只有企业业务网络提速，企业的发展才会提速，苏州寰润广域网部署安全高效

根据苏州寰润信息科技有限公司2014年01月08日上午14：00分最新公司新闻最新报道：只有企业业务网络提速，企业的发展才会提速，苏州寰润广域网部署安全高效。苏州寰润信息科技有限公司，联系人：施女士，手机：***，电话号码：***-801，传真号码：***，公司地址：苏州市桐泾北路218号来客茂商务大厦8楼808室。

1 有效进行部门规划

首先根据职能部门来划分用户组。有些部门由于物理环境的限制无法获取连续的C类地址，但这不会影响AC的使用，只需要继续添加。对于某些不属于特定部门的人群，可以另外建组。
2 建立身份认证体系
3A（认证，授权和审计）是组织安全基础设施的基础，将对用户和内容进行有效的
保护和控制。基于内网的安全的认证机制还需要进一步完善，需要管理局域网中所有用户的Internet访问。
身份认证主要有两种方式，免客户端认证和客户端认证，AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和操作，

很好提高了操作的互动性和弹性。
AC支持多种认证方式，除了通过用户名/密码、IP/Mac认证外， AC的Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的

局域网扫描功能实现。对于后几种认证手段，只要在AC中正确填入域、活动目录和邮件服务器的地址和端口，AC将自动更新用户列表和策略，这对建立了完善的内网认证体系的用

户非常方便。
3 开始分析网络流量
当用户通过认证系统的身份校验后，AC将为不同的用户组进行授权，将系统管理员设定的策略同用户的标识相对应。在AC中，这些规则的制定主要从保护、控制和监控出发，并将

这些规则和用户有机地结合在一起，进而形成一套完整的访问控制策略。
当局域网中的用户通过了认证、授权后，你往往要面临严峻的带宽使用问题。好的改变方法是部署基于广域网的加速设备。
    AC的网络数据中心（Network Data Center， NDC）是一种统计分析工具，它可以记录局域网用户访问Internet的所有流量。
4 优化带宽资源
在不能改变狭窄带宽的前提下，需要去适应带宽，进而优化带宽。

    首先可以考虑使用AC的QOS和带宽叠加功能，AC将对的带宽优化起到有效作用。QOS的设定有助于那些要求高传输质量、低时延的服务取得优先的带宽。
    而带宽叠加技术作为深信服科技的一项专利（专利号：***X），已被直接用在AC上网行为管理这条产品线了。通过绑定多条ADSL或专线，可以获得更大的出口带宽，

当多条ADSL绑定时，可以获得超过单条FTTX的带宽，而其费用却远远低于后者。这对于拨号和xDSL资费低廉而且专线线路难以申请的地区尤其有吸引力。、
更具效力的网络流量优化方式是AC的基于用户的流量控制技术（User－Based Traffic Control, UBTC）。在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源

的，而有些部门的非工作相关服务本不应获得更高的带宽。通过AC的分组流量控制,可以对不同用户组使用的服务进行精细到以K/Bps为单位的带宽分配，保障重要部门的重要服务

得到足够带宽，使非重要的服务受到合理的流量限制。
当管理员对互联网的使用情况有了大致的了解后，可以针对用户组的行为做出进一步的管理和控制。
5 网页浏览的控制
网页的浏览是互联网访问的主要内容。一方面，组织的管理者不希望给办公室营造监狱一样的环境，为了使员工得到更好的心情和满意度，组织需要一个人性化的环境。另一方面，员工对互联网的滥用的确带来了严重的生产力流失。
在AC的内置库中有着数百万的URL资料，分为新闻、音乐、视频、成人、财经、教育、科技等条目。在局域网中的用户浏览网页时，AC的联动式分析系统（Link Analysis System,

LAS）将发挥作用。通过LAS技术，AC将根据网页的内容、用户可管理的关键字组、网页中包含的文件类型进行联动式分析，并根据AC默认的设置、管理员自定义的过滤规则对用户需要访问的网页进行过滤。同时，AC还可根据工作时间，季节等最时间进行兼具计划性和灵活性的划分。
6 管理即时通讯工具
不断成长壮大的IM已经成为了事实上的企业通讯标准。  然而，IM的大量使用也造成了生产力的流失和机要信息的泄露。AC可以提供对IM软件从禁止、监管、再到安全性审查的解决方法。
7 应对BT类软件
P2P技术对带宽资源的争用使局域网有限的带宽被耗尽， P2P的封堵应该是所有安全网关都需要关注的问题。
AC可提供两种封堵方法，一种是基于应用协议和数据包的分析，另一种是针对流量进行检测。
首先，AC的深度内容检测服务（Thorough Content Detection, TCD）可以对BT类应用的数据包进行深入检测。TCD通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，实现了从四层到七层的全面内容检测，能够更好的发现哪些服务是P2P类应用，而不再使封堵仅限于对端口的分析和封锁。由于TCD技术将对数据包进行深入分析，当内网用户发出的会话较多时，网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗， AC采用了网络流量智能分析技术(Network Traffic Intelligence Analysis , NTIA）。区别于端口封堵和内容检测，NTIA技术将对每一个用户和用户组的网络连接情况进行分析，当网络流量和网络连接超出AC规定的阀值时，用户的P2P行为将被限制流量。一些P2P封堵技术实现了对某些BT类应用的“杜绝”，例如Cisco采用的NBAR，NBAR将对BT和电骡产生的数据包丢弃而不是管理，但更理想的方式应该是合理的利用P2P技术为我们的资源共享服务。上面提到的深度内容检测（TCD）和网络流量智能分析（NTIA）都能够提供给用户更多的选择。当AC确认某些用户在下载P2P文件时，网管员可以采取三种策略，首先是允许下载，这是对VIP和紧急用户的特权选项；其次是拒绝，你可以选择对某项P2P服务彻底封堵；最后是流量控制，即内网的用户可以使用P2P类软件，但他们产生的流量和连接能够被控制在一个可以接受的范围之内。
8 控制其他的网络应用
Internet上的网络行为还远远不止以上提到的内容。需要管理者关注的还有网络游
戏、在线视频（MMS、HTTP Streaming、RTSP等）、在线炒股等应用。AC的深度内容检测（TCD）已经自带了众多应用程序的数据特征文件，通过对用户组的访问控制设定，你可以轻易地允许或者拒绝内网用户访问特定的网络服务。作为一种面向客户的开放式解决方案，AC提供给用户更丰富的自定义功能。在TCD的高级设置中，AC允许有编程基础的网络管理员添加、修改和导入自定义的网络应用规则。如果局域网内有人使用非公开工具进行不正当活动，通过分析其工具的数据内容，AC同样可以实现封堵和控制。
9 在FTP的防护措施上， AC可以通过关键字和文件类型的设定来限制FTP的传输内容，对于内网通过FTP上传到公网的内容，AC将进行记录和保存，以便更好的对违规、违法员工进行网络行为追踪，进而更好的保护组织资产。
    在邮件的发送中，AC可以启用邮件延迟审计（Postponed Sending after Audit , PSA）,通过PSA技术，内网的邮件将收到更为细致和全面的审查，以避免机密信息的不慎或有意泄露。具体内容您可以参考下一章的“邮件延迟审计技术”介绍。 BBS的访问主要分为Web登录和Telnet登录，对于Web方式的访问，AC同样可以通过对关键字的审计来限制内网用户发帖行为；而对于Telnet方式的登录，AC亦可以记录命令的详细内容，以供后期的审查使用。
3.10更多的安全机制
VPN/防火墙
反垃圾邮件
入侵防御系统
防DOS攻击系统
网关杀毒