第一篇:上網(wǎng)行為管理
上網(wǎng)行為管理的定義
幫助互聯(lián)網(wǎng)用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用,包括對(duì)網(wǎng)頁(yè)訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析;
為什么要管理上網(wǎng)行為
“隨著互聯(lián)網(wǎng)的發(fā)展,它已經(jīng)到了必須控制和管理的時(shí)代,因?yàn)榫W(wǎng)上充滿了錯(cuò)誤的信息、虛假的信息,和非民主的力量。”----蒂姆?伯納斯?李(互聯(lián)網(wǎng)之父)
水能載舟亦能覆舟!互聯(lián)網(wǎng)一方面能夠幫助企業(yè)提高生產(chǎn)力、促進(jìn)企業(yè)發(fā)展;另一方面也在企業(yè)管理、工作效率、信息安全、法律遵從、IT投資等方面給企業(yè)提出了嚴(yán)峻的問題與挑戰(zhàn)。
問題1:網(wǎng)速為什么越來越慢?
在辦公室里經(jīng)常會(huì)聽到有人抱怨“網(wǎng)速為什么這么慢?”,幾乎所有的企業(yè)都存在這樣的問題。那么企業(yè)花錢租用的10M甚至100M帶寬都被用在哪里了?為什么帶寬不斷擴(kuò)充,而網(wǎng)速并沒有明顯改善?
真相:帶寬資源也許正被濫用!
根據(jù)聯(lián)通公司發(fā)布的一份調(diào)查顯示:以迅雷、BT、eDonkey、KaZaA等為代表的P2P應(yīng)用,消耗了40%以上的有效網(wǎng)絡(luò)帶寬。而在企業(yè)租用的有限帶寬里,充斥著大量P2P下載、網(wǎng)絡(luò)電視等應(yīng)用流量,導(dǎo)致大量帶寬被非工作應(yīng)用所占用。而且,由于P2P的應(yīng)用特征,使得企業(yè)高額投資的帶寬成了互聯(lián)網(wǎng)公共服務(wù)。
誰(shuí)?在什么時(shí)間?可以擁有多少帶寬資源?可以使用哪些網(wǎng)絡(luò)應(yīng)用?
問題2:網(wǎng)絡(luò)安全事故為什么防不勝防?
“堵漏洞、砌高墻、防外攻、防內(nèi)賊,防不勝防”,防火墻越“砌”越“高”,入侵檢測(cè)越做越復(fù)雜,病毒庫(kù)越來越龐大,身份系統(tǒng)層層設(shè)保,卻依然無法應(yīng)對(duì)層出不窮網(wǎng)絡(luò)安全威脅,難道那么多安全產(chǎn)品都是擺設(shè)?
真相:安全隱患來自內(nèi)部員工!
無論如何豪華的防線,一個(gè)漏洞就可以毀滅所有一切。Meta Group發(fā)布研究報(bào)告稱:“持續(xù)增長(zhǎng)的安全威脅源自您的員工”。內(nèi)部人員通過互聯(lián)網(wǎng)與外部通訊時(shí),可能會(huì)引入含有惡意的或者攻擊性的內(nèi)容,如若未能得到監(jiān)測(cè)和控制,這將成為企業(yè)的一大隱患。并且充滿誘惑的網(wǎng)絡(luò)資源往往是風(fēng)險(xiǎn)的發(fā)源地。
誰(shuí)?在什么時(shí)間?是否可以上網(wǎng)?是否阻止訪問可能含有安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)內(nèi)容?
問題3:辦公室為成了免費(fèi)網(wǎng)吧!
據(jù)一項(xiàng)調(diào)查顯示,普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活中40%與工作無關(guān),對(duì)色情等非法網(wǎng)站的訪問量70%都發(fā)生在工作時(shí)間。上班時(shí)間“上網(wǎng)休閑”已經(jīng)成為普遍現(xiàn)象,聊天、游戲、炒股、購(gòu)物、BBS、電影、博客等無時(shí)無刻不在搶占正常的工作時(shí)間,辦公室因此淪為不需要花錢的“網(wǎng)吧”。
誰(shuí)?在什么時(shí)間?可以用什么應(yīng)用?不可以訪問什么網(wǎng)站?
約束員工在互聯(lián)網(wǎng)上的行為,其實(shí)是在幫助員工匡正工作行為,丟棄不好的習(xí)慣,成為一個(gè)專業(yè)、敬業(yè)的職業(yè)人,這對(duì)員工自身的職業(yè)發(fā)展也是大有裨益的。
問題4:企業(yè)要為員工的網(wǎng)絡(luò)行為背黑鍋嗎?
目前,大部分企業(yè)內(nèi)部員工上網(wǎng)并不受限制,但是他們?cè)诰W(wǎng)上做了什么?對(duì)外發(fā)了什么信息?企業(yè)完全不知情,也無記錄可查詢,這就給企業(yè)埋下了巨大的法律風(fēng)險(xiǎn)。
某企業(yè)被當(dāng)?shù)毓簿志W(wǎng)絡(luò)監(jiān)察處執(zhí)行嚴(yán)厲處罰,原因是查出該企業(yè)內(nèi)有員工在網(wǎng)上發(fā)布了違反法律的信息,但是無法查出是哪位員工所為,最后企業(yè)只得為這名“幕后英雄”背黑鍋。那么在這種情況下,企業(yè)必須為員工的個(gè)人網(wǎng)絡(luò)行為負(fù)責(zé)嗎?
誰(shuí)?在什么時(shí)間?以何種方式?對(duì)外發(fā)了什么信息?發(fā)給了誰(shuí)?
問題5:發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)問題后不能快速的找到根源?
當(dāng)出口擁塞,網(wǎng)絡(luò)訪問異常時(shí),只能通過網(wǎng)絡(luò)層面的的設(shè)備分析原因,簡(jiǎn)單的插拔網(wǎng)線,復(fù)位設(shè)備,以希圖問題解決。但本質(zhì),內(nèi)在的源頭無法定位。
IT系統(tǒng)追求的的是性價(jià)比,一位的遷就會(huì)隱藏更大的隱患,我們需要專業(yè)的洞悉網(wǎng)絡(luò)問題應(yīng)用源頭的能力,能夠分析問題的普遍性,嚴(yán)重性,共通性。利用上網(wǎng)行為管理產(chǎn)品能夠做到:
哪些人群的應(yīng)用異常?哪些行為在單位內(nèi)最普遍?哪些部門隱患最突出? 編輯本段上網(wǎng)行為管理的實(shí)施步驟
洞悉->管控->駕馭
step1:企業(yè)要做好上網(wǎng)行為管理,必須先洞悉企業(yè)內(nèi)使用互聯(lián)網(wǎng)的過程中存在哪些問題?因?yàn)椴煌髽I(yè)面臨的問題不同,需要先了解到底有哪些問題?
step2:然后分析問題的根源,再制定有針對(duì)性的策略管控問題;上網(wǎng)行為管理策略必須是有針對(duì)性的、個(gè)性化的,這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求;
step3:最后通過審計(jì)報(bào)表了解問題解決的程度和效果,再根據(jù)報(bào)表做管理策略優(yōu)化,進(jìn)而達(dá)到駕馭互聯(lián)網(wǎng)、實(shí)現(xiàn)上網(wǎng)行為管理的價(jià)值。
上網(wǎng)行為管理產(chǎn)品對(duì)比
硬件與軟件之分
從產(chǎn)品形態(tài)來看,目前上網(wǎng)行為管理分為硬件和軟件2種,但是國(guó)內(nèi)以硬件為主流,國(guó)外以軟件為主流;
硬件的優(yōu)勢(shì):部署簡(jiǎn)單、升級(jí)方便、故障率低
硬件的劣勢(shì):成本較高,運(yùn)輸不方便,維護(hù)復(fù)雜,維修需要專業(yè)認(rèn)識(shí),技術(shù)支持不到位
軟件的優(yōu)勢(shì):成本適當(dāng),維護(hù)簡(jiǎn)單、安裝容易、升級(jí)快速,可以在公司隨便找個(gè)機(jī)器部署.軟件的劣勢(shì):對(duì)于國(guó)企和政府來說,沒有一個(gè)東西不放心,所以國(guó)內(nèi)政府偏硬件,企業(yè)偏軟件。
以上對(duì)比,并不是絕對(duì)的說法。目前的軟硬件結(jié)合模式越來越多。包括加入準(zhǔn)入模式、VPN的上網(wǎng)行為管理,基于客戶端的內(nèi)網(wǎng)管理模式和文檔管理模式,為的是內(nèi)外兼修,從各種方向去彌補(bǔ)單一產(chǎn)品的不足。企業(yè)應(yīng)該根據(jù)自身的應(yīng)用需求,去選擇自己需要而合理的方案。如果只是追求單一產(chǎn)品本身的應(yīng)用,在信息化建設(shè)的綜合成本上一定會(huì)超出很多預(yù)算,無謂地增加了更多的信息化成本。
產(chǎn)品適用范圍之分
市面上目前能夠提供全面或部分上網(wǎng)行為管理功能的產(chǎn)品,已經(jīng)有幾十種。如果以產(chǎn)品適用范圍來區(qū)分,通常分為這樣3類。
1,適合同時(shí)上網(wǎng)PC數(shù)量低于50臺(tái)。
這類產(chǎn)品一般以純軟件型和低端寬帶路由器集成QQ、MSN、BT等的過濾為主。純軟件型產(chǎn)品通常成本低廉、穩(wěn)定性較差,適合對(duì)上網(wǎng)行為管理有需求,但預(yù)算有限的用戶。低端寬帶路由器集成針對(duì)部分常見應(yīng)用或軟件的過濾功能,同樣以價(jià)格低廉勝出。在提供基本組網(wǎng)應(yīng)用的同時(shí),兼顧最基礎(chǔ)的上網(wǎng)行為管理需求,較容易被價(jià)格敏感的用戶接受。
2,適合同時(shí)上網(wǎng)PC數(shù)量在50~200臺(tái)之間。
這類產(chǎn)品一般以高性能上網(wǎng)行為管理設(shè)備和帶自主研發(fā)Kercap引擎的軟件產(chǎn)品為主。即在高性能網(wǎng)關(guān)路由器上,增加深度包檢測(cè)(DPI)功能。通過分析網(wǎng)絡(luò)應(yīng)用特征碼,配合智能帶寬管理、自動(dòng)行為管控等綜合策略,全面管理聊天、在線視頻、股票、游戲、P2P下載、暴力及色情等非法網(wǎng)站等的過濾,并配合WAN口流量統(tǒng)計(jì)、LAN側(cè)用戶流量統(tǒng)計(jì)、并發(fā)session統(tǒng)計(jì)等功能,提供綜合的管理手段。通常價(jià)格較軟件產(chǎn)品或低端路由器略高,但功能更全面,性能更穩(wěn)定,性價(jià)比較能夠?yàn)榇说纫?guī)模的企業(yè)用戶所接受。
3,適合200臺(tái)以上的PC同時(shí)上網(wǎng)的管理。
這類產(chǎn)品通常是采用硬件與軟件結(jié)合的方式。即同樣的軟件版本,安裝在不同檔次的工業(yè)計(jì)算機(jī)上,經(jīng)過反復(fù)的測(cè)試后,根據(jù)所安裝的工業(yè)計(jì)算機(jī)的處理性能不同,可以涵蓋到200~500,500~1000,甚至更大范圍的并發(fā)應(yīng)用。由于有性能更為強(qiáng)大的工業(yè)計(jì)算機(jī)作為處理平臺(tái),這類產(chǎn)品能夠提供的功能更加豐富,部分產(chǎn)品甚至可以緩存上網(wǎng)瀏覽或發(fā)送的內(nèi)容,檢索出可能涉及泄露公司機(jī)密、觸犯法律或不適合上班時(shí)間處理的內(nèi)容,進(jìn)而采取相應(yīng)的策略加以限制。對(duì)于規(guī)模較大的公司,IT管理對(duì)技術(shù)的依賴更加側(cè)重,需要管理的內(nèi)容和管理的手段更加廣泛,以適應(yīng)大批量管理的需要。此類產(chǎn)品由于其復(fù)雜的功能需要高性能的工業(yè)計(jì)算機(jī)才能夠支撐,因此起步價(jià)格通常因硬件成本的因素,只有規(guī)模和需求達(dá)到一定程度的中大型企業(yè)可以接受。
