深信服上网行为管理产品选购指南

上网行为管理设备选购指南

中国上网行为管理第一品牌

TM

CONTENTS

目录

TM

一、内网所面临的问题一、员工沉迷网络娱乐，影响工作效率互联网接入的普及和带宽的增加，改善了组织机构内员工的上网条件，上网意味着传送信息、创造商机、联络感情，也意味着上班时闲聊、打游戏、泄露机密信息、发布非法言论、甚至非法挪用巨额资金，一切因网而来，构建安全、可管理的内网，面临众多问题。根据Dynamic Markets Limited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家员工多花7.6小时使用即时通讯( Instant Messenger, IM)工具、玩游戏、进行 P2P( Peer to Peer,P2P)下载或观看在线媒体；上网下载音乐的时间比其他国家员工高16%;上网进入聊天室和玩在线游戏两方面花费的时间分别比其他国家员工高8%和12%。在同为发展中国家的印度，只有26%员工在工作场合浏览私人信件，而在中国，这个数字则是60%!

行：研发人员出入实验室不允许带U盘或移动硬盘，或者直接在电脑硬件上屏蔽 USB接口；而对于商务人员，避免其带笔记本电脑回家，对文件进行严密管控……但殊不知，一根网线连接世界，在自由的网络世界里，信息传递的便捷也带来了泄露机密信息的便捷与隐蔽。

四、网络行为引发法律风险个别员工通过互联网发送非法信息，或在不良网站上发帖，这些行为也时常使所在单位蒙上不白之冤。更让管理者担心的事情是：个别员工利用职位之变，非法盗用企业或单位的流动资金用于炒股或博彩，而网络恰恰给他们提供了便利的平台。据中国公安部最新统计，70%的泄密犯罪来自于机构内部，电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。

二、非业务网络应用占用巨大带宽员工沉迷在互联网带来的诱惑之中，会带来怎样的后果呢？有限的网络资源被不断蚕食和侵占：中国大多数企事业单位的网络出口带宽不足10M,更多的机构甚至与其他组织分享1M的ADSL线路。在带宽资源紧张的前提下，“下载”却是

很多员工上班后的第一件事，开机后，他们自觉地打开了 BT、电驴、迅雷等下载工具，一边娴熟地下载大量的电影和软件，一边抱怨网速太慢、影响其正常工作。当网速慢的问题难以解决时，IT部门只好申请更多的带宽，而这无疑给组织增加了更大的运营成本。

五、内网病毒泛滥由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网病毒木马泛滥、 ARP欺骗横行、终端设备安全性能极低等情况，已逐渐成为内部网络安全的最大威胁。

三、网络泄密互联网还给泄密提供了便捷的途径。通过邮件、 BBS发帖、如何解决在互联网应用过程中暴露的网络访问行为不可控、网络访问行为管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足上网行为管理的具体要求。我们需要……

FTP、 QQ/MSN等，员工可以轻易地将组织内部的机密信息发给 Internet上的任何人，商业机密、研发机密经常通过网络轻易传递至外界甚至竞争对手，使组织蒙受巨大损失。为了防止泄密，许多组织机构制定了严格的规章制度并严格执

设备选购指南

02

TM

深信服上网行为管理设备选购指南深信服上网行为管理设备选购指南

二、深信服上网行为管理解决方案作为中国上网行为管理第一品牌，深信服科技以精准的用户识别+终端识别+应用识别技术为基础，结合封堵、流控和审计等丰富灵活的管理手段及优秀的安全增强功能，为客户应对互联网所带来的安全、效率、泄密及法律风险等问题提供了全面、灵活的解决方案。

一、深信服上网行为管理产品介绍深信服上网行为管理产品发明专利：200510037455.1 200510037454.7 200610062252.2 200610061591.9 200610156977.8 200710075287.4 200710072997.1一种在网关、网桥上实现用户安全接入外网的方法一种电子邮件的安全审查方法一种基于网关/网桥的防间谍软件侵犯方法一种基于网关/网桥的线路自动选路方法一种基于网络应用中的P2P流量识别控制方法利用网络设备实现代理服务器负载均衡的方法基于网关、网桥防范网络钓鱼网站的方法网管员世界最具价值的上网行为管理产品计算机产品与流通编辑推荐奖计算机世界年度产品奖 IT168最受用户关注产品奖

深信服上网行为管理产品所获部分资质与荣誉：公安部公安部高交会 SINFOR AC V1.0上网行为管理销售许可证 SINFOR AC V1.0上网行为管理检测报告第八届中国国

