深信服功能

流量控制技术说明1 .带宽管理1.1 流量可视化带宽有限，应用无限——组织不断地扩展互联网出口带宽，但仍然感觉不充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。

对此，AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS攻击、ARP 欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。

如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。

当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。

1.2 流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户（组）的上网行为做进一步的管理和控制。

1.2.1多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。

再结合多线路智能选路专利技术（专利号：ZL200610061591.9 ），AC将出网流量自动匹配最佳出口。

1.2.2基于应用/网站/ 文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户（组）、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。

第1章整体方案价值深信服科技作为全球领先的前沿网络设备供应商，凭借多年行业经验，并结合其在企业业务和网络发展趋势的理解，为用户提供量身打造的网络准入控制解决方案，旨在帮助客户构建“终端+网关”的双向安全机制，提高网络的整体安全级别，降低泄密风险。

1.1网络准入控制深信服NAC方案提供的网络准入控制功能对网络接入终端强制进行身份认证和安全评估，为访问网络资源的终端设备提供足够保护，以防御网络安全威胁。

网络准入控制功能评估终端安全级别并依据评估结果，将不同用户、不同安全级别的终端隔离出来，形成独立的隔离区，拒绝隔离区中的终端与正常通过安全策略检测的终端进行通讯，从而有效的限制了病毒、蠕虫和间谍软件等损害网络安全。

网络准入控制功能的隔离效果：新接入网络的终端，未通过认证时，默认不能和安全区内的终端通信，管理员可选将其加入未认证的用户隔离区中，限制其外网访问权限、服务器区访问权限；接入网络的终端，通过认证后，会根据管理员配置的网络准入控制策略检测用户是否通过评估，通过安全评估的用户会进入安全用户区，安全用户区不能和未通过评估的隔离区通讯；未通过安全评估的用户不能和安全用户区内的用户通讯；未通过安全评估的用户，根据管理员设置的隔离条件进入相应隔离区，隔离区内用户可访问的网络资源受所在隔离区的配置控制。

新接入用户终端安全级别评估存在安全威胁！不符合安全策略隔离区A隔离区B管理员安全用户通过评估安全服务器区互联网对指定用户使用“网络准入控制”管理隔离区用户配置隔离区访问策略1.2防病毒软件检测深信服NAC具有防病毒软件检测功能，可以检测终端计算机是否安装了防病毒软件，是否开启了自动防护，病毒库是否出于最新状况，并可以根据检测结果来执行指定操作。

防病毒软件检测功能帮助管理员消除内网安全短板，保证终端计算机和内网安全。

根据检测结果，管理员可设置NAC主动向用户发起安全检测提示，强制执行远程应用程序如强制安装防病毒软件、强制升级病毒库（需要配合第三方防病毒产品），将安全级别不足的用户放入指定隔离区进行访问权限控制，这些操作可以任意组合并在用户计算机违反相关安全策略后自动执行。

深信服使用手册一、简介深信服是一家专注于网络安全解决方案的公司，通过其领先的技术和产品，为企业提供全方位的网络安全保障。

深信服产品覆盖网络安全、终端安全、云安全等多个领域，为企业用户提供了一揽子的网络安全解决方案，帮助用户提高了网络安全的防护水平，保护了企业的数据安全。

二、深信服产品介绍1. 网络安全产品：深信服提供包括防火墙、入侵防御系统、安全网关等在内的一系列网络安全产品，能够保护企业网络不受来自互联网的各种攻击威胁。

2. 终端安全产品：深信服的终端安全产品包括反病毒软件、终端防护系统等，可以保护企业终端设备的安全，防范恶意软件和网络攻击。

3. 云安全产品：深信服的云安全产品为企业的云计算环境提供了安全服务，包括云防火墙、云访问控制等，保障了企业在云端的数据和应用的安全。

三、深信服的使用指南1. 安装与配置在使用深信服产品之前，首先需要进行产品的安装与配置。

一般来说，深信服产品都配备有详细的安装指南和操作手册，用户可以按照指南一步步操作，完成产品的安装与配置工作。

在安装过程中，需要注意选择合适的安装位置，遵循操作步骤进行配置，确保产品可以正常工作。

2. 使用说明深信服的产品一般都配备有使用说明书，不同产品的使用说明书内容可能有所不同，但用户可以从使用说明书中了解产品的功能与特点、操作方法、常见问题解决方法等内容。