目前也有部分此類廠家推出了適合中小規(guī)模用戶的產(chǎn)品,功能上沒有太大的差異,只是選擇更為低廉的工業(yè)計(jì)算機(jī)進(jìn)行處理,從而降低了整體成本和適用范圍,以滿足中小規(guī)模用戶的需求。價(jià)格也相應(yīng)的降到萬(wàn)元以下。
產(chǎn)品定價(jià)
根據(jù)軟件硬件產(chǎn)品、產(chǎn)品工業(yè)等級(jí)、產(chǎn)品硬件內(nèi)核模組、產(chǎn)品管理規(guī)模、產(chǎn)品適用范圍的區(qū)分,產(chǎn)品定價(jià)的幅度也有極大的變化。
如低端產(chǎn)品線:價(jià)格從數(shù)百元至數(shù)千元不等。即便是軟件產(chǎn)品。也有高達(dá)十萬(wàn)元的價(jià)位。而高端產(chǎn)品線,從主流廠商報(bào)價(jià)來看,從幾萬(wàn)到幾十萬(wàn)的價(jià)格不等。若是在高校、骨干線路的應(yīng)用方案中,為了滿足需求,采用雙核、四核、G級(jí)的硬件模組的設(shè)備其價(jià)位更高。
旁路與串接之分
從部署的方式來看,主要分為旁路與串接之分,這主要看用戶對(duì)上網(wǎng)行為的管理程度來決定。
旁路:不容易造成單點(diǎn)故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成單點(diǎn)故障;
目前國(guó)內(nèi)主流的廠商提供的產(chǎn)品都比較穩(wěn)定,單點(diǎn)故障率較小,建議用戶在條件允許的情況下采用串接方式部署
對(duì)于以備份(郵件,聊天,網(wǎng)頁(yè)審計(jì))為主的建議采用旁路方式的軟件。
國(guó)外與國(guó)內(nèi)
一直以來,很多用戶都認(rèn)為國(guó)外的產(chǎn)品和技術(shù)要優(yōu)于國(guó)內(nèi)廠商,但是上網(wǎng)行為管理產(chǎn)品并不如此。
上網(wǎng)行為管理產(chǎn)品是用來管理互聯(lián)網(wǎng)訪問內(nèi)容和互聯(lián)網(wǎng)使用者的,這與企業(yè)的文化、管理制度、人文環(huán)境、法律法規(guī)都非常相關(guān),例如:
國(guó)外與中國(guó)在成人內(nèi)容上的分級(jí)不同,導(dǎo)致對(duì)成人內(nèi)容的過濾結(jié)果不同;
國(guó)外與中國(guó)的流行網(wǎng)絡(luò)應(yīng)用不同,有很多是只有中國(guó)用戶使用的網(wǎng)絡(luò)應(yīng)用,而國(guó)外的產(chǎn)品往往不能支持對(duì)這些應(yīng)用的控制和管理;
建議國(guó)內(nèi)用戶盡量選擇使用國(guó)內(nèi)廠商推出的上網(wǎng)行為管理產(chǎn)品,畢竟中國(guó)的廠商更了解中國(guó)用戶的互聯(lián)網(wǎng)環(huán)境和互聯(lián)網(wǎng)使用習(xí)慣。
編輯本段上網(wǎng)行為管理主要功能
網(wǎng)頁(yè)訪問過濾
互聯(lián)網(wǎng)上的網(wǎng)頁(yè)資源非常豐富,如果員工長(zhǎng)時(shí)間訪問如色情、賭博、病毒等具有高度安全風(fēng)險(xiǎn)的網(wǎng)頁(yè),以及購(gòu)物、招聘、財(cái)經(jīng)等與工作無關(guān)的網(wǎng)頁(yè),將極大的降低生產(chǎn)效率。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個(gè)性化的網(wǎng)頁(yè)訪問策略,過濾非工作相關(guān)的網(wǎng)頁(yè)。
網(wǎng)絡(luò)應(yīng)用控制
聊天、看電影、玩游戲、炒股票等等,互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門,如果員工長(zhǎng)期沉迷于這些應(yīng)用,也將成為企業(yè)生產(chǎn)效率的巨大殺手,并可能造成網(wǎng)速緩慢、信息外泄的可能。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略,封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用,引導(dǎo)員工在合適的時(shí)間做合適的事
帶寬流量管理
P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對(duì)日益緊張的帶寬資源,除了增加預(yù)算擴(kuò)充帶寬以外,企業(yè)還可以選擇合理化分配和管理帶寬。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定精細(xì)的帶寬管理策略,對(duì)不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道,并設(shè)定優(yōu)先級(jí),合理利用有限的帶寬資源,節(jié)省投入成本。
信息內(nèi)容審計(jì)
發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經(jīng)司空見慣,然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定全面的信息收發(fā)監(jiān)控策略,有效控制關(guān)鍵信息的傳播范圍,以及避免可能引起的法律風(fēng)險(xiǎn)。
上網(wǎng)行為分析
隨著互聯(lián)網(wǎng)上的活動(dòng)愈演愈烈,實(shí)時(shí)掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風(fēng)險(xiǎn)。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以實(shí)時(shí)了解、統(tǒng)計(jì)、分析互聯(lián)網(wǎng)使用狀況,并根據(jù)分析結(jié)果對(duì)管理策略做調(diào)整和優(yōu)化。
第二篇:上網(wǎng)行為管理
1. 上網(wǎng)行為管理
目前市場(chǎng)主流廠商:深信服、網(wǎng)康 ? 典型案例
2.1 提升內(nèi)網(wǎng)業(yè)務(wù)操作效率——封堵非業(yè)務(wù)應(yīng)用解決方案
方案背景:
日益發(fā)達(dá)的互聯(lián)網(wǎng)讓企業(yè)員工有了更多的選擇,網(wǎng)上聊天、網(wǎng)上購(gòu)物、在線視頻、論壇灌水、BT電影……上班時(shí)間,員工很難不受眾多網(wǎng)絡(luò)娛樂的誘惑,大家在或多或少地利用工作時(shí)間進(jìn)行非業(yè)務(wù)操作。
以上行為實(shí)實(shí)在在地存在于我們的辦公網(wǎng)中。事實(shí)上,我們很多企業(yè)員工打開電腦的第一件事便是開迅雷,下載電影、視頻、游戲;也有為數(shù)不少的員工癡迷股海,一心撲在大盤上面;而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費(fèi)的時(shí)間更是驚人。凡此種種,無不給我們有限的帶寬資源帶來了巨大的流量壓力,給員工的辦公效率打了一個(gè)大大的問號(hào)。
上網(wǎng)行為管理解決方案——合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用
隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升,如何有效管理與利用互聯(lián)網(wǎng)資源,這已成為現(xiàn)代企業(yè)管理的重要衡量標(biāo)準(zhǔn)。與此同時(shí),上網(wǎng)行為管理的理念愈發(fā)深入人心,提升員工網(wǎng)絡(luò)業(yè)務(wù)的辦公效率,這已經(jīng)成為企業(yè)IT管理者關(guān)心的首要問題。、如上圖,企業(yè)通過以網(wǎng)關(guān)、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理產(chǎn)品,可以有效對(duì)內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。上班時(shí)間,封掉影響業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站;對(duì)擠占公司帶寬資源的應(yīng)用進(jìn)行流量控制,確保主流的辦公應(yīng)用帶寬資源,以提高業(yè)務(wù)應(yīng)用的辦公效率。
方案價(jià)值:
1、全方位封堵p2p,確保正常辦公業(yè)務(wù)帶寬
P2P應(yīng)用給用戶帶來了前所未有的速度體驗(yàn)與資源共享,但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個(gè)IT管理者頭痛的問題,其所帶來的負(fù)作用日漸凸顯。鑒于此,上網(wǎng)行為管理設(shè)備通過檢測(cè)網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼,可以對(duì)常用軟件進(jìn)行徹底封堵,包括BT、eMule、PPLive、QQLive等。對(duì)于加密BT、不常用的和未知版本的P2P軟件,獨(dú)有的網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。
有些部門和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P,在全面封堵的同時(shí),上網(wǎng)行為管理設(shè)備還可以提供 P2P流控功能,即允許指定用戶使用P2P,但對(duì)其占用的帶寬進(jìn)行控制。對(duì)不同用戶,按時(shí)間段進(jìn)行P2P應(yīng)用封堵、帶寬分配與流量控制,上網(wǎng)行為管理設(shè)備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。
2、選擇性內(nèi)容過濾,方式靈活
除針對(duì)網(wǎng)絡(luò)應(yīng)用軟件外,上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬(wàn)條級(jí)的URL庫(kù),對(duì)URL庫(kù)按照20個(gè)大類進(jìn)行了劃分。基于此,IT管理者可以方便地對(duì)娛樂、購(gòu)物、游戲、影視等網(wǎng)站進(jìn)行控制和屏蔽,同時(shí)用戶可手工輸入新分類和新URL地址,這進(jìn)一步增強(qiáng)了網(wǎng)管人員工作的靈活性。
同時(shí),上網(wǎng)行為管理設(shè)備針對(duì)通過HTTP、FTP等上傳下載的電影等大文件,可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進(jìn)行文件過濾,以保證核心業(yè)務(wù)的帶寬。
