一体化安全网关选购指南.doc

1、一体化安全网关选购指南2010 年 4 月一体化安全网关选购指南第 2 页 共 17 页目 录 前言、构建安全、可管理的内部网络 3一、一体化安全网关-企业边界管理的利器 3二、一体化安全网关应用效果 32.1. 规范员工上网行为、提升工作效率 32.2. 保护内部信息资产安全、防止机密信息泄漏 32.3. 强化带宽管理，提升带宽利用率 32.4. 降低组织机构的法律风险 32.5. 多种安全增强功能，全方位保障内网安全 3三、一体化安全网关设备功能介绍 3四、一体化安全网关设备技术优势 34.1. 深度内容检测技术 彻底封堵 QQ、炒股、常见 P2P 软件 34.2. P2P 智能识别（专利

2、技术）-管控加密的、不常见和版本泛滥的 P2P 行为 .34.3. SSL 加密网站识别和过滤（专利技术）-反钓鱼网站等 .34.4. 邮件的延迟审计（专利技术）-敏感邮件先延迟、审计后再发送 .34.5. 免审计 Key-从设备底层免除对高层领导的行为记录与审计 .34.6. 强大的内容检索工具-方便对海量日志的检索、查询、审计 .34.7. 细致的流量管理系统-优化带宽资源，提升带宽使用效率 .34.8. 特有的网络准入规则（专利技术）-修补内网安全短板 .3五、一体化安全网关设备部署模式 35.1. 网关模式（路由模式） 35.2. 网桥模式（透明模式） 3一体化安全网关选购指南第 3

3、页 共 17 页前言、构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。IDC 对全球企业网络使用情况 调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的 Web 网站、从事 BT 等 P2P 下载或在线收看流媒体的情况非常普遍。调查结果表明：员工在上班时间发生的网络活动，30%-40% 都与工作无关。那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花 7.6 小时使用 IM、玩网络游戏、P2P 下载或在线影音娱乐，严重

4、影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM 聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。据美国 CSI/FBI 的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。而据中国公安部最新统计，70的泄密犯罪来自于机构内部，电脑应用单位 80未设立相应的安全管理系统、技术措施和制度。如何解决在互联网应用过程中

5、暴露的网络访问行为不可控、内网安全管理不完善的问一体化安全网关选购指南第 4 页 共 17 页题，已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源 IP、源端口、目的 IP、目的端口的“一刀切 ”管理手段显然已经无法满足一体化安全网关的具体要求。一、一体化安全网关-企业边界管理的利器一体化安全网关系列产品，凭借其应用识别率最高、平台性能最强的核心优势，以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能，提供了涵盖防火墙、网关杀毒、网关+ 终端、行为+ 内容的完整解决方案，

6、为组织机构提升工作效率、提升带宽效率、防范机密泄露、避免法律风险、保障内网安全等多重价值。网络管理最基本也是最关键的要素是“用户”和“应用”，只有能够精确识别正在上网的用户是谁、他正在使用哪些具体的应用，才能对其实施准确、清晰的管理。一体化安全网关提供了包括本地认证/ 第三方认证、静态认证/ 双因素认证在内的多种用户认证手段，不仅满足大型乃至超大型组织在用户管理上的快速部署、便捷管理的需求，而且针对强身份认证、高权限用户管理的需求也首次提出业界领先的基于 USB KEY 的身份认证和免监控管理技术。通过上述先进技术的应用，一体化安全网关可以轻松实现对组织内部数量极其庞大的用户身份的精准识别。用

7、户身份的精确识别仅仅是一体化安全网关的基础，由于 Internet 的复杂性，很多时候用户的违规行为或是安全风险往往是在无意识的情况下产生的，与此同时，也有一些精通 IT 技术的用户试图通过各种方法挑战 IT 管理者的权威（如使用代理软件或小型路由设备将管理员赋予的网络访问权限共享给其他内网用户），这就需要一体化安全网关方案能够具备终端管理的能力，通过终端管理有效判断客户桌面环境是否符合组织相关安全规定（如是否安装了指定的杀毒软件、个人防火墙等安全软件或是否安装相应系统补丁等），避免因桌面安全级别不足而导致的风险，同时避免内网用户通过安装代理软件为其它用户提供上网服务所引发的管理缺失。一体化安

