深信服AC系列产品技术优势

　　强大的功能源自技术的持续创新。在本文中，您将了解到AC的一系列深入用户需求的标杆性技术。

　　邮件延迟审计(PSA)

　　大多数的反垃圾邮件网关只能过滤“由外到内”的垃圾邮件，而对“从内到外”的

　　邮件则完全放行，由于内网发送的邮件（Outbound Mail）存在着泄密风险，一名员工可能会把公司的商业机密发送给竞争对手，一位客户经理也可能将一份公司苦心搜集来的客户名单发送给其他组织。同普通的反垃圾邮件网关过滤单向的接受邮件相比，我们更希望能够实现“外反垃圾、内防泄密”的双向邮件过滤。

　　AC集成的基于网关的邮件延迟审计技术（Postponed Sending after Audit, PSA）为企业级用户提供了邮件内容防护的可靠途径。PSA采用了邮件转移技术，内网用户发送的邮件会首先被AC网关转移至网关的邮件缓存区，邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件，那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的，邮件的发送过程和以往并没有任何不同。

图1

　　你还可以对PSA做细粒度的审核机制，例如需要进行邮件审核的发件人、收件人以及邮件的特征。

　　PSA提供对收件人和发件人名单的编辑。你可以对特定部门和特定员工启用审核功能，因为你的老板也许不希望自己的邮件行为受到他人监控。同样，你还能够对邮件的收件人进行黑白名单控制，如果你认为somebody@trust.com是一个可以值得信赖的收件人，那么所有发送到此地址的邮件将不会被PSA进行延迟处理；相反，如果 somebody@suspect.com是一个可疑的收件人，任何人发往此地址的邮件都将被转移到邮件缓存区以待审核。

　　而邮件特征的定义细致了PSA的对象定义粒度。你可以调整需审核邮件的正文和附件大小以及邮件的关键字特征，例如你可以设定一条规则，只有正文中含有“Code”而且正文和附件大小不低于10K的邮件才需被PSA审计。

图2

　　由于PSA涉及到人工的审核操作，所以邮件的延迟发送时间也是可控的，当有邮件进入缓存区等待审计时，AC将通过邮件等方式通知邮件审核人员，如果邮件审核人员在长时间没有登录审计，待审计邮件将被AC自动发出，避免重要邮件被延误。

　　网络准入规则(NAR)

　　AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。

　　NAR的设计意义在于三个方面。

　　首先，仅靠网络边缘的外围设备已经无法保证安全性。提供边界防御的安全网关无法保护内部网络段，也无法替代内容安全防护措施。即便组织的网络出口处运行着防火墙等网络周边安全设备，病毒和蠕虫、特洛伊木马、等基于内容的恶意行为仍频繁渗入组织内网。

　　其次，边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。同时，日益提高的安全过滤和控制要求，以及不断增加的带宽需要，也给网关性能带来很大压力。

　　最后，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此。使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都将成为局域网安全中的“短板”。

　　基于此，AC的NAR通过对端点安全评估和访问策略列表来实现全方位的安全防护。

　　当启用了AC的NAR功能后，内网用户第一次发起互联网连接请求时，NAR将动态分发准入代理（Sinfor Ingress Agent, SIA）至客户端主机。SIA是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略，SIA中可配置用于检查预定义的和可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当SIA将搜集到的客户端信息传回AC网关后，当内网用户的端点安全状态不符合SIA的规则设置时，AC将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程。

图3

　　如果你的一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络。这时我们就可以通过NAR将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网“隔离”，只有关闭掉恶意程序才能正常访问互联网，这会使内网用户的网络行为更规范。

　　而NAR提供的可定制的网络行为标准可以给网关管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，NAR可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系结为一体。

　　数据中心(NDC)

　　AC的数据中心（Network Data Center, NDC）提供了基于用户的最完整的互联网访问记录。

　　一个能够允许用户访问互联网的系统也必须及时关注用户对网络资源的使用情况。在出现滥用、误用、盗用的行为时，完整的统计信息是必不可少的。

　　通过使用NDC，组织的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态，NDC将网络使用情况自动生成报表并统计出网络访问的趋势，以帮助系统管理员更好的维护和管理网络。

图4

　　不同于其他内容安全设备的日志系统，NDC可提供更丰富和更具扩展性的互联网内容访问记录。

　　NDC可以根据组、用户、规则和协议进行多向查询，并可生成饼状图、柱状图和曲线图等方式，使内网日志一目了然。对于日志的统计对象，NDC提供了对流量、邮件、网络监控、准入规则（NAR）、IPS、防火墙、日志库、用户信息等9大对象的统计和查询。你可以了解局域网中发生的绝大多数网络行为，以便对内网进行更好的规划和管理。

图5

　　NDC系统是一个可移植的日志平台。大规模的局域网访问将产生大量的网络日志，一个PC数目以K(千)为单位的局域网，其一天内的互联网访问日志也将程指数倍增加。AC内置的NDC系统可以移植到专门的日志记录服务器中，这将给组织带来多种好处。

　　首先，将日志记录完全整合到网关中会影响网关的性能，尤其是大规模查询和统计将占用极高的系统资源；其次，由于国内大多数机构都需要遵守公安部在2006年3月1日颁布的82号文件，即需要利用信息安全技术保留3个月的网站访问日志，以便调查取证。而90天的日志对于网关内置的存储空间提出了挑战，对内网规模较大的用户， 9天的存储都将成为问题。NDC的可移植性使日志的存储不受网关硬件配置的限制，只要你有足够的硬盘，你可以使日志内容无限大。

