深信服上网行为管理-管理员手册

深信服上网行为管理-管理员手册

深信服电子科技有限公司

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

第1章前言.......................................................... 错误!未定义书签。第2章系统管理...................................................... 错误!未定义书签。

设备登录....................................................... 错误!未定义书签。

修改管理员密码............................................. 错误!未定义书签。

创建二级管理员............................................. 错误!未定义书签。

系统基本信息配置............................................... 错误!未定义书签。

序列号..................................................... 错误!未定义书签。

系统时间................................................... 错误!未定义书签。

规则库升级................................................. 错误!未定义书签。

全局排除地址............................................... 错误!未定义书签。

设备配置备份与恢复......................................... 错误!未定义书签。

WEBUI选项.................................................. 错误!未定义书签。

远程维护................................................... 错误!未定义书签。第3章网络配置...................................................... 错误!未定义书签。

部署模式....................................................... 错误!未定义书签。

静态路由....................................................... 错误!未定义书签。第4章策略管理...................................................... 错误!未定义书签。

用户认证与管理................................................. 错误!未定义书签。

用户组管理................................................. 错误!未定义书签。

认证策略................................................... 错误!未定义书签。

不需要认证................................................. 错误!未定义书签。

IP/MAC绑定................................................. 错误!未定义书签。

不允许认证................................................. 错误!未定义书签。

策略管理....................................................... 错误!未定义书签。

购物娱乐类网站............................................. 错误!未定义书签。

P2P及P2P流媒体封堵......................................... 错误!未定义书签。

外发文件封堵............................................... 错误!未定义书签。

上网审计................................................... 错误!未定义书签。

流量管理....................................................... 错误!未定义书签。

线路带宽配置............................................... 错误!未定义书签。

保证通道................................................... 错误!未定义书签。

限制通道................................................... 错误!未定义书签。

终端接入管理................................................... 错误!未定义书签。

共享接入管理............................................... 错误!未定义书签。第5章日志中心管理.................................................. 错误!未定义书签。

日志中心配置................................................... 错误!未定义书签。

准备工作................................................... 错误!未定义书签。

外置日志中心安装过程....................................... 错误!未定义书签。

日志中心登录............................................... 错误!未定义书签。

同步策略设置............................................... 错误!未定义书签。

AC同步配置................................................. 错误!未定义书签。

日志中心登录................................................... 错误!未定义书签。

内置日志中心登录........................................... 错误!未定义书签。

外置日志中心登录........................................... 错误!未定义书签。

日志查询....................................................... 错误!未定义书签。

所有行为日志............................................... 错误!未定义书签。

网站访问日志............................................... 错误!未定义书签。

邮件收发日志............................................... 错误!未定义书签。

发帖/发微博日志............................................ 错误!未定义书签。

其他日志................................................... 错误!未定义书签。

日志导出................................................... 错误!未定义书签。

流量时长分析................................................... 错误!未定义书签。

报表中心....................................................... 错误!未定义书签。

第1章前言

本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。

第2章系统管理

设备登录

首先确保本机从网络可以访问到设备管理IP地址，然后在浏览器中输入网关的IP及端口。出现一个如下图的安全提示：

点击<继续浏览此网站(不推荐)>后出现以下的登录界面：

在登陆框输入【用户名】和【密码】，点击<登录>按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为admin。

如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:登录后检测为弱密码则提示修改密码，则会弹出如下提示：

如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示：

弱密码修改:

管理员配置

在【系统管理】-【系统配置】-【管理员账户】页面，可修改admin管理员密码、删除管理员账号以及创建二级管理员。

修改管理员密码

管理员账户页面找到admin管理员，直接点击<编辑>，输入旧密码，并设置新密码即可修改admin账号的密码信息。

注：admin账号只可修改密码，不可删除。

创建二级管理员

在管理员账户页面，点击<新增>可以创建二级管理员。

设备确实管理员角色有两种：

administrator：内置的角色，该角色的管理员自动拥有管理整个组织结构的管辖范围，并且还能够添加删除管理员帐户。

common：系统缺省创建的角色，可通过角色管理添加或者删除角色，该角色可设置管理员可以管理的组织结构范围。

如果选择管理员角色为common，在<组织结构权限设置>处，可以设置该管理员可以管理的组织结构范围。

在<页面权限设置>处，可设置该管理员可以查看或编辑的控制台页面。

系统基本信息配置

序列号

在【系统管理】-【系统配置】-【序列号】页面，可以查看设备当前的授权信息。

序列号一般在出厂时已设置好，正常使用过程中无需修改，只有当设备相关服务到期时，才需要修改相关序列号。

系统时间

【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR 设备的系统时间。可以直接在界面上修改时间，也可以选择与[时间服务器]进行时间的同步。

注：设备日志记录的时间与系统时间相关，请注意确保设备系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿工作时间操作。

规则库升级

【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态，请确保设备管理IP能够访问互联网，以便设备自动更新规则库。

全局排除地址

【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP 不受任何监控和控制，直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。

点击<自定义排除地址>页面的<添加>，在文本框内输入需要排除的IP或域名即可。

设备配置备份与恢复

【配置备份与恢复】用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。

WEBUI选项

【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数，如默认编码、控制登录端口、超时时间等。

远程维护

【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。

<启用远程维护>用于设置是否允许从外网口远程登录设备，勾选此项的同时，设备的WAN口自动开启允许ping，平时一般建议关闭该选项。

第3章网络配置

部署模式

AC设备支持路由模式、网桥模式、旁路模式三种部署模式。

路由模式:一般用于没有防火墙的中小客户。设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；

网桥模式：可以把设备视为一条带过滤功能的网线使用，可不更改原有网络拓扑结构的情况下平滑架到网络中。目前在客户中使用最多的部署模式；

旁路模式：仅做旁路审计，需要交换机做镜像至AC。

本例以网桥模式部署为案例，配置需求及步骤如下：

需求：目前网络已部署防火墙设备IP地址为，内网三层环境，核心交换机地址，AC网桥部署在防火墙和核心交换机之间，分配给AC设备的地址为，配置步骤如下：

1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面，点击<开始配置>，选择<网桥模式>。

2. 点击<下一步>，选择网桥的网口。本案例采用ETH0和ETH2作为一对网桥口，ETH0作为LAN区网口，ETH2作为WAN区网口。

3.点击<下一步>，设置AC设备的网桥IP：

4.点击<下一步>，设置DMZ管理口的IP地址，可保持默认配置：

5.点击<下一步>，设置设备上网的网关和DNS：

6.点击<下一步>，确认和提交配置：

注：点击<提交>后，设备会自动重启，重启时间一般为1-5分钟，请勿在工作时间修改设备部署模式配置。

静态路由

如上需求，由于内网三层环境，需要增加内网网段的回包路由指向核心交换机，如内网有、等。

1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。

2.点击<新增>，设置需要添加的路由目的地址、子网掩码，下一跳指向核心交换机。

3.点击<提交>完成配置，如果有多个网段，可添加多条路由。

第4章策略管理

用户认证与管理

用户组管理

为了便于区分员工角色进行策略管理，我们可以将上网用户进行分组管理，【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。

在该页面<组织结构>下选择指定组，可在该组下创建用户以及用户组，在右边<成员列表>点击<新增>，选择新增类型<组>

定义组名，如“市场部”，点击提交即可，该组适用的上网策略，可在后面策略管理时指定。认证策略

【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。通过【认证策略】设置内网用户的认证方式，以及新用户添加的策略。