3、差異化權(quán)限劃分,構(gòu)建和諧組織
對(duì)于以上管控,上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、不同部門的差異化網(wǎng)絡(luò)使用權(quán)限,人性化管控整個(gè)企業(yè)。如給銷售部門足夠的網(wǎng)頁(yè)瀏覽權(quán)限,以方便其網(wǎng)上尋找客戶資源,而對(duì)后勤人員則封掉P2P應(yīng)用、游戲與炒股網(wǎng)站等。
2.2上網(wǎng)行為管理+SSL VPN防信息泄露解決方案
背景分析:
據(jù)IDC調(diào)查報(bào)告顯示,全球有近80%的企業(yè)存在著信息安全與風(fēng)險(xiǎn)問題。在報(bào)告所調(diào)查的公司中,進(jìn)行網(wǎng)絡(luò)常規(guī)安全檢查的公司不到一半,只有30%的公司具有跟蹤用戶訪問的能力,30%的公司使用加密技術(shù)進(jìn)行數(shù)據(jù)傳輸。報(bào)告顯示:信息安全問題大都來自于企業(yè)內(nèi)部,信息泄密很多時(shí)候源于信息安全管理不善。在中國(guó),眾多的事業(yè)單位也面臨這些問題。
事實(shí)上,很多企事業(yè)單位內(nèi)外網(wǎng)、服務(wù)器隔離存在問題,業(yè)務(wù)系統(tǒng)的操作并沒有明確授權(quán)人員,這導(dǎo)致一些非授權(quán)人員大肆訪問并修改內(nèi)網(wǎng)服務(wù)器的重要數(shù)據(jù);很多單位員工信息安全意識(shí)也較薄弱,很多時(shí)候?qū)⒖蛻粜畔ⅰ?nèi)部敏感信息等在公網(wǎng)上隨便傳播,并沒有加密,這樣的信息數(shù)據(jù)很容易被竊取修改。
現(xiàn)在,客戶對(duì)企業(yè)、民眾對(duì)事件單位應(yīng)用服務(wù)的訪問量在不斷增加,客戶的訪問請(qǐng)求經(jīng)常集中在數(shù)臺(tái)服務(wù)器上,而其它服務(wù)器卻因訪問量低而低效運(yùn)行,這不僅影響了用戶的體驗(yàn)感受,也嚴(yán)重影響著該應(yīng)用服務(wù)訪問穩(wěn)定性。為將大量的訪問最快的處理并提高服務(wù)器的運(yùn)行效率,保證信息發(fā)布不被中斷,以此來保證信息傳播的安全,這點(diǎn)也為越來越多的有識(shí)之士關(guān)注。
解決方案:
通過上網(wǎng)行為管理產(chǎn)品來防止企事業(yè)單位內(nèi)網(wǎng)泄密,這樣可有效解決單位內(nèi)部泄密的問題;通過SSL VPN,企事業(yè)單位可對(duì)外部接入人員進(jìn)行身份認(rèn)證,并對(duì)這些接入人員進(jìn)行精確的權(quán)限分配來保證合法的訪問與系統(tǒng)修改,這也可以有效隔離內(nèi)網(wǎng)里的應(yīng)用服務(wù)器與內(nèi)外網(wǎng)。
產(chǎn)品部署拓?fù)鋱D如下:
如上部署,上網(wǎng)行為管理設(shè)備以網(wǎng)橋模式透明部署于企事業(yè)單位內(nèi)網(wǎng),通過識(shí)別敏感信息并進(jìn)行過濾等手段,全方位保護(hù)客戶的信息資產(chǎn)和信息安全。
SSL VPN產(chǎn)品以旁路模式部署,企事業(yè)單位通過SSL VPN為不同級(jí)別的訪問者分配不同的訪問權(quán)限,并對(duì)其進(jìn)行嚴(yán)格的身份認(rèn)證,這樣有效管理了外部員工、客戶對(duì)內(nèi)網(wǎng)應(yīng)用系統(tǒng)服務(wù)的訪問安全。
方案價(jià)值:
上述整合的解決方案,將使企事業(yè)單位解決面臨的信息安全風(fēng)險(xiǎn),使得組織業(yè)務(wù)系統(tǒng)獲得持久的可靠和穩(wěn)定。
上網(wǎng)行為管理產(chǎn)品將幫助企事業(yè)單位防范企事業(yè)單位的信息資產(chǎn)泄密,這將有助于降低組織機(jī)構(gòu)的信息安全風(fēng)險(xiǎn),這讓企業(yè)、事業(yè)單位專注信息資產(chǎn)管理,讓部門溝通、客戶溝通等多方面溝通更有效。
SSL VPN將幫助組織強(qiáng)化信息數(shù)據(jù)訪問安全。對(duì)內(nèi)網(wǎng)重要區(qū)域信息數(shù)據(jù)的訪問控制,能從源頭上有效保護(hù)信息資產(chǎn)安全,SSL VPN提供從訪問終端安全——接入認(rèn)證安全——數(shù)據(jù)傳輸安全——訪問權(quán)限安全等一體化的安全。
2.3校園網(wǎng)上網(wǎng)行為管理+SSL VPN綜合解決方案
校園網(wǎng)現(xiàn)狀:
校園網(wǎng)網(wǎng)絡(luò)規(guī)模龐大,相應(yīng)的網(wǎng)絡(luò)應(yīng)用流量非常驚人;學(xué)生網(wǎng)絡(luò)應(yīng)用比較活躍,規(guī)范管理非常頭疼。具體而言,校園網(wǎng)建設(shè)中存在如下問題:
1、流量問題
因?yàn)閷W(xué)生BT下載、在線視頻、迅雷應(yīng)用等P2P行為十分活躍,校園網(wǎng)帶寬出口經(jīng)常被堵塞,師生正常的網(wǎng)絡(luò)應(yīng)用經(jīng)常被擠占。
2、網(wǎng)上言論
目前高校學(xué)生網(wǎng)絡(luò)應(yīng)用活躍,校內(nèi)BBS言論、公網(wǎng)上知名論壇等經(jīng)常語(yǔ)出驚人之舉,時(shí)常給學(xué)校帶來世俗、法律上的諸多困擾。由于目前網(wǎng)絡(luò)言論實(shí)行匿名式注冊(cè),出現(xiàn)問題后很難查詢當(dāng)事人,最后給學(xué)校帶來了極大的負(fù)面影響。
3、網(wǎng)絡(luò)應(yīng)用規(guī)范問題
不可否認(rèn),目前大學(xué)在校生所面對(duì)的網(wǎng)絡(luò)信息、資源較前些年豐富了很多,這其中也有一些色情、反動(dòng)等類型的網(wǎng)站及其應(yīng)用,如何從校園網(wǎng)建設(shè)上規(guī)避這些不良網(wǎng)站、應(yīng)用的影響,將制度的規(guī)范強(qiáng)制執(zhí)行在日常網(wǎng)絡(luò)應(yīng)用中,這對(duì)管理者是個(gè)不小的挑戰(zhàn)。
4、校內(nèi)資源使用問題
學(xué)校、政府花費(fèi)了巨大的精力進(jìn)行校園網(wǎng)建設(shè),國(guó)際教育網(wǎng)絡(luò)資源對(duì)高校也有很大的優(yōu)惠措施。目前校園的圖書館電子資源、校內(nèi)OA系統(tǒng)、校務(wù)管理系統(tǒng)給師生工作學(xué)習(xí)都帶來了便利,但走出校園網(wǎng)這些資源便無力利用了。如何在校園網(wǎng)外實(shí)現(xiàn)遠(yuǎn)程登錄辦公已經(jīng)成為校園網(wǎng)深度建設(shè)必須面對(duì)的問題。
最重要的是,當(dāng)校園網(wǎng)初步建成之后,如何查詢師生校園網(wǎng)應(yīng)用情況(如學(xué)生經(jīng)常應(yīng)用什么網(wǎng)絡(luò)軟件,在網(wǎng)上做什么事情),以此來發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用問題及校園網(wǎng)建設(shè)中存在的不足,這對(duì)學(xué)校的網(wǎng)絡(luò)管理者尤為重要,他們需要一種能對(duì)網(wǎng)絡(luò)建設(shè)與管理決策提出良好反饋機(jī)制的解決方案。
部署拓?fù)鋱D:
上網(wǎng)行為管理+SSL VPN綜合解決方案:
為此,選擇上網(wǎng)行為管理+SSL VPN遠(yuǎn)程登錄解決方案。將學(xué)校內(nèi)網(wǎng)安全管理單純地由對(duì)外防御病毒、黑客入侵、垃圾郵件,轉(zhuǎn)向了內(nèi)外兼?zhèn)涞娜婀芸兀缭L問控制、訪問跟蹤、流量限制、監(jiān)控、審計(jì)等。配合SSL VPN遠(yuǎn)程登錄訪問內(nèi)網(wǎng),讓從公網(wǎng)訪問校園網(wǎng)內(nèi)資源成為可能。
1、網(wǎng)絡(luò)行為審計(jì)
將上網(wǎng)行為管理設(shè)備部署在學(xué)院網(wǎng)絡(luò)出口的防火墻后側(cè),以網(wǎng)橋模式部署,實(shí)現(xiàn)三進(jìn)三出(WAN 口接三臺(tái)設(shè)備,LAN口接三臺(tái)交換機(jī)),保證所有流經(jīng)學(xué)院網(wǎng)絡(luò)出口的流量都會(huì)經(jīng)過上網(wǎng)行為管理設(shè)備的管控和記錄,讓學(xué)院所有上網(wǎng)行為記錄有據(jù)可查,事實(shí)上學(xué)院IT管理者甚至可以預(yù)先設(shè)置好敏感關(guān)鍵字,提前過濾網(wǎng)上敏感言論。
2、全面流量控制
對(duì)流經(jīng)學(xué)院網(wǎng)絡(luò)出口處的所有流量,上網(wǎng)行為管理設(shè)備全面進(jìn)行流量控制。事實(shí)上,該設(shè)備對(duì)學(xué)院所有的師生根據(jù)院系、專業(yè)進(jìn)行帶寬分配,即將用戶分劃分成組,然后對(duì)于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網(wǎng)行為管理設(shè)備,學(xué)院IT管理部門甚至可以根據(jù)相關(guān)師生的網(wǎng)絡(luò)應(yīng)用行為、訪問網(wǎng)站類型、上傳下載文件類型進(jìn)行流量控制。如學(xué)生正常應(yīng)用時(shí)放開流量,一旦進(jìn)行BT下載,則馬上施以流量控制。
3、提高師生網(wǎng)絡(luò)應(yīng)用效率
雖然學(xué)生網(wǎng)絡(luò)應(yīng)用非常活躍,但他們很多的網(wǎng)絡(luò)應(yīng)用行為與學(xué)業(yè)、功課并沒有多大關(guān)系,有些學(xué)生甚至到學(xué)校機(jī)房上機(jī)時(shí)仍然玩網(wǎng)絡(luò)游戲、網(wǎng)上沖浪。針對(duì)這些現(xiàn)象,學(xué)院IT管理部門綁定學(xué)院公用計(jì)算機(jī),讓學(xué)生上機(jī)上課時(shí),完全封堵住在線游戲、在線視頻、娛樂網(wǎng)站等,從網(wǎng)絡(luò)管理上強(qiáng)制執(zhí)行上課學(xué)習(xí)的課堂原則。
4、提供網(wǎng)絡(luò)決策咨詢
學(xué)院內(nèi)網(wǎng)用戶的非授權(quán)網(wǎng)絡(luò)行為被禁止,學(xué)校管理者可以對(duì)學(xué)校網(wǎng)絡(luò)運(yùn)行情況進(jìn)行統(tǒng)計(jì)、分析、評(píng)估,做到細(xì)致的訪問控制,有效管理用戶上網(wǎng)行為。除了實(shí)現(xiàn)強(qiáng)大流量分析及帶寬劃分與分配外,同時(shí)各種網(wǎng)絡(luò)行為日志也都將得到全面記錄,方便日后查詢。
5、SSL VPN遠(yuǎn)程登錄校園內(nèi)網(wǎng)
