内网用户的互联网访问更畅顺，但很多组织单位优化网络的目的并非单纯的让用户访问新闻网站、下载MP3文件更快，更不是为用户访问色情网站、外发泄密文件而提供快速的网络链路，组织单位需要的往往是一个优化的、可管理的网络。所以SG可以差异化的管理互联网访问权限，即上网管理功能。
1.3&客户具体需求分析
随着业务的发展和信息化建设步伐的加快，企业的网络可用性和内网用户的互联网访问行为管控等问题日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马、ARP欺骗）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作；据google调查表明互联网上独立网页超过一万亿，每天正以几十亿的速度在突飞猛涨。访问了挂马、含有恶意脚本、恶意插件的网页用户使内网安全经受巨大的考验，轻则导致内网用户断网，重则导致用户、企业机密信息被盗取，造成直接经济损失。
另外，在针对内网安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。
更为重要的是上班时间内部用户的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致用户工作效率低下，还潜在可能向公网泄露机构内部机密信息，并可能因访问非法网站或发表非法言论而违反法律。
由于员工的上网行为没有被管控，所以事后行为的审计成为企业面临的另一个大问题。单纯的靠人工进行审查，不但协调工作困难重重，造成周期冗长，而且统计的结果不一定是有效的，不能为企业的管理提供科学有效的管理依据。
另外内网用户肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的开展。
员工一方面不断下载，一方面抱怨上网速度慢，影响工作效率。为了满足员工的需求,企业不断扩充出口带宽，在耗费资金的同时也并没有从根本上解决制约速度的瓶颈。如何才能提高上网速度，怎么使有限的带宽资源得到最高效的利用？
企业在内网用户的互联网访问行为管控方面需要解决如下几个问题：
1.3.1&保证客户端的安全性
由于内网用户的机器没有限制，对于用户是否安装杀毒软件一无所知，也无法控制，所以无法保证在上网时的安全性，导致很容易从访问网站中感染病毒，木马、被强制安装插件等不安全因素。
1.3.2&管理各种网络软件的使用
用户在工作时间所从事的无关网络访问行为：对于内网用户在上班时间使用炒股软件进行炒股行为；使用QQ、MSN等IM聊天软件；QQGame、传奇等各种网络游戏的使用；在线影音娱乐软件的使用； BT、迅雷等P2P下载软件对带宽的严重占用，都需要进行有效的管理和控制。
1.3.3&统计内网的使用状况
管理员无从得知网络的使用情况，只能根据内网用户反映，统计最多只能简单的记录一些ip访问情况，对于细致的带宽占用情况无法得知。
1.3.4&阻挡不良站点访问和风险言论发布
公网上的资源良莠不齐，存在着大量的色情，暴力，反动等网站，对于企业来说，尤其需要对其内网用户所访问的公网站点进行严格管理和控制；对于内网用户向公网发布的各种言论，如何过滤，对于发布到公网的言论信息也需要进行详细记录，以备事后审计。
1.3.5&提高访问速度
在保障了访问安全的基础上，我们发现上网打开常用页面的速度经常很慢。随着各种网络应用的增加，带宽出现紧张，内网用户抱怨上网的速度慢，网页难打开，邮件发送不出去。为了解决这些问题，单纯增加带宽，一方面投资投入成本比较高，另一方面不能从根本上解决问题。如何在安全的前提条件上实现快速访问，提高工作效率呢？
1.3.6&权限合理划分
对于集团内网人员规模大，部门复杂的具体情况，做到给合适的用户以合适的权限，成为网络访问控制中首先需要考虑的问题，并且针对不同的用户发生的网络访问行为需要做到审计和记录功能。
1.3.7&记录用户的网络访问行为
对于内网用户发生的各种网络访问行为，如访问了哪些公网网站、向公网论坛、BBS、发布了什么言论、发送的Email邮件信息等等行为需要进行记录，以便能具体到哪一位责任人。
1.3.8&日志的海量和查询
对于有的集团内网用户过万这样的规模，每天能够记录的用户公网访问行为信息量将是巨大的，对于已经记录的海量日志信息，通过怎样的方式进行方便和灵活的查询，上网记录能分时间段和账号进行查询并打印，这都是集团迫切需要解决的问题。
1.4&典型案例拓扑分析
通过以上内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问行为也无法有效的监控和审计。
第2章 &解决方案
2.1&SG上网优化网关设备功能介绍
2.1.1&识别：识别是管理的基础
识别作为管理的基础，是上网优化网关产品功能是否健全的有利保障。SANGFOR SG上网优化网关具有强大的识别功能。基于用户识别的功能支持以IP、MSG、IP/MSG绑定、用户名密码、USB-Key识别，公用账号认证，同时支持LDAP认证、Radius认证、POP3认证、WEB认证等等，其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web认证。
