1、深信服科技SANGFOR AC 上網行為管理上網行為管理產品白皮書產品白皮書深信服科技股份有限公司深信服科技股份有限公司2015 年年 09 月月深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有2版權聲明本書版權歸深圳市深信服科技股份有限公司所有， 并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外， 其著作權或其它相關權利均屬于深圳市深信服科技股份有限公司。 未經深圳市深信服科技股份有限公司書面同意， 任何人不得以任何方式或形式對本文檔內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其他語言、

2、將其全部或部分用于商業用途。免責條款本文檔僅用于為最終用戶提供信息，其內容如有更改或撤回，恕不另行通知。深信服科技股份有限公司已盡最大努力確保本文檔內容準確可靠， 但不提供任何形式的擔保，任何情況下，深信服科技股份有限公司均不對（包括但不限于）最終用戶或任何第三方因使用本文檔而造成的直接或間接的損失或損害負責。信息反饋如果您有任何寶貴意見，請反饋：地址：深圳市南山區學苑大道 1001 號南山智園 A1 棟 郵編：518055電話：0755-86627888傳真：0755-86627999您也可以訪問深信服科技網站： 獲得最新技術和產品信息深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科

3、技版權所有3目錄第 1 章上網行為管理產品應用價值.61.1優化帶寬管理，提升用戶上網體驗.61.2管控網絡應用，提高員工工作效率.61.3管控上網權限，實現職位與權限匹配.61.4防范信息泄露，保障組織信息安全.61.5過濾不良信息，規避管理與法律風險.71.6優化上網環境，提升上網安全.71.7支撐 IT 管理，優化組織 IT 環境.7第 2 章深信服上網行為管理產品功能.72.1深信服上網行為管理產品部署模式.72.1.1網關模式.72.1.2網橋模式.82.1.3旁路模式.102.1.4多機模式.112.1.5雙機模式.122.2身份認證.132.2.1建立身份認證體系.132.2.2

4、映射組織行政結構.142.3應用控制.152.3.1應用控制策略.15深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有42.3.2Web 應用控制.172.3.3代理翻墻共享控制.182.3.4文件傳輸控制.182.3.5郵件收發控制.182.4帶寬管理.192.4.1流量可視化.192.4.2流量管理.192.5行為審計.212.5.1日志記錄.212.5.2報表分析.212.5.3日志與隱私的平衡.242.6安全防護.242.6.1終端安全.242.6.2Web 訪問質量檢測.252.6.3組織外線路檢測.252.6.4移動終端管理.252.7無線 AP 管理.262.7

5、.1無線網絡和接入點管理.262.7.2無線認證.262.7.3無線系統維護.27第 3 章深信服上網行為管理產品技術優勢.273.1SSL 內容識別與管理.27深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有53.2P2P 智能識別技術.273.3免審計 Key 功能.283.4數據中心認證 key.283.5異常流量感知.283.6IPv6 全流量支持.29第 4 章深信服上網行為管理產品資質.294.1市場占有率第一.294.2深信服上網行為管理產品資質.29第 5 章關于深信服科技.29深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有6第 1 章上網

6、行為管理產品應用價值1.1 優化帶寬管理，提升用戶上網體驗AC 能幫助組織管理者透徹了解組織當前、歷史帶寬資源使用情況，并據此制定帶寬管理策略，驗證策略有效性。不但可以在工作時間保障核心用戶、核心業務所需帶寬，限制無關業務對資源的占用，亦可以在帶寬空閑時實現動態分配，以實現資源的充分利用?；诓煌瑫r間段、不同對象、不同應用的管道式流控，能有效保障用戶的上網體驗，保障網絡的穩定性。1.2 管控網絡應用，提高員工工作效率AC數據中心能幫助組織管理者透徹了解員工的網絡行為內容和行為分布情況。 借助AC的管理功能， 管理員能實現分時間段、 基于用戶、 基于應用、 基于行為內容的網絡行為控制，據此限制員

7、工上班時間的無關網絡行為， 減少員工因效率低下帶來的加班、 離職、 薪金浪費、額外薪金支出等問題。管理員使用 AC 數據中心可自定義“員工工作效率報表” ，作為員工工作效率考核的輔助依據。1.3 管控上網權限，實現職位與權限匹配使用 AC，管理員能依據組織架構建立用戶身份認證體系，并采用分時間段、基于用戶、基于應用、基于行為內容的網絡行為控制，從而實現員工職位職責與上網權限的匹配，如限制研發部門不得使用 webmail 外發郵件、上班時間不能使用 IM 聊天工具，限制財務人員不能訪問不受信網站，等等。以此減少越權訪問和權限濫用的現象，防止泄密和不良輿論風險。1.4 防范信息泄露，保障組織信息安

8、全互聯網的普及讓網絡泄密和網絡違法行為層出不窮。 如果員工利用組織網絡發生泄密或違法行為，而如果又沒有證據，無法找到直接責任人，IT 部門將成為該事件壓力的承擔者。使用 AC，能幫助管理員實現基于內容的外發信息過濾，管控文件、郵件發送行為，對網絡中的異常流量、用戶異常行為及時發起告警，更有數據中心保留相關日志，風險智能報表發現潛在的泄密用戶，實現“事前預防、事發攔截、事后追查” 。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有71.5 過濾不良信息，規避管理與法律風險互聯網資源極大豐富，亦良莠不齊。AC 能幫助管理員過濾違法、違規不良網頁、含有不良關鍵字的網絡信息， 防止用

9、戶不慎訪問不受信的網站帶來法律風險。 對于內網用戶的外發信息行為，AC 基于內容的外發信息過濾能幫助管理員及時攔截不良言論，或者在特殊時期采用“允許看帖不允許發帖、允許收郵件不允許發郵件”的特殊管控手段，更大程度的減少輿論風險給組織形象聲譽帶來影響。1.6 優化上網環境，提升上網安全網絡犯罪日益善用偽裝： 利用社交網絡散播， 仿冒可信網站， 將訪問合法網站的用戶 “重定向”到非法網站，假冒可信軟件如防病毒軟件、插入非法軟件，通過惡意廣告、垃圾博客、惡意點對點文件傳播等等。對此，對于已中毒的終端，AC 會檢測網絡中的異常流量如木馬流量等并自動封鎖并發起告警，提升局域網安全。1.7 支撐 IT 管