將SSL VPN 采用單臂模式部署,接在學(xué)院核心三層交換機(jī)下,在不改變?cè)W(wǎng)絡(luò)結(jié)構(gòu)的情況下,師生可以在任何能上網(wǎng)的地方安全高效地登錄學(xué)校內(nèi)網(wǎng)的OA系統(tǒng)、圖書館資源等,實(shí)現(xiàn)辦公效率的快速提升。
2.4銀行業(yè)上網(wǎng)行為管理解決方案
項(xiàng)目背景:
目前銀行的多項(xiàng)業(yè)務(wù)均需依賴互聯(lián)網(wǎng)平臺(tái),銀行信息化建設(shè)一直引領(lǐng)著各行業(yè)信息化建設(shè)的潮頭。雖然金融單位已經(jīng)部署了多種網(wǎng)絡(luò)安全產(chǎn)品來抵御來自互聯(lián)網(wǎng)的攻擊,但在內(nèi)網(wǎng)安全、規(guī)范管理、信息安全上存在許多薄弱環(huán)節(jié)。試想:如果銀行職員上班時(shí)間BT下載、在線觀看視頻、訪問賭博網(wǎng)站等,這些行為通過部署于網(wǎng)關(guān)出口的防火墻就能得到控制嗎?銀行內(nèi)網(wǎng)一旦缺乏有效的管理手段必然會(huì)增加各項(xiàng)業(yè)務(wù)操作的風(fēng)險(xiǎn),而且會(huì)嚴(yán)重影響工作效率。
存在問題:
隨著銀行業(yè)務(wù)的不斷豐富,銀行的各項(xiàng)業(yè)務(wù)運(yùn)作越來越多依賴于網(wǎng)絡(luò)平臺(tái),為了達(dá)到銀行信息安全的要求,提高銀行的競(jìng)爭(zhēng)力,需要構(gòu)建管理規(guī)范、流量平穩(wěn)、防止泄密的安全無憂內(nèi)網(wǎng)。目前銀行內(nèi)網(wǎng)管理存在以下問題:
1、銀行職員上班時(shí)觀看在線視頻、進(jìn)行BT下載等行為,對(duì)網(wǎng)絡(luò)出口帶寬造成了不小的壓力,銀行的正常業(yè)務(wù)運(yùn)用可能因?yàn)檫@些非工作性網(wǎng)絡(luò)應(yīng)用造成中斷;
2、銀行業(yè)務(wù)操作人員利用資金流相對(duì)便利,如何有效封堵加密的賭博網(wǎng)站、相關(guān)網(wǎng)絡(luò)應(yīng)用,是銀行迫切需要解決的問題。
解決方案:
針對(duì)上述問題,銀行選擇上網(wǎng)行為管理解決方案,希望通過對(duì)內(nèi)網(wǎng)用戶進(jìn)行明確的權(quán)限分配,規(guī)范銀行員工上班時(shí)網(wǎng)絡(luò)應(yīng)用;通過徹底的帶寬、流量控制,保障銀行業(yè)務(wù)系統(tǒng)帶寬,并進(jìn)一步提高銀行員工的網(wǎng)絡(luò)應(yīng)用效率。
功能及解決的問題:
1、內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限的細(xì)致劃分
針對(duì)銀行不同的部門,細(xì)致規(guī)定其部門員工的上網(wǎng)權(quán)限,讓合適的人上合適的網(wǎng)站,進(jìn)行合適的網(wǎng)絡(luò)應(yīng)用,超過該部門工作權(quán)限的網(wǎng)絡(luò)行為一律禁止。
上網(wǎng)行為管理設(shè)備針對(duì)銀行各部門進(jìn)行用戶組劃分,如信用卡中心、財(cái)務(wù)部……然后對(duì)基于人員劃分的用戶組賦予不同的上網(wǎng)權(quán)限,如:封掉信用卡中心炒股、加密交易網(wǎng)站應(yīng)用……上網(wǎng)行為管理設(shè)備甚至可以針對(duì)具體的用戶進(jìn)行上網(wǎng)權(quán)限分配。上網(wǎng)行為管理產(chǎn)品細(xì)致的權(quán)限分配,大大降低了網(wǎng)絡(luò)管理者的維護(hù)量,合理地規(guī)劃出局域網(wǎng)的組織結(jié)構(gòu)。
2、全面流量控制
事實(shí)上,一個(gè)2M以太網(wǎng)出口的局域網(wǎng),只要有2個(gè)以上的員工不限速地使用BT,幾乎所有人的正常網(wǎng)絡(luò)瀏覽都將成為不可完成的任務(wù)。銀行帶寬出口雖然相對(duì)較大,但因?yàn)槠渚W(wǎng)絡(luò)應(yīng)用眾多,出口帶寬也面臨不小的壓力。
上網(wǎng)行為管理設(shè)備可進(jìn)行BT、加密BT、未知版本BT的全面封堵,而且不會(huì)像防火墻那樣被BT軟件通過轉(zhuǎn)換端口繞過去;通過基于人員、應(yīng)用、訪問網(wǎng)站類型等進(jìn)行帶寬分配、流量控制,銀行IT人員可以提前規(guī)劃好各部門網(wǎng)絡(luò)應(yīng)用流量,充分保障銀行正常業(yè)務(wù)運(yùn)作。
3、詳細(xì)的日志備份
銀行內(nèi)網(wǎng)用戶每天訪問互聯(lián)網(wǎng)時(shí)產(chǎn)生的日志十分巨大,亟需一個(gè)更大容量的數(shù)據(jù)備份機(jī)制,而傳統(tǒng)網(wǎng)關(guān)所能提供的硬盤存儲(chǔ)容量有限,且這些數(shù)據(jù)查詢頗為麻煩。
銀行關(guān)注日志信息的完整性和保密性,通過上網(wǎng)行為管理設(shè)備獨(dú)立的日志存儲(chǔ)中心,確保了銀行內(nèi)網(wǎng)網(wǎng)絡(luò)應(yīng)用日志的完整性與保密性。通過使用上網(wǎng)行為管理設(shè)備,銀行的管理者可以通過直觀的、圖象化的方式了解網(wǎng)絡(luò)帶寬的利用情況以及內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)訪問狀態(tài),將網(wǎng)絡(luò)使用情況自動(dòng)生成報(bào)表并統(tǒng)計(jì)出網(wǎng)絡(luò)訪問的趨勢(shì),以幫助系統(tǒng)管理員更好地維護(hù)和管理網(wǎng)絡(luò)。
2.5電力行業(yè)上網(wǎng)行為管理解決方案
項(xiàng)目背景:
隨著中國(guó)經(jīng)濟(jì)的進(jìn)一步發(fā)展,整個(gè)經(jīng)濟(jì)對(duì)能源的需求越來越強(qiáng)烈,工業(yè)發(fā)展、居民生活的用電需求更是不斷增高。而隨著國(guó)家產(chǎn)業(yè)升級(jí)、能源結(jié)構(gòu)的調(diào)整,綠色電力的概念也逐步深入人心。正是基于這一背景,整個(gè)電力行業(yè)迎來了發(fā)展的黃金時(shí)期。
目前電力行業(yè)內(nèi)網(wǎng)存在非業(yè)務(wù)流量擠占帶寬、機(jī)密信息存在泄密風(fēng)險(xiǎn)等問題,新的形勢(shì)要求電力行業(yè)構(gòu)建規(guī)范管控、流量平穩(wěn)、信息安全的內(nèi)網(wǎng),具體要求如下:
1.對(duì)公司內(nèi)部員工進(jìn)行流量控制,限制員工P2P下載,保證網(wǎng)絡(luò)流量;
2.針對(duì)公司員工的上網(wǎng)行為軌跡進(jìn)行記錄,并支持報(bào)表分析;
3.對(duì)內(nèi)部聊天軟件進(jìn)行控制,保證員工上班時(shí)間的工作效率;
4.對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)錉顩r不進(jìn)行改動(dòng),保證現(xiàn)有網(wǎng)絡(luò)的穩(wěn)定性;
解決方案:
采用網(wǎng)橋模式部署深信服上網(wǎng)行為管理設(shè)備,即部署在防火墻和核心交換機(jī)之間。這樣就不需改變電廠原有的網(wǎng)絡(luò)拓?fù)浼霸O(shè)置,同時(shí)也可管控電廠內(nèi)網(wǎng)的網(wǎng)絡(luò)行為;同時(shí)也可以采用旁路模式部署,這種模式主要用于內(nèi)網(wǎng)用戶上網(wǎng)行為日志存儲(chǔ)。
部署拓?fù)淙缦拢?/p>
解決的問題:
1、網(wǎng)絡(luò)應(yīng)用封堵,提升辦公效率
通過電廠網(wǎng)絡(luò)出口的上網(wǎng)行為管理設(shè)備,通過IP/MAC、硬件特征碼綁定等技術(shù),對(duì)用戶進(jìn)行唯一身份識(shí)別;之后將用戶根據(jù)業(yè)務(wù)部門、組織架構(gòu)進(jìn)行用戶組劃分及權(quán)限分配;對(duì)員工上班時(shí)的非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用——如在線視頻、在線游戲、在線炒股、聊天等進(jìn)行分時(shí)間段、分用戶組管控,人性化封堵,提升辦公效率。
2、流量控制,優(yōu)化網(wǎng)絡(luò)帶寬
電廠作為傳統(tǒng)企業(yè),其網(wǎng)絡(luò)出口帶寬有限,而相應(yīng)的電力調(diào)度系統(tǒng)、OA辦公等網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)又較為完備,這必然帶來了網(wǎng)絡(luò)業(yè)務(wù)運(yùn)用與網(wǎng)絡(luò)帶寬不足間的矛盾,而且時(shí)常有用戶進(jìn)行BT下載等娛樂行為而擠占正常應(yīng)用帶寬。
針對(duì)于此,電廠通過上網(wǎng)行為管理設(shè)備對(duì)相應(yīng)用戶組進(jìn)行帶寬分配與流量控制,流量控制基于業(yè)務(wù)應(yīng)用類型、用戶組織權(quán)限等各種因素,細(xì)致全面地構(gòu)建平穩(wěn)流量?jī)?nèi)網(wǎng)。
3、行為日志記錄與統(tǒng)計(jì),保證信息安全
電廠通過上網(wǎng)行為管理設(shè)備進(jìn)行用戶流量統(tǒng)計(jì)、網(wǎng)絡(luò)應(yīng)用記錄、訪問網(wǎng)站軌跡等諸多信息安全管理行為。
4、宏觀網(wǎng)絡(luò)應(yīng)用分析,指導(dǎo)IT管控方向
電廠可根據(jù)上網(wǎng)行為管理設(shè)備記錄日志生成曲線、餅狀、柱狀、趨勢(shì)圖等,并可對(duì)相關(guān)網(wǎng)絡(luò)應(yīng)用、流量等進(jìn)行排名。用戶可根據(jù)自己所需信息生成宏觀分析圖表,如:內(nèi)網(wǎng)哪個(gè)用戶流量最大、哪些網(wǎng)絡(luò)應(yīng)用生成流量最大、哪些網(wǎng)站訪問最多……這樣電廠IT管理者便能根據(jù)日志分析圖表調(diào)整上網(wǎng)行為管理選項(xiàng),為內(nèi)網(wǎng)管控、進(jìn)一步建設(shè)進(jìn)行決策。
通過上網(wǎng)行為管理解決方案,增強(qiáng)了網(wǎng)絡(luò)管控性,提高了電廠的競(jìng)爭(zhēng)力。
第三篇:上網(wǎng)行為管理解決方案
上網(wǎng)行為管理解決方案
泉州市東達(dá)網(wǎng)絡(luò)科技有限公司
2014-09-22
目錄
第1章 第2章 第3章
