第一篇:上網(wǎng)行為管理方案
上網(wǎng)行為管理方案
一.網(wǎng)絡管理概述
1.網(wǎng)絡管理的目的
在一般情況下,網(wǎng)絡管理的主要目的是為了提高網(wǎng)絡可用性、改進網(wǎng)絡性能、減少和控制網(wǎng)絡費用以及增強網(wǎng)絡安全性等。2.網(wǎng)絡管理的要素
網(wǎng)絡管理平臺的建設主要與業(yè)務需求的結(jié)合。完整而理想的網(wǎng)絡管理解決方案,應該根據(jù)應用環(huán)境和網(wǎng)絡對業(yè)務流程,以及用戶需求的端到端關聯(lián)關系,來管理網(wǎng)絡及其所有設備。3.網(wǎng)絡資源管理
網(wǎng)絡資源就是指網(wǎng)絡中的硬件設備、整個環(huán)境中運行的軟件(包括服務器與電腦的應用軟件)以及所提供的服務等。網(wǎng)絡管理系統(tǒng)必須將它們表示出來,才能對其進行管理。在好的網(wǎng)管軟件中,當前的網(wǎng)絡拓撲和各個硬件系統(tǒng)都以圖形的方式顯示在一個圖上,而且各種信息都會動態(tài)地在上面顯示,非常方便監(jiān)視與管理。
4.軟件資源管理和軟件分發(fā)
網(wǎng)絡管理系統(tǒng)的軟件資源管理和軟件分發(fā)功能,是指優(yōu)化管理信息的收集,對企業(yè)所擁有的軟件授權(quán)數(shù)量和安裝地點進行管理。軟件分發(fā)則是通過網(wǎng)絡把新軟件分發(fā)到各個站點,并完成安裝和配置工作。5.應用管理
應用管理用于測量和監(jiān)督特定的應用軟件及其對網(wǎng)絡傳輸流量的影響。網(wǎng)絡管理員通過應用管理可以跟蹤網(wǎng)絡用戶和運行的應用軟件,改善網(wǎng)絡的響應時
間。
二、網(wǎng)絡管理要具備的六大基本功能
網(wǎng)絡管理一般包括性能、故障、配置、計費、安全和行為六方面功能。
1.性能管理
主要考察網(wǎng)絡運行的好壞。性能管理使網(wǎng)絡管理員能夠監(jiān)視網(wǎng)絡運行的參數(shù),如吞吐率、響應時間、網(wǎng)絡的可用性等。2.故障管理
檢測、定位和排除網(wǎng)絡硬件和軟件中的故障。當出現(xiàn)故障時,該功能確認故障,并記錄故障,找出故障的位置并盡可能地排除這些故障。3.配置管理
掌握和控制網(wǎng)絡的狀態(tài),包括網(wǎng)絡內(nèi)各個設備的狀態(tài)及其連接關系。配置管理的典型方法是,用邏輯圖來描繪所有的網(wǎng)絡設備及其邏輯關系,并將網(wǎng)絡的確切物理布局,以適當?shù)谋壤成涞竭@個邏輯圖上。用精心設計的各種圖標來表示各種網(wǎng)絡對象,而這些圖標又往往涂上不同顏色表示相應設備的不同狀態(tài)。4.計費管理
記錄各個用戶和應用程序?qū)W(wǎng)絡資源的使用情況。計賬管理提供計算一個特定網(wǎng)絡或網(wǎng)段的運行成本的手段。5.安全管理
是對網(wǎng)絡資源及其重要信息訪問的約束和控制,包括驗證網(wǎng)絡用戶的訪問權(quán)限和優(yōu)先級、檢測和記錄未授權(quán)用戶企圖進行的不應有的操作。6.行為管理
上網(wǎng)行為管理是指幫助用戶控制和管理對互聯(lián)網(wǎng)的使用,包括對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。
三、上網(wǎng)行為管理的技術(shù)功能及產(chǎn)品
上網(wǎng)行為管理技術(shù)是專用于防止非法信息惡意傳播,避免相關機密、商業(yè)信息、科研成果泄漏,并可實時監(jiān)控、管理網(wǎng)絡資源使用情況,提高整體工作效率。上網(wǎng)行為管理軟硬件系列適用于需實施內(nèi)容審計與行為監(jiān)控、行為管理的網(wǎng)絡環(huán)境,尤其是按等級進行計算機信息系統(tǒng)安全保護的相關單位或部門。上網(wǎng)行為管理通過軟硬件能實現(xiàn)的功能有: 1.上網(wǎng)人員管理
上網(wǎng)身份管理:利用IP/MAC識別方式、用戶名/密碼認證方式、與已有認證系統(tǒng)的聯(lián)合單點登錄方式準確識別確保上網(wǎng)人員合法性
上網(wǎng)終端管理:檢查主機的注冊表/進程/硬盤文件的合法性,確保接入企業(yè)網(wǎng)的終端PC的合法性和安全性
移動終端管理:檢查移動終端識別碼,識別智能移動終端類型/型號,確保接入局域網(wǎng)的移動終端的合法性
上網(wǎng)地點管理:檢查上網(wǎng)終端的物理接入點,識別上網(wǎng)地點,確保上網(wǎng)地點的合法性
2.上網(wǎng)瀏覽管理
搜索引擎管理:利用搜索框關鍵字的識別、記錄、阻斷技術(shù),確保上網(wǎng)搜索內(nèi)容的合法性,避免不當關鍵詞的搜索帶來的負面影響。
網(wǎng)址URL管理 :利用網(wǎng)頁分類庫技術(shù),對海量網(wǎng)址進行提前分類識別、記錄、阻斷確保上網(wǎng)訪問的網(wǎng)址的合法性。(URL:統(tǒng)一資源定位器)
網(wǎng)頁正文管理:利用正文關鍵字識別、記錄、阻斷技術(shù),確保瀏覽正文的合法性
文件下載管理:利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術(shù)確保網(wǎng)頁下載文件的合法性 3.上網(wǎng)外發(fā)管理
普通郵件管理:利用對SMTP收發(fā)人/標題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性
WEB郵件管理 :利用對WEB方式的網(wǎng)頁郵箱的收發(fā)人/標題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性
網(wǎng)頁發(fā)帖管理:利用對BBS等網(wǎng)站的發(fā)帖內(nèi)容的標題、正文關鍵字進行識別、記錄、阻斷確保外發(fā)言論的合法性
即時通訊管理:利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟件的外發(fā)內(nèi)容關鍵字識別、記錄、阻斷確保外發(fā)言論的合法性
其他外發(fā)管理:針對FTP、TELNET等傳統(tǒng)協(xié)議的外發(fā)信息進行內(nèi)容關鍵字識別、記錄、阻斷確保外發(fā)信息的合法性 4.上網(wǎng)應用管理
上網(wǎng)應用阻斷:利用不依賴端口的應用協(xié)議庫進行應用的識別和阻斷
上網(wǎng)應用累計時長限額:針對每個或多個應用分配累計時長、一天內(nèi)累計使用時間達到限額將自動終止訪問
上網(wǎng)應用累計流量限額:針對每個或多個應用分配累計流量、一天內(nèi)累計使用流量達到限額將自動終止訪問 5.上網(wǎng)流量管理
上網(wǎng)帶寬控制:為每個或多個應用設置虛擬通道上限值,對于超過虛擬通道上限的流量進行丟棄
上網(wǎng)帶寬保障:為每個或多個應用設置虛擬通道下限值,確保為關鍵應用保留必要的網(wǎng)絡帶寬
上網(wǎng)帶寬借用:當有多個虛擬通道時,允許滿負荷虛擬通道借用其他空閑虛擬通道的帶寬
上網(wǎng)帶寬平均:每個用戶平均分配物理帶寬、避免單個用戶的流量過大搶占其他用戶帶寬 6.上網(wǎng)行為分析
上網(wǎng)行為實時監(jiān)控:對網(wǎng)絡當前速率、帶寬分配、應用分布、人員帶寬、人員應用等進行統(tǒng)一展現(xiàn)
上網(wǎng)行為日志查詢:對網(wǎng)絡中的上網(wǎng)人員/終端/地點、上網(wǎng)瀏覽、上網(wǎng)外發(fā)、上網(wǎng)應用、上網(wǎng)流量等行為日志進行精準查詢,精確定位問題
上網(wǎng)行為統(tǒng)計分析:對上網(wǎng)日志進行歸納匯總,統(tǒng)計分析出流量趨勢、風險趨勢、泄密趨勢、效率趨勢等直觀的報表,便于管理者全局發(fā)現(xiàn)潛在問題 7.上網(wǎng)隱私保護
日志傳輸加密:管理者采用SSL加密隧道方式訪問設備的本地日志庫、外部日志中心,防止黑客竊聽
管理三權(quán)分立:內(nèi)置管理員、審核員、審計員賬號。管理員無日志查看權(quán)限,但可設置審計員賬號;審核員無日志查看權(quán)限,但可審核審計員權(quán)限的合法性后
才開通審計員權(quán)限;審計員無法設置自己的日志查看范圍,但可在審核員通過權(quán)限審核后查看規(guī)定的日志內(nèi)容
精確日志記錄:所有上網(wǎng)行為可根據(jù)過濾條件進行選擇性記錄,不違規(guī)不記錄,最小程度記錄隱私 8.設備容錯管理
死機保護:設備帶電死機 / 斷電后可變成透明網(wǎng)線,不影響網(wǎng)絡傳輸。一鍵排障:網(wǎng)絡出現(xiàn)故障后,按下一鍵排障物理按鈕可以直接定位故障是否為上網(wǎng)行為管理設備引起,縮短網(wǎng)絡故障定位時間
雙系統(tǒng)冗余:提供硬盤+Flash卡雙系統(tǒng),互為備份,單個系統(tǒng)故障后依舊可以保持設備正常使用。9.風險集中告警
告警中心:所有告警信息可在告警中心頁面中統(tǒng)一的集中展示
分級告警:不同等級的告警進行區(qū)分排列,防止低等級告警淹沒關鍵的高等級告警信息。
告警通知:告警可通過郵件、語音提示方式通知管理員,便于快速發(fā)現(xiàn)告警風險。
10.上網(wǎng)行為管理產(chǎn)品
深信服上網(wǎng)行為管理(AC)是中國上網(wǎng)行為管理第一品牌,可以防止與業(yè)務無關的網(wǎng)絡行為,杜絕帶寬資源濫用,加快上網(wǎng)速率,提升工作效率。在網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風險、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個方面為提供解決方案。
網(wǎng)康上網(wǎng)行為管理能幫助客戶最大化利用互聯(lián)網(wǎng)價值,為網(wǎng)絡管理者提供各種互聯(lián)網(wǎng)接入環(huán)境的身份認證、合規(guī)準入、網(wǎng)頁過濾、應用控制、帶寬管理、內(nèi)容審計、外發(fā)過濾,行為分析等功能。
小草網(wǎng)管軟件綜合智能動態(tài)帶寬保障,服務器流量分析與保障、虛擬多設備管理等多項突破性技術(shù),涵蓋流量分析、帶寬管理、上網(wǎng)行為管理、DMZ區(qū)服務器管理,專線集中管理、企業(yè)級防火墻與路由器、負載均衡等功能,在網(wǎng)絡性能、質(zhì)量、安全等方面為客戶提供完整的解決方案。
產(chǎn)品對比:從產(chǎn)品形態(tài)來看,上網(wǎng)行為管理分為硬件和軟件2種,但是國內(nèi)以硬件為主流,國外以軟件為主流;
硬件的優(yōu)勢:部署簡單、升級方便、故障率低
硬件的劣勢:成本較高,維護復雜,維修需要專業(yè)認識
軟件的優(yōu)勢:成本適當,維護簡單、安裝容易、升級快速,可以在隨便找個機器部署.軟件的劣勢:對于國企和政府來說,沒有一個東西不放心,所以國內(nèi)政府偏硬件,企業(yè)偏軟件。
四、深信服上網(wǎng)行為管理(AC)功能及部署方案 1.AC產(chǎn)品功能
1.1 身份認證
1.1.1 映射組織行政結(jié)構(gòu)
