第一篇：上網(wǎng)行為管理方案

上網(wǎng)行為管理方案(員工上網(wǎng)控制)

構(gòu)建安全、穩(wěn)定、高效的企業(yè)網(wǎng)絡(luò)

?

行業(yè)背景分析

CNNIC最新數(shù)據(jù)表明：94.8%的中小企業(yè)配備了電腦、92.7%的中國中小企業(yè)接入互聯(lián)網(wǎng)；57.2%的中小企業(yè)正在利用互聯(lián)網(wǎng)與客戶溝通及為客戶提供咨詢服務(wù)。從企業(yè)門戶平臺的建設(shè)到公文、數(shù)據(jù)的傳遞，從VPN企業(yè)專用信息通道到網(wǎng)絡(luò)視頻會議，網(wǎng)絡(luò)應(yīng)用已經(jīng)成為廣大企業(yè)提高工作效率，進(jìn)行實(shí)時(shí)溝通的有力保證和手段；同時(shí)網(wǎng)絡(luò)也成為企業(yè)收集各類信息、與外界溝通以及員工獲得專業(yè)知識與信息的重要來源。然而，網(wǎng)絡(luò)也是各種娛樂活動(dòng)的渠道，是分散員工精力、生產(chǎn)力流失的根源，重要資料的泄漏和不可控的安全隱患也使廣大企業(yè)面臨巨大經(jīng)濟(jì)損失和法律風(fēng)險(xiǎn)。

據(jù)美國科技調(diào)查機(jī)構(gòu)IDC的調(diào)查指出：企業(yè)員工大約30％～40％對網(wǎng)絡(luò)的使用是跟工作無關(guān)的。中國企業(yè)的情況略高于這個(gè)比例。中國員工每周花在網(wǎng)上處理私人事務(wù)的時(shí)間為5.6小時(shí)，中國的IT主管認(rèn)為員工每周會花費(fèi)至少6.2小時(shí)進(jìn)行網(wǎng)上沖浪，83%的中層管理人員在辦公時(shí)間內(nèi)瀏覽與工作無關(guān)的網(wǎng)站。

如果缺乏管理制度和技術(shù)手段，員工不加監(jiān)管、隨意使用網(wǎng)絡(luò)將導(dǎo)致三個(gè)重大問題：工作效率低下、網(wǎng)絡(luò)性能惡化、網(wǎng)絡(luò)違法隱患。?

行業(yè)網(wǎng)絡(luò)需求分析 多線高速接入

因?yàn)閾芴柦尤敕绞奖葘＞€、光纖便宜很多，一般企業(yè)多采用ADSL這類的寬帶接入。隨著網(wǎng)絡(luò)的應(yīng)用越來越多，管理難度越來越大，很多企業(yè)一條寬帶不夠，再增加一條寬帶；兩條條寬帶不夠，再增加兩條寬帶。但這樣就會出現(xiàn)多路接入、多個(gè)出口的問題，接入設(shè)備多，維護(hù)成本增大，給管理帶來困難。

因此企業(yè)需要多路寬帶接入，特別是在業(yè)務(wù)范圍覆蓋全國的企業(yè)，還需要電信、聯(lián)通線路的同時(shí)接入訪問，消除跨網(wǎng)互通的問題。網(wǎng)絡(luò)帶寬管理

一般來說，一個(gè)2M外網(wǎng)帶寬的局域網(wǎng)，只要有2個(gè)以上的用戶毫無節(jié)制地使用BT，所有人的正常網(wǎng)絡(luò)瀏覽都將成為不可完成的任務(wù)。如果缺乏有效的技術(shù)手段，BT、迅雷、電驢、PPLive等P2P軟件和在線影音等行為就會嚴(yán)重吞噬帶寬資源，導(dǎo)致正常工作的帶寬得不到保障，企業(yè)大量投資的寬帶網(wǎng)絡(luò)速度一天比一天慢；IT部門經(jīng)常遭到抱怨，要求提升上網(wǎng)的帶寬；而有趣的是抱怨的人中常常包括那些下載音樂文件或看視頻電影的員工。

網(wǎng)絡(luò)帶寬缺乏規(guī)劃與管理，勢必造成網(wǎng)絡(luò)投資加大，企業(yè)成本上升。企業(yè)推廣信息化建設(shè)、建立網(wǎng)絡(luò)應(yīng)用環(huán)境是為了提高工作效率，降低辦公成本。網(wǎng)絡(luò)資源浪費(fèi)迫使企業(yè)加大網(wǎng)絡(luò)投資，網(wǎng)絡(luò)投資導(dǎo)致了成本的上升，利潤的下降，這也是企業(yè)面臨的重要問題。抵制不良信息

互聯(lián)網(wǎng)上信息龐雜多樣，既有大量進(jìn)步、有益的信息，也有不少反動(dòng)、迷信、黃色等不健康的內(nèi)容，對于有危害的站點(diǎn)如何去屏蔽？對于色情反動(dòng)站點(diǎn)如何過濾？

現(xiàn)在很多企業(yè)還缺乏有效的管理監(jiān)控手段來對企業(yè)員工的上網(wǎng)進(jìn)行必要的限制和記錄，對于一些非法站點(diǎn)也沒有采取有效手段來過濾。企業(yè)將面臨違反國家法律法規(guī)的風(fēng)險(xiǎn)，反動(dòng)、黃色的言論通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播，直接會導(dǎo)致企業(yè)面臨國家法律的制裁，企業(yè)領(lǐng)導(dǎo)難辭其咎。

在企業(yè)內(nèi)部提供一個(gè)綠色安全的上網(wǎng)環(huán)境，已經(jīng)成為迫切的問題。上網(wǎng)行為管理

互聯(lián)網(wǎng)上的內(nèi)容太豐富了，對企業(yè)員工有太多的誘惑，很多的員工沉溺其中，無法自拔，常常把自己的本職工作放在一邊，導(dǎo)致企業(yè)整體工作效率沒有提升反而下降。調(diào)查數(shù)據(jù)顯示以下為影響工作效率主要的互聯(lián)網(wǎng)行為，它們與工作無關(guān)而且可能導(dǎo)致更多的問題（比如網(wǎng)絡(luò)安全等）： 閑逛新聞、娛樂網(wǎng)站，泡論壇“打發(fā)時(shí)間”； 瀏覽色情網(wǎng)站、賭博網(wǎng)站；

瀏覽游戲、音樂等娛樂網(wǎng)站，下載大量與工作無關(guān)的音樂文件，在線聽音樂，在線看視頻等，不僅耽誤工作，而且占用大量的網(wǎng)絡(luò)帶寬資源，影響其他人員使用公司的資源；瀏覽相關(guān)財(cái)經(jīng)網(wǎng)站，利用公司的資源在線炒股；瀏覽“在線”購物和拍賣網(wǎng)站； 使用IM軟件如QQ、MSN、Skype、飛信等。

個(gè)人沉溺于網(wǎng)絡(luò)或者“出工不出力”的現(xiàn)象屢見不鮮。個(gè)人工作效率及工作狀態(tài)的低下，最終會反映到工作業(yè)績上，影響到個(gè)人在企業(yè)中發(fā)展。而且它具有擴(kuò)散效應(yīng)，八卦新聞、小道消息一旦成為工作時(shí)間的談資，必然極大破壞辦公室的工作氛圍。信息安全風(fēng)險(xiǎn)

任何企業(yè)主或管理人員都擔(dān)心企業(yè)內(nèi)部的機(jī)密信息流露出去，而互聯(lián)網(wǎng)偏偏又是最便捷的信息交流傳遞途徑。企業(yè)商業(yè)機(jī)密、重要文獻(xiàn)可以通過網(wǎng)絡(luò)以MSN、QQ、郵箱等多種方式快速、方便的流失出去。不受限制的上網(wǎng)行為將帶來更多的安全問題，比如下載的文件中帶有病毒或其它有破壞性的程序QQ、MSN等軟件的使用有可能招到網(wǎng)絡(luò)黑客的襲擊等。

想到這些問題，每個(gè)管理人員都可能坐立不安。如何解決這些問題呢 網(wǎng)絡(luò)穩(wěn)定安全

企業(yè)內(nèi)網(wǎng)PC終端眾多，網(wǎng)絡(luò)應(yīng)用也較復(fù)雜，因誤觸惡意網(wǎng)站、下載等原因，木馬、蠕蟲、釣魚等網(wǎng)絡(luò)陷阱可以輕易沖垮企業(yè)的網(wǎng)絡(luò)環(huán)境，甚至導(dǎo)致企業(yè)整體IT系統(tǒng)的癱瘓，泛濫的P2P軟件（迅雷、BT、電驢等）都可能造成內(nèi)網(wǎng)的安全隱患。最典型的就是不少企業(yè)網(wǎng)絡(luò)都飽受ARP病毒攻擊，網(wǎng)絡(luò)要么頻繁掉線、亂彈廣告，要么上網(wǎng)速度巨慢！?

XX網(wǎng)絡(luò)解決方案

XX上網(wǎng)行為管理路由器部署為企業(yè)的網(wǎng)關(guān)，提供網(wǎng)絡(luò)接入、上網(wǎng)行為管理等功能；內(nèi)網(wǎng)采用上網(wǎng)行為管理交換機(jī)，提供千兆內(nèi)網(wǎng)傳輸速率。

?

方案特點(diǎn)：

多條寬帶接入，提高網(wǎng)速又省錢

提供2~4個(gè)WAN口，可以使用多條ADSL取代光纖，或增加 ADSL提升帶寬，節(jié)省費(fèi)用并且降低“單線故障”的風(fēng)險(xiǎn)。智能實(shí)現(xiàn)“電信數(shù)據(jù)走電信線路，聯(lián)通數(shù)據(jù)走聯(lián)通線路”，并支持在線升級策略庫，實(shí)現(xiàn)多網(wǎng)的高速接入。

它還具有領(lǐng)先的通斷檢測技術(shù)，能智能判斷線路狀態(tài)，如果某條線路出現(xiàn)故障，會自動(dòng)將相關(guān)應(yīng)用調(diào)度到正常線路，確保網(wǎng)絡(luò)永遠(yuǎn)在線。支持線路定時(shí)切換的數(shù)據(jù)平滑過渡，減少線路切換時(shí)卡機(jī)、掉線等現(xiàn)象。

合理分配帶寬，網(wǎng)絡(luò)不卡不掉線

免配置智能流控（Smart QoS Ⅱ）通過對各類應(yīng)用的深度識別、分類管理、分級處理，始終讓企業(yè)關(guān)鍵業(yè)務(wù)走優(yōu)先通道，其余流量都給他們讓路，保證關(guān)鍵應(yīng)用如：視頻會議、OA系統(tǒng)等永遠(yuǎn)都不卡！同時(shí)還能把剩余帶寬分配給其他用戶或應(yīng)用（例如文件下載、在線視頻），實(shí)現(xiàn)帶寬合理化、最大化的利用！

針對不同應(yīng)用設(shè)置不同的帶寬、連接數(shù)以及不同的數(shù)據(jù)優(yōu)先級，保證您的核心業(yè)務(wù)能得到有力的保障。提升帶寬使用率，真正做到物盡其用！P2P軟件過濾，防止帶寬被暴力占用

P2P技術(shù)的發(fā)展給互聯(lián)網(wǎng)帶來了極大的促進(jìn)，給用戶帶來便利的同時(shí)也給網(wǎng)絡(luò)應(yīng)用帶來了嚴(yán)重隱患。首先P2P軟件對帶寬暴力占用使企業(yè)網(wǎng)絡(luò)帶寬面臨嚴(yán)峻挑戰(zhàn)。其次P2P軟件本身現(xiàn)在也成為眾多安全攻擊者的目標(biāo)，利用P2P傳播病毒或者隱藏木馬成為一種新的攻擊趨勢。

通過上網(wǎng)行為管理路由器的P2P軟件過濾，輕松過濾主流的P2P軟件，使企業(yè)網(wǎng)絡(luò)的帶寬資源得到最合理的使用。抵制不良信息

通過黑白名單可以管理企業(yè)網(wǎng)絡(luò)內(nèi)用戶的網(wǎng)頁訪問。通過白名單來指定企業(yè)員工只能瀏覽的網(wǎng)站（例如工作相關(guān)網(wǎng)站）；或者通過名單屏蔽惡意網(wǎng)站或不良網(wǎng)站；結(jié)合域名過濾功能，優(yōu)化關(guān)鍵字，能加強(qiáng)對低俗不良信息的過濾和攔截，大大降低內(nèi)網(wǎng)用戶對不良Web頁面的訪問。上網(wǎng)行為管理，杜絕網(wǎng)絡(luò)“曠工曠課”