10、理，優化組織 IT 環境“三分制度、七分管理” ，缺乏技術手段支撐的管理制度就像一道沒有裝鎖的門，只能依賴人工值守或被管理者的自覺遵守。越來越多的 IT 管理員意識到，必須選擇適合組織 IT環境的技術手段， 才不會讓管理制度流于形式， AC 有效支撐組織的 IT 管理， 幫助規范網絡，減少 IT 管理員的無謂工作量，優化組織 IT 環境。第 2 章 深信服上網行為管理產品功能2.1 深信服上網行為管理產品部署模式2.1.1 網關模式網關模式是指設備工作在三層交換模式，AC 以網關模式部署在組織網絡中，所有流量都通過 AC 處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能。作為組

11、織的出口網關， AC 的安全功能可保障組織網絡安全， 支持多線路技術擴展出口帶寬， NAT功能代理內網用戶上網，實現路由功能等。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有8部署方式：AC 的 WAN 口與廣域網接入線路相連，支持光纖、ADSL 線路或者是路由器；AC 的 LAN 口（DMZ 口）同局域網的交換機相連；內網 PC 將網關指向 AC 的局域網接口，通過 AC 代理上網。2.1.2 網橋模式2.1.2.1 單網橋模式網橋模式是指設備工作在二層交換模式，AC 以網橋模式部署在組織網絡中，如同連接在出口網關和內網交換機之間的“智能網線” ，實現對內網用戶上網行為的

12、流量管理、行為控制、日志審計、安全防護等功能。網橋模式適用于不希望更改網絡結構、路由配置、IP配置的組織。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有9部署方式：AC 的 WAN 口同出口網關 LAN 口相連，為 AC 分配一個網橋 IP，該 IP 和出口網關 LAN 口在同一網段；LAN 口（DMZ 口）同核心交換機連接；局域網內的任何網絡設備和 PC 都不需要更改 IP 地址。2.1.2.2 多網橋模式組織考慮到網絡的穩定性、可靠性，往往采用雙機、雙線路構建基礎網絡。AC 支持多路橋接模式，適應組織的多機網絡環境要求。在不影響原有雙機、雙線路前提下，對流經AC 的所有

13、數據流進行審計、控制、攔截、流量管理等操作。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有10部署方式：通過 AC 配置界面，定義兩對橋接口（WAN1-LAN1，WAN2-LAN2） ；為每對網橋分配 IP 地址。2.1.3 旁路模式AC 以旁路模式部署在組織網絡中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網絡結構，降低了網絡單點故障的發生率。此時 AC 獲得的是鏈路中數據的“拷貝” ，主要用于監聽、審計局域網中的數據流及用戶的網絡行為，以及實現對用戶的 TCP 行為的管控。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有11部署方式：配置出口交換

14、機的鏡像端口，與 AC 的廣域網口相連，實現對內網數據包的監聽。2.1.4 多機模式組織為了網絡穩定可靠，同時部署兩臺設備，AC 支持兩臺以上設備同時以主機模式運行，完美支持組織的 VRRP 環境，起到設備冗余與負載均衡的作用。在這種環境中，AC 以單網橋模式或者多網橋模式部署在組織網絡中。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有12部署方式：AC 以網橋模式部署在網絡中，為每臺 AC 配置網橋 IP；為每臺 AC 配置同一組播 IP 地址，且每臺設備上指定的通信網口在同一個局域網內，AC 之間即可實現同步。2.1.5 雙機模式組織為了網絡穩定可靠，同時部署兩臺設備，

15、AC 支持兩臺設備以雙機模式運行。兩臺設備通過串口線相連，一主一備，當主設備發生故障時自動切換到備用設備，提高網絡的穩定可靠性。在這種環境中，AC 以單網橋模式或者多網橋模式部署在組織網絡中。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有132.2 身份認證2.2.1 建立身份認證體系有效區分用戶，是部署差異化授權和審計策略、有效防御身份冒充、權限擴散與濫用等的管理基礎。AC 支持豐富的身份認證方式：本地認證：Web 認證、用戶名/密碼認證、IP/MAC/IP-MAC 綁定；第三方認證： LDAP、RADIUS、POP3、PROXY、數據庫等；短信認證：通過接收短信獲取驗證

16、碼，快速認證；微信認證：通過掃描二維碼，關注微信公眾號進行快速認證；訪客二維碼認證：接待人員掃描訪客手機上的二維碼，備注信息后，訪客即可通過認證；雙因素認證：USB-Key 認證；深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有14單點登錄：AD 域、POP3、PROXY、WEB 和第三方系統等；強制認證：強制指定 IP 段的用戶必須使用單點登錄。深信服 AC 短信模塊不僅能夠跟深信服自有品牌的短信貓對接，還能夠跟各運營商的短信網關對接。部署上，為了滿足有多個分支的客戶需求，AC 的短信認證能夠配置多個不同的 portal 頁面給不同的分支使用。portal 頁面還能夠上傳廣

17、告圖片，自動滾動播放。短信認證支持二次免認證的功能，多個分支之間還能夠漫游，即在 A 分支認證過，到 B 分支直接免認證。深信服 AC 的短信認證功能，既能夠達到身份識別的目的，又將認證過程簡化到極致，不僅神別了用戶的身份，還為后續的短信營銷提供精準對象，一舉多得。深信服 AC 獨特的微信認證功能，為企業公眾賬號迅速增粉，打造一個會營銷的無線網絡。微信認證功能支持一鍵關注公眾號并通過認證，適用各種終端（PC、PAD、手機） 。同時，不需要在微信服務器部署代碼，節省實施成本。為了簡化用戶的認證過程，二次到店支持免認證，直接關聯上 SSID 即可自動認證通過并上網，用戶毫無感知。不僅如此，有多分支

18、門店的客戶，門店間可以漫游認證，即在一個門店微信認證過后去其他門店可以免認證，給用戶超預期的用戶體驗，提高企業品牌認可度。豐富的認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與行為的一一對應，方便管理員實施上網行為管理解決方案。AC 支持為未認證通過的用戶分配受限的互聯網訪問權限，將通過 Web 認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。2.2.2 映射組織行政結構為了給不同用戶、不同部門授予差異化的互聯網訪問、控制、審計權限，需要規劃和建立組織的用戶分組結構。一般組織均有自己的行政結構，AC 可以完全按照組織的行政結