其次SANGFOR SG还能够对终端进行识别，包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。面对互联网应用的不断扩大，SANGFOR SG具备强大的应用识别功能，能帮助客户识别各种互联网应用，特别是目前SSL加密网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用，能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过SSL加密的论坛/BBS发帖、webmail外发邮件、SMTP/POP3，SG都能对其进行识别。
2.1.2&控制功能：细致的访问控制，有效管理用户上网
对于内网用户的网页访问行为，SG不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，SG的证书验证链接黑白名单技术同样可以管控。SG不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥的趋势，SANGFOR SG的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。
SG所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。
2.1.3&带宽及流量管理功能：强大流量分析及带宽划分与分配
SANGFOR SG的多线路复用专利技术使一台SG可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署SANGFOR SG网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。
SANGFOR SG支持父通道中嵌套子通道，可支持8级子通道，最多能形成11级流量通道，为用户提供细致的流量管理手段，实现大流量划分成小流量通道，分级管理。
IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问SG的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过SG智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。
2.1.4&安全功能：全面提升内网安全级别
作为一个全面的内网管理设备，SANGFOR SG提供了丰富的安全增值功能。除强大的防火墙模块外，SANGFOR SG还集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。
防DOS攻击功能，不仅防御来自公网的DOS攻击，对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构遭遇的整个子网用户无法上网的故障得以根除。
SG具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的终端设备才允许接入Internet，修复了内网的安全短板。
危险流量识别；内网终端感染木马、间谍软件后往往通过网页、邮件、FTP端口与公网黑客通信，造成被动泄密，远程遥控等问题；SG能识别、报警、并阻断此类行为。
2.1.5&缓存加速功能：提高访问速度
深信服上网优化网关SG具有访问加速的功能。它内置缓存模块，分内存缓存和硬盘缓存。设备记录访问过的网站，当访问次数达到一定数量的时候，自动将网页缓存，同时定期对缓存的页面进行替换和实时更新。
缓存加速以透明方式实现，无需内网用户配置。缓存采用高命中率算法，相比同类的代理缓存命中率更高。在管理优化的前提下，速度的优化带给了客户更好的网络访问效果。重复的数据无需通过Internet传输，从SG上网优化网关设备中直接提取并返回给用户，这样不仅降低了带宽的占用，也提升了上网的速度。
2.1.6&监控与审计功能：防止机密信息泄漏和法律违规事件
谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SANGFOR SG关完善的访问审计和监控功能有效防止信息通过Internet泄漏。对邮件类型应用采用深信服&邮件延迟审计&专利技术保证先审计后发送；对于通过Webmail发送邮件，SG全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，SG也能完全监控和记录等。值得一提的是对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3，SG也都可以基于关键字过滤和内容审计记录；SANGFOR SG的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能：
而高层领导的网络行为、收发的Email等关乎机构的发展命运，SG通过业界独有的&免审计Key&技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。
为了防止企业的数据中心的日志被随意查看而引发员工隐私被泄露的情况发生，SANGFOR SG配备专门的&日志审计KEY&，保护日志信息不会被无关人员进行窥视。
此外SANGFOR SG还具备实时监控功能，在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。此外SG还支持实时连接监控，显示用户的所有会话连接状况。
