深信服AC 是什么?
深信服AC,全称上网行为管理(Access Controller/Controler),是深信服科技推出的一款专注于网络上网行为管理、流量控制、数据防泄漏和审计的专业安全设备。它不是传统的防火墙,也不是简单的路由器,而是针对互联网接入环节,提供精细化管理和控制能力的专业网关设备。
AC的全称及基本定义
AC代表Access Controller/Controler,意为“接入控制器”或“访问控制器”。在深信服的产品体系中,AC特指其上网行为管理产品线。它的核心功能在于识别、控制和审计网络用户的上网活动,确保网络资源的合理利用和企业信息安全。
它解决什么核心问题?
在现代网络环境中,企业面临诸多上网行为带来的挑战:
- 带宽滥用:员工 P2P 下载、在线影音、网络游戏等非工作应用占用大量带宽,影响正常业务。
- 工作效率低下:上班时间浏览无关网站、社交聊天、炒股等行为严重分散员工精力。
- 安全风险:访问恶意网站、下载病毒文件、通过非授权渠道传输敏感数据。
- 法律合规风险:缺乏上网记录导致无法满足监管部门的审计要求,面临法律风险。
- 管理盲点:无法掌握员工真实的上网情况,难以进行针对性管理。
深信服AC正是为了解决这些问题而设计,它提供了一套完整的解决方案,帮助组织实现对上网行为的可视化、精细化控制和全面审计。
核心功能概述
深信服AC的核心能力围绕着“识别”、“控制”和“审计”展开:
- 精准应用识别:能够识别数千种互联网应用,包括各种网站、即时通讯、P2P、流媒体、网络游戏等。
- 灵活策略控制:基于用户、用户组、时间、应用、网站、文件类型等多种维度制定上网策略。
- 智能流量管理:对不同应用、用户、时间段的流量进行优先级控制、限速或保障。
- 全面的行为审计:记录用户的访问网站、搜索关键词、聊天记录、外发邮件/文件等详细行为。
- 数据防泄漏:通过识别和控制文件上传、邮件附件、聊天传输等方式,防止敏感信息泄露。
- 身份认证与用户管理:支持多种认证方式,实现基于用户的策略管理。
为什么选择深信服AC?
选择深信服AC的原因在于其在上网行为管理领域的专业性和领先性。相比于一些集成在防火墙中的简易上网管理功能,深信服AC提供更深度的应用识别、更灵活的控制策略和更详细的审计报告,从而带来更显著的价值。
提升网络性能与带宽利用率
通过识别和限制非业务相关的高带宽应用,如在线视频和P2P下载,可以将有限的带宽资源优先分配给关键业务应用(如ERP、OA、视频会议等)。这显著提高了业务应用的访问速度和稳定性,避免了因带宽拥堵导致的工作效率下降。精细化的流量管理确保了关键业务的SLA(服务水平协议)。
精细化应用与行为管理
深信服AC能够识别的应用数量庞大且持续更新。这意味着企业可以非常细致地控制员工可以访问哪些网站、使用哪些应用,甚至可以控制到应用的具体功能(例如,允许使用微信沟通,但禁止发送文件)。这种颗粒度的控制是提升工作效率和减少安全风险的重要手段。例如,可以禁止访问招聘网站、购物网站,或限制社交应用的使用时长。
保障信息安全与合规
互联网是信息泄露和恶意软件传播的重要途径。深信服AC通过以下方式加强安全:
- 恶意网站拦截:阻止用户访问已知包含恶意代码或钓鱼内容的网站。
- 数据防泄漏:监控和阻止通过HTTP、FTP、邮件、IM等途径上传敏感文件,配合关键词或文件类型识别,降低数据泄密风险。
- 行为审计留证:详细记录所有上网行为,一旦发生安全事件或违规行为,可以快速追溯,满足法律法规(如等级保护)的审计要求。
简化网络管理与可视化
深信服AC提供了直观的管理界面和丰富的报表功能。管理员可以清晰地了解网络中:
- 哪些用户使用了多少带宽?
- 哪些应用占用了最多流量?
- 用户主要访问哪些网站类型?
- 是否存在违规上网行为?
