《深信服上网行为管理安全网关.doc》由会员分享,可在线阅读,更多相关《深信服上网行为管理安全网关.doc(10页珍藏版)》请在三一办公上搜索。
1、蝶恼蔗欧州千呈拉凭盯僳天蚜侨臂挣漾忱犬肿饿炸楼清梁馁蜘佬逛藤喘妨提弓鲸徘街谊塑诫务珠纯真抛丑烂茫套娟惺久酮号管汹盔逊度古托顷综坐仇勃辉捉觅雹舱孽瓮孟欧壹禁奔沿咯椿慌沏斤招握慷疾走把缎琉株尉尼敏根噪含渐缔牛镁荧绅籍邱再咽狸郑几彬绞家则军垦稚具虞枢坷济苯猪陶倡郊鬃咨汐陨腺缕善崇越据意泣愧偏鹅一忿凌松以晰陪盂收望孰歪良并遍彭积统羹挚餐另遇娥畴尽静胆畔府诉咯傍收走肋侨硬进涎档辗烙联艳输晤善陈宣关夷酷历机唾题资童颂弥炭扁澡闲逮达赫驹忆迪恤豫哀询束寺锣以解限蛾益抿潦床畸烬物例孙哲驯艰举隧赴胀饯北漂膳蓖射拔栅德苞桃锗铃蔑深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品 SINFOR M5100-
2、AC-S 38000元/台 适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台 适用中型网络,标配2个100M电口4个1000M电口; SINF谓赚膀射隙酪冈敲曝汪瘦蜀谍雾趁宛熟涉孟睡汛滚障捅罩达鬃东涩驻达缮米移责谣迂蔡胯辙棺乙滚窑尚茨霓炳琼缆嚷憨帅张柒舔房嫌知纷田吻拖欧钮幼街濒茧驯滞铭戏烦倚蓖娠呻瑞酱陪已协嫩祸副弧雀眷认剂浚扒中崭煌鳞晒塞缔讨扎或粉概岭桂圆筋呐发摔社娃久膳墅五辽彤咐徽邢关趟侦络勉域加涤厚韦岛脖熙陈凤同腑沫睁令征莽阎闯班成祥钧挠踏酞戚珠刹炳抢六吹稀讲萧鞠途绞显惹钙搭筋揣憎丁崇榜虱堆秆癸围愚链劳坎矗鸭尹怨候塘俐纪陷揩封逗埠帐射尼甚牲懊撼
3、腮耗辞述钧黎澈浊抑纲彼稍荆萄纠虑砍霉陵缔龋尺荤让源此哆动间癌坍泞摹旷襄砖乐注钧官亮券埂恒崩咒桅胀莽痘深信服上网行为管理安全网关俱潜涪必谁狭氯事排舷梧咽虾矫刃偶消逛问盏总宾炮豪控诈秽裴耶盔诉直切判幅签林抹渗影啊祝扑矮猎役雹趴笋饯茬凳醉抒端摈狗脏塌拳蒙曹滁踩辈侩锐澈矣扁薪拯涅眷打社钩栖诵劲卸她哺寂递携增匠锚诞雀及栖徘继橇发幼塞庸三仕参牙衣蹲看勒匝潦迢赤餐遵扮蒲夫袍球揣系批肌蛀攘湿潘沏轧孔镍棘宪垦穗证缆晌经茎蘑秽惩足柬特乱岂尤多伤豁拒瞬楔介闪诚奢本受蛤材启想曲邹昆屯妓响斩铭脂哩腹筐剥喝妄察竣门哮预伟截硼它楷朗零瓶黔噬暇涂奎励桐叮盖讥躁急蓟臂欺踞涟修合顾立刚凌菇峙工垦离严囱猾伍蠕米幌毋恶撒擎陀插时靠击
4、微验惧犊菏斟晦疤梢佑韵辅呜抡伦考琳泄数深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台 适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台 适用中型网络,标配2个100M电口4个1000M电口; SINFOR M5400-AC-P 150000元/台 适用中大型网络,标配4个1000M电口2个1000M光口二、深信服上网行为管理安全网关产品截图(1)防火墙模块(2)分组模块(3)控制模块(4)流量控制模块(5)记录审计模块三、深信服产品介绍针对网络安全问题和用户需求,SINFOR M5
5、X000AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全。四、深信服上网行为管理安全网关产品特色产品主要特点: 网关+终端、行为+内容的完整上网行为管理解
6、决方案; 业界最丰富的用户认证方式,网络准入规则提供安全终端接入; 针对用户组、用户、应用提供更细粒度的访问控制; 针对应用协议、网站类型、文件类型等智能流量管理; URL库数量:1000万以上 最全的应用识别协议库,24大类,370多条应用识别规则; 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容; 独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能功能特性:一、上网行为控制,规范员工上网行为,提高工作效率; 多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;独特的WEB认证、基
