浅析SANFOR网上行为管理在企业局域网内的应用

2024年4月20日发(作者：)

龙源期刊网

浅析SANFOR网上行为管理在企业局域网

内的应用

作者：商庆伟 王卿

来源：《计算机光盘软件与应用》2013年第21期

摘 要：为了进一步加强企业内部的网络管理，规范上网行为，做好网络安全防护与监

控，某公司采用了深信服公司提供的上网行为管理等产品与解决方案。本文主要介绍了该产品

的主要功能，并针对某公司所实施的具体方案及实施效果等进行了初步分析。

关键词：上网行为；安全；管理

中图分类号：TP393.08

随着电力企业信息化建设的不断前进，网络应用已经越来越广泛的应用于电力系统中的各

个领域，互联网带来的各种利弊也慢慢凸显出来。一方面提高了工作效率，上网条件得到改

善；一方面网络资源滥用，信息泄露等问题也日益严峻。如何最大化利用网络资源的同时，又

能避免各类安全隐患的发生，某公司决定采用技术设备与规章制度结合的方式，根据业务需求

规范不同网络应用优先级别，总体规划网络带宽、流量，指导员工正确使用网络资源，从而对

局域网内各种上网行为进行有效管理。某公司于2007年采购了深信服公司的上网行为管理

AC1600及VPN2050等相关产品，至今已运行了5年，期间进行了一次系统升级，通过其AC

产品提升了整体宽带水平，做到了流量的智能选路和负载平衡，同时对局域网内用户的各种网

络行为进行了有效的管理、监控和引导。

1 AC上网行为管理设备主要功能

1.1 识别功能

识别作为管理的基础，是上网行为管理产品功能是否健全的有利保障。SANGFOR AC上

网行为管理具有强大的识别功能。基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户

名密码、USB-Key识别，公用账号认证，同时支持LDAP认证、Radius认证、POP3认证、

WEB认证等等，其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP

POST方式实现web认证。其次SANGFOR AC还能够对终端进行识别，特别是目前SSL加密

网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用，能够识别

SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过SSL加密的论坛

/BBS发帖、webmail外发邮件、SMTP/POP3，AC都能对其进行识别。

1.2 控制功能

龙源期刊网

针对目前P2P行为泛滥的趋势，SANGFOR AC的P2P智能识别技术能够对不常用的、未

来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控

制功能。AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同

目标行为进行灵活权限控制，实现人性化管理要求。

1.3 带宽及流量管理功能

SANGFOR AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、

互为备份、流量负载均衡。通过部署SANGFOR AC网关，可实现智能化选择最快的出口线

路，有利于上网速度的提升。网络管理员可以查看指定时间段内流量分布，用户流量排名，视

频会议系统等业务流量，并可对带宽进行划分和分配，进而优化网络资源。

1.4 监控和审计功能

可以对局域网网用户的访问网站、使用的聊天工具、聊天内容、传输文件等进行审核记

录。对一些敏感网址进行屏蔽。对不同岗位人员可以设置不同上网权限。

除以上四个主要功能外还包括提醒功能、报表和检索功能、安全增值功能等。

2 某公司采取方案

2007年某公司采用了深信服公司的SANGFOR M5400-AC和SNGFOR M5100-S产品，随

着硬件平台的老化和外网带宽的增加，已经无法满足现有的使用承载能力，2010年，公司将

产品升级到SANGFOR AC1600和SANGFOR VPN2050，新的产品可以支持局域网内用户数

1500人，支持千兆的网络平台，最大支持并发300移动客户。目前公司使用的深信服产品网

络拓扑图如图1：

图1

由于某公司工作特殊性，许多员工需要外出办公，领导与管理人员也会经常出差，如何实

现局域网内的异地办公，我们采用了SANGFO VPN产品来解决远程接入的问题。公司为需要

异地办公的人员配备了DKEY钥匙，使员工无需安装客户端，仅凭借浏览器即可使用SSL

VPN。原理见下图2：

图2

3 实施效果

通过近五年的使用，对于规范网络资源的正确使用起到了良好的作用。

3.1 P2P软件的控制

龙源期刊网

P2P行为对带宽的吞噬能力众所周知，而传统的只能封堵“昨天的BT软件”是不够的。AC

凭借P2P智能识别专利技术（专利号： 2.8），不仅能识别和管控常用P2P软件及