上網(wǎng)行為管理路由器能阻止對色情、反動(dòng)、病毒等高風(fēng)險(xiǎn)網(wǎng)站的訪問，限制工作無關(guān)的網(wǎng)絡(luò)應(yīng)用，能有效減少惡意軟件的侵?jǐn)_，使得IT設(shè)備維修率下降，企業(yè)員工的工作效率大幅提高，工作質(zhì)量越來越好。通過限制BT、Emule等P2P下載應(yīng)用的帶寬，保證主要業(yè)務(wù)暢通無阻，加強(qiáng)了對Email、BBS等外發(fā)信息的管理，減少了單位信息外泄的可能，從而大大提高了企業(yè)員工的工作效率，降低網(wǎng)絡(luò)泄密的風(fēng)險(xiǎn)。網(wǎng)址分類管理，輕松過濾與工作無關(guān)的網(wǎng)站

能監(jiān)控所有用戶瀏覽網(wǎng)址的記錄，并可禁止訪問最熱門的10大類網(wǎng)站，它們包括：休閑娛樂、新聞資訊、聊天交友、網(wǎng)絡(luò)游戲、電子購物、論壇博客、證券基金、電子郵件、網(wǎng)上銀行和不良網(wǎng)址等。支持網(wǎng)址分類庫自動(dòng)升級。配合禁止通過IP訪問網(wǎng)頁、黑白名單以及跳轉(zhuǎn)頁面設(shè)置，全面管好企業(yè)內(nèi)部的網(wǎng)站訪問。能有效的避免在上班時(shí)間瀏覽與工作學(xué)習(xí)無關(guān)網(wǎng)站的現(xiàn)象。在用戶瀏覽網(wǎng)頁的時(shí)候，上網(wǎng)行為管理路由器可以提示監(jiān)管信息，讓大家知道哪些操作是被禁止或記錄的。這類似公布道路上電子眼位置，公開監(jiān)管會讓企業(yè)員工的抵觸情緒明顯降低。聊天軟件過濾，提高工作效率

很多企業(yè)對QQ、MSN等及時(shí)通訊軟件是又愛又恨，一方面它們是必不可少的信息溝通工具，一方面又最容易讓企業(yè)員工因私聊耽誤工作學(xué)習(xí)。通過上網(wǎng)行為管理路由器的聊天軟件過濾，可輕松管制QQMSN飛信SKYPE阿里旺旺等聊天軟件，而且可以設(shè)置例外的IP地址組（例如讓領(lǐng)導(dǎo)不受限制）。更有QQ號碼的精細(xì)化管理，僅允許使用單位指定的工作QQ，而其他私人QQ無法使用。股票軟件過濾，規(guī)范工作行為

不少企業(yè)都有部分企業(yè)員工利用上班時(shí)間炒股的現(xiàn)象，這種行為極大地占用了工作時(shí)間，降低了工作效率，而且運(yùn)行炒股軟件還占用了大量的帶寬，導(dǎo)致其他企業(yè)員工無法很好地利用網(wǎng)絡(luò)進(jìn)行工作。

通過上網(wǎng)行為管理路由器的股票軟件過濾，可以輕松過濾主流的炒股軟件，可以在很大程度上杜絕上班炒股行為，保證帶寬資源能夠被合理高效地使用。游戲過濾，防止沉迷網(wǎng)游

企業(yè)員工在上班時(shí)間玩網(wǎng)絡(luò)游戲，一方面占用工作時(shí)間，嚴(yán)重違反了相關(guān)紀(jì)律，造成不良影響；另一方面，這些網(wǎng)絡(luò)游戲又極大的消耗著網(wǎng)絡(luò)帶寬，造成其他企業(yè)員工上網(wǎng)堵塞；同時(shí)，網(wǎng)絡(luò)游戲里面常常充斥著色情、暴力、反動(dòng)等信息，有損企業(yè)形象。

通過上網(wǎng)行為管理路由器的游戲過濾，可以輕松過濾主流的網(wǎng)絡(luò)游戲，規(guī)范企業(yè)員工上網(wǎng)行為，凈化企業(yè)的網(wǎng)絡(luò)環(huán)境。郵件監(jiān)控，防止網(wǎng)絡(luò)泄密

對內(nèi)網(wǎng)用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過POP3/SMTP協(xié)議收發(fā)郵件時(shí)，進(jìn)行收發(fā)郵件的鏡像和監(jiān)控。WEB安全管理，減少網(wǎng)絡(luò)風(fēng)險(xiǎn)

能有效減少內(nèi)網(wǎng)用戶訪問網(wǎng)頁時(shí)被各類木馬病毒文件感染的幾率。通過禁止WEB頁面提交，還能防止用戶在網(wǎng)絡(luò)論壇上發(fā)言發(fā)帖，避免給企業(yè)帶來法律風(fēng)險(xiǎn)。外防攻擊，內(nèi)防病毒

防攻擊抗病毒：擁有網(wǎng)絡(luò)自防御功能，支持內(nèi)外網(wǎng)攻擊防御，提供掃描類、DoS類、可疑包和含有IP選項(xiàng)的包等攻擊保護(hù)，能偵測及阻擋IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網(wǎng)絡(luò)攻擊，有效防止沖擊波、木馬等病毒攻擊，有效提高網(wǎng)絡(luò)可靠性。

網(wǎng)絡(luò)攻擊報(bào)警：實(shí)時(shí)提示內(nèi)外網(wǎng)攻擊信息，快速定位和查找到攻擊來源，及時(shí)解決網(wǎng)絡(luò)問題。全面防御ARP病毒

ARP病毒泛濫是企業(yè)網(wǎng)絡(luò)的一個(gè)頑癥，ARP病毒經(jīng)常造成整個(gè)網(wǎng)絡(luò)的頻繁斷網(wǎng)，極大地影響了企業(yè)網(wǎng)絡(luò)用戶的正常使用。上網(wǎng)行為管理路由器通過多種方式能有效解決ARP病毒難題。

方便的ARP欺騙防御：通過免費(fèi)ARP的定時(shí)發(fā)送機(jī)制，初步防治內(nèi)網(wǎng)ARP病毒。

可靠的雙向綁定：一鍵完成IP/MAC地址綁定，使ARP表不被輕易更改，有效防范ARP病毒攻擊，保障內(nèi)網(wǎng)運(yùn)行效率。也能防止部分企業(yè)員工私自更改IP，導(dǎo)致IP沖突、網(wǎng)絡(luò)管理混亂的現(xiàn)象，保證企業(yè)網(wǎng)絡(luò)的合理、規(guī)范和高效。

靈活的ARP信任機(jī)制：有些環(huán)境不適合傳統(tǒng)的IP/MAC雙向綁定（例如筆記本用戶較多的企業(yè)），采用ARP信任機(jī)制在無雙向綁定的情況下，自動(dòng)學(xué)習(xí)、判斷和更新內(nèi)網(wǎng)主機(jī)的ARP信息，確保路由器獲得真實(shí)可靠的用戶ARP信息，既保證上網(wǎng)的便捷性，又保證上網(wǎng)的安全性。VPN虛擬專網(wǎng)

企業(yè)網(wǎng)絡(luò)開設(shè)VPN虛擬專網(wǎng)，能為出差的企業(yè)員工訪問單位資源提供了很大的方便，也能使得同系統(tǒng)的多個(gè)單位安全快速的互聯(lián)互通。上網(wǎng)行為管理路由器提供PPTP VPN和IPSec VPN功能，可以實(shí)現(xiàn)本地網(wǎng)絡(luò)與遠(yuǎn)程網(wǎng)絡(luò)之間安全加密互訪。

上網(wǎng)行為管理路由器還支持網(wǎng)對網(wǎng)的VPN功能，便于企業(yè)總部和分支機(jī)構(gòu)的互聯(lián)互通。好使用易管理

內(nèi)網(wǎng)管理輕松直觀：通過直觀的數(shù)據(jù)流量圖和網(wǎng)絡(luò)狀態(tài)報(bào)告，每條線路的數(shù)據(jù)流量都一目了然。您可以實(shí)時(shí)統(tǒng)計(jì)每個(gè)IP的累計(jì)流量、實(shí)時(shí)流量、網(wǎng)絡(luò)連接數(shù)等關(guān)鍵指標(biāo)，全面分析每個(gè)IP的網(wǎng)絡(luò)連接詳情，網(wǎng)絡(luò)問題的定位也易如反掌。還能實(shí)時(shí)管控每個(gè)主機(jī)當(dāng)前的網(wǎng)絡(luò)連接。并能對異常主機(jī)進(jìn)行遠(yuǎn)程管控，斷掉或恢復(fù)該主機(jī)的外網(wǎng)鏈接。

配置備份與導(dǎo)入:可將每種配置文件保存到電腦，需要重新配置路由器時(shí)，可導(dǎo)入相應(yīng)配置文件，縮短配置時(shí)間。

使用方便：全中文WEB配置及管理頁面，配置簡單，不需專業(yè)網(wǎng)管。支持免費(fèi)軟件升級功能。

第二篇：上網(wǎng)行為管理方案

上網(wǎng)行為管理方案

一．網(wǎng)絡(luò)管理概述

1.網(wǎng)絡(luò)管理的目的

在一般情況下，網(wǎng)絡(luò)管理的主要目的是為了提高網(wǎng)絡(luò)可用性、改進(jìn)網(wǎng)絡(luò)性能、減少和控制網(wǎng)絡(luò)費(fèi)用以及增強(qiáng)網(wǎng)絡(luò)安全性等。2.網(wǎng)絡(luò)管理的要素

網(wǎng)絡(luò)管理平臺的建設(shè)主要與業(yè)務(wù)需求的結(jié)合。完整而理想的網(wǎng)絡(luò)管理解決方案，應(yīng)該根據(jù)應(yīng)用環(huán)境和網(wǎng)絡(luò)對業(yè)務(wù)流程，以及用戶需求的端到端關(guān)聯(lián)關(guān)系，來管理網(wǎng)絡(luò)及其所有設(shè)備。3.網(wǎng)絡(luò)資源管理

網(wǎng)絡(luò)資源就是指網(wǎng)絡(luò)中的硬件設(shè)備、整個(gè)環(huán)境中運(yùn)行的軟件（包括服務(wù)器與電腦的應(yīng)用軟件）以及所提供的服務(wù)等。網(wǎng)絡(luò)管理系統(tǒng)必須將它們表示出來，才能對其進(jìn)行管理。在好的網(wǎng)管軟件中，當(dāng)前的網(wǎng)絡(luò)拓?fù)浜透鱾€(gè)硬件系統(tǒng)都以圖形的方式顯示在一個(gè)圖上，而且各種信息都會動(dòng)態(tài)地在上面顯示，非常方便監(jiān)視與管理。

4.軟件資源管理和軟件分發(fā)

網(wǎng)絡(luò)管理系統(tǒng)的軟件資源管理和軟件分發(fā)功能，是指優(yōu)化管理信息的收集，對企業(yè)所擁有的軟件授權(quán)數(shù)量和安裝地點(diǎn)進(jìn)行管理。軟件分發(fā)則是通過網(wǎng)絡(luò)把新軟件分發(fā)到各個(gè)站點(diǎn)，并完成安裝和配置工作。5.應(yīng)用管理

應(yīng)用管理用于測量和監(jiān)督特定的應(yīng)用軟件及其對網(wǎng)絡(luò)傳輸流量的影響。網(wǎng)絡(luò)管理員通過應(yīng)用管理可以跟蹤網(wǎng)絡(luò)用戶和運(yùn)行的應(yīng)用軟件，改善網(wǎng)絡(luò)的響應(yīng)時(shí)

間。

二、網(wǎng)絡(luò)管理要具備的六大基本功能

網(wǎng)絡(luò)管理一般包括性能、故障、配置、計(jì)費(fèi)、安全和行為六方面功能。

1.性能管理

主要考察網(wǎng)絡(luò)運(yùn)行的好壞。性能管理使網(wǎng)絡(luò)管理員能夠監(jiān)視網(wǎng)絡(luò)運(yùn)行的參數(shù)，如吞吐率、響應(yīng)時(shí)間、網(wǎng)絡(luò)的可用性等。2.故障管理

檢測、定位和排除網(wǎng)絡(luò)硬件和軟件中的故障。當(dāng)出現(xiàn)故障時(shí)，該功能確認(rèn)故障，并記錄故障，找出故障的位置并盡可能地排除這些故障。3.配置管理

掌握和控制網(wǎng)絡(luò)的狀態(tài)，包括網(wǎng)絡(luò)內(nèi)各個(gè)設(shè)備的狀態(tài)及其連接關(guān)系。配置管理的典型方法是，用邏輯圖來描繪所有的網(wǎng)絡(luò)設(shè)備及其邏輯關(guān)系，并將網(wǎng)絡(luò)的確切物理布局，以適當(dāng)?shù)谋壤成涞竭@個(gè)邏輯圖上。用精心設(shè)計(jì)的各種圖標(biāo)來表示各種網(wǎng)絡(luò)對象，而這些圖標(biāo)又往往涂上不同顏色表示相應(yīng)設(shè)備的不同狀態(tài)。4.計(jì)費(fèi)管理

記錄各個(gè)用戶和應(yīng)用程序?qū)W(wǎng)絡(luò)資源的使用情況。計(jì)賬管理提供計(jì)算一個(gè)特定網(wǎng)絡(luò)或網(wǎng)段的運(yùn)行成本的手段。5.安全管理