為了給不同用戶、不同部門授予差異化的互聯(lián)網(wǎng)訪問、控制、審計權(quán)限,需要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)。
一般組織均有自己的行政結(jié)構(gòu),AC可以完全按照組織的行政結(jié)構(gòu)建立樹形用戶分組,實現(xiàn)父組、子組等多層嵌套的要求。在完成用戶組的創(chuàng)建后,即可創(chuàng)建用戶,并將用戶分配到指定的用戶組中,以實現(xiàn)網(wǎng)絡訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡單方便,除手工輸入帳戶方式外,AC能夠根據(jù)OU或Group讀取AD域控服務器上用戶組織結(jié)構(gòu),并保持與AD的自動同步,方便管理員管理。
此外,AC支持賬戶自動創(chuàng)建功能,依據(jù)管理員分配好的IP段與用戶組的對應關系,基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC,并繼承管理員指定的網(wǎng)絡權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件,過AC的賬戶導入功能更加快捷的創(chuàng)建用戶和分組信息。
用戶帳號還支持有效期限定,賬號過期則自動失效,支持多人共用同一帳號等,豐富的帳號策略使得管理員可以根據(jù)實際情況自由地合理調(diào)整。1.1.2 建立身份認證體系
有效區(qū)分用戶,是部署差異化授權(quán)和審計策略、有效防御身份冒充、權(quán)限擴散與濫用等的管理基礎。AC支持豐富的身份認證方式:
■ 本地認證:Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定 ■ 第三方認證:AD、LDAP、Radius、POP3、PROXY等; ■ 雙因素認證:USB-Key認證;
■ 單點登錄:AD、POP3、Proxy、HTTP POST等;
■ 強制認證:強制指定IP段的用戶必須使用單點登錄(如必須登錄AD域等)
豐富的認證方式,幫助組織管理員有效區(qū)分用戶,建立組織身份認證體系,進而形成樹形用戶分組,映射組織行政結(jié)構(gòu),實現(xiàn)用戶與行為的一一對應,方便 5
管理員實施上網(wǎng)行為管理解決方案。
AC支持為未認證通過的用戶分配受限的互聯(lián)網(wǎng)訪問權(quán)限,將通過Web認證的用戶重定向至顯示指定網(wǎng)頁,方便組織管理員發(fā)布通知。1.2 應用權(quán)限管理 1.2.1應用控制策略 1.2.1.1 識別是管理的基礎
全面的應用識別幫助管理員透徹了解網(wǎng)絡應用現(xiàn)狀和用戶行為,保障管理效果。
AC多種應用識別技術(shù),全面識別各種應用,進而有效管控和審計。主要包括: a)URL識別: AC內(nèi)置千萬級靜態(tài)URL庫、支持基于關鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù); b)應用規(guī)則識別庫:AC擁有國內(nèi)最大的應用識別庫,該庫由深信服應用規(guī)則研發(fā)團隊定期維護,保證庫處于最新狀態(tài);該庫支持360種以上網(wǎng)絡主流應用,680條以上規(guī)則 能識別40種以上IM、50種以上P2P/P2P流媒體、100種以上游戲、20種以上OA、15種以上網(wǎng)銀、20種以上股票行情軟件、15種以上股票交易軟件、10種以上木馬、10種以上代理軟件; c)文件類型識別:識別并過濾HTTP、FTP、mail方式上傳下載的文件,即使刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳,AC同樣能識別和報警;
d)深度內(nèi)容檢測:IM聊天、在線炒股、網(wǎng)絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協(xié)議等,基于數(shù)據(jù)包特征精準識別,且支持管理員自行定義新規(guī)則,以及深信服科技及時更新和快速響應;
e)智能識別:種類泛濫的P2P行為,靜態(tài)“應用識別規(guī)則”已經(jīng)捉襟見肘,通過P2P智能識別,識別不常見、未來可能出現(xiàn)的P2P行為,進而封堵、流控和審計。
通過強大的應用識別技術(shù),無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應用行為等AC都能幫助組織實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。1.2.1.2 上網(wǎng)策略對象化
AC支持完美映射組織的行政結(jié)構(gòu),管理員可依據(jù)組織結(jié)構(gòu)添加管理策略。上網(wǎng)策略對象化,同一條上網(wǎng)策略可被多個用戶/用戶組復用,同一用戶/用戶組可關聯(lián)使用多條策略,實現(xiàn)策略和用戶/用戶組的雙向關聯(lián),方便管理員調(diào)整。對于父組、子組的
上網(wǎng)策略不僅僅支持基于生效時間、用戶/用戶組、應用類型,支持模板形 6
式復制,更支持策略有效期,管理員可手動設定策略的過期時間,逾期自動失效,有效實現(xiàn)策略的回收管理。此外,AC支持將策略的查看、編輯權(quán)限分配給指定管理員,實現(xiàn)策略的分級管理。1.2.1.3 靈活的授權(quán)
AC支持基于生效時間、用戶/用戶組、應用類型的授權(quán),幫助組織實現(xiàn)上網(wǎng)權(quán)限與工作職責的匹配,防止越權(quán)訪問與泄密風險,一方面管控與業(yè)務無關的上網(wǎng)行為,提升員工工作效率,一方面過濾不良信息、阻止異常行為,防止法律與泄密風險。
AC更兼顧了管理與人性化的需求,對于某些不便添加權(quán)限控制策略的部門或者是企業(yè)文化較為寬松的組織,AC提供了“智能提醒”功能,管理員可設定允許特定用戶使用指定應用的時長、流速,一旦用戶使用指定應用的時長、速度超限后,AC自動彈出提醒窗口,提醒用戶注意違規(guī)行為,敦促用戶自覺規(guī)范,達到促進自我管理的目的,減少管理帶來的摩擦。1.2.2 Web應用控制 1.2.2.1 URL訪問控制
網(wǎng)頁瀏覽是員工主要互聯(lián)網(wǎng)行為之一,在URL過濾方面,AC采用“靜態(tài)URL庫+URL智能識別+云系統(tǒng)”三重識別體系。
首先,AC內(nèi)置千萬級預分類URL地址庫,該庫由深信服URL研發(fā)小組專人負責維護,收集新增網(wǎng)頁并經(jīng)由人工審核分類,包含互聯(lián)網(wǎng)上數(shù)十種分類站點,覆蓋了95%以上用戶訪問量最高的網(wǎng)址。
其次,互聯(lián)網(wǎng)網(wǎng)頁容量爆炸性增長,靜態(tài)URL庫不足以有效應對。因此,AC支持基于內(nèi)容關鍵字的過濾手段,可基于管理員指定的多關鍵字過濾用戶搜索行為、網(wǎng)頁訪問行為、發(fā)帖行為等。更提供了人工智能的網(wǎng)頁智能分析系統(tǒng)(Intelligent Webpage Analysis System, IWAS)能夠根據(jù)已知網(wǎng)址、正文內(nèi)容、關鍵字、代碼特征等對網(wǎng)進行學習和智能分類,真正幫助組織完善網(wǎng)頁訪問行為的管理。1.2.2.2 SSL內(nèi)容管理
SSL(Secure Socket Layer)協(xié)議,被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸,利用數(shù)據(jù)加密技術(shù),可確保數(shù)據(jù)在網(wǎng)絡上之傳輸過程中不會被截取及竊聽。正因為如此,一方面,越來越多的網(wǎng)頁使用SSL加密,如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網(wǎng)站,而因為采用了加密技術(shù),普通的管理產(chǎn)品無法對其內(nèi)容進行識別管理,導致管理漏洞;另一方面,互聯(lián)網(wǎng)上存在大量偽造的網(wǎng)上銀行、網(wǎng)上購物頁面,此類網(wǎng)頁利用了網(wǎng)銀、網(wǎng)上購物等
普遍采用第三方權(quán)威機構(gòu)頒發(fā)的數(shù)字證書以實現(xiàn)SSL加密的特性,偽造虛假證書以騙取用戶信任,警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息,導致直接或間接的經(jīng)濟損失。
AC可以對SSL網(wǎng)站提供的數(shù)字證書進行深度驗證,包括該證書的根頒發(fā)機構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等,防止采用非可信頒發(fā)機構(gòu)數(shù)字證書的釣魚網(wǎng)站蒙騙用戶,此功能亦應用于過濾SSL加密的色情、反動站點,證券炒股站點等。1.2.2.3 代理翻墻管控
許多組織統(tǒng)一采用Microsoft ISA、CCproxy、Sygate等代理服務器上網(wǎng),也有的組織明文規(guī)定禁止內(nèi)網(wǎng)用戶私用代理上網(wǎng),但仍有用戶將瀏覽器等應用配置公網(wǎng)服務器、私裝代理軟件代理他人上網(wǎng),甚至使用自由門、無界瀏覽器、IPN等加密代理行為。由于防火墻等設備對內(nèi)網(wǎng)用戶的管理是基于目的地址和端口的,無法有效區(qū)分正常上網(wǎng)的流量和通過代理服務器上網(wǎng)的員工流量。對于如上情況,AC的深度內(nèi)容檢測技術(shù)能有效識別用戶數(shù)據(jù)中包含的代理上網(wǎng)流量,通過代理識別模塊可以識別從用戶端發(fā)送到達代理服務器之間的應用數(shù)據(jù),進而對用戶的網(wǎng)絡行為進行管控和記錄。1.2.3文件傳輸控制
利用網(wǎng)絡來進行文件傳輸是許多用戶每天的必修課,而在文件傳輸過程中存在種種管理和安全隱患,如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發(fā)過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發(fā)起外發(fā)文件行為而用戶對此茫然無知,有意泄密者甚至會將外發(fā)文件的后綴名修改、刪除,或者加密、壓縮該文件,然后通過HTTP、FTP、Email附件等形式外發(fā)。
AC支持管控文件外發(fā)行為,如僅允許用戶從指定的可信的下載站點下載文件而封堵其他站點,基于關鍵字、文件類型控制上傳/下載行為,封堵QQ/MSN等IM傳文件,允許使用webmail收郵件而禁止發(fā)送郵件等。其中,僅僅實現(xiàn)對外發(fā)文件的審計和記錄顯然無法挽回泄密已經(jīng)給組織造成的損失,單純的基于文件擴展名過濾外發(fā)文件、外發(fā)Email也無法應對以上風險。鑒于此AC的文件類型深度識別技術(shù)能基于特征能夠識別文件類型,即便存在修改、刪除外發(fā)文件后綴名,或者加密、壓縮文件文件外發(fā)的行為,AC也能發(fā)現(xiàn)并且告警,保護組織的信息資產(chǎn)安全。1.2.4 郵件收發(fā)控制