8、全网关通过对终端设备的操作系统版本、补丁、进程、文件、注册表的检测，实现了对终端的精准识别，使得一体化安全网关解决方案真正满足组织在一体化安全网关过程中对精确授权的需求。一体化安全网关选购指南第 5 页 共 17 页如果说精确的用户+终端的识别能力是一体化安全网关的基础，那精确的应用识别则是一体化安全网关的核心，只有实现了对 Internet 上纷繁复杂的各种应用的精确识别，管理员才不会面对用户庞大的流量而不知所措。一体化安全网关提供了数十类、200 多条应用识别规则，使得组织能够轻松识别内网用户大部分的互联网访问行为，而面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用，一体

9、化安全网关强大的P2P 智能识别、SSL 加密流量识别等关键识别技术更是构筑了一体化安全网关业界最强的应用识别能力。有了精确的用户识别、终端识别和应用识别，后续的精细化管理才成为可能，一体化安全网关提供了灵活的封堵、流量管理手段，帮助组织合理设置用户的上网访问权限，除了基于用户的网络行为（如炒股、IM 聊天、网上购物、在线游戏、在线电影、P2P 下载等）提供的封堵和流量管理外，一体化安全网关还提供了基于内容的管理手段，独特的邮件延迟审计、关键字过滤、以及完整记录所有上网活动(包括记录 QQ 聊天内容)等技术，为防止机密信息资产通过 Internet 泄漏提供了最有效的保证。完善的一体化安全网关

10、不仅需要实时性，而且还需要可追溯、可统计，一个强大的数据中心是专业一体化安全网关解决方案的必备特征，一体化安全网关可全面记录各种网络行为日志，而且对组织关心的行为内容也提供了详细的记录功能，包括用户访问的URL、QQ/MSN 聊天内容、网络发帖、收发的 Email/Webmail 等各类行为和内容，使得组织能够详细掌握用户的具体访问内容；而一体化安全网关专为高端用户设计的强大的独立数据中心可以实现日志海量存储，并通过图形化的各种统计报表和海量日志内容检索工具，让管理者轻松获知网络使用情况，也避免法律违规后无据可查的尴尬。以下是一体化安全网关的几个关键特性：监控员工访问的网页 、 标题 、 内容

11、等 ；监控 Q Q 、 M S N 等聊天内容 ；记录邮件标题 、 内容 、 附件等 ；监控用户的所有上网行为 ；支持对特定用户 ( 组 ) 的免监控 ；免审计 K e y ， 避免审计领导的行为 ；邮件先延迟审计 、 再发送 ;W e b m a i l 正文和附件的审计 ；E m a i l 正文和附件的审计 ；所有上网行为记录均可完整再现 ； 防 A R P 欺骗 ；防外网 、 内网 D O S 攻击 ；网关杀毒 ；网络准入规则 ，修复内网安全短板 ；多线路复用 、 多线路智能选路 ；P 2 P 智能识别和流控 ；针对用户 ( 组 ) 使用的应用类型 、 网站类型 、 上传下载文件类型等

12、进行带宽划分和分配 ；带宽限制 、 带宽保证 、 智能 Q o S ；类似 G o o g l e 的海量日志检索工具 ；内置 / 外置数据中心 ， 海量日志存储 ；饼图 、 柱图 、 曲线图等统计显示方式 ；全面的日志记录 ， 方便的查询 、 审计 ；自动报表 、 定期生成 、 自动发送 ；W E B 界面 ， 可同时审计多台 A C 网关 ；5 1 0 0 A C安 全 增 强控 制审 计报 表监 控带 宽 管 理海量 U R L 库 、 支持自定义 ； U R L 关键字 、 网页关键字 、 搜索引擎输入关键字的过滤等 ； 识别代理 ；上传下载文件类型识别和过滤 ；封堵 Q Q 、 M