认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。

认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种，根据不同的认证策略可实现不同的用户认证需求。

不需要认证

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>，适用范围可以是IP、MAC、IP段以及子网。

选择认证方式为<不需要认证>，继续点击<下一步>

选择用户以组织结构中那个组的身份上线后点击<提交>即可。

IP/MAC绑定

二层环境

1．与不需要认证用户设置方法相同，但<认证后处理>方式需勾选<自动录入绑定关系>-<自动录入IP和MAC的绑定关系>选项

2．用户上网后，在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息，在该页面可对相关信息进行添加、删除和修改操作。

三层环境

三层环境下，由于内网用户经过三层交换机后，MAC地址会被三层交换机替换掉，因此还需要在核心交换机上开启SNMP服务，以支持AC跨三层环境下的IP/MAC绑定。

1.在核心交换机上开启SNMP服务。

华为交换机的配置命令：

system_view

snmp-agent community read public；其中public为三层交换机的Community snmp-agent sys-info version all；其中all表示所有版本

思科交换机的配置命令：

config terminal 进入全局配置状态

Cdp run 启用CDP

snmp-server community public ro 其中public为三层交换机的Community

snmp-server enable traps 允许设备将所有类型SNMP Trap发送出去

注：三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。

2.在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】页面，开启跨三层MAC识别功

能。

可以新增多个SNMP服务器，如果内网存在多个三层交换机，则每个三层交换机的SNMP选项均需要开启，如下图

点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC，有返回结果则能正常获取，如下图

完成新增SNMP服务器后，可以查看配置的所有交换机当前snmp获取的结果，如下图

接下来，需要配置排除核心交换机的MAC地址，如下图。

实际使用时，可开启设备自动识别三层交换机的MAC，并自动添加到MAC地址排除列表，如下图

启用“自动添加排除”，定义10分钟内同一个IP对应的MAC地址记录数，推荐配置5。当同一个MAC达到设置条件时，AC认为是三层交换机的MAC地址，自动将其排除。

3.与二次环境一样，设置认证策略，<认证后处理>选择自动录入IP和MAC的绑定关系。

不允许认证

认证方式设置为<不允许认证>的网段，将无法通过设备访问任何网络。

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>

直接点击<提交>即可。

策略管理

【策略管理】模块设置的策略主要包含封堵、审计等策略，以下分别以案例的形式介绍一些常见的策略设置方式。

购物娱乐类网站

需求：禁止全公司上班时间访问购物、娱乐类网站。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。

3.点击应用下方的，进入【选择应用】窗口。

4.展开应用“访问网站”，选择“网上购物”和“娱乐”

5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成网上购物和娱乐类网站拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联，勾选“所有用户”，即可关联全网用户。

7.点击提交按钮，完成整个策略设置。

P2P及P2P流媒体封堵

需求：禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。

3.点击应用下方的，进入【选择应用】窗口。

4.选择应用“P2P”和“P2P流媒体”

5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成P2P和P2P流媒体应用拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联。

7.点击提交按钮，完成整个策略设置。

外发文件封堵

需求：为了避免公司重要资料通过网络外泄，禁止研发和财务部门一切外发行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。

3.点击应用下方的，进入【选择应用】窗口。

4.选择左侧应用标签“外发文件泄密风险”。

5.点击确定按钮。回到应用控制页面。生效时间选择全天，动作选择为拒绝。点击确定按钮，完成外发文件封堵设置。

6.选择<适用对象>选项，选择“研发部”和“财务部”。

7.点击提交按钮，完成整个策略设置。

上网审计

需求：对内网所有用户开启审计，审计所有网络行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击<新增>按钮，选择上网审计策略，进入【上网审计策略】界面。填写策略名称，描述信息。