2.1.7&提醒功能：智能化自动提醒
在企业管理工作中，员工的工作意识是非常重要的。怎样才能高效的提醒员工工作时间不要从事和工作无关的事情？SANGFOR SG具有强大的智能提醒功能，可细分到每个指定用户的某个指定的应用。对用户上网时间长短、上网流量大小进行记录，一旦用户超过设定的这个值，SG可自动弹出提醒页面，便于员工自觉规范上网行为，大大降低了管理者的工作量。其中还可设置SG多长时间对上网流量进行统计。SANGFOR SG还具有固定时间间隔再次提醒功能，支持自定义时间间隔再次提醒用户控制自己的上网行为。另外SANGFOR SG支持自定义公告页面的内容，可针对不同情况设置不同情境的语言，这种人性化的设计使得管理员可根据企业员工上网情况给予不同的程度的警示。
丰富、易用的智能化提醒平台：
从上图可知SANGFOR SG上网时间、上网流量提醒功能都支持根据各种不同的应用类型进行控制。比如企业方想严格的设置P2P下载行为、在线流媒体等行为提醒，管理员就可设置对其流速控制在一个很小范围内，统计时间也可以设置一个相对较小的值，实现短时间统计，小流量限制策略来提醒员工。
2.1.8&报表和检索：直观的上网数据统计、报表和海量日志检索
机构内网用户每天的各种行为日志记录可达数十G，SANGFOR SG通过外置数据中心实现了日志的海量。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SANGFOR SG网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。
而如何从机构的上千G的海量日志中搜寻、审计IT管理者感兴趣的内容，甚至是查找内网用户的泄密证据、法律违规证据？SG数据中心提供的内容检索工具，通过类似Google的界面，让您轻松实现。
另外为了防止数据中心中海量行为日志被滥用，SG提供了&数据中心认证Key&，只有插入该Key认证的管理员才能审计、查询指定用户组的行为日志。
第3章 &方案优点及给客户带来的价值
通过深信服科技的上网优化网关SANGFOR SG给客户带来以下价值：
3.1&管理网络带宽
多线路策略
SG产品继承了深信服科技的多线路复用、带宽叠加技术（专利号：X），机构通过SG同时连接多条公网线路，提升整体带宽水平。再结合多线路智能选路技术（专利号：ZL），做到流量的智能选路和负载均衡。
P2P软件的控制
P2P行为对带宽的吞噬能力众所周知，而传统的只能封堵&昨天的BT软件&是不够的。SG凭借P2P智能识别专利技术(专利号： .8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而SG为您提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。
带宽统计和管理
SG数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
SG基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障，提升整个机构的宽使用效率。
3.2&避免法律风险
网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的直接责任人。
外发信息控制
内网用户使用IM软件、Email、BBS、论坛、个人博客等将办公室和机构内信息泄露出去。而SG能封堵IM软件，过滤和审计收发的Email，过滤访问论坛、网站的行为，网络发帖行为的过滤和审计等，让内网用户认识到自己需要为其网络行为负责。
对合作伙伴接入内网的认证，通过SG提供的完整身份认证体系：可以启用Web方式的用户名/密码认证，IP和MSG地址绑定，或与机构的Radius、LDAP、微软域控服务器联动，SG甚至可以借助机构的POP3邮件服务器、PROXY服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何网络资源。
保护版权资料
互联网充斥着涉及版权纠葛的论文、软件、音视频等，因为个人用户对版权的忽视往往会导致机构受到牵连。SG的访问控制系统通过对HTTP、FTP、IM软件、邮件收发的内容检测和控制，可以阻止内网用户搅入版权问题；同样，当内网用户已经出现违法违规问题时，你可以在SG的数据中心中找到其违规记录，进而使机构摆脱不必要的纠纷。
法律遵从和举证
内网用户个人偏好导致的非正当网络行为，例如访问色情、反动网站等，SG能有效过滤和拦截；SG亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在SG数据中心中找到相关记录作为法律举证的重要依据。
SG通过独立数据中心实现行为日志海量，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部用户的网络访问行为。
3.3&提升工作效率
上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率，如何在上班时间对内网用户的网络行为进行管理和引导？
网页过滤策略