Email不僅是組織重要的溝通方式之一,同時也是最常見的泄密方式。AC支持基于關鍵字、收發(fā)地址、附件類型/個數(shù)/大小過濾外發(fā)郵件,對于將文件修改
后綴名、刪除后綴名,或者壓縮、加密后作為Email附件外發(fā),試圖躲過攔截與審查的行為,AC能夠識別并進行報警。同時,對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件,并通過數(shù)據(jù)中心方便管理員對郵件日志進行查詢、審計、報表統(tǒng)計等操作。1.3 帶寬管理 1.3.1流量可視化
AC為IT管理員提供了網(wǎng)絡流量可視化方案,登陸AC控制臺后,管理員可以查看出口流量曲線圖、當前流量TOP N應用、用戶流量排名、當前網(wǎng)絡異常狀況(包括DOS攻擊、ARP欺騙等)等信息,直觀了解當前網(wǎng)絡運行狀況。
此外,數(shù)據(jù)中心(Network Database Center,NDC)對內(nèi)網(wǎng)用戶的各種網(wǎng)絡行為流量進行記錄、審計,借助圖形化報表直觀顯示統(tǒng)計結(jié)果等,幫助管理員了解流量TOP N用戶、TOP N應用等,并自動形成報表文檔,定時發(fā)送到指定郵箱,讓IT管理員輕松掌控用戶網(wǎng)絡行為分布和帶寬資源使用等情況,了解流控策略效果,為帶寬管理的決策提供準確依據(jù)。1.3.2 流量管理
當您了解了帶寬的使用情況,并對帶寬進行優(yōu)化和分配后,我們即將對用戶(組)的上網(wǎng)行為做進一步的管理和控制。1.3.2.1 多線路復用和智能選路
很多組織擁有電信、網(wǎng)通等兩條以上互聯(lián)網(wǎng)出口鏈路,如何同時復用多條鏈路并做到流量的負載均衡與智能分擔?通過AC特有的多線路復用及帶寬疊加技術(shù),AC復用多條鏈路形成一條互聯(lián)網(wǎng)總出口,提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù),AC將出網(wǎng)流量自動匹配最佳出口。1.3.2.2 基于應用/網(wǎng)站/文件類型的智能流量管理
AC可以基于不同用戶(組)、出口鏈路、應用類型、網(wǎng)站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。精細智能的流量管理既防止帶寬濫用,提升帶寬使用效率。1.3.2.3 多級父子通道嵌套技術(shù)
AC采用“基于隊列的流控技術(shù)”,即建立管道,將不同的控制對象分配到不同的管道里。該技術(shù)的好處是控制靈活,大通道中可以多層嵌套小管道,分別基于不同的用戶、時間、應用協(xié)議、網(wǎng)站、文件類型等對象建立不同的通道,對于結(jié)構(gòu)復雜又希望實現(xiàn)差異化控制的組織來說可以做到更為精確的控制。
1.3.2.4 動態(tài)帶寬分配
組織管理員往往既希望在網(wǎng)絡應用高峰期保障核心用戶、核心業(yè)務帶寬,限制無關應用占用資源,又希望在帶寬空閑時實現(xiàn)資源的充分利用。為此,AC支持帶寬的“自由競爭”與“動態(tài)分配”,除了基于父子通道進行流量控制之外,還可以根據(jù)在線的用戶數(shù)量將帶寬動態(tài)分配給在線用戶。1.3.2.5 P2P的智能識別與靈活控制
通過封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。AC憑借P2P智能識別技術(shù),不僅識別和管控常用P2P、加密P2P,對不常見和未來將出現(xiàn)的P2P亦能管控。
對于某些企業(yè)文化較為寬松的組織,完全封堵P2P可能實施困難,AC的P2P流量控制技術(shù)能限制指定用戶的P2P所占用的帶寬,既允許指定用戶使用P2P,又不會濫用帶寬,充分滿足管理的靈活性。1.4 日志記錄與報表分析
記錄員工的網(wǎng)絡工作效率、分析網(wǎng)絡應用情況、提供管理依據(jù)等。1.5 安全防護 1.5.1終端安全
網(wǎng)絡世界中安全事件數(shù)量急劇攀升,內(nèi)網(wǎng)中斷、不穩(wěn)定將直接影響用戶的上網(wǎng)行為,所以需要AC保證網(wǎng)關自身安全,并強化內(nèi)網(wǎng)可靠性、可用性。1.5.1.1 防火墻
AC內(nèi)置基于狀態(tài)檢測技術(shù)的企業(yè)級防火墻,對進出組織的數(shù)據(jù)包提供過濾和控制。NAT(Network Address Translation)功能,代理內(nèi)網(wǎng)員工上網(wǎng)和實現(xiàn)靜態(tài)端口映射。1.5.1.2 網(wǎng)關防病毒
AC的網(wǎng)關防病毒功能集成知名廠商的防病毒引擎(防病毒引擎每天自動升級),從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺,亦可查殺壓縮包(zip,rar,gzip等)中的病毒。1.5.1.3 終端安全級別檢測
借助網(wǎng)絡準入規(guī)則專利技術(shù)(專利號ZL200510037455.1),AC將按照管理員要求檢查每位員工防病毒軟件安裝、運行、更新情況、操作系統(tǒng)版本、補丁情況、注冊表鍵值、終端程序運行情況、終端目錄盤下文件情況等,不滿足預設安全級別的終端將不允許訪問互聯(lián)網(wǎng),從而提升整個內(nèi)網(wǎng)的可靠性和可用性。
1.5.2網(wǎng)絡準入控制 近年來,在企業(yè)網(wǎng)中,新的安全威脅層出不窮,給組織帶來各種風險:
深信服科技推出了輕量級NAC(網(wǎng)絡準入控制)解決方案,只需在出口處部署一臺硬件網(wǎng)關,通過向內(nèi)網(wǎng)終端自動推送一個輕量級的客戶端控件,即可實現(xiàn)對接入內(nèi)網(wǎng)終端的網(wǎng)絡準入控制和安全隔離,執(zhí)行安全級別檢查,限制非法外聯(lián)線路,禁用USB拷貝功能。
1.5.3 危險插件惡意腳本過濾 非法網(wǎng)站假冒可信軟件如防病毒軟件、插入非法軟件,通過惡意廣告、垃圾博客、惡意點對點文件傳播等,當用戶發(fā)現(xiàn)時,用戶端已經(jīng)被安裝惡意插件,被強迫瀏覽黑客指定的網(wǎng)站,或者被利用攻擊某個站點,終端信息已被外發(fā),損失已造成。
究其根源,在于用戶訪問不可信的資源,如現(xiàn)在非常流行的是通過瀏覽器自動安裝ActiveX控件來進行惡意插件的傳播。AC通過對 ActiveX控件的簽名進行過濾,防止不被信任的插件安裝到內(nèi)網(wǎng)機器當中,從而解決通過IE瀏覽器亂裝控件的問題,起到保護內(nèi)網(wǎng)安全的作用。還有形形色色的病毒、木馬,而這些危害絕大部分都是危險腳本造成的。AC通過對內(nèi)網(wǎng)用戶訪問的網(wǎng)頁腳本進行特征識別,在腳本下載到瀏覽器執(zhí)行前進行攔截,從而起到保護內(nèi)網(wǎng)安全的作用。1.5.3.1 危險插件過濾
? 能識別那些下載文件是會自動安裝的插件,包括所有通過瀏覽器自動下載的文件。
? 能根據(jù)插件白名單對插件進行過濾,內(nèi)置常用安全插件列表供用戶選擇,還可以自定義白名單(支持插件名稱、證書名稱和域名)。
? 能根據(jù)插件證書的合法性進行過濾,包括:檢查插件簽名是否過期,對插件簽名進行證書鏈控制。
? 能記錄控件過濾日志,包括被過濾控件名稱及被拒絕的原因,并能在數(shù)據(jù)中心查出來。
? 能夠?qū)崿F(xiàn)二次提示,第一次出現(xiàn)時做攔截,第二次實現(xiàn)時給出提示。1.5.3.2 惡意腳本過濾功能:
? 可以過濾注冊表的寫操作; ? 可以過濾文件的寫操作; ? 過濾危險對象和危險調(diào)用;
? 能夠?qū)崿F(xiàn)二次提示,第一次出現(xiàn)時做攔截,第二次實現(xiàn)時給出提示。
1.5.4 異常流量控制
■ 異常流量感知 隨U盤等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己,通常會通過常用的TCP 80、443、25、110等端口泄漏內(nèi)網(wǎng)機密數(shù)據(jù)及接受黑客控制。傳統(tǒng)設備防火墻等解決方案在開放了常用端口后并不能識別該端口中傳輸?shù)臄?shù)據(jù)及內(nèi)容,AC的異常流量感知技術(shù)能夠識別常用端口中的如上異常流量,并能夠?qū)崟r報警,幫助管理員掌控網(wǎng)絡,防范風險。
2.AC產(chǎn)品的部署模式 2.1網(wǎng)關模式(路由模式)
AC以網(wǎng)關模式部署在組織網(wǎng)絡中,所有流量都通過AC處理,實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能。2.2網(wǎng)橋模式
單網(wǎng)橋模式:以網(wǎng)橋模式部署在組織網(wǎng)絡中,如同連接在出口網(wǎng)關和內(nèi)網(wǎng)交換機之間的“智能網(wǎng)線”,實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計、安全防護等功能。
多網(wǎng)橋模式:組織考慮到網(wǎng)絡的穩(wěn)定性、可靠性,往往采用雙機、雙線路構(gòu)建基礎網(wǎng)絡。AC支持多路橋接模式,適應組織的多機網(wǎng)絡環(huán)境要求。2.3旁路模式
AC以旁路模式部署在組織網(wǎng)絡中,與交換機鏡像端口相連,實施簡單,完全不影響原有的網(wǎng)絡結(jié)構(gòu),降低了網(wǎng)絡單點故障的發(fā)生率。2.4多機模式
根據(jù)我院現(xiàn)有的網(wǎng)絡機構(gòu)適合使用網(wǎng)橋模式:
第二篇:上網(wǎng)行為管理方案
上網(wǎng)行為管理方案(員工上網(wǎng)控制)
構(gòu)建安全、穩(wěn)定、高效的企業(yè)網(wǎng)絡
?
行業(yè)背景分析
CNNIC最新數(shù)據(jù)表明:94.8%的中小企業(yè)配備了電腦、92.7%的中國中小企業(yè)接入互聯(lián)網(wǎng);57.2%的中小企業(yè)正在利用互聯(lián)網(wǎng)與客戶溝通及為客戶提供咨詢服務。從企業(yè)門戶平臺的建設到公文、數(shù)據(jù)的傳遞,從VPN企業(yè)專用信息通道到網(wǎng)絡視頻會議,網(wǎng)絡應用已經(jīng)成為廣大企業(yè)提高工作效率,進行實時溝通的有力保證和手段;同時網(wǎng)絡也成為企業(yè)收集各類信息、與外界溝通以及員工獲得專業(yè)知識與信息的重要來源。然而,網(wǎng)絡也是各種娛樂活動的渠道,是分散員工精力、生產(chǎn)力流失的根源,重要資料的泄漏和不可控的安全隱患也使廣大企業(yè)面臨巨大經(jīng)濟損失和法律風險。
據(jù)美國科技調(diào)查機構(gòu)IDC的調(diào)查指出:企業(yè)員工大約30%~40%對網(wǎng)絡的使用是跟工作無關的。中國企業(yè)的情況略高于這個比例。中國員工每周花在網(wǎng)上處理私人事務的時間為5.6小時,中國的IT主管認為員工每周會花費至少6.2小時進行網(wǎng)上沖浪,83%的中層管理人員在辦公時間內(nèi)瀏覽與工作無關的網(wǎng)站。
如果缺乏管理制度和技術(shù)手段,員工不加監(jiān)管、隨意使用網(wǎng)絡將導致三個重大問題:工作效率低下、網(wǎng)絡性能惡化、網(wǎng)絡違法隱患。?