2.勾选<策略设置>-<应用审计>，右边进入<应用审计>编辑窗口。点击<添加>，进入添加审计对象页面。

3.点击审计对象下方的按钮，进入<选择审计对象>编辑窗口。选择需要开启的审计记录，设置审计访问网站的URL。选择<生效时间>为上班时间。

注：不建议开启未识别的网络应用日志，该日志类似防火墙日志，对上网行为管理审计来说意义不大。

4.选择适用的对象，这个需求选择<所有用户>即可：

5.点击<提交>按钮，完成整个策略。

流量管理

【流量管理】支持保证和限制通道两种形式，分别用于针对重要应用的流量保障和大流量应用的带宽限制，

线路带宽配置

设置流量管理配置前，需要先根据出口互联网带宽设置带宽参数。

点击对应的线路名称即可编辑带宽参数，如下图设置线路1上行4Mbps，下行100Mbps

保证通道

需求：针对HTTP访问网站、DNS、视频会议保证上行2Mbps，下行20Mbps，以确保网络繁忙时这些应用能优先处理。

1. 【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。

2.选则<保证通道>，设置上行带宽保证2Mbps，下行带宽保证20Mbps，优先级高。

3.点击<通道使用范围>。

适用应用选择<自定义>，点击进入按钮，进入<自定义适用服务与应用>编辑窗口。

4.选择应用访问网站、DNS、网络会议，点击<确认>。

5.点击<确定>按钮，完成整个策略。

限制通道

需求：针对普通员工，限制整个组的P2P和P2P流媒体上行不超过1Mbps，下行不超过10Mbps，单用户最大上行500Kbps，下行1Mbps，以避免普通员工P2P下载占满带宽，应用其他正常办公业务。

1. 【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。

2.选择<限制通道>，设置上行带宽最大1Mbps，下行带宽最大10Mbps。

3.勾选<启用单IP最大带宽>，设置上行500kbps，下行1Mbps。

4.点击<通道使用范围>。

5.适用应用选择<自定义>，点击进入按钮，进入<自定义适用服务与应用>编辑窗口。

6.选择应用P2P、P2P流媒体，点击<确认>。

7.适用对象选择<自定义>，点击进入按钮，进入<自定义适用对象>编辑窗口。

8.选择<本地用户>-<普通员工>组，点击<确定>。

9.点击<确定>按钮，完成整个策略。

终端接入管理

共享接入管理

需求：用户内网存在大量电脑，移动终端共享热点，需要封堵电脑和移动用户的通过代理方式上网的行为。配置步骤如下：

1.【终端接入管理】-【共享接入管理】，右边进入【共享接入管理】的配置页面。勾选启用共享接入检测，如下图所示：

2.在【共享接入管理】页面，点击<编辑配置选项>，如下图所示：

<统计方式>选择“统计所有终端”，可识别PC与PC、PC与移动终端，移动终端与移动终端之间的共享。

<冻结选项>选择<冻结IP地址>，一个IP地址只允许一个用户上线。

3.【终端接入管理】-【共享接入管理】，右边进入【信任列表】的配置页面，对不需要开启代理检测的用户、用户组或IP地址，添加到信任列表。如下图所示：

注：共享终端管理存在一定误判几率，建议可先开启检测不冻结运行一段时间后，确认误判率比较低后，再开启冻结。

第5章日志中心管理

日志中心配置

AC设备出厂时一般自带了500G的硬盘，如果您需要存储的日志较少，可直接使用内置日志中心。如果您需要保存的日志时间较长，由于设备内置存储的硬盘容量有限，并且设备日志查询和报表统计会消耗一定设备的性能，建议安装外置日志中心，设备会将相关日志同步到外置数据中心。