13、S N 、 网游 、 炒股等各种软件 ；封堵 B T 、 P P L i v e 等现存 P 2 P 软件 ；P 2 P 智能识别 ， 封堵加密的 、 不常见的 P 2 P 行为 ；一体化安全网关选购指南第 6 页 共 17 页二、一体化安全网关应用效果通过部署一体化安全网关解决方案，可以帮助组织实现完善的一体化安全网关、行为审计和内网安全保障，并达到如下效果：2.1. 规范员工上网行为、提升工作效率宽带的接入使得组织机构 24 小时连接在 Internet 上，而员工上班时间 QQ 聊天、新闻网站浏览、在线炒股等已经成为办公室皆知的秘密，工作效率的降低却要管理者为其买单。通过一体化安全网关的

14、部署，可以把与工作无关的上网行为降到最低，祛除员工的分心，将精力聚焦于工作中。2.2. 保护内部信息资产安全、防止机密信息泄漏组织机构内部有太多的机密信息，关乎组织发展命运的机密、领导办公室内的八卦都是网络上常出现的内容，而存心的泄密者和忠实的干部都可能是造成泄密的关键人员。一体化安全网关的邮件延迟审计专利，使得潜在的泄密邮件必须通过相应邮件审核人员审核后才发送到公网；对于加密的 IM（如 QQ）聊天内容、网络论坛发帖、webmail 正文及附件、通过 HTTP 或 FTP 上传的文件等各种可能涉及泄密的数据内容，一体化安全网关提供了基于关键字的过滤手段屏蔽可能的泄密而保障信息资产安全，并且提

15、供了全面的记录功能为组织留存了法律证据。2.3. 强化带宽管理，提升带宽利用率有限的 Internet 带宽始终无法满足组织日益增加的带宽需求，如何提升带宽利用率就成为一个重要的网络管理内容，一体化安全网关提供包括支持多链路和丰富流量管理策略在内的多种带宽管理手段帮助组织解决上述问题。一体化安全网关可以同时连接多条公网线路，实现以更低的成本扩展带宽，精确的应用识别为高效的流量管理策略的制定提供了可能，除了可以对各种滥用带宽的 P2P 行为、在线下载、特定类型网站进行流量管控外，一体化安全网关还可以为类似领导用户组的视频会议、市场部访问业务网站、设计部传输指定类型文件等业务行为提供带宽保障策略，

16、帮助组织机构最大化网络建设的投资回报。一体化安全网关选购指南第 7 页 共 17 页2.4. 降低组织机构的法律风险员工利用组织机构提供的互联网连接访问反政府/邪教等不良网站、发表非法言论或从事其他网络非法活动等，可能导致组织遭受法律诉讼、行政处分等风险。一体化安全网关可以过滤员工访问非法网站、发表非法网络言论等不良行为，且对所有网络行为日志通过独立日志中心提供海量存储及审计支持，图形化的审计、统计、报表和内容检索工具，方便组织做到有据可查，降低组织的法律风险。2.5. 多种安全增强功能， 全方位保障内网安全一体化安全网关设备作为组织网络的一个重要组成，在为组织提供管理服务的同时，也同样面临来

17、自组织网络的各种挑战，来自内网的 DOS 攻击（不一定是人为的，内网大规模爆发的蠕虫病毒或是僵尸网络激活都将对组织网络造成极大的冲击）和 ARP 欺骗（一旦出现，将严重影响组织网络的稳定）等各种安全风险层出不穷，相对普通的上网管理方案，一体化安全网关独特的防 DOS 攻击、防 ARP 欺骗、网关杀毒等功能，帮助组织进一步保障内网安全，特有的网络准入规则的应用也极大提高了组织为应对网络风险而部署的网络杀毒、桌面管理等各种关键软件系统的部署率（不符合要求的终端将被剥夺上网的权限），从而为组织进一步提升网络抗风险能力提供了可能。一体化安全网关设备部署图一体化安全网关选购指南第 8 页 共 17 页三

18、、一体化安全网关设备功能介绍（一）控制功能：细致而全面的访问控制功能，有效管控员工的上网行为不能识别，何谈管控？基于精准用户身份识别、终端识别和行为识别，一体化安全网关为不同员工授予差异化的网络访问权限。一体化安全网关不仅对员工的WEB、FTP、MAIL 等常见行为及内容进行管控，更可以对 QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控，从而规范了员工的上网行为，提升员工的工作效率。表 2.1：访问控制功能一览表功能 详细指标用户认证 支持 Web 认证，支持本地帐户数据库、LDAP、AD、RADIUS、POP3 、PROXY 等，且支持 USB-Key 双因素身份认证方式终

