您所在的位置： &
网管心得：如何选择上网行为管理软件
网管心得：如何选择上网行为管理软件
IT专家网论坛
局域网管理系统、上网行为管理软件和局域网监控软件的选择，一定要根据本地局域网的实际管理需求，综合应用上述参考要素进行选择;同时，也要注重实效，才能最终选择最合适的局域网计算机管理软件。
当前随着上网行为管理的趋势逐渐增强，国内涌现了一些大大小的局域网监控软件提供商，局域网网络管理软件提供商的产品品牌、种类增多；作为企事业单位的网络管理员，如何选择局域网网管软件来有效地管理本地的局域网网络行为就成为一个必须解决的问题了。那么选择局域网监控系统主要有那些主要要素呢？
要素一：URL数据库的质量和本土化如何
网页过滤功能是上网行为管理产品的核心之一，也是选购中首先应考虑的要点，因此任何一款上网行为管理产品的URL数据库的好坏是非常重要的;其次应该支持黑白名单过滤功能，便于网络管理员按照自己局域网网络管理的具体需要，对局域网电脑的网址访问进行管理。
要素二：应用协议数据库如何
好的上网行为管理产品可以提供对各种流行网络应用的协议分析特征库的更新维护， 通过对网络应用进行多层次、全方位的分析，确保对各种网络应用的准确控制管理。
用户无须关注应用的变化，只需要明确对应用的控制要求，即可实现对应用的控制管理。
应用协议数据库应该包含：IM即时通信、P2P应用、网络电视、流媒体协议、在线游戏、在线炒股、邮件通信协议、远程登录协议等。这样才能确保对用户的上网行为进行全面的控制和管理。
在目前P2P软件、QQ等各种聊天软件、股票软件、网络游戏软件流行的互联网网络管理趋势下，如何有效地控制上述这些网络应用软件就成为互联网管理软件选择的重要标准了。
要素三：带宽管理，流量控制
网络应用层出不穷，对带宽的需求也越来越高，而正常业务如果没有一种很好的带宽保证机制，很可能被一些与业务无关的杂事所干扰，影响了工作效率，例如让大多数网管都很头疼的BT、迅雷等P2P就用。除了支持对各种互联网应用的细化控制，还应提供对各种应用量化的管理。
好的上网行为管理产品应该根据不同用户组、用户的业务需要，设定应用的优先级， 合理地分配带宽资源，提供差异化的带宽服务，真正做到谁?在什么时间?拥有多少带宽?使用什么应用?优先级别是多少?的严格管理。
对带宽的管理应该可以精确到局域网任意一个客户端电脑，能够实时查看其上行和下行带宽，根据自己的需要进行特定的管理。当前的网管软件一般只能限制流量而不能对局域网主机带宽占用情况进行管理，这一点在选购网管软件的时候一定要注意。
要素四：信息外发监控
通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。
合格的上网行为管理设备应该可以制定精细化的信息收发监控策略，有效控制关键信息的传播范围，以及避免可能引起的法律风险。
好的上网行为管理产品应该具备对Email、Webmail、BBS、IM等信息传递渠道的监控能力，例如对邮件内容、邮件附件、聊天内容、发贴内容等进行全面的审计。
要素五：部署方式是否简易
上网行为管理产品是在大多数安全体系和网络体系都建立以后才部署的，因此此类产品的易部署性、故障率对客户至关重要，不能让新部署的产品改变原有的网络结构和影响网络性能。
这里着重要提到一点，上网行为管理产品要想实现好的管理效果，一定不能依靠在用户的计算机上安装客户端来实现。
首先，客户端的维护工作将给IT部门增加巨大的工作量;
第二，进入Vista时代之后，没有获得认证的软件是不允许运行的;
第三，客户端软件容易被杀毒软件、清木马软件等误认为是恶意程序，可能会导致客户端被终止运行。
第四，安装客户端软件会使得电脑使用人胆战心惊，担心自己的隐私被暴露而影响工作效率和工作态度，容易造成人际关系紧张。
总之，局域网管理系统、上网行为管理软件和局域网监控软件的选择，一定要根据本地局域网的实际管理需求，综合应用上述参考要素进行选择;同时，也要注重实效，才能最终选择最合适的局域网计算机管理软件。
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&的更多文章
深信服上网行为管理支持丰富的认证模式，能根据用户身份来自动匹
