信息和网络技术的发展，改善了用户的上网条件，同时也给组织带来更高的网络使用危险性、复杂性和混乱。据IDC调查发现，上班时间非法使用邮件、浏览非法网站、网络聊天、在线影音、P2P下载的员工日益增加，员工30%-40%的上网活动与工作无关；而对色情网站的访问统计表明：70%的色情网站访问量发生在工作时间。员工肆意使用网络将导致如下问题：
　　 (1)工作效率低下；
　　 (2)网速越来越慢；
　　 (3)安全隐患不断；
　　 (4)信息机密外泄；
　　 (5)网络违法行为；

　　为获取外部资源、保持沟通，组织内部网络必然与互联网连通，同时运行状况也愈来愈复杂。组织的IT管理者如何及时了解网络运行状况、作出分析、发现可能存在的问题（如违规访问、资源滥用、泄密、ARP欺骗等），并进行故障快速定位等，组织IT管理者面临的挑战和问题包括：
　　 如何对网络效能和行为进行统计、分析、评估？
　　 如何限制上班时间QQ聊天、无关网站浏览等非工作网络行为？
　　 如何封堵BT、PPLive等P2P行为，并进行流控，提升网速和带宽效率？
　　 如何防范用户“主动”下载病毒、木马、恶意软件？
　　 如何杜绝通过Email、MSN等途径潜在的泄密行为？
　　 如何避免恶意发帖、反动言论等法律问题，并在发生问题时有据可查？

内部网络管控的好帮手——SINFOR AC上网行为管理设备

　　一直以来，网络安全防御局限于传统网关（防火墙等）、网络边界（防病毒、IDS等）等方面，有效防御了来自网络外部的安全威胁。但实际情况是，由于内网行为管理的缺失，来自网络内部的安全威胁给用户造成了事实上的更多损失。
　　 在美国，有80%的机构对员工的互联网活动进行监控，且得到了“萨班斯法案”的支撑；而2006年3月1日开始实施的“《互联网安全保护技术措施规定（公安部令第82号）》”，也为中国的互联网使用单位，包括企业、政府、高校、行业用户等诸多机构，对内部用户的网络行为管控提供了法律依据。

　　举例来说，假设某组织有500雇员，平均月薪3000元，8小时工作时间中有1小时用于工作无关网络访问行为，一年直接损失的薪金就达2,250,000元。因此，如何有效提高工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设的首要任务。

　　针对内网安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全。

M5800-AC适合于内网用户数5000-14000人的组织机构，支持3个千兆网络接口（1 LAN、1 DMZ、1 WAN），并支持扩展4个千兆光口。

重要性能指标：
吞吐速度：2.2G bps
并发会话数目：1,500,000
转发时延：0.1 ms

网络接口：
局域网接口：1000BASE-T (RJ-45)*2
广域网接口：1000BASE-T (RJ-45)*1
                        1000BASE-X (GBIC)*2 
                         1000BASE-X (SFP)*2
串口：RS232 * 1

电源：
输入电压：180-240V
冗余电源：有

环境：
工作环境温度：-5~45 ℃
环境相对湿度：5~90%，非冷凝

硬件规格：
尺寸(cm)：43.9(W)×55(D)×8.5(H)
重量：22 Kg
标准2U机架式结构

与此同时，我们将结合用户的实际需求，推出了该型号的系列产品(如580X,580XF)，性能和功能模块不同，产品参数也会有所不同，供用户选用。

SINFOR M5800-AC有如下功能特性：

一、上网行为控制，规范员工上网行为，提高工作效率；
　　 多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；
　　 独特的WEB认证、基于浏览器实现方便的用户识别与认证；
　　 网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。
　　 独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连　　接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 

二、强大的监控和审计，保护内部数据安全、防止机密信息泄漏
　　 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；
　　 特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。
　　 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏；
　　 独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；