是對網(wǎng)絡(luò)資源及其重要信息訪問的約束和控制，包括驗(yàn)證網(wǎng)絡(luò)用戶的訪問權(quán)限和優(yōu)先級、檢測和記錄未授權(quán)用戶企圖進(jìn)行的不應(yīng)有的操作。6.行為管理

上網(wǎng)行為管理是指幫助用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析。

三、上網(wǎng)行為管理的技術(shù)功能及產(chǎn)品

上網(wǎng)行為管理技術(shù)是專用于防止非法信息惡意傳播，避免相關(guān)機(jī)密、商業(yè)信息、科研成果泄漏，并可實(shí)時(shí)監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理軟硬件系列適用于需實(shí)施內(nèi)容審計(jì)與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，尤其是按等級進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的相關(guān)單位或部門。上網(wǎng)行為管理通過軟硬件能實(shí)現(xiàn)的功能有： 1.上網(wǎng)人員管理

上網(wǎng)身份管理：利用IP/MAC識別方式、用戶名/密碼認(rèn)證方式、與已有認(rèn)證系統(tǒng)的聯(lián)合單點(diǎn)登錄方式準(zhǔn)確識別確保上網(wǎng)人員合法性

上網(wǎng)終端管理：檢查主機(jī)的注冊表/進(jìn)程/硬盤文件的合法性，確保接入企業(yè)網(wǎng)的終端PC的合法性和安全性

移動(dòng)終端管理：檢查移動(dòng)終端識別碼，識別智能移動(dòng)終端類型/型號，確保接入局域網(wǎng)的移動(dòng)終端的合法性

上網(wǎng)地點(diǎn)管理：檢查上網(wǎng)終端的物理接入點(diǎn)，識別上網(wǎng)地點(diǎn)，確保上網(wǎng)地點(diǎn)的合法性

2.上網(wǎng)瀏覽管理

搜索引擎管理：利用搜索框關(guān)鍵字的識別、記錄、阻斷技術(shù)，確保上網(wǎng)搜索內(nèi)容的合法性，避免不當(dāng)關(guān)鍵詞的搜索帶來的負(fù)面影響。

網(wǎng)址URL管理 ：利用網(wǎng)頁分類庫技術(shù)，對海量網(wǎng)址進(jìn)行提前分類識別、記錄、阻斷確保上網(wǎng)訪問的網(wǎng)址的合法性。（URL：統(tǒng)一資源定位器）

網(wǎng)頁正文管理：利用正文關(guān)鍵字識別、記錄、阻斷技術(shù)，確保瀏覽正文的合法性

文件下載管理：利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術(shù)確保網(wǎng)頁下載文件的合法性 3.上網(wǎng)外發(fā)管理

普通郵件管理：利用對SMTP收發(fā)人/標(biāo)題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性

WEB郵件管理 ：利用對WEB方式的網(wǎng)頁郵箱的收發(fā)人/標(biāo)題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性

網(wǎng)頁發(fā)帖管理：利用對BBS等網(wǎng)站的發(fā)帖內(nèi)容的標(biāo)題、正文關(guān)鍵字進(jìn)行識別、記錄、阻斷確保外發(fā)言論的合法性

即時(shí)通訊管理：利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟件的外發(fā)內(nèi)容關(guān)鍵字識別、記錄、阻斷確保外發(fā)言論的合法性

其他外發(fā)管理：針對FTP、TELNET等傳統(tǒng)協(xié)議的外發(fā)信息進(jìn)行內(nèi)容關(guān)鍵字識別、記錄、阻斷確保外發(fā)信息的合法性 4.上網(wǎng)應(yīng)用管理

上網(wǎng)應(yīng)用阻斷：利用不依賴端口的應(yīng)用協(xié)議庫進(jìn)行應(yīng)用的識別和阻斷

上網(wǎng)應(yīng)用累計(jì)時(shí)長限額：針對每個(gè)或多個(gè)應(yīng)用分配累計(jì)時(shí)長、一天內(nèi)累計(jì)使用時(shí)間達(dá)到限額將自動(dòng)終止訪問

上網(wǎng)應(yīng)用累計(jì)流量限額：針對每個(gè)或多個(gè)應(yīng)用分配累計(jì)流量、一天內(nèi)累計(jì)使用流量達(dá)到限額將自動(dòng)終止訪問 5.上網(wǎng)流量管理

上網(wǎng)帶寬控制：為每個(gè)或多個(gè)應(yīng)用設(shè)置虛擬通道上限值，對于超過虛擬通道上限的流量進(jìn)行丟棄

上網(wǎng)帶寬保障：為每個(gè)或多個(gè)應(yīng)用設(shè)置虛擬通道下限值，確保為關(guān)鍵應(yīng)用保留必要的網(wǎng)絡(luò)帶寬

上網(wǎng)帶寬借用：當(dāng)有多個(gè)虛擬通道時(shí)，允許滿負(fù)荷虛擬通道借用其他空閑虛擬通道的帶寬

上網(wǎng)帶寬平均：每個(gè)用戶平均分配物理帶寬、避免單個(gè)用戶的流量過大搶占其他用戶帶寬 6.上網(wǎng)行為分析

上網(wǎng)行為實(shí)時(shí)監(jiān)控：對網(wǎng)絡(luò)當(dāng)前速率、帶寬分配、應(yīng)用分布、人員帶寬、人員應(yīng)用等進(jìn)行統(tǒng)一展現(xiàn)

上網(wǎng)行為日志查詢：對網(wǎng)絡(luò)中的上網(wǎng)人員/終端/地點(diǎn)、上網(wǎng)瀏覽、上網(wǎng)外發(fā)、上網(wǎng)應(yīng)用、上網(wǎng)流量等行為日志進(jìn)行精準(zhǔn)查詢，精確定位問題

上網(wǎng)行為統(tǒng)計(jì)分析：對上網(wǎng)日志進(jìn)行歸納匯總，統(tǒng)計(jì)分析出流量趨勢、風(fēng)險(xiǎn)趨勢、泄密趨勢、效率趨勢等直觀的報(bào)表，便于管理者全局發(fā)現(xiàn)潛在問題 7.上網(wǎng)隱私保護(hù)

日志傳輸加密：管理者采用SSL加密隧道方式訪問設(shè)備的本地日志庫、外部日志中心，防止黑客竊聽

管理三權(quán)分立：內(nèi)置管理員、審核員、審計(jì)員賬號。管理員無日志查看權(quán)限，但可設(shè)置審計(jì)員賬號；審核員無日志查看權(quán)限，但可審核審計(jì)員權(quán)限的合法性后

才開通審計(jì)員權(quán)限；審計(jì)員無法設(shè)置自己的日志查看范圍，但可在審核員通過權(quán)限審核后查看規(guī)定的日志內(nèi)容

精確日志記錄：所有上網(wǎng)行為可根據(jù)過濾條件進(jìn)行選擇性記錄，不違規(guī)不記錄，最小程度記錄隱私 8.設(shè)備容錯(cuò)管理

死機(jī)保護(hù)：設(shè)備帶電死機(jī) / 斷電后可變成透明網(wǎng)線，不影響網(wǎng)絡(luò)傳輸。一鍵排障：網(wǎng)絡(luò)出現(xiàn)故障后，按下一鍵排障物理按鈕可以直接定位故障是否為上網(wǎng)行為管理設(shè)備引起，縮短網(wǎng)絡(luò)故障定位時(shí)間

雙系統(tǒng)冗余：提供硬盤+Flash卡雙系統(tǒng)，互為備份，單個(gè)系統(tǒng)故障后依舊可以保持設(shè)備正常使用。9.風(fēng)險(xiǎn)集中告警

告警中心：所有告警信息可在告警中心頁面中統(tǒng)一的集中展示

分級告警：不同等級的告警進(jìn)行區(qū)分排列，防止低等級告警淹沒關(guān)鍵的高等級告警信息。

告警通知：告警可通過郵件、語音提示方式通知管理員，便于快速發(fā)現(xiàn)告警風(fēng)險(xiǎn)。

10.上網(wǎng)行為管理產(chǎn)品

深信服上網(wǎng)行為管理（AC）是中國上網(wǎng)行為管理第一品牌，可以防止與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)行為，杜絕帶寬資源濫用，加快上網(wǎng)速率，提升工作效率。在網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個(gè)方面為提供解決方案。

網(wǎng)康上網(wǎng)行為管理能幫助客戶最大化利用互聯(lián)網(wǎng)價(jià)值，為網(wǎng)絡(luò)管理者提供各種互聯(lián)網(wǎng)接入環(huán)境的身份認(rèn)證、合規(guī)準(zhǔn)入、網(wǎng)頁過濾、應(yīng)用控制、帶寬管理、內(nèi)容審計(jì)、外發(fā)過濾，行為分析等功能。

小草網(wǎng)管軟件綜合智能動(dòng)態(tài)帶寬保障，服務(wù)器流量分析與保障、虛擬多設(shè)備管理等多項(xiàng)突破性技術(shù)，涵蓋流量分析、帶寬管理、上網(wǎng)行為管理、DMZ區(qū)服務(wù)器管理，專線集中管理、企業(yè)級防火墻與路由器、負(fù)載均衡等功能，在網(wǎng)絡(luò)性能、質(zhì)量、安全等方面為客戶提供完整的解決方案。

產(chǎn)品對比：從產(chǎn)品形態(tài)來看，上網(wǎng)行為管理分為硬件和軟件2種，但是國內(nèi)以硬件為主流，國外以軟件為主流；

硬件的優(yōu)勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,維護(hù)復(fù)雜,維修需要專業(yè)認(rèn)識

軟件的優(yōu)勢：成本適當(dāng),維護(hù)簡單、安裝容易、升級快速,可以在隨便找個(gè)機(jī)器部署.軟件的劣勢：對于國企和政府來說，沒有一個(gè)東西不放心,所以國內(nèi)政府偏硬件，企業(yè)偏軟件。

四、深信服上網(wǎng)行為管理（AC）功能及部署方案 1.AC產(chǎn)品功能

1.1 身份認(rèn)證

1.1.1 映射組織行政結(jié)構(gòu)

為了給不同用戶、不同部門授予差異化的互聯(lián)網(wǎng)訪問、控制、審計(jì)權(quán)限，需要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)。

一般組織均有自己的行政結(jié)構(gòu)，AC可以完全按照組織的行政結(jié)構(gòu)建立樹形用戶分組，實(shí)現(xiàn)父組、子組等多層嵌套的要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，AC能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理員管理。

此外，AC支持賬戶自動(dòng)創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對應(yīng)關(guān)系，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，過AC的賬戶導(dǎo)入功能更加快捷的創(chuàng)建用戶和分組信息。

用戶帳號還支持有效期限定，賬號過期則自動(dòng)失效，支持多人共用同一帳號等，豐富的帳號策略使得管理員可以根據(jù)實(shí)際情況自由地合理調(diào)整。1.1.2 建立身份認(rèn)證體系

有效區(qū)分用戶，是部署差異化授權(quán)和審計(jì)策略、有效防御身份冒充、權(quán)限擴(kuò)散與濫用等的管理基礎(chǔ)。AC支持豐富的身份認(rèn)證方式：

■ 本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC/IP-MAC綁定 ■ 第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等； ■ 雙因素認(rèn)證：USB-Key認(rèn)證；

■ 單點(diǎn)登錄：AD、POP3、Proxy、HTTP POST等；

■ 強(qiáng)制認(rèn)證：強(qiáng)制指定IP段的用戶必須使用單點(diǎn)登錄（如必須登錄AD域等）

豐富的認(rèn)證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體系，進(jìn)而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實(shí)現(xiàn)用戶與行為的一一對應(yīng)，方便 5

管理員實(shí)施上網(wǎng)行為管理解決方案。

AC支持為未認(rèn)證通過的用戶分配受限的互聯(lián)網(wǎng)訪問權(quán)限，將通過Web認(rèn)證的用戶重定向至顯示指定網(wǎng)頁，方便組織管理員發(fā)布通知。1.2 應(yīng)用權(quán)限管理 1.2.1應(yīng)用控制策略 1.2.1.1 識別是管理的基礎(chǔ)

全面的應(yīng)用識別幫助管理員透徹了解網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶行為，保障管理效果。

