第一篇：網管所應該了解的上網行為管理知識

網管所應該了解的上網行為管理知識

在企業局域網中，這樣的現象非常普遍：一些員工在上班時間看視頻、聊QQ、下載，過多的時間瀏覽與工作無關的網頁，下載占帶寬導致網速太慢;影響了其他員工的工作效率。這為企業的網絡管理造成了很大的難度，特別是現在網絡應用的發展更新快，科學有效的網絡管理就變得非常必要了！而專業的上網行為管理軟件也隨之應運而生（例如小草上網行為管理軟路由）。

有些公司曾經實施過懲罰制度，但效果不理想。為此，一些公司不允許員工上班時間上網。這樣一來，員工也有意見，認為如果不讓上網工作起來不方便。公司同樣也很無奈，如果開通網絡，該怎么管理員工呢?實際上并不是所有的員工都需要網絡的，銷售、采購外部協作、生產管理等部門的員工可能需要上網，但是像人事、工程設計等部門上班時間用網絡的很少。怎么管理員工上網的行為?是堵還是疏? 據第三方的統計顯示，關于辦公室上網問題的受訪者的意見大致可以分為兩類。一種意見認為應該嚴格管理，嚴懲員工的不良行為;還有一種意見則認為，在這個問題上，主管應該持開明的態度，給員工一定的空間。

在辦公室里經常會聽到有人抱怨“網速為什么這么慢?”，幾乎所有的企業都存在這樣的問題。那么企業花錢租用的10M甚至100M帶寬都被用在哪里了?為什么帶寬不斷擴充，而網速并沒有明顯改善? “堵漏洞、砌高墻、防外攻、防內賊，防不勝防”，防火墻越“砌”越“高”，入侵檢測越做越復雜，病毒庫越來越龐大，身份系統層層設保，卻依然無法應對層出不窮網絡安全威脅，難道那么多安全產品都是擺設? 無論如何豪華的防線，一個漏洞就可以毀滅所有一切。內部人員通過互聯網與外部通訊時，可能會引入含有惡意的或者攻擊性的內容，如若未能得到監測和控制，這將成為企業的一大隱患。并且充滿誘惑的網絡資源往往是風險的發源地。

據一項調查顯示，普通企業員工每天的互聯網訪問活中40%與工作無關，對色情等非法網站的訪問量70%都發生在工作時間。上班時間“上網休閑”已經成為普遍現象，聊天、游戲、炒股、購物、BBS、電影、博客等無時無刻不在搶占正常的工作時間，辦公室因此淪為不需要花錢的“網吧”。

約束員工在互聯網上的行為，其實是在幫助員工匡正工作行為，丟棄不好的習慣，成為一個專業、敬業的職業人，這對員工自身的職業發展也是大有裨益的。

當出口擁塞，網絡訪問異常時，只能通過網絡層面的的設備分析原因，簡單的插拔網線，復位設備，以希圖問題解決。但本質，內在的源頭無法定位。

企業信息化管理者需要專業的洞悉網絡問題應用源頭的能力，能夠分析問題的普遍性，嚴重性，共通性。哪些人群的應用異常?哪些行為在單位內最普遍?哪些部門隱患最突出? 隨著網絡信息管理技術的和應用理念的不斷創新，很多企業和事業單位開始通過上網行為管理解決辦公室上網難題，小草上網行為管理軟路由是目前國內知名的專業局域網管理軟件，是眾多企業的首選！

第二篇：應該如何有效管理學生上網行為

應該如何有效管理學生上網行為近年來國內互聯網的發展范圍越來越廣，包括各類大中小學校也開始紛紛采用網絡信息進行教研活動，也由此衍生許多出網絡教學場所。但由于互聯網的涉及面非常廣，難免讓學生接觸到一些不良信息，對其身心健康造成了比較嚴重的影響，因此在管理學生上網行為方面已成為所有學校的共識，而針對如何采用有效的網絡管理軟件來限制學生上網這一問題，國內資深網絡設備專家任子行給我們做了相關解答。

其實關于學生上網怎樣才能控制好?這個問題相信家長和學校都有想過，只是一直沒能找到有效方法。據調查，中國網民中有三分之一是未成年人，并且有網癮的青少年已達數千萬人，這些數字不僅提醒了家長要適當控制學生的網絡時間，更是給社會以警鐘要對未成年人上網行為進行合理管理。同樣也引起了任子行創始人景曉軍博士的重視，于是2000年在中國深圳成立了最初以青少年為重點保護對象的網絡技術公司。