准备工作

1、2008及之后的服务器操作系统，并且系统要求是64位操作系统。（请根据内置日志中

心每天日志量合理评估服务器的存储空间，NTFS格式）

注：每天日志量超过20G，服务器配置选型请咨询深信服技术支持工程师。

2、数据中心安装包，请登录深信服官网下载相应的数据中心版本：

&action=view&fid=87#/75/all

注：中文安装包支持在简体中文和繁体中文操作系统上运行，英文安装包仅支持在英文操作系统上运行。

3、日志中心服务器和AC之间需开放 TCP 810，以供数据同步。

4、日志中心服务器需开放443端口（可修改），以供外置日志中心登录。

外置日志中心安装过程

从深信服网站上下载安装程序，双击程序，即出现程序安装向导，界面如下图所示：

点击<下一步>，选择是否同意许可协议，勾选<我愿意接受此协议>，即可点击<下一步>，继续安装，界面如下图所示：

点击<下一步>，弹出如下界面：

这一步用于设置程序安装目录、日志存放目录以及附件的存放目录：

点击<下一步>，弹出如下界面：

这一步用于设置Web服务的监听端口，推荐使用默认的443端口（登陆方式：，如果443端口已被其他程序占用，则可以修改成服务器上其他的空闲端口，界面如下图所示：

设置好Web服务端口，点击<下一步>，弹出如下界面：设置磁盘预警。请提供足够的磁盘空间用于存放期望的日志量。

点击<下一步>：设置是否开启磁盘异常告警和数据中心异常告警

点击<下一步>，设置预警邮件的发送和接收邮件地址：

点击<下一步>，安装程序会弹出详细的配置信息，界面如下图所示：

如果确认这些信息无误，则点击安装，此时程序将自动安装，整个安装过程可能会占用您2-3分钟，请耐心等待。安装完成后，会出现如下界面：

点击完成，即完成了数据中心的整个安装过程。

日志中心登录

日志中心安装过程中如果采用默认端口443，则日志中心的访问地址访问地址是：

，如果服务器IP为，则访问地址为登陆界面如下：在登录框中输入<用户名>和<密码>，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。

同步策略设置

在日志中心【系统管理】-【系统配置】-【同步策略】创建同步策略，用于设置数据中心与网关同步日志的策略。如下图所示：

点击<新建>，新建同步策略：

<同步策略名>：同步策略名可以自定义设置，但是需与AC网关的数据中心同步配置的同步账号一致。

<接入密钥>：接入密钥也需与AC网关的数据中心同步配置的同步密钥保持一致。

<描述>：设置同步策略的描述信息。

<同步选项>：设置从哪天的日志开始同步。

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

深信服上网行为管理

深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力，产品内置业界最大的应用识别库，可对多达500多种互联网应用软件进行管控；基于统计学的P2P智能识别技术，可实现对加密的、新版本甚至未知版本的P2P应用进行识别，为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累，以及充分优化的系统架构、高性能的硬件平台，深信服上网行为管理产品的性能遥遥领先于其他同类产品，可管控5万人以上的大型网络。 目前，在中国上网行为管理的高端市场中，深信服AC产品拥有着极高的占有率，6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制，规范员工上网行为，提高工作效率

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别和认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统，只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 2、强大的监控和审计，保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露；同时具有独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 3、流量控制和带宽管理，优化带宽资源的使用 多线路复用和智能选路技术，提升出口带宽，流量负载分担，智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时间段等进行带宽分配； 4、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能 1) 控制功能：细致的访问控制，有效管理用户上网 对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 表1：访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类； 关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤； 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件；

深信服上网行为管理功能参数

AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计； 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； 被控设备加入统一平台支持以硬件证书验证身份； 告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； 短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑 内容包括文字、颜色风格、图片，且图片支持轮询播放 公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期指定账户支持有效期限制，并支持自动过期； 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户使用单点登录；

深信服上网行为管理解决方案

深信服上网行为管理解决方案篇一：深信服上网行为管理部署方式及功能实现配置说明 深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：，默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮，WAN口和LAN口LINK 灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能； 网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且 可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面， 、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。 配置方法： 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是/24，在电脑上配置一个此网段的IP地址，通过https://登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』 ，右边进入【部署模式】 第三步：定义LAN区网口和WAN