19、構建立樹形用戶分組，實現父組、子組等多層嵌套的要求。在完成用戶組的創建后，即可創建用戶，并將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。用戶創建的過程簡單方便，除手工輸入帳戶方式外，AC 能夠根據 OU 或 Group 讀取 AD 域控服務器上用戶組織結構，并保持與 AD 的自動同步，方便管理員管理。此外，AC 支持賬戶自動創建功能，依據管理員分配好的 IP 段與用戶組的對應關系，基于新用戶的源 IP 地址段自動將其添加到指定用戶組、同時綁定 IP/MAC，并繼承管理員指定的網絡權限。管理員亦可將用戶信息編輯成 Excel、TXT 文件，過 AC 的賬戶導入功能更加快捷的創建用戶

20、和分組信息。用戶帳號還支持有效期限定，賬號過期則自動失效，支持多人共用同一帳號等，豐富的深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有15帳號策略使得管理員可以根據實際情況自由地合理調整。2.3 應用控制2.3.1 應用控制策略2.3.1.1識別是管理的基礎網絡應用極其豐富， 尤其隨著大量社交型網絡應用的出現， 用戶將個人網絡行為帶入辦公場所，由此引發各種管理和安全問題。識別是管理的基礎， 全面的應用識別幫助管理員透徹了解網絡應用現狀和用戶行為，保障管理效果。AC 多種應用識別技術，全面識別各種應用，進而有效管控和審計。主要包括：邲 URL 識別：AC 內置千萬級 URL

21、庫、 支持基于關鍵字管控、 網頁智能分析系統 IWAS從容應對互聯網上數以萬億的網頁、 SSL 內容識別技術。 AC 除了內置的上百種 URL類別以外，管理員還可以自定義 URL 分組，分組默認可以到 500 組，特殊場景可以擴容到更多組。根據組織內部特殊需求，將一些指定的 URL 劃分到一個 URL 分組下， 此時， 各種權限策略就可以引用這個 URL 分組來做控制， 滿足精細化的 URL控制需求，讓企業內網管理更加靈活高效，更加滿足“權限最小化”的管理原則。醾 應用規則識別庫：AC 擁有國內更大的應用識別庫，該庫由深信服應用規則研發團隊定期維護，保證庫處于最新狀態；該庫支持 2000 種以

22、上網絡主流應用，4500條以上規則 能識別 125 種以上 IM、 66 種以上 P2P/P2P 流媒體、 252 種以上游戲、 30種以上 OA、16 種以上網銀、50 種以上金融行情軟件、45 種以上金融交易軟件、 13 種木馬、 30 種以上代理軟件和 590 種以上移動 APP， 涵蓋主流的網絡應用；& 文件類型識別：識別并過濾 HTTP、FTP、mail 方式上傳下載的文件，即使刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳，AC 同樣能識別和報警；a& 深度內容檢測：IM 聊天、在線炒股、網絡游戲、在線流媒體、P2P 應用、Email、常用 TCP/IP 協議等，基于數據包特征精細

23、化識別，且支持管理員自行定義新規則，以及深信服科技及時更新和快速響應；鋮 智能識別：種類泛濫的 P2P 行為，靜態“應用識別規則”已經捉襟見肘，通過 P2P智能識別技術， 識別出不常見、 未來可能出現的 P2P 行為， 進而封堵、 流控和審計。通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等AC 都能幫助組織實現對上網行為的封堵、流控、審計等管理。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有162.3.1.2上網策略對象化AC 支持完美映射組織的行政結構，管理員可依據組織結構添加管理策略。上網策略對象化，同一條上網策略可被多個用戶/用戶組復用，

24、同一用戶/用戶組可關聯使用多條策略，實現策略和用戶/用戶組的雙向關聯，方便管理員調整。上網策略不僅僅支持生效時間調整、生效用戶/用戶組、應用類型限制，支持模板形式復制，更支持策略有效期，管理員可手動設定策略的過期時間，逾期自動失效，有效實現策略的回收管理。此外，AC 支持將策略的查看、編輯權限分配給指定管理員，實現策略的分級管理。2.3.1.3靈活的授權AC 支持基于生效時間、用戶/用戶組、應用類型、位置、終端類型、SSID 的授權，幫助組織實現上網權限與工作職責的匹配， 防止越權訪問與泄密風險， 一方面管控與業務無關的上網行為，提升員工工作效率，一方面過濾不良信息、阻止異常行為，防止法律與泄

25、密風險。AC 更兼顧了管理與人性化的需求，對于某些不便添加權限控制策略的部門或者是企業文化較為寬松的組織，AC 提供了“智能提醒”功能，管理員可設定允許特定用戶使用指定應用的時長、流速，一旦用戶使用指定應用的時長、速度超限后，AC 自動彈出提醒窗口，提醒用戶注意違規行為，敦促用戶自覺規范，達到促進自我管理的目的，減少管理帶來的摩擦。2.3.1.4應用標簽化基于應用的權限劃分是企業員工上網行為不可忽視的一個重要管理需求， 深信服在走訪大量客戶的時候了解到，很多網管在針對應用配置權限的時候體驗非常不好，比如：公司要求對所有具有“安全風險”的應用做封堵以保障內網安全，此時網管需要從 2000 多種應

26、用當中挑選出具有“安全風險”屬性的應用，工作繁瑣單調且容易出現紕漏。深信服 AC 給 2000 多種應用打上標簽，標簽根據客戶需求劃分為： “安全風險” 、 “發送電子郵件” 、 “高帶寬消耗” 、 “降低工作效率” 、 “論壇和微博發帖” 、 “外發文件泄密風險”等大類。網管只用根據需求針對這六大類標簽應用配置策略即可，不僅節省時間、還更加準確。不僅如此，網管人員還可以根據實際個性化的管理需求，給應用打上“自定義標簽” ，以此來對這些自定義的標簽應用做權限劃分， 滿足更多個性化的需求場景，讓權限劃分更加靈活。深信服 AC 上網行為管理 白皮書文檔密級：公開2.3.2 Web 應用控制2.3.