AC多種應(yīng)用識別技術(shù)，全面識別各種應(yīng)用，進(jìn)而有效管控和審計(jì)。主要包括： a)URL識別： AC內(nèi)置千萬級靜態(tài)URL庫、支持基于關(guān)鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù)； b)應(yīng)用規(guī)則識別庫：AC擁有國內(nèi)最大的應(yīng)用識別庫，該庫由深信服應(yīng)用規(guī)則研發(fā)團(tuán)隊(duì)定期維護(hù)，保證庫處于最新狀態(tài)；該庫支持360種以上網(wǎng)絡(luò)主流應(yīng)用，680條以上規(guī)則 能識別40種以上IM、50種以上P2P/P2P流媒體、100種以上游戲、20種以上OA、15種以上網(wǎng)銀、20種以上股票行情軟件、15種以上股票交易軟件、10種以上木馬、10種以上代理軟件； c)文件類型識別：識別并過濾HTTP、FTP、mail方式上傳下載的文件，即使刪除文件擴(kuò)展名、篡改擴(kuò)展名、壓縮、加密后再上傳，AC同樣能識別和報(bào)警；

d)深度內(nèi)容檢測：IM聊天、在線炒股、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP/IP協(xié)議等，基于數(shù)據(jù)包特征精準(zhǔn)識別，且支持管理員自行定義新規(guī)則，以及深信服科技及時(shí)更新和快速響應(yīng)；

e)智能識別：種類泛濫的P2P行為，靜態(tài)“應(yīng)用識別規(guī)則”已經(jīng)捉襟見肘，通過P2P智能識別，識別不常見、未來可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計(jì)。

通過強(qiáng)大的應(yīng)用識別技術(shù)，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應(yīng)用行為等AC都能幫助組織實(shí)現(xiàn)對上網(wǎng)行為的封堵、流控、審計(jì)等管理。1.2.1.2 上網(wǎng)策略對象化

AC支持完美映射組織的行政結(jié)構(gòu)，管理員可依據(jù)組織結(jié)構(gòu)添加管理策略。上網(wǎng)策略對象化，同一條上網(wǎng)策略可被多個(gè)用戶/用戶組復(fù)用，同一用戶/用戶組可關(guān)聯(lián)使用多條策略，實(shí)現(xiàn)策略和用戶/用戶組的雙向關(guān)聯(lián)，方便管理員調(diào)整。對于父組、子組的

上網(wǎng)策略不僅僅支持基于生效時(shí)間、用戶/用戶組、應(yīng)用類型，支持模板形 6

式復(fù)制，更支持策略有效期，管理員可手動(dòng)設(shè)定策略的過期時(shí)間，逾期自動(dòng)失效，有效實(shí)現(xiàn)策略的回收管理。此外，AC支持將策略的查看、編輯權(quán)限分配給指定管理員，實(shí)現(xiàn)策略的分級管理。1.2.1.3 靈活的授權(quán)

AC支持基于生效時(shí)間、用戶/用戶組、應(yīng)用類型的授權(quán)，幫助組織實(shí)現(xiàn)上網(wǎng)權(quán)限與工作職責(zé)的匹配，防止越權(quán)訪問與泄密風(fēng)險(xiǎn)，一方面管控與業(yè)務(wù)無關(guān)的上網(wǎng)行為，提升員工工作效率，一方面過濾不良信息、阻止異常行為，防止法律與泄密風(fēng)險(xiǎn)。

AC更兼顧了管理與人性化的需求，對于某些不便添加權(quán)限控制策略的部門或者是企業(yè)文化較為寬松的組織，AC提供了“智能提醒”功能，管理員可設(shè)定允許特定用戶使用指定應(yīng)用的時(shí)長、流速，一旦用戶使用指定應(yīng)用的時(shí)長、速度超限后，AC自動(dòng)彈出提醒窗口，提醒用戶注意違規(guī)行為，敦促用戶自覺規(guī)范，達(dá)到促進(jìn)自我管理的目的，減少管理帶來的摩擦。1.2.2 Web應(yīng)用控制 1.2.2.1 URL訪問控制

網(wǎng)頁瀏覽是員工主要互聯(lián)網(wǎng)行為之一，在URL過濾方面，AC采用“靜態(tài)URL庫+URL智能識別+云系統(tǒng)”三重識別體系。

首先，AC內(nèi)置千萬級預(yù)分類URL地址庫，該庫由深信服URL研發(fā)小組專人負(fù)責(zé)維護(hù)，收集新增網(wǎng)頁并經(jīng)由人工審核分類，包含互聯(lián)網(wǎng)上數(shù)十種分類站點(diǎn)，覆蓋了95%以上用戶訪問量最高的網(wǎng)址。

其次，互聯(lián)網(wǎng)網(wǎng)頁容量爆炸性增長，靜態(tài)URL庫不足以有效應(yīng)對。因此，AC支持基于內(nèi)容關(guān)鍵字的過濾手段，可基于管理員指定的多關(guān)鍵字過濾用戶搜索行為、網(wǎng)頁訪問行為、發(fā)帖行為等。更提供了人工智能的網(wǎng)頁智能分析系統(tǒng)（Intelligent Webpage Analysis System, IWAS）能夠根據(jù)已知網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對網(wǎng)進(jìn)行學(xué)習(xí)和智能分類，真正幫助組織完善網(wǎng)頁訪問行為的管理。1.2.2.2 SSL內(nèi)容管理

SSL(Secure Socket Layer)協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。正因?yàn)槿绱?，一方面，越來越多的網(wǎng)頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網(wǎng)站，而因?yàn)椴捎昧思用芗夹g(shù)，普通的管理產(chǎn)品無法對其內(nèi)容進(jìn)行識別管理，導(dǎo)致管理漏洞；另一方面，互聯(lián)網(wǎng)上存在大量偽造的網(wǎng)上銀行、網(wǎng)上購物頁面，此類網(wǎng)頁利用了網(wǎng)銀、網(wǎng)上購物等

普遍采用第三方權(quán)威機(jī)構(gòu)頒發(fā)的數(shù)字證書以實(shí)現(xiàn)SSL加密的特性，偽造虛假證書以騙取用戶信任，警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息，導(dǎo)致直接或間接的經(jīng)濟(jì)損失。

AC可以對SSL網(wǎng)站提供的數(shù)字證書進(jìn)行深度驗(yàn)證，包括該證書的根頒發(fā)機(jī)構(gòu)、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發(fā)機(jī)構(gòu)數(shù)字證書的釣魚網(wǎng)站蒙騙用戶，此功能亦應(yīng)用于過濾SSL加密的色情、反動(dòng)站點(diǎn)，證券炒股站點(diǎn)等。1.2.2.3 代理翻墻管控

許多組織統(tǒng)一采用Microsoft ISA、CCproxy、Sygate等代理服務(wù)器上網(wǎng)，也有的組織明文規(guī)定禁止內(nèi)網(wǎng)用戶私用代理上網(wǎng)，但仍有用戶將瀏覽器等應(yīng)用配置公網(wǎng)服務(wù)器、私裝代理軟件代理他人上網(wǎng)，甚至使用自由門、無界瀏覽器、IPN等加密代理行為。由于防火墻等設(shè)備對內(nèi)網(wǎng)用戶的管理是基于目的地址和端口的，無法有效區(qū)分正常上網(wǎng)的流量和通過代理服務(wù)器上網(wǎng)的員工流量。對于如上情況，AC的深度內(nèi)容檢測技術(shù)能有效識別用戶數(shù)據(jù)中包含的代理上網(wǎng)流量，通過代理識別模塊可以識別從用戶端發(fā)送到達(dá)代理服務(wù)器之間的應(yīng)用數(shù)據(jù)，進(jìn)而對用戶的網(wǎng)絡(luò)行為進(jìn)行管控和記錄。1.2.3文件傳輸控制

利用網(wǎng)絡(luò)來進(jìn)行文件傳輸是許多用戶每天的必修課，而在文件傳輸過程中存在種種管理和安全隱患，如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發(fā)過程中不慎夾帶了涉密文件、終端因?yàn)橹卸净虮缓诳涂刂浦鲃?dòng)發(fā)起外發(fā)文件行為而用戶對此茫然無知，有意泄密者甚至?xí)⑼獍l(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。

AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點(diǎn)下載文件而封堵其他站點(diǎn)，基于關(guān)鍵字、文件類型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實(shí)現(xiàn)對外發(fā)文件的審計(jì)和記錄顯然無法挽回泄密已經(jīng)給組織造成的損失，單純的基于文件擴(kuò)展名過濾外發(fā)文件、外發(fā)Email也無法應(yīng)對以上風(fēng)險(xiǎn)。鑒于此AC的文件類型深度識別技術(shù)能基于特征能夠識別文件類型，即便存在修改、刪除外發(fā)文件后綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現(xiàn)并且告警，保護(hù)組織的信息資產(chǎn)安全。1.2.4 郵件收發(fā)控制

Email不僅是組織重要的溝通方式之一，同時(shí)也是最常見的泄密方式。AC支持基于關(guān)鍵字、收發(fā)地址、附件類型/個(gè)數(shù)/大小過濾外發(fā)郵件，對于將文件修改

后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識別并進(jìn)行報(bào)警。同時(shí)，對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數(shù)據(jù)中心方便管理員對郵件日志進(jìn)行查詢、審計(jì)、報(bào)表統(tǒng)計(jì)等操作。1.3 帶寬管理 1.3.1流量可視化

AC為IT管理員提供了網(wǎng)絡(luò)流量可視化方案，登陸AC控制臺后，管理員可以查看出口流量曲線圖、當(dāng)前流量TOP N應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況。

此外，數(shù)據(jù)中心（Network Database Center，NDC）對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄、審計(jì)，借助圖形化報(bào)表直觀顯示統(tǒng)計(jì)結(jié)果等，幫助管理員了解流量TOP N用戶、TOP N應(yīng)用等，并自動(dòng)形成報(bào)表文檔，定時(shí)發(fā)送到指定郵箱，讓IT管理員輕松掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準(zhǔn)確依據(jù)。1.3.2 流量管理

當(dāng)您了解了帶寬的使用情況，并對帶寬進(jìn)行優(yōu)化和分配后，我們即將對用戶(組)的上網(wǎng)行為做進(jìn)一步的管理和控制。1.3.2.1 多線路復(fù)用和智能選路

很多組織擁有電信、網(wǎng)通等兩條以上互聯(lián)網(wǎng)出口鏈路，如何同時(shí)復(fù)用多條鏈路并做到流量的負(fù)載均衡與智能分擔(dān)？通過AC特有的多線路復(fù)用及帶寬疊加技術(shù)，AC復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，AC將出網(wǎng)流量自動(dòng)匹配最佳出口。1.3.2.2 基于應(yīng)用/網(wǎng)站/文件類型的智能流量管理

AC可以基于不同用戶(組)、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)地址、時(shí)間段進(jìn)行細(xì)致的帶寬劃分與分配。精細(xì)智能的流量管理既防止帶寬濫用，提升帶寬使用效率。1.3.2.3 多級父子通道嵌套技術(shù)

AC采用“基于隊(duì)列的流控技術(shù)”，即建立管道，將不同的控制對象分配到不同的管道里。該技術(shù)的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時(shí)間、應(yīng)用協(xié)議、網(wǎng)站、文件類型等對象建立不同的通道，對于結(jié)構(gòu)復(fù)雜又希望實(shí)現(xiàn)差異化控制的組織來說可以做到更為精確的控制。

1.3.2.4 動(dòng)態(tài)帶寬分配

組織管理員往往既希望在網(wǎng)絡(luò)應(yīng)用高峰期保障核心用戶、核心業(yè)務(wù)帶寬，限制無關(guān)應(yīng)用占用資源，又希望在帶寬空閑時(shí)實(shí)現(xiàn)資源的充分利用。為此，AC支持帶寬的“自由競爭”與“動(dòng)態(tài)分配”，除了基于父子通道進(jìn)行流量控制之外，還可以根據(jù)在線的用戶數(shù)量將帶寬動(dòng)態(tài)分配給在線用戶。1.3.2.5 P2P的智能識別與靈活控制

通過封IP、端口等管控“帶寬殺手”P2P應(yīng)用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。AC憑借P2P智能識別技術(shù)，不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現(xiàn)的P2P亦能管控。

對于某些企業(yè)文化較為寬松的組織，完全封堵P2P可能實(shí)施困難，AC的P2P流量控制技術(shù)能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。1.4 日志記錄與報(bào)表分析

記錄員工的網(wǎng)絡(luò)工作效率、分析網(wǎng)絡(luò)應(yīng)用情況、提供管理依據(jù)等。1.5 安全防護(hù) 1.5.1終端安全

網(wǎng)絡(luò)世界中安全事件數(shù)量急劇攀升，內(nèi)網(wǎng)中斷、不穩(wěn)定將直接影響用戶的上網(wǎng)行為，所以需要AC保證網(wǎng)關(guān)自身安全，并強(qiáng)化內(nèi)網(wǎng)可靠性、可用性。1.5.1.1 防火墻

AC內(nèi)置基于狀態(tài)檢測技術(shù)的企業(yè)級防火墻，對進(jìn)出組織的數(shù)據(jù)包提供過濾和控制。NAT（Network Address Translation）功能，代理內(nèi)網(wǎng)員工上網(wǎng)和實(shí)現(xiàn)靜態(tài)端口映射。1.5.1.2 網(wǎng)關(guān)防病毒

AC的網(wǎng)關(guān)防病毒功能集成知名廠商的防病毒引擎（防病毒引擎每天自動(dòng)升級），從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。1.5.1.3 終端安全級別檢測

