体现足够的人情味,因此,依照不同时刻段为用户分配网络访问权限是上网行为治理过程中需要考虑的问题之一。SANGFOR AC提供基于时刻的丰富治理策略,能基于时刻段为不同部门、不同人员给予差异化权限,同时也能够限制职员一天内总的上网时刻,实现人性化治理。
2.4 提升内网可靠可用性
面对互联网威胁,尽管许多组织差不多部署防火墙、IDS等设备,但内网依旧病毒频发、攻击不断,堡垒最容易从内部突破,内网职员不受控的互联网访问行为将主动“邀请”病毒、木马等进入内网,如何应对这些导致传统安全技术失效的上网行为所带来的风险? ■ 危险资源过滤
通过AC内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识不与过滤、以及基于人工智能的网页智能分析系统,关心组织完全幸免因为访问非法网页、危险网页而带来的风险。
从互联网下载、安装、运行应用程序却常常给内网引入病毒、木马、间谍软件等,这能够通过AC实现文件传输的过滤。即使通过IM工具传文件,AC也能够在同意用户使用IM文本谈天的同时全面封堵各种IM工具的传文件功能。关于同意下载的文件,AC网关杀毒功能将查杀该文件中潜藏的病毒、木马。
■ 网关杀毒功能
1 / 1
震荡波、冲击波、熊猫烧香等病毒的泛滥严峻阻碍组织网络的可靠性、可用性,但单纯依靠桌面杀毒软件并不能有效解决病毒问题,从源头上查杀并清除病毒是桌面防毒体系的有力补充。SANGFOR AC内置业界领先的杀毒引擎对网页、邮件、文件中潜藏的病毒进行完全查杀,即使隐藏在压缩包内AC也能识不和清除,为组织营造绿色、安全的网络应用环境。
■ 修复内网安全短板
组织内网的可靠可用性取决于最薄弱的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等,但并非所有用户都能遵从,进而形成内网短板。一旦该“短板用户”访问危险网站、下载含病毒文件、执行非法程序等,极易导致自己感染并阻碍整个内网用户群。借助网络准入规则技术(专利号:200510037455.1),AC将检测接入终端的安全状况与安全级不,拒绝不符合IT治理者要求的终端访问互联网。
■ 异常流量感知
随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己,通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及同意黑客操纵。传统设备防火墙等解决方案在开放了常用端口后并不能识不该端口中传输的数据及内容,组织的信息资产安全如何保障?黑客远程操纵内网终端形成僵尸网络如何幸免?SANGFOR AC的异常流量感知技术能够识不常用端口中的异常流量,并能够实时报警,关心IT治理者掌控您的网络,防范
1 / 1
风险。
■ 防DOS、防ARP欺骗
即使采取众多措施,威胁和风险仍无孔不入。来自外网的DOS攻击,以及爆发于内网的DOS攻击不仅吞噬带宽,还严峻阻碍出口网关的稳定。传统防火墙等网关能够防备来自外网的DOS攻击但对来自内网的DOS攻击却无能为力,定位于上网行为治理解决方案的SANGFOR AC通过检测流量和异常网络行为等技术,完全防备来自外网和内网的DOS攻击。
病毒引起的ARP欺骗导致整个子网内所有用户无法正常访问Internet,定位故障点又颇为苦恼,有不于部分厂商依靠第三方软件的方案,AC通过内置防ARP欺骗功能组件,保障用户网络的可用性和可靠性。
2.5 治理网络带宽
■
治理员分级治理
能够按照组织的行政架构在SANGFOR AC上配置用户分组结构,典型的是树形用户分组结构,并包括子组、父组等。为了减轻大型组织机构IT部门的治理负担,同时方便各部门自行调整各自的上网权限,SANGFOR AC支持细致的治理员分级治理功能。能够为AC上的用户组A配置Read-Only权限的治理员A1、配置Read-Write权限的治理员A2,A2只可修改用户组A(而不能修改其他用户组)的上网策略、用户等,但A1则只能查看而不能修改。同时A1、A2登录AC数据中心后智能查询、审计用户组A
1 / 1
的行为日志(而不能查询其他用户组),从而既实现治理灵活性,又确保了治理的可控性。
■
上网策略强制继承
总裁要求整个公司都不同意使用QQ,但如何确保“禁止QQ”这条上网行为治理策略能够在众多部门对应的AC用户分组上得到实施,同时确保“禁止QQ”的策略可不能被部门治理员修改、删除、绕过?这通过SANGFOR AC的上网策略强制继承轻松实现。子组从父组强制继承的上网策略将无法修改、删除、绕过,即使新加“开通QQ”的策略也无济于事。严格的上网策略操纵关心组织更好使用互联网。
■
SC集中治理平台
大型组织在总部、分支机构往往会部署多台SANGFOR AC上网行为治理设备,通过深信服SC-AC集中治理平台能够实现全网数千台AC网关的集中治理、集中监控、集中配置、集中升级、集中日志等要求。从而确保分支机构无专业人员也一样快速部署、远程监控和排障,统一的上网策略能够在整个组织得到贯彻和执行,日志集中治理和审计等要求,极大的方便大型组织机构部署上网行为治理解决方案。
3 功能实现
如下我们将阐述组织如何借助AC实现全面而灵活的上网行为管控与审计。基于在上网行为治理领域的丰富经验,我们强烈建
1 / 1
议您按照顺序阅读,如此会使上网行为的治理更具方向性,且有助于后期的治理和维护。
3.1 规划用户分组结构
为了给不同用户、不同部门授予差异化的互联网访问权限,包括差异化的行为审计策略,首先要规划和建立组织的用户分组结构。能够完全按照组织的行政架构在SANGFOR AC上建立树形用户分组结构,实现父组、子组、组内套组等要求。在完成用户组的创建后,即可创建用户,并将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。
用户创建的过程简单方便,除手工输入帐户方式外,AC还能够依照OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便治理者维护AD这一套组织结构。另外AC也支持账户自动创建功能,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC等,继承指定的网络权限,方便了治理者和权限的操纵。用户帐号还支持生效时刻的设定、支持多人共用同一帐号等,丰富的帐号策略使得治理者能够自由的依照实际情况合理调整。
假如治理员差不多将用户信息汇总到Excel、TXT等文件中,那么他将通过AC的账户导入功能更加快捷的创建用户和分组信息。
3.2 建立身份认证体系
没有严格的认证就无法有效区分用户,也就无法部署差异化
1 / 1
上网行为管理产品说明
