深信服AC系列产品技术优势(1)

【51CTO.com 综合报道】强大的功能源自技术的持续创新。在本文中，您将了解到AC的一系列深入用户需求的标杆性技术。

邮件延迟审计(PSA)

大多数的反垃圾邮件网关只能过滤“由外到内”的垃圾邮件，而对“从内到外”的

邮件则完全放行，由于内网发送的邮件（Outbound Mail）存在着泄密风险，一名员工可能会把公司的商业机密发送给竞争对手，一位客户经理也可能将一份公司苦心搜集来的客户名单发送给其他组织。同普通的反垃圾邮件网关过滤单向的接受邮件相比，我们更希望能够实现“外反垃圾、内防泄密”的双向邮件过滤。

AC集成的基于网关的邮件延迟审计技术（Postponed Sending after Audit, PSA）为企业级用户提供了邮件内容防护的可靠途径。PSA采用了邮件转移技术，内网用户发送的邮件会首先被AC网关转移至网关的邮件缓存区，邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件，那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的，邮件的发送过程和以往并没有任何不同。

图1

你还可以对PSA做细粒度的审核机制，例如需要进行邮件审核的发件人、收件人以及邮件的特征。

PSA提供对收件人和发件人名单的编辑。你可以对特定部门和特定员工启用审核功能，因为你的老板也许不希望自己的邮件行为受到他人监控。同样，你还能够对邮件的收件人进行黑白名单控制，如果你认为somebody@trust.com是一个可以值得信赖的收件人，那么所有发送到此地址的邮件将不会被PSA进行延迟处理；相反，如果 somebody@suspect.com是一个可疑的收件人，任何人发往此地址的邮件都将被转移到邮件缓存区以待审核。

而邮件特征的定义细致了PSA的对象定义粒度。你可以调整需审核邮件的正文和附件大小以及邮件的关键字特征，例如你可以设定一条规则，只有正文中含有“Code”而且正文和附件大小不低于10K的邮件才需被PSA审计。

图2

由于PSA涉及到人工的审核操作，所以邮件的延迟发送时间也是可控的，当有邮件进入缓存区等待审计时，AC将通过邮件等方式通知邮件审核人员，如果邮件审核人员在长时间没有登录审计，待审计邮件将被AC自动发出，避免重要邮件被延误。

网络准入规则(NAR)

AC的网络准入规则（Network Admission Rules, NAR）通过对客户端的评估来实现网络访问控制，并更好的维护网络安全防线。

NAR的设计意义在于三个方面。

首先，仅靠网络边缘的外围设备已经无法保证安全性。提供边界防御的安全网关无法保护内部网络段，也无法替代内容安全防护措施。即便组织的网络出口处运行着防火墙等网络周边安全设备，病毒和蠕虫、特洛伊木马、等基于内容的恶意行为仍频繁渗入组织内网。

其次，边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。同时，日益提高的安全过滤和控制要求，以及不断增加的带宽需要，也给网关性能带来很大压力。

最后，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此。使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都将成为局域网安全中的“短板”。

基于此，AC的NAR通过对端点安全评估和访问策略列表来实现全方位的安全防护。

当启用了AC的NAR功能后，内网用户第一次发起互联网连接请求时，NAR将动态分发准入代理（Sinfor Ingress Agent,  SIA）至客户端主机。SIA是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略，SIA中可配置用于检查预定义的和可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当SIA将搜集到的客户端信息传回AC网关后，当内网用户的端点安全状态不符合SIA的规则设置时，AC将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程。 

图3

如果你的一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络。这时我们就可以通过NAR将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网“隔离”，只有关闭掉恶意程序才能正常访问互联网，这会使内网用户的网络行为更规范。

而NAR提供的可定制的网络行为标准可以给网关管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，NAR可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系结为一体。