讲师： 323人学习过讲师： 14人学习过讲师： 50人学习过
你身边有经济适用男么？想认识踏实有料、聪明实干、善
思科统一计算系统(UCS)和服务器将计算、网络、管理、
就终端用户的满意度和生产率而言，提高关键业务及时延
Linux是一款开源的操作系统，得到了广大开发者的青睐。掌握Linux系统的指令及其用法是学习Linux系统的基础。本书详细地介绍了常
51CTO旗下网站随着互联网的蓬勃发展及带宽的增加，为企业提供了丰富的信息资源和畅通的网络工作平台。受益于互联网的同时，越来越多的企业已经认识到：不受控制的互联网使用行为对企业造成安全威胁，随着信息化程度的提高，如多线程的、在线视频、在线游戏、P2P&应用、蠕虫病毒、以及&DOS/DDOS&攻击等多种新型的流量在网络中大量出现。在不作控制的情况下，这些非关键业务严重影响网络中正常业务的运行，导致网络资源的极大消耗，并由此引发以下问题：(1)职员工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)网络下载、娱乐、网购、视频、(5)网络违法行为、信息泄露。因此对网络流量和内网网络行为有效管理监控，是决定业务正常开展的关键因素，企业选择上网行为管理产品为您提供最好的解决方案。中小企业如何选择合适自己的上网行为管理产品呢，主要考虑如下几点：<span style="font-size:14font-family:宋体;color:#、首选硬件型上网行为管理产品，使用稳定，管理灵活<span style="font-size:14font-family:宋体;color:#、考虑公司上网人数，根据人数不同选择合适的硬件上网行为管理<span style="font-size:14font-family:宋体;color:#、根据公司出口带宽，考虑是否需要支持多WAN口多线路负载均衡设备<span style="font-size:14font-family:宋体;color:#、提出具体需求和要达到的管理效果，是要做精细的流控管理或者上网邮件审计的，如记录或对个人上网情况进行详细统计并形成报表等；<span style="font-size:14font-family:宋体;color:#、对上网行为管理产品功能进行了解，至少达到以下基本功能；&&&上网行为管控（2000万URL&/聊天/视频/游戏//关键字过滤限制）&&&上网行为审计（聊天内容/URL网页/FTP文件/邮件内容/BBS发贴/…）&&&智能流控管理（应用协议流控/用户/应用QOS/流量黑名单/流量保障）&&&报表统计分析（用户/应用流量/网页/IM聊天/邮件/FTP/BBS/会话统计分析）&&&全面安全防护（内置/VPN/DMZ/&IPS/IDS/NAT技术,保障内网安全）&&&用户身份认证准入/多线路负载均衡/智能线路选路/黑白名单管理<span style="font-size:14font-family:宋体;color:#、选择口碑较好且稳定的产品，当然性价比也是非常重要的，下面介绍下中科网威新一代上网行为管理产品，而且厂家可提供产品免费试用；&中科网威新一代上网行为管理产品是一款集上网行为管理、应用识别控制、流量控制管理、内容审计分析、VPN防火墙于一体的专业网络安全控制产品，对企业内部网络及业务应用实现最高安全级别的保护，对网络行为实现最灵活的控制管理审计，实现&IT&网络资源最大程度的管控和优化。1、基于内核产品架构目前，国内外大多数品牌的上网行为管理和审计产品，都是在操作系统内核之上开发应用程序实现处理。比如，内网一个用户访问互联网一个网站，请求经过网络设备时，将由操作系统内核转到上面的应用程序进行处理，然后将结果返回内核，整个过程将消耗很多的硬件资源并且带来很大的延时。中科网威ANYSEC上网行为管理产品，在自主开发的操作系统上实现基于内核级别的行为管理和内容审计处理，并且在专用的硬件平台上集成了&ASIC和X86专业处理芯片，设备运行更稳定。中科网威ANYSEC上网行为管理支持集中管理平台(Central&Management，简称&CM)，可对各分支机构的上网行为管理设备统一进行策略下发、定时备份配置文件、上网行为日志管理、全网设备状态操控，同时还支持分支机构自行设置个性化管理策略，实现“个性化管理”与“集中管理”的完美结合。