強大的功能源自技術的持續創新。在本文中，您將了解到AC的一系列深入用戶需求的標桿性技術。

郵件延遲審計(PSA)

大多數的反垃圾郵件網關只能過濾“由外到內”的垃圾郵件，而對“從內到外”的

郵件則完全放行，由于內網發送的郵件（Outbound Mail）存在著泄密風險，一名員工可能會把公司的商業機密發送給競爭對手，一位客戶經理也可能將一份公司苦心搜集來的客戶名單發送給其他組織。同普通的反垃圾郵件網關過濾單向的接受郵件相比，我們更希望能夠實現“外反垃圾、內防泄密”的雙向郵件過濾。

AC集成的基于網關的郵件延遲審計技術（Postponed Sending after Audit, PSA）為企業級用戶提供了郵件內容防護的可靠途徑。PSA采用了郵件轉移技術，內網用戶發送的郵件會首先被AC網關轉移至網關的郵件緩存區，郵件審核人員通過系統口令訪問郵件緩存區并審核郵件正文及其附件，那些涉及到機密信息、侵犯性語言、非法URL、個人隱私的郵件將被返回給發件人或者丟棄。而這一審核過程對局域網中的用戶是完全透明的，郵件的發送過程和以往并沒有任何不同。

圖1

你還可以對PSA做細粒度的審核機制，例如需要進行郵件審核的發件人、收件人以及郵件的特征。

PSA提供對收件人和發件人名單的編輯。你可以對特定部門和特定員工啟用審核功能，因為你的老板也許不希望自己的郵件行為受到他人監控。同樣，你還能夠對郵件的收件人進行黑白名單控制，如果你認為somebody@trust.com是一個可以值得信賴的收件人，那么所有發送到此地址的郵件將不會被PSA進行延遲處理；相反，如果 somebody@suspect.com是一個可疑的收件人，任何人發往此地址的郵件都將被轉移到郵件緩存區以待審核。

而郵件特征的定義細致了PSA的對象定義粒度。你可以調整需審核郵件的正文和附件大小以及郵件的關鍵字特征，例如你可以設定一條規則，只有正文中含有“Code”而且正文和附件大小不低于10K的郵件才需被PSA審計。

圖2

由于PSA涉及到人工的審核操作，所以郵件的延遲發送時間也是可控的，當有郵件進入緩存區等待審計時，AC將通過郵件等方式通知郵件審核人員，如果郵件審核人員在長時間沒有登錄審計，待審計郵件將被AC自動發出，避免重要郵件被延誤。

網絡準入規則(NAR)

AC的網絡準入規則（Network Admission Rules, NAR）通過對客戶端的評估來實現網絡訪問控制，并更好的維護網絡安全防線。

NAR的設計意義在于三個方面。

首先，僅靠網絡邊緣的外圍設備已經無法保證安全性。提供邊界防御的安全網關無法保護內部網絡段，也無法替代內容安全防護措施。即便組織的網絡出口處運行著防火墻等網絡周邊安全設備，病毒和蠕蟲、特洛伊木馬、等基于內容的惡意行為仍頻繁滲入組織內網。

其次，邊緣網關設備無法防止來自局域網內部的濫用、攻擊和破壞。同時，日益提高的安全過濾和控制要求，以及不斷增加的帶寬需要，也給網關性能帶來很大壓力。

最后，客戶端的安全級別往往難以保證，這對于內網用戶數量眾多的組織更為如此。使用版本陳舊的操作系統、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件，這些都將成為局域網安全中的“短板”。

基于此，AC的NAR通過對端點安全評估和訪問策略列表來實現全方位的安全防護。

當啟用了AC的NAR功能后，內網用戶第一次發起互聯網連接請求時，NAR將動態分發準入代理（Sinfor Ingress Agent,  SIA）至客戶端主機。SIA是輕量級軟件代理，用于確定端點是否遵從管理員設定的安全策略，SIA中可配置用于檢查預定義的和可定制的標準，包括操作系統、運行程序、系統進程、注冊表的存在/版本/補丁等。當SIA將搜集到的客戶端信息傳回AC網關后，當內網用戶的端點安全狀態不符合SIA的規則設置時，AC將對相應用戶執行預定義的策略，放行或強制關閉某項程序或進程。 

圖3

如果你的一位內網用戶矢志不渝地使用某些具有安全隱患的程序，而這一程序可能將病毒、蠕蟲和惡意程序從主機的桌面傳播至整個網絡。這時我們就可以通過NAR將此程序禁用，當用戶一旦啟用此程序后，用戶的PC將同互聯網“隔離”，只有關閉掉惡意程序才能正常訪問互聯網，這會使內網用戶的網絡行為更規范。

而NAR提供的可定制的網絡行為標準可以給網關管理者更多的權限和擴展性，通過對程序、注冊表、進程的自定義，NAR可以管理幾乎所有的終端在線狀態，使安全策略更有效地同整體安全防御體系結為一體。