3.1 3.2 應(yīng)用背景......................................................................................................1 問題分析......................................................................................................1 帶寬使用情況探知......................................................................................1 用戶識(shí)別......................................................................................................2 應(yīng)用識(shí)別......................................................................................................2 3.2.1 3.2.2
第4章
4.1 4.2 URL訪問行為...................................................................................2 互聯(lián)網(wǎng)應(yīng)用類型訪問控制................................................................2
規(guī)范網(wǎng)絡(luò)使用行為,提高工作效率..........................................................3 靈活的用戶識(shí)別和認(rèn)證方式......................................................................3 細(xì)致全面的應(yīng)用流量識(shí)別技術(shù)..................................................................4 4.2.1 4.2.2 4.2.3 URL識(shí)別...........................................................................................4 國(guó)內(nèi)最大的應(yīng)用協(xié)議庫(kù)....................................................................4 P2P智能識(shí)別....................................................................................5
4.3 靈活的網(wǎng)絡(luò)控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的訪問的合理分配...................................................................6 基于網(wǎng)站類型,文件類型的流量管理............................................6 IM聊天軟件靈活管控......................................................................6 炒股軟件、游戲軟件的封堵............................................................6 P2P流媒體和P2P下載的管控........................................................6
i
第1章
應(yīng)用背景
互聯(lián)網(wǎng)在中國(guó)的普及已經(jīng)超過20多年,尤其是最近幾年得到了飛速的發(fā)展,網(wǎng)絡(luò)改變了我們的工作和生活方式,尤其是對(duì)工作帶來了極大的便利,而組織內(nèi)網(wǎng)員工使用IM聊天、網(wǎng)上購(gòu)物、在線欣賞音樂和電影,通過BT等P2P工具下載互聯(lián)網(wǎng)資源、收發(fā)個(gè)人郵件、在論壇上舞文弄墨……只要員工有興趣,他們就能在上班時(shí)間盡情享受互聯(lián)網(wǎng)帶來的樂趣;然而隨著網(wǎng)絡(luò)應(yīng)用的越來越豐富,尤其是諸如P2P等流量吞噬十分厲害的下載技術(shù)的出現(xiàn)使得原本飛快的網(wǎng)絡(luò)變的越來越慢,多數(shù)企業(yè)發(fā)現(xiàn)他們花高代價(jià)增加的帶寬很快又不能滿足業(yè)務(wù)的需要,另一方面,員工職業(yè)化程度不夠高的組織內(nèi)部會(huì)存在大量的用戶上班時(shí)間用來炒股、聊天、看電影、打游戲等活動(dòng),極大的降低了工作效率,組織機(jī)構(gòu)花費(fèi)極大的代價(jià)的網(wǎng)絡(luò)被濫用,1個(gè)500人人均工資2000的中型機(jī)構(gòu),如果他的員工每天浪費(fèi)0.5個(gè)小時(shí)在業(yè)務(wù)無關(guān)應(yīng)用上面一年下來的損失高達(dá)150萬(wàn)元;而多數(shù)企業(yè)員工進(jìn)行業(yè)務(wù)無關(guān)網(wǎng)絡(luò)應(yīng)用的時(shí)間遠(yuǎn)遠(yuǎn)超過0.5小時(shí),每年損失的人力成本已經(jīng)幾乎超過網(wǎng)絡(luò)帶來的便利,領(lǐng)導(dǎo)者陷入了兩難的困境,亟需對(duì)網(wǎng)絡(luò)使用進(jìn)行合理的管控。
第2章
問題分析
面對(duì)上述問題,以下幾個(gè)問題是需要迫切需要解決的
1.內(nèi)網(wǎng)到底發(fā)生了什么?需要一種行之有效的方法探知每個(gè)人每天上網(wǎng)行為的明細(xì)情況;2.什么應(yīng)用搶占了帶寬,導(dǎo)致了核心業(yè)務(wù)應(yīng)用的速度慢,員工上班時(shí)間主要有哪些工作無關(guān)的應(yīng)用需要進(jìn)行管控;3.面對(duì)混亂的內(nèi)網(wǎng)環(huán)境,如何建立起合理的有效的使用規(guī)范?保證網(wǎng)絡(luò)使用主要是用來創(chuàng)造效益。
第3章
帶寬使用情況探知
面對(duì)上述情況,我們首先需要的就是探知內(nèi)網(wǎng)用戶的流量使用情況,要探知內(nèi)網(wǎng)用戶的流量使用情況,以下幾個(gè)步驟需要解決:
1.用戶識(shí)別
2.應(yīng)用識(shí)別
3.圖形圖表分析網(wǎng)絡(luò)使用狀況
3.1 用戶識(shí)別
大型組織的上網(wǎng)用戶眾多,互聯(lián)網(wǎng)應(yīng)用紛繁復(fù)雜,加上長(zhǎng)期以來形成上網(wǎng)無需認(rèn)證,允許使用迅雷,在線影音娛樂不禁止等上網(wǎng)習(xí)慣,使得網(wǎng)絡(luò)流量、行為情況變得異常復(fù)雜。
需要通過基于用戶/用戶組、基于時(shí)間段、基于不同的目標(biāo)行為進(jìn)行靈活權(quán)限控制,對(duì)于不同的員工、部門實(shí)現(xiàn)分開管理,只有在很好的對(duì)人員進(jìn)行區(qū)分以后,才能在上網(wǎng)行為的管理上責(zé)任到個(gè)人,使組織形成良好的上網(wǎng)行為氛圍,營(yíng)造高效和諧的辦公自動(dòng)化平臺(tái)。
3.2 應(yīng)用識(shí)別
3.2.1 URL訪問行為
面對(duì)海量的URL地址,需要識(shí)別用戶上班時(shí)間主要訪問哪些網(wǎng)址,哪些是業(yè)務(wù)相關(guān)網(wǎng)站,哪些是業(yè)務(wù)無關(guān)網(wǎng)站。
3.2.2 互聯(lián)網(wǎng)應(yīng)用類型訪問控制
上網(wǎng)行為管理設(shè)備對(duì)互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個(gè)方面:
通過內(nèi)置了的應(yīng)用協(xié)議規(guī)則,對(duì)于諸如IM聊天類、下載工具類、P2P流媒體類、網(wǎng)絡(luò)游戲類、炒股類基于應(yīng)用協(xié)議特征碼的識(shí)別,而不是基于傳統(tǒng)IP、端口識(shí)別。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)上的P2P行為層出不窮,如果只能對(duì)一些已知的P2P行為,比如BT、eMule、QQLive等進(jìn)行識(shí)別控制,顯然是不夠的。還需要能根據(jù)P2P協(xié)議特征的智能分析技術(shù)有效識(shí)別未知的、新的P2P行為。還需要能夠?qū)用蹷T、加密P2P行為進(jìn)行準(zhǔn)確識(shí)別與控制。做到對(duì)P2P行為的全面監(jiān)控。
第4章 規(guī)范網(wǎng)絡(luò)使用行為,提高工作效率
通過上述的行為探知并分析并得知我們內(nèi)網(wǎng)目前到底存在哪些問題?那么我們?nèi)绾蝸斫鉀Q這些問題,任何的上網(wǎng)行為和控制策略都必須要基于用戶或是用戶組來施行,只有很好的對(duì)人員進(jìn)行認(rèn)證和區(qū)分才能很好的保障流量管理的成功實(shí)施,另一方面,我們需要對(duì)應(yīng)用進(jìn)行細(xì)致全面的識(shí)別,只有合理的識(shí)別應(yīng)用類型,進(jìn)行細(xì)致的歸類和區(qū)分,才能保障我們的上網(wǎng)行為管理的效果對(duì)人員和應(yīng)用有了細(xì)致識(shí)別的區(qū)分以后就需要針對(duì)用戶/用戶組、時(shí)間段、應(yīng)用類型、文件類型等進(jìn)行細(xì)致的流量管理了。
SANGFOR AC作為業(yè)界領(lǐng)先上網(wǎng)行為管理產(chǎn)品是通過如下領(lǐng)先的技術(shù)來幫助用戶建立一個(gè)和諧高效的網(wǎng)絡(luò)使用環(huán)境,保障用戶工作相關(guān)應(yīng)用得到有效的保障。
4.1 靈活的用戶識(shí)別和認(rèn)證方式
網(wǎng)絡(luò)流量的產(chǎn)生來源于用戶,因此,有效流量的管理的前提是必須先對(duì)用戶進(jìn)行有效識(shí)別和管理。SANGFOR AC設(shè)備提供了強(qiáng)大的用戶管理系統(tǒng),提供了多樣化的用戶管理手段實(shí)現(xiàn)了基于用戶的流量管理,在動(dòng)態(tài)IP環(huán)境下保證用戶身份與管理策略的有效結(jié)合,真正的做到了使內(nèi)網(wǎng)的流量管理責(zé)任到人。
功能優(yōu)勢(shì):
? 豐富多樣的用戶精確識(shí)別方式; ? 快速、有效的為用戶分配網(wǎng)絡(luò)接入權(quán)限; ? 與第三方用戶管理服務(wù)器的完美聯(lián)動(dòng); ? 未知用戶網(wǎng)絡(luò)接入權(quán)限快速歸類; ? 最終實(shí)現(xiàn)基于用戶名的流量管理;
4.2 細(xì)致全面的應(yīng)用流量識(shí)別技術(shù)
4.2.1 URL識(shí)別
SANGFOR AC上網(wǎng)行為管理設(shè)備內(nèi)置千萬(wàn)級(jí)的URL庫(kù),提供了近40種內(nèi)置的更加細(xì)粒度的URL分類:新聞?lì)悺蕵奉悺Ⅲw育類、色情類、暴力類、反動(dòng)類、迷信類、宗教類、股票類等等。
