1-600用户数;产品特性1:吞吐量 :90Mbps;并发会话数 :12万;硬盘容量:250G;网口数量:4个千兆电口;电源:单电源;外形:1U机架式
产品概述:
深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。深信服AC系列上网行为管理产品采用深信服自主研发的AC网络审计系统。拥有着领先的网络行为识别能力,除了识别普通的明文数据外,AC还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。由于采用了高性能的硬件平台,以及不受硬盘空间限制、可独立部署的数据中心,深信服NC的性能领先于其他同类产品,更好的满足了大规模网络的苛刻要求。1300万条URL过滤,人工智能网页分析,1000种网络应用库,应用访问控制,报表和检索,流量分析,带宽管理,防DOS攻击,防ARP欺骗。
提升工作效率
上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了生产效率,如何在上班时间对内网用户的网络行为进行管理和引导? 《网页过滤策略》 上班时间从事私人活动,管理者却难以阻止,如上班时间浏览新闻网站、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。 《IM(即时通讯)聊天软件的管理》 上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、飞信等众多IM软件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP的方式,不仅费时费力且无法根治。AC通过检测应用数据包的特征字段,实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。 《各种行为的管理》 网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即下载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、上传图片、下载电影、程序等问题,AC通过限制用户搜索指定关键字,过滤用户上传下载的指定文件,将内网用户精力更多聚焦在工作上。 《上网时间管理》 每个机构都有其工作时间安排,所以,根据不同时间段为用户分配网络访问权限,是专业上网行为管理设备必须考虑的问题之一。AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,AC会自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
保障内网安全
多数机构已经在公网接口处部署了防火墙、IDS等设备,但内网依然病毒频发、攻击不断,是何原因?堡垒最容易从内部突破,内网用户主动“邀请”病毒、木马等进入内网。 《拦截不良网页》 AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC轻松过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网用户访问不良网页和危险网页的可能。 假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。 《插件、脚本过滤》 网络上“危机四伏”到处存在安全隐患,使得用户防不胜防。SANGFOR AC的脚本过滤功能能够根据脚本行为和特征拦截含有恶意脚本、木马的网页。防止用户不小心进入不良网站而感染病毒、木马或者访问后台被黑客挂马的网页而造成中毒的情况发生。 由于网络应用的不断发展,网页上提供的功能越来越多样化,要求用户安装插件的情况越来越普遍。SANGFOR AC支持插件过滤,能够根据插件的名称、签名、证书等过滤掉IE插件,同时也能识别下载的文件中隐藏的插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况,阻止恶意监控软件盗取个人信息、企业机密。 《文件传输控制》 针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。 通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,瘫痪整个网络。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。 《修复内网安全短板》 根据木桶理论,机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等,极易导致自己感染病毒,还将感染整个内网用户群。借助网络准入规则技术(Network Admission Rules,NAR)(专利号:200510037455.1),AC将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况,不安装、不运行指定安全软件,就不允许接入Internet,从而修复内网安全短板。 《防DOS、防ARP欺骗》 即使部署众多安全措施,安全威胁仍无孔不入。来自外网的DOS攻击AC能防御;而来自内网的DOS攻击,不仅吞噬带宽,还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击,而AC通过检测流量和异常网络行为等技术,彻底防御来自外网和内网的DOS攻击。 ARP(Address Resolution Protocol)协议原本用于“从IP地址寻找MAC地址”,但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet,定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
方案使用产品及可选模块:深信服AC1200上网行为管理设备:
1.深信服 AC-1200 上网行为管理网关:包含(*深信服 上网行为管理软件V2.0;*深信服 AC-1200 硬件平台)
2.AC-1200网关杀毒模块
3.AC-1200网关杀毒升级许可
4.AC-1200深信服URL系统软件V2.0
5.外发文件告警&危险行为识别模块
6.AC1200-NAC,NAC网络准入模块
7.VPN模块