　　NDC提供对日志记录的导出和在线打印，你可以把统计和查询结果打印成文本，使对内网情况的报告更加方便，也更便于日志的储存。

　　AC支持异地管理和维护，NDC同样也能够查询远程的网络情况。这对于有多个分支机构的组织来说极为方便，管理员可以在通过Web方式实时地了解不同分支机构的网络运行状况和网络行为日志，并将日志记录统一导出，形成整个组织的网络行为分析记录，进而制定出细化的、多层次的安全策略。

图6

　　单点登录技术(SSO)

　　值得肯定的是, AC产品线的开发人员将单点登录技术同认证机制结合在了一起，让通过域认证的用户可以更加方便的实现Web认证。

　　我们每个人都有一套密码字典，银行卡取款密码、信用卡查询密码，PC的登陆密码，办公自动化系统的密码，机密Word文档的密码。。。过多的密码带来了对员工记忆力的挑战，一个解决办法就是找出一张白纸把所有密码都记下来，然而这张白纸却可以轻易泄露你的一切。单点登录技术(Single Sign On, SSO)可以更好的解决这个问题。通过在AC的活动目录中配置单点登陆选项，当你的主机登陆到域中便自动通过了Web认证，而不需要重复输入用户名和密码。

　　同样，POP3的认证也实现了单点登录。构建了邮件服务器的用户都有一套邮件帐号，当AC把邮件服务器的帐号导入后，用户每次使用Web认证时只需要输入邮件的帐号即可访问互联网。另外，AC考虑了更人性化的措施。当内网用户使用Outlook、Foxmail等邮件客户端成功登录到邮件服务器后，他（她）将自动通过Web认证。

　　反钓鱼网站功能

　　中国金融认证中心近日发布的《2006中国网上银行调查报告》显示，虽然在过去的一年中国内网上银行快速发展，但有61％的受访者仍然不敢使用网上银行。安全问题仍然是非网银用户最担心的。据统计，网络钓鱼已经成为目前亚太地区（除日本外）银行业增长最快的非暴力犯罪行为之一。” 钓鱼者”通过制造出与网上银行、网上购物等网上交易页面极其相似的界面，使用户在毫不知情的情况下泄露出自己的账户信息（账号、密码），导致银行资金被“网络姜太公”轻易盗取。

　　网上银行采用数字证书的加密方式来保障用户的交付安全，由于采用了可信的第三

　　方机构颁布的数字证书，浏览器的右下角会出现一个黄色的小锁头。而一些钓鱼网站的地址也是采用HTTPS方式访问，甚至也可以在浏览器下方显示锁头标志。

图8

　　很多的内容过滤设备可以对HTTP页面进行过滤和阻拦，而对基于SSL加密的页面无法审计，使钓鱼网站仍然可以穿透过滤系统进而欺骗网银用户。AC通过对钓鱼网站的数字证书和数字签名进行审核和对照（专利号：200610062252.2），能够有效地防止钓鱼网站对用户的欺骗。

　　AC内置的SSL库内置了可信任证书颁布机构列表，并可对SSL连接的证书内容进行可信度评估，如身份验证机构的标识信息、证书有效期、证书持有人的公钥、证书的签名和算法。当钓鱼网站采用了伪造的数字证书来骗取内网用户信任时，AC可以判断出其本来面目并进行阻断，避免组织成员蒙受经济损失。

　　代理服务器识别

　　很多组织的内网用户通过Microsoft ISA、Sygate、CCproxy等代理服务器（Proxy Server）上网，这些软件在完成其代理任务的同时也给其他安全设备的管理带来了困难。由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的，当内网用户通过代理上网时所有数据是发向代理服务器的，这将使防火墙、内容控制设备的某些模块无法正确识别内网数据的真正流向，进而失去应有的防护作用。

　　对于通过Proxy Server代理上网的情况，AC可以很好地适应并发挥其作用。AC提供给网络管理员一个可编辑的界面，以将网络出口情况定义给AC的控制系统，AC的控制系统通过正确识别用户的网络拓扑而做出正确的判断和管理。

　　智能排障技术(IBF)

　　错误配置引发的故障难以诊断和排除，这一点网络管理员一定深有体会。

　　内容安全产品的管理对象是天天翻新的应用软件、以及比软件更新速度快得更多的员工行为，虽然成熟的内容安全产品提供出厂默认设置和在线更新功能，但设备的主要操作人仍然是网络管理人员。网管员希望通过内容安全设备完成尽可能多的功能，虽然他们对产品的本身知之甚少，过多的尝试会使错误配置的发生几率大幅度上升。

　　AC提供给网管人员“预知和补救”的机会。AC的状态监测防火墙支持虚拟测试（Virtual Test）功能，网管员可以在AC提供的虚拟网络环境下测试各项配置，以得到配置在实际网络中的运行效果，例如一条规则是否会导致一个Vlan下的用户无法使用HTTP服务，或是向公网某个IP段的用户敞开了进攻内网的大门，所有这些都可以在AC的虚拟环境下得到预先测试。

　　而AC的智能排障（Intelligent Barrier－Free, IBF）技术帮助管理员查找错误配置的源头。当内网的某个用户或用户组出现无法正常上网、个别网络应用不能正常运行时，网管员都可以借助IBF来反向查询障碍的原因，查询数据包是否被网关的某个模块拦截，为何被网关拦截，或者其他产生故障的原因等等，进而可以帮助网管员尽快的检查出问题的症结所在，迅速的排除和解决障碍。