SANGFOR AC的URL庫(kù)支持用戶手工添加,并支持創(chuàng)建新分類;用戶可以根據(jù)自己的具體需求,添加有具有個(gè)性管理的URL地址并分類,進(jìn)行需求的控制。
SANGFOR AC具有智能學(xué)習(xí)的功能,能夠根據(jù)關(guān)鍵字和類似網(wǎng)頁(yè)進(jìn)行網(wǎng)頁(yè)的分析和學(xué)習(xí),自動(dòng)更新用戶自定義分類。
4.2.2 國(guó)內(nèi)最大的應(yīng)用協(xié)議庫(kù)
SANGFOR AC內(nèi)置了24大類、500余條的應(yīng)用協(xié)議規(guī)則,例如:IM聊天類、下載工具類、P2P流媒體類、網(wǎng)絡(luò)游戲類、炒股類等等。基于應(yīng)用協(xié)議特征碼的識(shí)別,有別于傳統(tǒng)IP、端口識(shí)別。
每一個(gè)分類下面有包含著眾多的應(yīng)用協(xié)議規(guī)則,比如IM聊天類,包含的應(yīng)用協(xié)議規(guī)則有:QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能識(shí)別UUCALL、雅虎通等語(yǔ)音視頻聊天工具。
具有多個(gè)智能識(shí)別規(guī)則,能識(shí)別諸如自由門,無界瀏覽器等代理軟件,識(shí)別SKYPE,識(shí)別RTP語(yǔ)音視頻信息。
支持域名的智能識(shí)別。可以根據(jù)目標(biāo)域名的弱特征,流特征等來識(shí)別內(nèi)網(wǎng)用戶與目標(biāo)域名的會(huì)話連接,從而更智能的進(jìn)行控制。
SANGFOR AC的應(yīng)用協(xié)議庫(kù)支持用戶手工添加,完成個(gè)性化需求配置、識(shí)別、控制。
4.2.3 P2P智能識(shí)別
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)上的P2P行為層出不窮,如果只能對(duì)一些已知的P2P行為,比如BT、eMule、QQLive等進(jìn)行識(shí)別控制,顯然是不夠的。
SANGFOR AC除了能夠識(shí)別已知的P2P行為之外,還能根據(jù)SANGFOR AC的基于統(tǒng)計(jì)學(xué)的智能分析技術(shù)有效識(shí)別未知的、新的P2P行為。同時(shí)SANGFOR AC還能夠?qū)用蹷T、加密P2P行為進(jìn)行準(zhǔn)確識(shí)別與控制。做到對(duì)P2P行為的全面監(jiān)控。
4.3 靈活的網(wǎng)絡(luò)控制策略
4.3.1 URL的訪問的合理分配
組織內(nèi)部根據(jù)部門職能的不同于業(yè)務(wù)相關(guān)的網(wǎng)站類型也不一樣,諸如財(cái)務(wù)部主要關(guān)注財(cái)經(jīng)類網(wǎng)站,而市場(chǎng)人員主要工作相關(guān)網(wǎng)絡(luò)主要是行業(yè)相關(guān)網(wǎng)站,相關(guān)的市場(chǎng)機(jī)會(huì)網(wǎng)站,SANGFOR AC可以基于不同的用戶群體劃分不同網(wǎng)頁(yè)內(nèi)別的訪問規(guī)則。
支持根據(jù)業(yè)務(wù)需要定義URL類別,通過SANGFOR AC獨(dú)有的智能識(shí)別技術(shù),對(duì)客戶定義類別的網(wǎng)站進(jìn)行智能學(xué)習(xí)和分類。
有效的封堵在線流媒體的使用,如新浪視頻網(wǎng)站等。
4.3.2 基于網(wǎng)站類型,文件類型的流量管理
基于網(wǎng)站類型的流量管理,可以針對(duì)諸如人力資源部保障招聘類網(wǎng)站的訪問速度不少于40KBPS,基于文件類型的流控:例如對(duì)內(nèi)網(wǎng)下載電影文件進(jìn)行帶寬限制,限制公司整體群組下載電影類文件的帶寬不高于2Mbps。
4.3.3 IM聊天軟件靈活管控
能夠完整識(shí)別各類IM聊天軟件,可以實(shí)現(xiàn)靈活的控制策略,對(duì)于市場(chǎng)人員可以允許使用部分業(yè)務(wù)相關(guān)的即時(shí)聊天工具,而對(duì)于其他人員主要通過郵件交流或是開放部分不通用的聊天軟件來進(jìn)行內(nèi)部的溝通。
4.3.4 炒股軟件、游戲軟件的封堵
除了公司高層領(lǐng)導(dǎo)需要關(guān)注股價(jià)以外,組織內(nèi)部其他人員對(duì)于炒股軟件的使用嚴(yán)重影響了工作效率,SANGFOR AC全面的識(shí)別各類炒股軟件,在線炒股的網(wǎng)址,進(jìn)行全面的封堵,有效提高工作效率。
SANGFOR AC目前已經(jīng)能識(shí)別包括魔獸世界,CS,泡泡堂等在內(nèi)70多款的在線游戲,進(jìn)行完全封堵保障內(nèi)網(wǎng)工作效率。
4.3.5 P2P流媒體和P2P下載的管控
P2P流媒體不但影響工作效率,而且對(duì)帶寬的過度占用導(dǎo)致了業(yè)務(wù)應(yīng)用的緩慢,6
SANGFOR AC能智能識(shí)別P2P流量,對(duì)于不常見的或是新出現(xiàn)的P2P類應(yīng)用軟件也可以根據(jù)其流量特征進(jìn)行有效的識(shí)別,從而細(xì)致精準(zhǔn)保證網(wǎng)絡(luò)帶寬的合理使用,禁止P2P的行為既保證了員工上班時(shí)間工作效率,也保障了核心應(yīng)用的帶寬。
第四篇:路由器上網(wǎng)行為管理
上網(wǎng)行為管理的應(yīng)用價(jià)值
除了遲到、曠工,上網(wǎng)行為也要納入到行政管理了,這是目前一些企業(yè)的網(wǎng)絡(luò)應(yīng)用需求。為此,越來越多的組網(wǎng)設(shè)備開始提供上網(wǎng)行為管理的功能。
上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。這些問題其實(shí)是一個(gè)職業(yè)素質(zhì)的基本問題,但企業(yè)管理者由于各種原因,對(duì)此經(jīng)常無可奈何。路由器上網(wǎng)行為管理正是迎合了這個(gè)需要,以電子化手段進(jìn)行鐵面無私的管理,行政措施得以有效的貫徹。
但是,上網(wǎng)行為管理功能的產(chǎn)品出現(xiàn)的時(shí)間不長(zhǎng),很多用戶在應(yīng)用中有一定的誤區(qū),產(chǎn)品選購(gòu)上也無所適從。本文旨在上網(wǎng)行為管理功能的應(yīng)用價(jià)值、技術(shù)實(shí)現(xiàn)、產(chǎn)品選擇等方面做一個(gè)粗略的探討。
一、上網(wǎng)行為管理的應(yīng)用價(jià)值
首先應(yīng)該明確的是,上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備,而是行政管理的手段。上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)公司隱私的工具,是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對(duì)企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用,從這一點(diǎn)上來說上網(wǎng)行為管理的應(yīng)用對(duì)企業(yè)是有益的。誠(chéng)然,精心部署上網(wǎng)行為管理,對(duì)企業(yè)網(wǎng)絡(luò)的穩(wěn)定性、可靠性有一定的幫助,但這是非常不夠的。網(wǎng)絡(luò)的穩(wěn)定可靠不能僅僅依靠上網(wǎng)行為管理來實(shí)現(xiàn),而主要還是要依靠專業(yè)的網(wǎng)絡(luò)安全設(shè)備和方案。可是目前,在一些用戶心中,依然對(duì)上網(wǎng)行為管理產(chǎn)品的作用存在一些模糊不清的認(rèn)識(shí):
誤區(qū)一:上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線 網(wǎng)絡(luò)掉線是整個(gè)網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng),是因?yàn)橐蕴W(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無序上網(wǎng)的問題,客觀上對(duì)網(wǎng)絡(luò)凈化起到一些作用,但絕不是根本的手段。網(wǎng)絡(luò)問題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決,解決網(wǎng)絡(luò)掉線、卡滯等問題,應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案,那才是從根源著手的有效辦法。誤區(qū)二:上網(wǎng)行為管理能防病毒侵害
網(wǎng)絡(luò)病毒的傳播防不勝防,掛馬成為了龐大產(chǎn)業(yè)。所以,靠上網(wǎng)行為的約束,期望杜絕病毒的侵入,在目前中國(guó)的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段,在網(wǎng)絡(luò)層面,要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等,在單機(jī)層面,要安裝殺毒軟件、定期升級(jí)操作系統(tǒng)補(bǔ)丁等措施。所以,盡管上網(wǎng)行為管理對(duì)防范病毒侵害很重要,但也只能是一個(gè)輔助措施。
誤區(qū)三:上網(wǎng)行為管理能控制網(wǎng)速
封QQ、封P2P、封視頻,通過限制大容量的下載保證帶寬的合理使用,這些都是權(quán)宜之計(jì),不是一個(gè)完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問題,因?yàn)榫W(wǎng)絡(luò)上的內(nèi)容太豐富了,搶占帶寬的流量無法一一識(shí)別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面,對(duì)帶寬的管理是通過QoS實(shí)現(xiàn)的,而不是通過限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供,有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有“人少時(shí)快、人多時(shí)均”的欣向智能帶寬算法等等。這些都是從專業(yè)角度進(jìn)行的,對(duì)控制網(wǎng)速根本有效的辦法。
因此,綜上所述,上網(wǎng)行為管理功能解決不了網(wǎng)絡(luò)的穩(wěn)定性、可靠性問題,對(duì)網(wǎng)絡(luò)本身的管理也不是根本的辦法。應(yīng)用上網(wǎng)行為管理后,企業(yè)的網(wǎng)絡(luò)狀況會(huì)有一定好轉(zhuǎn),但恐怕只是暫時(shí)的。上網(wǎng)行為管理最大的效用就是在行政管理上,它通過提高員工的工作效率為企業(yè)創(chuàng)造價(jià)值,這才是上網(wǎng)行為管理路由器得到歡迎的主要原因。
二、上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)
上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)大概分為幾個(gè)部分:IP分組管理、特定應(yīng)用封鎖、行為審計(jì)、行為記錄等。IP分組管理是實(shí)現(xiàn)上網(wǎng)行為管理的基礎(chǔ),對(duì)于每個(gè)特定的分組分配不同的上網(wǎng)權(quán)限,對(duì)各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進(jìn)行要求,這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以,分組管理和權(quán)限策略在路由器中設(shè)計(jì)為多重搭配組合的模式。
欣向免疫路由分組成員管理
特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口,達(dá)到應(yīng)用無法連接到服務(wù)器的目的,實(shí)現(xiàn)行為封鎖的一種方式。這種功能其實(shí)在路由器中早就存在,它是“外網(wǎng)IP過濾”、“端口過濾”、“URL關(guān)鍵字過濾”等幾個(gè)功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項(xiàng)目提出來,預(yù)制進(jìn)產(chǎn)品中,通過一個(gè)在界面上的名字表達(dá)這個(gè)功能。這樣做法就是方便了用戶,不必讓用戶自己去查找要封鎖項(xiàng)目的相關(guān)信息,再一條一條地在路由器上配置保存,這大大提高了產(chǎn)品的易用性。
而協(xié)議型封鎖是通過對(duì)要封鎖的協(xié)議進(jìn)行分析,識(shí)別上網(wǎng)行為身份,進(jìn)行對(duì)該協(xié)議的攔截,實(shí)現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的,用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用,它們雖然有相對(duì)固定的服務(wù)器IP群,但它們的連接方式是靠協(xié)議握手,動(dòng)態(tài)地變換IP和端口,甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進(jìn)行處理。從技術(shù)實(shí)現(xiàn)的角度來看,靜態(tài)過濾是較容易的手段,而協(xié)議型封鎖對(duì)產(chǎn)品設(shè)計(jì)的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程,又要在實(shí)現(xiàn)的同時(shí)照顧路由器的轉(zhuǎn)發(fā)效率,照顧多WAN情況下的負(fù)載均衡,算法上是比較復(fù)雜的。當(dāng)前的網(wǎng)絡(luò)設(shè)備市場(chǎng),提供上網(wǎng)行為管理功能的路由器很多,表面上是大家都有上網(wǎng)行為管理功能,但實(shí)際上由于技術(shù)實(shí)現(xiàn)方式的不同,導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實(shí)用。
如果使用簡(jiǎn)單的靜態(tài)過濾方式,而不是協(xié)議型封鎖來實(shí)現(xiàn)上網(wǎng)行為管理,功能雖然提供了,而效果是不能令人滿意的。遺憾的是,很多上網(wǎng)行為管理路由器就是這么做的。
拿大家熟悉的QQ來說,我們登陸QQ時(shí),都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進(jìn)行帳號(hào)和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表,然后通過路由器進(jìn)行這些服務(wù)器IP的過濾處理,這樣QQ帳號(hào)密碼認(rèn)證不了,當(dāng)然也就實(shí)現(xiàn)了攔截QQ的目的。
這種封QQ的方式存在兩個(gè)問題:
1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時(shí),就會(huì)出現(xiàn)行為管理失效,路由器不得不進(jìn)行軟件升級(jí),效果不徹底,應(yīng)用麻煩。
2、當(dāng)使用代理服務(wù)器進(jìn)行應(yīng)用訪問的中轉(zhuǎn)時(shí),由于認(rèn)證和訪問信息通過第三方中轉(zhuǎn),自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的“QQ代理服務(wù)器”IP,就是用來破解此種行為管理的,QQ聊天軟件也提供了繞過此種封鎖的代理服務(wù)器設(shè)置(如圖),區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過QQ代理登陸的方式進(jìn)行測(cè)試區(qū)分,所以靜態(tài)過濾的方式對(duì)行為管理是不徹底的,無效的。
QQ代理服務(wù)器設(shè)置
而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議,所以無論如何設(shè)置代理都能直接識(shí)別封鎖,效果徹底,然而此種行為管理方式需要的技術(shù)較高,路由器中很少使用。而已知的,欣向免疫墻路由器就是采用了協(xié)議分析的上網(wǎng)行為管理手段,這是很難得的。它采用了全新的應(yīng)用層協(xié)議分析,根據(jù)不同應(yīng)用的協(xié)議特征,對(duì)特定上網(wǎng)行為進(jìn)行分析確認(rèn)。由于采用了協(xié)議分析,行為管理真正做到了準(zhǔn)確無誤。基于協(xié)議的上網(wǎng)行為管理功能的實(shí)現(xiàn),對(duì)路由器設(shè)計(jì)有較高的要求。尤其是多WAN環(huán)境下,不管是靜態(tài)過濾還是協(xié)議封鎖,都需要考慮對(duì)負(fù)載均衡的影響,也就是說,上網(wǎng)行為管理的啟用,不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實(shí)現(xiàn)上網(wǎng)行為功能的時(shí)候,把內(nèi)網(wǎng)IP固定地綁在某一個(gè)WAN口上,或者按照IP均衡的方式進(jìn)行分配,這就失去了多WAN帶寬疊加的應(yīng)用效果。
欣向采用的是多年領(lǐng)先的基于身份綁定的第四代多WAN技術(shù)。作為第一個(gè)推出多WAN路由器的廠家,欣向一直從事多WAN下的應(yīng)用協(xié)議分析,以保證各種網(wǎng)絡(luò)訪問在多WAN接入下的優(yōu)化處理。在實(shí)現(xiàn)上網(wǎng)行為管理功能的時(shí)候,欣向路由對(duì)行為管理的有效性、路由轉(zhuǎn)發(fā)效率、CPU負(fù)荷、多WAN帶寬匯聚等進(jìn)行綜合考慮,是比較周全的方案,在這個(gè)方面無疑是占據(jù)了領(lǐng)先的高度。
欣向免疫墻路由器分組上網(wǎng)行為管理
三、上網(wǎng)行為管理的產(chǎn)品選擇
由于存在著用戶對(duì)上網(wǎng)行為管理功能的需求,很多網(wǎng)絡(luò)設(shè)備開始提供這樣的功能。不僅僅在路由器,在防火墻、安全網(wǎng)關(guān)、UTM、接入服務(wù)器等各種設(shè)備中都能見到上網(wǎng)行為管理功能的影子,甚至還有一些專門的上網(wǎng)行為管理設(shè)備賣的也很不錯(cuò)。
雖然存在的就是合理的,但對(duì)于用戶來說,要根據(jù)自己的應(yīng)用需求進(jìn)行選擇,要根據(jù)自身網(wǎng)絡(luò)狀況、投資額度、現(xiàn)有設(shè)備的功能組合、網(wǎng)絡(luò)的優(yōu)化升級(jí)等作整體的規(guī)劃,最后考慮產(chǎn)品的優(yōu)劣,從而進(jìn)行正確的選擇。
下面提供一些建議供企業(yè)朋友們參考。
對(duì)上網(wǎng)行為管理要求較高,管理嚴(yán)苛的較大型企業(yè),應(yīng)該選擇專用的上網(wǎng)行為管理設(shè)備。這種設(shè)備不提供其他復(fù)雜的上網(wǎng)功能,也沒有過多涉及防火防毒網(wǎng)絡(luò)安全內(nèi)容,它的主要功能就是上網(wǎng)行為管理,術(shù)業(yè)有專攻,它在產(chǎn)品功能上比較豐富,服務(wù)支撐比較到位。
至于防火墻、UTM中提供的上網(wǎng)行為管理功能,也是很可取的方案,它適用于一些信息化程度較高的企業(yè),準(zhǔn)備或已經(jīng)部署了相關(guān)設(shè)備的情況下,啟用附帶的上網(wǎng)行為管理功能可以節(jié)省部署專用設(shè)備的資金。
選擇寬帶路由器中的上網(wǎng)行為管理功能,適用于大多數(shù)的中小企業(yè)。接入路由器是企業(yè)網(wǎng)絡(luò)的大門,在大門處加一個(gè)門崗做上網(wǎng)行為管理,是簡(jiǎn)單易行的辦法。但是,路由器主要的功能是高速數(shù)據(jù)轉(zhuǎn)發(fā),由于CPU負(fù)載能力和成本的限制,路由器功能設(shè)計(jì)不可能主次顛倒,在上網(wǎng)行為管理上不可能做到很強(qiáng),所以不要對(duì)他抱有太多的期望值,夠用好用就可以了。如果單純因?yàn)樯暇W(wǎng)行為管理去選擇路由器,很可能會(huì)本末倒置。這就兩難了。雖然上網(wǎng)行為管理在地位上應(yīng)該是路由功能的附屬,但對(duì)于大多數(shù)中小企業(yè)用戶來說,這個(gè)功能確實(shí)又是需要的。同時(shí)企業(yè)網(wǎng)絡(luò)又要解決網(wǎng)絡(luò)的穩(wěn)定、可靠、安全的問題,又不能犧牲網(wǎng)絡(luò)接入的性能,尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在IT投資不可能太大的情況下,那又該如何選擇一臺(tái)優(yōu)質(zhì)的路由器,同時(shí)滿足多種需求呢? 強(qiáng)烈的建議是:配備帶有上網(wǎng)行為管理的免疫墻路由器。
當(dāng)前的企業(yè)網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)掉線、卡滯等問題。很多企業(yè)都將其歸咎于BT下載、QQ視頻等的頻繁使用,導(dǎo)致盲目上馬上網(wǎng)行為管理設(shè)備,實(shí)則不然。以上網(wǎng)絡(luò)應(yīng)用僅是占用了大量的網(wǎng)絡(luò)帶寬,而企業(yè)路由器都有帶寬管理功能,如果是因?yàn)樘囟ㄐ袨樵L問導(dǎo)致的帶寬不足,啟用路由器帶寬管理后就該沒有問題了。但實(shí)際情況是,啟用了帶寬管理以上網(wǎng)絡(luò)問題還存在,購(gòu)置了新的上網(wǎng)行為管理設(shè)備網(wǎng)絡(luò)問題還沒有解決!