际高新技术成果交易会自主知识产权证书

深信服科技作为国内首家提出“上网行为管理”理念的厂家，推出的上网行为管理系列产品已经成为中国上网行为管理第一品牌。凭借技术手段最领先、应用识别率最高、平台性能最强的核心优势，以及丰富的用户认证手段、多种安全防护能力和独立的数据中心等功能，深信服提供了涵盖网关+终端、行为+内容的完整上网行为管理解决方案，为组织机构实现了提升工作效率、提升带宽效率、防范机密泄露、避免法律风险、保障内网安全等多重价值。如今，深信服上网行为管理产品已经得到数量众多的高端客户的大规模应用，功能、性能得到了客户的高度肯定。1用户识别

中国计算机报编辑选择奖

电脑商报渠道推荐产品奖

金融行业信息化CWEEK推荐网络安全产品奖

计算机产品与流通 SP编辑推荐奖

管理产品可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。2上网终端识别

上网行为管理最基本也是最关键的要素是“用户”和“应用”,只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用，才能对其实施准确、清晰的管理。深信服上网行为管理产品提供了包括本地认证/第三方认证、静态认证/双因素认证在内的多种用户认证手段，不仅满足大型、乃至超大型组织在用户管理上的快速部署、便捷管理的需求，而且针对安全性强的身份认证、高权限用户管理的需求也首次提出业界领先的基于USB KEY的身份认证和免监控管理技术。通过上述先进技术的应用，深信服上网行为

用户身份的精确识别仅仅是上网行为管理的基础，由于Internet的复杂性，很多时候用户的违规行为或安全风险往往是在无意识的情况下产生的，与此同时，也有一些精通IT技术的用户试图通过各种方法挑战IT管理者的权威(如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户),这就需要上网行为管理方案能够具备终端管理的能力，通过终端管理有效判断客户桌面环境是否符合组织相关安全规定(如

03

设备选购指南

TM

TM

中国上网行为管理第一品牌中国上网行为管理第一品牌

是否安装了指定的杀毒、个人防火墙等安全软件、是否安装相应系统补丁等),避免因桌面安全级别不足而导致的风险，同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。深信服上网行为管理产品通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测，实现了对终端的精准识别，使得深信服上网行为管理解决方案真正满足组织在上网

行为管理过程中对精准授权的需求。3应用识别

权限，除了基于用户的网络行为(如炒股、IM聊天、网上购物、在线游戏、在线电影、P2P下载等)提供封堵和流量管理外，深信服上网行为管理产品还提供了基于内容的管理手段，独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录QQ聊天内容)等技术，为防止机密信息资产通过Internet泄漏提供了最有效的保证。完善的上网行为管理不仅需要实时性，而且还需要可追溯、可统计，一个强大的数据中心是专业上网行为管理解决方案的必备特征，深信服上网行为管理产品可全面记录各种网络行为日志，而且对组织关心的行为内容均提供了详细的记录功能，包括用户访问的 URL、QQ/MSN聊天内容、网络发帖、收发的Email/Webmail等各类行为和内容，使得组织能够详细掌握用户的具体访问行为内容；而深信服上网行为管理产品专为高端用户设计的强大的独立数据中心可以实现行为日志海量存储，并通过各种图形化的统计报表和海量日志内容检索工具，让管理者轻松获知网络使用情况，也避免法律违规后无据可查的尴尬。传统的网关安全以及简单的URL过滤的方案无法帮助组织应对来自互联网的挑战，作为专业的上网行为管理解决方案供应商，深信服科技始终关注组织的核心需求，我们提供包含网关+终端、行为

如果说精确的用户+终端识别能力是上网行为管理的基础，那么精确的应用识别则是上网行为管理的核心，只有实现了对Internet上纷繁复杂的各种应用的精准识别，管理员才不会面对用户庞大的流量而不知所措。深信服上网行为管理产品提供了数十类、200多条应用识别规则，且不断增加和更新，使得组织能够轻松识别内网用户大部分的互联网访问行为，而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用，深信服上网行为管理产品强大的P2P智能识别、SSL加密流量识别等关键识别技术更是构筑了深信服上网行为管理产品业界最强的应用识别能力。4丰富的上网行为管理手段

有了精确的用户识别、终端识别和应用识别，后续的上网行为精细化管理才成为可能，深信服上网行为管理产品提供了灵活的封堵、流量管理和行为审计手段，帮助组织合理设置用户的上网访问

+内容的完整上网行为管理解决方案，真正解决组织面临的各种管理风险。

海量URL库、支持自定义；URL关键字、网页关键字、搜索引擎输入关键字的过滤等；识别代理；上传下载文件类型识别和过滤；封堵QQ、MSN、网游、炒股等各种软件；封堵BT、PPLive等现存P2P软件； P2P智能

