深信服sg方案模板

深信服sg方案模板内容摘要：

Q 邮箱、 bbs 甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过 SSL加密邮件 、 BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。 SG 可以 对 SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤 SSL 加密的色情、反动站点，证券炒股站点等。 此外， SG 拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号 ）具有对 SSL加密内容的完全管控能力，支持识别、管控、审计经由 SSL 加密的内容，如支持基于关键字过滤 SSL 加密的搜索行为、发帖行为、网页浏览行为，审计 SSL 加密行 为如邮件发送行为，为组织打造坚固无漏洞的管理。 流量控制 企业的出口带宽有限，随着网络应用的丰富，出现各种吞噬带宽的应用，如P2P 应用，若不对这些应用加以限制管理，企业的带宽资源必会被抢占，而核心深信服 上网优化网关 解决方案 业务却得不到带宽，从而导致整体网络速度变慢，影响正常的邮件发送和网络访问。 因此，企业需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。 多线路复用和智能选路 企业网络出口有多条运营商提供的互联网线路，在进行数据传输的过程中，往往因为跨运营商访问出现丢包严重、延迟大的问题。 出口多条线路，大小不一，流量分 配不均，达不到预期的使用效果。 SG 拥有专利技术（ ZL ，一种基于网关 /网桥的线路自动选路方法），可为数据包选择最快最畅通线路进行数据传输。 当一条线路繁忙，其他几条线路空闲时， SG 可通过线路复用技术，将所有线路复用起来，不仅合理分配带宽资源，而且能在较短时间内传送要传输的数据，提高大容量数据的访问和传输速度。 SG 的多线路复用专利技术使一台 SG 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。 通过部署 SG 网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。 父子通 道 通过部署 SG，可对网络出口链路总带宽进行细分，采用“基于队列的流控技术”，即建立通道，将不同的控制对象分配到不同的通道里。 通道可应用于不同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。 SG 支持多级父子通道，即在父通道中嵌套子通道，最大可支持 8 级父子通道。 通过多级父子通道技术，能够完全匹配企业的组织架构，针对不同级别的通道进行带宽调整，为用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。 P2P 智能流控 目前，通过封 IP、端口等限制 “带宽杀手 ”P2P 应用的方式不起作用。 加密深信服 上网优化网关 解决方案 P2P、非主流 P2P、新型 P2P 工具等让众多 P2P 管理手段形同虚设。 SG 凭借 P2P智能识别技术，不仅识别和管控常用 P2P、加密 P2P，还能对不常见和未来将出现的 P2P 应用加以控制。 目前互联网上流行的 P2P 下载、流媒体等应用程序通常具备强烈的带宽侵占特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P 应用如 P2P 流媒体、 P2P 下载工具等缺乏自身流控机制，即使被丢包依然不会主动降低速率，仍抢占大量的带宽资源。 同时对于下行的接收流量来说，被丢弃的数据包已经占用了线路带宽，关键业务的带宽依然得不到提升，流控达 不到预期的效果。 针对这些问题， SG 通过智能流控功能，能有效解决 P2P 应用的问题。 虽然基于 UDP 协议的 P2P 应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。 当开启 SG 的智能流控功能时，系统会根据下行流量的设定值对上行流量进行自动调整，从而达到控制和减少下行流量的效果，从源头处有效限制 P2P 流量。 深信服 上网优化网关 解决方案 动态流量控制 当带宽有限时，企业希望通过限制 P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。 传统的解决方法是通过静态的带宽分配策略，根据应用的 重要性分配相应的带宽。 