AC上网行为管理产品白皮书

SINFORAC上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页SINFORAC上网行为管理产品白皮书深信服科技有限公司上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省、深圳市、南山区麒麟路1号创业中心四楼邮编：518052电话：0755-26581949传真：0755-26581959您也可以访问深信服科技网站：上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页目录1互联网对组织提出的挑战2上网行为管理给用户带来的价值2.1管理网络带宽2.2提升工作效率2.3保障内网安全2.4规避法律风险3功能实现4领先的技术优势5部署您的AC产品6典型组网7产品规格和荣誉8关于深信服科技SINFORAC上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页1互联网对组织提出的挑战随着信息技术的发展和进步，尤其是网络的兴起和普及，组织和个人的联网条件得到改善，而组织内部员工已经不限于通过与同事闲聊来打发上班时间，网上购物、与好友通过IM（即时通讯，InstantMessenger）工具在线聊天、在线欣赏音乐和电影、通过BT等P2P工具下载、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。针对用户互联网访问行为的管控与审计，美国于2002年颁布实施的《萨班斯-奥克斯利法案》对组织的内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施的《互联网安全保护技术措施规定》-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络访问行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上。DynamicMarketsLimited每年会对全球企业员工和IT主管进行调查，一方面了解员工的上网习惯，另一方面从IT主管的立场来认识企业所面临的网络问题。其中对中国的调查结果令人吃惊：在办公室中国员工每周比其他国家员工多花7.6小时来使用IM、玩游戏、P2P或在线媒体；中国员工上网下载音乐的时间比其他国家高16%；上网进入聊天室和玩在线游戏两方面花费的时间分别比其他国家高约8%和12%！员工沉溺在互联网带来的诱惑之中，组织有限的网络带宽资源却被不断蚕食和破坏。包括BT、电骡、迅雷等带宽资源“吞噬者”，让原本有限的带宽资源更加紧张，大部分员工抱怨网速太慢，带宽的拥塞除直接干扰视频会议、VOIP等对带宽较为敏感的系统正常运作外，还极大降低了各种基于互联网的业务运行的效率，给组织带来了更大的业务风险和机会成本！与此同时，不受限的互联网访问使得员工可能无意识甚至是恶意访问众多可能危害组织网络的内容，例如通过Web、IM和文件共享带来的病毒、蠕虫和木马，可以随着鼠标简单点击轻而易举的侵入内网。不受控的互联网访问可能带来的风险远不止上述那些，因为缺少有效的管理手段而导致的泄密、违法事件日益突出，正逐渐成为管理者头顶的达摩克利斯之剑。让人无奈的是，员工的不规范网络行为往往是组织为其买单，除了因上班时间无心工作所带来的直接损失外，组织还面临着承担法律责任和泄密风险。部分员工利用上班时间访问内容不当的网站（如色情、反动等）、发表不负责的网络言论、甚至组织或参与非法网络活动，例如网上诈骗、网络攻击，这些行为将使组织名誉受损、蒙受牵连。组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径来实现对员工的上网行为进行管理，接下来，让我们深入了解深信服AC上网行为管理解决方案如何帮助组织轻松解决互联网所带来的问题。SINFORAC上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页2上网行为管理给用户带来的价值深信服科技的SINFORAC为您带来了全面而灵活的用户上网行为管理解决方案。在此，我们通过在管理网络带宽、提升工作效率、保障内网安全和规避泄密和法律风险等四个方面的详细介绍阐述SINFORAC为您带来的巨大价值。2.1管理网络带宽流量管理和控制组织有限的带宽资源，如何分配给不同部门/用户，如何保障服务器及关键应用对带宽的要求？SINFORAC可以针对不同用户(组)结合具体应用进行合理的带宽通道划分，如为内网服务器提供充足带宽、保障市场部Email收发的带宽需求、为市场部每位员工平均分配带宽资源等，充分体现了不同部门、员工及应用的区别，既防止带宽滥用，又提升了带宽的使用效率。2.1.1多线路策略和QoSSINFORAC拥有深信服科技特有的多线路复用及带宽叠加策略技术（专利号：200310112006X），组织通过AC可同时连接多条互联网线路，形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术（专利号：ZL03113974.4），内网用户访问不同运营商的资源时，AC能够自动为用户匹配最佳出口。AC强大的QoS（服务质量）技术包括专用带宽保留、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证，以此使流经AC的数据进行优先级处理，保障重要应用的带宽质量和服务质量。