识别，封堵加密的、不常见的P2P行为；

监控访问的网页、标题、内容等；监控QQ、MSN等聊天内容；记录邮件标题、内容、附件等；监控用户的所有上网行为；支持对特定用户(组)的免监控；

控制监控 SINFOR AC宽带管理安全增强防ARP欺骗；防外网、内网DOS攻击；网关杀毒；网络准入规则，修复内网安全短板；

免审计Key,避免审计领导的行为；邮件先延迟审计、再发送; Webmail正文和附件的审计； Email正文和附件的审计；所有上网行为记录均可完整再现；

审计

多线路复用、多线路智能选路； P2P智能识别和流控；

报表

专业搜索引擎检索海量日志；内置/外置数据中心，海量日志存储；饼图、柱图、曲线图等统计显示方式；全面的日志记录，方便的查询、审计；自动报表、定期生成、自动发送； WEB界面，可同时审计多台AC网关；

针对用户(组)使用的应用类型、网站类型、上传下载文件类型等进行带宽划分和分配；带宽限制、带宽保证、智能QoS;

深信服上网行为管理产品功能示意图设备选购指南

04

二、深信服上网行为管理产品应用效果

通过采用深信服上网行为管理解决方案，可以帮助组织实现完善的上网行为管理、行为审计和内网安全保障，并达到如下效果：1. 规范员工上网行为、提升工作效率

宽带的接入使得组织机构24小时连接在Internet上，而员工上班时间QQ聊天、娱乐网站浏览、在线炒股等已经成为办公室皆知的秘

上班炒股

在线游戏

聊天

提升工作效率

密，工作效率的降低却要管理者为其买单。通过深信服上网行为管理产品的部署，可以把与工作无关的上网行为降到最低，让员工集中精力、安心工作。

2. 强化带宽管理，提升带宽利用率

有限的Internet带宽始终无法满足组织日益增加的带宽需求，如何提升带宽利用率就成为一个重要的网络管理内容，深信服上网行

在线视频

BT下载

提升带宽利用率

为管理产品提供包括支持多链路和丰富流量管理策略在内的多种带宽管理手段帮助组织解决上述问题。深信服上网行为管理产品可以同时连接多条公网线路，实现以更低的成本扩展带宽，精确的应用识别为高效流量管理策略的制定提供了可能，除了可以对各种滥用带宽的P2P行为、在线下载、特定类型网站进行流量管控外，深信服上网行为管理产品还可以为类似领导用户组的视频会议、市场部访问业务网站、设计部传输指定类型文件等业务行为提供带宽保障策略，帮助组织机构最大化网络建设的投资回报。3. 保护内部信息资产安全、防止机密信息泄漏

组织机构内部有太多的机密信息，关乎组织发展命运的研发、商业机密时常通过网络泄露出去，而存心的泄密者和忠实的干部都可能是造成泄密的关键人员。深信服上网行为管理产品的邮件延迟

05

设备选购指南

审计专利，使得潜在的泄密邮件必须通过相应邮件审核人员审核后才能发送到公网；对于加密的IM（如QQ）聊天内容、网络论坛发帖、webmail正文及附件、通过HTTP或FTP上传的文件等各种可能

聊天邮件运用

防止机密信息泄漏

涉及泄密的数据内容，深信服上网行为管理产品提供了关键字过滤等手段屏蔽可能的泄密行为而保障信息资产安全，并且提供了全面的记录功能为组织留存了法律证据。4. 降低组织机构的法律风险

员工利用组织机构提供的互联网连接访问反政府/邪教等不良网站、发表非法言论或从事其他网络非法活动等，可能导致组织遭受法律诉讼、行政处分等风险。深信服上网行为管理产品可以过滤员

网上发贴博客

规避降低组织机构

的法律风险

工访问非法网站、发表非法网络言论等不良行为，且将所有网络行为日志通过独立数据中心提供海量存储及审计支持，图形化的审计、统计、报表和内容检索工具，方便组织做到有据可查，降低组织的法律风险。

5. 多种安全增强功能，全方位保障内网安全

上网行为管理设备作为组织网络的重要组成，在为组织提供管理服务的同时，也同样面临来自网络的各种挑战和威胁，来自内网的DOS攻击（不一定是人为的，内网大规模爆发的蠕虫病毒或是僵尸网络激活都将对组织网络造成极大的冲击）和ARP欺骗（一旦出现，将严重影响组织网络的稳定）等各种安全风险层出不穷，相对普通的上网管理方案，深信服上网行为管理产品独特的防DOS攻击、防ARP欺骗、网关杀毒等功能，帮助组织进一步保障内网安全，特有的网络准入规则的应用也极大提高了组织为应对网络风险而部署的网络杀毒、桌面管理等各种关键软件系统的部署率（不符合要求的终端将被剥夺上网的权限），从而为组织进一步提升网络抗风险能力提供了支撑。

TM

TM

中国上网行为管理第一品牌中国上网行为管理第一品牌

三、深信服上网行为管理产品功能介绍

(一)控制功能：细致而全面的访问控制功能，有效管控员工上网行为不能识别，何谈管控？基于精准用户身份识别、终端识别和行为识别，深信服上网行为管理产品为不同员工授予差异化的网络访问权限。深信服上网行为管理产品不仅对员工的WEB、FTP、MAIL等常见行为及内容进行管控，更可以对QQ、MSN、BT、电骡、在线炒股、