27、2.1 URL 訪問控制網頁瀏覽是員工主要互聯網行為之一， 尤其隨著大量社交型網站的出現， 用戶將個人網絡行為帶入辦公場所，由此引發各種管理與安全問題。在 URL 過濾方面，AC 采用“靜態 URL 庫+云系統”的識別體系。首先，AC 內置千萬級預分類 URL 地址庫，該庫由深信服 URL 研發小組專人負責維護，收集新增網頁并經由人工審核分類，包含互聯網上數十種分類站點，覆蓋了 95%以上用戶訪問量較高的網址。其次，互聯網網頁容量爆炸性增長，Google 聲稱互聯網獨立網址超過一萬億個，如微博等新的網址每天層出不窮，靜態 URL 庫不足以有效應對。因此，AC 支持基于內容關鍵字的過濾手段， 可

28、基于管理員指定的多關鍵字過濾用戶搜索行為、 網頁訪問行為、 發帖行為等。提供了人工智能的網頁智能分析系統（Intelligent Webpage Analysis System, IWAS）能夠根據已知網址、正文內容、關鍵字、代碼特征等對網進行學習和智能分類，真正幫助組織完善網頁訪問行為的管理。再次，互聯網上數萬臺 AC 組成了一個龐大的云網絡，自動收集上報新增的、不在 URL庫中的網頁，經深信服 URL 研發小組復核后，加入 URL 庫中。以上三重識別體系保證了 AC 設備的 URL 識別率，保障了管理員實施 URL 控制策略的有效性。2.3.2.2 SSL 內容管理SSL (Secure

29、Socket Layer協議，被廣泛地用于 Web 瀏覽器與服務器之間的身份認證和加密數據傳輸， 利用數據加密技術， 可確保數據在網絡上之傳輸過程中不會被截取及竊聽。正因為如此，一方面，越來越多的網頁使用 SSL 加密，如 Google 搜索、Gmail、QQ 郵箱、bbs 甚至賭博網站，而因為采用了加密技術，普通的管理產品無法對其內容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過 SSL 加密郵件、BBS、論壇發布的反動言論或者是向外發送組織的機密信息，導致管理漏洞；另一方面，互聯網上存在大量偽造的網上銀行、網上購物頁面，此類網頁利用了網銀、網上購物等普遍采用第三方權威機構頒發的

30、數字證書以實現 SSL 加密的特性，偽造虛假證書以騙取用戶信任，警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息，導致直接或間接的經濟損失。AC 可以對 SSL 網站提供的數字證書進行深度驗證，包括該證書的根頒發機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發機構數字證書的釣魚網站蒙騙用戶，此功能亦應用于過濾 SSL 加密的色情、反動站點，證券炒股站點等。深信服科技版權所有17深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有18此外，AC 擁有專利技術“基于網關、網橋防范網絡釣魚網站的方法” （專利號ZL200710072997.1）具

31、有對 SSL 加密內容的完全管控能力，支持識別、管控、審計經由SSL 加密的內容，如支持基于關鍵字過濾 SSL 加密的搜索行為、發帖行為、網頁瀏覽行為，審計 SSL 加密行為如郵件發送行為，為組織打造堅固無漏洞的管理。2.3.3 代理翻墻共享控制許多組織統一采用 Microsoft ISA、CCproxy、Sygate 等代理服務器上網，也有的組織明文規定禁止內網用戶私用代理上網， 但仍有用戶將瀏覽器等應用配置公網服務器、 私裝代理軟件代理他人上網，甚至使用自由門、無界瀏覽器、IPN 等加密代理行為。由于防火墻等設備對內網用戶的管理是基于目的地址和端口的， 無法有效區分正常上網的流量和通過代理

32、服務器上網的員工流量。對于如上情況，AC 的深度內容檢測技術能有效識別用戶數據中包含的代理上網流量，通過代理識別模塊可以識別從用戶端發送到達代理服務器之間的應用數據和幾個用戶間的共享上網行為，進而對用戶的違規行為進行管控和記錄。2.3.4 文件傳輸控制利用網絡來進行文件傳輸是許多用戶每天的必修課， 而在文件傳輸過程中存在種種管理和安全隱患， 如用戶通過不可信的下載源下載了帶毒文件、 在文件打包外發過程中不慎夾帶了涉密文件、 終端因為中毒或被黑客控制主動發起外發文件行為而用戶對此茫然無知， 有意泄密者甚至會將外發文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過 HTTP、FTP、Email

33、 附件等形式外發。AC 支持管控文件外發行為， 基于關鍵字、 文件類型控制上傳/下載行為， 封堵 QQ/MSN等 IM 傳文件，允許使用 webmail 收郵件而禁止發送郵件等。其中，僅僅實現對外發文件的審計和記錄顯然無法挽回泄密已經給組織造成的損失， 單純的基于文件擴展名過濾外發文件、外發 Email 也無法應對以上風險。鑒于此 AC 的文件類型深度識別技術能基于特征能夠識別文件類型， 即便存在修改、 刪除外發文件后綴名， 或者加密、 壓縮文件文件外發的行為，AC 也能發現并且告警，保護組織的信息資產安全。2.3.5 郵件收發控制Email 不僅是組織重要的溝通方式之一，同時也是最常見的泄密

34、方式。AC 支持基于關鍵字、收發地址、附件類型/個數/大小過濾外發郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為 Email 附件外發，試圖躲過攔截與審查的行為，AC 能夠識別并進行報警。 同時， 對于所有收發的 webmail、 Email 郵件 AC 都可以全面記錄并完整還原原郵件，深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有19并通過數據中心方便管理員對郵件日志進行查詢、審計、報表統計等操作。2.4 帶寬管理2.4.1 流量可視化帶寬有限，應用無限組織不斷地擴展互聯網出口帶寬，但仍然感覺不充裕，一旦內網存在網絡行為不規范、濫用帶寬資源的用戶，IT 管理

35、員的工作就會飽受抱怨：網絡太慢、業務系統訪問遲緩、頁面遲遲打不開、郵件發送緩慢等。對此，AC 為 IT 管理員提供了網絡流量可視化方案，登陸 AC 控制臺后，管理員可以查看出口流量曲線圖、當前流量 TOP N 應用、用戶流量排名、當前網絡異常狀況（包括 DOS攻擊、ARP 欺騙等）等信息，直觀了解當前網絡運行狀況。此外，數據中心（Network Database Center，NDC）對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量 TOP N 用戶、TOP N 應用等，并自動形成報表文檔，定時發送到指定郵箱，讓 IT 管理員輕松掌控用戶網絡行為