三、流量控制和带宽管理，优化带宽资源的使用
　　 多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。
　　 对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户(组)、应用类别、时间段等进行带宽分配；
　　 智能QoS优先级技术，重要数据优先传送，提升带宽使用效率。
　　 智能QOS，重要数据优先传送；

四、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持
　　网络行为日志支持海量存储，满足公安部82号令存储60天要求，且日志的查询、统计、审计等不影响网关性能；
　　 全面记录所有上网行为日志，图形化的日志查询、审计、统计功能；
　　 自动报表，让管理者自动获知组织的网络状况
　　 提供类似百度的搜索界面，实现海量日志的内容检索和搜索。

五、更多安全功能，全面提升内网安全级别
　　防范来自公网和源自内网的DOS攻击，提升网络可用性；
　　 防ARP欺骗；网关杀毒，从源头上查杀病毒；
　　 网络准入规则，修复内网安全短板，提升内网安全级别。

　　更具体详细功能，请参见产品白皮书或与我们联系。

功能一栏表：

分类	功能	详细指标
访问控制	危险网站阻隔	用户可自定义对色情、病毒、钓鱼网站的阻隔访问
	访问控制策略	提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略
	P2P拦截	使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔
	用户认证	提供Web登录认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能
	文件上传下载控制	对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ,MSN等P2P软件的文件传送进行拦截
	IPMAC绑定	提供灵活的IPMAC绑定策略
	代理识别功能	能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为，从而进行阻断
	敏感数据拦截	对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截，以防泄密或引起法律纠纷
访问审计	邮件延迟审计	对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄
	实时监控	实时监控用户的上网行为。
	访问监控	监控用户所有的上网记录，包括Web访问、Ftp、Telnet、邮件（含Webmail）及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。
	流量分析	能按用户、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。
管理功能	管理员权限	权限粒度细致，分级管理
	本地管理	GUI方式
	远程管理	GUI方式
	配置备份	使用加密的配置文件进行配置备份和分发
	Firmware升级	通过远程升级Firmware获得更新的软件版本和更多功能模块
高可靠设计	自动恢复	看门狗提供自动恢复功能，配置恢复功能
	双机备份	支持双机备份功能
	多线路备份	支持2～4条线路的备份
日志	日志容量	可以使用独立的日志服务器，容量无限制。
	日志备份	支持自动定时备份
	日志导入	支持转换日志为标准的TXT文件，便于导入到MS SQL或ORACLE数据库进行二次开发和分析
	数据中心	可用SINFOR 独立的数据中心进行详细的分析
网络特性	支持的Internet接口	PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN
	支持的协议	IPv4、IPv6
	网络分区	WAN、DMZ、LAN
	多线路支持	支持2-4条Internet线路的负载均衡和备份，提供智能选择最优线路等多种负载均衡策略
	工作方式	路由模式、透明模式

　　通过采用SINFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果：
1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率
　　 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SINFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。

2.流量控制、带宽管理，提升带宽利用率
　　 对严重吞噬带宽的P2P行为，SINFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。

3.修补安全漏洞、提升内网安全级别
　　 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SINFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SINFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SINFOR AC亦能侦测发现，从而修复内网安全短板。

4.防范信息机密外泄、保护组织信息资产安全
　　员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SINFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SINFOR AC同样可以过滤和记录；而SINFOR AC对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。

5.规范员工网络行为、避免法律风险
　　员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SINFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

　　SINFOR AC提供的数据中心，海量存储内网用户的各种网络行为日志，图形化的查询、审计、统计、自动报表、内容检索等功能，方便组织管理者了解和掌控您的网络。

　　SINFOR AC依靠多项业界领先技术及满足用户需求的功能，已经成为国内领先的上网行为管理解决方案。

一、SSL网站识别和过滤，反钓鱼网站、非法SSL网站等（专利技术）
　　采用SSL加密网页的钓鱼网站假冒网上银行，诱骗用户；越来越多的色情、反动网站也采用SSL加密形式以躲避过滤；网页“加密化”已经成为趋势，而业界绝大多数设备采用的URL库仅能对明文URL地址进行过滤，却无法对SSL加密网站进行识别和过滤。
　　 SINFOR AC通过SSL证书验证链接黑白名单技术，通过识别目标SSL网站的数字证书特征及信息，实现对非法SSL网站的识别和过滤。