在這個家長和社會都很關注的問題上，任子行專家指出，由于網絡是信息化的產物，更會隨著時代的發展與時俱進，如果只是拒絕或者限制上網時間其實并不能解決問題，因為網絡開放性和娛樂性的特征會讓孩子不由自主的陷入其中。所以需要一款既能讓學生通過正常網絡途徑學習知識，又能杜絕不良信息和無關內容的網絡軟件——網絡安全管理產品。這款產品不僅可以為青少年上網起到管理和引導的作用，還能在保證上網自由的同時，對網絡內容進行監控和記錄，并有效阻止不良信息的侵襲。

就拿大家都不陌生的網游來講，陷入網癮的學生中絕大部分都是因為對網絡游戲的癡迷，但大多游戲多多少少都會涉及到一些或暴力或色情的畫面，這對孩子身心健康有著極大的破壞力，所以這款產品能夠全面記錄網游應用的行為日志和必要的賬號信息，還有限制游戲類別和控制游戲時間的功能，并可根據場所的具體需要進行個性化定制，幫助青少年早日走出游戲世界。

所以這款網絡安全管理系統軟件在國內各大院校得到了廣泛的應用，作為安全網絡的守護者，任子行表示自己要繼續做綠色網絡的創造者，并要確保學生對學生的上網行為進行全面的網絡管理和網絡監控，為中國青少年的成長在網絡生活中保駕護航。

第三篇：聚生網管專注企事業單位員工上網行為管理

聚生網管專注企事業單位員工上網行為管理

作者：大勢至 日期：2010-9-8

計算機網絡的普及應用已滲透到社會各個層面，給社會帶來便利的同時也隨之帶來的安全和管理問題。互聯網絡是一把雙刃劍；就如一個企業而言有些員工利用工作時間看新聞、玩游戲、干私活、聊天、泄密公司資料、炒股票、下電影、聽歌曲、瀏覽seqing站點、甚至在公司網上邊拿老板工資邊找工作等等。員工這種不受管制的上網行為不僅僅消耗公司網絡資源，更是因為影響公司效率、泄露公司機密、甚至丟失客戶資源令人痛心。而利用局域網網絡監控軟件這非常有效的管理輔助手段并和企業的內部管理機制結合達到更加事半功倍的效果。

企事業單位對網管軟件的需求，催生了國內大大小小幾十家的上網行為管理軟件提供商，他們紛紛推出了各種架構、各具特色的上網行為管理系統，初步形成了具有一定規模的網管軟件市場，網管軟件廠家之間的競爭也日趨激烈。

但是由于網絡管理、網管軟件是一個新生的事物，相關的定義和概念尚未明晰，所以一些網管軟件廠商，處于市場營銷和經濟利益的考慮，向用戶灌輸一些錯誤的理論、概念，加之用戶對網管軟件相關的概念、知識、甚至是自己網絡管理的具體需求掌握不足，所以常常導致用戶選擇了不合適的網管軟件，一方面無法實現網絡管理、網絡監控的目的，另一方面也造成了投資的浪費。

其實，國內大多數企事業單位對網絡管理的需求不外乎以下幾點（同時，本文結合國內知名的網管軟件品牌“聚生網管”來綜述企事業單位如何選擇更合適的網絡管理軟件）：

一、限制P2P下載。如何有效地禁止迅雷、網際快車、QQ旋風等流行的P2P下載軟件，以及一些P2P視頻軟件，如酷狗、PPlive、PPstream、PP點點通、VAGAA、QQlive等等，防止這些P2P軟件大量搶占公司的網絡帶寬，保證大家都可以正常、暢通上網。

二、限制QQ等聊天軟件。上班族中幾乎人人都有QQ、msn、飛信、skype、ICQ 等等聊天軟件，這些流行的聊天軟件雖說可以用于工作、業務聯系；但是大多數情況下都是員工聊私事、侃大山的工具，所以有效監控聊天軟件、禁止聊天軟件登陸，已經成為當前網絡管理中的重要一環。

三、限制上網速度、控制上網流量。在局域網環境中，有效限制上網帶寬，防止局域網個別員工大量搶占帶寬而影響其他人上網，也是網絡管理的重要方面。目前，一些單位紛紛采用路由器、交換機、防火墻等網絡設備來實現對帶寬的控制，效果不是很明顯，無法達到網絡管理的目的。