这些可视化数据极大地简化了网络行为的分析和管理,帮助管理员快速定位问题、优化策略,并为管理决策提供数据支撑。
深信服AC 的关键功能细节
深入了解深信服AC的关键功能,有助于理解它是如何实现上述价值的。
上网行为管理
这是AC的核心功能。它通过深度包检测(DPI)等技术,能够识别协议、应用和应用内的具体行为。例如,它可以区分是使用QQ聊天还是用QQ传文件;是使用迅雷下载还是浏览迅雷网页。基于这些识别结果,可以制定:
- 访问控制:允许、阻止、限制访问特定的网站分类(如新闻、娱乐、购物)、特定网站或特定应用。
- 时间段控制:设定不同时间段(工作时间、非工作时间)执行不同的策略。
- 配额管理:对用户或应用设定流量或时长配额。
应用控制与流量管理
深信服AC拥有庞大的应用特征库,且持续更新,确保能够识别最新的应用和其变种。在识别的基础上,可以实现:
- 应用阻断:完全禁止使用指定的非工作应用。
- 应用限速:限制某些应用的最高带宽,防止其过度占用资源。
- 带宽保障:为关键业务应用预留和保障必要的带宽。
- 优先级调度:设置不同应用的流量优先级,确保重要业务优先传输。
用户身份认证与权限控制
为了实现基于“人”的管理,AC支持多种用户认证方式:
- 本地认证:在AC设备上创建用户账号。
- 域控(AD)认证:与微软活动目录集成,实现无感知认证和基于域用户/组的策略。
- Portal认证:弹出网页认证界面,适用于访客或移动终端用户。
- 短信/微信认证:适用于访客场景。
- Agent认证:通过在用户终端安装Agent实现认证。
认证后,策略的执行将精确到每个用户或用户组,大大提升了管理的针对性和灵活性。
数据泄密防护
这项功能通常集成在高级型号或通过许可开启。它通过识别和监控文件传输行为,结合内容过滤技术,防止敏感数据通过网络外传。例如:
- 阻止通过网页上传特定类型的文件(如.doc, .xls, .rar)。
- 监控或阻止发送包含敏感关键词的邮件或聊天内容。
- 识别和控制加密压缩文件的传输。
数据防泄漏是上网行为管理的重要延伸,它从行为层面补充了传统安全设备在数据内容上的不足。
丰富的审计报表
深信服AC能够生成各种维度的审计报表,这是满足合规要求和进行管理优化的重要工具。报表类型包括但不限于:
- 上网总览报表:流量趋势、应用分布、网站分类分布。
- 用户行为报表:各用户的流量、访问网站、使用应用、搜索关键词、外发内容等详细记录。
- 应用报表:各应用的流量、访问用户、趋势分析。
- 网站报表:各网站的访问量、流量、访问用户。
- 安全报表:病毒、木马、恶意网站访问尝试。
- 行为分析报表:非工作流量占比、工作效率分析等。
这些报表支持多种格式导出,并可按需定制和自动生成。
深信服AC 应用场景
深信服AC适用于需要管理和优化上网行为的各类组织,无论规模大小。
企业总部及分支机构
这是最典型的应用场景。企业需要提升员工工作效率,保障业务带宽,防止数据泄露,并满足内部审计和外部合规要求。AC可以部署在总部的出口,或在分支机构独立部署,形成统一管理平台。
教育行业
学校需要管理学生、教职员工的上网行为,屏蔽不良信息,保障教学科研所需的网络带宽,防止考试资料泄露,并对学生宿舍等区域的上网行为进行管理和审计。
金融行业
金融机构对数据安全和合规性要求极高。AC可以帮助其控制员工访问非业务网站,防止敏感信息通过网络泄露,并提供详细的上网审计记录以满足监管要求。
政府机构
政府部门需要确保内网安全和信息保密,防止涉密信息外传,同时也要规范公务人员的上网行为,提升行政效率。AC的身份认证和精细化权限控制能力尤其重要。
互联网企业
即使是互联网企业,也需要管理员工的非工作上网行为,合理分配研发和办公所需的带宽,并防止代码、用户数据等敏感信息泄露。
深信服AC 的部署与管理
深信服AC的部署方式灵活多样,可以根据现有的网络结构进行选择。
常见的部署模式
- 网关模式(路由模式):AC直接作为网络的出口网关,处理所有上网流量。这是功能最完整、控制能力最强的模式,但需要对现有网络结构进行调整。
- 透明桥模式(透明模式):AC以透明的方式串联在现有网络设备(如路由器和核心交换机)之间,无需改变原有网络的IP地址或路由配置。部署简便,对现有网络影响最小。
- 旁路模式:通过交换机的端口镜像将流量复制一份发送给AC进行分析和审计。此模式不影响正常流量转发,主要用于审计和流量分析,控制能力相对受限。
- WCCP模式:与支持WCCP协议的交换机或路由器配合,将特定流量重定向到AC处理。
实际部署模式的选择取决于具体的网络环境、管理需求以及对现有网络改动的接受程度。
如何进行配置与策略管理
深信服AC通常通过基于Web的图形化界面进行管理。配置过程主要包括:
- 网络配置:设置设备的IP地址、部署模式、路由等基础网络信息。
- 用户/组织架构同步:与域控服务器对接或手动导入用户/组织信息。
- 策略制定:这是核心环节。根据不同的用户、时间、应用、网站等,制定允许、阻止、限速、保障带宽、仅审计等规则。策略支持精细化的条件组合。
- 对象定义:定义用户组、IP地址组、时间组、应用组、网站分类、敏感信息等对象,以便在策略中引用。
- 高级功能配置:根据需要配置数据防泄漏、认证方式、SSL解密(用于识别加密流量)等功能。
策略的制定和调整是一个持续优化的过程,需要根据实际的网络使用情况和管理需求进行。
如何查看和分析报表
报表是评估策略效果、发现潜在问题和进行合规审计的关键。在AC的管理界面,可以方便地访问各种预定义报表。管理员可以:
- 选择报表类型(如用户报表、应用报表、网站报表等)。
- 设定时间范围(当天、近一周、自定义)。
- 根据用户、部门、IP地址、应用类型等条件进行过滤和排序。
- 查看报表的图表和详细数据列表。
- 导出报表数据。
- 设置定期生成和发送报表。
通过分析报表,可以发现哪些用户是“流量大户”,哪些应用占用了过多资源,哪些部门的非工作上网行为比较突出,是否存在异常的访问行为等,为策略调整提供依据。
关于深信服AC 的其他常见问题
如何获取产品报价?