36、分布和帶寬資源使用等情況， 了解流控策略效果，為帶寬管理的決策提供準確依據。2.4.2 流量管理當您了解了帶寬的使用情況，并對帶寬進行優化和分配后，我們即將對用戶(組)的上網行為做進一步的管理和控制。2.4.2.1多線路復用和智能選路很多組織擁有電信、 網通等兩條以上互聯網出口鏈路， 如何同時復用多條鏈路并做到流量的負載均衡與智能分擔？通過 AC 特有的多線路復用及帶寬疊加技術，AC 復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術（專利號：ZL200610061591.9） ，AC 將出網流量自動匹配最佳出口。2.4.2.2基于用戶/終端類型/應用/位置/網站

37、類型/文件類型的智能流量管理有限的帶寬資源如何分配給不同部門/用戶、不同應用、不同的終端和不同的業務，如何保障核心用戶核心業務帶寬，限制網絡殺手如 BT 迅雷等等占用資源？AC 可以基于不同用戶(組)、出口鏈路、應用類型、終端類型、位置、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。從而保證領導視頻會議的帶寬而限制員工 P2P 的帶寬、保證市場部訪問行業網站的帶寬而限制研發部訪問新聞類網站的帶寬、保證設計部傳輸 CAD深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有20文件的帶寬而限制營銷部傳輸 RMVB 文件的帶寬。精細智能的流量管理既防止帶寬濫用，提升帶寬

38、使用效率。2.4.2.3 多級父子通道嵌套技術AC 采用“基于隊列的流控技術” ，即建立管道，將不同的控制對象分配到不同的管道里。 該技術的好處是控制靈活， 大通道中可以多層嵌套小管道， 分別基于不同的用戶、 時間、應用協議、網站類型、文件類型、終端類型、位置等對象建立不同的通道，同時小管道繼承大通道的屬性，對于結構復雜又希望實現差異化控制的組織來說可以做到為精確的控制。2.4.2.4 動態帶寬分配組織管理員往往既希望在網絡應用高峰期保障核心用戶、 核心業務帶寬， 限制無關應用占用資源，又希望在帶寬空閑時實現資源的充分利用。為此，AC 支持帶寬的“自由競爭”與“動態分配” ，除了基于父子通道進

39、行流量控制之外，還可以根據整體帶寬的利用率進行動態調整，上浮“限制通道”的最大帶寬值，避免帶寬浪費，實現價值。2.4.2.5 P2P 的智能識別與靈活控制通過封 IP、 端口等管控“帶寬殺手”P2P 應用的方式極不徹底。 加密 P2P、 不常見 P2P、新 P2P 工具等讓眾多 P2P 管理手段束手無策。AC 憑借 P2P 智能識別技術，不僅有效識別和管控常用 P2P、加密 P2P，對不常見和未來將出現的 P2P 亦能管控。區別于傳統的基于緩存丟包的流控方式， P2P 智能識別技術能夠有效的從源端抑制 P2P流量，釋放外網鏈路帶寬，保障核心業務的應用帶寬。對于某些企業文化較為寬松的組織，完全封

40、堵 P2P 可能實施困難， AC 的 P2P 流量控制技術能限制指定用戶的 P2P 所占用的帶寬，既允許指定用戶使用 P2P，又不會濫用帶寬，充分滿足管理的靈活性。2.4.2.6 流控黑名單網絡管理過程中，令管理員頭疼的往往不是技術問題，而是人際關系問題。很多與業務無關的應用（如迅雷下載等）不能直接封堵：封堵會造成內部矛盾；不封堵又會影響核心業務。深信服 AC 根據用戶需求，推出流控黑名單功能。流控黑名單是一種懲罰機制，AC 可以提供基于應用的流量、流速、時長的配額限制，當用戶被限額的應用超過了配額，那么該用戶的這些應用將被強制加入到低速流控懲罰通道當中， 限制用戶的這些應用的流量到一個深信服

41、 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有21較低的帶寬進行懲罰。流控黑名單功能，讓策略靈活，讓管理更加人性化。2.5 行為審計2.5.1日志記錄近年來， 一方面隨著國家為了凈化互聯網環境， 逐步建立對互聯網行業發展的市場規范，監管力度不斷增強，另一方面，組織出于自身信息安全保護的需求如防止信息資產泄密、預防輿論風險、保留安全事件的相關證據，以及管理上的要求，如考核員工的網絡工作效率、分析網絡應用情況、提供管理依據等，對于行為記錄方案的需求日益明確。內網用戶的所有上網行為 AC 都能夠記錄以滿足公安部 82 號令的要求。AC 可針對不同用戶(組)進行差異化的行為記錄和審計，包

42、括網頁訪問行為、網絡發帖、郵件 Email、IM聊天內容、文件傳輸、游戲行為、炒股行為、在線影音、P2P 下載等行為，并且包含該行為的詳細信息等。近年來信息防泄密方案備受組織管理員關注， 內網員工無意或有意將組織機密信息泄露到互聯網甚至競爭對手，或向論壇 BBS 發布不負責的言論、網絡造謠等，將給組織帶來泄密和法律風險。AC 不僅能基于關鍵字過濾、記錄員工通過 Mail（包括 Webmail） 、BBS、Blog、QQ 空間等發布的網絡言論，還支持實時報警功能。對于使用 HTTP、FTP、mail 等方式傳送文件所引發的風險（如將研發部的核心代碼發送出去） ，首先 AC 可以禁止用戶使用 HT

43、TP、FTP 上傳下載指定類型的文件，對于上傳的文件 AC 也可以全面記錄文件內容，做到有據可查。而外發 Email 潛在的泄密風險通過 AC的郵件延遲審計（Postponed Sending after Audit , PSA）技術，根據管理員預設條件，將潛在的泄密郵件先攔截，經人工審核后再發送，保障組織信息資產安全。但存心的泄密者通常會更改文件后綴名、刪除后綴名、壓縮、加密等，再通過 Email 外發、或通過 HTTP、FTP 上傳，AC 對以上行為同樣可以識別并及時報警。在移動互聯網的興起下，移動 APP 的使用已經越來越普遍，因此，公共社交類移動應用將成為發布不實言論、造謠誹謗等的重災

44、區。AC 緊隨時代步伐，針對移動端的新聞評論類（騰訊新聞、網易新聞、新浪新聞等） 、微博（新浪微博等） 、論壇類（百度貼吧、天涯社區、新浪論壇、搜狐社區等）APP 進行內容審計，保護移動互聯網時代的網絡內容安全。2.5.2報表分析大型組織可能在短短 60 天就產生數百 G 行為日志， 僅僅實現日志的海量審計尚不足以幫助組織管理員透徹了解網絡狀況，而通過 AC 獨立數據中心豐富報表工具，管理員可以根據組織的現實情況和關注點定制、定期導出所需報表，形成網絡調整依據、組織網絡資源使用情況報告、員工工作情況報告，等。報表工具主要包括：深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有2