19、端认证 检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，不符合管理者指定安全策略的终端可设置为不允许上网IP-MAC 绑定 灵活的 IP、MAC 绑定策略，且可跨三层设备实现 IP-MAC 绑定网站过滤 海量 URL 库、多种关键字识别技术，过滤色情、反动、新闻等网站SSL 网站过滤 SSL 加密的钓鱼网站、非法、反动网站等，同样可以识别和过滤应用软件管控 识别和管控 QQ、MSN、Skype、飞信等各种聊天软件；BT、电骡等各种 P2P 软件；及网络炒股、网络游戏、在线影音视频等行为P2P 智能识别 加密 BT、加密电骡、不常见的 P2P 行为、版本泛滥的 P2P 工具等，P

20、2P 智能识别技术都能够进行彻底识别和管控代理识别功能 识别采用 Http、Https 、Socks 等代理服务器绕过管控检查的行为，从而进行识别和阻断文件上传下载控制 对 HTTP、FTP 上传、下载的文件类型进行控制，亦对 QQ、MSN等文件传输行为进行识别和拦截一体化安全网关选购指南第 9 页 共 17 页访问控制策略 提供基于用户组、时间、服务、网址策略、内容策略等多种对象组合的细致灵活的访问控制策略敏感数据拦截 对 HTTP、FTP、SMTP、IMAP 等应用协议做敏感数据拦截，以防泄密和潜在的法律风险（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏组织机构的信息资产很

21、多是通过内部泄漏。一体化安全网关完善的访问审计和监控功能有效防止信息通过 Internet 泄漏，形成内部安全威慑，减少内部泄密行为，而对于防止过度监控导致的组织高层领导访问网络过程中涉及机密信息泄密的可能，一体化安全网关也提供“免审计 KEY”这样的关键特性，满足组织差异管理的需求。表 2.2：访问审计/监控功能一览表功能 详细指标邮件延迟审计 对外发邮件进行延迟审计（可设定延迟条件） ，特定审核人员审计后才能发出，确保信息资产不外泄实时监控 实时监控员工的上网行为，并支持临时冻结员工或中断指定连接等内网监控 监控员工的各种网络行为，记录包括 QQ、MSN 等聊天内容；浏览网页的网址、网页标

22、题、甚至整个网页正文内容；网络发帖、WebMail正文及附件；收发的 Email 正文及附件；上传下载的文件等各种网络行为进行详细记录，防止组织机构内部机密、情报等泄漏，并做到有据可查免审计 Key 支持组织机构的高层领导通过“免审计 Key”方式，从设备底层免除对其所有网络行为的记录（三）报表功能：强大的数据报表中心，提供直观的上网数据统计一体化安全网关不仅内置数据中心，且支持强大的外置数据中心，可实现海量存储行为日志，并且所有的查询、统计等功能不影响网关设备性能。对于组织的上网行为审计要求，管理者可分组、用户、规则、协议等多种查询对象，按饼状图、柱状图、曲线图等方式进行统计，直观查看网络流

23、量、邮件、网络行为、上网时间等多种详细日志信息，并可打印和导出报表；一体化安全网关的自动报表功能将管理者指定的统计、审计结果发送到指定邮箱，而强大的内容检索功能，通过类似 Google 的一体化安全网关选购指南第 10 页 共 17 页搜索界面，实现海量日志的检索和审计。一体化安全网关详细分析组织机构的 Internet 使用情况，为管理者的决策提供了最有效的数据支撑。表 2.3：报表和数据中心功能一览表功能 详细指标流量统计日志包含流量统计概要、组流量排行、流量日志、流量趋势等，用饼图、柱图等直观的显示内网流量统计情况上网时间日志指定时间段内监控和统计用户总上网时间、某网络应用总使用时间、用

24、户使用某应用时间、并以饼图、柱图等直观显示时间统计情况邮件日志包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，详细统计员工收发的所有邮件的具体情况网络监控日志包括监控和统计用户网络应用活动排行、URL 访问排行、审计查询用户的网络发帖、IM 聊天、P2P 下载、网络炒股等详细日志安全日志包含防火墙等安全相关日志信息，及组织机构网络发生的 DOS 攻击、ARP 欺骗等安全事件日志信息报表分析功能支持对上述各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图，趋势图等自动报表功能根据管理者设定，数据中心自动将指定时间段内的流量日志、邮件日志、网络监控日志、上网时间日志等查询、统计结果