上班时间从事私人活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。SG能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定用户和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。
IM（即时通讯）聊天软件的管理
上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件，IT管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器IP的方式，不仅费时费力且无法根治。SG通过检测应用数据包的特征字段，实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。
各种行为的管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，SG通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户精力更多聚焦在工作上。
上网时间管理
每个机构都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网优化网关设备必须考虑的问题之一。SG通过为不同部门、不同用户，基于时间段进行权限分配，也可以限制用户一天内总的上网时间，实现人性化管理。支持设定一定的上网时间值，当用户超过这个阀值时，SG会自动弹出提醒页面，提醒员工上班时间注意提高工作效率，不要从事与工作无关的网络活动。
3.4&保障内网安全
多数机构已经在公网接口处部署了防火墙、IDS等设备，但内网依然病毒频发、攻击不断，是何原因？堡垒最容易从内部突破，内网用户主动&邀请&病毒、木马等进入内网。
拦截不良网页
SG内置自动更新的海量URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被SG轻松过滤；SG允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。假冒网上银行的钓鱼网站、加密的反动网站等，显示&加密化&已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。SG通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。
插件、脚本过滤
网络上&危机四伏&到处存在安全隐患，使得用户防不胜防。SANGFOR SG的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。
由于网络应用的不断发展，网页上提供的功能越来越多样化，要求用户安装插件的情况越来越普遍。SANGFOR SG支持插件过滤，能够根据插件的名称、签名、证书等过滤掉IE插件，同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况，阻止恶意监控软件盗取个人信息、企业机密。
文件传输控制
针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；SG的&拦截不良网页&措施将避免用户访问含病毒URL地址；SG还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险&感染点&还会伺机爆发，感染更多用户，瘫痪整个网络。而此类行为和流量经过SG时，SG首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，SG的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
修复内网安全短板
根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该&短板用户&访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将感染整个内网用户群。借助网络准入规则技术（Network Admission Rules，NAR）（专利号：.1），SG将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入Internet，从而修复内网安全短板。
防DOS、防ARP欺骗
即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击SG能防御；而来自内网的DOS攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击，而SG通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。
ARP(Address Resolution Protocol)协议原本用于&从IP地址寻找MSG地址&，但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，SG通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。