网络游戏、网络电视等进行管控，从而规范了员工的上网行为，提升员工的工作效率。表3.1:访问控制功能一览表

功能用户认证终端认证 IP-MAC绑定网站过滤 SSL网站过滤应用软件管控 P2P智能识别代理识别功能

详细指标支持Web认证，支持本地帐户数据库、LDAP、AD、RADIUS、POP3、PROXY等，且支持USB-Key双因素身份认证方式检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，不符合管理者指定安全策略的终端可设置为不允许上网灵活的IP、MAC绑定策略，且在三层网络环境中实现IP-MAC绑定海量URL库、多种关键字识别技术，过滤色情、反动、新闻等网站 SSL加密的钓鱼网站、博彩网站、非法、反动网站等，同样可以识别和过滤识别和管控QQ、MSN、Skype、飞信等各种聊天软件；BT、电骡等各种P2P软件；及网络炒股、网络游戏、在线影音视频等行为加密BT、加密电骡、不常见的P2P行为、版本泛滥的P2P工具等，P2P智能识别技术都能够进行彻底识别和管控识别采用Http、Https、Socks等代理服务器绕过管控检查的行为，从而进行识别和阻断

文件上传下载控制对HTTP、FTP上传、下载的文件类型进行控制，亦对QQ、MSN等文件传输行为进行识别和拦截访问控制策略敏感数据拦截提供基于用户组、时间、服务、网址策略、内容策略等多种对象组合的细致灵活的访问控制策略对HTTP、FTP、SMTP等应用协议做敏感数据拦截，以防泄密和潜在的法律风险

设备选购指南

06

TM

深信服上网行为管理设备选购指南深信服上网行为管理设备选购指南

(二)带宽及流量管理功能：强大的线路管理、流量分析、带宽分配功能深信服上网行为管理产品具有强大的带宽管理和流量控制功能，独有的多线路复用专利让一台深信服上网行为管理产品可连接四条公网线路，多条线路间互为备份，实现带宽叠加、负载均衡和智能选路。深信服上网行为管理产品的流量管理系统可基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型进行带宽分配，既可以控制非业务流量对带宽的滥用，又能够实现对重要业务流量的带宽保证，实现了带宽资源利用率的最大化。表3.2:带宽划分与流量管理功能一览表

功能多线路复用多线路智能选路流量分配和控制

详细指标号可同时连接四条公网线路，实现带宽叠加、负载均衡多线路之间互为备份，且内网员工的流量可以根据访问内容智能分担到不同线路上，解决了跨运营商的带宽瓶颈问题针对内网不同员工、不同用户组，为其指定的应用类型/网站类型/上传下载文件类型的访问行为提供带宽分配和管理措施，使

组织机构的带宽资源得到充分有效的利用

带宽保证策略 P2P管控 QOS保证

针对用户指定的网络行为，既可静态保留指定带宽而不被其他行为挤占，也可动态预留指定带宽便于带宽的充分利用不仅可以全面封堵各种P2P应用，还可对P2P行为进行流量控制，限制其上行流量和下行流量，节省组织机构网络带宽资源使用差分业务模型实现QOS,使用随机早期检测RED丢弃算法提供流量控制

(三)监控功能：完善的内容过滤和访问审计功能，防止机密信息泄漏组织机构的信息资产很多是通过内部泄漏。深信服上网行为管理产品完善的访问审计和监控功能有效防止信息通过Internet泄漏，形成内部安全威慑，减少内部泄密行为，而对于防止由于过度监控导致组织高层领导的上网行为被记录,进而泄密的可能，深信服上网行为管理产品也提供独有的“免审计 KEY”这样的关键特性，满足组织差异管理的需求。表3.3:访问审计/监控功能一览表

功能邮件延迟审计实时监控内网监控

详细指标对外发邮件进行延迟审计(可设定延迟条件),特定审核人员审计后才能发出，确保信息资产不外泄实时监控员工的上网行为，并支持临时冻结员工或中断指定连接等监控员工的各种网络行为，记录包括QQ、MSN等聊天内容；浏览网页的网址、网页标题、甚至整个网页正文内容；网络发帖、WebMail正文及附件；收发的Email正文及附件；上传下载的文件等各种网络行为进行详细记录，防止组织机构内部机密、情报等泄漏，并做到有据可查

免审计Key

支持组织机构的高层领导通过“免审计Key”方式，从设备底层免除对其所有网络行为的记录

(四)报表检索功能：强大的数据中心，提供直观的上网数据统计深信服上网行为管理产品内置数据中心，而且支持强大的外置数据中心，可实现海量存储行为日志，并且所有的查询、搜索、统计等操作不影响网关设备性能。