這主要是因?yàn)槠髽I(yè)網(wǎng)絡(luò)的免疫安全問題被忽視了!據(jù)統(tǒng)計(jì),80%的網(wǎng)絡(luò)問題都是由內(nèi)網(wǎng)引起的。由于以太網(wǎng)的先天缺陷以及路由設(shè)備的脆弱,黑客能夠充分利用協(xié)議漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞,ARP、SYN攻擊等就是基于這樣的原理。補(bǔ)上協(xié)議漏洞、提高管理手段,對(duì)終端進(jìn)行強(qiáng)制性管理,從而對(duì)網(wǎng)絡(luò)進(jìn)行整體的管控,使病毒的發(fā)作無法竄擾到網(wǎng)絡(luò)上來,這樣才能徹底解決網(wǎng)絡(luò)問題。網(wǎng)絡(luò)問題必須網(wǎng)絡(luò)解決,提高網(wǎng)絡(luò)免疫安全要有全面性和強(qiáng)制性。網(wǎng)絡(luò)免疫技術(shù)由欣向首次提出并應(yīng)用于路由器設(shè)備,欣全向公司基于這樣的技術(shù)思路,讓免疫墻路由器不僅在寬帶接入端起到安全管理的作用,也能夠深入到整個(gè)內(nèi)網(wǎng)的每一個(gè)終端進(jìn)行控制和保護(hù)。同時(shí),在內(nèi)網(wǎng)中還有一臺(tái)監(jiān)控中心,對(duì)整個(gè)內(nèi)網(wǎng)的運(yùn)行進(jìn)行統(tǒng)計(jì)、顯示、控制、告警、策略分發(fā)等工作,全網(wǎng)的狀態(tài)時(shí)時(shí)刻刻一目了然。以免疫墻路由器組建企業(yè)內(nèi)網(wǎng),可以達(dá)到普通路由器難以企及的應(yīng)用效果,在上網(wǎng)的穩(wěn)定、高速、安全、可管理能力上,遠(yuǎn)遠(yuǎn)超過了普通路由的組網(wǎng)方案。
有了網(wǎng)絡(luò)安全和穩(wěn)定的運(yùn)行基礎(chǔ),網(wǎng)絡(luò)行為管理才能顯示其更加細(xì)致的應(yīng)用訪問控制優(yōu)勢(shì),才能真正滿足中小企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用的多種需求。沒有穩(wěn)定可靠,上網(wǎng)行為管理就無從談起,所謂皮之不存毛之焉在。欣向免疫墻路由器 總結(jié)
是否部署上網(wǎng)行為管理要依據(jù)企業(yè)的具體情況。如果企業(yè)網(wǎng)絡(luò)穩(wěn)定,并且有網(wǎng)絡(luò)訪問行為控制的要求,那么選擇合適的上網(wǎng)行為管理設(shè)備是必要的。
上網(wǎng)行為管理功能需要采用靜態(tài)過濾和協(xié)議型封鎖2種技術(shù)方式,單純依靠靜態(tài)過濾處理上網(wǎng)行為管理是技術(shù)敷衍,功能是不可靠的。但上網(wǎng)行為管理僅限于網(wǎng)絡(luò)訪問權(quán)限的控制,是行政管理的輔助手段,并不能解決網(wǎng)絡(luò)的安全和穩(wěn)定問題。如果企業(yè)存在網(wǎng)絡(luò)掉線、卡滯、速度慢、不安全、難管理等問題,那就需要帶免疫墻功能的路由器,著重解決內(nèi)網(wǎng)問題。中小企業(yè)既要上網(wǎng)行為管理,又要安全穩(wěn)定可靠的網(wǎng)絡(luò),使用帶有上網(wǎng)行為管理功能的免疫墻路由器可以一舉多得。
第五篇:上網(wǎng)行為管理解決方案(推薦)
上網(wǎng)行為管理解決方案
一.上網(wǎng)行為管理產(chǎn)品產(chǎn)生的背景
在Internet飛速發(fā)展的今天,網(wǎng)絡(luò)已成為企業(yè)的重要生產(chǎn)工具,員工通過網(wǎng)絡(luò)可以查找資料、溝通交流和從事電子商務(wù)等,但是相應(yīng)的多種問題伴隨而生,例如:
1.與工作無關(guān)的 P2P 和在線視頻等應(yīng)用占用帶寬
2.與工作無關(guān)的聊天、炒股、游戲、博客和在線購(gòu)物等活動(dòng)影響工作效率。
3.員工隨意在網(wǎng)絡(luò)上發(fā)帖和傳輸文件導(dǎo)致機(jī)密泄露 4.員工上網(wǎng)容易受到病毒、木馬和蠕蟲等攻擊和感染 5.員工通過網(wǎng)絡(luò)從事一些黃賭毒等違法活動(dòng) 6.員工瀏覽和發(fā)布不良言論導(dǎo)致企業(yè)面臨法律風(fēng)險(xiǎn) 為解決以上一系列的問題,上網(wǎng)行為管理產(chǎn)品應(yīng)運(yùn)而生。二.上網(wǎng)行為管理產(chǎn)品給用戶帶來的價(jià)值
上網(wǎng)行為管理產(chǎn)品帶來了全面的互聯(lián)網(wǎng)行為管理解決方案。在此,我們以華為的ASG2000系列產(chǎn)品為例,從URL過濾、應(yīng)用行為控制、流量管理、web內(nèi)容過濾、上網(wǎng)行為審計(jì)等幾個(gè)方面闡述行為管理產(chǎn)品為用戶帶來的價(jià)值: 1. 應(yīng)用控制和URL過濾: 企業(yè)或者組織接入互聯(lián)網(wǎng)的帶寬一般非常有限。當(dāng)這個(gè)有限的帶寬充斥了大量的無關(guān)應(yīng)用(如在線游戲、P2P和在線視頻)的時(shí)候,一些重要應(yīng)用將受到擠壓,基本帶寬得不到保證,使得網(wǎng)絡(luò)對(duì)于工作和重要業(yè)務(wù)不再可用。該應(yīng)用通過應(yīng)用層數(shù)據(jù)識(shí)別,對(duì)數(shù)據(jù)流中的應(yīng)用層數(shù)據(jù)進(jìn)行內(nèi)容檢測(cè)。通過對(duì)解析的數(shù)據(jù)包,使用應(yīng)用特征庫(kù)中的規(guī)則,對(duì)應(yīng)用數(shù)據(jù)進(jìn)行匹配,識(shí)別出在線游戲、P2P和在線視頻等多種類型的網(wǎng)絡(luò)數(shù)據(jù)流量,然后根據(jù)用戶對(duì)該類應(yīng)用配置的動(dòng)作允許還是阻斷數(shù)據(jù)包。URL過濾在企業(yè)中是非常重要的功能,員工隨意不受控地訪問非法網(wǎng)站,不僅嚴(yán)重影響工作效率而且威脅企業(yè)網(wǎng)絡(luò)安全。URL過濾對(duì)用戶的URL請(qǐng)求進(jìn)行訪問控制,允許或禁止用戶訪問某些網(wǎng)絡(luò)資源,可以達(dá)到規(guī)范上網(wǎng)行為的目的。
2. 流量管理:基于時(shí)間段、部門/用戶和應(yīng)用/應(yīng)用類型,對(duì)網(wǎng)絡(luò)游戲、在線網(wǎng)頁(yè)視頻和P2P視頻等帶寬濫用的應(yīng)用進(jìn)行限速,確保正常業(yè)務(wù)的帶寬使用,為各部門劃分和分配出口帶寬。同時(shí)提供帶寬保證措施,保證關(guān)鍵應(yīng)用對(duì)外提供服務(wù)的帶寬、保證內(nèi)部重要人員的上網(wǎng)帶寬。
3. web內(nèi)容過濾:Web內(nèi)容過濾可以對(duì)HTTP協(xié)議傳輸?shù)腤eb頁(yè)面內(nèi)容和附件以及對(duì)FTP協(xié)議外傳的附件進(jìn)行控制,可以控制的項(xiàng)目包括: 按關(guān)鍵字過濾內(nèi)網(wǎng)用戶通過Web頁(yè)面提交的文本(如BBS、論壇發(fā)帖),并控制提交文本內(nèi)容的大小。通過文件大小和文件類型控制HTTP方式和FTP方式的文件外傳。Web瀏覽關(guān)鍵字過濾:內(nèi)網(wǎng)用戶通過瀏覽器瀏覽Web頁(yè)面時(shí),按關(guān)鍵字過濾Web頁(yè)面上的文本。
4. 上網(wǎng)行為審計(jì):用戶訪問的網(wǎng)站,包括成功訪問和意圖訪問但被阻斷的網(wǎng)站,攻擊防范、入侵防御和反病毒日志,上網(wǎng)時(shí)長(zhǎng)和上網(wǎng)流量日志,同時(shí)支持審計(jì)某應(yīng)用協(xié)議的上網(wǎng)時(shí)長(zhǎng)和上網(wǎng)流量,通過HTTP協(xié)議外發(fā)的文本內(nèi)容,通過HTTP、FTP和郵件進(jìn)行文件收發(fā)的日志,用戶使用搜索引擎搜索過的關(guān)鍵字,郵件收發(fā)日志等審計(jì)內(nèi)容。除以上功能外華為產(chǎn)品還支持惡意流量檢測(cè),基于特征碼的病毒檢測(cè)等功能。
其他廠家產(chǎn)品及功能:除華為產(chǎn)品之外,還有深信服,網(wǎng)康,飛魚星等廠家的產(chǎn)品,主要包括以下功能:網(wǎng)絡(luò)流量管理,P2P軟件的控制,攔截不良網(wǎng)頁(yè),文件傳輸控制,IM(即時(shí)通訊)軟件的管理,應(yīng)用控制,上網(wǎng)時(shí)間管理,外發(fā)信息控制等。三.上網(wǎng)行為管理產(chǎn)品部署方式: 1.網(wǎng)橋模式(二層模式)
適用場(chǎng)景:企業(yè)具有出口網(wǎng)關(guān),不希望改動(dòng)現(xiàn)有網(wǎng)絡(luò)環(huán)境。2.網(wǎng)關(guān)模式(三層模式)
適用場(chǎng)景:企業(yè)沒有出口網(wǎng)關(guān),需要使用ASG做出口網(wǎng)關(guān)。3.旁路模式
適用場(chǎng)景:旁路模式通過交換機(jī)或HUB的流量鏡像功能把用戶的上網(wǎng)數(shù)據(jù)鏡像到上網(wǎng)行為管理設(shè)備,從而實(shí)現(xiàn)對(duì)上網(wǎng)行為的審計(jì)。旁路組網(wǎng)時(shí)即使ASG發(fā)生故障也不會(huì)影響網(wǎng)絡(luò)業(yè)務(wù)。四.上網(wǎng)行為管理功能列表: 下面功能列表以華為產(chǎn)品為例:
五.應(yīng)用舉例
政府信息中心上網(wǎng)行為管理;政府機(jī)關(guān)網(wǎng)絡(luò)一般包括政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng),電子政務(wù)規(guī)劃要求下屬單位需要通過政府信息中心的互聯(lián)網(wǎng)出口統(tǒng)一上網(wǎng),但是也存在個(gè)別下屬單位由于特殊原因擁有自己的互聯(lián)網(wǎng)出口。政務(wù)內(nèi)網(wǎng)跟互聯(lián)網(wǎng)物理隔離,政務(wù)外網(wǎng)是辦公人員跟外面進(jìn)行信息交流的通道,也是政務(wù)公開和網(wǎng)上辦事的窗口。在有獨(dú)立互聯(lián)網(wǎng)出口的總部和分支機(jī)構(gòu)分別部署ASG設(shè)備,通過ASG Manager對(duì)ASG設(shè)備進(jìn)行集中統(tǒng)一管理。通過劃分上網(wǎng)權(quán)限、管理出口帶寬、管控法律風(fēng)險(xiǎn)、全面網(wǎng)絡(luò)行為審計(jì),有效降低互聯(lián)網(wǎng)風(fēng)險(xiǎn)、滿足法律法規(guī)要求。組網(wǎng)圖:
該應(yīng)用場(chǎng)景主要實(shí)現(xiàn)如下目的: 1.管理出口帶寬
基于時(shí)間段、部門/用戶和應(yīng)用/應(yīng)用類型,對(duì)網(wǎng)絡(luò)游戲、在線網(wǎng)頁(yè)視頻和P2P視頻等帶寬濫用的應(yīng)用進(jìn)行限速,確保正常業(yè)務(wù)的帶寬使用,為各部門劃分和分配出口帶寬。同時(shí)提供帶寬保證措施,保證關(guān)鍵應(yīng)用對(duì)外提供服務(wù)的帶寬、保證內(nèi)部重要人員的上網(wǎng)帶寬。2. 管控上網(wǎng)權(quán)限
根據(jù)不同部門/用戶(單位)分配不同的互聯(lián)網(wǎng)資源訪問權(quán)限。3. 管控法律風(fēng)險(xiǎn) 過濾瀏覽的不良網(wǎng)站和非法網(wǎng)站(反動(dòng)、色情、暴力、博彩等),過濾發(fā)布非法言論。4. 審計(jì)和監(jiān)督
記錄網(wǎng)絡(luò)訪問行為。5. 威脅過濾
過濾釣魚、網(wǎng)馬和惡意軟件下載等惡意網(wǎng)站,確保用戶安全上網(wǎng)。六.硬件設(shè)備 以華為產(chǎn)品為例
七.實(shí)施周期 根據(jù)已經(jīng)實(shí)施過的華為工程(大唐國(guó)際和高壓開關(guān)廠),測(cè)算一臺(tái)ASG設(shè)備大概1周/人可實(shí)施完畢。
運(yùn)維部-李紅光
2015年1月6日