版本，对不常见的和未来将出现的P2P亦能管控。而AC为您提供的P2P流控技术，将限制指

定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。

3.2 带宽统计和管理

AC数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。借助图形化报

表、曲线和统计结果，可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。

AC基于用户（组）、应用类型、网站类型、文件类型、目标IP等的智能流控，细致划分

与分配带宽资源，如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行

为得到带宽保障，提升整个机构的带宽使用效率。

3.3 外发信息控制

内网用户如果使用了聊天软件、或是论坛、博客、E-mail、BBS等将办公信息或其他机密

信息外泄时， AC能封堵审计收发的Email，过滤访问论坛、网站的行为，让内网用户认识到

自己需要为其网络行为负责。AC具有完整的身份认证体系，某公司采用IP地址与MAC地址

绑定的方式，对局域网内每个用户进行监控，未经授权的用户将无法访问包括内网在内的任何

网络资源。

3.4 版权保护和法律举证

局域网内的个人用户有可能对版权的认识不是很清晰，AC系统可以帮助提醒个人用户是

否有违法违规的操作，并在AC数据中心找到违规记录，避免不必要的纠纷。当因个人原因导

致的非正当网络行为，例如访问色情、反动网站等，也可在AC数据中心中找到相关违法违规

记录作为法律举证的重要依据。某公司每天产生数几M的日志数据，通过AC独立数据中心

实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。

通过统计报表功能，您将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的

详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门

将统计结果向机构高层汇报。

3.5 提升了工作效率

AC能针对不同用户（组）提供基于角色的管理方法，让管理者实现指定用户和部门在工

作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏

览都将被拒绝。如果员工上班时间通过QQ、MSN、飞信等工具聊天或发送文件，不仅影响工

作效率，还有可能导致信息外泄。AC可通过检测数据包内字段，实现多方位的管控。并通过

龙源期刊网

限制用户搜索指定关键字，过滤用户上传下载的指定文件，将内网用户精力更多聚焦在工作

上。AC通过为不同部门、不同用户进行权限分配，并支持设定一定的上网时间值。

3.6 保障内网安全

SANGFOR AC的脚本过滤功能能够根据脚本行为和特征拦截不良网站和含有恶意脚本、

木马的网页，防止用户不小心进入不良网站而感染病毒、木马。SANGFOR AC支持插件过

滤，能够根据插件的名称、签名、证书等过滤掉IE插件，同时也能识别下载的文件中隐藏的

插件。从而避免用户上网被强制安装的恶意插件而导致的系统崩溃、访问网络不正常等情况，

阻止恶意监控软件盗取个人信息、企业机密。假冒网上银行的钓鱼网站、加密的反动网站等，

显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。AC通过证书验

证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、

邪教、钓鱼网站等的过滤。通过检测流量和异常网络行为等技术和内置防ARP欺骗功能组

件，还可彻底防御来自外网和内网的DOS攻击，保障用户网络的可用性和可靠性。

4 结束语

某公司是拥有3000多员工的老厂，但信息化建设一直走在电力系统前沿，公司局域网的

建设经过多年的完善，已经初具规模，内网网络效能的提升更是公司信息化建设非常看重的一

方面。通过SANFOR网上行为管理的实施，大大提高了工作效率，增强了内网安全性，更是

为整个国华系统的内网建设提供了宝贵的资料。

参考文献：

[1]徐梁，何宇，陆函奇.刍议电力企业局域网系统的网络安全问题[J].计算机光盘软件与应

用，2012（20）：97+113.

[2]吴琴.浅析中小型企业办公局域网的安全管理[J].计算机光盘软件与应用，2012（22）：

159+161.

作者简介：商庆伟（1978-），男，江苏省徐州市人，硕士，讲师、工程师，主要从事网

络运行、维护、管理方面的工作，研究方向：计算机应用技术，信息安全域网络技术；王卿

（1979-），女，江苏徐州人，工程师，从事计算机软件管理工作。

作者单位：徐州工业职业技术学院，江苏徐州 221140；国华徐州发电有限公司，江苏徐

州 221166