07

设备选购指南

TM

中国上网行为管理第一品牌中国上网行为管理第一品牌

对于组织的上网行为审计要求，管理者可分组、用户、规则、协议等多种查询对象，按饼状图、柱状图、曲线图等方式进行统计，直观查看网络流量、邮件、网络行为、上网时间等多种详细日志信息，并可打印和导出报表；深信服上网行为管理产品的自动报表功能将管理者指定的统计、审计结果发送到指定邮箱，而强大的内容检索功能，通过专业搜索引擎，实现海量日志的检索和审计。深信服上网行为管理产品详细分析组织机构的Internet使用情况，为管理者的决策提供了最有效的数据支撑。表3.4:报表和数据中心功能一览表

功能流

量统计日志上网时间日志邮件日志网络监控日志安全日志报表分析功能自动报表功能

详细指标包含流量统计概要、组流量排行、流量日志、流量趋势等，用饼图、柱图等直观的显示内网流量统计情况指定时间段内监控和统计用户总上网时间、某网络应用总使用时间、用户使用某应用时间、并以饼图、柱图等直观显示时间统计情况包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，详细统计员工收发的所有邮件的具体情况包括监控和统计用户网络应用活动排行、URL访问排行、审计查询用户的网络发帖、IM聊天、P2P下载、网络炒股等详细日志包含设备安全相关日志信息，及组织机构网络发生的DOS攻击、ARP欺骗等安全事件日志信息支持对上述各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，曲线趋势图等根据管理者设定，数据中心自动将指定时间段内的流量日志、邮件日志、网络监控日志、上网时间日志等查询、统计结果汇总成PDF等报表文件，发送到指定Email邮箱

内容检索主题订阅

通过专业搜索引擎，实现对海量日志信息的内容搜索，方便管理者对海量数据的快速检索及数据挖掘将含有管理者指定关键字的行为日志统计结果自动形成Email,发送到指定邮箱

(五)多种内网安全增强功能：网关杀毒、防DOS、防ARP欺骗等安全取决于最薄弱的一环！内网终端电脑使用过时的操作系统、不更新补丁、不安装指定的杀毒/防火墙软件或不更新、运行违规软件等，必将极大降低组织内网安全级别。组织不仅面临的来自Internet的病毒等威胁，源自内网的DOS攻击和ARP欺骗也给组织的网络管理带来了极大的挑战，深信服上网行为管理产品提供了完善的防御和解决方案，不仅保障设备本身的安全稳定，还全面保障和提升组织机构的网络安全等级。表3.5:安全增强功能一览表

功能网络准入规则

详细指标通过检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，拒绝不符合管理者指定安全策略的终端上网，避免因终端安全级别不够引发的内网安全风险和故障

防病毒引擎

集成欧洲领先防毒厂商的杀毒引擎，提供对HTTP、FTP、Mail等容易携带病毒的网络内容的检测和病毒查杀，形成对组织病毒防护和管理的有益补充

防内网DOS攻击防ARP欺骗

使组织能够应对内网大规模爆发的蠕虫病毒或是僵尸网络激活对组织网络造成的极大冲击防范因ARP欺骗导致的内网用户大规模断网的情况

设备选购指南

08

TM

深信服上网行为管理设备选购指南深信服上网行为管理设备选购指南

四、深信服上网行为管理产品

技术优势(一)全流量分析技术—彻底封堵QQ、炒股、常见P2P软件等 (三)SSL加密网站识别和过滤(专利技术)--反钓鱼网站等互联网的发展日新月异，越来越多的在线交易类(包括炒股、网银、网上购物以及电子商务)网站使用了SSL等加密技术来确保数据安全，而与此同时，假冒网上银行的钓鱼网站、刻意躲避政府过滤的色情、反动网站等各种不良站点也出于各种目的纷纷采用SSL加密方式提供访问，普通的上网行为管理方案根本无法有效甄别和过滤SSL加密网页，给组织的管理带来很大风险。深信服上网行为管理产品不仅能够提取 SSL访问页面中的 URL地址，并对其依据URL管理策略进行相应的控制，同时还通过全球可信任数字证书颁发机构信息，对SSL网站提供的数字证书进行证书链深度验证，从而实现对SSL加密网站可信度的识别和过滤，为传统设备和方案如通过防火墙封端口/封服务器IP等方式管控 QQ、通过封服务器IP/封种子网站/封端口等方式封堵P2P下载行为等管理方式来应对泛滥的互联网应用行为已经捉襟见肘，费时费力且无法彻底封堵。深信服提供的上网行为管理产品利用应用协议在数据包传输过程中都会有特征字段的特点来识别相应的应用,加上无论应用行为采用何种端口、何种传输协议、是否加密都能予以识别的全流量分析技术,彻底识别各种应用行为，并根据预置策略进行及时封堵或流控。深信服上网行为管理产品内置自动更新的超过20大类、200多条应用识别规则，能够准确识别并封堵各种IM聊天工具、网络炒股、网络游戏、在线视听软件及常见的P2P工具等，提高员工的工作效率和组织的生产效率。组织机构提供了完备的网站访问行为及内容安全管理解决方案。