在使用深信服产品时，用户可以参考相应的使用说明书来进行操作，确保产品能够正常使用，发挥最大的效益。

3. 技术支持如果在使用深信服产品的过程中遇到问题，例如安装失败、配置错误、无法正常使用等情况，用户可以通过深信服官方提供的技术支持渠道进行求助。

通常情况下，深信服会为用户提供电话、邮件、在线客服等多种技术支持渠道，用户可以根据自己的实际情况选择合适的渠道进行求助，得到及时的技术支持。

四、深信服产品的维护与升级为了保证深信服产品的正常运行与提供最新的安全保护，用户需要对产品进行定期的维护与升级。

深信服 VPN 方案概述深信服 VPN 方案是基于深信服（Sangfor）提供的虚拟私人网络（VPN）解决方案。

它可以帮助企业、组织和个人构建安全、可靠的远程访问网络，实现数据传输和通信的加密和保护。

本文将介绍深信服 VPN 方案的特点、优势以及部署和配置方法，并提供一些常见问题的解决方案。

特点1.安全性高：深信服 VPN 方案提供了多种安全机制，包括加密传输、身份认证和访问控制等，保护用户数据不被非法访问和篡改。

2.易于部署：深信服 VPN 方案采用客户端/服务器架构，部署简单方便，适用于各种规模的企业和组织。

3.跨平台支持：深信服 VPN 方案支持多种操作系统，包括Windows、Mac、Linux和移动设备（iOS和安卓）等，用户可以在不同设备上无缝切换使用。

4.高性能：深信服 VPN 方案采用优化的传输协议和网络优化技术，提供稳定、高速的网络连接，有效提升用户体验。

5.可扩展性强：深信服VPN 方案支持灵活的网络拓扑结构和扩展方案，可根据实际需求进行定制化配置和功能扩展。

优势1.安全性保障：深信服 VPN 方案通过加密技术和身份认证机制，确保用户数据的机密性和完整性，防止信息泄露和攻击。

2.远程访问便捷：深信服 VPN 方案提供了安全的远程访问功能，使用户可以随时随地通过互联网访问企业内部网络资源，提高工作效率和便捷性。

3.兼容性强：深信服 VPN 方案与其他网络设备和服务的兼容性强，可与企业内部的防火墙、路由器和网络设备集成，无缝连接企业内外网络。

4.易于管理：深信服 VPN 方案提供了集中管理功能，管理员可以通过一套用户界面对VPN服务进行配置、监控和管理，简化管理流程，降低运维成本。

5.灵活性和可定制性：深信服 VPN 方案可以灵活配置和扩展，满足不同企业和组织的特殊需求，如分支机构连接、远程办公、多地中心互联等。

部署和配置以下是深信服 VPN 方案的基本部署和配置步骤：1.准备工作：在开始配置深信服 VPN 方案之前，需要准备好以下设备和材料：深信服VPN设备、服务器、客户端设备、网络连接设备（如交换机、路由器）、连接线缆等。

一、性能及配置要求AC-1200吞吐量≥200Mb并发会话数≥300,000用户规模≥800人设备接口4个千兆电口硬盘≥250GBBYPASS 支持电源单电源尺寸标准1U架构二、功能介绍以下功能参数内容较多，在招标书实际编写时可只截取部分内容即可。

其中红色字体为重点差异化优势。

项目指标具体功能要求部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接必须支持多路桥接功能，最多可支持四进四出四网桥模式；多主模式必须支持两台及两台以上设备同时做主机的部署模式；网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；被控设备加入统一平台必须支持以硬件证书验证身份；告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；关闭网管在网关重启操作中支持关闭网关。

加密连接必须具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；双因素认证必须支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放微信认证支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID二维码认证支持二维码认证，管理员扫描访客的二维码后对其网络访问授权新用户认证根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则；公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用户必须使用单点登录；强制AD认证指定用户必须用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1.跳转到用户原本输入的URL地址；2.跳转到管理员指定的URL地址；3.跳转到该用户上网信息排行页面；4.跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码必须包括数字或字母或特殊字符；终端系统识别支持识别终端操作系统版本、系统补丁安装情况；（管理文件识别支持识别终端硬盘指定目录下的文件情况；进程识别支持识别终端系统后台运行的进程信息，防止间谍软件的运行；注册表识别支持识别终端系统注册表中指定的表项和键值；自定义识别支持终端调用管理员指定脚本/程序以满足个性化检查要求；终端准入支持win 7 64位操作系统，支持在旁路模式部署下准入生效；支持禁止不满足终端检查要求的用户访问互联网；应用管理应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、支持给每个应用自定义标签；3、支持根据标签选择一类应用做控制；4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、支持给每一种应用列上图标，易于客户了解应用的特征。