借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則專利技術(shù)（專利號ZL200510037455.1），AC將按照管理員要求檢查每位員工防病毒軟件安裝、運(yùn)行、更新情況、操作系統(tǒng)版本、補(bǔ)丁情況、注冊表鍵值、終端程序運(yùn)行情況、終端目錄盤下文件情況等，不滿足預(yù)設(shè)安全級別的終端將不允許訪問互聯(lián)網(wǎng)，從而提升整個(gè)內(nèi)網(wǎng)的可靠性和可用性。

1.5.2網(wǎng)絡(luò)準(zhǔn)入控制 近年來，在企業(yè)網(wǎng)中，新的安全威脅層出不窮，給組織帶來各種風(fēng)險(xiǎn)：

深信服科技推出了輕量級NAC（網(wǎng)絡(luò)準(zhǔn)入控制）解決方案，只需在出口處部署一臺硬件網(wǎng)關(guān)，通過向內(nèi)網(wǎng)終端自動(dòng)推送一個(gè)輕量級的客戶端控件，即可實(shí)現(xiàn)對接入內(nèi)網(wǎng)終端的網(wǎng)絡(luò)準(zhǔn)入控制和安全隔離，執(zhí)行安全級別檢查，限制非法外聯(lián)線路，禁用USB拷貝功能。

1.5.3 危險(xiǎn)插件惡意腳本過濾 非法網(wǎng)站假冒可信軟件如防病毒軟件、插入非法軟件，通過惡意廣告、垃圾博客、惡意點(diǎn)對點(diǎn)文件傳播等，當(dāng)用戶發(fā)現(xiàn)時(shí)，用戶端已經(jīng)被安裝惡意插件，被強(qiáng)迫瀏覽黑客指定的網(wǎng)站，或者被利用攻擊某個(gè)站點(diǎn)，終端信息已被外發(fā)，損失已造成。

究其根源，在于用戶訪問不可信的資源，如現(xiàn)在非常流行的是通過瀏覽器自動(dòng)安裝ActiveX控件來進(jìn)行惡意插件的傳播。AC通過對 ActiveX控件的簽名進(jìn)行過濾，防止不被信任的插件安裝到內(nèi)網(wǎng)機(jī)器當(dāng)中，從而解決通過IE瀏覽器亂裝控件的問題，起到保護(hù)內(nèi)網(wǎng)安全的作用。還有形形色色的病毒、木馬，而這些危害絕大部分都是危險(xiǎn)腳本造成的。AC通過對內(nèi)網(wǎng)用戶訪問的網(wǎng)頁腳本進(jìn)行特征識別，在腳本下載到瀏覽器執(zhí)行前進(jìn)行攔截，從而起到保護(hù)內(nèi)網(wǎng)安全的作用。1.5.3.1 危險(xiǎn)插件過濾

? 能識別那些下載文件是會自動(dòng)安裝的插件，包括所有通過瀏覽器自動(dòng)下載的文件。

? 能根據(jù)插件白名單對插件進(jìn)行過濾，內(nèi)置常用安全插件列表供用戶選擇，還可以自定義白名單（支持插件名稱、證書名稱和域名）。

? 能根據(jù)插件證書的合法性進(jìn)行過濾，包括：檢查插件簽名是否過期，對插件簽名進(jìn)行證書鏈控制。

? 能記錄控件過濾日志，包括被過濾控件名稱及被拒絕的原因，并能在數(shù)據(jù)中心查出來。

? 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時(shí)做攔截，第二次實(shí)現(xiàn)時(shí)給出提示。1.5.3.2 惡意腳本過濾功能：

? 可以過濾注冊表的寫操作； ? 可以過濾文件的寫操作； ? 過濾危險(xiǎn)對象和危險(xiǎn)調(diào)用；

? 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時(shí)做攔截，第二次實(shí)現(xiàn)時(shí)給出提示。

1.5.4 異常流量控制

■ 異常流量感知 隨U盤等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己，通常會通過常用的TCP 80、443、25、110等端口泄漏內(nèi)網(wǎng)機(jī)密數(shù)據(jù)及接受黑客控制。傳統(tǒng)設(shè)備防火墻等解決方案在開放了常用端口后并不能識別該端口中傳輸?shù)臄?shù)據(jù)及內(nèi)容，AC的異常流量感知技術(shù)能夠識別常用端口中的如上異常流量，并能夠?qū)崟r(shí)報(bào)警，幫助管理員掌控網(wǎng)絡(luò)，防范風(fēng)險(xiǎn)。

2.AC產(chǎn)品的部署模式 2.1網(wǎng)關(guān)模式（路由模式）

AC以網(wǎng)關(guān)模式部署在組織網(wǎng)絡(luò)中，所有流量都通過AC處理，實(shí)現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計(jì)等功能。2.2網(wǎng)橋模式

單網(wǎng)橋模式：以網(wǎng)橋模式部署在組織網(wǎng)絡(luò)中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機(jī)之間的“智能網(wǎng)線”，實(shí)現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計(jì)、安全防護(hù)等功能。

多網(wǎng)橋模式：組織考慮到網(wǎng)絡(luò)的穩(wěn)定性、可靠性，往往采用雙機(jī)、雙線路構(gòu)建基礎(chǔ)網(wǎng)絡(luò)。AC支持多路橋接模式，適應(yīng)組織的多機(jī)網(wǎng)絡(luò)環(huán)境要求。2.3旁路模式

AC以旁路模式部署在組織網(wǎng)絡(luò)中，與交換機(jī)鏡像端口相連，實(shí)施簡單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生率。2.4多機(jī)模式

根據(jù)我院現(xiàn)有的網(wǎng)絡(luò)機(jī)構(gòu)適合使用網(wǎng)橋模式：

第三篇：上網(wǎng)行為管理方案建議書

XX 公司

上網(wǎng)行為管理方案建議書

上網(wǎng)行為管理方案建議書

一、引言

根據(jù)Dynamic Markets Limited對全球辦公室上網(wǎng)情況的調(diào)查：在上班時(shí)間，中國員工每周比其他國家的員工多花7.6小時(shí)來使用即時(shí)通訊(Instant Messenger)工具、玩游戲、P2P下載或在線媒體。中國員工上網(wǎng)下載音樂的時(shí)間比拉美國家高16%，進(jìn)入聊天室和玩在線游戲花費(fèi)的時(shí)間分別比其他國家高約8%和12%。在互聯(lián)網(wǎng)發(fā)達(dá)的印度，只有26% 員工在工作場合瀏覽個(gè)人信件，而在中國，這個(gè)數(shù)字則是60%！

辦公網(wǎng)中的辦公效率問題

日益發(fā)達(dá)的互聯(lián)網(wǎng)讓員工有了更多的選擇，網(wǎng)上聊天、網(wǎng)上購物、在線視頻、論壇灌水、BT電影……上班時(shí)間，員工很難不受眾多網(wǎng)絡(luò)娛樂的誘惑，大家在或多或少地利用工作時(shí)間進(jìn)行非業(yè)務(wù)操作。以上行為實(shí)實(shí)在在地存在于我們的辦公網(wǎng)中。事實(shí)上，我們很多企業(yè)員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數(shù)不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費(fèi)的時(shí)間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個(gè)大大的問號。

二、上網(wǎng)行為管理解決方案介紹——合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用

隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升，如何有效管理與利用互聯(lián)網(wǎng)資源，這已成為現(xiàn)代企業(yè)管理的重要衡量標(biāo)準(zhǔn)。與此同時(shí)，上網(wǎng)行為管理的理念愈發(fā)深入人心，提升員工網(wǎng)絡(luò)業(yè)務(wù)的辦公效率，這已經(jīng)成為企業(yè)IT管理者關(guān)心的首要問題。

XX 公司

上網(wǎng)行為管理方案建議書

如上圖，企業(yè)通過以網(wǎng)關(guān)、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理設(shè)備，可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。上班時(shí)間，封掉影響業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站；對擠占公司帶寬資源的應(yīng)用進(jìn)行流量控制，確保主流的辦公應(yīng)用帶寬資源，以提高業(yè)務(wù)應(yīng)用的辦公效率……具體而言，上網(wǎng)行為管理系統(tǒng)封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用解決方案，將給我們帶來下述價(jià)值：

1、全方位封堵p2p，確保正常辦公業(yè)務(wù)帶寬

P2P應(yīng)用給用戶帶來了前所未有的速度體驗(yàn)與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個(gè)IT管理者頭痛的問題，其所帶來的負(fù)作用日漸凸顯。鑒于此，上網(wǎng)行為管理設(shè)備通過檢測網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對常用軟件進(jìn)行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，上網(wǎng)行為管理系統(tǒng)獨(dú)有的網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。

有些部門和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P，在全面封堵的同時(shí)，上網(wǎng)行為管理設(shè)備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進(jìn)行控制。對不同用戶，按時(shí)間段進(jìn)行P2P應(yīng)用封堵、帶寬分配與流量控制，上網(wǎng)行為管理設(shè)備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。

2、針對性應(yīng)用管控，對事張馳有度

現(xiàn)在，網(wǎng)絡(luò)應(yīng)用不斷推陳出新，IT管理人員難以及時(shí)收集網(wǎng)絡(luò)及軟件版本，并制定相應(yīng)管理策略；他們即使花費(fèi)了大量的精力實(shí)現(xiàn)了收集工作，也很難實(shí)現(xiàn)對其全面的識別和管理。

為此，上網(wǎng)行為管理系統(tǒng)針對不斷更新的網(wǎng)絡(luò)應(yīng)用軟件來收集軟件類型與版本，不斷更新自己的應(yīng)用規(guī)則識別庫。

XX 公司

上網(wǎng)行為管理方案建議書

3、選擇性內(nèi)容過濾，方式靈活

除針對網(wǎng)絡(luò)應(yīng)用軟件外，上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬條級的URL庫，對URL庫按照20個(gè)大類進(jìn)行了劃分?；诖?，IT管理者可以方便地對娛樂、購物、游戲、影視等網(wǎng)站進(jìn)行控制和屏蔽，同時(shí)用戶可手工輸入新分類和新URL地址，這進(jìn)一步增強(qiáng)了網(wǎng)管人員工作的靈活性。

同時(shí)，上網(wǎng)行為管理設(shè)備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進(jìn)行文件過濾，以保證核心業(yè)務(wù)的帶寬。

4、差異化權(quán)限劃分，構(gòu)建和諧組織

對于以上管控，上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、不同部門的差異化網(wǎng)絡(luò)使用權(quán)限，人性化管控整個(gè)企業(yè)。如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限，以方便其網(wǎng)上尋找客戶資源，而對后勤人員則封掉P2P應(yīng)用、游戲與炒股網(wǎng)站等。

三、客戶現(xiàn)狀

企業(yè)目前沒有防火墻，現(xiàn)有200個(gè)用戶端，內(nèi)部網(wǎng)絡(luò)劃分為多個(gè)不同網(wǎng)段，目前企業(yè)希望能實(shí)現(xiàn)簡單的方式控制辦公電腦上外網(wǎng)。

四、方案建議

據(jù)上所述，如果客戶對上網(wǎng)行為管理要求不高，僅需要限制辦公電腦上外網(wǎng)，建議用戶可以采購防火墻或者企業(yè)級帶有網(wǎng)管功能的路由器，稍加設(shè)置便可實(shí)現(xiàn)。如果客戶的上網(wǎng)行為管理要求如上網(wǎng)行為管理解決方案所述，建議客戶采購專業(yè)的上網(wǎng)行為管理設(shè)備，上網(wǎng)行為管理設(shè)備推薦寶創(chuàng)金盾。

五、產(chǎn)品介紹

詳見產(chǎn)品白皮書和用戶手冊。

第四篇：上網(wǎng)行為管理

1． 上網(wǎng)行為管理

目前市場主流廠商：深信服、網(wǎng)康 ? 典型案例

2.1 提升內(nèi)網(wǎng)業(yè)務(wù)操作效率——封堵非業(yè)務(wù)應(yīng)用解決方案

方案背景：

日益發(fā)達(dá)的互聯(lián)網(wǎng)讓企業(yè)員工有了更多的選擇，網(wǎng)上聊天、網(wǎng)上購物、在線視頻、論壇灌水、BT電影……上班時(shí)間，員工很難不受眾多網(wǎng)絡(luò)娛樂的誘惑，大家在或多或少地利用工作時(shí)間進(jìn)行非業(yè)務(wù)操作。

以上行為實(shí)實(shí)在在地存在于我們的辦公網(wǎng)中。事實(shí)上，我們很多企業(yè)員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數(shù)不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網(wǎng)站、熱門論壇上花費(fèi)的時(shí)間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個(gè)大大的問號。

上網(wǎng)行為管理解決方案——合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用

隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升，如何有效管理與利用互聯(lián)網(wǎng)資源，這已成為現(xiàn)代企業(yè)管理的重要衡量標(biāo)準(zhǔn)。與此同時(shí)，上網(wǎng)行為管理的理念愈發(fā)深入人心，提升員工網(wǎng)絡(luò)業(yè)務(wù)的辦公效率，這已經(jīng)成為企業(yè)IT管理者關(guān)心的首要問題。、如上圖，企業(yè)通過以網(wǎng)關(guān)、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理產(chǎn)品，可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。上班時(shí)間，封掉影響業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站；對擠占公司帶寬資源的應(yīng)用進(jìn)行流量控制，確保主流的辦公應(yīng)用帶寬資源，以提高業(yè)務(wù)應(yīng)用的辦公效率。