深信服AC的产品报价通常不是一个固定价格,它取决于多个因素,包括:
- 产品型号:不同型号的硬件性能(处理能力、带机量、吞吐量)和支持的功能(如是否支持SSL解密、数据防泄漏等)不同,价格差异较大。
- 授权用户数:许多功能是基于授权用户数来计费的。
- 购买的模块或许可:是否需要购买特定的功能模块许可(如高级威胁防护联动、DLP功能等)。
- 服务与支持:维保服务的年限和级别也会影响总体成本。
- 购买渠道:通过深信服的官方渠道或授权合作伙伴购买。
因此,要获取准确的报价,通常需要联系深信服的销售团队或授权合作伙伴,根据您的具体需求(用户规模、所需功能、网络环境等)进行咨询和方案设计。
产品型号有哪些?如何选择?
深信服AC拥有丰富的产品线,以满足不同规模和需求的客户。型号通常以“AC”开头,后跟数字系列,如AC-1000系列、AC-2000系列、AC-W系列等。不同系列和型号在硬件性能、带机量、吞吐量、接口类型、以及支持的高级功能上有所差异。
选择合适的型号主要考虑以下因素:
- 用户规模:需要管理多少个并发上网用户。这是决定型号系列和授权数量的关键指标。
- 出口带宽:当前及未来规划的网络出口总带宽。设备的处理吞吐量需要能够满足或超过这个带宽。
- 所需功能:除了基本的上网行为管理和流量控制,是否需要SSL解密、数据防泄漏、与AD集成、细致的应用内行为控制等高级功能。
- 部署位置:考虑部署在总部还是分支,分支机构的用户数和带宽决定了分支所需型号。
- 未来扩展性:考虑未来用户数和带宽的增长,选择留有余量的型号。
建议在选型时咨询深信服的售前工程师或授权合作伙伴,他们会根据您的具体情况推荐最合适的型号和配置方案。
对现有网络环境有什么要求?
深信服AC对现有网络环境的要求取决于您选择的部署模式。
- 网关模式:可能需要调整原有的路由配置,将AC设置为用户上网的下一跳或默认网关。需要为AC分配相应的IP地址和接口。
- 透明桥模式:通常不需要大的改动,只需将设备串接到现有的网络链路中即可。需要确保AC设备与串接链路的物理接口类型和速率匹配。
- 旁路模式:需要交换机支持端口镜像功能,并将需要审计的流量镜像到AC设备的监听接口。
- WCCP模式:需要路由器或交换机支持WCCP协议,并将流量重定向到AC。
总体而言,大多数企业网络环境都能适应AC的部署。在部署前,深信服或其合作伙伴会进行详细的网络评估,提供具体的部署方案和改造建议。
如何获得技术支持?
深信服提供多种渠道的技术支持服务,以确保用户在使用过程中遇到的问题能够得到及时解决:
- 官方网站:提供产品文档、常见问题解答、软件更新等资源。
- 客服热线:通过电话直接联系技术支持团队。
- 在线工单系统:通过Web界面提交技术问题,跟踪处理进度。
- 授权合作伙伴:如果您通过授权合作伙伴购买产品,他们通常会提供第一线的技术支持服务。
- 维保服务:购买设备的维保服务可以在服务期内获得更全面的技术支持,包括硬件维修或更换、软件升级、远程协助等。
建议购买官方维保服务,以获得持续、专业的支持保障。