行業(yè)網(wǎng)絡需求分析 多線高速接入
因為撥號接入方式比專線、光纖便宜很多,一般企業(yè)多采用ADSL這類的寬帶接入。隨著網(wǎng)絡的應用越來越多,管理難度越來越大,很多企業(yè)一條寬帶不夠,再增加一條寬帶;兩條條寬帶不夠,再增加兩條寬帶。但這樣就會出現(xiàn)多路接入、多個出口的問題,接入設備多,維護成本增大,給管理帶來困難。
因此企業(yè)需要多路寬帶接入,特別是在業(yè)務范圍覆蓋全國的企業(yè),還需要電信、聯(lián)通線路的同時接入訪問,消除跨網(wǎng)互通的問題。網(wǎng)絡帶寬管理
一般來說,一個2M外網(wǎng)帶寬的局域網(wǎng),只要有2個以上的用戶毫無節(jié)制地使用BT,所有人的正常網(wǎng)絡瀏覽都將成為不可完成的任務。如果缺乏有效的技術(shù)手段,BT、迅雷、電驢、PPLive等P2P軟件和在線影音等行為就會嚴重吞噬帶寬資源,導致正常工作的帶寬得不到保障,企業(yè)大量投資的寬帶網(wǎng)絡速度一天比一天慢;IT部門經(jīng)常遭到抱怨,要求提升上網(wǎng)的帶寬;而有趣的是抱怨的人中常常包括那些下載音樂文件或看視頻電影的員工。
網(wǎng)絡帶寬缺乏規(guī)劃與管理,勢必造成網(wǎng)絡投資加大,企業(yè)成本上升。企業(yè)推廣信息化建設、建立網(wǎng)絡應用環(huán)境是為了提高工作效率,降低辦公成本。網(wǎng)絡資源浪費迫使企業(yè)加大網(wǎng)絡投資,網(wǎng)絡投資導致了成本的上升,利潤的下降,這也是企業(yè)面臨的重要問題。抵制不良信息
互聯(lián)網(wǎng)上信息龐雜多樣,既有大量進步、有益的信息,也有不少反動、迷信、黃色等不健康的內(nèi)容,對于有危害的站點如何去屏蔽?對于色情反動站點如何過濾?
現(xiàn)在很多企業(yè)還缺乏有效的管理監(jiān)控手段來對企業(yè)員工的上網(wǎng)進行必要的限制和記錄,對于一些非法站點也沒有采取有效手段來過濾。企業(yè)將面臨違反國家法律法規(guī)的風險,反動、黃色的言論通過網(wǎng)絡在企業(yè)內(nèi)部傳播,直接會導致企業(yè)面臨國家法律的制裁,企業(yè)領導難辭其咎。
在企業(yè)內(nèi)部提供一個綠色安全的上網(wǎng)環(huán)境,已經(jīng)成為迫切的問題。上網(wǎng)行為管理
互聯(lián)網(wǎng)上的內(nèi)容太豐富了,對企業(yè)員工有太多的誘惑,很多的員工沉溺其中,無法自拔,常常把自己的本職工作放在一邊,導致企業(yè)整體工作效率沒有提升反而下降。調(diào)查數(shù)據(jù)顯示以下為影響工作效率主要的互聯(lián)網(wǎng)行為,它們與工作無關而且可能導致更多的問題(比如網(wǎng)絡安全等): 閑逛新聞、娛樂網(wǎng)站,泡論壇“打發(fā)時間”; 瀏覽色情網(wǎng)站、賭博網(wǎng)站;
瀏覽游戲、音樂等娛樂網(wǎng)站,下載大量與工作無關的音樂文件,在線聽音樂,在線看視頻等,不僅耽誤工作,而且占用大量的網(wǎng)絡帶寬資源,影響其他人員使用公司的資源;瀏覽相關財經(jīng)網(wǎng)站,利用公司的資源在線炒股;瀏覽“在線”購物和拍賣網(wǎng)站; 使用IM軟件如QQ、MSN、Skype、飛信等。
個人沉溺于網(wǎng)絡或者“出工不出力”的現(xiàn)象屢見不鮮。個人工作效率及工作狀態(tài)的低下,最終會反映到工作業(yè)績上,影響到個人在企業(yè)中發(fā)展。而且它具有擴散效應,八卦新聞、小道消息一旦成為工作時間的談資,必然極大破壞辦公室的工作氛圍。信息安全風險
任何企業(yè)主或管理人員都擔心企業(yè)內(nèi)部的機密信息流露出去,而互聯(lián)網(wǎng)偏偏又是最便捷的信息交流傳遞途徑。企業(yè)商業(yè)機密、重要文獻可以通過網(wǎng)絡以MSN、QQ、郵箱等多種方式快速、方便的流失出去。不受限制的上網(wǎng)行為將帶來更多的安全問題,比如下載的文件中帶有病毒或其它有破壞性的程序QQ、MSN等軟件的使用有可能招到網(wǎng)絡黑客的襲擊等。
想到這些問題,每個管理人員都可能坐立不安。如何解決這些問題呢 網(wǎng)絡穩(wěn)定安全
企業(yè)內(nèi)網(wǎng)PC終端眾多,網(wǎng)絡應用也較復雜,因誤觸惡意網(wǎng)站、下載等原因,木馬、蠕蟲、釣魚等網(wǎng)絡陷阱可以輕易沖垮企業(yè)的網(wǎng)絡環(huán)境,甚至導致企業(yè)整體IT系統(tǒng)的癱瘓,泛濫的P2P軟件(迅雷、BT、電驢等)都可能造成內(nèi)網(wǎng)的安全隱患。最典型的就是不少企業(yè)網(wǎng)絡都飽受ARP病毒攻擊,網(wǎng)絡要么頻繁掉線、亂彈廣告,要么上網(wǎng)速度巨慢!?
XX網(wǎng)絡解決方案
XX上網(wǎng)行為管理路由器部署為企業(yè)的網(wǎng)關,提供網(wǎng)絡接入、上網(wǎng)行為管理等功能;內(nèi)網(wǎng)采用上網(wǎng)行為管理交換機,提供千兆內(nèi)網(wǎng)傳輸速率。
?
方案特點:
多條寬帶接入,提高網(wǎng)速又省錢
提供2~4個WAN口,可以使用多條ADSL取代光纖,或增加 ADSL提升帶寬,節(jié)省費用并且降低“單線故障”的風險。智能實現(xiàn)“電信數(shù)據(jù)走電信線路,聯(lián)通數(shù)據(jù)走聯(lián)通線路”,并支持在線升級策略庫,實現(xiàn)多網(wǎng)的高速接入。
它還具有領先的通斷檢測技術(shù),能智能判斷線路狀態(tài),如果某條線路出現(xiàn)故障,會自動將相關應用調(diào)度到正常線路,確保網(wǎng)絡永遠在線。支持線路定時切換的數(shù)據(jù)平滑過渡,減少線路切換時卡機、掉線等現(xiàn)象。
合理分配帶寬,網(wǎng)絡不卡不掉線
免配置智能流控(Smart QoS Ⅱ)通過對各類應用的深度識別、分類管理、分級處理,始終讓企業(yè)關鍵業(yè)務走優(yōu)先通道,其余流量都給他們讓路,保證關鍵應用如:視頻會議、OA系統(tǒng)等永遠都不卡!同時還能把剩余帶寬分配給其他用戶或應用(例如文件下載、在線視頻),實現(xiàn)帶寬合理化、最大化的利用!
針對不同應用設置不同的帶寬、連接數(shù)以及不同的數(shù)據(jù)優(yōu)先級,保證您的核心業(yè)務能得到有力的保障。提升帶寬使用率,真正做到物盡其用!P2P軟件過濾,防止帶寬被暴力占用
P2P技術(shù)的發(fā)展給互聯(lián)網(wǎng)帶來了極大的促進,給用戶帶來便利的同時也給網(wǎng)絡應用帶來了嚴重隱患。首先P2P軟件對帶寬暴力占用使企業(yè)網(wǎng)絡帶寬面臨嚴峻挑戰(zhàn)。其次P2P軟件本身現(xiàn)在也成為眾多安全攻擊者的目標,利用P2P傳播病毒或者隱藏木馬成為一種新的攻擊趨勢。
通過上網(wǎng)行為管理路由器的P2P軟件過濾,輕松過濾主流的P2P軟件,使企業(yè)網(wǎng)絡的帶寬資源得到最合理的使用。抵制不良信息
通過黑白名單可以管理企業(yè)網(wǎng)絡內(nèi)用戶的網(wǎng)頁訪問。通過白名單來指定企業(yè)員工只能瀏覽的網(wǎng)站(例如工作相關網(wǎng)站);或者通過名單屏蔽惡意網(wǎng)站或不良網(wǎng)站;結(jié)合域名過濾功能,優(yōu)化關鍵字,能加強對低俗不良信息的過濾和攔截,大大降低內(nèi)網(wǎng)用戶對不良Web頁面的訪問。上網(wǎng)行為管理,杜絕網(wǎng)絡“曠工曠課”
上網(wǎng)行為管理路由器能阻止對色情、反動、病毒等高風險網(wǎng)站的訪問,限制工作無關的網(wǎng)絡應用,能有效減少惡意軟件的侵擾,使得IT設備維修率下降,企業(yè)員工的工作效率大幅提高,工作質(zhì)量越來越好。通過限制BT、Emule等P2P下載應用的帶寬,保證主要業(yè)務暢通無阻,加強了對Email、BBS等外發(fā)信息的管理,減少了單位信息外泄的可能,從而大大提高了企業(yè)員工的工作效率,降低網(wǎng)絡泄密的風險。網(wǎng)址分類管理,輕松過濾與工作無關的網(wǎng)站
能監(jiān)控所有用戶瀏覽網(wǎng)址的記錄,并可禁止訪問最熱門的10大類網(wǎng)站,它們包括:休閑娛樂、新聞資訊、聊天交友、網(wǎng)絡游戲、電子購物、論壇博客、證券基金、電子郵件、網(wǎng)上銀行和不良網(wǎng)址等。支持網(wǎng)址分類庫自動升級。配合禁止通過IP訪問網(wǎng)頁、黑白名單以及跳轉(zhuǎn)頁面設置,全面管好企業(yè)內(nèi)部的網(wǎng)站訪問。能有效的避免在上班時間瀏覽與工作學習無關網(wǎng)站的現(xiàn)象。在用戶瀏覽網(wǎng)頁的時候,上網(wǎng)行為管理路由器可以提示監(jiān)管信息,讓大家知道哪些操作是被禁止或記錄的。這類似公布道路上電子眼位置,公開監(jiān)管會讓企業(yè)員工的抵觸情緒明顯降低。聊天軟件過濾,提高工作效率
很多企業(yè)對QQ、MSN等及時通訊軟件是又愛又恨,一方面它們是必不可少的信息溝通工具,一方面又最容易讓企業(yè)員工因私聊耽誤工作學習。通過上網(wǎng)行為管理路由器的聊天軟件過濾,可輕松管制QQMSN飛信SKYPE阿里旺旺等聊天軟件,而且可以設置例外的IP地址組(例如讓領導不受限制)。更有QQ號碼的精細化管理,僅允許使用單位指定的工作QQ,而其他私人QQ無法使用。股票軟件過濾,規(guī)范工作行為
不少企業(yè)都有部分企業(yè)員工利用上班時間炒股的現(xiàn)象,這種行為極大地占用了工作時間,降低了工作效率,而且運行炒股軟件還占用了大量的帶寬,導致其他企業(yè)員工無法很好地利用網(wǎng)絡進行工作。
通過上網(wǎng)行為管理路由器的股票軟件過濾,可以輕松過濾主流的炒股軟件,可以在很大程度上杜絕上班炒股行為,保證帶寬資源能夠被合理高效地使用。游戲過濾,防止沉迷網(wǎng)游
企業(yè)員工在上班時間玩網(wǎng)絡游戲,一方面占用工作時間,嚴重違反了相關紀律,造成不良影響;另一方面,這些網(wǎng)絡游戲又極大的消耗著網(wǎng)絡帶寬,造成其他企業(yè)員工上網(wǎng)堵塞;同時,網(wǎng)絡游戲里面常常充斥著色情、暴力、反動等信息,有損企業(yè)形象。
通過上網(wǎng)行為管理路由器的游戲過濾,可以輕松過濾主流的網(wǎng)絡游戲,規(guī)范企業(yè)員工上網(wǎng)行為,凈化企業(yè)的網(wǎng)絡環(huán)境。郵件監(jiān)控,防止網(wǎng)絡泄密
對內(nèi)網(wǎng)用戶使用郵件客戶端(例如OUTLOOK、FAXMAIL等)通過POP3/SMTP協(xié)議收發(fā)郵件時,進行收發(fā)郵件的鏡像和監(jiān)控。WEB安全管理,減少網(wǎng)絡風險
能有效減少內(nèi)網(wǎng)用戶訪問網(wǎng)頁時被各類木馬病毒文件感染的幾率。通過禁止WEB頁面提交,還能防止用戶在網(wǎng)絡論壇上發(fā)言發(fā)帖,避免給企業(yè)帶來法律風險。外防攻擊,內(nèi)防病毒