方案價(jià)值：

1、全方位封堵p2p，確保正常辦公業(yè)務(wù)帶寬

P2P應(yīng)用給用戶帶來了前所未有的速度體驗(yàn)與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個(gè)IT管理者頭痛的問題，其所帶來的負(fù)作用日漸凸顯。鑒于此，上網(wǎng)行為管理設(shè)備通過檢測網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對常用軟件進(jìn)行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，獨(dú)有的網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。

有些部門和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P，在全面封堵的同時(shí)，上網(wǎng)行為管理設(shè)備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進(jìn)行控制。對不同用戶，按時(shí)間段進(jìn)行P2P應(yīng)用封堵、帶寬分配與流量控制，上網(wǎng)行為管理設(shè)備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。

2、選擇性內(nèi)容過濾，方式靈活

除針對網(wǎng)絡(luò)應(yīng)用軟件外，上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬條級的URL庫，對URL庫按照20個(gè)大類進(jìn)行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等網(wǎng)站進(jìn)行控制和屏蔽，同時(shí)用戶可手工輸入新分類和新URL地址，這進(jìn)一步增強(qiáng)了網(wǎng)管人員工作的靈活性。

同時(shí)，上網(wǎng)行為管理設(shè)備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進(jìn)行文件過濾，以保證核心業(yè)務(wù)的帶寬。

3、差異化權(quán)限劃分，構(gòu)建和諧組織

對于以上管控，上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、不同部門的差異化網(wǎng)絡(luò)使用權(quán)限，人性化管控整個(gè)企業(yè)。如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限，以方便其網(wǎng)上尋找客戶資源，而對后勤人員則封掉P2P應(yīng)用、游戲與炒股網(wǎng)站等。

2.2上網(wǎng)行為管理+SSL VPN防信息泄露解決方案

背景分析：

據(jù)IDC調(diào)查報(bào)告顯示，全球有近80%的企業(yè)存在著信息安全與風(fēng)險(xiǎn)問題。在報(bào)告所調(diào)查的公司中，進(jìn)行網(wǎng)絡(luò)常規(guī)安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術(shù)進(jìn)行數(shù)據(jù)傳輸。報(bào)告顯示：信息安全問題大都來自于企業(yè)內(nèi)部，信息泄密很多時(shí)候源于信息安全管理不善。在中國，眾多的事業(yè)單位也面臨這些問題。

事實(shí)上，很多企事業(yè)單位內(nèi)外網(wǎng)、服務(wù)器隔離存在問題，業(yè)務(wù)系統(tǒng)的操作并沒有明確授權(quán)人員，這導(dǎo)致一些非授權(quán)人員大肆訪問并修改內(nèi)網(wǎng)服務(wù)器的重要數(shù)據(jù)；很多單位員工信息安全意識也較薄弱，很多時(shí)候?qū)⒖蛻粜畔?、?nèi)部敏感信息等在公網(wǎng)上隨便傳播，并沒有加密，這樣的信息數(shù)據(jù)很容易被竊取修改。

現(xiàn)在，客戶對企業(yè)、民眾對事件單位應(yīng)用服務(wù)的訪問量在不斷增加，客戶的訪問請求經(jīng)常集中在數(shù)臺服務(wù)器上，而其它服務(wù)器卻因訪問量低而低效運(yùn)行，這不僅影響了用戶的體驗(yàn)感受，也嚴(yán)重影響著該應(yīng)用服務(wù)訪問穩(wěn)定性。為將大量的訪問最快的處理并提高服務(wù)器的運(yùn)行效率，保證信息發(fā)布不被中斷，以此來保證信息傳播的安全，這點(diǎn)也為越來越多的有識之士關(guān)注。

解決方案：

通過上網(wǎng)行為管理產(chǎn)品來防止企事業(yè)單位內(nèi)網(wǎng)泄密，這樣可有效解決單位內(nèi)部泄密的問題；通過SSL VPN，企事業(yè)單位可對外部接入人員進(jìn)行身份認(rèn)證，并對這些接入人員進(jìn)行精確的權(quán)限分配來保證合法的訪問與系統(tǒng)修改，這也可以有效隔離內(nèi)網(wǎng)里的應(yīng)用服務(wù)器與內(nèi)外網(wǎng)。

產(chǎn)品部署拓?fù)鋱D如下：

如上部署，上網(wǎng)行為管理設(shè)備以網(wǎng)橋模式透明部署于企事業(yè)單位內(nèi)網(wǎng)，通過識別敏感信息并進(jìn)行過濾等手段，全方位保護(hù)客戶的信息資產(chǎn)和信息安全。

SSL VPN產(chǎn)品以旁路模式部署，企事業(yè)單位通過SSL VPN為不同級別的訪問者分配不同的訪問權(quán)限，并對其進(jìn)行嚴(yán)格的身份認(rèn)證，這樣有效管理了外部員工、客戶對內(nèi)網(wǎng)應(yīng)用系統(tǒng)服務(wù)的訪問安全。

方案價(jià)值：

上述整合的解決方案，將使企事業(yè)單位解決面臨的信息安全風(fēng)險(xiǎn)，使得組織業(yè)務(wù)系統(tǒng)獲得持久的可靠和穩(wěn)定。

上網(wǎng)行為管理產(chǎn)品將幫助企事業(yè)單位防范企事業(yè)單位的信息資產(chǎn)泄密，這將有助于降低組織機(jī)構(gòu)的信息安全風(fēng)險(xiǎn)，這讓企業(yè)、事業(yè)單位專注信息資產(chǎn)管理，讓部門溝通、客戶溝通等多方面溝通更有效。

SSL VPN將幫助組織強(qiáng)化信息數(shù)據(jù)訪問安全。對內(nèi)網(wǎng)重要區(qū)域信息數(shù)據(jù)的訪問控制，能從源頭上有效保護(hù)信息資產(chǎn)安全，SSL VPN提供從訪問終端安全——接入認(rèn)證安全——數(shù)據(jù)傳輸安全——訪問權(quán)限安全等一體化的安全。

2.3校園網(wǎng)上網(wǎng)行為管理+SSL VPN綜合解決方案

校園網(wǎng)現(xiàn)狀：

校園網(wǎng)網(wǎng)絡(luò)規(guī)模龐大，相應(yīng)的網(wǎng)絡(luò)應(yīng)用流量非常驚人；學(xué)生網(wǎng)絡(luò)應(yīng)用比較活躍，規(guī)范管理非常頭疼。具體而言，校園網(wǎng)建設(shè)中存在如下問題：

1、流量問題

因?yàn)閷W(xué)生BT下載、在線視頻、迅雷應(yīng)用等P2P行為十分活躍，校園網(wǎng)帶寬出口經(jīng)常被堵塞，師生正常的網(wǎng)絡(luò)應(yīng)用經(jīng)常被擠占。

2、網(wǎng)上言論

目前高校學(xué)生網(wǎng)絡(luò)應(yīng)用活躍，校內(nèi)BBS言論、公網(wǎng)上知名論壇等經(jīng)常語出驚人之舉，時(shí)常給學(xué)校帶來世俗、法律上的諸多困擾。由于目前網(wǎng)絡(luò)言論實(shí)行匿名式注冊，出現(xiàn)問題后很難查詢當(dāng)事人，最后給學(xué)校帶來了極大的負(fù)面影響。

3、網(wǎng)絡(luò)應(yīng)用規(guī)范問題

不可否認(rèn)，目前大學(xué)在校生所面對的網(wǎng)絡(luò)信息、資源較前些年豐富了很多，這其中也有一些色情、反動(dòng)等類型的網(wǎng)站及其應(yīng)用，如何從校園網(wǎng)建設(shè)上規(guī)避這些不良網(wǎng)站、應(yīng)用的影響，將制度的規(guī)范強(qiáng)制執(zhí)行在日常網(wǎng)絡(luò)應(yīng)用中，這對管理者是個(gè)不小的挑戰(zhàn)。

4、校內(nèi)資源使用問題

學(xué)校、政府花費(fèi)了巨大的精力進(jìn)行校園網(wǎng)建設(shè)，國際教育網(wǎng)絡(luò)資源對高校也有很大的優(yōu)惠措施。目前校園的圖書館電子資源、校內(nèi)OA系統(tǒng)、校務(wù)管理系統(tǒng)給師生工作學(xué)習(xí)都帶來了便利，但走出校園網(wǎng)這些資源便無力利用了。如何在校園網(wǎng)外實(shí)現(xiàn)遠(yuǎn)程登錄辦公已經(jīng)成為校園網(wǎng)深度建設(shè)必須面對的問題。

最重要的是，當(dāng)校園網(wǎng)初步建成之后，如何查詢師生校園網(wǎng)應(yīng)用情況（如學(xué)生經(jīng)常應(yīng)用什么網(wǎng)絡(luò)軟件，在網(wǎng)上做什么事情），以此來發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用問題及校園網(wǎng)建設(shè)中存在的不足，這對學(xué)校的網(wǎng)絡(luò)管理者尤為重要，他們需要一種能對網(wǎng)絡(luò)建設(shè)與管理決策提出良好反饋機(jī)制的解決方案。

部署拓?fù)鋱D：

上網(wǎng)行為管理+SSL VPN綜合解決方案：

為此，選擇上網(wǎng)行為管理+SSL VPN遠(yuǎn)程登錄解決方案。將學(xué)校內(nèi)網(wǎng)安全管理單純地由對外防御病毒、黑客入侵、垃圾郵件，轉(zhuǎn)向了內(nèi)外兼?zhèn)涞娜婀芸兀缭L問控制、訪問跟蹤、流量限制、監(jiān)控、審計(jì)等。配合SSL VPN遠(yuǎn)程登錄訪問內(nèi)網(wǎng)，讓從公網(wǎng)訪問校園網(wǎng)內(nèi)資源成為可能。

1、網(wǎng)絡(luò)行為審計(jì)

將上網(wǎng)行為管理設(shè)備部署在學(xué)院網(wǎng)絡(luò)出口的防火墻后側(cè)，以網(wǎng)橋模式部署，實(shí)現(xiàn)三進(jìn)三出（WAN 口接三臺設(shè)備，LAN口接三臺交換機(jī)），保證所有流經(jīng)學(xué)院網(wǎng)絡(luò)出口的流量都會經(jīng)過上網(wǎng)行為管理設(shè)備的管控和記錄，讓學(xué)院所有上網(wǎng)行為記錄有據(jù)可查，事實(shí)上學(xué)院IT管理者甚至可以預(yù)先設(shè)置好敏感關(guān)鍵字，提前過濾網(wǎng)上敏感言論。

2、全面流量控制

對流經(jīng)學(xué)院網(wǎng)絡(luò)出口處的所有流量，上網(wǎng)行為管理設(shè)備全面進(jìn)行流量控制。事實(shí)上，該設(shè)備對學(xué)院所有的師生根據(jù)院系、專業(yè)進(jìn)行帶寬分配，即將用戶分劃分成組，然后對于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網(wǎng)行為管理設(shè)備，學(xué)院IT管理部門甚至可以根據(jù)相關(guān)師生的網(wǎng)絡(luò)應(yīng)用行為、訪問網(wǎng)站類型、上傳下載文件類型進(jìn)行流量控制。如學(xué)生正常應(yīng)用時(shí)放開流量，一旦進(jìn)行BT下載，則馬上施以流量控制。

3、提高師生網(wǎng)絡(luò)應(yīng)用效率

雖然學(xué)生網(wǎng)絡(luò)應(yīng)用非常活躍，但他們很多的網(wǎng)絡(luò)應(yīng)用行為與學(xué)業(yè)、功課并沒有多大關(guān)系，有些學(xué)生甚至到學(xué)校機(jī)房上機(jī)時(shí)仍然玩網(wǎng)絡(luò)游戲、網(wǎng)上沖浪。針對這些現(xiàn)象，學(xué)院IT管理部門綁定學(xué)院公用計(jì)算機(jī)，讓學(xué)生上機(jī)上課時(shí)，完全封堵住在線游戲、在線視頻、娛樂網(wǎng)站等，從網(wǎng)絡(luò)管理上強(qiáng)制執(zhí)行上課學(xué)習(xí)的課堂原則。

4、提供網(wǎng)絡(luò)決策咨詢

學(xué)院內(nèi)網(wǎng)用戶的非授權(quán)網(wǎng)絡(luò)行為被禁止，學(xué)校管理者可以對學(xué)校網(wǎng)絡(luò)運(yùn)行情況進(jìn)行統(tǒng)計(jì)、分析、評估，做到細(xì)致的訪問控制，有效管理用戶上網(wǎng)行為。除了實(shí)現(xiàn)強(qiáng)大流量分析及帶寬劃分與分配外，同時(shí)各種網(wǎng)絡(luò)行為日志也都將得到全面記錄，方便日后查詢。

