1近亿个 URL；包括常规 URL 分类+安全相关 URL 分类（钓鱼网站、威胁等）；持续定期更新。

综合网站排行榜和企业内用户访问日志，生成针对企业特定的初始库，使得用户大部分的 URL 查询得以在设备端高速缓存完成；采用的 URL 高速缓存技术可以降低Web 安全网关的资源使用并提高性能。

云端基于 ElasticSearch 集群，提供可扩展的、快速的 URL 分类查询服务。

灵活的策略和完备的风险类别库逬行 URL 过滤，其中安全风险类别包括了恶意网站、钓鱼网站、僵尸网络等在内的十几个子类；采用了 Web 信誉分值技术， 用于根据指定的敏感度级别来识别是否允许 URL 访问；集成了 QVE、QVM. AV 匚等高级安全内容打描引擎，采用了本地加云端实时查杀技术，让您实时应对最新的病毒、木马、网络威胁、未知威胁；可以提高员工的安全风险意识、增强公司业务的流程，意味着保护您的组织免受最新的 Web 安全威胁。

控制使用客户端的互联网应用；控制在浏览器中使用 Web2.0 技术的应用； 灵活的控制策略，例如针对多种 IM 应用，可以允许使用其中一种而阻止其他； 对超过上百种 Internet 应用程序提供管理控制功能，包括使用客户端和基Web2.0 技术的应用程序。

安全鳄 ASWG 与 DLP 使用 UCSS 统一内容安全管理平台，这使得安全鳄产品能够协同工作，随地保护 Web 安全和数据安全，无论是本地部署、混合云部署还是私有云的部署，在防止 Web 安全和内容安全数据丢失方面做到无缝协作。

安全鳄 ASWG 无缝集成业界领先的数据防泄漏模块，可以优化并保护网络上任何用户的 Web 应用和网络上传输的数据内容安全，防止整个数据链中的入站和出站的高级威胁和数据窃取，在内部和移动用户的统一解决方案中嵌入企业级数据丢失防护。ASWG 集成的企业级数据防泄漏引擎采用深层内容分析技术，对 Web 通道中传输中的数据进行识别、监控..保护的相关机制.采用最先进的自然语言处理、指纹扫描、智能学习、图像识别等技术，对 Web 通道的数据逬行全方位多层次的分析和保护，防止企业核心数据以违反安全策略规定的方式流出而泄密。

全球协同的智能系统支持的实时内容过滤，它将动态保护结合到企业需要的互联网使用策略的精细控制中；广泛的分类覆盖和对给定 URL 分配多个分了的能力，为管理今天复杂的互联网环境提供多维度的控制。随着有害代码（Malware）技术的不断发展和丰富，简单地检查和屏蔽互联网威胁的方式已经不再有效，Web 安全解决方案需要在业务系统被感染前，就主动预警和屏蔽有害代码。而层次化的主动防御是解决互联网安全问题的有效手段。

监测用户访问的 URL 的合法性和合规性，对用户访问的 URL 做信誉评测，自动为其分配 URL 风险类别和安全级别，即使在没有配置任何策略的情况下也可以采用默认的安全防护策略进行放行或阻止，同时根据用户访问 URL 相关分类做统计分析。

在线网络威胁检测，是一个主动防御的互联网安全解决方案的有机组成部分，它能够检测 SSL 加密通道传输是否带有恶意链接通讯，以及在下载内容是否有含有病毒风险。

天空卫士 ASWG 在反向代理应用中，通过四种主要的方式，为 Web 应用提供有效的保护。

在典型的 ASWG 反向代理实现环境中，Web 应用配置在防火墙的后面，而 ASWG 配置在 DMZ 中，并对互联网通讯开放；由于只有 ASWG 被防火墙允许与 Web 应用通讯，因此，任何人其它侵入该应用，都必须通过多层检查：首先，ASWG 专用设备可以隐藏内部的域和 URL 结构；其次是防火墙；最后，对服务器的访问进行限制；从而，获得较高的安全性。 ASWG 专用设备能够区分有效的连接和有害的连接，并且屏蔽不规范的请求，因此， 能够在抵抗攻击的同时，为合法用户提供服务。

作为保护的一个附加层，ASWG 能够工作在 Web 应用和访问用户之间，要求用户提供用户名/密码信息，或透明地检查已有的认证信息；ASWG 可以使用已有的安全体系来认证用户，可以包括：LDAP、Radius、证书、NTLM、本 地用户列表等；支持多种确定用户的不同方式，包括：密码、证书、令牌、用户 组、IP 地址、子网和网络标示等。 ASWG 的灵活的体系结构支持基于多个后台服务器或用户域的用户认证和授权，、LDAP、Radius、本地密码、WEB 认证证等相关认证。