25、汇总成PDF 等报表文件，发送到指定 Email 邮箱主题订阅将含有管理者指定关键字的行为日志统计结果自动形成 Email，发送到指定邮箱内容检索通过类似 Google 的搜索界面，实现对海量日志信息的内容搜索，方便管理者对海量数据的快速检索及数据挖掘（四）带宽及流量管理功能：强大的线路管理、流量分析、带宽分配功能一体化安全网关具有强大的带宽管理和流量控制功能，独有的多线路复用专利让一台一体化安全网关可连接四条公网线路，多条线路间互为备份，实现带宽叠加、负载均衡和智能选路。一体化安全网关的流量管理系统可基于不同用户/ 用户组、时间段、应用类型/网站类型/上传下载文件类型进行带宽分配，既可以控制

26、非业务流量对带宽的滥用，又能够实现对重要业务流量的带宽保证，实现了带宽资源利用率的最大化。一体化安全网关选购指南第 11 页 共 17 页表 2.4：带宽划分与流量管理功能一览表功能 详细指标多线路复用 可同时连接四条公网线路，实现带宽叠加、负载均衡多线路智能选路 多线路之间互为备份，且内网员工的流量可以根据访问内容智能分担到不同线路上，解决了跨运营商的带宽瓶颈问题流量分配和控制 针对内网不同员工、不同用户组，为其指定的应用类别/网站类型/上传下载文件类型的访问行为提供带宽分配，使组织机构的带宽资源得到充分有效的利用带宽保证策略 针对用户指定的网络行为，既可静态保留指定带宽而不被其他行为挤占，

27、也可动态预留指定带宽便于带宽的充分利用P2P 管控 不仅可以全面封堵各种 P2P 应用，还可对 P2P 行为进行流量控制，限制其上行流量和下行流量，节省组织机构网络带宽资源QOS 保证 使用差分业务模型实现 QOS，使用随机早期检测 RED 丢弃算法提供流量控制（五）多种内网安全增强功能：网关杀毒、防 DOS、防 ARP 欺骗等安全取决于最薄弱的一环！内网终端电脑使用过时的操作系统、不更新补丁、不安装指定的杀毒/防火墙软件或不更新、运行违规软件等，必将极大降低组织内网安全级别，组织不仅面临的来自 Internet 的病毒等威胁，源自内网的 DOS 攻击和 ARP 欺骗也给组织的网络管理带来了极

28、大的挑战，一体化安全网关提供了完善的防御和解决方案，全面保障和提升组织机构的网络安全等级。功能 详细指标网络准入规则 通过检查终端操作系统版本、补丁安装情况、系统进程、注册表、硬盘文件，拒绝不符合管理者指定安全策略的终端上网，避免因终端安全级别不够引发的安全风险防病毒引擎 集成欧洲领先防毒厂商提供的杀毒引擎，提供对HTTP、FTP 、 Mail 等容易携带病毒的网络内容的检测和病毒查杀，形成对组织病毒防护和管理的有益补充防内网 DOS 攻击 使组织能够应对内网大规模爆发的蠕虫病毒或是僵尸网络激活对组织网络造成的极大冲击一体化安全网关选购指南第 12 页 共 17 页防 ARP 欺骗 防止因 A

29、RP 欺骗导致的内网用户大规模断网的情况四、一体化安全网关设备技术优势4.1. 深度内容检测技术彻底封堵 QQ、炒股、常见 P2P 软件传统设备和方案如通过防火墙封端口/封服务器 IP 等方式管控 QQ、通过封服务器 IP/封种子网站/封端口等方式封堵 P2P 下载行为等管理方式来应对泛滥的互联网应用行为已经无能为力，费时费力且无法彻底封堵。一体化安全网关产品利用绝大部分应用协议在数据包传输过程中都会有的特定特征字段来识别相应的应用，如此的深度内容检测技术检测互联网流量中相应的特征码字段识别正在传输的应用及协议，并根据预置策略进行及时封堵或流控。一体化安全网关内置自动更新的超过 20 大类、2