45、2首頁 dashboard 功能，提供 20 張報表供客戶自定義選擇，通過首頁 dashboard給客戶展示整體數據，幫助客戶從整體上把握網絡現狀；支持可拖拽式自定義報表，管理員可輕松配置自己關注的內容作為報表的一部分，方便靈活選擇想要的數據內容；智能報表模板：管理員可手動設定基于行為特征的網絡概況報表、離職風險報表、工作效率報表等；深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有23搜索中心：網頁搜索、郵件搜索、IM 搜索、關鍵字搜索、論壇微博搜索等趨勢：流量趨勢、行為趨勢、IM 趨勢、郵件趨勢、炒股趨勢等；查詢工具：流量查詢、時間查詢、用戶行為查詢、網站分類查詢、單用戶行

46、為查詢、終端接入查詢、病毒日志查詢、安全日志查詢、操作日志查詢等；深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有242.5.3 日志與隱私的平衡對用戶網絡行為的記錄一直是一個頗有爭議的話題， 許多組織管理員對于部署行為記錄方案可能遭遇的管理阻力和輿論阻力表示擔憂， 主要來自“如何避免對關鍵人員（如組織高層領導）的過度記錄”、“如何實現對日志的保護和保密”、“如何控制對日志的訪問和查看權限”三方面，并希望方案提供商能給出合理的解決方法。對此，AC 正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計 Key”功能。在 AC 上為總裁等高層管理人員創建帳戶時使用 DKEY 認

47、證，并勾選“不審計此用戶的網絡應用”選項，為總裁生成“免審計 Key” ?？偛檬褂谩懊鈱徲?Key”認證后，AC 從底層免除對總裁的所有記錄。如果“非善意”人員私下取消 AC 的免審計選項，總裁再插入“免審計Key”后系統會自動彈出警告，且禁止總裁訪問網絡，徹底保障信息安全。而如何防止非授權人員訪問數據中心并窺探或惡意傳播他人上網行為日志， 甚至導致員工對 IT 管理員的誤解和埋怨？AC 的“數據中心認證 Key”技術，保證只有插入該 key 的管理員才能審計他人行為日志，否則將只能查看統計報表、趨勢圖線等，確保日志不被濫用。2.6 安全防護2.6.1終端安全網絡世界中安全事件數量急劇攀升，內

48、網中斷、不穩定將直接影響用戶的上網行為，所以需要 AC 保證網關自身安全，并強化內網可靠性、可用性。2.6.1.1 防火墻AC 內置基于狀態檢測技術的企業級防火墻， 對進出組織的數據包提供過濾和控制。 NAT（Network Address Translation）功能，代理內網員工上網和實現靜態端口映射。同時，能夠防御 DoS、ARP 等網絡攻擊。2.6.1.2 網關防病毒AC 的網關防病毒功能集成知名廠商的防病毒引擎（防病毒引擎每天自動升級） ，從源頭對 HTTP、FTP、SMTP、POP3 等協議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，gzip 等）中的病毒。2.6.1.3終

49、端安全級別檢測借助網絡準入規則專利技術 （專利號ZL200510037455.1） ， AC 將按照管理員要求檢查每深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有25位員工防病毒軟件安裝、運行、操作系統版本、補丁情況、注冊表鍵值、終端程序運行情況、終端目錄盤下文件情況等， 不滿足預設安全級別的終端將不允許訪問互聯網， 從而提升整個內網的可靠性和可用性。2.6.2 Web 訪問質量檢測上網速度快慢是 IT 部門重點關注的內容之一， 也是網絡業務正常運轉的直接影響因素，如何衡量用戶上網體驗，如何解決上網體驗差，一直是令很多網管頭疼的問題。AC 的 Web 訪問質量檢測功能，通過

50、檢測網絡中的下載速率、RTT 時延、TCP 數據重傳率、連接成功率、DNS 成功率、GET 請求成功率、連接 RST 計數、PPS 突發檢測等內容，以及行為管理設備的配置合理性檢查， 綜合各項參數進行建模， 提出整體網絡訪問質量評級，幫助網管從整體上把握網絡狀況。通過一些列的技術手段，AC 能夠檢測出網絡中，AC 內外側設備丟包和時延過大的問題、能夠檢測出 AC 外側防火墻是否有連接數限制、能夠檢測網路中的 DOS 攻擊、能夠發現終端用戶的 DNS 配置問題等等。通過這些問題的發現，AC能夠列出訪問質量差的用戶名單，并且指出故障排查方向及潛在問題原因。不僅如此，AC還能夠對訪問質量差的單用戶進

51、行定向檢查，并給出具體問題和解決問題建議。通過 web 訪問質量檢測功能的檢測、評級、排查建議等內容，能夠幫助網管整體把握網絡狀況，快速定位網絡問題并有針對性的進行排查，最終達到優化整體網絡，提高用戶體驗的目的。2.6.3 組織外線路檢測組織為了規范內網終端使用，避免敏感數據外泄，限制內網終端只能在內網使用，一旦接入外部網絡將產生告警。深信服 AC 通過組織外線路檢測技術，制定合法網關列表，一旦發現終端的網關地址不在合法網關列表內， 將向管理員發出告警信息，方便管理員發現非法外聯行為并迅速響應。2.6.4移動終端管理隨著無線移動互聯網的迅速發展，智能手機、平板電腦等這些移動終端愈來愈流行，但由

52、于 iPad 等智能終端只能采用無線網絡來上網，有些員工出于便捷考慮可能自己在工位旁私自拉一些無線 AP，在公司通過無線 AP 到公司網絡出口，而且這些 AP 由于安全措施薄弱，極容易被外人破解，可能導致內網暴露，信息安全遭受威脅。深信服 AC 的“移動終端管理”功能，通過 HTTP 解析技術、系統檢測技術、移動應用識別技術等多項技術，能夠秒級識別移動終端，發現“非法 Wi-Fi 熱點” 。支持配置直接對“非法 Wi-Fi 熱點” 進行封堵或者發郵件給管理員進行告警等功能。 提醒管理員及時做出響深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有26應。不僅如此，對于合法 Wi-