2、多种用户认证准入中科网威上网行为管理支持10多种用户身份识别认证接入，包括本地数据库认证、AD域认证、RADIUS&认证、LDAP&认证、POP3认证等，灵活的认证策略提供了安全的终端接入，确保入网用户身份合法有效，避免外来隐患。同时提供单点登录认证方式，用户只需输入一次密码，降低密码泄露的风险。对计算机终端接入进行管理规范如：必须安装方可上网；禁止安装、运行与工作无关的应用程序等。1.3上网行为管理控制中科网威上网行为管理拥有领先的网络行为识别能力,对用户的上网行为进行细致而灵活的管理，对网络行为进行规范过滤和记录,大大提高了员工的工作效率。&#216;URL过滤与记录：高达2000万条全球规模最大的中文URL数据库，提供强大的URL过滤、全面的URL记录和URL排名。确保URL分类准确智能识别，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别分类.&#216;网页过滤与记录：全面记录内网用户向公网&BBS、论坛、博客、空间等发表的帖子内容及附件，还提供对帖子的内容进行关键字过滤。同时可对搜索引擎搜索的关键字进行过滤与记录；帮助企事业过滤不良网站，对有害、不健康内容的网页进行过滤，创建文明健康上网环境。&#216;文件过滤与记录：智能识别&HTTP&网页与&FTP&协议的文件上传和文件下载，并对文件的上传和下载进行过滤与记录。&#216;邮件过滤与记录：支持对邮件内容和附件等进行监控、过滤和审计功能。既可监控通过邮件客户端使用&SMTP&和&POP3&收发邮件，也可以监测到通过&Yahoo、Sohu、163、126、Hotmail、Sina、Gmail、QQmail&等Webmail收发邮件的内容和附件。&&#216;聊天过滤与记录：支持对即时通讯协议如、、、等进行阻止登录，并及对文字聊天、语音聊天及文件传输进行过滤与聊天内容记录。3、上网行为内容审计中科网威上网行为管理监控审计功能对内网进行全面细致的网络行为监控记录和审计过滤，对网络敏感或非法内容进行屏蔽，对员工的网络行为进行记录与全面监控。&#216;查看在线用户的网络访问时间与流量信息，及时发现异常用户并进行处理；&#216;全面监控用户上网行为，包括网页访问、邮件收发内容、即时聊天、论坛发帖、网络娱乐、网络游戏、在线视频、P2P下载等所有互联网活动；&#216;对用户通过邮件、聊天、论坛等外发的言论信息进行合理监控和过滤，及时过滤违法信息，同时防止企业内部机密泄漏；&#216;黑名单管理控制，为了防止网络资源的滥用如用户网络流量、带宽速率等超出上网行为管理设备配置策略或操作禁止运行的应用程序，用户将被加入黑名单。用户一旦进入黑名单，当再次上网时，网页会弹出已经进入黑名单、是什么原因进入黑名单的。灵活的黑名单功能可以帮助管理员快速、准确的定位出谁肆意占有网络资源。&#216;白名单管理控制，对于公司领导或者重要的用户上网不希望受到各种控制策略的限制，也不希望上网的内容被记录。符合白名单规则的流量和策略，将不受“防火墙规则、流控规则、认证策略规则、上网策略规则、黑名单规则”控制；同时上网行为的内容（如发送的邮件、发送的帖子、访问的网页、即时通讯记录等）将全部不记录。4、网络应用流量控制中科网威上网行为管理支持数据流的DPI+DFI深度行为识别检测，支持高达1000多种应用流量协议识别，可对网络应用流量协议进行准确类型识别，包括常规的HTTP、FTP等应用、P2P&下载、IM、网络游戏、、WEB在线视频、流媒体、多线程下载、、网上银行等。配合强大的流控与行为管理功能，可有效提高带宽的利用率，规范用户的上网行为。5、智能流控带宽策略中科网威上网行为管理支持精细网络带宽管理，可根据主机(&IP、IP&组、用户组)、服务(服务组)、时间、URL、文件类型、应用协议等参数，以及各个参数间的灵活组合来实现带宽的预留、保障和限制。对内网单个主机进行会话和带宽控制的同时，可对单个主机的多个特定应用带宽进行控制。&#216;精准识别各种网络应用协议，如对带宽占用极大的主流P2P软件和流媒体软件；&#216;基于应用协议或用户的流量管理，对指定类型的流量进行限速，避免占用过多网络带宽；&#216;为关键业务提供带宽限速保障，保留足够可用带宽，保障关键业务的运行。