四、限制股票軟件、限制網絡游戲的運行。一些上班族常常在工作時間利用股票軟件進行股票交易、買賣行為；還有一些員工常常玩一些在線游戲、網絡游戲。這些行為占用了員工的工作時間、影響了員工的工作效率，因此必須加以限制。

目前在國內網管軟件品牌中，是唯一不需要安裝客戶端、不需要在交換機做端口鏡像、部署HUB或者代理服務器就可以實現對局域網的全面監控。聚生網管可以實現有效管控P2P下載、限制即時通訊軟件、限制電腦上網速度、控制上網流量、禁止登錄股票網站、限本文來自：就要個性簽名 www.tmdps.cn 內江三橋醫院 www.tmdps.cn 鐵觀音批發 www.tmdps.cn 新手卡 www.tmdps.cn stm32論壇 bbs.baiquwang.com

制使用股票軟件、禁止玩網絡游戲、進行IP和MAC地址綁定防止私自更改IP地址的行為；限制瀏覽與工作無關的網站等等功能。聚生網管可以為企事業單位實現一站式、全方位的網絡管控，同時，聚生網管是一次收費、永久使用、永久免費升級的網管軟件，從而極大地降低了用戶的使用成本，可以幫助企事業單位實現最具性價比的網絡管控，為企事業單位創造良好的網絡管理收益。

本文來自：就要個性簽名 www.tmdps.cn 內江三橋醫院 www.tmdps.cn 鐵觀音批發 www.tmdps.cn 新手卡 www.tmdps.cn stm32論壇 bbs.baiquwang.com

第四篇：網管技巧：巧用URL過濾實現高效上網行為管理

網管技巧：巧用URL過濾實現高效上網行為管理

上網行為管理產品具有URL(或網址)過濾的功能，企業可以使用上網行為管理設備過濾與工作無關的網站，從而規范員工上網行為，提高工作效率。

AD：

上網行為管理產品具有URL(或網址)過濾的功能，企業可以使用上網行為管理設備過濾與工作無關的網站，從而規范員工上網行為，提高工作效率。但很多用戶在使用RUL過濾功能時容易產生困惑，如為什么已經設置了對指定URL(或網址)的過濾規則，該URL(或網址)還可以打開?本文將從URL過濾功能的實現原理出發解答這些問題，并介紹不同需求條件下的URL過濾規則設置技巧。

URL定義

Uniform Resource Locator即“統一資源定位符”，也被稱為“網頁地址”，是因特網上標準資源的地址。URL的一般格式是：“協議：//主機/路徑/文件名.文件后綴”。URL是對可以從因特網上得到的資源的位置和訪問方法的一種簡潔的表示，相當于一個文件名在網絡范圍的擴展。因此URL是與因特網相連的機器上的任何可訪問對象的一個指針。例如http://baike.baidu.com/view/1321789.htm代表baike.baidu.com這臺主機view路徑下的1321789.htm文件，其通信協議為http(超文本傳輸協議)。

URL過濾原理

上網行為管理產品對URL的過濾通常是指針對HTTP協議URL的過濾。下面我們還是以訪問“http://baike.baidu.com/view/1321789.htm”為例講解URL過濾的原理：當我們瀏覽”http://baike.baidu.com/view/1321789.htm”這個網址的同時運行抓包軟件，將會捕獲到下圖所示的報文：

捕獲的URL訪問報文

分析上述報文可以看出當主機訪問網站時，首先會發送一個HTTP請求報文，該報文指明了應用層協議為HTTP，操作方法為GET，URL字段內容(路徑及文件名)為“/view/1321789.htm”，HOST字段內容為“baike.baidu.com”。當一個http報文經過上網行為管理設備時，設備可以識別出上述信息，并進一步檢查報文中的HOST和URL字段內容，如果HOST或URL字段內容中有字符串與URL過濾規則中定義的過濾關鍵字相匹配，那么該報文將會被丟棄，用戶電腦與該網站服務器的連接斷開，從而無法打開該網頁。