深信服上网行为管理M5000-AC产品参数及介绍

南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点： 1.深度内容检测技术，封堵所有P2P软件（BT、电驴等）； 2.邮件延迟审计专利，保证所有邮件先延迟、后发送； 3.监控所有即时通讯软件(QQ、MSN等)聊天记录； 4.独有网络访问准入规则，只允许符合上网策略的用户连接Internet； 5.详细的日志中心，记录所有上网行为； 6.分组管理，对特定组启用监控/不监控； 适用于内网用户数在100人以下的小型网络 功能特性： 一、上网行为控制，规范员工上网行为，提高工作效率； 多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限； 独特的WEB认证、基于浏览器实现方便的用户识别与认证； 网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现； 特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏； 独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；

深信服上网行为管理安全网关

深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口； SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口； SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 （2）分组模块

（3）控制模块 （4）流量控制模块 （5）记录审计模块

三、深信服产品介绍 针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC 的其他安全扩展功能，全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点： 网关+终端、行为+内容的完整上网行为管理解决方案； 业界最丰富的用户认证方式，网络准入规则提供安全终端接入； 针对用户组、用户、应用提供更细粒度的访问控制； 针对应用协议、网站类型、文件类型等智能流量管理； URL库数量：1000万以上 最全的应用识别协议库，24大类，370多条应用识别规则； 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容； 独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能

深信服上网行为管理解决方案

深信服上网行为管理 解决方案 深信服科技有限公司 20XX年XX月XX日

目录 第1章需求概述...................................................................... 错误!未定义书签。 背景介绍...................................................................... 错误!未定义书签。 需求分析...................................................................... 错误!未定义书签。 带宽效率风险.................................................... 错误!未定义书签。 工作效率风险.................................................... 错误!未定义书签。 泄密风险............................................................ 错误!未定义书签。 法律风险............................................................ 错误!未定义书签。 安全风险............................................................ 错误!未定义书签。 客户具体需求分析...................................................... 错误!未定义书签。 客户网络现状分析...................................................... 错误!未定义书签。第2章上网行为管理标准...................................................... 错误!未定义书签。第3章上网行为管理AC功能介绍....................................... 错误!未定义书签。 身份认证...................................................................... 错误!未定义书签。 多种认证方式.................................................... 错误!未定义书签。 单点登录技术.................................................... 错误!未定义书签。 用户批量导入.................................................... 错误!未定义书签。 跨三层绑定IP/MAC ......................................... 错误!未定义书签。 新用户认证........................................................ 错误!未定义书签。 访问控制...................................................................... 错误!未定义书签。 网页过滤............................................................ 错误!未定义书签。 搜索关键字过滤................................................ 错误!未定义书签。 发帖关键字过滤................................................ 错误!未定义书签。 文件类型过滤.................................................... 错误!未定义书签。 应用控制............................................................ 错误!未定义书签。 SSL加密应用管理-反钓鱼网站功能 .............. 错误!未定义书签。 P2P管理 ............................................................ 错误!未定义书签。

深信服上网行为管理产品功能.doc

. 深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ 聊天等各种工作无关网络行为 封堵和流控当前的BT、 eMule等，和未来可能出现的各种P2P 应用 杜绝不良网站和风险文件的访问及下载，防范DOS 攻击及 ARP 欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让 IT 管理者对网络效能和行为进行方便的统计、 审计、分析、报表 再辅以 SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用 SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理 者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间 QQ 聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、 QQ 聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过 SANGFOR AC 可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P 行为，SANGFOR AC 不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组 )、时间段、应用类型的带宽管理和带宽通

道划分，结合智能QoS ，既保证了业务应用对带宽的需求，又避免了对带宽的 滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网， SANGFOR AC 将过滤该行为，并提供网关杀毒功能从源 头消除威胁；源自内网的DOS 攻击、 ARP 欺骗等也将被 SANGFOR AC 彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/ 防火墙软件、安装使用违规软件的终端用户，SANGFOR AC 亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用 Email 邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC 特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员 工的网络发帖、 webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对 QQ 、MSN 等聊天内容的记录和审计，将警示通过 IM 聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的 Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。 SANGFOR AC 上网行为管理设备可以管控和过滤员工的此类行为，并 详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。