(四)邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送

(二)基于统计学的智能分析专利技术--管控加密、不常见和版本泛滥的P2P行为泛滥的P2P行为滥用了组织机构有限的带宽资源，致使视频会议、VOIP等业务难以开展。而普通的管理手段除了难以封堵加密 BT、加密电骡等加密P2P外，就连版本泛滥、不断更新的P2P软件也难以控制，只能封堵“昨天的BT”。深信服上网行为管理产品通过P2P智能识别技术，基于统计学的网络行为智能分析，实现各种 P2P行为的全面识别，包括加密的、不常见的、版本泛滥和未来可能出现的P2P行为，并施以封堵和流控等措施，为管理者提供了一劳永逸的解决方案。深信服上网行为管理产品既可彻底封堵P2P行为，又可允许内网指定员工在有限范围内使用P2P,并可对内网用户使用 P2P时占用的带宽进行控制，既避

免P2P对带宽的滥用，又实现人性化的管理方式。电子邮件已经成为人们最重要的沟通方式之一。组织机构需要通过电子邮件与外部保持沟通和交流，而电子邮件也成为泄漏组织机构机密信息的途径之一。深信服上网行为管理产品独创的邮件延迟审计专利技术，能够根据管理者预设的过滤条件对指定内网员工向外发送的指定邮件进行延迟审计，只有具有权限的特定审核人员审核通过后才能发出，通过人工审核确保组织机构信息资产不外泄，保证了组织内网信息资产的安全，避免了传统邮件管理方案只能审核邮件备份记录以追究法律责任却无法阻止泄密发生的尴尬局面。

09

设备选购指南

TM

中国上网行为管理第一品牌

(五)免审计Key—从设备底层免除对高层领导的行为记录与审计随着越来越多的业务和沟通通过互联网进行，高层领导的网络行为中往往涉及组织最重要的业务机密和信息资产，关系到组织机构的发展和前途。如何确保高层领导的网络行为不被上网行为管理设备错误监控和记录就成了判断上网行为管理产品专业性的一个重要标准。有别于传统设备通过产品控制界面人为取消审计配置的方式 (可以取消，也意味着可能被悄悄加上),深信服上网行为管理产品采用的是权限不可复制、免监控状态不可取消的USB KEY技术，高层领导将深信服上网行为管理产品颁发的“免审计Key”插入任一电脑，即从设备底层免除对高层该领导网络行为的记录，而且这种免审计状态是不可更改的，避免了被错误更改状态后而受到深信服上网行为管理产品监控的情况。量日志中寻找管理者感兴趣的内容异常困难，深信服上网行为管理产品创新地提供专业搜索引擎技术的内容检索工具，从海量存储的网页、邮件正文、搜索关键字、Webmail/BBS、聊天内容内查询到包含特定关键字的内容，实现对海量日志的检索、审计等，并支持将管理者感兴趣的检索结果定期自动形成报表，发送到指定邮箱。

(六)强大的内容检索工具——方便对海量日志的检索、查询、审计 (七)细致的流量管理系统——优化带宽资源，提升带宽使用效率组织机构有限的带宽资源，如何限制非业务应用对带宽的占用，同时保证关键部门/员工的业务应用对带宽的需求？深信服上网行为管理产品细致的流量管理系统做到了：针对应用类型(如P2P、邮件等)、网站类型(如业务网站类、新闻网站类等)、上传下载的文件类型进行带宽划分与分配。基于不同用户/用户组，时间段，结合智能QOS功能，深信服上网行为管理产品优化了组织机构带宽资源的使用，提升带

宽使用效率。

(八)特有的网络准入规则(专利技术)——修补内网安全短板组织机构的安全风险，往往是由于内网终端的安全隐患导致，深信服网络准入规则专利技术，修补内网终端安全短板。 2006年3月1日开始实施的公安部82号令要求：组织机构必须留存员工的上网行为记录至少60天。由于网关设备自身容量的限制，大型组织每天产生数十G的海量行为日志存储于设备本身并不现实。深信服上网行为管理产品创造性的支持第三方日志服务器，通过独立的数据中心实现日志无限量存储(最大容量取决于日志服务器的硬盘空间),帮助组织实现超长时间的日志记录。日志记录是为了日后的审计及查询,在缺乏有效技术帮助下,从海深信服上网行为管理产品所支持的网络准入规则是一个可选项目，当管理者期望通过准入规则实现对内网终端的各种安全属性进行检测并以此为依据赋予上网权限时，管理者在深信服上网行为管理产品上可预设各种安全策略进而检查接入终端安全状况：包括指定员工的终端操作系统版本及补丁状况、杀毒/防火墙软件安装及更新情况、注册表、后台进程、硬盘文件等内容。不符合管理者预设安全策略的终端，将不允许访问互联网，避免其轻易感染病毒、木马，进而危害整个内网安全的可能，为组织机构提供了全面的安全