實用案例

案例一：為什么已經設置了過濾“http://www.tmdps.cn”網址關鍵字，網易主頁卻還是能打開? 上面已經說過上網行為管理設備在進行URL過濾時檢查的是HTTP報文中HOST和URL字段的內容，從上述抓包信息分析可知“http://”字符串并不會出現在這兩個字段中。因此，設備無法在訪問網易網站的HTTP報文的HOST及RUL字段中匹配到“http://www.tmdps.cn”這個字符串，正確的過濾關鍵字應該為“www.tmdps.cn”。

案例二：我想過濾網易郵箱，但不想過濾網易主頁和其他網易子鏈接，如何設置? 由于網易郵箱的HOST字段為mail.163.com，設置過濾關鍵字為“mail.163.com”即可以達到效果。而訪問網易主頁時HTTP報文中的HOST字段為www.tmdps.cn不會匹配過濾規則定義的“mail.163.com”關鍵字，因此訪問網易主頁不會被過濾。

案例三：我想過濾所有與網易有關的網頁，并已經設置了“www.tmdps.cn”過濾關鍵字，為什么只有網易主頁打不開，網易郵箱和網易新聞卻還能打開? 很顯然由上述兩案例我們已經知道“www.tmdps.cn”是網易主頁的HOST字段內容。而網易郵箱是“mail.163.com”，網易新聞是“news.163.com”，因此無法完全匹配“www.tmdps.cn”過濾關鍵字，也就達不到過濾它們的效果。想達到這個效果其實很簡單，設置關鍵字為“163.com”即可。因為與網易有關的網頁其HOST字段都會包含“163.com”字符。

第五篇：上網行為管理

1． 上網行為管理

目前市場主流廠商：深信服、網康 ? 典型案例

2.1 提升內網業務操作效率——封堵非業務應用解決方案

方案背景：

日益發達的互聯網讓企業員工有了更多的選擇，網上聊天、網上購物、在線視頻、論壇灌水、BT電影……上班時間，員工很難不受眾多網絡娛樂的誘惑，大家在或多或少地利用工作時間進行非業務操作。

以上行為實實在在地存在于我們的辦公網中。事實上，我們很多企業員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網站、熱門論壇上花費的時間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個大大的問號。

上網行為管理解決方案——合理封堵非業務網絡應用

隨著現代企業管理理念和信息技術水平的提升，如何有效管理與利用互聯網資源，這已成為現代企業管理的重要衡量標準。與此同時，上網行為管理的理念愈發深入人心，提升員工網絡業務的辦公效率，這已經成為企業IT管理者關心的首要問題。、如上圖，企業通過以網關、網橋、或旁路模式部署上網行為管理產品，可以有效對內網員工的各種網絡應用行為進行管理。上班時間，封掉影響業務效率的非業務應用及相關網站；對擠占公司帶寬資源的應用進行流量控制，確保主流的辦公應用帶寬資源，以提高業務應用的辦公效率。

方案價值：

1、全方位封堵p2p，確保正常辦公業務帶寬

P2P應用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，上網行為管理設備通過檢測網絡軟件數據包特征碼，可以對常用軟件進行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，獨有的網絡行為智能分析技術使其同樣難逃法網。

有些部門和領導因業務需要使用P2P，在全面封堵的同時，上網行為管理設備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應用封堵、帶寬分配與流量控制，上網行為管理設備可有效平衡公司內部架構要求、提升核心業務辦公效率。

2、選擇性內容過濾，方式靈活

除針對網絡應用軟件外，上網行為管理設備還內置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分。基于此，IT管理者可以方便地對娛樂、購物、游戲、影視等網站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網管人員工作的靈活性。

同時，上網行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據關鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業務的帶寬。

3、差異化權限劃分，構建和諧組織

對于以上管控，上網行為管理設備可根據不同用戶、不同部門的差異化網絡使用權限，人性化管控整個企業。如給銷售部門足夠的網頁瀏覽權限，以方便其網上尋找客戶資源，而對后勤人員則封掉P2P應用、游戲與炒股網站等。

2.2上網行為管理+SSL VPN防信息泄露解決方案

背景分析：

據IDC調查報告顯示，全球有近80%的企業存在著信息安全與風險問題。在報告所調查的公司中，進行網絡常規安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術進行數據傳輸。報告顯示：信息安全問題大都來自于企業內部，信息泄密很多時候源于信息安全管理不善。在中國，眾多的事業單位也面臨這些問題。