5、SSL VPN遠(yuǎn)程登錄校園內(nèi)網(wǎng)

將SSL VPN 采用單臂模式部署，接在學(xué)院核心三層交換機(jī)下，在不改變原網(wǎng)絡(luò)結(jié)構(gòu)的情況下，師生可以在任何能上網(wǎng)的地方安全高效地登錄學(xué)校內(nèi)網(wǎng)的OA系統(tǒng)、圖書館資源等，實(shí)現(xiàn)辦公效率的快速提升。

2.4銀行業(yè)上網(wǎng)行為管理解決方案

項(xiàng)目背景：

目前銀行的多項(xiàng)業(yè)務(wù)均需依賴互聯(lián)網(wǎng)平臺，銀行信息化建設(shè)一直引領(lǐng)著各行業(yè)信息化建設(shè)的潮頭。雖然金融單位已經(jīng)部署了多種網(wǎng)絡(luò)安全產(chǎn)品來抵御來自互聯(lián)網(wǎng)的攻擊，但在內(nèi)網(wǎng)安全、規(guī)范管理、信息安全上存在許多薄弱環(huán)節(jié)。試想：如果銀行職員上班時(shí)間BT下載、在線觀看視頻、訪問賭博網(wǎng)站等，這些行為通過部署于網(wǎng)關(guān)出口的防火墻就能得到控制嗎？銀行內(nèi)網(wǎng)一旦缺乏有效的管理手段必然會增加各項(xiàng)業(yè)務(wù)操作的風(fēng)險(xiǎn)，而且會嚴(yán)重影響工作效率。

存在問題：

隨著銀行業(yè)務(wù)的不斷豐富，銀行的各項(xiàng)業(yè)務(wù)運(yùn)作越來越多依賴于網(wǎng)絡(luò)平臺，為了達(dá)到銀行信息安全的要求，提高銀行的競爭力，需要構(gòu)建管理規(guī)范、流量平穩(wěn)、防止泄密的安全無憂內(nèi)網(wǎng)。目前銀行內(nèi)網(wǎng)管理存在以下問題：

1、銀行職員上班時(shí)觀看在線視頻、進(jìn)行BT下載等行為，對網(wǎng)絡(luò)出口帶寬造成了不小的壓力，銀行的正常業(yè)務(wù)運(yùn)用可能因?yàn)檫@些非工作性網(wǎng)絡(luò)應(yīng)用造成中斷；

2、銀行業(yè)務(wù)操作人員利用資金流相對便利，如何有效封堵加密的賭博網(wǎng)站、相關(guān)網(wǎng)絡(luò)應(yīng)用，是銀行迫切需要解決的問題。

解決方案：

針對上述問題，銀行選擇上網(wǎng)行為管理解決方案，希望通過對內(nèi)網(wǎng)用戶進(jìn)行明確的權(quán)限分配，規(guī)范銀行員工上班時(shí)網(wǎng)絡(luò)應(yīng)用；通過徹底的帶寬、流量控制，保障銀行業(yè)務(wù)系統(tǒng)帶寬，并進(jìn)一步提高銀行員工的網(wǎng)絡(luò)應(yīng)用效率。

功能及解決的問題：

1、內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限的細(xì)致劃分

針對銀行不同的部門，細(xì)致規(guī)定其部門員工的上網(wǎng)權(quán)限，讓合適的人上合適的網(wǎng)站，進(jìn)行合適的網(wǎng)絡(luò)應(yīng)用，超過該部門工作權(quán)限的網(wǎng)絡(luò)行為一律禁止。

上網(wǎng)行為管理設(shè)備針對銀行各部門進(jìn)行用戶組劃分，如信用卡中心、財(cái)務(wù)部……然后對基于人員劃分的用戶組賦予不同的上網(wǎng)權(quán)限，如：封掉信用卡中心炒股、加密交易網(wǎng)站應(yīng)用……上網(wǎng)行為管理設(shè)備甚至可以針對具體的用戶進(jìn)行上網(wǎng)權(quán)限分配。上網(wǎng)行為管理產(chǎn)品細(xì)致的權(quán)限分配，大大降低了網(wǎng)絡(luò)管理者的維護(hù)量，合理地規(guī)劃出局域網(wǎng)的組織結(jié)構(gòu)。

2、全面流量控制

事實(shí)上，一個(gè)2M以太網(wǎng)出口的局域網(wǎng)，只要有2個(gè)以上的員工不限速地使用BT，幾乎所有人的正常網(wǎng)絡(luò)瀏覽都將成為不可完成的任務(wù)。銀行帶寬出口雖然相對較大，但因?yàn)槠渚W(wǎng)絡(luò)應(yīng)用眾多，出口帶寬也面臨不小的壓力。

上網(wǎng)行為管理設(shè)備可進(jìn)行BT、加密BT、未知版本BT的全面封堵，而且不會像防火墻那樣被BT軟件通過轉(zhuǎn)換端口繞過去；通過基于人員、應(yīng)用、訪問網(wǎng)站類型等進(jìn)行帶寬分配、流量控制，銀行IT人員可以提前規(guī)劃好各部門網(wǎng)絡(luò)應(yīng)用流量，充分保障銀行正常業(yè)務(wù)運(yùn)作。

3、詳細(xì)的日志備份

銀行內(nèi)網(wǎng)用戶每天訪問互聯(lián)網(wǎng)時(shí)產(chǎn)生的日志十分巨大，亟需一個(gè)更大容量的數(shù)據(jù)備份機(jī)制，而傳統(tǒng)網(wǎng)關(guān)所能提供的硬盤存儲容量有限，且這些數(shù)據(jù)查詢頗為麻煩。

銀行關(guān)注日志信息的完整性和保密性，通過上網(wǎng)行為管理設(shè)備獨(dú)立的日志存儲中心，確保了銀行內(nèi)網(wǎng)網(wǎng)絡(luò)應(yīng)用日志的完整性與保密性。通過使用上網(wǎng)行為管理設(shè)備，銀行的管理者可以通過直觀的、圖象化的方式了解網(wǎng)絡(luò)帶寬的利用情況以及內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)訪問狀態(tài)，將網(wǎng)絡(luò)使用情況自動(dòng)生成報(bào)表并統(tǒng)計(jì)出網(wǎng)絡(luò)訪問的趨勢，以幫助系統(tǒng)管理員更好地維護(hù)和管理網(wǎng)絡(luò)。

2.5電力行業(yè)上網(wǎng)行為管理解決方案

項(xiàng)目背景：

隨著中國經(jīng)濟(jì)的進(jìn)一步發(fā)展，整個(gè)經(jīng)濟(jì)對能源的需求越來越強(qiáng)烈，工業(yè)發(fā)展、居民生活的用電需求更是不斷增高。而隨著國家產(chǎn)業(yè)升級、能源結(jié)構(gòu)的調(diào)整，綠色電力的概念也逐步深入人心。正是基于這一背景，整個(gè)電力行業(yè)迎來了發(fā)展的黃金時(shí)期。

目前電力行業(yè)內(nèi)網(wǎng)存在非業(yè)務(wù)流量擠占帶寬、機(jī)密信息存在泄密風(fēng)險(xiǎn)等問題，新的形勢要求電力行業(yè)構(gòu)建規(guī)范管控、流量平穩(wěn)、信息安全的內(nèi)網(wǎng)，具體要求如下：

1.對公司內(nèi)部員工進(jìn)行流量控制，限制員工P2P下載，保證網(wǎng)絡(luò)流量；

2.針對公司員工的上網(wǎng)行為軌跡進(jìn)行記錄，并支持報(bào)表分析；

3.對內(nèi)部聊天軟件進(jìn)行控制，保證員工上班時(shí)間的工作效率；

4.對現(xiàn)有網(wǎng)絡(luò)拓?fù)錉顩r不進(jìn)行改動(dòng)，保證現(xiàn)有網(wǎng)絡(luò)的穩(wěn)定性；

解決方案：

采用網(wǎng)橋模式部署深信服上網(wǎng)行為管理設(shè)備，即部署在防火墻和核心交換機(jī)之間。這樣就不需改變電廠原有的網(wǎng)絡(luò)拓?fù)浼霸O(shè)置，同時(shí)也可管控電廠內(nèi)網(wǎng)的網(wǎng)絡(luò)行為；同時(shí)也可以采用旁路模式部署，這種模式主要用于內(nèi)網(wǎng)用戶上網(wǎng)行為日志存儲。

部署拓?fù)淙缦拢?/p>

解決的問題：

1、網(wǎng)絡(luò)應(yīng)用封堵，提升辦公效率

通過電廠網(wǎng)絡(luò)出口的上網(wǎng)行為管理設(shè)備，通過IP/MAC、硬件特征碼綁定等技術(shù)，對用戶進(jìn)行唯一身份識別；之后將用戶根據(jù)業(yè)務(wù)部門、組織架構(gòu)進(jìn)行用戶組劃分及權(quán)限分配；對員工上班時(shí)的非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用——如在線視頻、在線游戲、在線炒股、聊天等進(jìn)行分時(shí)間段、分用戶組管控，人性化封堵，提升辦公效率。

2、流量控制，優(yōu)化網(wǎng)絡(luò)帶寬

電廠作為傳統(tǒng)企業(yè)，其網(wǎng)絡(luò)出口帶寬有限，而相應(yīng)的電力調(diào)度系統(tǒng)、OA辦公等網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)又較為完備，這必然帶來了網(wǎng)絡(luò)業(yè)務(wù)運(yùn)用與網(wǎng)絡(luò)帶寬不足間的矛盾，而且時(shí)常有用戶進(jìn)行BT下載等娛樂行為而擠占正常應(yīng)用帶寬。

針對于此，電廠通過上網(wǎng)行為管理設(shè)備對相應(yīng)用戶組進(jìn)行帶寬分配與流量控制，流量控制基于業(yè)務(wù)應(yīng)用類型、用戶組織權(quán)限等各種因素，細(xì)致全面地構(gòu)建平穩(wěn)流量內(nèi)網(wǎng)。

3、行為日志記錄與統(tǒng)計(jì)，保證信息安全

電廠通過上網(wǎng)行為管理設(shè)備進(jìn)行用戶流量統(tǒng)計(jì)、網(wǎng)絡(luò)應(yīng)用記錄、訪問網(wǎng)站軌跡等諸多信息安全管理行為。

4、宏觀網(wǎng)絡(luò)應(yīng)用分析，指導(dǎo)IT管控方向

電廠可根據(jù)上網(wǎng)行為管理設(shè)備記錄日志生成曲線、餅狀、柱狀、趨勢圖等，并可對相關(guān)網(wǎng)絡(luò)應(yīng)用、流量等進(jìn)行排名。用戶可根據(jù)自己所需信息生成宏觀分析圖表，如：內(nèi)網(wǎng)哪個(gè)用戶流量最大、哪些網(wǎng)絡(luò)應(yīng)用生成流量最大、哪些網(wǎng)站訪問最多……這樣電廠IT管理者便能根據(jù)日志分析圖表調(diào)整上網(wǎng)行為管理選項(xiàng)，為內(nèi)網(wǎng)管控、進(jìn)一步建設(shè)進(jìn)行決策。

通過上網(wǎng)行為管理解決方案，增強(qiáng)了網(wǎng)絡(luò)管控性，提高了電廠的競爭力。

第五篇：上網(wǎng)行為管理

上網(wǎng)行為管理的定義

幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析；

為什么要管理上網(wǎng)行為

“隨著互聯(lián)網(wǎng)的發(fā)展，它已經(jīng)到了必須控制和管理的時(shí)代，因?yàn)榫W(wǎng)上充滿了錯(cuò)誤的信息、虛假的信息，和非民主的力量?！?---蒂姆?伯納斯?李（互聯(lián)網(wǎng)之父）

水能載舟亦能覆舟!互聯(lián)網(wǎng)一方面能夠幫助企業(yè)提高生產(chǎn)力、促進(jìn)企業(yè)發(fā)展；另一方面也在企業(yè)管理、工作效率、信息安全、法律遵從、IT投資等方面給企業(yè)提出了嚴(yán)峻的問題與挑戰(zhàn)。

問題1：網(wǎng)速為什么越來越慢？

在辦公室里經(jīng)常會聽到有人抱怨“網(wǎng)速為什么這么慢？”，幾乎所有的企業(yè)都存在這樣的問題。那么企業(yè)花錢租用的10M甚至100M帶寬都被用在哪里了？為什么帶寬不斷擴(kuò)充，而網(wǎng)速并沒有明顯改善？

真相：帶寬資源也許正被濫用!