设备选购指南

10

TM

深信服上网行为管理设备选购指南

五、深信服上网行为管理产品部署模式深信服上网行为管理产品可提供多种部署方式，以适应不同组织机构的网络环境及需求。1

网桥模式是将深信服上网行为管理产品如同交换机一样配置和部署。深信服上网行为管理产品的LAN口接内网交换机，WAN口连接出口网关等设备。采用透明模式的主要优点是：

网关模式(路由模式)深信服上网行为管理产品网关模式的典型部署如下图所示：

设备的部署、安装基本不影响原有网络结构完全监控和管控进出设备的数据和上网行为3

旁路模式深信服上网行为管理产品旁路模式的典型部署如下图所示：

网关模式是将深信服上网行为管理产品作为本网的出口网关，一般作为NAT设备分割外网和内网，并代理内网员工上网所使用。深信服上网行为管理产品的LAN口接内网交换机，WAN口接外网的接入设备，如路由器、ADSL Modem等。采用网关模式的主要优点是：能实现NAT、路由等网络功能，并代理内网员工上网完全监控和管控进出设备的数据和上网行为2

旁路监听部署模式对组织机构的网结构影响最小，不需要改变原有网络的任何路由配置，只需在出口交换机上配置端口镜像。其主要原理是

监听并分析TCP/IP数据包以实现监控，通过改变IP包头信息来调节和控制IP连接。

网桥模式(透明模式)深信服上网行为管理产品网桥模式的典型部署如下图所示：

采用旁路模式的主要优点是：设备的安装完全不影响原有的网络结构，实施部署简单方便。采用旁路模式的不足是：因为获得的是“镜像”的数据流，所以设备部分控制功能不能实现：带宽限制、邮件延迟审计、网络准入规则，以及不能控制采用 UDP协议的部分应用。建议：若主要用于控制、拦截、流量管控等功能，则推荐网关或网桥模式部署；若将深信服上网行为管理产品主要用于监控或审计等功能，则推荐采用旁路模式部署。

1 1

设备选购指南

TM

中国上网行为管理第一品牌

六、深信服上网行为管理产品性能指标一、M5000-AC中小组织、大型机构分支网络的选择M5000-AC适合于内网用户数100人以内的组织机构，支持4个百兆网络接口(LAN * 1、 DMZ * 1、 WAN * 2)。

重要性能指标吞吐速度并发会话数目转发时延 70 M bps 60,000 0.1-0.3 ms标准接口扩展接口串口

网络接口100BASE-T (RJ-45) * 4无 RS232 *1重量规格

硬件规格3.5Kg 1U机架式结构

二、M5100-AC中小组织、区域总部的选择M5100-AC适合于内网用户数100-400人的组织机构，支持4个百兆网络接口(LAN * 1、 DMZ * 1、 WAN * 2)。

重要性能指标吞吐速度并发会话数目转发时延 100M bps 300,000 0.1 ms标准接口扩展接口串口

网络接口100BASE-T (RJ-45) * 4无 RS232 * 1重量规格

硬件规格4.5Kg 1U机架式结构

三、M5400-AC中型组织机构、重要网络的选择M5400-AC适合于内网用户数400-1200人的组织机构，支持2个百兆网络接口、4个千兆网络接口(LAN * 1、 DMZ * 1、 WAN * 4)。

重要性能指标吞吐速度并发会话数目转发时延 700M bps 800,000 0.1 ms标准接口

网络接口1000BASE-T (RJ-45) * 4 100BASE-T(RJ-45)*2扩展接口串口无 RS232 * 1重量规格

硬件规格

7Kg 1U机架式结构

设备选购指南

12

TM

深信服上网行为管理设备选购指南

四、M5500-AC大型组织机构、重要网络的选择M5500-AC适合于内网用户数800-3000人的组织机构，支持4个千兆网络接口(LAN * 1、 DMZ * 1、 WAN * 2),并支持扩展至少2个千兆光口。

重要性能指标吞吐速度并发会话数目转发时延 1.2G bps 1,000,000 0.1 ms标准接口扩展接口串口

网络接口1000BASE-T (RJ-45) * 4 SFP千兆光口* 2 RS232 * 1重量规格

硬件规格15Kg 2U机架式结构

五、M5600-AC核心网络的选择M5600-AC适合于内网用户数1200-5000人的组织机构，支持3个千兆网络接口(LAN * 1、 DMZ * 1、WAN * 1),并支持扩展2个千兆光口。

