式部署替代前置路由器充当防火墙，总部和分部设备通过IPSECVPN互联。
4
fSi
forAC上网行为管理解决方案
网络拓扑图1：在外办公人员比较多时，采用单独的SSLVPN设备，在外办公人员通过SSLVPN
与总部相联。总部和分部通过设备采用IPSECVPN互联。
5
fSi
forAC上网行为管理解决方案
网络拓扑图2：在外办公人员比较少时，直接用AC行为管理自带的IPSECVPN，在外办公人员
通过IPSECVPN客户端程序与总部相联。总部和分部通过设备采用IPSECVPN互联。
I
ter
et
网管平台
总公司
IPSEC
VPN上网行为管理
DMZ区
核心层
汇聚层
汇聚层
接入层
接入层
IPSECVPN
移动办公
分公司IPSEC
VPN上网行为管理
分公司1
分公司2
IPSECVPNSSLVPN
网线光纤范围界定
线
6
fSi
forAC上网行为管理解决方案
四、深信服AC上网行为管理功能介绍
1，细致的访问控制功能，有效管理用户上网
SINFORAC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，
更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可
以分析出企业的I
ter
et的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有
效数据支持。基于Web的和LDAPRadius集成的用户认证功能，使得对上网用户的管理变得十分
灵活方便。
表1：访问控制功能一览表
功能
详细指标
危险网站阻隔
使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问
访问控制策略
提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访
问控制策略
P2P拦截
使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、
SKYPE、BT等任何P2P软件的流量阻隔
用户认证
提供Web登录认证功能，提供本地用户数据库和LDAP、RADIUS用户
数据集成功能
文件上传下载控制对HTTP、FTP文件上传、下载类型和大小进行控制，也能对QQ、MSN
等P2P软件的文件传送进行拦截
IPMAC绑定
提供灵活的IPMAC绑定策略
代理识别功能
能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，从
而进行阻断
敏感数据拦截
对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密或
引起法律纠纷
2，完善的内容过虑和访问审计功能，防止机密信息泄漏
谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，
而是通过内部泄漏的。SINFORAC安全网关完善的访问审计和监控功能能够有效防止信息通过
I
ter
et泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用
了深信r