2.1.2P2P软件的控制P2P行为对带宽的吞噬能力众所周知，传统通过封堵服务器地址或端口等方式，已经不足以应对越来越智能的P2P行为了，而新的P2P软件层出不穷，更是让大多数P2P控制手段束手无策。SINFORAC则改变了这一切。凭借P2P智能识别专利技术(专利号：200610156977.8），不仅能识别和管控用户常用的P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。基于管理上的需要，完全禁止使用P2P这样的简单管理方法可能导致员工不满而导致实施困难，SINFORAC提供的P2P流控技术使得管理员能够限制指定用户的P2P应用占用的带宽，既允许用户使用P2P，又不会滥用组织宝贵的带宽资源，充分满足了管理的灵活性。2.1.3带宽统计和报表AC的数据中心（NetworkDatabaseCenter，NDC）对内网用户的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以了解哪些行为占用了带宽资源，并自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况，为带宽管理的决策提供准确依据。2.2提升工作效率上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等上网行为降低了组织的生产效率，如何在上班时间对内网员工的网络行为进行管理和引导？2.2.1网页及内容过滤策略上班时间浏览新闻网站、论坛发帖等私人活动，管理者却难以阻止，AC能针对不同用户(组)提供基于角色的管理方法，庞大的URL分类库让管理者轻松实现指定的员工和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。基于URL地址库的管控只是上网行为管理的一小部分，由于互联网飞速速度发展，全球URL数量正以惊人的速度增长，因此，仅仅采用URL库方式无法满足管理的真正需要，SINFORAC上网行为管理产品白皮书深信服科技，提升带宽价值页，共29页真正有效的方法是实现对内容的管理。无论员工访问何种URL地址、进行怎样的访问行为，例如上班时间下载电影/电视剧、搜索最新网络新闻/图片/视频、上班时间更新博客、上传图片、下载软件等问题，AC通过定义网页关键字、限制用户搜索指定关键字、过滤用户上传下载的文件格式等方式合理控制员工能够访问的互联网内容，将员工精力更多聚焦在工作上。2.2.2应用程序管理互联网应用极大丰富，从聊天到游戏、从P2P下载到在线电影，员工能使用各种应用程序从互联网上获得异常丰富的娱乐体验，而对层出不穷的应用程序的管理也日益成为IT管理者的心病。有别于传统防火墙IP+端口的落后管控方式，SINFORAC具有深度内容检测技术，通过对应用协议和数据包特征的分析来识别具体的应用程序，无论应用程序如何变化连接的服务器IP和端口，AC都可以准确识别。在SINFORAC的帮助下，管理员可以利用AC内置的15大类153种应用程序的识别规则轻松封堵对应的应用程序，而如果基于管理上的需要，在不方便直接封堵的情况下，管理员还可以针对特定应用程序进行流量控制的管理。2.2.3IM（即时通讯）聊天软件的管理上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒传播和机密信息通过IM泄密的问题，因此对于IM的管理日益重要，众多组织都通过各种手段试图封堵各种IM应用，但使用传统网络安全设备管控灵活多变的IM应用已经捉襟见肘，SINFORAC基于应用协议的深度内容检测技术能够完美的帮助管理员实现对各种IM工具的完全封堵。在某些情况下，基于业务需要或管理问题，完全封堵IM工具对某些组织来说比较困难，因此管理者希望能有效的管理IM聊天的通讯内容。但由于目前QQ、Skype、飞信等众多IM工具都采用加密方式进行传输，其它IM工具加密化的趋势也越来越明显。通过SINFORAC特有的聊天内容同步侦听技术（Real-timeMonitorforMessages,RMM)来实现对QQ等加密聊天内容的监听和记录，帮助组织在开放IM的同时确保聊天内容可审可控。2.2.4上网时间管理每个组织都有其工作时间安排，非工作时段适度的允许员工上网能够使组织在确保效率的同时体现足够的人情味，所以，根据不同时间段为用户分配网络访问权限是上网行为管理过程中需要考虑的问题之一。SINFORAC提供基于时间的丰富管理策略，能针对不同部门或不同人员的身份赋予不同时间的不同权限，即能够控制在特定时间段内的上网权限，也可以限制员工一天内总的上网时间，实现人性化管理。2.3保障内网安全面对互联网的威胁，虽然许多组织已经在互联网入口处部署了防火墙、IDS等设备，但内网依然病毒频发、攻击不断，堡垒最容易从内部突破，内网员工不受控的互联网访问行为导致其无意中主动“邀请”病毒、木马等进入内网，如何应对这些导致传统安全技术失效的上网行为所带来的风险？SINFORAC提供了完整的应对方案。2.3.1拦截不良网页AC内置自动更新的海量URL库，包括色情、暴力、反动和恶意站点等分类，潜藏在此类网站中的威胁将被AC轻松过滤；AC允许用户手工添加新URL分类和新URL地址，帮助管理员完善URL库。与此同时，AC还支持过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，从而实现对各类网页的全面过滤，降低内网用户访问不良网页和危险网页的可能。互联网上日益流行的假冒