防攻擊抗病毒:擁有網(wǎng)絡自防御功能,支持內(nèi)外網(wǎng)攻擊防御,提供掃描類、DoS類、可疑包和含有IP選項的包等攻擊保護,能偵測及阻擋IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網(wǎng)絡攻擊,有效防止沖擊波、木馬等病毒攻擊,有效提高網(wǎng)絡可靠性。
網(wǎng)絡攻擊報警:實時提示內(nèi)外網(wǎng)攻擊信息,快速定位和查找到攻擊來源,及時解決網(wǎng)絡問題。全面防御ARP病毒
ARP病毒泛濫是企業(yè)網(wǎng)絡的一個頑癥,ARP病毒經(jīng)常造成整個網(wǎng)絡的頻繁斷網(wǎng),極大地影響了企業(yè)網(wǎng)絡用戶的正常使用。上網(wǎng)行為管理路由器通過多種方式能有效解決ARP病毒難題。
方便的ARP欺騙防御:通過免費ARP的定時發(fā)送機制,初步防治內(nèi)網(wǎng)ARP病毒。
可靠的雙向綁定:一鍵完成IP/MAC地址綁定,使ARP表不被輕易更改,有效防范ARP病毒攻擊,保障內(nèi)網(wǎng)運行效率。也能防止部分企業(yè)員工私自更改IP,導致IP沖突、網(wǎng)絡管理混亂的現(xiàn)象,保證企業(yè)網(wǎng)絡的合理、規(guī)范和高效。
靈活的ARP信任機制:有些環(huán)境不適合傳統(tǒng)的IP/MAC雙向綁定(例如筆記本用戶較多的企業(yè)),采用ARP信任機制在無雙向綁定的情況下,自動學習、判斷和更新內(nèi)網(wǎng)主機的ARP信息,確保路由器獲得真實可靠的用戶ARP信息,既保證上網(wǎng)的便捷性,又保證上網(wǎng)的安全性。VPN虛擬專網(wǎng)
企業(yè)網(wǎng)絡開設VPN虛擬專網(wǎng),能為出差的企業(yè)員工訪問單位資源提供了很大的方便,也能使得同系統(tǒng)的多個單位安全快速的互聯(lián)互通。上網(wǎng)行為管理路由器提供PPTP VPN和IPSec VPN功能,可以實現(xiàn)本地網(wǎng)絡與遠程網(wǎng)絡之間安全加密互訪。
上網(wǎng)行為管理路由器還支持網(wǎng)對網(wǎng)的VPN功能,便于企業(yè)總部和分支機構(gòu)的互聯(lián)互通。好使用易管理
內(nèi)網(wǎng)管理輕松直觀:通過直觀的數(shù)據(jù)流量圖和網(wǎng)絡狀態(tài)報告,每條線路的數(shù)據(jù)流量都一目了然。您可以實時統(tǒng)計每個IP的累計流量、實時流量、網(wǎng)絡連接數(shù)等關鍵指標,全面分析每個IP的網(wǎng)絡連接詳情,網(wǎng)絡問題的定位也易如反掌。還能實時管控每個主機當前的網(wǎng)絡連接。并能對異常主機進行遠程管控,斷掉或恢復該主機的外網(wǎng)鏈接。
配置備份與導入:可將每種配置文件保存到電腦,需要重新配置路由器時,可導入相應配置文件,縮短配置時間。
使用方便:全中文WEB配置及管理頁面,配置簡單,不需專業(yè)網(wǎng)管。支持免費軟件升級功能。
第三篇:上網(wǎng)行為管理方案建議書
XX 公司
上網(wǎng)行為管理方案建議書
上網(wǎng)行為管理方案建議書
一、引言
根據(jù)Dynamic Markets Limited對全球辦公室上網(wǎng)情況的調(diào)查:在上班時間,中國員工每周比其他國家的員工多花7.6小時來使用即時通訊(Instant Messenger)工具、玩游戲、P2P下載或在線媒體。中國員工上網(wǎng)下載音樂的時間比拉美國家高16%,進入聊天室和玩在線游戲花費的時間分別比其他國家高約8%和12%。在互聯(lián)網(wǎng)發(fā)達的印度,只有26% 員工在工作場合瀏覽個人信件,而在中國,這個數(shù)字則是60%!
辦公網(wǎng)中的辦公效率問題
日益發(fā)達的互聯(lián)網(wǎng)讓員工有了更多的選擇,網(wǎng)上聊天、網(wǎng)上購物、在線視頻、論壇灌水、BT電影……上班時間,員工很難不受眾多網(wǎng)絡娛樂的誘惑,大家在或多或少地利用工作時間進行非業(yè)務操作。以上行為實實在在地存在于我們的辦公網(wǎng)中。事實上,我們很多企業(yè)員工打開電腦的第一件事便是開迅雷,下載電影、視頻、游戲;也有為數(shù)不少的員工癡迷股海,一心撲在大盤上面;而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費的時間更是驚人。凡此種種,無不給我們有限的帶寬資源帶來了巨大的流量壓力,給員工的辦公效率打了一個大大的問號。
二、上網(wǎng)行為管理解決方案介紹——合理封堵非業(yè)務網(wǎng)絡應用
隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升,如何有效管理與利用互聯(lián)網(wǎng)資源,這已成為現(xiàn)代企業(yè)管理的重要衡量標準。與此同時,上網(wǎng)行為管理的理念愈發(fā)深入人心,提升員工網(wǎng)絡業(yè)務的辦公效率,這已經(jīng)成為企業(yè)IT管理者關心的首要問題。
XX 公司
上網(wǎng)行為管理方案建議書
如上圖,企業(yè)通過以網(wǎng)關、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理設備,可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡應用行為進行管理。上班時間,封掉影響業(yè)務效率的非業(yè)務應用及相關網(wǎng)站;對擠占公司帶寬資源的應用進行流量控制,確保主流的辦公應用帶寬資源,以提高業(yè)務應用的辦公效率……具體而言,上網(wǎng)行為管理系統(tǒng)封堵非業(yè)務網(wǎng)絡應用解決方案,將給我們帶來下述價值:
1、全方位封堵p2p,確保正常辦公業(yè)務帶寬
P2P應用給用戶帶來了前所未有的速度體驗與資源共享,但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個IT管理者頭痛的問題,其所帶來的負作用日漸凸顯。鑒于此,上網(wǎng)行為管理設備通過檢測網(wǎng)絡軟件數(shù)據(jù)包特征碼,可以對常用軟件進行徹底封堵,包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件,上網(wǎng)行為管理系統(tǒng)獨有的網(wǎng)絡行為智能分析技術(shù)使其同樣難逃法網(wǎng)。
有些部門和領導因業(yè)務需要使用P2P,在全面封堵的同時,上網(wǎng)行為管理設備還可以提供 P2P流控功能,即允許指定用戶使用P2P,但對其占用的帶寬進行控制。對不同用戶,按時間段進行P2P應用封堵、帶寬分配與流量控制,上網(wǎng)行為管理設備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務辦公效率。
2、針對性應用管控,對事張馳有度
現(xiàn)在,網(wǎng)絡應用不斷推陳出新,IT管理人員難以及時收集網(wǎng)絡及軟件版本,并制定相應管理策略;他們即使花費了大量的精力實現(xiàn)了收集工作,也很難實現(xiàn)對其全面的識別和管理。
為此,上網(wǎng)行為管理系統(tǒng)針對不斷更新的網(wǎng)絡應用軟件來收集軟件類型與版本,不斷更新自己的應用規(guī)則識別庫。
XX 公司
上網(wǎng)行為管理方案建議書
3、選擇性內(nèi)容過濾,方式靈活
除針對網(wǎng)絡應用軟件外,上網(wǎng)行為管理設備還內(nèi)置了千萬條級的URL庫,對URL庫按照20個大類進行了劃分。基于此,IT管理者可以方便地對娛樂、購物、游戲、影視等網(wǎng)站進行控制和屏蔽,同時用戶可手工輸入新分類和新URL地址,這進一步增強了網(wǎng)管人員工作的靈活性。
同時,上網(wǎng)行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件,可以根據(jù)關鍵字如 avi、rmvb、mpeg進行文件過濾,以保證核心業(yè)務的帶寬。
4、差異化權(quán)限劃分,構(gòu)建和諧組織
對于以上管控,上網(wǎng)行為管理設備可根據(jù)不同用戶、不同部門的差異化網(wǎng)絡使用權(quán)限,人性化管控整個企業(yè)。如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限,以方便其網(wǎng)上尋找客戶資源,而對后勤人員則封掉P2P應用、游戲與炒股網(wǎng)站等。
三、客戶現(xiàn)狀
企業(yè)目前沒有防火墻,現(xiàn)有200個用戶端,內(nèi)部網(wǎng)絡劃分為多個不同網(wǎng)段,目前企業(yè)希望能實現(xiàn)簡單的方式控制辦公電腦上外網(wǎng)。
四、方案建議
據(jù)上所述,如果客戶對上網(wǎng)行為管理要求不高,僅需要限制辦公電腦上外網(wǎng),建議用戶可以采購防火墻或者企業(yè)級帶有網(wǎng)管功能的路由器,稍加設置便可實現(xiàn)。如果客戶的上網(wǎng)行為管理要求如上網(wǎng)行為管理解決方案所述,建議客戶采購專業(yè)的上網(wǎng)行為管理設備,上網(wǎng)行為管理設備推薦寶創(chuàng)金盾。
五、產(chǎn)品介紹
詳見產(chǎn)品白皮書和用戶手冊。
第四篇:上網(wǎng)行為管理
1. 上網(wǎng)行為管理
目前市場主流廠商:深信服、網(wǎng)康 ? 典型案例
2.1 提升內(nèi)網(wǎng)業(yè)務操作效率——封堵非業(yè)務應用解決方案
方案背景:
日益發(fā)達的互聯(lián)網(wǎng)讓企業(yè)員工有了更多的選擇,網(wǎng)上聊天、網(wǎng)上購物、在線視頻、論壇灌水、BT電影……上班時間,員工很難不受眾多網(wǎng)絡娛樂的誘惑,大家在或多或少地利用工作時間進行非業(yè)務操作。
以上行為實實在在地存在于我們的辦公網(wǎng)中。事實上,我們很多企業(yè)員工打開電腦的第一件事便是開迅雷,下載電影、視頻、游戲;也有為數(shù)不少的員工癡迷股海,一心撲在大盤上面;而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費的時間更是驚人。凡此種種,無不給我們有限的帶寬資源帶來了巨大的流量壓力,給員工的辦公效率打了一個大大的問號。
上網(wǎng)行為管理解決方案——合理封堵非業(yè)務網(wǎng)絡應用
隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升,如何有效管理與利用互聯(lián)網(wǎng)資源,這已成為現(xiàn)代企業(yè)管理的重要衡量標準。與此同時,上網(wǎng)行為管理的理念愈發(fā)深入人心,提升員工網(wǎng)絡業(yè)務的辦公效率,這已經(jīng)成為企業(yè)IT管理者關心的首要問題。、如上圖,企業(yè)通過以網(wǎng)關、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理產(chǎn)品,可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡應用行為進行管理。上班時間,封掉影響業(yè)務效率的非業(yè)務應用及相關網(wǎng)站;對擠占公司帶寬資源的應用進行流量控制,確保主流的辦公應用帶寬資源,以提高業(yè)務應用的辦公效率。
方案價值:
1、全方位封堵p2p,確保正常辦公業(yè)務帶寬
P2P應用給用戶帶來了前所未有的速度體驗與資源共享,但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個IT管理者頭痛的問題,其所帶來的負作用日漸凸顯。鑒于此,上網(wǎng)行為管理設備通過檢測網(wǎng)絡軟件數(shù)據(jù)包特征碼,可以對常用軟件進行徹底封堵,包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件,獨有的網(wǎng)絡行為智能分析技術(shù)使其同樣難逃法網(wǎng)。
有些部門和領導因業(yè)務需要使用P2P,在全面封堵的同時,上網(wǎng)行為管理設備還可以提供 P2P流控功能,即允許指定用戶使用P2P,但對其占用的帶寬進行控制。對不同用戶,按時間段進行P2P應用封堵、帶寬分配與流量控制,上網(wǎng)行為管理設備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務辦公效率。
2、選擇性內(nèi)容過濾,方式靈活
除針對網(wǎng)絡應用軟件外,上網(wǎng)行為管理設備還內(nèi)置了千萬條級的URL庫,對URL庫按照20個大類進行了劃分。基于此,IT管理者可以方便地對娛樂、購物、游戲、影視等網(wǎng)站進行控制和屏蔽,同時用戶可手工輸入新分類和新URL地址,這進一步增強了網(wǎng)管人員工作的靈活性。
同時,上網(wǎng)行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件,可以根據(jù)關鍵字如 avi、rmvb、mpeg進行文件過濾,以保證核心業(yè)務的帶寬。
3、差異化權(quán)限劃分,構(gòu)建和諧組織
對于以上管控,上網(wǎng)行為管理設備可根據(jù)不同用戶、不同部門的差異化網(wǎng)絡使用權(quán)限,人性化管控整個企業(yè)。如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限,以方便其網(wǎng)上尋找客戶資源,而對后勤人員則封掉P2P應用、游戲與炒股網(wǎng)站等。
2.2上網(wǎng)行為管理+SSL VPN防信息泄露解決方案
背景分析:
據(jù)IDC調(diào)查報告顯示,全球有近80%的企業(yè)存在著信息安全與風險問題。在報告所調(diào)查的公司中,進行網(wǎng)絡常規(guī)安全檢查的公司不到一半,只有30%的公司具有跟蹤用戶訪問的能力,30%的公司使用加密技術(shù)進行數(shù)據(jù)傳輸。報告顯示:信息安全問題大都來自于企業(yè)內(nèi)部,信息泄密很多時候源于信息安全管理不善。在中國,眾多的事業(yè)單位也面臨這些問題。
事實上,很多企事業(yè)單位內(nèi)外網(wǎng)、服務器隔離存在問題,業(yè)務系統(tǒng)的操作并沒有明確授權(quán)人員,這導致一些非授權(quán)人員大肆訪問并修改內(nèi)網(wǎng)服務器的重要數(shù)據(jù);很多單位員工信息安全意識也較薄弱,很多時候?qū)⒖蛻粜畔ⅰ?nèi)部敏感信息等在公網(wǎng)上隨便傳播,并沒有加密,這樣的信息數(shù)據(jù)很容易被竊取修改。
現(xiàn)在,客戶對企業(yè)、民眾對事件單位應用服務的訪問量在不斷增加,客戶的訪問請求經(jīng)常集中在數(shù)臺服務器上,而其它服務器卻因訪問量低而低效運行,這不僅影響了用戶的體驗感受,也嚴重影響著該應用服務訪問穩(wěn)定性。為將大量的訪問最快的處理并提高服務器的運行效率,保證信息發(fā)布不被中斷,以此來保證信息傳播的安全,這點也為越來越多的有識之士關注。
解決方案:
通過上網(wǎng)行為管理產(chǎn)品來防止企事業(yè)單位內(nèi)網(wǎng)泄密,這樣可有效解決單位內(nèi)部泄密的問題;通過SSL VPN,企事業(yè)單位可對外部接入人員進行身份認證,并對這些接入人員進行精確的權(quán)限分配來保證合法的訪問與系統(tǒng)修改,這也可以有效隔離內(nèi)網(wǎng)里的應用服務器與內(nèi)外網(wǎng)。
產(chǎn)品部署拓撲圖如下:
如上部署,上網(wǎng)行為管理設備以網(wǎng)橋模式透明部署于企事業(yè)單位內(nèi)網(wǎng),通過識別敏感信息并進行過濾等手段,全方位保護客戶的信息資產(chǎn)和信息安全。
SSL VPN產(chǎn)品以旁路模式部署,企事業(yè)單位通過SSL VPN為不同級別的訪問者分配不同的訪問權(quán)限,并對其進行嚴格的身份認證,這樣有效管理了外部員工、客戶對內(nèi)網(wǎng)應用系統(tǒng)服務的訪問安全。
方案價值:
上述整合的解決方案,將使企事業(yè)單位解決面臨的信息安全風險,使得組織業(yè)務系統(tǒng)獲得持久的可靠和穩(wěn)定。
上網(wǎng)行為管理產(chǎn)品將幫助企事業(yè)單位防范企事業(yè)單位的信息資產(chǎn)泄密,這將有助于降低組織機構(gòu)的信息安全風險,這讓企業(yè)、事業(yè)單位專注信息資產(chǎn)管理,讓部門溝通、客戶溝通等多方面溝通更有效。
SSL VPN將幫助組織強化信息數(shù)據(jù)訪問安全。對內(nèi)網(wǎng)重要區(qū)域信息數(shù)據(jù)的訪問控制,能從源頭上有效保護信息資產(chǎn)安全,SSL VPN提供從訪問終端安全——接入認證安全——數(shù)據(jù)傳輸安全——訪問權(quán)限安全等一體化的安全。
2.3校園網(wǎng)上網(wǎng)行為管理+SSL VPN綜合解決方案
校園網(wǎng)現(xiàn)狀:
校園網(wǎng)網(wǎng)絡規(guī)模龐大,相應的網(wǎng)絡應用流量非常驚人;學生網(wǎng)絡應用比較活躍,規(guī)范管理非常頭疼。具體而言,校園網(wǎng)建設中存在如下問題:
1、流量問題
因為學生BT下載、在線視頻、迅雷應用等P2P行為十分活躍,校園網(wǎng)帶寬出口經(jīng)常被堵塞,師生正常的網(wǎng)絡應用經(jīng)常被擠占。
2、網(wǎng)上言論
目前高校學生網(wǎng)絡應用活躍,校內(nèi)BBS言論、公網(wǎng)上知名論壇等經(jīng)常語出驚人之舉,時常給學校帶來世俗、法律上的諸多困擾。由于目前網(wǎng)絡言論實行匿名式注冊,出現(xiàn)問題后很難查詢當事人,最后給學校帶來了極大的負面影響。
3、網(wǎng)絡應用規(guī)范問題
不可否認,目前大學在校生所面對的網(wǎng)絡信息、資源較前些年豐富了很多,這其中也有一些色情、反動等類型的網(wǎng)站及其應用,如何從校園網(wǎng)建設上規(guī)避這些不良網(wǎng)站、應用的影響,將制度的規(guī)范強制執(zhí)行在日常網(wǎng)絡應用中,這對管理者是個不小的挑戰(zhàn)。
4、校內(nèi)資源使用問題
學校、政府花費了巨大的精力進行校園網(wǎng)建設,國際教育網(wǎng)絡資源對高校也有很大的優(yōu)惠措施。目前校園的圖書館電子資源、校內(nèi)OA系統(tǒng)、校務管理系統(tǒng)給師生工作學習都帶來了便利,但走出校園網(wǎng)這些資源便無力利用了。如何在校園網(wǎng)外實現(xiàn)遠程登錄辦公已經(jīng)成為校園網(wǎng)深度建設必須面對的問題。
最重要的是,當校園網(wǎng)初步建成之后,如何查詢師生校園網(wǎng)應用情況(如學生經(jīng)常應用什么網(wǎng)絡軟件,在網(wǎng)上做什么事情),以此來發(fā)現(xiàn)網(wǎng)絡應用問題及校園網(wǎng)建設中存在的不足,這對學校的網(wǎng)絡管理者尤為重要,他們需要一種能對網(wǎng)絡建設與管理決策提出良好反饋機制的解決方案。
部署拓撲圖:
上網(wǎng)行為管理+SSL VPN綜合解決方案:
為此,選擇上網(wǎng)行為管理+SSL VPN遠程登錄解決方案。將學校內(nèi)網(wǎng)安全管理單純地由對外防御病毒、黑客入侵、垃圾郵件,轉(zhuǎn)向了內(nèi)外兼?zhèn)涞娜婀芸兀缭L問控制、訪問跟蹤、流量限制、監(jiān)控、審計等。配合SSL VPN遠程登錄訪問內(nèi)網(wǎng),讓從公網(wǎng)訪問校園網(wǎng)內(nèi)資源成為可能。
1、網(wǎng)絡行為審計
將上網(wǎng)行為管理設備部署在學院網(wǎng)絡出口的防火墻后側(cè),以網(wǎng)橋模式部署,實現(xiàn)三進三出(WAN 口接三臺設備,LAN口接三臺交換機),保證所有流經(jīng)學院網(wǎng)絡出口的流量都會經(jīng)過上網(wǎng)行為管理設備的管控和記錄,讓學院所有上網(wǎng)行為記錄有據(jù)可查,事實上學院IT管理者甚至可以預先設置好敏感關鍵字,提前過濾網(wǎng)上敏感言論。
2、全面流量控制
對流經(jīng)學院網(wǎng)絡出口處的所有流量,上網(wǎng)行為管理設備全面進行流量控制。事實上,該設備對學院所有的師生根據(jù)院系、專業(yè)進行帶寬分配,即將用戶分劃分成組,然后對于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網(wǎng)行為管理設備,學院IT管理部門甚至可以根據(jù)相關師生的網(wǎng)絡應用行為、訪問網(wǎng)站類型、上傳下載文件類型進行流量控制。如學生正常應用時放開流量,一旦進行BT下載,則馬上施以流量控制。
3、提高師生網(wǎng)絡應用效率
雖然學生網(wǎng)絡應用非常活躍,但他們很多的網(wǎng)絡應用行為與學業(yè)、功課并沒有多大關系,有些學生甚至到學校機房上機時仍然玩網(wǎng)絡游戲、網(wǎng)上沖浪。針對這些現(xiàn)象,學院IT管理部門綁定學院公用計算機,讓學生上機上課時,完全封堵住在線游戲、在線視頻、娛樂網(wǎng)站等,從網(wǎng)絡管理上強制執(zhí)行上課學習的課堂原則。
4、提供網(wǎng)絡決策咨詢
學院內(nèi)網(wǎng)用戶的非授權(quán)網(wǎng)絡行為被禁止,學校管理者可以對學校網(wǎng)絡運行情況進行統(tǒng)計、分析、評估,做到細致的訪問控制,有效管理用戶上網(wǎng)行為。除了實現(xiàn)強大流量分析及帶寬劃分與分配外,同時各種網(wǎng)絡行為日志也都將得到全面記錄,方便日后查詢。