集成内容分析系统可以对企业中预先定义的非结构化数据文件或者结构化数据库进行扫描，在扫描后获得扫描内容的所有文字部分，并对文字部分生成指纹存放在 ASWG 系统的指纹库中。当被处理对象到达 ASWG 系统时，则按照同样的方式对被处理对象生成指纹，然后和现有指纹库进行对比。这样，就可以快速得到被处理对象和指纹库中文件的相似度。只要达到系统预定义的相似度阈值，则会触发规则策略处理，进行日志记录、审计或者阻止。 无论是具有结构化格式的数据，如客户或员工数据库记录；还是非结构化格式的数据的办公文档、还是代码，应支持对其进行自动扫描和本地上传的方向提取，并配置为定期自动更新，保证指纹数据永远和机密数据同步，不管信息泄露者采用何种数据变形手段都无处遁形。

如客户信息，Oracle、SQLServer、MySQL、Postgres 等数据库类型的提取指纹，DLP 仅需以只读权限对数据库表抓取指纹并录入指纹数据库，并可指定安全策略引擎进行整行数据记录匹配，减少误拦截。

对 pdf,.doc,.docx,.ppt,.pptx,.xls,.xlsx,.rar,.zip 等常规文档类型提取指纹，网关根据指纹相似度内容去匹配，将文本文件分段后选择性地计算各片段的哈希值， 并将哈希值存入指纹数据库中供安全策略引擎进行相似度对比，既可以非常精确的辨认出原始文件内容，也能够识别在一定范围内修改后的文件内容。

对 c,.cpp,.java,.sh,.bat,.hpp.py 等类型源代码提取指纹，网关根 据指纹相似度内容去匹配，并将哈希值存入指纹数据库中供安全策略引擎进行相似度对比， 既可以非常精确的辨认出原始文件内容，也能够识别在一定范围内修改后的文件内容。

机器智能学习可以对大量的无特定格式文件样本进行快速学习和分类，分类产生的模 （Model）可用来对数据进行分析并计算该数据是否属于某一个分类。机器学习的优势在于其生成的模的大小基本恒定，所以很适合处理大量的样本，另外机器学习技术可以对新的、并未出现在样本中的数据进行较为准确的预测。 基于人工智能的预测机制，通过分类样本中共同的“特征”进行预测和分析； 无格式文本文件样本进行快速的分类； 适合处理大量的样本； 对新的、并未出现在样本中的数据进行较为准确的预测。

OCR （Optical Character Recognition，光学字符识别）是指对上传输内容包含电子图片内容中的字符采用光学字符识别方法将形状翻译成计算机文字的过程。在 ASWG 识别分类器中 OCR 图像识别分类器是极其重要不可或缺的识别器之一。检测内容识别产品是否支持高性能的 OCR 检测技术，是用来衡量内容识别产品成熟度的标志之一。

天空卫士安全网关解决方案由 ASWG、UCSS 两个产品组成，其中,UCSS 作为统一内容核心控制平台，ASWG 做为增强型 web 安全网关根据企业应用场景可做为 web 安全网关、应用安全网。 ASWG 在企业网关的部署有三种主要方式：显性代理，透明代理，反向代理。

代理技术是很好隔离客户端与服务器真实传输连接，根据场景的不同分为客户端指定代理、利用 PAC 脚本方式配置代理指定代理方式常用于大型网络环境，ASWG 可以部署在网络的任何地方，要求所有用户能够访问到它，而它能够访问互联网，指定代理方式要求在 Web 浏览器上使用一个指定代理的定义；为简化配置，管理员可以通过分发 PAC 或 WPAD 文件的方式，实现最终用户浏览器的指定代理设置。 示意图如下：优点： 指定代理方式的主要优点包括： 3.减少 ASWG 处理的通讯种类 4.能够更方便地在网路中实现容错设计 5.对现有网络结构影响最小，能够部署在网络的任何地方，用户能访问它，它能访问互联网就可以。

透明代理方式无需客户端平台的任何配置修改，对客户端是透明的，有三种主要连网方式：透明网桥（Inline）、策略路由、WCCP 的方式根据场景选择不同部署方式。 示意图如下：

3.2.1 使用AWGG 设备作为反向代理的方式对源服务器进行保护以及数据安全管控，利用 ASWG 设备的安全性和强大的性能来实现对源服务器的卸载和安全防护。同时可以部署多台ASWG 设备在应用服务器前端，实现高速性能负载均衡和系统高可用性，并且会降低后台源服务器的部署数量。 反向代理示意图：

SecGator UCSG-ASWG 1100

Intel Xeon E3 CPU, 16GB ECC 内存， 2X 1TB SATA 7200rpm 3.5 寸磁盘 ，冗余数据存储。 2 个千兆网口+2 口 Bypass 网口，适合于小型企业使用场所。

SecGator UCSG-ASWG 5100

2*1ntel Xeon E5 CPU, 32GB ECC 内存； 2*600G SAS 2.5 寸 10,000rpm 磁盘冗余数据存储； 4 个千兆网口四+4 口千兆 Bypass 网口；冗余电源；适合千中型企业使用场泉。

SecGator UCSG-ASWG 11000

2*1ntel Xeon E5 CPU, 64GB ECC 内存； 2*600G SAS 2.5 寸 10,000rpm 磁盘,冗余数据存储； 4 个千兆网口+4 口千兆 Bypass 网口；冗余电源；适合于大型企业使用场景。