深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能

1) 控制功能：细致的访问控制，有效管理用户上网

对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表

认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等

账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能

单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录

AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步

用户认证

组织结构 用户分组支持树形结构，支持父组、子组、组内套组等

网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；

关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；

可过滤BBS、Webmail等外发含有指定关键字的言论

SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤

网页控制

文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤

邮件控制

地址限制 可根据发件人地址过滤SMTP外发邮件；

可控制哪些用户使用哪些邮箱外发邮件；

附件过滤

可控制用户外发邮件的附件类型 关键字过滤

可限制外发含有指定关键字的邮件 加密邮箱控制

对SSL 加密邮箱（如Gmail）识别和控制

Webmail 控制

可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计

支持延迟缓存外发邮件，人工审计后再外发 上网控制

可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、

新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等

P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、

PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P

软件进行管控

权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无

权删除被强制继承的策略对象

代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS

端口中封装的其他协议进行封堵；可禁止内网用户使用代

理软件代理他人上网

访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对

象组合

上网控制 上网计时控制

控制用户总的上网时长；支持对用户上网时长进行统计

2 带宽及流量管理功能：强大流量分析及带宽划分与分配

SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

IT 管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC 的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT 管理者就需要对非业务流量如P2P 行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过AC 智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS 优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。

表2：带宽及流量管理功能一览表

多线路支持

支持复用至少四条外网线路，多线路间互为备份、负载均衡及智能选路（提供自主知识产权证明） 应用流控

支持基于应用协议类型进行带宽划分与分配 网站流控

支持基于被访问的网站类型进行带宽划分与分配 文件类型流控

支持基于传输的文件类型进行带宽划分与分配宽分配 单用户带宽

支持一个界面内为用户组内每用户分配带宽 时间控制 支持基于时间段的带宽划分与分配策略

WAN->LAN 流控 支持WAN ?LAN 方向访问行为的带宽划分与分配

流量控制 带宽通道监控

设备控制台界面实施显示流量TOP 10应用； 设备控制台界面实时显示各带宽通道使用情况

3) 监控与审计功能 谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SINFOR AC 关完善的访问审计和监控功能有效防止信息通过Internet 泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送；对于通过Webmail 发送邮件，AC 全面记录邮件正文和附件等；对于QQ、MSN 等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL 地址、网页标题、甚至整个网页内容，AC 也能完全监控和记录等。SINFOR AC 的访问审计/监控模块为机构构筑了强大的内部安全屏障。

针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为审计功能：

而高层领导的网络行为、收发的Email 等关乎机构的发展命运，AC 通过业界独有的“免审计Key”技术，从底层免除对其行为的监控和记录，达到全面和灵活的统一。 表3：访问审计功能一览表

监控审计 实时会话监控

对用户实时会话数进行排名；支持查看指定用户当前会话

详细信息；

实时流量监控 实时监控用户的上行、下行流量；详细显示指定用户各应用实时流量情况；支持用户实时流量排名

实时连接监控 监控用户的实时连接，并能断开用户的指定连接；

异常用户冻结 支持临时冻结异常用户，阻止其访问网络；并能在冻结时间结束后自动解冻

网站访问记录 分用户记录访问的网址、网页标题、网页内容； 支持只记录含有指定关键字的网页正文内容

网络言论记录 分用户记录通过BBS、WEBMail等外发网络言论

外发文件记录 分用户记录通过HTTP、FTP等外发文件行为；并能将外发文件本身进行记录

邮件记录 分用户记录发送、接收的所有邮件包含附件； 支持对Webmail正文及附件的监控和记录

聊天内容记录 支持记录QQ、MSNShell、Skype等加密聊天内容；

分时段记录MSN、Gtalk、新浪UC、网易泡泡等聊天内容

其它行为记录 支持记录其他网络行为，包括IP、端口等信息

WAN->LAN审计 支持审计WAN->LAN方向的应用行为，包括FTP、HTTP、Mail等行为，能审计文件名、文件类型、URL、邮件等

流量审计 审计用户在指定时间段内产生的总流量；

审计用户在指定时间段、使用指定应用协议产生的流量；

时间审计 审计用户在指定时间段内产生的总上网时间；

审计用户在指定时间段、使用指定应用协议的时间

免审计功能 支持使用USB-Key实现对该用户网络行为的免审计功能

4) 报表和检索：直观的上网数据统计、报表和海量日志检索

机构内网用户每天的各种行为日志记录可达数十G，公安部82号令存储至少60天，SINFOR AC通过外置数据中心实现了日志的海量存储。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet 的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。