30、00 多条应用识别规则，能够准确识别并封堵各种 IM 聊天工具、网络炒股、网络游戏、在线视听软件及常见的 P2P 工具等，提高员工的工作效率和组织的生产效率。4.2. P2P 智能识别（专利技术）- 管控加密的、不常见和版本泛滥的 P2P 行为泛滥的 P2P 行为滥用了组织机构有限的带宽资源，致使视频会议、VOIP 等业务难以开展。而普通的管理手段除了难以封堵加密 BT、加密电骡等加密 P2P 外，就连版本泛滥、不断更新的 P2P 软件也难以控制，只能封堵 “昨天的 BT”。一体化安全网关通过 P2P 智能识别技术，基于统计学的网络行为智能分析，实现各种 P2P 行为的全面识别，包括加密的、不

31、常见的、版本泛滥和未来可能出现的 P2P 行为，并施以封堵和流控等措施，为管理者提供了一劳永逸的解决方案。一体化安全网关既可彻底封堵 P2P 行为，又可允许内网指定员工在有限范围内使用 P2P，AC 可对内网用户使用 P2P 时占用的带宽进行控制，既避免 P2P 应用对带宽的滥用，又实现人性化的管理方式、避免推行一体化安全网关所遭遇的阻力。一体化安全网关选购指南第 13 页 共 17 页4.3. SSL 加密网站识别和过滤（专利技术）-反钓鱼网站等互联网的发展日新月异，越来越多的在线交易类（包括炒股、网银、网上购物以及电子商务）网站使用了 SSL 等加密技术来确保数据安全，而与此同时，假冒网上

32、银行的钓鱼网站、刻意躲避政府过滤的色情、反动网站等各种不良站点也出于各种目的纷纷采用 SSL加密方式提供访问，普通的一体化安全网关方案根本无法有效甄别和过滤 SSL 加密网页，给组织的管理带来很大风险。一体化安全网关一方面能够提取 SSL 访问页面中的 URL 地址，并对其依据 URL 的管理策略进行相应的控制，同时还通过全球可信任数字证书颁发机构信息，对 SSL 网站提供的数字证书进行证书链深度验证，从而实现对 SSL 加密网站可信度的识别和过滤，为组织机构提供了完备的 URL 地址及内容安全管理解决方案。4.4. 邮件的延迟审计（专利技术）-敏感邮件先延迟、审计后再发送电子邮件已经成为人们

33、最重要的沟通方式之一。组织机构需要通过电子邮件与外部保持沟通和交流，而电子邮件也成为泄漏组织机构重要信息的途径之一。一体化安全网关独创的邮件延迟审计专利技术，能够根据管理者预设的过滤条件对指定内网员工向外发送的指定邮件进行延迟审计，只有具有权限的特定审核人员审核通过后才能发出，通过人工审核确保组织机构信息资产不外泄，保证了组织内网信息资产的安全，避免了传统邮件管理方案只能审核邮件备份记录以追究法律责任却无法阻止泄密发生的尴尬局面。4.5. 免审计 Key-从设备底层免除对高层领导的行为记录与审计随着越来越多的业务和沟通通过互联网进行，高层领导的网络行为中往往涉及组织最重要的业务机密和信息资产，

34、关系到组织机构的发展和前途。如何确保高层领导的网络行为不被一体化安全网关设备错误监控和记录就成了判断一体化安全网关产品专业性的一个重要标准。有别于传统设备通过产品控制界面人为取消审计配置的方式（可以取消也可能被悄悄的重新加上），一体化安全网关采用的是权限不可复制、免监控状态不可取消的 USB KEY 技术，高层领导将一体化安全网关颁发的“免审计 Key”插入任一电脑，即从设备底一体化安全网关选购指南第 14 页 共 17 页层免除对高层该领导网络行为的记录，而且这种免审计状态是不可更改的，避免了被错误更改状态后而受到 AC 监控的情况。4.6. 强大的内容检索工具-方便对海量日志的检索、查询、