6、智能线路负载均衡中科网威上网行为管理支持多条不同、独立的链路接入；配合多出口链路，实现链路的负载均衡和备份链路3秒自动切换的线路备份技术，更能保障业务运行。支持源IP均衡、会话均衡、线路负载、最佳线路等多种链路自动智能选路，自动选择最快、最稳的线路，充分利用不同ISP运营商的上网线路资源。7、全面高效安全防护中科网威上网行为管理内置了专业的防火墙功能,灵活的安全规则以及多种防护机制保护了网络免受攻击，提升了整个网络的安全性。&#216;NAT支持：支持多种应用协议NAT&穿越和多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型NAT。&#216;VPN支持：支持&IPSec&VPN、PPTP&VPN&功能。&#216;安全防护：提供全面的&DOS/DDOS&防护机制，支持&SYN&Cookie，SYN&代理服务。防御各种网络攻击如IP畸形包攻击、IP假冒、TCP劫持入侵、SYN&flood、Smurf、Pingof&Death、Teardrop、Land、Ping&flood、UDP&Flood&等。&#216;安全区技术：安全区在防火墙功能的使用，更有效的对内网提供安全保证，这对于基于包过滤和状态检测防火墙产品，保护能力将大大提高。8、上网报表统计分析中科网威上网行为管理内置了强大的报表中心，可对全网的上网行为和流量进行采集和统计、分析用户网络行为。报表中心提供丰富的统计数据，可按周/月/年、分钟/小时/日和实时(秒)的方式显示带宽使用状况，并根据用户需求产生报表。从而帮助管理者了解网络整体使用情况，轻松解决网络中存在的问题。流量统计：提供全网流量统计信息，主要包括用户/IP统计、用户组统计、服务/服务组统计、线路统计等，并可进一步查看&IP地址、地址组和网络服务之间的关联。全网行为：配合行为管理功能，可提供丰富的流量审计信息，可以记录用户URL日志、BBS/论坛发帖内容及附件、网页评论记录、收发邮件详细内容、即时通讯记录、FTP日志等。个人行为：根据组织结构中的内网用户，可逐个展示用户，并将每个用户的上网行为分项统计并形象化显示。具体内容包括：个人网页统计、个人即时通讯记录（含聊天内容）、个人邮件记录（含邮件附件）、个人FTP、BBS论坛发贴记录。会话记录：通过检查完整的会话日志，管理者可以跟踪网络中的任何操作。会话记录包括：源&IP、目的&IP、协议和端口、是否进行&NAT&转换(可显示转换后的&IP&和端口)、七层应用名称、会话产生的时间和会话持续时间。报表生成：可生成转换为&&、等格式的行为管理分析报表，大大简化了管理员手工制作报表的步骤。管理者和企业领导可准确快速了解和分析网络带宽使用情况和员工的个人工作效率。&深圳市中科网威科技有限公司合作咨询：胡经理9，&在线交流：QQ更多详情请登录产品官网：&&
投诉欺诈商家:
天津重庆哈尔滨沈阳长春石家庄呼和浩特西安太原兰州乌鲁木齐成都昆明贵阳长沙武汉郑州济南青岛烟台合肥南京杭州东莞南宁南昌福州厦门深圳温州佛山宁波泉州惠州银川
本城市下暂无经销商
下载中关村在线Android 客户端
下载中关村在线 iPhone 客户端
下载中关村在线Windows8客户端
成为中关村在线微信好友上网行为管理解决方案
　管理与优化
　网络安全
　网络优化
　统一沟通平台
　咨讯热线
　会员期刊
& 首页 & 管理与优化
& ＡＴ解决方案 & 网络优化
● 上网行为管理解决方案
一．互联网对组织提出挑战
　　过去，员工通过与同事闲聊来打发上班时间。随着计算机和互联网的普及，员工有了更多的选择，网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨……。只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。
　很多员工一打开电脑就会自觉地开始各种下载工作，包括BT、电骡、迅雷这些网络资源的“吞噬者“，这些员工在大量下载电影和软件的同时却在不停地抱怨网速太慢！同时，不管员工有意还是无意，他们都能够而且有办法去访问一些对组织网络基础设施有害的内容，带来的病毒、蠕虫和木马，都可以随着简单鼠标点击轻而易举的侵入内网。一些员工利用上班时间访问内容偏激的网站甚至组织、参与非法网络活动。