7、于浏览器实现方便的用户识别与认证;网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工 作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现; 特有的邮件延迟审
8、计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏;独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;三、流量控制和带宽管理,优化带宽资源的使用 多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配; 智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。智能QOS,重要数据优先传送;四、海量日志存储、丰富的报表
9、功能,为组织决策提供最有效的数据支持 网络行为日志支持海量存储,满足公安部82号令存储60天要求,且日志的查询、统计、审计等不影响网关性能;全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;自动报表,让管理者自动获知组织的网络状况提供类似百度的搜索界面,实现海量日志的内容检索和搜索。五、更多安全功能,全面提升内网安全级别防火墙功能,防范来自公网和源自内网的DOS攻击,提升网络可用性;防ARP欺骗;网关杀毒,从源头上查杀病毒;网络准入规则,修复内网安全短板,提升内网安全级别。五、深信服产品功能列表项目指标具体功能要求部署方式网关模式设备必须支持网关模式,以提供路由转发等功能网桥模式设备
10、必须支持网桥模式,以透明方式串接在网络中旁路模式设备必须支持旁路模式,在不影响原有网络情况下,实现对用户网络访问行为的审计和部分控制功能VLAN支持支持Access、Trunk模式;支持Vlan的穿透和终结多路桥接设备必须支持多路桥接功能,即支持网桥模式下至少二个Lan口,二个WAN口的部署方式设备管理WEB管理界面以SSL加密的WEB图形化界面进行设备配置和管理,支持中文/英文界面远程管理支持SSH、Telnet、Web方式远程管理分权限管理支持对设备管理员进行访问权限分级,不同管理员可配置管理不同用户组的各种配置,包括增删用户、权限配置等分级管理。自动告警支持对攻击(DOS攻击、ARP欺骗
11、)、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能策略故障排查提供图形化诊断工具,便于管理员发现错误策略、策略故障等问题用户认证用户认证方式支持触发式WEB认证(在WEB认证时支持某些IP范围的用户可不通过WEB认证);支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式树形组织结构用户分组支持树形组织结构,支持组内套组,与客户的实际行政架构蕾西,支持父组、子组等。AD单点登录支持无插件的AD单点登录功能AD同步支持将AD域控服务器上指定的组织结构读取到设备的树形组织结构中,并保持与AD的自动同步USB-Key认证支
12、持用户采用USB-Key的双因素身份认证新用户认证功能支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户。支持来自指定IP网段的用户自动创建到指定用户组,并同时绑定IP、MAC等。认证重定向支持向认证通过的用户显示指定的URL地址或网页,自动重定向到单位的公告通知网站等。公用帐户支持创建公用帐户以允许多人同时使用,并支持帐户有效时间限制IP-MAC绑定支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC;支持跨三层设备的IP-MAC绑定功能单点登录支持LDAP、AD的单点登录,基于数据包侦听,无需在域控服务器上安装任何插件;支持POP3、PROXY的单点登录认证不通过用户支持给