表4：数据中心功能一览表

数据中心 支持内置和外置数据中心，并以数据库形式存储日志

日志集中管理 一个数据中心支持以WEB方式查看多台设备的日志数据

分级管理 指定管理员登录数据中心后只能审计该用户组的日志

管理员认证 管理员接入数据中心必须支持通过Dkey认证

无Dkey认证管理员只能查看统计和趋势，不能查询审计

流量统计 支持统计用户、用户组、各种应用的流量和排名，并支持绘图与导出

行为统计 支持基于用户、用户组、应用类型、网址、邮件地址的上网行为统计，并支持绘图与导出

报表检索

流量趋势 支持对用户、用户组、应用等的流量进行趋势绘图与导出

对比报表 支持不同时间段、指定用户（用户组）的指定应用访问行为的对比报表；

自定义报表 支持按照用户、用户组、IP、应用类型等进行上网行为的统计、趋势、汇总自定义报表

报表订阅 将含有不同用户组的报表、统计自动发送到指定邮箱

内容检索 提供类似百度的搜索工具，基于多关键字，秒级时间内实现上TB海量日志的快速检索与定位；支持对日志中所记录附件：OFFICE、TXT、PDF等文档的正文内容的检索

主题订阅 支持将含有管理者指定关键字的内容检索结果周期性发送到指定邮箱

5) 丰富的安全增值功能，全面提升内网安全级别

作为一个全面的内网管理设备，SINFOR AC还提供了丰富的安全增值功能。除强大的防火墙模块外，SINFOR AC还集成来自欧洲领先病毒厂商F-PROT杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。

防DOS攻击功能，不仅防御来自公网的DOS攻击，对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构遭遇的整个子网用户无法上网的故障得以根除。

AC具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的终端设备才允许接入Internet，修复了内网的安全短板。

表5：安全增值功能一览表

网关防毒功能 集成F-PORT的杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能

查杀压缩文件 支持对压缩包的病毒查杀（包括zip、rar、gzip、tar、bz2等）

杀毒豁免 支持对指定网站的免病毒检查；支持仅对指定的文件类型进行病毒查杀

病毒库升级 支持杀毒引擎在线自动升级；支持用户手工升级病毒库

防DOS攻击 不仅防止来自外网的DOS攻击行为，还能防范来自内网的DOS攻击，侦测出内部发起攻击的终端，并提供对该终端在指定时间段内的冻结和封锁

防ARP欺骗 无需第三方软件，实现对终端用户和网关的双向防ARP欺骗功能

网络准入规则 提供网络准入规则，保证只有安装了指定的防毒软件和指定系统补丁（和检查注册表，硬盘文件，后台进程等）的主机才能使用Internet，大大减少主机被植入钓鱼软件和木马的风险

功能特点：

1.内置预分类超过800万条的URL库将过滤大部分色情、反动网站，再通过搜索关键字过滤、网页正文关键字过滤等，阻挡“垃圾网站”对内网的感染；

AC根据文件扩展名进行过滤，让非法软件、程序无法通过HTTP/FTP下载，避免了“无知用户”被木马、恶意程序等感染的可能。

2.AC集成来自欧洲领先杀毒厂商F-PORT的杀毒引擎，对经过AC的HTTP、FTP、Email 等流量中潜藏的病毒进行查杀，即使是RAR、TAR等压缩包内的病毒也能彻底清除，网关杀毒从源头上清除病毒等威胁。

3.通过AC的网络准入规则技术，将检测用户电脑的操作系统补丁、杀毒/防火墙软件、病毒库版本、注册表、硬盘文件和后台进程等，只有满足IT部门预设的安全要求的电脑才允许接入Internet，保证内网电脑都及时修补操作系统补丁、安装指定的杀毒和防火墙软件、禁止非法网络程序的运行，不仅修复了内网的安全短板，还让推行统一的IT政策成为可能。

4.一旦病毒通过U盘、文件拷贝等方式在内网泛滥，引起DOS攻击，大量发包时，AC的防DOS功能，不仅防范来自内网的DOS，对于来自公网的DOS同样进行防护，隔离病毒和内网DOS攻击点，且避免了内网被控僵尸主机发起攻击导致的法律风险；而泛滥的ARP病毒、ARP欺骗等可能导致整网用户无法连接Internet，也将通过AC的防ARP 欺骗功能根除其危害；

AC还具备入侵防御功能，对来自公网的超过3000种攻击进行抵御和防护。

除了以上四种措施保障内网安全，AC的上网行为管理功能，能够管理和限制用户的无关网络访问行为，为不同用户差异化分配合适的网络访问权限。

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

深信服上网行为管理

深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力，产品内置业界最大的应用识别库，可对多达500多种互联网应用软件进行管控；基于统计学的P2P智能识别技术，可实现对加密的、新版本甚至未知版本的P2P应用进行识别，为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累，以及充分优化的系统架构、高性能的硬件平台，深信服上网行为管理产品的性能遥遥领先于其他同类产品，可管控5万人以上的大型网络。 目前，在中国上网行为管理的高端市场中，深信服AC产品拥有着极高的占有率，6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制，规范员工上网行为，提高工作效率

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别和认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统，只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 2、强大的监控和审计，保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露；同时具有独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 3、流量控制和带宽管理，优化带宽资源的使用 多线路复用和智能选路技术，提升出口带宽，流量负载分担，智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时间段等进行带宽分配； 4、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能 1) 控制功能：细致的访问控制，有效管理用户上网 对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 表1：访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类； 关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤； 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件；