二、深度内容检测，业界最全的应用协议识别库
　　 如何有效管控纷繁复杂的网络应用，如QQ、在线炒股、网游等，成为组织管理者必须考虑的问题之一。通过封堵服务器IP、通讯端口的方式不仅费时费力，而且治标不治本。
　　 各种应用协议在数据交互时，其收发的数据包中均含有其特有的特征字段。SINFOR AC通过检测和识别该特征字段，实现了对应用协议的识别和管控能力。当前AC已能识别数百种应用协议，甚至员工使用代理上网，AC也可识别和管控。

三、P2P智能识别，全面彻底的P2P行为管控技术（专利技术）
　　 P2P软件和应用方便用户共享资源的同时，也严重吞噬组织有限的带宽资源。业界存在众多P2P工具和各种版本，采用静态协议库的方式只能封堵“昨天的P2P软件”。
　　 SINFOR AC通过基于统计学的行为智能分析等四层识别技术，超越静态协议库的概念，实现对不常见的、未来可能出现的P2P应用的识别和管控，为用户提供了一劳永逸的解决方案。

四、网络准入规则，修复内网安全短板（专利技术）
　　 内网终端安装老旧的操作系统、不及时更新补丁、不安装指定的杀毒/防火墙软件、反而安装运行违规软件等行为，致使该终端成为内网安全短板，一旦该终端访问色情网站、肆意下载文件等，极易感染病毒、木马，进而感染内网其他终端，“堡垒被从内部突破”。
　　 SINFOR AC网络准入规则技术，将按照管理者指定的条件检测接入终端的安全级别，可禁止违反安全规则的终端接入Internet，从而修复内网安全短板，提升内网安全级别。

五、邮件延迟审计，将泄密阻挡于内网（专利技术）
　　Email已经成为组织办公和沟通的主要工具之一，但通过Email的泄密事件也时而发生。传统安全设备在收到泄密邮件时，拷贝备份后发送该邮件到公网，泄密事件轻易发生了。
　　 SINFOR AC不仅能限制哪些用户、哪些Email地址可以发送邮件、限制Email大小等，还可根据预设的过滤条件，先拦截潜在的泄密邮件，人为审计后才能继续发送，从而将泄密邮件阻隔于内网，保障组织的信息资产安全。

六、免审计Key，消除高层领导的疑虑
　　 通过图形化界面的简单勾选配置，SINFOR AC针对不同用户差异化记录用户的各种网络行为。但高层领导的网络行为往往涉及组织的发展、规划等敏感信息，如CEO、总裁收发的Email等，如何避免“非善意”IT人员对CEO的行为记录？
　　 SINFOR AC的“免审计Key”将从设备底层免除记录CEO的任何网络行为，解除高层领导的后顾之忧。

七、海量日志的内容检索，方便管理者的审计
　　 大型组织使用SINFOR AC记录的海量日志，通过自动导出到第三方数据中心实现了海量存储。但如何进行数据挖掘、如何从数百G的日志中查找管理者感兴趣的内容？
　　 SINFOR AC提供的内容检索工具，通过类似Google的搜索界面，让管理者快速、方便的实现海量数据检索。

八、Web认证、辅以单点登录，方便用户的使用
　　无法识别用户就无法对用户进行差异化授权；AC支持多种认证方式和第三方认证服务器，并通过基于IE的WEB认证方式，方便了用户的身份识别和认证。
　　 而SINFOR AC的单点登录功能，允许用户在通过第三方认证服务器身份认证后，自动通过SINFOR AC，简化用户操作。