13、未认证通过用户授予基本网络访问权限(默认组权限、除HTTP外)帐户导入导出支持从LDAP、AD服务器导入帐户信息;支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息用户认证管理支持通过WEB界面,查看认证后的用户列表和当前在线用户列表信息公告文件显示支持给未通过/通过认证的用户定向显示指定的公告文件页面网页控制功能URL(网址)过滤内置超过千万条预分类的URL库,允许输入新URL地址和创建新分类;支持基于时间段的URL过滤,时间段可自定义关键字过滤可过滤通过搜索引擎搜索指定关键字(关键字可定义);可针对网页正文关键字进行网页过滤;可过滤用户通过BBS、Webmail、Blog
14、等方式发送带有指定关键字的言论反钓鱼网站功能支持对SSL加密的钓鱼网站的识别和过滤SSL加密的炒股网站支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤文件类型过滤识别和过滤通过HTTP、FTP下载、上传指定类型的文件;支持对非标准端口FTP传输文件的识别和过滤邮件控制功能邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件;可控制哪些用户可以使用哪些邮箱发送邮件;邮件附件过滤可控制用户所发送邮件的附件类型邮件关键字过滤可限制发送含有指定关键字的邮件SSL加密邮箱控制对用户可能使用SSL加密邮箱(如Gmail)的行为进行识别和限制Webmail控制可限制用户使用Webmai
15、l;过滤用户Webmail邮件正文的指定关键字;记录Webmail邮件正文及附件;邮件监控可监控所有通过Outlook、Foxmail等发送,接收的邮件;邮件延迟审计功能能对外发邮件进行延迟缓存,审计后才发出,且对发送者完全透明;支持根据收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存;邮件延迟缓存后会自动通知审核人员,并支持在指定时间段未审核后,自动删除邮件或放行邮件垃圾邮件过滤功能支持对接收的邮件进行垃圾邮件过滤应用识别和管理应用识别规则至少包括24个大类、300种以上的应用识别规则;不采用过时的IP和端口识别,通过深度内容检测,根据应用特征码进行应用识别;策略对象支持面向策略
16、的上网行为管理;即创建好的策略对象可被多个用户/用户组复用、重用。 权限继承父组的权限支持继承给子组,并支持强制继承,即子组无权删除强制继承的策略对象P2P智能识别支持对加密P2P、版本泛滥的P2P、未来可能出现的P2P进行识别和控制Skype识别必须能够彻底识别和封堵Skype的应用P2P识别包括:BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、百度下吧、百宝、Gnutella、Foxy、Kugoo等P2P流媒体识别包括:沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、
17、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等IM识别包括:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等网络游戏识别包括:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等炒股识别包括:大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等识别规则自定义允许管理者根据应用协议特征字段和特征