5、SSL VPN遠程登錄校園內(nèi)網(wǎng)
將SSL VPN 采用單臂模式部署,接在學院核心三層交換機下,在不改變原網(wǎng)絡結(jié)構(gòu)的情況下,師生可以在任何能上網(wǎng)的地方安全高效地登錄學校內(nèi)網(wǎng)的OA系統(tǒng)、圖書館資源等,實現(xiàn)辦公效率的快速提升。
2.4銀行業(yè)上網(wǎng)行為管理解決方案
項目背景:
目前銀行的多項業(yè)務均需依賴互聯(lián)網(wǎng)平臺,銀行信息化建設一直引領著各行業(yè)信息化建設的潮頭。雖然金融單位已經(jīng)部署了多種網(wǎng)絡安全產(chǎn)品來抵御來自互聯(lián)網(wǎng)的攻擊,但在內(nèi)網(wǎng)安全、規(guī)范管理、信息安全上存在許多薄弱環(huán)節(jié)。試想:如果銀行職員上班時間BT下載、在線觀看視頻、訪問賭博網(wǎng)站等,這些行為通過部署于網(wǎng)關出口的防火墻就能得到控制嗎?銀行內(nèi)網(wǎng)一旦缺乏有效的管理手段必然會增加各項業(yè)務操作的風險,而且會嚴重影響工作效率。
存在問題:
隨著銀行業(yè)務的不斷豐富,銀行的各項業(yè)務運作越來越多依賴于網(wǎng)絡平臺,為了達到銀行信息安全的要求,提高銀行的競爭力,需要構(gòu)建管理規(guī)范、流量平穩(wěn)、防止泄密的安全無憂內(nèi)網(wǎng)。目前銀行內(nèi)網(wǎng)管理存在以下問題:
1、銀行職員上班時觀看在線視頻、進行BT下載等行為,對網(wǎng)絡出口帶寬造成了不小的壓力,銀行的正常業(yè)務運用可能因為這些非工作性網(wǎng)絡應用造成中斷;
2、銀行業(yè)務操作人員利用資金流相對便利,如何有效封堵加密的賭博網(wǎng)站、相關網(wǎng)絡應用,是銀行迫切需要解決的問題。
解決方案:
針對上述問題,銀行選擇上網(wǎng)行為管理解決方案,希望通過對內(nèi)網(wǎng)用戶進行明確的權(quán)限分配,規(guī)范銀行員工上班時網(wǎng)絡應用;通過徹底的帶寬、流量控制,保障銀行業(yè)務系統(tǒng)帶寬,并進一步提高銀行員工的網(wǎng)絡應用效率。
功能及解決的問題:
1、內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限的細致劃分
針對銀行不同的部門,細致規(guī)定其部門員工的上網(wǎng)權(quán)限,讓合適的人上合適的網(wǎng)站,進行合適的網(wǎng)絡應用,超過該部門工作權(quán)限的網(wǎng)絡行為一律禁止。
上網(wǎng)行為管理設備針對銀行各部門進行用戶組劃分,如信用卡中心、財務部……然后對基于人員劃分的用戶組賦予不同的上網(wǎng)權(quán)限,如:封掉信用卡中心炒股、加密交易網(wǎng)站應用……上網(wǎng)行為管理設備甚至可以針對具體的用戶進行上網(wǎng)權(quán)限分配。上網(wǎng)行為管理產(chǎn)品細致的權(quán)限分配,大大降低了網(wǎng)絡管理者的維護量,合理地規(guī)劃出局域網(wǎng)的組織結(jié)構(gòu)。
2、全面流量控制
事實上,一個2M以太網(wǎng)出口的局域網(wǎng),只要有2個以上的員工不限速地使用BT,幾乎所有人的正常網(wǎng)絡瀏覽都將成為不可完成的任務。銀行帶寬出口雖然相對較大,但因為其網(wǎng)絡應用眾多,出口帶寬也面臨不小的壓力。
上網(wǎng)行為管理設備可進行BT、加密BT、未知版本BT的全面封堵,而且不會像防火墻那樣被BT軟件通過轉(zhuǎn)換端口繞過去;通過基于人員、應用、訪問網(wǎng)站類型等進行帶寬分配、流量控制,銀行IT人員可以提前規(guī)劃好各部門網(wǎng)絡應用流量,充分保障銀行正常業(yè)務運作。
3、詳細的日志備份
銀行內(nèi)網(wǎng)用戶每天訪問互聯(lián)網(wǎng)時產(chǎn)生的日志十分巨大,亟需一個更大容量的數(shù)據(jù)備份機制,而傳統(tǒng)網(wǎng)關所能提供的硬盤存儲容量有限,且這些數(shù)據(jù)查詢頗為麻煩。
銀行關注日志信息的完整性和保密性,通過上網(wǎng)行為管理設備獨立的日志存儲中心,確保了銀行內(nèi)網(wǎng)網(wǎng)絡應用日志的完整性與保密性。通過使用上網(wǎng)行為管理設備,銀行的管理者可以通過直觀的、圖象化的方式了解網(wǎng)絡帶寬的利用情況以及內(nèi)網(wǎng)用戶的網(wǎng)絡訪問狀態(tài),將網(wǎng)絡使用情況自動生成報表并統(tǒng)計出網(wǎng)絡訪問的趨勢,以幫助系統(tǒng)管理員更好地維護和管理網(wǎng)絡。
2.5電力行業(yè)上網(wǎng)行為管理解決方案
項目背景:
隨著中國經(jīng)濟的進一步發(fā)展,整個經(jīng)濟對能源的需求越來越強烈,工業(yè)發(fā)展、居民生活的用電需求更是不斷增高。而隨著國家產(chǎn)業(yè)升級、能源結(jié)構(gòu)的調(diào)整,綠色電力的概念也逐步深入人心。正是基于這一背景,整個電力行業(yè)迎來了發(fā)展的黃金時期。
目前電力行業(yè)內(nèi)網(wǎng)存在非業(yè)務流量擠占帶寬、機密信息存在泄密風險等問題,新的形勢要求電力行業(yè)構(gòu)建規(guī)范管控、流量平穩(wěn)、信息安全的內(nèi)網(wǎng),具體要求如下:
1.對公司內(nèi)部員工進行流量控制,限制員工P2P下載,保證網(wǎng)絡流量;
2.針對公司員工的上網(wǎng)行為軌跡進行記錄,并支持報表分析;
3.對內(nèi)部聊天軟件進行控制,保證員工上班時間的工作效率;
4.對現(xiàn)有網(wǎng)絡拓撲狀況不進行改動,保證現(xiàn)有網(wǎng)絡的穩(wěn)定性;
解決方案:
采用網(wǎng)橋模式部署深信服上網(wǎng)行為管理設備,即部署在防火墻和核心交換機之間。這樣就不需改變電廠原有的網(wǎng)絡拓撲及設置,同時也可管控電廠內(nèi)網(wǎng)的網(wǎng)絡行為;同時也可以采用旁路模式部署,這種模式主要用于內(nèi)網(wǎng)用戶上網(wǎng)行為日志存儲。
部署拓撲如下:
解決的問題:
1、網(wǎng)絡應用封堵,提升辦公效率
通過電廠網(wǎng)絡出口的上網(wǎng)行為管理設備,通過IP/MAC、硬件特征碼綁定等技術(shù),對用戶進行唯一身份識別;之后將用戶根據(jù)業(yè)務部門、組織架構(gòu)進行用戶組劃分及權(quán)限分配;對員工上班時的非業(yè)務網(wǎng)絡應用——如在線視頻、在線游戲、在線炒股、聊天等進行分時間段、分用戶組管控,人性化封堵,提升辦公效率。
2、流量控制,優(yōu)化網(wǎng)絡帶寬
電廠作為傳統(tǒng)企業(yè),其網(wǎng)絡出口帶寬有限,而相應的電力調(diào)度系統(tǒng)、OA辦公等網(wǎng)絡業(yè)務系統(tǒng)又較為完備,這必然帶來了網(wǎng)絡業(yè)務運用與網(wǎng)絡帶寬不足間的矛盾,而且時常有用戶進行BT下載等娛樂行為而擠占正常應用帶寬。
針對于此,電廠通過上網(wǎng)行為管理設備對相應用戶組進行帶寬分配與流量控制,流量控制基于業(yè)務應用類型、用戶組織權(quán)限等各種因素,細致全面地構(gòu)建平穩(wěn)流量內(nèi)網(wǎng)。
3、行為日志記錄與統(tǒng)計,保證信息安全
電廠通過上網(wǎng)行為管理設備進行用戶流量統(tǒng)計、網(wǎng)絡應用記錄、訪問網(wǎng)站軌跡等諸多信息安全管理行為。
4、宏觀網(wǎng)絡應用分析,指導IT管控方向
電廠可根據(jù)上網(wǎng)行為管理設備記錄日志生成曲線、餅狀、柱狀、趨勢圖等,并可對相關網(wǎng)絡應用、流量等進行排名。用戶可根據(jù)自己所需信息生成宏觀分析圖表,如:內(nèi)網(wǎng)哪個用戶流量最大、哪些網(wǎng)絡應用生成流量最大、哪些網(wǎng)站訪問最多……這樣電廠IT管理者便能根據(jù)日志分析圖表調(diào)整上網(wǎng)行為管理選項,為內(nèi)網(wǎng)管控、進一步建設進行決策。
通過上網(wǎng)行為管理解決方案,增強了網(wǎng)絡管控性,提高了電廠的競爭力。
第五篇:上網(wǎng)行為管理
上網(wǎng)行為管理的定義
幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用,包括對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析;
為什么要管理上網(wǎng)行為
“隨著互聯(lián)網(wǎng)的發(fā)展,它已經(jīng)到了必須控制和管理的時代,因為網(wǎng)上充滿了錯誤的信息、虛假的信息,和非民主的力量。”----蒂姆?伯納斯?李(互聯(lián)網(wǎng)之父)
水能載舟亦能覆舟!互聯(lián)網(wǎng)一方面能夠幫助企業(yè)提高生產(chǎn)力、促進企業(yè)發(fā)展;另一方面也在企業(yè)管理、工作效率、信息安全、法律遵從、IT投資等方面給企業(yè)提出了嚴峻的問題與挑戰(zhàn)。
問題1:網(wǎng)速為什么越來越慢?
在辦公室里經(jīng)常會聽到有人抱怨“網(wǎng)速為什么這么慢?”,幾乎所有的企業(yè)都存在這樣的問題。那么企業(yè)花錢租用的10M甚至100M帶寬都被用在哪里了?為什么帶寬不斷擴充,而網(wǎng)速并沒有明顯改善?
真相:帶寬資源也許正被濫用!
根據(jù)聯(lián)通公司發(fā)布的一份調(diào)查顯示:以迅雷、BT、eDonkey、KaZaA等為代表的P2P應用,消耗了40%以上的有效網(wǎng)絡帶寬。而在企業(yè)租用的有限帶寬里,充斥著大量P2P下載、網(wǎng)絡電視等應用流量,導致大量帶寬被非工作應用所占用。而且,由于P2P的應用特征,使得企業(yè)高額投資的帶寬成了互聯(lián)網(wǎng)公共服務。
誰?在什么時間?可以擁有多少帶寬資源?可以使用哪些網(wǎng)絡應用?
問題2:網(wǎng)絡安全事故為什么防不勝防?
“堵漏洞、砌高墻、防外攻、防內(nèi)賊,防不勝防”,防火墻越“砌”越“高”,入侵檢測越做越復雜,病毒庫越來越龐大,身份系統(tǒng)層層設保,卻依然無法應對層出不窮網(wǎng)絡安全威脅,難道那么多安全產(chǎn)品都是擺設?
真相:安全隱患來自內(nèi)部員工!
無論如何豪華的防線,一個漏洞就可以毀滅所有一切。Meta Group發(fā)布研究報告稱:“持續(xù)增長的安全威脅源自您的員工”。內(nèi)部人員通過互聯(lián)網(wǎng)與外部通訊時,可能會引入含有惡意的或者攻擊性的內(nèi)容,如若未能得到監(jiān)測和控制,這將成為企業(yè)的一大隱患。并且充滿誘惑的網(wǎng)絡資源往往是風險的發(fā)源地。
誰?在什么時間?是否可以上網(wǎng)?是否阻止訪問可能含有安全風險的網(wǎng)絡內(nèi)容?