二．AC给用户带来的价值
　　深信服科技（SINFOR）的AC产品带来了全面而细致的互联网行为管理解决方案。在此，我们通过对AC在管理网络带宽、保障内容安全、提高生产效率和规避法律风险这四个方面来具体阐述其为用户带来的商用价值。
管理网络带宽
网络流量管理
P2P软件的控制
带宽优化和多线路策略
保障内容安全
拦截不良网页
文件传输控制
提高生产效率
URL匹配策略
IM（即时通讯）软件的管理
对各种应用的管理
上网时间管理
规避法律风险
外发信息控制
保护版权资料
法律遵从和举证
三．功能实现
有效进行部门规划
首先根据职能部门来划分用户组。有些部门由于物理环境的限制无法获取连续的C类地址，但这不会影响AC的使用，只需要继续添加。对于某些不属于特定部门的人群，可以另外建组。
建立身份认证体系
3A（认证，授权和审计）是组织安全基础设施的基础，将对用户和内容进行有效的
保护和控制。基于内网的安全的认证机制还需要进一步完善，需要管理局域网中所有用户的Internet访问。
身份认证主要有两种方式，免客户端认证和客户端认证，AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和操作，很好提高了操作的互动性和弹性。
AC支持多种认证方式，除了通过用户名/密码、IP/Mac认证外，
AC的Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段，只要在AC中正确填入域、活动目录和邮件服务器的地址和端口，AC将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户非常方便。
开始分析网络流量
当用户通过认证系统的身份校验后，AC将为不同的用户组进行授权，将系统管理员设定的策略同用户的标识相对应。在AC中，这些规则的制定主要从保护、控制和监控出发，并将这些规则和用户有机地结合在一起，进而形成一套完整的访问控制策略。
当局域网中的用户通过了认证、授权后，你往往要面临严峻的广域网带宽使用问题。好的改变方法是部署基于广域网的加速设备。
AC的网络数据中心（Network Data Center，
NDC）是一种统计分析工具，它可以记录局域网用户访问Internet的所有流量。
优化带宽资源
在不能改变狭窄带宽的前提下，需要去适应带宽，进而优化带宽。
首先可以考虑使用AC的QOS和带宽叠加功能，AC将对广域网的带宽优化起到有效作用。QOS的设定有助于那些要求高传输质量、低时延的服务取得优先的带宽。
而带宽叠加技术作为深信服科技的一项专利（专利号：X），已被直接用在AC上网行为管理这条产品线了。通过绑定多条ADSL或专线，可以获得更大的出口带宽，当多条ADSL绑定时，可以获得超过单条FTTX的带宽，而其费用却远远低于后者。这对于拨号和xDSL资费低廉而且专线线路难以申请的地区尤其有吸引力。、
更具效力的网络流量优化方式是AC的基于用户的流量控制技术（User－Based
Traffic Control,
UBTC）。在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，而有些部门的非工作相关服务本不应获得更高的带宽。通过AC的分组流量控制,可以对不同用户组使用的服务进行精细到以K/Bps为单位的带宽分配，保障重要部门的重要服务得到足够带宽，使非重要的服务受到合理的流量限制。
当管理员对互联网的使用情况有了大致的了解后，可以针对用户组的行为做出进一步的管理和控制。
网页浏览的控制
网页的浏览是互联网访问的主要内容。一方面，组织的管理者不希望给办公室营造监狱一样的环境，为了使员工得到更好的心情和满意度，组织需要一个人性化的环境。另一方面，员工对互联网的滥用的确带来了严重的生产力流失。
在AC的内置库中有着数百万的URL资料，分为新闻、音乐、视频、成人、财经、教育、科技等条目。在局域网中的用户浏览网页时，AC的联动式分析系统（Link
Analysis System,