事實上，很多企事業單位內外網、服務器隔離存在問題，業務系統的操作并沒有明確授權人員，這導致一些非授權人員大肆訪問并修改內網服務器的重要數據；很多單位員工信息安全意識也較薄弱，很多時候將客戶信息、內部敏感信息等在公網上隨便傳播，并沒有加密，這樣的信息數據很容易被竊取修改。

現在，客戶對企業、民眾對事件單位應用服務的訪問量在不斷增加，客戶的訪問請求經常集中在數臺服務器上，而其它服務器卻因訪問量低而低效運行，這不僅影響了用戶的體驗感受，也嚴重影響著該應用服務訪問穩定性。為將大量的訪問最快的處理并提高服務器的運行效率，保證信息發布不被中斷，以此來保證信息傳播的安全，這點也為越來越多的有識之士關注。

解決方案：

通過上網行為管理產品來防止企事業單位內網泄密，這樣可有效解決單位內部泄密的問題；通過SSL VPN，企事業單位可對外部接入人員進行身份認證，并對這些接入人員進行精確的權限分配來保證合法的訪問與系統修改，這也可以有效隔離內網里的應用服務器與內外網。

產品部署拓撲圖如下：

如上部署，上網行為管理設備以網橋模式透明部署于企事業單位內網，通過識別敏感信息并進行過濾等手段，全方位保護客戶的信息資產和信息安全。

SSL VPN產品以旁路模式部署，企事業單位通過SSL VPN為不同級別的訪問者分配不同的訪問權限，并對其進行嚴格的身份認證，這樣有效管理了外部員工、客戶對內網應用系統服務的訪問安全。

方案價值：

上述整合的解決方案，將使企事業單位解決面臨的信息安全風險，使得組織業務系統獲得持久的可靠和穩定。

上網行為管理產品將幫助企事業單位防范企事業單位的信息資產泄密，這將有助于降低組織機構的信息安全風險，這讓企業、事業單位專注信息資產管理，讓部門溝通、客戶溝通等多方面溝通更有效。

SSL VPN將幫助組織強化信息數據訪問安全。對內網重要區域信息數據的訪問控制，能從源頭上有效保護信息資產安全，SSL VPN提供從訪問終端安全——接入認證安全——數據傳輸安全——訪問權限安全等一體化的安全。

2.3校園網上網行為管理+SSL VPN綜合解決方案

校園網現狀：

校園網網絡規模龐大，相應的網絡應用流量非常驚人；學生網絡應用比較活躍，規范管理非常頭疼。具體而言，校園網建設中存在如下問題：

1、流量問題

因為學生BT下載、在線視頻、迅雷應用等P2P行為十分活躍，校園網帶寬出口經常被堵塞，師生正常的網絡應用經常被擠占。

2、網上言論

目前高校學生網絡應用活躍，校內BBS言論、公網上知名論壇等經常語出驚人之舉，時常給學校帶來世俗、法律上的諸多困擾。由于目前網絡言論實行匿名式注冊，出現問題后很難查詢當事人，最后給學校帶來了極大的負面影響。

3、網絡應用規范問題

不可否認，目前大學在校生所面對的網絡信息、資源較前些年豐富了很多，這其中也有一些色情、反動等類型的網站及其應用，如何從校園網建設上規避這些不良網站、應用的影響，將制度的規范強制執行在日常網絡應用中，這對管理者是個不小的挑戰。

4、校內資源使用問題

學校、政府花費了巨大的精力進行校園網建設，國際教育網絡資源對高校也有很大的優惠措施。目前校園的圖書館電子資源、校內OA系統、校務管理系統給師生工作學習都帶來了便利，但走出校園網這些資源便無力利用了。如何在校園網外實現遠程登錄辦公已經成為校園網深度建設必須面對的問題。

最重要的是，當校園網初步建成之后，如何查詢師生校園網應用情況（如學生經常應用什么網絡軟件，在網上做什么事情），以此來發現網絡應用問題及校園網建設中存在的不足，這對學校的網絡管理者尤為重要，他們需要一種能對網絡建設與管理決策提出良好反饋機制的解決方案。

部署拓撲圖：

上網行為管理+SSL VPN綜合解決方案：

為此，選擇上網行為管理+SSL VPN遠程登錄解決方案。將學校內網安全管理單純地由對外防御病毒、黑客入侵、垃圾郵件，轉向了內外兼備的全面管控，如訪問控制、訪問跟蹤、流量限制、監控、審計等。配合SSL VPN遠程登錄訪問內網，讓從公網訪問校園網內資源成為可能。