重要性能指标吞吐速度并发会话数目

转发时延 1.5G bps 1,200,000 0.1 ms标准接口扩展接口串口

网络接口1000BASE-T (RJ-45) * 3 GBIC千兆光口 * 2 RS232 * 1重量规格

硬件规格20 Kg 2U机架式结构

六、M5800-AC数据中心网络的选择M5800-AC适合于内网用户数5000-14000人的组织机构，支持3个千兆网络接口(LAN * 1、DMZ * 1、 WAN * 1),并支持扩展4个千兆光口。

重要性能指标吞吐速度并发会话数目转发时延 2.2G bps 1,500,000 0.1 ms标准接口扩展接口

网络接口1000BASE-T (RJ-45) * 3 SFP千兆光口*2 GBIC千兆光口*2串口 RS232 * 1重量规格

硬件规格22Kg 2U机架式结构

七、M5900-AC特大型组织、电信级网络的选择M5900-AC适合于内网用户数14000-50000人的组织机构，支持4个千兆网络接口(LAN * 1、 DMZ * 1、 WAN * 2),并支持扩展4个千兆光口。

重要性能指标吞吐速度并发会话数目转发时延 3G bps 2,000,000 0.1 ms标准接口扩展接口串口

网络接口1000BASE-T (RJ-45) * 4 SFP千兆光口*4 RS232 * 1重量规格

硬件规格27 Kg 2U机架式结构

13

设备选购指南

TM

中国上网行为管理第一品牌

七、深信服上网行为管理产品典型案例长虹集团选用深信服上网行为管理产品避免法律风险、提升工作效率长虹集团始创于1958年；2005年，长虹跨入世界品牌500强；最新结果显示：长虹品牌价值达到655.89亿元。长虹现有员工六万四千余人，在中国30多个省市区设立200余个营销分支机构，在国际上10多个国家和地区设立了分支机构，为全球100多个国家和地区提供产品与服务。作为一家拥有数万名员工、信息化程度极高的制造型企业，长虹集团像众多企事业单位一样面临诸多网络困扰： 1、员工工作时间上网娱乐、网络发帖，这些不仅影响工作效率，还存在法律风险； 2、P2P行为泛滥，严重吞噬集团宝贵的带宽资源，挤占长虹集团正常业务应用的带宽，造成业务应用带宽不足、工作效率不高。通过部署深信服上网行为管理产品，长虹集团制定和实施了一套适合自己的互联网使用政策：通过对员工上网行为进行管控，将员工与工作无关的上网行为降到最低，提升工作效率；通过对员工网络发帖、网站访问等关键上网行为进行详尽内容存储与审计，降低了长虹集团的法律风险；而对P2P行为的全面封堵与流量控制，帮助长虹提高了网络基础建设和带宽的投资回报。而且，深信服上网行为管理产品的数据中心还支持以图表方式对企业网内人员的上网行为进行分析，并提供按时间、服务、网站访问、使用网络流量等多种排行榜的图表服务，为管理者决策提供了有力的数据支撑。

深信服上网行为管理产品构建招商银行安全、高效的前沿网络应用银行信息化建

设一直处于各行业的前沿，银行的各项业务也越来越依赖于互联网平台。虽然金融系统网络中已经部署了较多的网络安全设备，抵御来自互联网的安全威胁，但内网安全防范方面还存在着部分薄弱环节。试想：如果银行职员利用上班时间BT下载，访问博彩等不良网站，泄漏机密信息等，这些行为通过网络出口的防火墙能够实现管理和控制吗？银行内网一旦缺乏有效的管理手段，必然会增加各项业务操作的风险，同时对工作效率的影响也非常严重。通过部署深信服上网行为管理产品，满足了招商银行的上网行为管理要求： a)为不同部门、不同员工分配差异化网络访问权限，提升工作效率又保障了信息安全； b)邮件延迟审计、IM聊天内容记录、外发信息审计等，可有效防止泄露机密信息； c)过滤非法网站、过滤非法网络言论，并提供详细日志记录，使招商银行规避了法律风险； d)对P2P的选择性封堵和限流，为不同部门的不同应用行为分配合适的带宽资源，提升带宽使用效率，帮助招商节省了不必要的带宽投入成本； e)详细日志记录，图形化日志统计、审计、报表，让招行管理者轻松掌控网络使用状况和内网用户网络行为分布情况，为其业务决策提供了可信赖的数据支撑。经过上述手段的实施，招商银行构建了安全高效的内网环境，使招行的信息化建设又向前迈出了坚实的一步。

设备选购指南

14

TM

深信服科技有限公司

公司网址：

市场咨询免费热线：800 830 9565电话：0755-26581949

深圳南山区麒麟路1号创业中心四楼

邮政编码：518052

传真：0755-26581959

邮箱：market@邮政编码：518052

技术支持免费热线：800 830 6430传真：0755-86336514

科技中二路深圳软件园十二栋501室

邮箱：support@

CN01-13 Aug2008

本文来源：https://www.bwwdw.com/article/hdm4.html