无论网络情况如何变动，分配的带宽都是固定的，不能自动调整，这样的流控策略往往造成带宽资源的浪费。 比如某些业务应用带宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。 针对此类问题， SG 提供了动态流控功能。 用户可通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。 当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。 通过灵活的带宽管理，最大满足业务对带宽 的需求，实现带宽的最大价值。 虚拟线路 用户出口有多条运营商线路，而在防火墙和核心交换中间，往往只有一条链路。 在一条物理线路中很难实现精细化的流量划分，容易造成几条外网线路流量分配不均，导致部分线路负荷过重。 SG 通过虚拟线路技术，即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量，同时在不同的虚拟线路中结合父子通道、 P2P 智能深信服 上网优化网关 解决方案 识别和动态流控等技术，实现更灵活的带宽分配。 安全防护 SG 在通过网页过滤、应用控制、流量合理划分和监控审计后，需要的就是一个和谐的内网环境。 内网用户中毒，感染局域 网，导致业务中断，这在很多 企业 中曾经出现过。 因此，通过 SG 安全防护功能， 从外至内提供牢固的内网安全防线。 网关杀毒、防火墙 作为一个全面的内网管理设备， SG 提供了丰富的安全增值功能。 SG 集成来自欧洲领先病毒厂商 FPROT 杀毒引擎，对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。 管理员可自行设置网关杀毒的选项，病毒库实时升级，帮助组织查杀病毒，支持杀毒引擎在线自动升级，也 支持用户手工升级病毒库。 SG 具备强大的防火墙功能，不仅是对内网的环境保护，也是对设备自身的一 个保护，保证设备在内网中的稳定性。 深信服 上网优化网关 解决方案 危险行为识别 内网用户将 PC 带出 企业 ，不小心中毒后极易引起局域网内 PC 瘫痪。 中毒PC 通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时， 就会 无意间 受感染。 SG 通过 危险行为智能识别、告警和阻断功能 ，防止企业遭受来自内部网络的安全威胁，并及时告警，帮助管理员快速定位安全隐患，及时响应，避免损失。 危险插件过滤 企业 员工在访问互联网网页时，经常出现打开网页后，未等用户反应看清插件名字时，插件已自动安装。 部分插件提示用户安装，但用户在不清楚插件是否合法 的情况点了安装。 随着电脑中安装插件的个数增加，用户电脑处理任务的速度越来越慢，甚至部分恶意插件在短时间内导致系统中毒或者硬盘毁坏。 因此，SG 在注重用户网络安全方面提出了危险插件过滤功能。 SG 将判断插件的数字签名是否合法，插件是否被修改过数据，证书是否过期等信息，自动过滤不合法的插件。 同时， SG 可设置信任插件，如常用的在线杀毒插件、播放器插件、休闲娱乐插件等，避免误杀情况。 深信服 上网优化网关 解决方案 网络准入规则 SG 的网络准入规则通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。 准入 的设计意义在于三个方面： 1. 仅靠网络边缘的外围设备已经无法保证安全性。 2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。 3. 客户端的安全级别往往难以保证：使用版本陈旧的操作系统、不及时更新补丁、 不安装 防火墙和杀毒软件等，都成为局域网安全中的 漏洞。 鉴于此， SG 网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。 SG 网络准入规则检测端点主机是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒 /防火墙软件 安装 情况、系统进程、硬盘文件、注册表等。 不 满足 预设要求的接入端点，禁止其访问互联网或仅提交报告。 通过 SG 的网络准入规则，修补内网安全短板，避免病毒、木马等轻易感染内网主机，利于 企业 推行统一的 IT 政策。 防 ARP 欺骗 ARP 协议是 IP 通信中的基本协议之一。 但感染 ARP 病毒的用户会发送大量ARP 欺骗数据包，从而导致整个 广播域 用户无法访问外部网络资源。 