根據(jù)聯(lián)通公司發(fā)布的一份調(diào)查顯示：以迅雷、BT、eDonkey、KaZaA等為代表的P2P應(yīng)用，消耗了40%以上的有效網(wǎng)絡(luò)帶寬。而在企業(yè)租用的有限帶寬里，充斥著大量P2P下載、網(wǎng)絡(luò)電視等應(yīng)用流量，導(dǎo)致大量帶寬被非工作應(yīng)用所占用。而且，由于P2P的應(yīng)用特征，使得企業(yè)高額投資的帶寬成了互聯(lián)網(wǎng)公共服務(wù)。

誰？在什么時(shí)間？可以擁有多少帶寬資源？可以使用哪些網(wǎng)絡(luò)應(yīng)用？

問題2：網(wǎng)絡(luò)安全事故為什么防不勝防？

“堵漏洞、砌高墻、防外攻、防內(nèi)賊，防不勝防”，防火墻越“砌”越“高”，入侵檢測越做越復(fù)雜，病毒庫越來越龐大，身份系統(tǒng)層層設(shè)保，卻依然無法應(yīng)對層出不窮網(wǎng)絡(luò)安全威脅，難道那么多安全產(chǎn)品都是擺設(shè)？

真相：安全隱患來自內(nèi)部員工!

無論如何豪華的防線，一個(gè)漏洞就可以毀滅所有一切。Meta Group發(fā)布研究報(bào)告稱：“持續(xù)增長的安全威脅源自您的員工”。內(nèi)部人員通過互聯(lián)網(wǎng)與外部通訊時(shí)，可能會引入含有惡意的或者攻擊性的內(nèi)容，如若未能得到監(jiān)測和控制，這將成為企業(yè)的一大隱患。并且充滿誘惑的網(wǎng)絡(luò)資源往往是風(fēng)險(xiǎn)的發(fā)源地。

誰？在什么時(shí)間？是否可以上網(wǎng)？是否阻止訪問可能含有安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)內(nèi)容？

問題3：辦公室為成了免費(fèi)網(wǎng)吧!

據(jù)一項(xiàng)調(diào)查顯示，普通企業(yè)員工每天的互聯(lián)網(wǎng)訪問活中40％與工作無關(guān)，對色情等非法網(wǎng)站的訪問量70％都發(fā)生在工作時(shí)間。上班時(shí)間“上網(wǎng)休閑”已經(jīng)成為普遍現(xiàn)象，聊天、游戲、炒股、購物、BBS、電影、博客等無時(shí)無刻不在搶占正常的工作時(shí)間，辦公室因此淪為不需要花錢的“網(wǎng)吧”。

誰？在什么時(shí)間？可以用什么應(yīng)用？不可以訪問什么網(wǎng)站？

約束員工在互聯(lián)網(wǎng)上的行為，其實(shí)是在幫助員工匡正工作行為，丟棄不好的習(xí)慣，成為一個(gè)專業(yè)、敬業(yè)的職業(yè)人，這對員工自身的職業(yè)發(fā)展也是大有裨益的。

問題4：企業(yè)要為員工的網(wǎng)絡(luò)行為背黑鍋嗎？

目前，大部分企業(yè)內(nèi)部員工上網(wǎng)并不受限制，但是他們在網(wǎng)上做了什么？對外發(fā)了什么信息？企業(yè)完全不知情，也無記錄可查詢，這就給企業(yè)埋下了巨大的法律風(fēng)險(xiǎn)。

某企業(yè)被當(dāng)?shù)毓簿志W(wǎng)絡(luò)監(jiān)察處執(zhí)行嚴(yán)厲處罰，原因是查出該企業(yè)內(nèi)有員工在網(wǎng)上發(fā)布了違反法律的信息，但是無法查出是哪位員工所為，最后企業(yè)只得為這名“幕后英雄”背黑鍋。那么在這種情況下，企業(yè)必須為員工的個(gè)人網(wǎng)絡(luò)行為負(fù)責(zé)嗎？

誰？在什么時(shí)間？以何種方式？對外發(fā)了什么信息？發(fā)給了誰？

問題5：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)問題后不能快速的找到根源？

當(dāng)出口擁塞，網(wǎng)絡(luò)訪問異常時(shí)，只能通過網(wǎng)絡(luò)層面的的設(shè)備分析原因，簡單的插拔網(wǎng)線，復(fù)位設(shè)備，以希圖問題解決。但本質(zhì)，內(nèi)在的源頭無法定位。

IT系統(tǒng)追求的的是性價(jià)比，一位的遷就會隱藏更大的隱患，我們需要專業(yè)的洞悉網(wǎng)絡(luò)問題應(yīng)用源頭的能力，能夠分析問題的普遍性，嚴(yán)重性，共通性。利用上網(wǎng)行為管理產(chǎn)品能夠做到：

哪些人群的應(yīng)用異常？哪些行為在單位內(nèi)最普遍？哪些部門隱患最突出？ 編輯本段上網(wǎng)行為管理的實(shí)施步驟

洞悉－＞管控－＞駕馭

step1:企業(yè)要做好上網(wǎng)行為管理，必須先洞悉企業(yè)內(nèi)使用互聯(lián)網(wǎng)的過程中存在哪些問題？因?yàn)椴煌髽I(yè)面臨的問題不同，需要先了解到底有哪些問題？

step2:然后分析問題的根源，再制定有針對性的策略管控問題；上網(wǎng)行為管理策略必須是有針對性的、個(gè)性化的，這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求；

step3:最后通過審計(jì)報(bào)表了解問題解決的程度和效果，再根據(jù)報(bào)表做管理策略優(yōu)化，進(jìn)而達(dá)到駕馭互聯(lián)網(wǎng)、實(shí)現(xiàn)上網(wǎng)行為管理的價(jià)值。

上網(wǎng)行為管理產(chǎn)品對比

硬件與軟件之分

從產(chǎn)品形態(tài)來看，目前上網(wǎng)行為管理分為硬件和軟件2種，但是國內(nèi)以硬件為主流，國外以軟件為主流；

硬件的優(yōu)勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,運(yùn)輸不方便,維護(hù)復(fù)雜,維修需要專業(yè)認(rèn)識，技術(shù)支持不到位

軟件的優(yōu)勢：成本適當(dāng),維護(hù)簡單、安裝容易、升級快速,可以在公司隨便找個(gè)機(jī)器部署.軟件的劣勢：對于國企和政府來說，沒有一個(gè)東西不放心,所以國內(nèi)政府偏硬件，企業(yè)偏軟件。

以上對比，并不是絕對的說法。目前的軟硬件結(jié)合模式越來越多。包括加入準(zhǔn)入模式、VPN的上網(wǎng)行為管理,基于客戶端的內(nèi)網(wǎng)管理模式和文檔管理模式，為的是內(nèi)外兼修，從各種方向去彌補(bǔ)單一產(chǎn)品的不足。企業(yè)應(yīng)該根據(jù)自身的應(yīng)用需求，去選擇自己需要而合理的方案。如果只是追求單一產(chǎn)品本身的應(yīng)用，在信息化建設(shè)的綜合成本上一定會超出很多預(yù)算，無謂地增加了更多的信息化成本。

產(chǎn)品適用范圍之分

市面上目前能夠提供全面或部分上網(wǎng)行為管理功能的產(chǎn)品，已經(jīng)有幾十種。如果以產(chǎn)品適用范圍來區(qū)分，通常分為這樣3類。

1，適合同時(shí)上網(wǎng)PC數(shù)量低于50臺。

這類產(chǎn)品一般以純軟件型和低端寬帶路由器集成QQ、MSN、BT等的過濾為主。純軟件型產(chǎn)品通常成本低廉、穩(wěn)定性較差，適合對上網(wǎng)行為管理有需求，但預(yù)算有限的用戶。低端寬帶路由器集成針對部分常見應(yīng)用或軟件的過濾功能，同樣以價(jià)格低廉勝出。在提供基本組網(wǎng)應(yīng)用的同時(shí)，兼顧最基礎(chǔ)的上網(wǎng)行為管理需求，較容易被價(jià)格敏感的用戶接受。

2，適合同時(shí)上網(wǎng)PC數(shù)量在50~200臺之間。

這類產(chǎn)品一般以高性能上網(wǎng)行為管理設(shè)備和帶自主研發(fā)Kercap引擎的軟件產(chǎn)品為主。即在高性能網(wǎng)關(guān)路由器上，增加深度包檢測(DPI)功能。通過分析網(wǎng)絡(luò)應(yīng)用特征碼，配合智能帶寬管理、自動(dòng)行為管控等綜合策略，全面管理聊天、在線視頻、股票、游戲、P2P下載、暴力及色情等非法網(wǎng)站等的過濾，并配合WAN口流量統(tǒng)計(jì)、LAN側(cè)用戶流量統(tǒng)計(jì)、并發(fā)session統(tǒng)計(jì)等功能，提供綜合的管理手段。通常價(jià)格較軟件產(chǎn)品或低端路由器略高，但功能更全面，性能更穩(wěn)定，性價(jià)比較能夠?yàn)榇说纫?guī)模的企業(yè)用戶所接受。

3，適合200臺以上的PC同時(shí)上網(wǎng)的管理。

這類產(chǎn)品通常是采用硬件與軟件結(jié)合的方式。即同樣的軟件版本，安裝在不同檔次的工業(yè)計(jì)算機(jī)上，經(jīng)過反復(fù)的測試后，根據(jù)所安裝的工業(yè)計(jì)算機(jī)的處理性能不同，可以涵蓋到200~500，500~1000，甚至更大范圍的并發(fā)應(yīng)用。由于有性能更為強(qiáng)大的工業(yè)計(jì)算機(jī)作為處理平臺，這類產(chǎn)品能夠提供的功能更加豐富，部分產(chǎn)品甚至可以緩存上網(wǎng)瀏覽或發(fā)送的內(nèi)容，檢索出可能涉及泄露公司機(jī)密、觸犯法律或不適合上班時(shí)間處理的內(nèi)容，進(jìn)而采取相應(yīng)的策略加以限制。對于規(guī)模較大的公司，IT管理對技術(shù)的依賴更加側(cè)重，需要管理的內(nèi)容和管理的手段更加廣泛，以適應(yīng)大批量管理的需要。此類產(chǎn)品由于其復(fù)雜的功能需要高性能的工業(yè)計(jì)算機(jī)才能夠支撐，因此起步價(jià)格通常因硬件成本的因素，只有規(guī)模和需求達(dá)到一定程度的中大型企業(yè)可以接受。

目前也有部分此類廠家推出了適合中小規(guī)模用戶的產(chǎn)品，功能上沒有太大的差異，只是選擇更為低廉的工業(yè)計(jì)算機(jī)進(jìn)行處理，從而降低了整體成本和適用范圍，以滿足中小規(guī)模用戶的需求。價(jià)格也相應(yīng)的降到萬元以下。

產(chǎn)品定價(jià)

根據(jù)軟件硬件產(chǎn)品、產(chǎn)品工業(yè)等級、產(chǎn)品硬件內(nèi)核模組、產(chǎn)品管理規(guī)模、產(chǎn)品適用范圍的區(qū)分，產(chǎn)品定價(jià)的幅度也有極大的變化。

如低端產(chǎn)品線：價(jià)格從數(shù)百元至數(shù)千元不等。即便是軟件產(chǎn)品。也有高達(dá)十萬元的價(jià)位。而高端產(chǎn)品線，從主流廠商報(bào)價(jià)來看，從幾萬到幾十萬的價(jià)格不等。若是在高校、骨干線路的應(yīng)用方案中，為了滿足需求，采用雙核、四核、G級的硬件模組的設(shè)備其價(jià)位更高。

旁路與串接之分

從部署的方式來看，主要分為旁路與串接之分，這主要看用戶對上網(wǎng)行為的管理程度來決定。

旁路：不容易造成單點(diǎn)故障，但是控制和管理的效果不理想；

串接：控制和管理的效果好，但是容易造成單點(diǎn)故障；

目前國內(nèi)主流的廠商提供的產(chǎn)品都比較穩(wěn)定，單點(diǎn)故障率較小，建議用戶在條件允許的情況下采用串接方式部署

對于以備份(郵件，聊天，網(wǎng)頁審計(jì))為主的建議采用旁路方式的軟件。

國外與國內(nèi)

一直以來，很多用戶都認(rèn)為國外的產(chǎn)品和技術(shù)要優(yōu)于國內(nèi)廠商，但是上網(wǎng)行為管理產(chǎn)品并不如此。

上網(wǎng)行為管理產(chǎn)品是用來管理互聯(lián)網(wǎng)訪問內(nèi)容和互聯(lián)網(wǎng)使用者的，這與企業(yè)的文化、管理制度、人文環(huán)境、法律法規(guī)都非常相關(guān)，例如：

國外與中國在成人內(nèi)容上的分級不同，導(dǎo)致對成人內(nèi)容的過濾結(jié)果不同；

國外與中國的流行網(wǎng)絡(luò)應(yīng)用不同，有很多是只有中國用戶使用的網(wǎng)絡(luò)應(yīng)用，而國外的產(chǎn)品往往不能支持對這些應(yīng)用的控制和管理；

建議國內(nèi)用戶盡量選擇使用國內(nèi)廠商推出的上網(wǎng)行為管理產(chