第一篇：上網行為管理

上網行為管理的定義

幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析；

為什么要管理上網行為

“隨著互聯網的發展，它已經到了必須控制和管理的時代，因為網上充滿了錯誤的信息、虛假的信息，和非民主的力量?！?---蒂姆?伯納斯?李（互聯網之父）

水能載舟亦能覆舟!互聯網一方面能夠幫助企業提高生產力、促進企業發展；另一方面也在企業管理、工作效率、信息安全、法律遵從、IT投資等方面給企業提出了嚴峻的問題與挑戰。

問題1：網速為什么越來越慢？

在辦公室里經常會聽到有人抱怨“網速為什么這么慢？”，幾乎所有的企業都存在這樣的問題。那么企業花錢租用的10M甚至100M帶寬都被用在哪里了？為什么帶寬不斷擴充，而網速并沒有明顯改善？

真相：帶寬資源也許正被濫用!

根據聯通公司發布的一份調查顯示：以迅雷、BT、eDonkey、KaZaA等為代表的P2P應用，消耗了40%以上的有效網絡帶寬。而在企業租用的有限帶寬里，充斥著大量P2P下載、網絡電視等應用流量，導致大量帶寬被非工作應用所占用。而且，由于P2P的應用特征，使得企業高額投資的帶寬成了互聯網公共服務。

誰？在什么時間？可以擁有多少帶寬資源？可以使用哪些網絡應用？

問題2：網絡安全事故為什么防不勝防？

“堵漏洞、砌高墻、防外攻、防內賊，防不勝防”，防火墻越“砌”越“高”，入侵檢測越做越復雜，病毒庫越來越龐大，身份系統層層設保，卻依然無法應對層出不窮網絡安全威脅，難道那么多安全產品都是擺設？

真相：安全隱患來自內部員工!

無論如何豪華的防線，一個漏洞就可以毀滅所有一切。Meta Group發布研究報告稱：“持續增長的安全威脅源自您的員工”。內部人員通過互聯網與外部通訊時，可能會引入含有惡意的或者攻擊性的內容，如若未能得到監測和控制，這將成為企業的一大隱患。并且充滿誘惑的網絡資源往往是風險的發源地。

誰？在什么時間？是否可以上網？是否阻止訪問可能含有安全風險的網絡內容？

問題3：辦公室為成了免費網吧!

據一項調查顯示，普通企業員工每天的互聯網訪問活中40％與工作無關，對色情等非法網站的訪問量70％都發生在工作時間。上班時間“上網休閑”已經成為普遍現象，聊天、游戲、炒股、購物、BBS、電影、博客等無時無刻不在搶占正常的工作時間，辦公室因此淪為不需要花錢的“網吧”。

誰？在什么時間？可以用什么應用？不可以訪問什么網站？

約束員工在互聯網上的行為，其實是在幫助員工匡正工作行為，丟棄不好的習慣，成為一個專業、敬業的職業人，這對員工自身的職業發展也是大有裨益的。

問題4：企業要為員工的網絡行為背黑鍋嗎？

目前，大部分企業內部員工上網并不受限制，但是他們在網上做了什么？對外發了什么信息？企業完全不知情，也無記錄可查詢，這就給企業埋下了巨大的法律風險。

某企業被當地公安局網絡監察處執行嚴厲處罰，原因是查出該企業內有員工在網上發布了違反法律的信息，但是無法查出是哪位員工所為，最后企業只得為這名“幕后英雄”背黑鍋。那么在這種情況下，企業必須為員工的個人網絡行為負責嗎？

誰？在什么時間？以何種方式？對外發了什么信息？發給了誰？

問題5：發現內部網絡問題后不能快速的找到根源？

當出口擁塞，網絡訪問異常時，只能通過網絡層面的的設備分析原因，簡單的插拔網線，復位設備，以希圖問題解決。但本質，內在的源頭無法定位。

IT系統追求的的是性價比，一位的遷就會隱藏更大的隱患，我們需要專業的洞悉網絡問題應用源頭的能力，能夠分析問題的普遍性，嚴重性，共通性。利用上網行為管理產品能夠做到：

哪些人群的應用異常？哪些行為在單位內最普遍？哪些部門隱患最突出？ 編輯本段上網行為管理的實施步驟

洞悉－＞管控－＞駕馭

step1:企業要做好上網行為管理，必須先洞悉企業內使用互聯網的過程中存在哪些問題？因為不同企業面臨的問題不同，需要先了解到底有哪些問題？

step2:然后分析問題的根源，再制定有針對性的策略管控問題；上網行為管理策略必須是有針對性的、個性化的，這樣才能符合不同企業本身的管理制度、企業文化等的要求和需求；

step3:最后通過審計報表了解問題解決的程度和效果，再根據報表做管理策略優化，進而達到駕馭互聯網、實現上網行為管理的價值。

上網行為管理產品對比

硬件與軟件之分

從產品形態來看，目前上網行為管理分為硬件和軟件2種，但是國內以硬件為主流，國外以軟件為主流；

硬件的優勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,運輸不方便,維護復雜,維修需要專業認識，技術支持不到位

軟件的優勢：成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署.軟件的劣勢：對于國企和政府來說，沒有一個東西不放心,所以國內政府偏硬件，企業偏軟件。

以上對比，并不是絕對的說法。目前的軟硬件結合模式越來越多。包括加入準入模式、VPN的上網行為管理,基于客戶端的內網管理模式和文檔管理模式，為的是內外兼修，從各種方向去彌補單一產品的不足。企業應該根據自身的應用需求，去選擇自己需要而合理的方案。如果只是追求單一產品本身的應用，在信息化建設的綜合成本上一定會超出很多預算，無謂地增加了更多的信息化成本。

產品適用范圍之分

市面上目前能夠提供全面或部分上網行為管理功能的產品，已經有幾十種。如果以產品適用范圍來區分，通常分為這樣3類。

1，適合同時上網PC數量低于50臺。

這類產品一般以純軟件型和低端寬帶路由器集成QQ、MSN、BT等的過濾為主。純軟件型產品通常成本低廉、穩定性較差，適合對上網行為管理有需求，但預算有限的用戶。低端寬帶路由器集成針對部分常見應用或軟件的過濾功能，同樣以價格低廉勝出。在提供基本組網應用的同時，兼顧最基礎的上網行為管理需求，較容易被價格敏感的用戶接受。

2，適合同時上網PC數量在50~200臺之間。

這類產品一般以高性能上網行為管理設備和帶自主研發Kercap引擎的軟件產品為主。即在高性能網關路由器上，增加深度包檢測(DPI)功能。通過分析網絡應用特征碼，配合智能帶寬管理、自動行為管控等綜合策略，全面管理聊天、在線視頻、股票、游戲、P2P下載、暴力及色情等非法網站等的過濾，并配合WAN口流量統計、LAN側用戶流量統計、并發session統計等功能，提供綜合的管理手段。通常價格較軟件產品或低端路由器略高，但功能更全面，性能更穩定，性價比較能夠為此等規模的企業用戶所接受。

3，適合200臺以上的PC同時上網的管理。

這類產品通常是采用硬件與軟件結合的方式。即同樣的軟件版本，安裝在不同檔次的工業計算機上，經過反復的測試后，根據所安裝的工業計算機的處理性能不同，可以涵蓋到200~500，500~1000，甚至更大范圍的并發應用。由于有性能更為強大的工業計算機作為處理平臺，這類產品能夠提供的功能更加豐富，部分產品甚至可以緩存上網瀏覽或發送的內容，檢索出可能涉及泄露公司機密、觸犯法律或不適合上班時間處理的內容，進而采取相應的策略加以限制。對于規模較大的公司，IT管理對技術的依賴更加側重，需要管理的內容和管理的手段更加廣泛，以適應大批量管理的需要。此類產品由于其復雜的功能需要高性能的工業計算機才能夠支撐，因此起步價格通常因硬件成本的因素，只有規模和需求達到一定程度的中大型企業可以接受。

目前也有部分此類廠家推出了適合中小規模用戶的產品，功能上沒有太大的差異，只是選擇更為低廉的工業計算機進行處理，從而降低了整體成本和適用范圍，以滿足中小規模用戶的需求。價格也相應的降到萬元以下。

產品定價

根據軟件硬件產品、產品工業等級、產品硬件內核模組、產品管理規模、產品適用范圍的區分，產品定價的幅度也有極大的變化。

如低端產品線：價格從數百元至數千元不等。即便是軟件產品。也有高達十萬元的價位。而高端產品線，從主流廠商報價來看，從幾萬到幾十萬的價格不等。若是在高校、骨干線路的應用方案中，為了滿足需求，采用雙核、四核、G級的硬件模組的設備其價位更高。

旁路與串接之分

從部署的方式來看，主要分為旁路與串接之分，這主要看用戶對上網行為的管理程度來決定。

旁路：不容易造成單點故障，但是控制和管理的效果不理想；

串接：控制和管理的效果好，但是容易造成單點故障；

目前國內主流的廠商提供的產品都比較穩定，單點故障率較小，建議用戶在條件允許的情況下采用串接方式部署

對于以備份(郵件，聊天，網頁審計)為主的建議采用旁路方式的軟件。

國外與國內

一直以來，很多用戶都認為國外的產品和技術要優于國內廠商，但是上網行為管理產品并不如此。

上網行為管理產品是用來管理互聯網訪問內容和互聯網使用者的，這與企業的文化、管理制度、人文環境、法律法規都非常相關，例如：

國外與中國在成人內容上的分級不同，導致對成人內容的過濾結果不同；

國外與中國的流行網絡應用不同，有很多是只有中國用戶使用的網絡應用，而國外的產品往往不能支持對這些應用的控制和管理；

建議國內用戶盡量選擇使用國內廠商推出的上網行為管理產品，畢竟中國的廠商更了解中國用戶的互聯網環境和互聯網使用習慣。

編輯本段上網行為管理主要功能

網頁訪問過濾

互聯網上的網頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁，以及購物、招聘、財經等與工作無關的網頁，將極大的降低生產效率。

通過上網行為管理產品，用戶可以根據行業特征、業務需要和企業文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。

網絡應用控制

聊天、看電影、玩游戲、炒股票等等，互聯網上的應用可謂五花八門，如果員工長期沉迷于這些應用，也將成為企業生產效率的巨大殺手，并可能造成網速緩慢、信息外泄的可能。

通過上網行為管理產品，用戶可以制定有效的網絡應用控制策略，封堵與業務無關的網絡應用，引導員工在合適的時間做合適的事

帶寬流量管理

P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預算擴充帶寬以外，企業還可以選擇合理化分配和管理帶寬。

通過上網行為管理產品，用戶可以制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優先級，合理利用有限的帶寬資源，節省投入成本。

信息內容審計

發郵件、泡BBS、寫Blog、聊IM已經司空見慣，然而信息的機密性、健康性、政治性等問題也隨之而來。

通過上網行為管理產品，用戶可以制定全面的信息收發監控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的法律風險。

上網行為分析

隨著互聯網上的活動愈演愈烈，實時掌握員工互聯網使用狀況可以避免很多隱藏的風險。

通過上網行為管理產品，用戶可以實時了解、統計、分析互聯網使用狀況，并根據分析結果對管理策略做調整和優化。

第二篇：上網行為管理

1． 上網行為管理

目前市場主流廠商：深信服、網康 ? 典型案例

2.1 提升內網業務操作效率——封堵非業務應用解決方案

方案背景：

日益發達的互聯網讓企業員工有了更多的選擇，網上聊天、網上購物、在線視頻、論壇灌水、BT電影……上班時間，員工很難不受眾多網絡娛樂的誘惑，大家在或多或少地利用工作時間進行非業務操作。

以上行為實實在在地存在于我們的辦公網中。事實上，我們很多企業員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網站、熱門論壇上花費的時間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個大大的問號。

上網行為管理解決方案——合理封堵非業務網絡應用

隨著現代企業管理理念和信息技術水平的提升，如何有效管理與利用互聯網資源，這已成為現代企業管理的重要衡量標準。與此同時，上網行為管理的理念愈發深入人心，提升員工網絡業務的辦公效率，這已經成為企業IT管理者關心的首要問題。、如上圖，企業通過以網關、網橋、或旁路模式部署上網行為管理產品，可以有效對內網員工的各種網絡應用行為進行管理。上班時間，封掉影響業務效率的非業務應用及相關網站；對擠占公司帶寬資源的應用進行流量控制，確保主流的辦公應用帶寬資源，以提高業務應用的辦公效率。

方案價值：

1、全方位封堵p2p，確保正常辦公業務帶寬

P2P應用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，上網行為管理設備通過檢測網絡軟件數據包特征碼，可以對常用軟件進行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，獨有的網絡行為智能分析技術使其同樣難逃法網。

有些部門和領導因業務需要使用P2P，在全面封堵的同時，上網行為管理設備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應用封堵、帶寬分配與流量控制，上網行為管理設備可有效平衡公司內部架構要求、提升核心業務辦公效率。

2、選擇性內容過濾，方式靈活

除針對網絡應用軟件外，上網行為管理設備還內置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等網站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網管人員工作的靈活性。

同時，上網行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據關鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業務的帶寬。

3、差異化權限劃分，構建和諧組織

對于以上管控，上網行為管理設備可根據不同用戶、不同部門的差異化網絡使用權限，人性化管控整個企業。如給銷售部門足夠的網頁瀏覽權限，以方便其網上尋找客戶資源，而對后勤人員則封掉P2P應用、游戲與炒股網站等。

2.2上網行為管理+SSL VPN防信息泄露解決方案

背景分析：

據IDC調查報告顯示，全球有近80%的企業存在著信息安全與風險問題。在報告所調查的公司中，進行網絡常規安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術進行數據傳輸。報告顯示：信息安全問題大都來自于企業內部，信息泄密很多時候源于信息安全管理不善。在中國，眾多的事業單位也面臨這些問題。

事實上，很多企事業單位內外網、服務器隔離存在問題，業務系統的操作并沒有明確授權人員，這導致一些非授權人員大肆訪問并修改內網服務器的重要數據；很多單位員工信息安全意識也較薄弱，很多時候將客戶信息、內部敏感信息等在公網上隨便傳播，并沒有加密，這樣的信息數據很容易被竊取修改。

現在，客戶對企業、民眾對事件單位應用服務的訪問量在不斷增加，客戶的訪問請求經常集中在數臺服務器上，而其它服務器卻因訪問量低而低效運行，這不僅影響了用戶的體驗感受，也嚴重影響著該應用服務訪問穩定性。為將大量的訪問最快的處理并提高服務器的運行效率，保證信息發布不被中斷，以此來保證信息傳播的安全，這點也為越來越多的有識之士關注。

解決方案：

通過上網行為管理產品來防止企事業單位內網泄密，這樣可有效解決單位內部泄密的問題；通過SSL VPN，企事業單位可對外部接入人員進行身份認證，并對這些接入人員進行精確的權限分配來保證合法的訪問與系統修改，這也可以有效隔離內網里的應用服務器與內外網。

產品部署拓撲圖如下：

如上部署，上網行為管理設備以網橋模式透明部署于企事業單位內網，通過識別敏感信息并進行過濾等手段，全方位保護客戶的信息資產和信息安全。

SSL VPN產品以旁路模式部署，企事業單位通過SSL VPN為不同級別的訪問者分配不同的訪問權限，并對其進行嚴格的身份認證，這樣有效管理了外部員工、客戶對內網應用系統服務的訪問安全。

方案價值：

上述整合的解決方案，將使企事業單位解決面臨的信息安全風險，使得組織業務系統獲得持久的可靠和穩定。

上網行為管理產品將幫助企事業單位防范企事業單位的信息資產泄密，這將有助于降低組織機構的信息安全風險，這讓企業、事業單位專注信息資產管理，讓部門溝通、客戶溝通等多方面溝通更有效。

SSL VPN將幫助組織強化信息數據訪問安全。對內網重要區域信息數據的訪問控制，能從源頭上有效保護信息資產安全，SSL VPN提供從訪問終端安全——接入認證安全——數據傳輸安全——訪問權限安全等一體化的安全。

2.3校園網上網行為管理+SSL VPN綜合解決方案

校園網現狀：

校園網網絡規模龐大，相應的網絡應用流量非常驚人；學生網絡應用比較活躍，規范管理非常頭疼。具體而言，校園網建設中存在如下問題：

1、流量問題

因為學生BT下載、在線視頻、迅雷應用等P2P行為十分活躍，校園網帶寬出口經常被堵塞，師生正常的網絡應用經常被擠占。

2、網上言論

目前高校學生網絡應用活躍，校內BBS言論、公網上知名論壇等經常語出驚人之舉，時常給學校帶來世俗、法律上的諸多困擾。由于目前網絡言論實行匿名式注冊，出現問題后很難查詢當事人，最后給學校帶來了極大的負面影響。

3、網絡應用規范問題

不可否認，目前大學在校生所面對的網絡信息、資源較前些年豐富了很多，這其中也有一些色情、反動等類型的網站及其應用，如何從校園網建設上規避這些不良網站、應用的影響，將制度的規范強制執行在日常網絡應用中，這對管理者是個不小的挑戰。

4、校內資源使用問題

學校、政府花費了巨大的精力進行校園網建設，國際教育網絡資源對高校也有很大的優惠措施。目前校園的圖書館電子資源、校內OA系統、校務管理系統給師生工作學習都帶來了便利，但走出校園網這些資源便無力利用了。如何在校園網外實現遠程登錄辦公已經成為校園網深度建設必須面對的問題。

最重要的是，當校園網初步建成之后，如何查詢師生校園網應用情況（如學生經常應用什么網絡軟件，在網上做什么事情），以此來發現網絡應用問題及校園網建設中存在的不足，這對學校的網絡管理者尤為重要，他們需要一種能對網絡建設與管理決策提出良好反饋機制的解決方案。

部署拓撲圖：

上網行為管理+SSL VPN綜合解決方案：

為此，選擇上網行為管理+SSL VPN遠程登錄解決方案。將學校內網安全管理單純地由對外防御病毒、黑客入侵、垃圾郵件，轉向了內外兼備的全面管控，如訪問控制、訪問跟蹤、流量限制、監控、審計等。配合SSL VPN遠程登錄訪問內網，讓從公網訪問校園網內資源成為可能。

1、網絡行為審計

將上網行為管理設備部署在學院網絡出口的防火墻后側，以網橋模式部署，實現三進三出（WAN 口接三臺設備，LAN口接三臺交換機），保證所有流經學院網絡出口的流量都會經過上網行為管理設備的管控和記錄，讓學院所有上網行為記錄有據可查，事實上學院IT管理者甚至可以預先設置好敏感關鍵字，提前過濾網上敏感言論。

2、全面流量控制

對流經學院網絡出口處的所有流量，上網行為管理設備全面進行流量控制。事實上，該設備對學院所有的師生根據院系、專業進行帶寬分配，即將用戶分劃分成組，然后對于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網行為管理設備，學院IT管理部門甚至可以根據相關師生的網絡應用行為、訪問網站類型、上傳下載文件類型進行流量控制。如學生正常應用時放開流量，一旦進行BT下載，則馬上施以流量控制。

3、提高師生網絡應用效率

雖然學生網絡應用非常活躍，但他們很多的網絡應用行為與學業、功課并沒有多大關系，有些學生甚至到學校機房上機時仍然玩網絡游戲、網上沖浪。針對這些現象，學院IT管理部門綁定學院公用計算機，讓學生上機上課時，完全封堵住在線游戲、在線視頻、娛樂網站等，從網絡管理上強制執行上課學習的課堂原則。

4、提供網絡決策咨詢

學院內網用戶的非授權網絡行為被禁止，學校管理者可以對學校網絡運行情況進行統計、分析、評估，做到細致的訪問控制，有效管理用戶上網行為。除了實現強大流量分析及帶寬劃分與分配外，同時各種網絡行為日志也都將得到全面記錄，方便日后查詢。

5、SSL VPN遠程登錄校園內網

將SSL VPN 采用單臂模式部署，接在學院核心三層交換機下，在不改變原網絡結構的情況下，師生可以在任何能上網的地方安全高效地登錄學校內網的OA系統、圖書館資源等，實現辦公效率的快速提升。

2.4銀行業上網行為管理解決方案

項目背景：

目前銀行的多項業務均需依賴互聯網平臺，銀行信息化建設一直引領著各行業信息化建設的潮頭。雖然金融單位已經部署了多種網絡安全產品來抵御來自互聯網的攻擊，但在內網安全、規范管理、信息安全上存在許多薄弱環節。試想：如果銀行職員上班時間BT下載、在線觀看視頻、訪問賭博網站等，這些行為通過部署于網關出口的防火墻就能得到控制嗎？銀行內網一旦缺乏有效的管理手段必然會增加各項業務操作的風險，而且會嚴重影響工作效率。

存在問題：

隨著銀行業務的不斷豐富，銀行的各項業務運作越來越多依賴于網絡平臺，為了達到銀行信息安全的要求，提高銀行的競爭力，需要構建管理規范、流量平穩、防止泄密的安全無憂內網。目前銀行內網管理存在以下問題：

1、銀行職員上班時觀看在線視頻、進行BT下載等行為，對網絡出口帶寬造成了不小的壓力，銀行的正常業務運用可能因為這些非工作性網絡應用造成中斷；

2、銀行業務操作人員利用資金流相對便利，如何有效封堵加密的賭博網站、相關網絡應用，是銀行迫切需要解決的問題。

解決方案：

針對上述問題，銀行選擇上網行為管理解決方案，希望通過對內網用戶進行明確的權限分配，規范銀行員工上班時網絡應用；通過徹底的帶寬、流量控制，保障銀行業務系統帶寬，并進一步提高銀行員工的網絡應用效率。

功能及解決的問題：

1、內網用戶上網權限的細致劃分

針對銀行不同的部門，細致規定其部門員工的上網權限，讓合適的人上合適的網站，進行合適的網絡應用，超過該部門工作權限的網絡行為一律禁止。

上網行為管理設備針對銀行各部門進行用戶組劃分，如信用卡中心、財務部……然后對基于人員劃分的用戶組賦予不同的上網權限，如：封掉信用卡中心炒股、加密交易網站應用……上網行為管理設備甚至可以針對具體的用戶進行上網權限分配。上網行為管理產品細致的權限分配，大大降低了網絡管理者的維護量，合理地規劃出局域網的組織結構。

2、全面流量控制

事實上，一個2M以太網出口的局域網，只要有2個以上的員工不限速地使用BT，幾乎所有人的正常網絡瀏覽都將成為不可完成的任務。銀行帶寬出口雖然相對較大，但因為其網絡應用眾多，出口帶寬也面臨不小的壓力。

上網行為管理設備可進行BT、加密BT、未知版本BT的全面封堵，而且不會像防火墻那樣被BT軟件通過轉換端口繞過去；通過基于人員、應用、訪問網站類型等進行帶寬分配、流量控制，銀行IT人員可以提前規劃好各部門網絡應用流量，充分保障銀行正常業務運作。

3、詳細的日志備份

銀行內網用戶每天訪問互聯網時產生的日志十分巨大，亟需一個更大容量的數據備份機制，而傳統網關所能提供的硬盤存儲容量有限，且這些數據查詢頗為麻煩。

銀行關注日志信息的完整性和保密性，通過上網行為管理設備獨立的日志存儲中心，確保了銀行內網網絡應用日志的完整性與保密性。通過使用上網行為管理設備，銀行的管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態，將網絡使用情況自動生成報表并統計出網絡訪問的趨勢，以幫助系統管理員更好地維護和管理網絡。

2.5電力行業上網行為管理解決方案

項目背景：

隨著中國經濟的進一步發展，整個經濟對能源的需求越來越強烈，工業發展、居民生活的用電需求更是不斷增高。而隨著國家產業升級、能源結構的調整，綠色電力的概念也逐步深入人心。正是基于這一背景，整個電力行業迎來了發展的黃金時期。

目前電力行業內網存在非業務流量擠占帶寬、機密信息存在泄密風險等問題，新的形勢要求電力行業構建規范管控、流量平穩、信息安全的內網，具體要求如下：

1.對公司內部員工進行流量控制，限制員工P2P下載，保證網絡流量；

2.針對公司員工的上網行為軌跡進行記錄，并支持報表分析；

3.對內部聊天軟件進行控制，保證員工上班時間的工作效率；

4.對現有網絡拓撲狀況不進行改動，保證現有網絡的穩定性；

解決方案：

采用網橋模式部署深信服上網行為管理設備，即部署在防火墻和核心交換機之間。這樣就不需改變電廠原有的網絡拓撲及設置，同時也可管控電廠內網的網絡行為；同時也可以采用旁路模式部署，這種模式主要用于內網用戶上網行為日志存儲。

部署拓撲如下：

解決的問題：

1、網絡應用封堵，提升辦公效率

通過電廠網絡出口的上網行為管理設備，通過IP/MAC、硬件特征碼綁定等技術，對用戶進行唯一身份識別；之后將用戶根據業務部門、組織架構進行用戶組劃分及權限分配；對員工上班時的非業務網絡應用——如在線視頻、在線游戲、在線炒股、聊天等進行分時間段、分用戶組管控，人性化封堵，提升辦公效率。

2、流量控制，優化網絡帶寬

電廠作為傳統企業，其網絡出口帶寬有限，而相應的電力調度系統、OA辦公等網絡業務系統又較為完備，這必然帶來了網絡業務運用與網絡帶寬不足間的矛盾，而且時常有用戶進行BT下載等娛樂行為而擠占正常應用帶寬。

針對于此，電廠通過上網行為管理設備對相應用戶組進行帶寬分配與流量控制，流量控制基于業務應用類型、用戶組織權限等各種因素，細致全面地構建平穩流量內網。

3、行為日志記錄與統計，保證信息安全

電廠通過上網行為管理設備進行用戶流量統計、網絡應用記錄、訪問網站軌跡等諸多信息安全管理行為。

4、宏觀網絡應用分析，指導IT管控方向

電廠可根據上網行為管理設備記錄日志生成曲線、餅狀、柱狀、趨勢圖等，并可對相關網絡應用、流量等進行排名。用戶可根據自己所需信息生成宏觀分析圖表，如：內網哪個用戶流量最大、哪些網絡應用生成流量最大、哪些網站訪問最多……這樣電廠IT管理者便能根據日志分析圖表調整上網行為管理選項，為內網管控、進一步建設進行決策。

通過上網行為管理解決方案，增強了網絡管控性，提高了電廠的競爭力。

第三篇：上網行為管理解決方案

上網行為管理解決方案

泉州市東達網絡科技有限公司

2014-09-22

目錄

第1章 第2章 第3章

3.1 3.2 應用背景......................................................................................................1 問題分析......................................................................................................1 帶寬使用情況探知......................................................................................1 用戶識別......................................................................................................2 應用識別......................................................................................................2 3.2.1 3.2.2

第4章

4.1 4.2 URL訪問行為...................................................................................2 互聯網應用類型訪問控制................................................................2

規范網絡使用行為，提高工作效率..........................................................3 靈活的用戶識別和認證方式......................................................................3 細致全面的應用流量識別技術..................................................................4 4.2.1 4.2.2 4.2.3 URL識別...........................................................................................4 國內最大的應用協議庫....................................................................4 P2P智能識別....................................................................................5

4.3 靈活的網絡控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的訪問的合理分配...................................................................6 基于網站類型，文件類型的流量管理............................................6 IM聊天軟件靈活管控......................................................................6 炒股軟件、游戲軟件的封堵............................................................6 P2P流媒體和P2P下載的管控........................................................6

i

第1章

應用背景

互聯網在中國的普及已經超過20多年，尤其是最近幾年得到了飛速的發展，網絡改變了我們的工作和生活方式，尤其是對工作帶來了極大的便利，而組織內網員工使用IM聊天、網上購物、在線欣賞音樂和電影，通過BT等P2P工具下載互聯網資源、收發個人郵件、在論壇上舞文弄墨……只要員工有興趣，他們就能在上班時間盡情享受互聯網帶來的樂趣;然而隨著網絡應用的越來越豐富，尤其是諸如P2P等流量吞噬十分厲害的下載技術的出現使得原本飛快的網絡變的越來越慢，多數企業發現他們花高代價增加的帶寬很快又不能滿足業務的需要，另一方面，員工職業化程度不夠高的組織內部會存在大量的用戶上班時間用來炒股、聊天、看電影、打游戲等活動，極大的降低了工作效率，組織機構花費極大的代價的網絡被濫用，1個500人人均工資2000的中型機構，如果他的員工每天浪費0.5個小時在業務無關應用上面一年下來的損失高達150萬元；而多數企業員工進行業務無關網絡應用的時間遠遠超過0.5小時，每年損失的人力成本已經幾乎超過網絡帶來的便利，領導者陷入了兩難的困境，亟需對網絡使用進行合理的管控。

第2章

問題分析

面對上述問題，以下幾個問題是需要迫切需要解決的

1.內網到底發生了什么？需要一種行之有效的方法探知每個人每天上網行為的明細情況;2.什么應用搶占了帶寬，導致了核心業務應用的速度慢，員工上班時間主要有哪些工作無關的應用需要進行管控;3.面對混亂的內網環境，如何建立起合理的有效的使用規范？保證網絡使用主要是用來創造效益。

第3章

帶寬使用情況探知

面對上述情況，我們首先需要的就是探知內網用戶的流量使用情況，要探知內網用戶的流量使用情況，以下幾個步驟需要解決：

1.用戶識別

2.應用識別

3.圖形圖表分析網絡使用狀況

3.1 用戶識別

大型組織的上網用戶眾多，互聯網應用紛繁復雜，加上長期以來形成上網無需認證，允許使用迅雷，在線影音娛樂不禁止等上網習慣，使得網絡流量、行為情況變得異常復雜。

需要通過基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權限控制，對于不同的員工、部門實現分開管理，只有在很好的對人員進行區分以后，才能在上網行為的管理上責任到個人，使組織形成良好的上網行為氛圍，營造高效和諧的辦公自動化平臺。

3.2 應用識別

3.2.1 URL訪問行為

面對海量的URL地址，需要識別用戶上班時間主要訪問哪些網址，哪些是業務相關網站，哪些是業務無關網站。

3.2.2 互聯網應用類型訪問控制

上網行為管理設備對互聯網的應用訪問控制主要包括以下幾個方面：

通過內置了的應用協議規則，對于諸如IM聊天類、下載工具類、P2P流媒體類、網絡游戲類、炒股類基于應用協議特征碼的識別，而不是基于傳統IP、端口識別。

隨著網絡技術的發展，網絡上的P2P行為層出不窮，如果只能對一些已知的P2P行為，比如BT、eMule、QQLive等進行識別控制，顯然是不夠的。還需要能根據P2P協議特征的智能分析技術有效識別未知的、新的P2P行為。還需要能夠對加密BT、加密P2P行為進行準確識別與控制。做到對P2P行為的全面監控。

第4章 規范網絡使用行為，提高工作效率

通過上述的行為探知并分析并得知我們內網目前到底存在哪些問題？那么我們如何來解決這些問題，任何的上網行為和控制策略都必須要基于用戶或是用戶組來施行，只有很好的對人員進行認證和區分才能很好的保障流量管理的成功實施，另一方面，我們需要對應用進行細致全面的識別，只有合理的識別應用類型，進行細致的歸類和區分，才能保障我們的上網行為管理的效果對人員和應用有了細致識別的區分以后就需要針對用戶/用戶組、時間段、應用類型、文件類型等進行細致的流量管理了。

SANGFOR AC作為業界領先上網行為管理產品是通過如下領先的技術來幫助用戶建立一個和諧高效的網絡使用環境，保障用戶工作相關應用得到有效的保障。

4.1 靈活的用戶識別和認證方式

網絡流量的產生來源于用戶，因此，有效流量的管理的前提是必須先對用戶進行有效識別和管理。SANGFOR AC設備提供了強大的用戶管理系統，提供了多樣化的用戶管理手段實現了基于用戶的流量管理，在動態IP環境下保證用戶身份與管理策略的有效結合，真正的做到了使內網的流量管理責任到人。

功能優勢：

? 豐富多樣的用戶精確識別方式； ? 快速、有效的為用戶分配網絡接入權限； ? 與第三方用戶管理服務器的完美聯動； ? 未知用戶網絡接入權限快速歸類； ? 最終實現基于用戶名的流量管理；

4.2 細致全面的應用流量識別技術

4.2.1 URL識別

SANGFOR AC上網行為管理設備內置千萬級的URL庫，提供了近40種內置的更加細粒度的URL分類：新聞類、娛樂類、體育類、色情類、暴力類、反動類、迷信類、宗教類、股票類等等。

SANGFOR AC的URL庫支持用戶手工添加，并支持創建新分類；用戶可以根據自己的具體需求，添加有具有個性管理的URL地址并分類，進行需求的控制。

SANGFOR AC具有智能學習的功能，能夠根據關鍵字和類似網頁進行網頁的分析和學習，自動更新用戶自定義分類。

4.2.2 國內最大的應用協議庫

SANGFOR AC內置了24大類、500余條的應用協議規則，例如：IM聊天類、下載工具類、P2P流媒體類、網絡游戲類、炒股類等等?；趹脜f議特征碼的識別，有別于傳統IP、端口識別。

每一個分類下面有包含著眾多的應用協議規則，比如IM聊天類，包含的應用協議規則有：QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能識別UUCALL、雅虎通等語音視頻聊天工具。

具有多個智能識別規則，能識別諸如自由門，無界瀏覽器等代理軟件，識別SKYPE,識別RTP語音視頻信息。

支持域名的智能識別。可以根據目標域名的弱特征，流特征等來識別內網用戶與目標域名的會話連接，從而更智能的進行控制。

SANGFOR AC的應用協議庫支持用戶手工添加，完成個性化需求配置、識別、控制。

4.2.3 P2P智能識別

隨著網絡技術的發展，網絡上的P2P行為層出不窮，如果只能對一些已知的P2P行為，比如BT、eMule、QQLive等進行識別控制，顯然是不夠的。

SANGFOR AC除了能夠識別已知的P2P行為之外，還能根據SANGFOR AC的基于統計學的智能分析技術有效識別未知的、新的P2P行為。同時SANGFOR AC還能夠對加密BT、加密P2P行為進行準確識別與控制。做到對P2P行為的全面監控。

4.3 靈活的網絡控制策略

4.3.1 URL的訪問的合理分配

組織內部根據部門職能的不同于業務相關的網站類型也不一樣，諸如財務部主要關注財經類網站，而市場人員主要工作相關網絡主要是行業相關網站，相關的市場機會網站，SANGFOR AC可以基于不同的用戶群體劃分不同網頁內別的訪問規則。

支持根據業務需要定義URL類別，通過SANGFOR AC獨有的智能識別技術，對客戶定義類別的網站進行智能學習和分類。

有效的封堵在線流媒體的使用，如新浪視頻網站等。

4.3.2 基于網站類型，文件類型的流量管理

基于網站類型的流量管理，可以針對諸如人力資源部保障招聘類網站的訪問速度不少于40KBPS，基于文件類型的流控：例如對內網下載電影文件進行帶寬限制，限制公司整體群組下載電影類文件的帶寬不高于2Mbps。

4.3.3 IM聊天軟件靈活管控

能夠完整識別各類IM聊天軟件，可以實現靈活的控制策略，對于市場人員可以允許使用部分業務相關的即時聊天工具，而對于其他人員主要通過郵件交流或是開放部分不通用的聊天軟件來進行內部的溝通。

4.3.4 炒股軟件、游戲軟件的封堵

除了公司高層領導需要關注股價以外，組織內部其他人員對于炒股軟件的使用嚴重影響了工作效率，SANGFOR AC全面的識別各類炒股軟件，在線炒股的網址，進行全面的封堵，有效提高工作效率。

SANGFOR AC目前已經能識別包括魔獸世界，CS，泡泡堂等在內70多款的在線游戲，進行完全封堵保障內網工作效率。

4.3.5 P2P流媒體和P2P下載的管控

P2P流媒體不但影響工作效率，而且對帶寬的過度占用導致了業務應用的緩慢，6

SANGFOR AC能智能識別P2P流量，對于不常見的或是新出現的P2P類應用軟件也可以根據其流量特征進行有效的識別，從而細致精準保證網絡帶寬的合理使用，禁止P2P的行為既保證了員工上班時間工作效率，也保障了核心應用的帶寬。

第四篇：路由器上網行為管理

上網行為管理的應用價值

除了遲到、曠工，上網行為也要納入到行政管理了，這是目前一些企業的網絡應用需求。為此，越來越多的組網設備開始提供上網行為管理的功能。

上班不能玩游戲、不能私人聊天、不能炒股、不能發送可能泄漏公司商業秘密的郵件。。這些問題其實是一個職業素質的基本問題，但企業管理者由于各種原因，對此經常無可奈何。路由器上網行為管理正是迎合了這個需要，以電子化手段進行鐵面無私的管理，行政措施得以有效的貫徹。

但是，上網行為管理功能的產品出現的時間不長，很多用戶在應用中有一定的誤區，產品選購上也無所適從。本文旨在上網行為管理功能的應用價值、技術實現、產品選擇等方面做一個粗略的探討。

一、上網行為管理的應用價值

首先應該明確的是，上網行為管理產品不是組網安全設備，而是行政管理的手段。上網行為管理是一種約束和規范企業員工遵守工作紀律、提高工作效率、保護公司隱私的工具，是行政管理的電子化輔助手段。具備上網行為管理功能的路由器無疑對企業網絡訪問的制度化管理起到了良好的輔助作用，從這一點上來說上網行為管理的應用對企業是有益的。誠然，精心部署上網行為管理，對企業網絡的穩定性、可靠性有一定的幫助，但這是非常不夠的。網絡的穩定可靠不能僅僅依靠上網行為管理來實現，而主要還是要依靠專業的網絡安全設備和方案?？墒悄壳?，在一些用戶心中，依然對上網行為管理產品的作用存在一些模糊不清的認識：

誤區一：上網行為管理能讓網絡不掉線 網絡掉線是整個網絡架構不健全的反應，是因為以太網本身的先天缺陷造成的。上網行為管理雖然解決了無序上網的問題，客觀上對網絡凈化起到一些作用，但絕不是根本的手段。網絡問題要從網絡結構本身加以解決，解決網絡掉線、卡滯等問題，應該使用類似欣向免疫墻之類的專業方案，那才是從根源著手的有效辦法。誤區二：上網行為管理能防病毒侵害

網絡病毒的傳播防不勝防，掛馬成為了龐大產業。所以，靠上網行為的約束，期望杜絕病毒的侵入，在目前中國的網絡環境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網絡層面，要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等，在單機層面，要安裝殺毒軟件、定期升級操作系統補丁等措施。所以，盡管上網行為管理對防范病毒侵害很重要，但也只能是一個輔助措施。

誤區三：上網行為管理能控制網速

封QQ、封P2P、封視頻，通過限制大容量的下載保證帶寬的合理使用，這些都是權宜之計，不是一個完善可靠的辦法。限制應用不能從根本上解決帶寬管理問題，因為網絡上的內容太豐富了，搶占帶寬的流量無法一一識別并限制。在網絡管理的技術方面，對帶寬的管理是通過QoS實現的，而不是通過限制應用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統的平均分配法、有自適應調節算法、還有“人少時快、人多時均”的欣向智能帶寬算法等等。這些都是從專業角度進行的，對控制網速根本有效的辦法。

因此，綜上所述，上網行為管理功能解決不了網絡的穩定性、可靠性問題，對網絡本身的管理也不是根本的辦法。應用上網行為管理后，企業的網絡狀況會有一定好轉，但恐怕只是暫時的。上網行為管理最大的效用就是在行政管理上，它通過提高員工的工作效率為企業創造價值，這才是上網行為管理路由器得到歡迎的主要原因。

二、上網行為管理的技術實現

上網行為管理的技術實現大概分為幾個部分：IP分組管理、特定應用封鎖、行為審計、行為記錄等。IP分組管理是實現上網行為管理的基礎，對于每個特定的分組分配不同的上網權限，對各種不同部門、不同業務、不同人員的上網行為管理進行要求，這樣才能適應企業的應用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權限策略在路由器中設計為多重搭配組合的模式。

欣向免疫路由分組成員管理

特定應用封鎖技術包括靜態過濾、協議型封鎖二種模式。靜態過濾是通過封鎖特定應用的網絡服務器IP和端口，達到應用無法連接到服務器的目的，實現行為封鎖的一種方式。這種功能其實在路由器中早就存在，它是“外網IP過濾”、“端口過濾”、“URL關鍵字過濾”等幾個功能的組合。上網行為管理就是廠家把應用項目提出來，預制進產品中，通過一個在界面上的名字表達這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關信息，再一條一條地在路由器上配置保存，這大大提高了產品的易用性。

而協議型封鎖是通過對要封鎖的協議進行分析，識別上網行為身份，進行對該協議的攔截，實現行為封鎖的一種方式。這是編制在產品的執行程序中的，用戶無法自己設置和干預。包括QQ、某些游戲、P2P等的部分應用，它們雖然有相對固定的服務器IP群，但它們的連接方式是靠協議握手，動態地變換IP和端口，甚至有些P2P應用連IP都是不確定的。這就需要協議型封鎖的方式進行處理。從技術實現的角度來看，靜態過濾是較容易的手段，而協議型封鎖對產品設計的能力要求要高得多。協議型封鎖既要吃透應用協議的內部過程，又要在實現的同時照顧路由器的轉發效率，照顧多WAN情況下的負載均衡，算法上是比較復雜的。當前的網絡設備市場，提供上網行為管理功能的路由器很多，表面上是大家都有上網行為管理功能，但實際上由于技術實現方式的不同，導致了有的上網行為管理功能只是空架子、有漏洞、不實用。

如果使用簡單的靜態過濾方式，而不是協議型封鎖來實現上網行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網行為管理路由器就是這么做的。

拿大家熟悉的QQ來說，我們登陸QQ時，都需要連接網絡上的QQ服務器進行帳號和密碼的認證、好友列表的獲取、未在線聊天內容的下載等等。通過獲取網絡中的所有QQ服務器列表，然后通過路由器進行這些服務器IP的過濾處理，這樣QQ帳號密碼認證不了，當然也就實現了攔截QQ的目的。

這種封QQ的方式存在兩個問題：

1、當網絡中特定應用添加或變更服務器IP時，就會出現行為管理失效，路由器不得不進行軟件升級，效果不徹底，應用麻煩。

2、當使用代理服務器進行應用訪問的中轉時，由于認證和訪問信息通過第三方中轉，自然失去了上網行為管理的效果。網絡上公布有大量的“QQ代理服務器”IP，就是用來破解此種行為管理的，QQ聊天軟件也提供了繞過此種封鎖的代理服務器設置（如圖），區分上網行為管理設備是否徹底就可以通過QQ代理登陸的方式進行測試區分，所以靜態過濾的方式對行為管理是不徹底的，無效的。

QQ代理服務器設置

而協議型封鎖方式由于直接分析網絡數據協議，所以無論如何設置代理都能直接識別封鎖，效果徹底，然而此種行為管理方式需要的技術較高，路由器中很少使用。而已知的，欣向免疫墻路由器就是采用了協議分析的上網行為管理手段，這是很難得的。它采用了全新的應用層協議分析，根據不同應用的協議特征，對特定上網行為進行分析確認。由于采用了協議分析，行為管理真正做到了準確無誤?；趨f議的上網行為管理功能的實現，對路由器設計有較高的要求。尤其是多WAN環境下，不管是靜態過濾還是協議封鎖，都需要考慮對負載均衡的影響，也就是說，上網行為管理的啟用，不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實現上網行為功能的時候，把內網IP固定地綁在某一個WAN口上，或者按照IP均衡的方式進行分配，這就失去了多WAN帶寬疊加的應用效果。

欣向采用的是多年領先的基于身份綁定的第四代多WAN技術。作為第一個推出多WAN路由器的廠家，欣向一直從事多WAN下的應用協議分析，以保證各種網絡訪問在多WAN接入下的優化處理。在實現上網行為管理功能的時候，欣向路由對行為管理的有效性、路由轉發效率、CPU負荷、多WAN帶寬匯聚等進行綜合考慮，是比較周全的方案，在這個方面無疑是占據了領先的高度。

欣向免疫墻路由器分組上網行為管理

三、上網行為管理的產品選擇

由于存在著用戶對上網行為管理功能的需求，很多網絡設備開始提供這樣的功能。不僅僅在路由器，在防火墻、安全網關、UTM、接入服務器等各種設備中都能見到上網行為管理功能的影子，甚至還有一些專門的上網行為管理設備賣的也很不錯。

雖然存在的就是合理的，但對于用戶來說，要根據自己的應用需求進行選擇，要根據自身網絡狀況、投資額度、現有設備的功能組合、網絡的優化升級等作整體的規劃，最后考慮產品的優劣，從而進行正確的選擇。

下面提供一些建議供企業朋友們參考。

對上網行為管理要求較高，管理嚴苛的較大型企業，應該選擇專用的上網行為管理設備。這種設備不提供其他復雜的上網功能，也沒有過多涉及防火防毒網絡安全內容，它的主要功能就是上網行為管理，術業有專攻，它在產品功能上比較豐富，服務支撐比較到位。

至于防火墻、UTM中提供的上網行為管理功能，也是很可取的方案，它適用于一些信息化程度較高的企業，準備或已經部署了相關設備的情況下，啟用附帶的上網行為管理功能可以節省部署專用設備的資金。

選擇寬帶路由器中的上網行為管理功能，適用于大多數的中小企業。接入路由器是企業網絡的大門，在大門處加一個門崗做上網行為管理，是簡單易行的辦法。但是，路由器主要的功能是高速數據轉發，由于CPU負載能力和成本的限制，路由器功能設計不可能主次顛倒，在上網行為管理上不可能做到很強，所以不要對他抱有太多的期望值，夠用好用就可以了。如果單純因為上網行為管理去選擇路由器，很可能會本末倒置。這就兩難了。雖然上網行為管理在地位上應該是路由功能的附屬，但對于大多數中小企業用戶來說，這個功能確實又是需要的。同時企業網絡又要解決網絡的穩定、可靠、安全的問題，又不能犧牲網絡接入的性能，尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在IT投資不可能太大的情況下，那又該如何選擇一臺優質的路由器，同時滿足多種需求呢？ 強烈的建議是：配備帶有上網行為管理的免疫墻路由器。

當前的企業網絡普遍存在網絡速度慢、網絡掉線、卡滯等問題。很多企業都將其歸咎于BT下載、QQ視頻等的頻繁使用，導致盲目上馬上網行為管理設備，實則不然。以上網絡應用僅是占用了大量的網絡帶寬，而企業路由器都有帶寬管理功能，如果是因為特定行為訪問導致的帶寬不足，啟用路由器帶寬管理后就該沒有問題了。但實際情況是，啟用了帶寬管理以上網絡問題還存在，購置了新的上網行為管理設備網絡問題還沒有解決！

這主要是因為企業網絡的免疫安全問題被忽視了！據統計，80%的網絡問題都是由內網引起的。由于以太網的先天缺陷以及路由設備的脆弱，黑客能夠充分利用協議漏洞對網絡系統進行破壞，ARP、SYN攻擊等就是基于這樣的原理。補上協議漏洞、提高管理手段，對終端進行強制性管理，從而對網絡進行整體的管控，使病毒的發作無法竄擾到網絡上來，這樣才能徹底解決網絡問題。網絡問題必須網絡解決，提高網絡免疫安全要有全面性和強制性。網絡免疫技術由欣向首次提出并應用于路由器設備，欣全向公司基于這樣的技術思路，讓免疫墻路由器不僅在寬帶接入端起到安全管理的作用，也能夠深入到整個內網的每一個終端進行控制和保護。同時，在內網中還有一臺監控中心，對整個內網的運行進行統計、顯示、控制、告警、策略分發等工作，全網的狀態時時刻刻一目了然。以免疫墻路由器組建企業內網，可以達到普通路由器難以企及的應用效果，在上網的穩定、高速、安全、可管理能力上，遠遠超過了普通路由的組網方案。