LAS）将发挥作用。通过LAS技术，AC将根据网页的内容、用户可管理的关键字组、网页中包含的文件类型进行联动式分析，并根据AC默认的设置、管理员自定义的过滤规则对用户需要访问的网页进行过滤。
同时，AC还可根据工作时间，季节等最时间进行兼具计划性和灵活性的划分。
管理即时通讯工具
不断成长壮大的IM已经成为了事实上的企业通讯标准。
然而，IM的大量使用也造成了生产力的流失和机要信息的泄露。
AC可以提供对IM软件从禁止、监管、再到安全性审查的解决方法。
3.7 应对BT类软件
P2P技术对带宽资源的争用使局域网有限的带宽被耗尽，
P2P的封堵应该是所有安全网关都需要关注的问题。
AC可提供两种封堵方法，一种是基于应用协议和数据包的分析，另一种是针对流量进行检测。
首先，AC的深度内容检测服务（Thorough
Content Detection,
TCD）可以对BT类应用的数据包进行深入检测。TCD通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，实现了从四层到七层的全面内容检测，能够更好的发现哪些服务是P2P类应用，而不再使封堵仅限于对端口的分析和封锁。
由于TCD技术将对数据包进行深入分析，当内网用户发出的会话较多时，网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗，
AC采用了网络流量智能分析技术(Network Traffic Intelligence Analysis ,
NTIA）。区别于端口封堵和内容检测，NTIA技术将对每一个用户和用户组的网络连接情况进行分析，当网络流量和网络连接超出AC规定的阀值时，用户的P2P行为将被限制流量。
一些P2P封堵技术实现了对某些BT类应用的“杜绝”，例如Cisco采用的NBAR，NBAR将对BT和电骡产生的数据包丢弃而不是管理，但更理想的方式应该是合理的利用P2P技术为我们的资源共享服务。上面提到的深度内容检测（TCD）和网络流量智能分析（NTIA）都能够提供给用户更多的选择。当AC确认某些用户在下载P2P文件时，网管员可以采取三种策略，首先是允许下载，这是对VIP和紧急用户的特权选项；其次是拒绝，你可以选择对某项P2P服务彻底封堵；最后是流量控制，即内网的用户可以使用P2P类软件，但他们产生的流量和连接能够被控制在一个可以接受的范围之内。
控制其他的网络应用
Internet上的网络行为还远远不止以上提到的内容。需要管理者关注的还有网络游
戏、在线视频（MMS、HTTP
Streaming、RTSP等）、在线炒股等应用。
AC的深度内容检测（TCD）已经自带了众多应用程序的数据特征文件，通过对用户组的访问控制设定，你可以轻易地允许或者拒绝内网用户访问特定的网络服务。作为一种面向客户的开放式解决方案，AC提供给用户更丰富的自定义功能。在TCD的高级设置中，AC允许有编程基础的网络管理员添加、修改和导入自定义的网络应用规则。如果局域网内有人使用非公开工具进行不正当活动，通过分析其工具的数据内容，AC同样可以实现封堵和控制。
3.9 防止机密泄露
在FTP的防护措施上，
AC可以通过关键字和文件类型的设定来限制FTP的传输内容，对于内网通过FTP上传到公网的内容，AC将进行记录和保存，以便更好的对违规、违法员工进行网络行为追踪，进而更好的保护组织资产。
在邮件的发送中，AC可以启用邮件延迟审计（Postponed Sending after Audit ,
PSA）,通过PSA技术，内网的邮件将收到更为细致和全面的审查，以避免机密信息的不慎或有意泄露。具体内容您可以参考下一章的“邮件延迟审计技术”介绍。
BBS的访问主要分为Web登录和Telnet登录，对于Web方式的访问，AC同样可以通过对关键字的审计来限制内网用户的发帖行为；而对于Telnet方式的登录，AC亦可以记录命令的详细内容，以供后期的审查使用。
3.10更多的安全机制
VPN/防火墙
反垃圾邮件
入侵防御系统
防DOS攻击系统
四．领先的技术优势
强大的功能源自技术的持续创新。在本章节，您将了解到AC的一系列深入用户需求的标杆性技术。
4.1 邮件延迟审计(PSA)
AC集成的基于网关的邮件延迟审计技术（Postponed Sending