1、網絡行為審計

將上網行為管理設備部署在學院網絡出口的防火墻后側，以網橋模式部署，實現三進三出（WAN 口接三臺設備，LAN口接三臺交換機），保證所有流經學院網絡出口的流量都會經過上網行為管理設備的管控和記錄，讓學院所有上網行為記錄有據可查，事實上學院IT管理者甚至可以預先設置好敏感關鍵字，提前過濾網上敏感言論。

2、全面流量控制

對流經學院網絡出口處的所有流量，上網行為管理設備全面進行流量控制。事實上，該設備對學院所有的師生根據院系、專業進行帶寬分配，即將用戶分劃分成組，然后對于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網行為管理設備，學院IT管理部門甚至可以根據相關師生的網絡應用行為、訪問網站類型、上傳下載文件類型進行流量控制。如學生正常應用時放開流量，一旦進行BT下載，則馬上施以流量控制。

3、提高師生網絡應用效率

雖然學生網絡應用非常活躍，但他們很多的網絡應用行為與學業、功課并沒有多大關系，有些學生甚至到學校機房上機時仍然玩網絡游戲、網上沖浪。針對這些現象，學院IT管理部門綁定學院公用計算機，讓學生上機上課時，完全封堵住在線游戲、在線視頻、娛樂網站等，從網絡管理上強制執行上課學習的課堂原則。

4、提供網絡決策咨詢

學院內網用戶的非授權網絡行為被禁止，學校管理者可以對學校網絡運行情況進行統計、分析、評估，做到細致的訪問控制，有效管理用戶上網行為。除了實現強大流量分析及帶寬劃分與分配外，同時各種網絡行為日志也都將得到全面記錄，方便日后查詢。

5、SSL VPN遠程登錄校園內網

將SSL VPN 采用單臂模式部署，接在學院核心三層交換機下，在不改變原網絡結構的情況下，師生可以在任何能上網的地方安全高效地登錄學校內網的OA系統、圖書館資源等，實現辦公效率的快速提升。

2.4銀行業上網行為管理解決方案

項目背景：

目前銀行的多項業務均需依賴互聯網平臺，銀行信息化建設一直引領著各行業信息化建設的潮頭。雖然金融單位已經部署了多種網絡安全產品來抵御來自互聯網的攻擊，但在內網安全、規范管理、信息安全上存在許多薄弱環節。試想：如果銀行職員上班時間BT下載、在線觀看視頻、訪問賭博網站等，這些行為通過部署于網關出口的防火墻就能得到控制嗎？銀行內網一旦缺乏有效的管理手段必然會增加各項業務操作的風險，而且會嚴重影響工作效率。

存在問題：

隨著銀行業務的不斷豐富，銀行的各項業務運作越來越多依賴于網絡平臺，為了達到銀行信息安全的要求，提高銀行的競爭力，需要構建管理規范、流量平穩、防止泄密的安全無憂內網。目前銀行內網管理存在以下問題：

1、銀行職員上班時觀看在線視頻、進行BT下載等行為，對網絡出口帶寬造成了不小的壓力，銀行的正常業務運用可能因為這些非工作性網絡應用造成中斷；

2、銀行業務操作人員利用資金流相對便利，如何有效封堵加密的賭博網站、相關網絡應用，是銀行迫切需要解決的問題。

解決方案：

針對上述問題，銀行選擇上網行為管理解決方案，希望通過對內網用戶進行明確的權限分配，規范銀行員工上班時網絡應用；通過徹底的帶寬、流量控制，保障銀行業務系統帶寬，并進一步提高銀行員工的網絡應用效率。

功能及解決的問題：

1、內網用戶上網權限的細致劃分

針對銀行不同的部門，細致規定其部門員工的上網權限，讓合適的人上合適的網站，進行合適的網絡應用，超過該部門工作權限的網絡行為一律禁止。

上網行為管理設備針對銀行各部門進行用戶組劃分，如信用卡中心、財務部……然后對基于人員劃分的用戶組賦予不同的上網權限，如：封掉信用卡中心炒股、加密交易網站應用……上網行為管理設備甚至可以針對具體的用戶進行上網權限分配。上網行為管理產品細致的權限分配，大大降低了網絡管理者的維護量，合理地規劃出局域網的組織結構。