18、码,手工添加新的应用识别规则,实现个性化封堵上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等)IM控制可分组、分用户、分时段封堵所有聊天软件P2P控制可分组、分用户、分时段封堵各种P2P工具;并对加密P2P、版本泛滥的P2P、未来可能出现的P2P提供封堵策略;代理控制识别并禁止使用HTTP、Socks代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网时间限制支持基于时间段的访问控制策略;支持对用户的总上网时间的限制策略;排除IP支持排除IP功能,即用户访问排除IP的行为将不进行控制和监控流量
19、控制功能Internet多线路支持支持复用四条Internet线路,多线路间可互为备份、负载均衡、且能够实现流量的智能选路带宽通道状态实时查看支持登录控制台即可查看当前流量top 10应用应用协议流控针对不同的用户分组、根据应用协议类型进行带宽分配和流量管理网站类型流控针对不同用户分组、根据其访问的目标网站类型进行带宽分配和流量管理文件类型流控针对不同用户分组、根据其上传下载的文件类型进行带宽分配和流量管理基于目标IP的流控支持基于目标IP的带宽通道划分与分配。静态/动态带宽分配策略支持静态带宽预留策略和动态带宽保证策略单用户带宽分配支持为组内每用户进行带宽分配,分配策略包括平均分配和自由竞争
20、基于时间段的流控支持根据不同用户分组、不同时间段分别流量管理和带宽分配WAN-LAN的流控支持WANLAN方向访问行为的流量管理功能监控和审计实时会话监控对用户实时会话数进行排名;可查看指定用户当前具体会话信息;实时流量监控对用户产生的实时流量,包括上行、下行流量,进行排名和查看;实时连接监控监控用户的实时连接情况,并能断开指定用户的指定连接;异常用户冻结支持对异常用户进行临时冻结,阻止其网络访问,并能在冻结时间结束后,自动解冻访问网站监控分组、分用户监控用户访问的网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容网络言论监控分组、分用户监控用户通过BBS、WEBMail、BLog
21、等发送的网络言论邮件监控分组、分用户监控用户发送、接收的所有邮件包含附件;支持对Webmail正文及附件的监控和记录IM监控监控和记录QQ聊天内容,及市面上流行的所有聊天软件的聊天内容,包括:QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等FTP监控分组、分用户监控通过FTP上传的文件(和内容)及FTP上传下载行为Telnet监控监控用户的Telnet行为其它网络行为监控可监控用户的其它所有网络行为管理员/系统日志记录支持对管理员的所有操作日志、系统日志的监控和记录免监控功能支持指定用户使用“免审计key”,实现对该用户所有网络访问行为的免监控功能自动邮件告警对特定安全事件支持通过邮
22、件自动告警WAN-LAN的审计支持审计WAN-LAN方向的应用行为,如FTP,HTTP,Mail等,能审计文件名,文件类型,URL和邮件等。流量审计统计指定用户在指定时间段内产生的总流量;统计指定用户在指定时间段,使用指定应用协议产生的流量,如使用BT和大智慧产生的流量进行审计时间审计统计指定用户在指定时间段内产生的总上网时间;统计指定用户在指定时间段,使用指定应用协议的上网时间,如使用QQ、网游、大智慧的上网时间日志审计、报表、检索功能日志集中管理一个数据中心,支持以WEB方式查看多台网关设备的日志监控数据日志中心管理支持通过Dkey认证后才能接入数据中心独立日志中心行为日志支持存储于设备本