after Audit,
PSA）为企业级用户提供了邮件内容防护的可靠途径。PSA采用了邮件转移技术，内网用户发送的邮件会首先被AC网关转移至网关的邮件缓存区，邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件，那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的，邮件的发送过程和以往并没有任何不同。
还可以对PSA做细粒度的审核机制，例如需要进行邮件审核的发件人、收件人以及邮件的特征。
PSA提供对收件人和发件人名单的编辑。你可以对特定部门和特定员工启用审核功能，因为你的老板也许不希望自己的邮件行为受到他人监控。
而邮件特征的定义细致了PSA的对象定义粒度。你可以调整需审核邮件的正文和附件大小以及邮件的关键字特征。
由于PSA涉及到人工的审核操作，所以邮件的延迟发送时间也是可控的，当有邮件进入缓存区等待审计时，AC将通过邮件等方式通知邮件审核人员，如果邮件审核人员在长时间没有登录审计，待审计邮件将被AC自动发出，避免重要邮件被延误。
4.2 网络准入规则(NAR)
AC的网络准入规则（Network Admission Rules,
NAR）通过对客户端的评估来
实现网络访问控制，并更好的维护网络安全防线。
NAR的设计意义在于三个方面。
首先，仅靠网络边缘的外围设备已经无法保证安全性。提供边界防御的安全网关无法保护内部网络段，也无法替代内容安全防护措施。即便组织的网络出口处运行着防火墙等网络周边安全设备，病毒和蠕虫、特洛伊木马、等基于内容的恶意行为仍频繁渗入组织内网。
其次，边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。同时，日益提高的安全过滤和控制要求，以及不断增加的带宽需要，也给网关性能带来很大压力。
最后，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此。使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都将成为局域网安全中的“短板”。
基于此，AC的NAR通过对端点安全评估和访问策略列表来实现全方位的安全防护。
4.3 数据中心(NDC)
AC的数据中心（Network Data Center,
NDC）提供了基于用户的最完整的互联
网访问记录。
通过使用NDC，组织的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态，NDC将网络使用情况自动生成报表并统计出网络访问的趋势，以帮助系统管理员更好的维护和管理网络。
不同于其他内容安全设备的日志系统，NDC可提供更丰富和更具扩展性的互联网内容访问记录。
NDC可以根据组、用户、规则和协议进行多向查询，并可生成饼状图、柱状图和曲线图等方式，使内网日志一目了然。对于日志的统计对象，NDC提供了对流量、邮件、网络监控、准入规则（NAR）、IPS、防火墙、日志库、用户信息等9大对象的统计和查询。
NDC系统是一个可移植的日志平台。大规模的局域网访问将产生大量的网络日志，一个PC数目以K(千)为单位的局域网，其一天内的互联网访问日志也将程指数倍增加。AC内置的NDC系统可以移植到专门的日志记录服务器中，这将给组织带来多种好处。
NDC提供对日志记录的导出和在线打印，你可以把统计和查询结果打印成文本，使对内网情况的报告更加方便，也更便于日志的储存。
AC支持异地管理和维护，NDC同样也能够查询远程的网络情况。这对于有多个分支机构的组织来说极为方便，管理员可以在通过Web方式实时地了解不同分支机构的网络运行状况和网络行为日志，并将日志记录统一导出，形成整个组织的网络行为分析记录，进而制定出细化的、多层次的安全策略。
4.4 单点登录技术(SSO)
值得肯定的是,
AC产品线的开发人员将单点登录技术同认证机制结合在了一
起，让通过域认证的用户可以更加方便的实现Web认证。
单点登录技术(Single Sign
SSO)，通过在AC的活动目录中配置单点登陆选项，当你的主机登陆到域中便自动通过了Web认证，而不需要重复输入用户名和密码。
