对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表
认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等
账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能
单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录
AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步
用户认证
组织结构 用户分组支持树形结构,支持父组、子组、组内套组等
网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;
关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;
可过滤BBS、Webmail等外发含有指定关键字的言论
SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤
网页控制
文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤
邮件控制
地址限制 可根据发件人地址过滤SMTP外发邮件;
可控制哪些用户使用哪些邮箱外发邮件;
附件过滤
可控制用户外发邮件的附件类型 关键字过滤
可限制外发含有指定关键字的邮件 加密邮箱控制
对SSL 加密邮箱(如Gmail)识别和控制
Webmail 控制
可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计
支持延迟缓存外发邮件,人工审计后再外发 上网控制
可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、
新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等
P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、
PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P
软件进行管控
权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无
权删除被强制继承的策略对象
代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS电子煎药壶
端口中封装的其他协议进行封堵;可禁止内网用户使用代
理软件代理他人上网
访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对
象组合
上网控制 上网计时控制
控制用户总的上网时长;支持对用户上网时长进行统计
2 带宽及流量管理功能:强大流量分析及带宽划分与分配
SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
IT 管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC 的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。下一步IT 管理者就需要对非业务流量如P2P 行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC 智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS 优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
表2:带宽及流量管理功能一览表
多线路支持
离心制丸机支持复用至少四条外网线路,多线路间互为备份、负载均衡及智能选路(提供自主知识产权证明) 应用流控
支持基于应用协议类型进行带宽划分与分配 网站流控
支持基于被访问的网站类型进行带宽划分与分配 文件类型流控
支持基于传输的文件类型进行带宽划分与分配宽分配 单用户带宽
支持一个界面内为用户组内每用户分配带宽 时间控制 支持基于时间段的带宽划分与分配策略
WAN->LAN 流控 支持WAN ÆLAN 方向访问行为的带宽划分与分配
流量控制 带宽通道监控
设备控制台界面实施显示流量TOP 10应用; 设备控制台界面实时显示各带宽通道使用情况
3) 监控与审计功能 谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。SINFOR AC 关完善的访问审计和监控功能有效防止信息通过Internet 泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送;对于通过Webmail 发送邮件,AC 全面记录邮件正文和附件等;对于QQ、MSN 等聊天内容提供全面记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的URL 地址、网页标题、甚至整个网页内容,AC 也能完全监控和记录等。SINFOR AC 的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:
而高层领导的网络行为、收发的Email 等关乎机构的发展命运,AC 通过业界独有的“免审计Key”技术,从底层免除对其行为的监控和记录,达到全面和灵活的统一。 表3:访问审计功能一览表
监控审计 实时会话监控
对用户实时会话数进行排名;支持查看指定用户当前会话
详细信息;
实时流量监控 实时监控用户的上行、下行流量;详细显示指定用户各应用实时流量情况;支持用户实时流量排名
实时连接监控 监控用户的实时连接,并能断开用户的指定连接;
异常用户冻结 支持临时冻结异常用户,阻止其访问网络;并能在冻结时间结束后自动解冻
网站访问记录 分用户记录访问的网址、网页标题、网页内容; 支持只记录含有指定关键字的网页正文内容
网络言论记录 分用户记录通过BBS、WEBMail等外发网络言论
外发文件记录 分用户记录通过HTTP、FTP等外发文件行为;并能将外发文件本身进行记录
邮件记录 分用户记录发送、接收的所有邮件包含附件; 支持对Webmail正文及附件的监控和记录
聊天内容记录 支持记录QQ、MSNShell、Skype等加密聊天内容;
分时段记录MSN、Gtalk、新浪UC、网易泡泡等聊天内容
其它行为记录 支持记录其他网络行为,包括IP、端口等信息
WAN->LAN审计 支持审计WAN->LAN方向的应用行为,包括FTP、HTTP、Mail等行为,能审计文件名、文件类型、URL、邮件等
变压器防盗器流量审计 审计用户在指定时间段内产生的总流量;
审计用户在指定时间段、使用指定应用协议产生的流量;
时间审计 审计用户在指定时间段内产生的总上网时间;
审计用户在指定时间段、使用指定应用协议的时间
免审计功能 支持使用USB-Key实现对该用户网络行为的免审计功能
4) 报表和检索:直观的上网数据统计、报表和海量日志检索
热熔铜螺母机构内网用户每天的各种行为日志记录可达数十G,公安部82号令存储至少60天,SINFOR AC通过外置数据中心实现了日志的海量存储。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出机构的Internet 的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
表4:数据中心功能一览表
数据中心 支持内置和外置数据中心,并以数据库形式存储日志
日志集中管理 一个数据中心支持以WEB方式查看多台设备的日志数据
分级管理 指定管理员登录数据中心后只能审计该用户组的日志
管理员认证 管理员接入数据中心必须支持通过Dkey认证
无Dkey认证管理员只能查看统计和趋势,不能查询审计
流量统计 支持统计用户、用户组、各种应用的流量和排名,并支持绘图与导出
定压功放电路图行为统计 支持基于用户、用户组、应用类型、网址、邮件地址的上网行为统计,并支持绘图与导出
报表检索
流量趋势 支持对用户、用户组、应用等的流量进行趋势绘图与导出
对比报表 支持不同时间段、指定用户(用户组)的指定应用访问行为的对比报表;
自定义报表 支持按照用户、用户组、IP、应用类型等进行上网行为的统计、趋势、汇总自定义报表
报表订阅 将含有不同用户组的报表、统计自动发送到指定邮箱
内容检索 提供类似百度的搜索工具,基于多关键字,秒级时间内实现上TB海量日志的快速检索与定位;支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索
主题订阅 支持将含有管理者指定关键字的内容检索结果周期性发送到指定邮箱
5) 丰富的安全增值功能,全面提升内网安全级别
作为一个全面的内网管理设备,SINFOR AC还提供了丰富的安全增值功能。除强大的防火墙模块外,SINFOR AC还集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了彻底的防御;防ARP欺骗,让机构遭遇的整个子网用户无法上网的故障得以根除。
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。
表5:安全增值功能一览表
网关防毒功能 集成F-PORT的杀毒引擎;可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能
查杀压缩文件 支持对压缩包的病毒查杀(包括zip、rar、gzip、tar、bz2等)
杀毒豁免 支持对指定网站的免病毒检查;支持仅对指定的文件类型进行病毒查杀
病毒库升级 支持杀毒引擎在线自动升级;支持用户手工升级病毒库
防DOS攻击 不仅防止来自外网的DOS攻击行为,还能防范来自内网的DOS攻击,侦测出内部发起攻击的终端,并提供对该终端在指定时间段内的冻结和封锁
防ARP欺骗 无需第三方软件,实现对终端用户和网关的双向防ARP欺骗功能
易切削不锈钢网络准入规则 提供网络准入规则,保证只有安装了指定的防毒软件和指定系统补丁(和检查注册表,硬盘文件,后台进程等)的主机才能使用Internet,大大减少主机被植入钓鱼软件和木马的风险
功能特点:
1.内置预分类超过800万条的URL库将过滤大部分情、反动网站,再通过搜索关键字过滤、网页正文关键字过滤等,阻挡“垃圾网站”对内网的感染;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议