問題3:辦公室為成了免費網(wǎng)吧!
據(jù)一項調(diào)查顯示,普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活中40%與工作無關,對色情等非法網(wǎng)站的訪問量70%都發(fā)生在工作時間。上班時間“上網(wǎng)休閑”已經(jīng)成為普遍現(xiàn)象,聊天、游戲、炒股、購物、BBS、電影、博客等無時無刻不在搶占正常的工作時間,辦公室因此淪為不需要花錢的“網(wǎng)吧”。
誰?在什么時間?可以用什么應用?不可以訪問什么網(wǎng)站?
約束員工在互聯(lián)網(wǎng)上的行為,其實是在幫助員工匡正工作行為,丟棄不好的習慣,成為一個專業(yè)、敬業(yè)的職業(yè)人,這對員工自身的職業(yè)發(fā)展也是大有裨益的。
問題4:企業(yè)要為員工的網(wǎng)絡行為背黑鍋嗎?
目前,大部分企業(yè)內(nèi)部員工上網(wǎng)并不受限制,但是他們在網(wǎng)上做了什么?對外發(fā)了什么信息?企業(yè)完全不知情,也無記錄可查詢,這就給企業(yè)埋下了巨大的法律風險。
某企業(yè)被當?shù)毓簿志W(wǎng)絡監(jiān)察處執(zhí)行嚴厲處罰,原因是查出該企業(yè)內(nèi)有員工在網(wǎng)上發(fā)布了違反法律的信息,但是無法查出是哪位員工所為,最后企業(yè)只得為這名“幕后英雄”背黑鍋。那么在這種情況下,企業(yè)必須為員工的個人網(wǎng)絡行為負責嗎?
誰?在什么時間?以何種方式?對外發(fā)了什么信息?發(fā)給了誰?
問題5:發(fā)現(xiàn)內(nèi)部網(wǎng)絡問題后不能快速的找到根源?
當出口擁塞,網(wǎng)絡訪問異常時,只能通過網(wǎng)絡層面的的設備分析原因,簡單的插拔網(wǎng)線,復位設備,以希圖問題解決。但本質(zhì),內(nèi)在的源頭無法定位。
IT系統(tǒng)追求的的是性價比,一位的遷就會隱藏更大的隱患,我們需要專業(yè)的洞悉網(wǎng)絡問題應用源頭的能力,能夠分析問題的普遍性,嚴重性,共通性。利用上網(wǎng)行為管理產(chǎn)品能夠做到:
哪些人群的應用異常?哪些行為在單位內(nèi)最普遍?哪些部門隱患最突出? 編輯本段上網(wǎng)行為管理的實施步驟
洞悉->管控->駕馭
step1:企業(yè)要做好上網(wǎng)行為管理,必須先洞悉企業(yè)內(nèi)使用互聯(lián)網(wǎng)的過程中存在哪些問題?因為不同企業(yè)面臨的問題不同,需要先了解到底有哪些問題?
step2:然后分析問題的根源,再制定有針對性的策略管控問題;上網(wǎng)行為管理策略必須是有針對性的、個性化的,這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求;
step3:最后通過審計報表了解問題解決的程度和效果,再根據(jù)報表做管理策略優(yōu)化,進而達到駕馭互聯(lián)網(wǎng)、實現(xiàn)上網(wǎng)行為管理的價值。
上網(wǎng)行為管理產(chǎn)品對比
硬件與軟件之分
從產(chǎn)品形態(tài)來看,目前上網(wǎng)行為管理分為硬件和軟件2種,但是國內(nèi)以硬件為主流,國外以軟件為主流;
硬件的優(yōu)勢:部署簡單、升級方便、故障率低
硬件的劣勢:成本較高,運輸不方便,維護復雜,維修需要專業(yè)認識,技術(shù)支持不到位
軟件的優(yōu)勢:成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署.軟件的劣勢:對于國企和政府來說,沒有一個東西不放心,所以國內(nèi)政府偏硬件,企業(yè)偏軟件。
以上對比,并不是絕對的說法。目前的軟硬件結(jié)合模式越來越多。包括加入準入模式、VPN的上網(wǎng)行為管理,基于客戶端的內(nèi)網(wǎng)管理模式和文檔管理模式,為的是內(nèi)外兼修,從各種方向去彌補單一產(chǎn)品的不足。企業(yè)應該根據(jù)自身的應用需求,去選擇自己需要而合理的方案。如果只是追求單一產(chǎn)品本身的應用,在信息化建設的綜合成本上一定會超出很多預算,無謂地增加了更多的信息化成本。
產(chǎn)品適用范圍之分
市面上目前能夠提供全面或部分上網(wǎng)行為管理功能的產(chǎn)品,已經(jīng)有幾十種。如果以產(chǎn)品適用范圍來區(qū)分,通常分為這樣3類。
1,適合同時上網(wǎng)PC數(shù)量低于50臺。
這類產(chǎn)品一般以純軟件型和低端寬帶路由器集成QQ、MSN、BT等的過濾為主。純軟件型產(chǎn)品通常成本低廉、穩(wěn)定性較差,適合對上網(wǎng)行為管理有需求,但預算有限的用戶。低端寬帶路由器集成針對部分常見應用或軟件的過濾功能,同樣以價格低廉勝出。在提供基本組網(wǎng)應用的同時,兼顧最基礎的上網(wǎng)行為管理需求,較容易被價格敏感的用戶接受。
2,適合同時上網(wǎng)PC數(shù)量在50~200臺之間。
這類產(chǎn)品一般以高性能上網(wǎng)行為管理設備和帶自主研發(fā)Kercap引擎的軟件產(chǎn)品為主。即在高性能網(wǎng)關路由器上,增加深度包檢測(DPI)功能。通過分析網(wǎng)絡應用特征碼,配合智能帶寬管理、自動行為管控等綜合策略,全面管理聊天、在線視頻、股票、游戲、P2P下載、暴力及色情等非法網(wǎng)站等的過濾,并配合WAN口流量統(tǒng)計、LAN側(cè)用戶流量統(tǒng)計、并發(fā)session統(tǒng)計等功能,提供綜合的管理手段。通常價格較軟件產(chǎn)品或低端路由器略高,但功能更全面,性能更穩(wěn)定,性價比較能夠為此等規(guī)模的企業(yè)用戶所接受。
3,適合200臺以上的PC同時上網(wǎng)的管理。
這類產(chǎn)品通常是采用硬件與軟件結(jié)合的方式。即同樣的軟件版本,安裝在不同檔次的工業(yè)計算機上,經(jīng)過反復的測試后,根據(jù)所安裝的工業(yè)計算機的處理性能不同,可以涵蓋到200~500,500~1000,甚至更大范圍的并發(fā)應用。由于有性能更為強大的工業(yè)計算機作為處理平臺,這類產(chǎn)品能夠提供的功能更加豐富,部分產(chǎn)品甚至可以緩存上網(wǎng)瀏覽或發(fā)送的內(nèi)容,檢索出可能涉及泄露公司機密、觸犯法律或不適合上班時間處理的內(nèi)容,進而采取相應的策略加以限制。對于規(guī)模較大的公司,IT管理對技術(shù)的依賴更加側(cè)重,需要管理的內(nèi)容和管理的手段更加廣泛,以適應大批量管理的需要。此類產(chǎn)品由于其復雜的功能需要高性能的工業(yè)計算機才能夠支撐,因此起步價格通常因硬件成本的因素,只有規(guī)模和需求達到一定程度的中大型企業(yè)可以接受。
目前也有部分此類廠家推出了適合中小規(guī)模用戶的產(chǎn)品,功能上沒有太大的差異,只是選擇更為低廉的工業(yè)計算機進行處理,從而降低了整體成本和適用范圍,以滿足中小規(guī)模用戶的需求。價格也相應的降到萬元以下。
產(chǎn)品定價
根據(jù)軟件硬件產(chǎn)品、產(chǎn)品工業(yè)等級、產(chǎn)品硬件內(nèi)核模組、產(chǎn)品管理規(guī)模、產(chǎn)品適用范圍的區(qū)分,產(chǎn)品定價的幅度也有極大的變化。
如低端產(chǎn)品線:價格從數(shù)百元至數(shù)千元不等。即便是軟件產(chǎn)品。也有高達十萬元的價位。而高端產(chǎn)品線,從主流廠商報價來看,從幾萬到幾十萬的價格不等。若是在高校、骨干線路的應用方案中,為了滿足需求,采用雙核、四核、G級的硬件模組的設備其價位更高。
旁路與串接之分
從部署的方式來看,主要分為旁路與串接之分,這主要看用戶對上網(wǎng)行為的管理程度來決定。
旁路:不容易造成單點故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成單點故障;
目前國內(nèi)主流的廠商提供的產(chǎn)品都比較穩(wěn)定,單點故障率較小,建議用戶在條件允許的情況下采用串接方式部署
對于以備份(郵件,聊天,網(wǎng)頁審計)為主的建議采用旁路方式的軟件。
國外與國內(nèi)
一直以來,很多用戶都認為國外的產(chǎn)品和技術(shù)要優(yōu)于國內(nèi)廠商,但是上網(wǎng)行為管理產(chǎn)品并不如此。
上網(wǎng)行為管理產(chǎn)品是用來管理互聯(lián)網(wǎng)訪問內(nèi)容和互聯(lián)網(wǎng)使用者的,這與企業(yè)的文化、管理制度、人文環(huán)境、法律法規(guī)都非常相關,例如:
國外與中國在成人內(nèi)容上的分級不同,導致對成人內(nèi)容的過濾結(jié)果不同;
國外與中國的流行網(wǎng)絡應用不同,有很多是只有中國用戶使用的網(wǎng)絡應用,而國外的產(chǎn)品往往不能支持對這些應用的控制和管理;
建議國內(nèi)用戶盡量選擇使用國內(nèi)廠商推出的上網(wǎng)行為管理產(chǎn)品,畢竟中國的廠商更了解中國用戶的互聯(lián)網(wǎng)環(huán)境和互聯(lián)網(wǎng)使用習慣。
編輯本段上網(wǎng)行為管理主要功能
網(wǎng)頁訪問過濾
互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富,如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網(wǎng)頁,以及購物、招聘、財經(jīng)等與工作無關的網(wǎng)頁,將極大的降低生產(chǎn)效率。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以根據(jù)行業(yè)特征、業(yè)務需要和企業(yè)文化來制定個性化的網(wǎng)頁訪問策略,過濾非工作相關的網(wǎng)頁。
網(wǎng)絡應用控制
聊天、看電影、玩游戲、炒股票等等,互聯(lián)網(wǎng)上的應用可謂五花八門,如果員工長期沉迷于這些應用,也將成為企業(yè)生產(chǎn)效率的巨大殺手,并可能造成網(wǎng)速緩慢、信息外泄的可能。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定有效的網(wǎng)絡應用控制策略,封堵與業(yè)務無關的網(wǎng)絡應用,引導員工在合適的時間做合適的事
帶寬流量管理
P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源,除了增加預算擴充帶寬以外,企業(yè)還可以選擇合理化分配和管理帶寬。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定精細的帶寬管理策略,對不同崗位的員工、不同網(wǎng)絡應用劃分帶寬通道,并設定優(yōu)先級,合理利用有限的帶寬資源,節(jié)省投入成本。
信息內(nèi)容審計
發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經(jīng)司空見慣,然而信息的機密性、健康性、政治性等問題也隨之而來。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以制定全面的信息收發(fā)監(jiān)控策略,有效控制關鍵信息的傳播范圍,以及避免可能引起的法律風險。
上網(wǎng)行為分析
隨著互聯(lián)網(wǎng)上的活動愈演愈烈,實時掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風險。
通過上網(wǎng)行為管理產(chǎn)品,用戶可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況,并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。
點擊咨詢 