第1章   应用背景

随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP协议本身弱点的***转向针对特定系统和应用漏洞的***和***。回顾2004年以来，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与***病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行***与***行为，给全球企业造成了巨大的损失。据统计，仅2005年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

与此同时，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。

此时，传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server等数据库的***，这些***和***手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类***。另外，基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失，层出不穷的即时消息和P2P应用（例如MSN、QQ、BT等）给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时，已经不能满足客户的安全需求。

针对用户互联网访问行为的管控与审计，美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上,做到有据可查。

第2章   问题分析

面对上述问题，以下几个问题是需要迫切需要解决的:

1.需要得知到底内网有些哪些应用导致内网安全漏洞，或是内网哪些用户终端会成为内网安全短板；

2.全面细致的应用流量识别规则，对安全风险流量能够细致识别；

3.有效的风险流量阻断或是隔离方法，把安全危险拒绝在网络之外；

4.贯彻实施统一合理的IT管理政策，防范内网安全短板带来的安全风险。

第3章   风险流量识别

3.1       URL访问行为

面对海量的URL地址，哪些是业务相关网站，哪些是业务无关网站，有些网站中存在安全风险。

识别https网站，目前大量的钓鱼网站等病毒网站泛滥。

3.2       互联网应用类型识别

上网行为管理设备对互联网的应用访问控制主要包括以下几个方面。

通过内置了的应用协议规则，对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别，而不是基于传统IP、端口识别。

3.3       危险流量识别

识别反弹端口型***，通过http协议封装的非80端口应用数据，网银大盗，端口扫描垃圾邮件等存在安全隐患的数据流量。

第4章   防泄密解决办法

通过上面的分析我们得知内网目前存在的各种各样的问题会导致的安全隐患？那么我们如何来解决这些问题，任何的上网行为的管理和控制策略都必须要基于用户或是用户组来施行，只有很好的对人员进行认证和区分才能很好的保障上网行为管理策略的成功实施，另一方面，我们需要对应用进行细致全面的识别，只有合理的识别应用类型，进行细致的归类和区分，才能保障我们的上网行为管理的效果，并对相应的应用行为进行细致全面的管控，对存在安全隐患的数据做到有效地阻止。

SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个安全的内网使用环境，保障用户组织的相关的机密信息的安全。

4.1       细致的访问控制功能，有效管理用户上网

SANGFOR AC安全网关可以详细记录和分析所有流量的内容，使用更新的不良网站列表阻隔对×××、病毒、钓鱼网站的访问，提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略；对HTTP、FTP文件上传、下载类型和大小进行控制，也能对QQ、MSN等P2P软件的文件传送进行拦截；能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，从而进行阻断。

4.2       防DOS***功能，有效防御内外网的DOS***

DOS***（拒绝服务***）给企业带来的损失是巨大的，通常的防火墙只能防止来自外网的DOS***，而无法防御来自企业内部发起的DOS***。SANGFOR AC 安全网关不仅可以防御来自外网的DOS***，而且对于内网用户发起的DOS***，AC 安全网关也可以进行防御。通过AC 安全网关丰富的日志系统，管理员可以根据内网DOS***日志，查找出企业内网中了***、或者病毒的用户，从而及时有效地阻断由内网发起的DOS***，避免DOS***造成的企业网络带宽耗尽，或者因发起DOS***可能产生的法律纠纷。

4.3       IPS系统，保证网络免受***

IPS，即***防御系统(Intrusion Prevention System)，是抵制外部网络威胁最有效的安全防范技术。SANGFOR AC网关内置的IPS系统已有3000多种***特征库，数据库支持在线自动更新。由于采用了特征匹配、协议分析和异常行为检测等多项技术，SANGFOR AC网关的IPS系统能够对所有数据进行实时检测。对于可疑***行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。同时，SANGFOR AC网关可设置为只针对符合指定的IP、协议和端口等相应条件的数据流开启IPS功能，降低了AC网关开启IPS所带来的性能损耗，提高了IPS防御精准度。

4.4       高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全

网络杀毒：深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块，杀毒速度达到50Mb/s，远远超过大多数杀毒厂商的网络杀毒速度，也超过一般用户的Internet带宽。该病毒引擎获得国际权威机构VB 100%的认证，不仅可以查杀普通病毒，还可以检查出各种压缩包(zip，rar，gzip等)内部隐藏的病毒。病毒库每天在线升级，保护内网的所有用户免受病毒困扰。

防垃圾邮件：防垃圾邮件功能采用关键字、黑白名单、指纹识别、反向侦测SMTP服务器等多种过滤手段，大大提高了垃圾邮件的识别率、减少误判率。同样，垃圾邮件库也可以在线更新，并且支持用户自己添加垃圾邮件规则。管理员可灵活的设置对病毒或垃圾邮件是立刻删除，还是打包后发给用户提醒邮件。对放置在DMZ区的邮件服务器等应用级系统，也可以得到该网关的妥善保护。

4.5       危险流量识别和外发文件告警

危险行为识别及管控

防止内网用户利用病毒***进行的网络违法行为，对内网的垃圾邮件进行有效的过滤

外发文件告警

存心的泄密者往往会将外发文件的后缀名修改/删除，或者加密/压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失，单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此SANGFOR AC的外发文件深度识别技术基于文件特征能够识别超过一千种以上的文件类型，基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为，保护组织的信息资产安全。

4.6       统一的IT政策

SANGFOR AC还集成了深信服“网络访问准入规则”的专利技术，可以保证只有实施了完备的安全措施的PC才能接入Internet，大大减少了用户侧***和钓鱼软件泄漏用户重要信息的风险。可以基于用户的进程，硬盘文件，操作系统版本,注册表，杀毒软件等众多因数保障内网安全短板被隔离在网络之外。

4.7       细致全面的日志记录信息

记录员工网络行为，不仅满足公安部82号令等法律要求，又做到了有据可查。大型组织每天产生数G的日志数据，通过AC的外置数据中心实现了海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。对于危险行为和流量进行识别和报警，从而可以有据可查，查询危险流量源，制定相应的措施进行处理。