同样，POP3的认证也实现了单点登录。构建了邮件服务器的用户都有一套邮件帐号，当AC把邮件服务器的帐号导入后，用户每次使用Web认证时只需要输入邮件的帐号即可访问互联网。另外，AC考虑了更人性化的措施。当内网用户使用Outlook、Foxmail等邮件客户端成功登录到邮件服务器后，他（她）将自动通过Web认证。
反钓鱼网站功能
AC内置的SSL库内置了可信任证书颁布机构列表，并可对SSL连接的证书内
容进行可信度评估，如身份验证机构的标识信息、证书有效期、证书持有人的公钥、证书的签名和算法。当钓鱼网站采用了伪造的数字证书来骗取内网用户信任时，AC可以判断出其本来面目并进行阻断，避免组织成员蒙受经济损失。
4.6 代理服务器识别
很多组织的内网用户通过Microsoft
ISA、Sygate、CCproxy等代理服务器（Proxy
Server）上网，这些软件在完成其代理任务的同时也给其他安全设备的管理带来了困难。由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的，当内网用户通过代理上网时所有数据是发向代理服务器的，这将使防火墙、内容控制设备的某些模块无法正确识别内网数据的真正流向，进而失去应有的防护作用。
对于通过Proxy
Server代理上网的情况，AC可以很好地适应并发挥其作用。AC提供给网络管理员一个可编辑的界面，以将网络出口情况定义给AC的控制系统，AC的控制系统通过正确识别用户的网络拓扑而做出正确的判断和管理。
4.7 智能排障技术(IBF)
AC的状态监测防火墙支持虚拟测试（Virtual
Test）功能，网管员可以在AC提供的虚拟网络环境下测试各项配置，以得到配置在实际网络中的运行效果。
而AC的智能排障（Intelligent
Barrier－Free,
IBF）技术帮助管理员查找错误配置的源头。当内网的某个用户或用户组出现无法正常上网、个别网络应用不能正常运行时，网管员都可以借助IBF来反向查询障碍的原因，查询数据包是否被网关的某个模块拦截，为何被网关拦截，或者其他产生故障的原因等等，进而可以帮助网管员尽快的检查出问题的症结所在，迅速的排除和解决障碍。
五．AC产品部署方式
在深信服科技（SINFOR）的数千个用户中，从没有发现过两个完全相同的网络环境。作为保护组织网络资源的核心设备，AC考虑到了各种可能的网络拓扑，并力求部署的最简化。
穿透式（Pass-Through）部署
穿透式部署将设备部署在局域网的主干部分以处理流经设备的数据流
网关（Gateway）模式
网关模式适用于希望通过AC产品来实现所有的审计、控制和拦截功能，且对网络
拓扑的更改不敏感的用户。
网关模式将SINFOR
AC作为局域网的出口网代理内网PC上网，除完成AC的管理控制功能外还可以实现NAT、路由和防火墙等网络与安全功能。
部署方式：AC的WAN口与广域网的接入线路相连，一般是光纤、ADSL线路或者是路由器，AC的LAN口（DMZ口）同局域网的交换机相连，内网的PC将网关指向AC的局域网口，进而通过AC代理上网。
网桥（Bridge）模式
网桥模式适用于希望对内网完全监控、控制和管理，且不希望更改局域网的任何网络地址的用户。
网桥模式将SINFOR
AC等同于一根连接在网关和交换机之间的“智能网线”，可以对所有流经AC的数据流进行审计、管理和控制。
部署方式：AC的WAN口同局域网的网关相连，LAN口（DMZ口）同局域网交换机连接。局域网内的任何网络设备和PC都不需要更改IP地址。
旁路式（Pass-by）部署
旁路式部署将设备与交换机的镜像口相连，用于监听局域网中的数据流
旁路（Pass－by）模式
旁路模式适用于希望通过AC来实现内网监控和审计的用户。
旁路模式的部署不需要对内网拓扑作任何改动，使实施难度最低。而由于内网数据流不需要流经AC设备，避免了网络主干中设备过多引发的网络处理性能下降，也降低了网络单点故障的发生几率。
部署方式：在出口交换机中配置镜像端口，将AC的广域网口同镜像端口相连，实现对内网数据包的监听。
北京市海淀区上地六街26号华环大厦| 电话： |　技术支持：　| E-mail:.cn | 京ICP备号-1}