深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计； 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； 被控设备加入统一平台支持以硬件证书验证身份； 告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； 短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑 内容包括文字、颜色风格、图片，且图片支持轮询播放 公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期指定账户支持有效期限制，并支持自动过期； 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户使用单点登录；

深信服上网行为管理解决方案

深信服上网行为管理解决方案篇一：深信服上网行为管理部署方式及功能实现配置说明 深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：，默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮，WAN口和LAN口LINK 灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能； 网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且 可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面， 、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。 配置方法： 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是/24，在电脑上配置一个此网段的IP地址，通过https://登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』 ，右边进入【部署模式】 第三步：定义LAN区网口和WAN

深信服上网行为管理M5000-AC产品参数及介绍

南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点： 1.深度内容检测技术，封堵所有P2P软件（BT、电驴等）； 2.邮件延迟审计专利，保证所有邮件先延迟、后发送； 3.监控所有即时通讯软件(QQ、MSN等)聊天记录； 4.独有网络访问准入规则，只允许符合上网策略的用户连接Internet； 5.详细的日志中心，记录所有上网行为； 6.分组管理，对特定组启用监控/不监控； 适用于内网用户数在100人以下的小型网络 功能特性： 一、上网行为控制，规范员工上网行为，提高工作效率； 多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限； 独特的WEB认证、基于浏览器实现方便的用户识别与认证； 网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现； 特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏； 独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；

深信服上网行为管理安全网关

深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口； SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口； SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 （2）分组模块

（3）控制模块 （4）流量控制模块 （5）记录审计模块

三、深信服产品介绍 针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC 的其他安全扩展功能，全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点： 网关+终端、行为+内容的完整上网行为管理解决方案； 业界最丰富的用户认证方式，网络准入规则提供安全终端接入； 针对用户组、用户、应用提供更细粒度的访问控制； 针对应用协议、网站类型、文件类型等智能流量管理； URL库数量：1000万以上 最全的应用识别协议库，24大类，370多条应用识别规则； 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容； 独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能

深信服上网行为管理解决方案

深信服上网行为管理 解决方案 深信服科技有限公司 20XX年XX月XX日

目录 第1章需求概述...................................................................... 错误!未定义书签。 背景介绍...................................................................... 错误!未定义书签。 需求分析...................................................................... 错误!未定义书签。 带宽效率风险.................................................... 错误!未定义书签。 工作效率风险.................................................... 错误!未定义书签。 泄密风险............................................................ 错误!未定义书签。 法律风险............................................................ 错误!未定义书签。 安全风险............................................................ 错误!未定义书签。 客户具体需求分析...................................................... 错误!未定义书签。 客户网络现状分析...................................................... 错误!未定义书签。第2章上网行为管理标准...................................................... 错误!未定义书签。第3章上网行为管理AC功能介绍....................................... 错误!未定义书签。 身份认证...................................................................... 错误!未定义书签。 多种认证方式.................................................... 错误!未定义书签。 单点登录技术.................................................... 错误!未定义书签。 用户批量导入.................................................... 错误!未定义书签。 跨三层绑定IP/MAC ......................................... 错误!未定义书签。 新用户认证........................................................ 错误!未定义书签。 访问控制...................................................................... 错误!未定义书签。 网页过滤............................................................ 错误!未定义书签。 搜索关键字过滤................................................ 错误!未定义书签。 发帖关键字过滤................................................ 错误!未定义书签。 文件类型过滤.................................................... 错误!未定义书签。 应用控制............................................................ 错误!未定义书签。 SSL加密应用管理-反钓鱼网站功能 .............. 错误!未定义书签。 P2P管理 ............................................................ 错误!未定义书签。

深信服上网行为管理产品功能.doc

. 深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ 聊天等各种工作无关网络行为 封堵和流控当前的BT、 eMule等，和未来可能出现的各种P2P 应用 杜绝不良网站和风险文件的访问及下载，防范DOS 攻击及 ARP 欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让 IT 管理者对网络效能和行为进行方便的统计、 审计、分析、报表 再辅以 SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用 SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理 者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间 QQ 聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、 QQ 聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过 SANGFOR AC 可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P 行为，SANGFOR AC 不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组 )、时间段、应用类型的带宽管理和带宽通

道划分，结合智能QoS ，既保证了业务应用对带宽的需求，又避免了对带宽的 滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网， SANGFOR AC 将过滤该行为，并提供网关杀毒功能从源 头消除威胁；源自内网的DOS 攻击、 ARP 欺骗等也将被 SANGFOR AC 彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/ 防火墙软件、安装使用违规软件的终端用户，SANGFOR AC 亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用 Email 邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC 特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员 工的网络发帖、 webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对 QQ 、MSN 等聊天内容的记录和审计，将警示通过 IM 聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的 Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。 SANGFOR AC 上网行为管理设备可以管控和过滤员工的此类行为，并 详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。