2、全面流量控制

事實上，一個2M以太網出口的局域網，只要有2個以上的員工不限速地使用BT，幾乎所有人的正常網絡瀏覽都將成為不可完成的任務。銀行帶寬出口雖然相對較大，但因為其網絡應用眾多，出口帶寬也面臨不小的壓力。

上網行為管理設備可進行BT、加密BT、未知版本BT的全面封堵，而且不會像防火墻那樣被BT軟件通過轉換端口繞過去；通過基于人員、應用、訪問網站類型等進行帶寬分配、流量控制，銀行IT人員可以提前規劃好各部門網絡應用流量，充分保障銀行正常業務運作。

3、詳細的日志備份

銀行內網用戶每天訪問互聯網時產生的日志十分巨大，亟需一個更大容量的數據備份機制，而傳統網關所能提供的硬盤存儲容量有限，且這些數據查詢頗為麻煩。

銀行關注日志信息的完整性和保密性，通過上網行為管理設備獨立的日志存儲中心，確保了銀行內網網絡應用日志的完整性與保密性。通過使用上網行為管理設備，銀行的管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態，將網絡使用情況自動生成報表并統計出網絡訪問的趨勢，以幫助系統管理員更好地維護和管理網絡。

2.5電力行業上網行為管理解決方案

項目背景：

隨著中國經濟的進一步發展，整個經濟對能源的需求越來越強烈，工業發展、居民生活的用電需求更是不斷增高。而隨著國家產業升級、能源結構的調整，綠色電力的概念也逐步深入人心。正是基于這一背景，整個電力行業迎來了發展的黃金時期。

目前電力行業內網存在非業務流量擠占帶寬、機密信息存在泄密風險等問題，新的形勢要求電力行業構建規范管控、流量平穩、信息安全的內網，具體要求如下：

1.對公司內部員工進行流量控制，限制員工P2P下載，保證網絡流量；

2.針對公司員工的上網行為軌跡進行記錄，并支持報表分析；

3.對內部聊天軟件進行控制，保證員工上班時間的工作效率；

4.對現有網絡拓撲狀況不進行改動，保證現有網絡的穩定性；

解決方案：

采用網橋模式部署深信服上網行為管理設備，即部署在防火墻和核心交換機之間。這樣就不需改變電廠原有的網絡拓撲及設置，同時也可管控電廠內網的網絡行為；同時也可以采用旁路模式部署，這種模式主要用于內網用戶上網行為日志存儲。

部署拓撲如下：

解決的問題：

1、網絡應用封堵，提升辦公效率

通過電廠網絡出口的上網行為管理設備，通過IP/MAC、硬件特征碼綁定等技術，對用戶進行唯一身份識別；之后將用戶根據業務部門、組織架構進行用戶組劃分及權限分配；對員工上班時的非業務網絡應用——如在線視頻、在線游戲、在線炒股、聊天等進行分時間段、分用戶組管控，人性化封堵，提升辦公效率。

2、流量控制，優化網絡帶寬

電廠作為傳統企業，其網絡出口帶寬有限，而相應的電力調度系統、OA辦公等網絡業務系統又較為完備，這必然帶來了網絡業務運用與網絡帶寬不足間的矛盾，而且時常有用戶進行BT下載等娛樂行為而擠占正常應用帶寬。

針對于此，電廠通過上網行為管理設備對相應用戶組進行帶寬分配與流量控制，流量控制基于業務應用類型、用戶組織權限等各種因素，細致全面地構建平穩流量內網。

3、行為日志記錄與統計，保證信息安全

電廠通過上網行為管理設備進行用戶流量統計、網絡應用記錄、訪問網站軌跡等諸多信息安全管理行為。

4、宏觀網絡應用分析，指導IT管控方向

電廠可根據上網行為管理設備記錄日志生成曲線、餅狀、柱狀、趨勢圖等，并可對相關網絡應用、流量等進行排名。用戶可根據自己所需信息生成宏觀分析圖表，如：內網哪個用戶流量最大、哪些網絡應用生成流量最大、哪些網站訪問最多……這樣電廠IT管理者便能根據日志分析圖表調整上網行為管理選項，為內網管控、進一步建設進行決策。

通過上網行為管理解決方案，增強了網絡管控性，提高了電廠的競爭力。