第4章 &SANGFOR SG安全网关主要技术优势
4.1&单点登陆技术
SG为内网用户提供账号/密码等认证方式，结合单点登录技术(Single Sign On, SSO)将避免手工输入帐号信息以简化操作。
SG通过数据包监听方式即可支持AD单点登录功能。内网用户采用域账号登陆操作系统后，自动通过SG认证，简化用户操作，且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet，进一步降低机构信息资产外泄的风险。
SG的POP3、PROXY单点登录功能启用后，内网用户只需收发一下Email、或触发PROXY服务器的认证后，也将自动通过SG认证，极大的方便了用户的使用。
4.2&反钓鱼网站功能
网络&钓鱼者&通过伪造与网上银行、网上购物等网上交易页面极其相似的界面，使用户毫不知情时泄露自己的账户信息，导致银行资金被&网络姜太公&轻易盗取。网上金融机构普遍采用第三方权威机构颁发的数字证书以实现SSL加密网页。钓鱼网站同样可以完全模仿真正网银网站的模样和操作过程，导致用户上当受骗。如果不能甄别和过滤SSL加密网页，则该行为管理方案、网络过滤设备是不完备的。
SG内置可信任数字证书颁发机构信息，并可对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等。钓鱼网站采用非可信颁发机构的数字证书，可以蒙骗用户，但却被SG识别和过滤，避免了用户和机构的经济损失。
4.3&P2P智能识别
P2P（peer-to-peer）应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。如何对P2P行为进行全面有效的管控成为业界的难题之一。部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控，费时费力且达不到理想效果。SG的深度内容检测技术对常用P2P软件进行识别；基于P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别，为您提供了全面、高效的P2P行为管控手段。
能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面，即全面禁止指定部门使用P2P软件，或允许其使用，但对P2P行为占用的带宽资源进行限制和管理，既实现带宽使用的优化，又能使机构员工提供了人性化的管理方式。
4.4&代理服务器识别
机构的内网员工通过Microsoft ISA、Sygate、CCproxy等代理服务器上网，但由于防火墙、内容控制等设备对内网员工的管理是基于目的地址和端口的，这将无法识别通过代理服务器的员工流量和行为。
通过SANGFOR 特有的流特征和弱特征识别技术，对于通过封装的数据，对于通过Proxy Server代理上网的情况，SG可以很好地适应并发挥其作用。SG的深度内容检测TCD技术识别用户的数据包含代理信息后，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。
4.5&免审计Key功能
机构的总裁、高层领导网络访问行为，财务部收发的邮件，关乎机构机密信息，怎样防止此类用户行为的记录？业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果&非善意&人员私下重新配置设备对敏感用户进行行为记录，怎么办？
SG正是考虑到用户可能面临的以上风险和威胁，推出了&免审计Key&功能。在SG上为总裁、财务部相关人员生成&免审计Key&。总裁使用该&免审计Key&认证后，SG从底层免除对总裁的一切记录。一旦&非善意&人员私下取消免审计功能后，总裁再插入该&免审计Key&后会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。
4.6&网络准入规则
SG的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。NAR的设计意义在于三个方面：
1. 仅靠网络边缘的外围设备已经无法保证安全性。
2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的&短板&。
鉴于此，SG网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。SG网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点，禁止其访问互联网或仅提交报告。
通过SG的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于机构推行统一的IT政策。
SANGFOR SG的准入规则还能支持多条准入规则的&与&和&或&的关系，支持调用客户服务器上的指定脚本从而更好的保护内网安全。
4.7&加密聊天内容的记录
&加密化&的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站，各种IM聊天工具的聊天内容也被加密，如腾讯QQ、TM、Skype、MSNShell等。如果不能对加密的IM聊天内容进行监控和记录，隐匿其中的安全风险、安全事件就无法防御、无据可查。