53、Fi 熱點支持添加到信任列表，限制封堵非法用戶的同時，保證合法用戶正常使用網絡，業務不受影響。2.7 無線 AP 管理2.7.1 無線網絡和接入點管理移動互聯網呈爆發式增長， 其流量年增長率達 80%以上， 超過整個互聯網流量的 25%。這種趨勢說明用戶的使用習慣已經在向移動互聯網傾斜。 同時隨著移動終端的普及和無線網絡良好的用戶體驗，企業移動辦公也迅速發展起來，因此，無線網絡建設也越來越受到企業的重視。深信服 AC 開創性的提出“有線無線統一行為管理解決方案”不僅在傳統的有線網絡的管理中微創新，還集成無線控制器功能，直接管理 AP，一體化的管理無線網絡。讓有線和無線網絡管理起來毫不費力。深信

54、服 AC 能夠在管理界面上直接配置接入點的工作模式，支持 Normal、Monitor 和Hybrid 三種工作模式和國家碼信道；支持雙頻段；支持對網絡協議、信道帶寬、用戶上限、功率、終端速率限制等各種無線射頻的配置；支持信號強度和接入人數的負載均衡。深信服 AC 支持射頻智能調整，為企業提供更適合射頻參數。支持泛洪攻擊、欺騙攻擊等入侵檢測功能，同時，深信服 AC 還支持 Dos 攻擊防御功能和無線網絡間的用戶隔離，保障企業的無線網絡在開放的環境下不受安全威脅，為企業提供更加全面的安全防護。深信服 AC 提供統一的有線無線網絡的管理界面，直觀實時的看到接入點狀態、射頻狀態和無線網絡狀態，讓網絡

55、簡單易管理。2.7.2 無線認證網絡管理的第一步是身份認證， 只有識別出了用戶的身份才能根據身份來做權限劃分。 ，深信服 AC 提供三種無線安全類型：（1）開放式（2）WPA-PSK/WPA2-PSK（個人）和（3）WPA/WPA2(企業)不同的安全類型滿足企業不同的安全等級下的身份認證要求。在開放式和WPA-PSK/WPA2-PSK 類型下，支持給內部員工使用的密碼認證和給訪客使用的二維碼認證，滿足不同場景下不同角色的身份認證需求。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有272.7.3 無線系統維護深信服 AC 具備全面的無線系統維護功能， 提供多種日志類型的查詢，

56、 包括接入點日志、系統日志、安全日志、用戶認證日志等。針對無線的 20 多個模塊的日志可以區分信息、調試、告警、錯誤四個級別，保證日志的完整性的同時，能夠快速定位到需要查詢的日志。多維度、 全模塊的無線日志系統能夠幫助管理員快速定位問題，保證出現問題之后能夠有據可查，為解決問題提供全方位的線索。深信服 AC 不僅能夠提供事后被動的日志追溯， 還能夠為管理員提供事前主動發現問題的手段。AC 的接入點故障分析功能，管理員能夠主動掃描網絡內有問題的 AP，并且能夠針對故障 AP 直接配置它的參數。不僅如此，對于 AP 的軟件版本，深信服 AC 能夠直接從管理界面做批量升級，簡化管理和運維。第 3 章

57、深信服上網行為管理產品技術優勢3.1 SSL 內容識別與管理AC 擁 有 專 利 技 術 “ 基 于 網 關 、 網 橋 防 范 網 絡 釣 魚 網 站 的 方 法 ” （ 專 利 號ZL200710072997.1）具有對 SSL 加密內容的完全管控能力，支持識別、管控、審計經由SSL 加密的內容，如支持基于關鍵字過濾 SSL 加密的搜索行為、發帖行為、網頁瀏覽行為，審計 SSL 加密的網頁內容，為組織打造堅固無漏洞的管理。AC 不僅對加密網頁能夠做到內容識別與管理，對于加密的 web 郵件和客戶端郵件也能做到過濾與審計。 不管是 SSL 全加密的還是 TLS 半加密， AC 都能夠對 sm

58、tp、 pop3、 iamp等協議的郵件進行識別、過濾與審計。對于含有私有協議的特殊郵箱如：閃電郵，foxmail和 QQ 郵箱等，AC 也做了兼容處理，能夠做到和標準協議一樣的效果。通過全面對加密郵件的識別過濾與審計，AC 幫助客戶實現內網安全，為客戶提供全方位的內容防護，防止數據泄密，填補網絡管理漏洞。3.2 P2P 智能識別技術P2P（peer-to-peer）應用的興起直接導致 P2P 軟件及其版本的爆炸性增長，如何對P2P 行為進行全面有效的管控成為業界的難題之一?；?IP、端口、種子等封堵方式費時費力且達不到理想效果。AC 的深度內容檢測技術對常用 P2P 軟件進行識別；AC 的

59、 P2P 智能識別技術實現對加密 P2P、不常見和未來將出現的 P2P 的徹底識別，為管理員提供了全面、高效的 P2P 行為管控手段。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有28能夠全面識別 P2P 行為是進一步管控的基礎。對 P2P 的管控包括封堵和流控兩方面，既可全面禁止指定用戶使用 P2P 軟件，也可允許其使用但對 P2P 行為占用的帶寬資源進行限制和管理，從而既優化帶寬資源的使用，又為員工提供了人性化的管理方式。3.3 免審計 Key 功能總裁、高層領導網絡訪問行為，財務部收發的郵件等關乎組織機密信息，怎樣避免記錄此類用戶的網絡行為？業界多數方案是通過將敏感用

60、戶劃分到指定用戶組， 通過設備配置界面的勾選，避免對這些用戶網絡行為的審計。但如果“非善意”人員私下重新配置設備對敏感用戶又進行行為記錄，怎么辦？AC 正是考慮到用戶可能面臨的以上風險和威脅，推出了“免審計 Key”功能。在 AC 上為總裁等重要人員創建帳戶時使用 DKEY 認證，并勾選“啟用 DKEY 防監控”選項，為總裁生成“免審計 Key” ?？偛檬褂谩懊鈱徲?Key”認證后，AC 從底層免除對總裁的所有記錄。如果“非善意”人員私下取消 AC 配置界面上“啟用 DKEY 防監控”選項，總裁再插入 “免審計 Key” 后系統會自動彈出警告， 且禁止總裁訪問網絡， 徹底保障信息安全。3.4