有了網絡安全和穩定的運行基礎，網絡行為管理才能顯示其更加細致的應用訪問控制優勢，才能真正滿足中小企業對網絡應用的多種需求。沒有穩定可靠，上網行為管理就無從談起，所謂皮之不存毛之焉在。欣向免疫墻路由器 總結

是否部署上網行為管理要依據企業的具體情況。如果企業網絡穩定，并且有網絡訪問行為控制的要求，那么選擇合適的上網行為管理設備是必要的。

上網行為管理功能需要采用靜態過濾和協議型封鎖2種技術方式，單純依靠靜態過濾處理上網行為管理是技術敷衍，功能是不可靠的。但上網行為管理僅限于網絡訪問權限的控制，是行政管理的輔助手段，并不能解決網絡的安全和穩定問題。如果企業存在網絡掉線、卡滯、速度慢、不安全、難管理等問題，那就需要帶免疫墻功能的路由器，著重解決內網問題。中小企業既要上網行為管理，又要安全穩定可靠的網絡，使用帶有上網行為管理功能的免疫墻路由器可以一舉多得。

第五篇：上網行為管理解決方案（推薦）

上網行為管理解決方案

一．上網行為管理產品產生的背景

在Internet飛速發展的今天，網絡已成為企業的重要生產工具，員工通過網絡可以查找資料、溝通交流和從事電子商務等，但是相應的多種問題伴隨而生，例如：

1.與工作無關的 P2P 和在線視頻等應用占用帶寬

2.與工作無關的聊天、炒股、游戲、博客和在線購物等活動影響工作效率。

3.員工隨意在網絡上發帖和傳輸文件導致機密泄露 4.員工上網容易受到病毒、木馬和蠕蟲等攻擊和感染 5.員工通過網絡從事一些黃賭毒等違法活動 6.員工瀏覽和發布不良言論導致企業面臨法律風險 為解決以上一系列的問題，上網行為管理產品應運而生。二．上網行為管理產品給用戶帶來的價值

上網行為管理產品帶來了全面的互聯網行為管理解決方案。在此，我們以華為的ASG2000系列產品為例，從URL過濾、應用行為控制、流量管理、web內容過濾、上網行為審計等幾個方面闡述行為管理產品為用戶帶來的價值： 1． 應用控制和URL過濾： 企業或者組織接入互聯網的帶寬一般非常有限。當這個有限的帶寬充斥了大量的無關應用（如在線游戲、P2P和在線視頻）的時候，一些重要應用將受到擠壓，基本帶寬得不到保證，使得網絡對于工作和重要業務不再可用。該應用通過應用層數據識別，對數據流中的應用層數據進行內容檢測。通過對解析的數據包，使用應用特征庫中的規則，對應用數據進行匹配，識別出在線游戲、P2P和在線視頻等多種類型的網絡數據流量，然后根據用戶對該類應用配置的動作允許還是阻斷數據包。URL過濾在企業中是非常重要的功能，員工隨意不受控地訪問非法網站，不僅嚴重影響工作效率而且威脅企業網絡安全。URL過濾對用戶的URL請求進行訪問控制，允許或禁止用戶訪問某些網絡資源，可以達到規范上網行為的目的。

2． 流量管理：基于時間段、部門/用戶和應用/應用類型，對網絡游戲、在線網頁視頻和P2P視頻等帶寬濫用的應用進行限速，確保正常業務的帶寬使用，為各部門劃分和分配出口帶寬。同時提供帶寬保證措施，保證關鍵應用對外提供服務的帶寬、保證內部重要人員的上網帶寬。

3． web內容過濾：Web內容過濾可以對HTTP協議傳輸的Web頁面內容和附件以及對FTP協議外傳的附件進行控制，可以控制的項目包括： 按關鍵字過濾內網用戶通過Web頁面提交的文本（如BBS、論壇發帖），并控制提交文本內容的大小。通過文件大小和文件類型控制HTTP方式和FTP方式的文件外傳。Web瀏覽關鍵字過濾：內網用戶通過瀏覽器瀏覽Web頁面時，按關鍵字過濾Web頁面上的文本。

4． 上網行為審計：用戶訪問的網站，包括成功訪問和意圖訪問但被阻斷的網站，攻擊防范、入侵防御和反病毒日志，上網時長和上網流量日志，同時支持審計某應用協議的上網時長和上網流量，通過HTTP協議外發的文本內容，通過HTTP、FTP和郵件進行文件收發的日志，用戶使用搜索引擎搜索過的關鍵字，郵件收發日志等審計內容。除以上功能外華為產品還支持惡意流量檢測，基于特征碼的病毒檢測等功能。

其他廠家產品及功能：除華為產品之外，還有深信服，網康，飛魚星等廠家的產品，主要包括以下功能：網絡流量管理，P2P軟件的控制，攔截不良網頁，文件傳輸控制，IM（即時通訊）軟件的管理，應用控制，上網時間管理，外發信息控制等。三．上網行為管理產品部署方式： 1．網橋模式（二層模式）

適用場景：企業具有出口網關，不希望改動現有網絡環境。2．網關模式（三層模式）

適用場景：企業沒有出口網關，需要使用ASG做出口網關。3．旁路模式

適用場景：旁路模式通過交換機或HUB的流量鏡像功能把用戶的上網數據鏡像到上網行為管理設備，從而實現對上網行為的審計。旁路組網時即使ASG發生故障也不會影響網絡業務。四．上網行為管理功能列表： 下面功能列表以華為產品為例：

五．應用舉例

政府信息中心上網行為管理；政府機關網絡一般包括政務外網和政務內網，電子政務規劃要求下屬單位需要通過政府信息中心的互聯網出口統一上網，但是也存在個別下屬單位由于特殊原因擁有自己的互聯網出口。政務內網跟互聯網物理隔離，政務外網是辦公人員跟外面進行信息交流的通道，也是政務公開和網上辦事的窗口。在有獨立互聯網出口的總部和分支機構分別部署ASG設備，通過ASG Manager對ASG設備進行集中統一管理。通過劃分上網權限、管理出口帶寬、管控法律風險、全面網絡行為審計，有效降低互聯網風險、滿足法律法規要求。組網圖：

該應用場景主要實現如下目的： 1．管理出口帶寬

基于時間段、部門/用戶和應用/應用類型，對網絡游戲、在線網頁視頻和P2P視頻等帶寬濫用的應用進行限速，確保正常業務的帶寬使用，為各部門劃分和分配出口帶寬。同時提供帶寬保證措施，保證關鍵應用對外提供服務的帶寬、保證內部重要人員的上網帶寬。2． 管控上網權限

根據不同部門/用戶（單位）分配不同的互聯網資源訪問權限。3． 管控法律風險 過濾瀏覽的不良網站和非法網站（反動、色情、暴力、博彩等），過濾發布非法言論。4． 審計和監督

記錄網絡訪問行為。5． 威脅過濾

過濾釣魚、網馬和惡意軟件下載等惡意網站，確保用戶安全上網。六．硬件設備 以華為產品為例

七．實施周期 根據已經實施過的華為工程（大唐國際和高壓開關廠），測算一臺ASG設備大概1周/人可實施完畢。

運維部-李紅光

2015年1月6日