35、审计2006 年 3 月 1 日开始实施的公安部 82 号令要求：组织机构必须留存员工的上网行为记录至少 60 天。由于网关设备自身容量的限制，大型组织每天产生的以 G 为单位的海量日志存储于设备本身并不现实。一体化安全网关创造性的支持第三方日志服务器，通过独立的数据中心实现日志无限量存储（最大容量取决于日志服务器的硬盘空间），帮助组织实现超长时间的日志记录。日志的记录是为了日后的审计及查询，在缺乏有效的技术帮助下从海量日志中找寻管理者感兴趣的内容是异常困难的，一体化安全网关创新性的提供了类似互联网搜索引擎技术的内容检索工具，从海量存储的网页、邮件正文、搜索关键字、Webmail/BBS 内查

36、询到包含特定关键字的内容，实现对海量日志的检索、审计等，并支持将管理者感兴趣的检索结果定期自动形成报表，发送到指定邮箱。4.7. 细致的流量管理系统-优化带宽资源，提升带宽使用效率组织机构有限的带宽资源，如何限制非业务应用对带宽的占用，同时保证关键部门/员工的业务应用对带宽的需求？一体化安全网关细致的流量管理系统做到了：针对应用类型（如 P2P、邮件等）、网站类型（如业务网站类、新闻网站类等）、上传下载的文件类型进行带宽划分与分配。基于不同用户/用户组，时间段，结合智能 QoS 功能，一体化安全网关优化了组织机构带宽资源的使用，提升带宽使用效率。4.8. 特有的网络准入规则（专利技术）-修补内

37、网安全短板组织机构的安全风险，往往是由于内网终端的安全隐患导致，一体化安全网关准入规则专利技术，修补内网终端安全短板。一体化安全网关所支持的网络准入规则是一个可选项目，当管理者期望通过准入规则实现对内网终端的各种安全属性进行检测并以此为依据赋予上网权限时，管理者在一体化安全网关上可预设各种安全策略进而检查接入终端安全状况：包括指定员工的终端操作系统版本及补丁状况、杀毒/防火墙软件安装及更新情况、注册表、后台进程、硬盘文件等内一体化安全网关选购指南第 15 页 共 17 页容。不符合管理者预设安全策略的终端，将不允许访问互联网，避免其轻易感染病毒、木马，进而危害整个内网安全的可能，为组织机构提供

38、了全面的安全保障手段。五、一体化安全网关设备部署模式一体化安全网关设备可提供多种部署方式，以适应不同组织机构的网络环境及需求。5.1. 网关模式（路由模式）一体化安全网关网关模式的典型部署如下图所示：网关模式是将一体化安全网关作为本网的出口网关，一般作为 NAT 设备分割外网和内网，并代理内网员工上网所使用。一体化安全网关的 LAN 口接内网交换机，WAN 口接外网的接入设备，如路由器、ADSL Modem 等。采用网关模式的主要优点是： 能实现 NAT、路由等网络功能，并代理内网员工上网 完全监控和管控进出设备的数据5.2. 网桥模式（透明模式）一体化安全网关网桥模式的典型部署如下图所示：一

39、体化安全网关选购指南第 16 页 共 17 页网桥模式是将一体化安全网关如同交换机一样配置和部署。一体化安全网关的 LAN 口接内网交换机，WAN 口连接出口网关等设备。采用透明模式的主要优点是： 设备的部署、安装基本不影响原有网络结构 完全监控和管控进出设备的数据3旁路模式一体化安全网关旁路模式的典型部署如下图所示：旁路监听部署模式对组织机构的网结构影响最小，不需要改变原有网络的任何路由配置，只需在出口交换机上配置端口镜像。其主要原理是监听并分析 TCP/IP 数据包以实现监控，通过改变 IP 包头信息来调节和控制 IP 连接。采用旁路模式的主要优点是：一体化安全网关选购指南第 17 页 共 17 页 设备的安装完全不影响原有的网络结构，实施部署简单方便。采用旁路模式的不足是： 因为获得的是“镜像”的数据流，所以设备部分功能不能实现如：带宽限制、邮件延迟审计、网络准入规则，及不能控制采用 UDP 协议的部分应用。建议：若主要用于控制、拦截、流量管控等功能，则推荐网关或网桥模式部署；若将一体化安全网关设备主要用于监控或审计等功能，则推荐采用旁路模式部署；