61、數據中心認證 key員工、領導的上網行為日志已經通過 AC 數據中心實現海量存儲，但如何鑒別訪問數據中心的管理員的身份， 避免行為日志被濫用 （如員工的 MSN 聊天內容被傳播、 領導的 Email內容被張貼到互聯網上等）而產生的個人隱私侵犯、機密日志泄漏等問題，是組織 IT 管理者和內網員工普遍關心的問題之一。SANGFOR AC 管理員分級管理功能可實現 A 管理員登錄數據中心后只能審計、 查看 A用戶組的行為日志，同時配發啟用數據中心認證 Key 功能后，如果沒有該“數據中心認證Key” ，A 管理員登錄數據中心后只能查看統計、趨勢等概要信息，只有插入“數據中心認證 Key”后 A 管理

62、員才能審計、查詢 A 用戶組的 MSN 聊天內容、Email 正文等詳細日志信息。 通過將該 “數據中心認證 Key” 鎖入領導抽屜將實現行為日志審計查詢權限的嚴格控制。3.5 異常流量感知隨用戶互聯網訪問、 移動存儲設備的使用、以及局域網內其他終端的感染導致用戶終端設備往往存在木馬、間諜軟件、遠程控制軟件等威脅。此類惡意軟件為了藏匿自己的行蹤往往通過常用的 TCP 80、443、25、110 等端口與互聯網控制端交互數據，這使得組織的信息安全、資產安全、網絡安全等無法保障。SANGFOR AC 的異常流量感知技術正是對于以上異常流量行為進行識別并報警，幫助 IT 管理者主動發現組織內網潛藏的

63、安全威脅，提升組織內網可靠性和可用性。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有293.6 IPv6 全流量支持隨著 IPv4 資源耗盡，其的局限性越來越突出，在政府、教育、國外很多場景下都要求IPv6 的全流量支持。深信服 AC 能夠完整支持 IPv4/IPv6 混合流量、全 IPv6 流量的部署環境：從認證模塊的本地認證或與其他認證系統單點登錄，到應用識別模塊的 IPv6 應用的識別與控制， 在到流量控制模塊的完整支持，最后到所有上網行為的內容審計以及日志中心的日志查詢和報表，都能夠毫不費力的支持 IPv6 環境。第 4 章 深信服上網行為管理產品資質4.1 市場占

64、有率第一來自 IDC 發布的 2012 下半年中國安全市場研究報告表明，作為 2008-2012 年成長最快的安全硬件市場之一，中國安全內容管理硬件市場并未讓人失望，在該市場中，更受用戶歡迎的不是傳統的病毒防御功能，而是 Web 過濾和 Message 安全。在安全內容管理硬件市場中，有超過17家主流安全廠商可以提供該產品，排在第一位是深信服，市場占比為41.4%，為第二位廠商的兩倍以上。4.2 深信服上網行為管理產品資質中國信息安全產品測評認證中心產品型號證書公安部信息安全產品檢測中心檢驗報告公安部信息安全產品檢測中心互聯網公共上網服務場所信息安全管理系統檢測報告公安部公共信息網絡安全監察局

65、計算機信息系統安全專用產品銷售許可證國家保密局涉密信息系統安全保密測評中心涉密信息系統 產品檢測證書國家保密局涉密信息系統安全保密測評中心檢測報告第 5 章關于深信服科技深圳市深信服科技股份有限公司成立于 2000 年，是專注于網絡安全與云計算領域，致力于為用戶提供更簡單、更安全、更有價值的創新 IT 解決方案服務商。目前，深信服在全球共設有 55 個直屬分支機構，其中包括香港、新加坡、馬來西亞、印尼、泰國、英國和美國等七個國際直屬辦事處和分公司，員工規模將近 3000 名。深信服 AC 上網行為管理 白皮書文檔密級：公開深信服科技版權所有30隨著企業規模的擴大發展， 深信服也獲得了多方認可。

66、 先后獲得了 “CMMI5 國際認證” 、“第一批國家高新技術企業” 、 “國家規劃布局內重點軟件企業” “亞太地區德勤高科技高成長 500 強”等殊榮。同時，深信服還是 IPSec VPN 和 SSL VPN 兩項國家標準的主要承建單位、并受邀參與制定第二代防火墻標準 。在行業合作上，深信服是互聯網應急中心應急服務支撐單位、國家信息安全漏洞共享平臺 CNVD 成員單位、中國國家信息安全漏洞庫CNNVD 技術支撐單位和公共漏洞和暴露組織 CVE 認證合作單位。目前，全球有近 40,000 家用戶正在使用深信服的產品。其中，在中國入選世界 500 強的企業有 80%的企業都是深信服的用戶。同時，

67、憑借優秀的產品表現，深信服多款產品入圍了包括國家稅務總局、國家電網、建設銀行、工商銀行、中國移動和中國電信在內的各行業集采，各款產品均得到了廣泛應用。時刻走在行業前沿，深信服始終保持著創新能力多年來，深信服持續將年收入的 20%投入到研發，并在深圳、北京、長沙和硅谷設立了研發中心，研發人員比例達到 40%。在對創新發展的持續投入下，深信服一直保持著每1-2 年推出一款新產品、每季度更新 1 個新版本的研發速度。截至 2016 年 6 月，深信服共申請超過 400 項國內發明專利以及 20 項美國專利。 此外， 深信服是推出了全球第一臺 IPSecVPN 和 SSL VPN 二合一 VPN，中國

68、第一臺上網行為管理和第一臺下一代防火墻的廠商。持續優化產品和服務，深信服快速響應市場需求深信服研發人員每月都會進行例行的客戶拜訪以收集產品需求，每年都能收到超過1000 條有效需求，并在研發工作中將其迅速轉化為產品新版本。同時，深信服在深圳、長沙、 吉隆坡三地設有超過 100 坐席的 CTI 中心， 提供 7*24 小時的電話咨詢和遠程調試服務。在全國范圍內，深信服在 49 個城市設立了備品備件庫，配有原廠工程師第一時間提供技術支持。進入的每一個細分市場，深信服都會努力成為 No.1深信服的硬件 VPN、SSL VPN、上網行為管理、廣域網優化等多款產品保持在市場占有率第一位；應用交付產品市場排名第二、也是排名第一的國產品牌。目前，深信服 SSLVPN、上網行為管理、下一代防火墻、廣域網優化、應用交付、服務器虛擬化基礎架構 6款產品均入圍了 Gartner 魔力象限，獲得國際認可。