如何有效防控 ARP 欺骗是目前用户和业界的难题之一。 SG 通过网络准入规则插件结合防 ARP 欺骗技术，保证终端用户安全和保障网络可用性。 这不仅避免了单独安装客户端软件的问题，而且 网络准入规则 技术还将进一步加强端点安全级别，提升整个网络安全级别。 外发文件告警 数据泄密 通常 在 HTTP、 FTP、 Email 附件外发文件时会篡改、删除扩展名，压缩、加密再外发。 SG 能够对外发文件进行深度 识别， 一旦发现文件后缀名被深信服 上网优化网关 解决方案 篡改或删除则定义为安全威胁， 并且 执行 报警 工作。 自动告警 SG 支持在一定时间段里内网用户流量超过一定阀值时，实现自动告警的功能。 例如当内网遭到 DOS 攻击、 ARP 攻击时，内网由 DOS 攻击、 ARP 攻击产生的流量值会增加，当超过管理员设定的值时，自动告警提醒管理员内网安全存在隐患，以便管理员快速做出决策来保障内网的安全。 除了支持上述攻击告警，SG 还支持杀毒、泄密、邮件延 迟审计、危险行为识别等流量超过预定的阀值的自动告警。 防代理功能 部分员工为了逃避网络管理员对他的网络管控，通过使用代理、翻墙软件，越过网络规章制度，毫无顾忌的上网，给 企业 的网络管理和内网安全带来了一定的威胁。 SG 可自动识别内网中使用代理、翻墙软件的终端，可对 HTTP 代理、SOCKS SOCKS5 代理实行控制，禁止在 HTTP 协议和 SSL 协议标准端口使用其他的协议，从浏览器的根源处防止代理行为的发生。 一旦用户使用自由门、无界浏览器， SG 将自动记录并阻断代理违禁行为，避免出现泄密和网络不可控的事件发生。 安全桌面 通过对网络安全风险分析，再加上黑客、病毒等安全危胁日益严重。 网络安全问题的解决势在必行。 针对不同安全风险必须采用相应的安全措施来解决。 使网络安全达到一定的安全目标。 本方案采用 SG 的上网安全桌面功能进行安全防护。 管理员直接通过登录SG，对内网中的用户进行上网安全桌面策略配置管理，并统一下发策略。 管理员可以设定用户网络访问控制、文件目录访问控制以及文件导出等功能，保证内深信服 上网优化网关 解决方案 部网络及电脑的安全，避免病毒、木马等侵入系统。 上网安全桌面 功能 采用 了 沙盒技术 ，在 PC终端上 创造 一个安全的虚拟桌面，用户只能通过 这个虚拟的安全桌面上网，在访问外网的过程中， 在这个环境里所做的任何对文件、注册表的修改都 被重定向 ， 原始 的文件和注册表不会被改动 ，关闭安全桌面后 所有改动 操作 被删除。 安全桌面与 SG 形成端到端的企业级安全解决方案，通过设置不同的上网权深信服 上网优化网关 解决方案 限，将内网与风险重重的互联网隔离开，保障内网 PC 与企业信息、个人隐私安全，再结合其内置的危险插件和恶意脚本过滤等创新技术，实现立体式安全护航，确保安全上网。 保护用户办公电脑与内部网络系统的安全。 上网安全桌面主要功能包括： 网络访问权限控制 针对常见的内网安全问题，在 SG 上通过 配置放行的 IP 或域名，控制默认桌面跟上网安全桌面各自允许访问的网络。 上网安全桌面会隔离虚拟环境访问主机的文件系统，从而也隔离了来自互联网的木马程序窃取本机文件的途径，保护了本机文件重要资料的安全。 用户通过上网安全桌面访问外部互联网，通过默认桌面访问内网，实现双网隔离。 采用逻辑隔离手段比物理隔离布放成本低，效果好，维护费用低，在充分享用信息交互的同时保障了内网信息的安全。 目录访问权限控制 通过 目录访问权限控制 功能设置安全桌面可访问的默认桌面目录，限制对某些目录的访问，保证个人隐私、企业机密信息安全。 一旦用户中了木马，也不用担心电脑中的机密信息被窃取，因为安全桌面内的所有 程序只能访问特定的系统深信服 上网优化网关 解决方案 文件夹，无法看到机密信息，让黑客无从下手。 文件导出权限控制 在保证用户电脑及内网安全的同时，考虑到用户使用 安全桌面时的便捷 性，可在有文件导出权限的情况下，将安全桌面内的文件导出到默认桌面保存，避免重启安全桌面后文件丢失。 通过 SG 的上网安全桌面功能，能够实现： 有效保护内网信息 沙盒技术已经是成为业界公认的一种安全技术，已经被各行业产品应用于安全防护。 它不仅能解决传统杀软的病毒库小、查杀病毒滞后性的问题，而且能解决传统防病毒厂商无法解决的防止网页挂马、恶意插件的攻击。 在特殊环境下，安全桌面及时中毒，也不会感染到默认桌面，因为病毒木马在安全桌面关闭后，所有的数据都将清除，病毒木马在虚拟的环境产生，也将在虚拟的环境 中消失。 降低 建设和 维护成本 传统防范互联网风险的解决方案需要在网络出。