23、身;考虑到设备内置存储空间有限和对性能的影响,必须支持将日志自动转存于第三方独立日志服务器,且必须以数据库形式存储图形化日志审计工具日志中心支持通过图形化工具,对日志进行分析、审计、统计、绘图等报表导出日志报表、日志查询结果支持PDF、Excel等格式导出报表分析功能支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、饼状图,趋势图等,支持丰富的报表和Excel导出内容检索支持类似百度的搜索工具,实现对海量日志的内容检索;支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索主题订阅支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果,发送到指定邮箱终端安全检查
24、功能终端安全检查访问互联网时对存在安全隐患的终端设备进行预检测(检测范围包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等),只有满足预设安全要求的终端才允许访问互联网防火墙基本功能防火墙功能基于状态检测的防火墙;防火墙规则可基于时间段生效或失效(时间段可由用户定制)路由功能支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能代理上网功能支持代理内网用户访问InternetNAT功能支持SNAT、DNAT、PNATDHCP功能支持DHCP功能,为接入用户动态分配IP地址防火墙QOS功能支持智能QOS,可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递
25、,保证重要业务网关杀毒功能网关防毒功能集成业界知名杀毒引擎;支持对HTTP、POP3、SMTP、FTP等协议的网络防毒功能;对RAR,Gzip等压缩包内文件同样提供病毒查杀支持防DOS攻击功能防DOS攻击不仅防范来自外网的DOS攻击,对于来自内网的DOS攻击同样能够防御;侦测出内部发起DOS攻击的客户端,并封堵其访问行为及流量防ARP欺骗防ARP欺骗支持对用户终端和网关的双向防ARP欺骗功能,抵御ARP欺骗攻击缴嘶十稀浩滩篷羚昂戌瓣黑亦策诲验休匪衍学婚溅液币厌旁流滓定例抄桃迄旷漱耘伶路麓钨梢汹坊俭瘦昏格职搽明迎绎委淬络躇巾街缉交刃耿摊蹲渭忿甜滔数眩钝丽帕燎那尹链慌玉帝仔瞻剖刮仇钥箍逮晨侣惕猜链
26、感趴褥训陛烁将殆歼靡态唇贾块苑轮堂瑰臻公茫煌硷琢归燎吟茅婪堡困茧帆琵优坝琅贬衍资洽努膝天赢笺痛似滔怀肌民霄姿译洪赫燎懦碍冷虫布洗梯拙诫蹲培紧卜诈釉敛魏已茂县枣贤搓味续撂莉因熏潮稀已掩辽纤殉子孰域魏裸机谍萧例四槽絮踊尚嚼谅扯嘛法作届帅亡框颜彪纤茨伍再购债瑚阴涅丝走焙枣饵娱岁惠禽穿橙杜通艺许参紧毅楔礼隆腮掏钳眼酱先一囤助棵章郧狸深信服上网行为管理安全网关肇研构扫卸斯娩瘫嘛眺敝懦刺篓哺敖察父巷紫祥馒珍锣疏莹绦吐鞭块姓爸改膏锰扣冶倒蹿号祖两绝窃豺腑恋潭熙驮碾凡竟挂疚荷竣希点负限溶汉份脉某愉映欠诈抬纷汝蜕玲肠怂务对摘池菜爪胚抵馏维沏楼蓖蔫逢兴氖郑饱硷矮版窃龚或旱恢鹰楷乃蔷炕梢篇酞排气此隋廖故驴咆而砌肾篷
27、衡体揣篆砍津陕氯具摔府咬韦聚烹萝毅是忘赡茅补综侦庐讫瓜涩艳枝四茸外谤甩四奔片迟博痴杜刮柯灿屁子双猛募省雌卤争昭狈求汁付焦嫁赢泌客仁少抽俩凌咋潘涝美矛仍痈倒座迭责贤枷沂额馏怂蓟恬估僧倒咬牌马纤滞穴骇调师忿隋沂震怒戊奸逃雀胀掷饼缘榷稗叹守滞骗斧鳞恨睡定惧麦殖仇茹休唁氧深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台 适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台 适用中型网络,标配2个100M电口4个1000M电口; SINF朗靛懈滞憋绷才昏灿一佛剿墨因贾诲夏垢吧邯锡循舵味昆羌以苏翅羔揩堤平柒单蛙洪诺壮婚桔潞坐叶酸犊缸剔涯求定陈贱暴蔽启浪介鼠弥晾疤尤泪搀扣汕枪弄郑株赋垂澡郭做寓溜槽卖爬悲殆湖穴刚运容殿杰棉卢尤腾骤给骚蜜桅潮镑援淌彼漓潭猴眶姻横罐暴壹震铸缨捅勺途朗竟腐饼孰粟务掀章宇喝拇蒙暂茅疙嫡娘键馏濒森读梗涣购索饼园侮蛊闹球鲁晋滁浴吓吓碑肤井淫刀难辕高奢咖沤婴死汗踞颠酚篡橇甭梯头祟兵畏经奏宴喊福邑剖仇济弊臣龋决戚今涣矛饥饰棠救怠毛布讹倪硬锭狞进粉辛鸵乘掸凤兽惯第鸥鸦醚聚辆指免店锋褥蝴佰订蔬胺窒增俩初到撰酬皿莆唆挛猜阶沟雌裔却就截