目前业界的解决方案多数都无法对QQ、Skype、MSNShell、Gtalk的聊天内容进行监控和记录。SG通过聊天内容同步侦听（Real-time Monitor for Messages , RMM)，实现对QQ、Skype等加密聊天内容的监督和记录，这在业界的行为管控方案中是屈指可数的。
4.8&邮件延迟审计
SG的邮件延迟审计（Postponed Sending after Audit, PSA）专利技术，将敏感邮件阻挡于内网。内网员工发送Email邮件时，用户认为已经成功发送，实际上该Email行为被SG识别后，符合管理员预定策略的Email被SG网关拦截，整封Email邮件、包括正文和附件全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知，经人为审核后，才允许该Email邮件发送到公网上，实现了对泄密邮件的封堵，保护了机构的敏感信息的安全性。
SG的邮件延迟审计技术对内网员工完全透明，邮件的发送过程与日常无异。
4.9&强大的流量管理系统
机构有限的Internet带宽资源承担业务系统、服务器和用户的各种流量。SG如何实现带宽资源的合理利用呢？传统设备根据IP地址和端口，结合QoS实现带宽分配，但类似80端口中会潜藏QQ、BT数据、部分业务系统没有固定的端口、领导的视频会议系统没有固定IP等，让传统设备的带宽管理功能大打折扣。
SG实现了基于用户/用户组、时间段、优先级、应用协议、网站类型、文件类型等的流量管理系统，让机构的带宽资源得到细致的优化和高效的使用。
SANGFOR SG还支持虚拟线路功能，通过这样的方式对于多条出口线路分别流控，或是为来自内网不同网段的用户分别进行流控。父通道中可建立二级、三级通道等，最多能建成十一级的流量通道，为用户提供了最细致的流量管理手段。
4.10&数据中心及报表
大型机构每天产生数十G日志数据，通过SG独立数据中心实现日志海量，而且提供了图形化的日志查询、统计、审计、报表中心等功能。
通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向机构高层汇报。
SG的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。
对于BBS发帖，SANGFOR SG还支持进行热帖排名，只准看贴不准发帖的灵活管控方式。
而如何快速检索海量日志中管理者感兴趣的内容SG已经为您想到了。通过SG数据中心的内容检索工具，您可以类似使用Google一样，从海量日志中查询、审计您需要的日志记录，并且支持高级
搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。
4.11&日志审查Key
组织结构内网用户的各种上网行为记录SG都可以记录、并全部记录到数据中心中，这避免了互联网违法事件后无据可查的尴尬。但如果行为日志被滥用，领导的Email、MSN聊天内容等被肆意传播、深圳张贴到互联网上必将给组织造成不良影响、甚至经济损失。
鉴于此深信服科技推出了&日志审查Key&技术。数据中心管理员只有插入该Key后才能以审计、查询权限接入数据中心，从而对行为日志进行详细查询。对于没有该Key的管理员接入数据中心后只能对有限的用户组的行为进行统计和趋势查看，无权限对行为日志进行审计、查询，从而保障行为日志记录不被滥用。
4.12&防ARP欺骗
ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个子网用户无法访问外部网络资源。
如何有效防控ARP欺骗是目前用户和业界的难题之一，部分厂商需要用户安装第三方客户端软件实现，难免有用户不安装、或安装后不运行。SG通过网络准入规则NAR插件结合防ARP欺骗技术，保证终端用户安全和保障网络可用性。这不仅避免了单独安装客户端软件的问题，而且NAR技术还将进一步加强端点安全级别，提升整个网络安全级别。
4.13&外发文件告警
存心泄密者通常通过HTTP、FTP、Email附件外发文件时会篡改、删除扩展名，压缩、加密再外发，SG都能识别，并且报警。
SG尝试解压压缩包后再识别文件类型；无法识别特征的文件SG则识别为加密文件；通过这样的方式进行外发文件的细致完全监控，从根本上保护客户内部机密安全，彻底的防止机密的泄漏。
4.14&自动告警
SANGFOR SG支持在一定时间段里内网用户流量超过一定阀值时，实现自动告警的功能。例如当内网遭到DOS攻击、ARP攻击时，内网由DOS攻击、ARP攻击产生的流量值会增加，当超过管理员设定的值时，自动告警提醒管理员内网安全存在隐患，以便管理员快速做出决策来保障内网的安全。除了支持上述攻击告警，SG还支持杀毒、泄密、邮件延迟审计、危险行为识别等流量超过预定的阀值的自动告警。
关于产品更多介绍，请访问 、
重庆新威信网络科技有限公司-, , , ,
地址：重庆市北部新区(高新园）新南路 162号龙湖*水晶星座2310室
售前电话：13893
售后电话：
邮编：401147
上一篇：下一篇：
版权所有：重庆新威信网络科技有限公司 渝ICP备号-1
售前电话：023－ 售后：023－ Email：.cn
公司地址：重庆北部新区新南路162号_龙湖_水晶星座23F
本站关键字：, , , , ,,,}