加强网络安全的防范措施(2)

　　当然，以上技术手段的应用，往往需要组织购买不同的IT设备：比如“一、提升边界防御”和“四、垃圾邮件过滤”需要购买相应的网关杀毒设备和防垃圾邮件设备，而“二、上网终端管理”则需要部署相应的客户端安全软件，“五、优化带宽资源”目前有一些专门做流量控制的厂商能够提供，如F5、Packeteer，但往往费用很贵，“七、外发信息审计”则涉及到一些监控审计设备;而“三、有害内容过滤”、“六、全面应用管理”、“八、应用权限设置”由于是新兴领域，目前还基本没有专门的厂商涉足。

　　购买这些不同的IT设备，一方面动辄几十万甚至上百万的费用投入对于大部分的用户来说都是难以接受的，另一方面由于这些设备分别来自不同厂商，管理界面各异，对IT维护和管理也是个巨大的挑战和难题。

　　那么，有没有这样的一种解决方案，把以上8种技术手段都融入到一个设备里面，从而便捷灵活的实现对整个局域网上网行为的有效管理呢?我们很高兴的看到国内近几年快速成长的网络安全及边界网络方案供应商深信服科技提供了这样一种解决方案——SINFOR AC上网行为管理设备。该设备包含“访问控制、带宽流量管理、内监控、安全审计、外发信息管理及数据中心管理软件”多个模块功能，并拥有“邮件延迟审计”、“网络客户端准入”、“P2P流量控制”等多项专利技术，此外，它还灵活的集成了“防火墙”、“网关杀毒”、“防垃圾邮件”等UTM安全模块，客户可以根据自己的网络环境和实际需求灵活选择是否开启，有效弥补了防火墙等传统安全设备重外不重内、对上网行为缺乏有效管理的不足。

　　在提升边界防御和有害内容过滤方面，深信服AC设备内置了网关杀毒的模块，同时针对病毒的来源和传播途径，AC上网行为管理设备还可以很好的配合客户原有的杀毒软件实现“治标治本”的效果。AC网关里面的URL过滤功能，可以对常见的非法网址/非法BBS论坛直接实现过滤，AC网关提供的对HTTP/FTP下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播。尤其值得一提的是AC里面的SSL控制功能，可控制用户通过SSL协议访问的URL，并可对SSL协议的证书做有效性检查，允许或拒绝用户访问持有指定X.509证书的网站，大大降低了用户被伪造的网上银行、购物网站欺骗的几率，避免用户陷入“网络钓鱼”陷阱。

　　在上网终端安全管理方面，深信服AC上网行为管理设备提供了一个“客户端准入规则”(Network Admission Rules，NAR)认证的功能，可以通过对客户端安全性的评估来实现网络访问控制，更好的维护网络安全防线。当启用了AC的NAR功能后，内网用户第一次发起互联网连接请求时，NAR将动态分发准入代理(Sinfor Ingress Agent，SIA)至客户端主机。SIA是轻量级软机代理，用于确定终端是否遵从管理员设定的安全策略，SIA可检查预定义的和可定制的标准，比如该PC终端有没有打最新的操作系统补丁、有没有安装杀毒软件、杀毒软件有没有升级到最新版本。当SIA将搜集到的客户端信息传回AC网关后，如果该PC终端的安全状态不符合SIA的规则设置，AC网关将对该用户执行预定义的策略，比如直接禁止上网或弹出警告，从而有效避免某些员工因为忙碌或者偷懒而不安装杀毒软件和打补丁，或者虽然安装了杀毒软件但没有做及时升级而引发的病毒事件。

　　在用户身份认证、应用权限设置和外发信息审计方面，深信服AC网关采用了严格的身份认证和不同的访问权限策略，并可根据不同的时间段做灵活的时间管理，具有URL过滤、关键字过滤、上传下载限制、深度内容检测、邮件过滤功能和独特的邮件延迟审计功能等众多功能，从而方便组织和企业把与工作无关的上网行为降到最低，让员工更专注于工作，提高工作效率，并在技术措施上配合制度管理杜绝了内部机密可能通过Internet泄漏的隐患。

　　在优化带宽资源方面，AC设备网关除了提供智能QOS，还为用户展现了强大的流量控制功能，可以对内网用户组或终端进行流量控制，使得组织的网络带宽得到最充分有效地利用。

　　此外，深信服AC网关丰富的数据报表中心还能支持以图表的方式对局域网内人员的上网行为进行分析和归纳，如：每天上网情况的分析、访问最频繁的网站分析、应用和流量排名等，并提供时间、服务、网站访问、使用网络流量等多种分类排行榜，为网络管理员和决策者提供了最直观的数据统计。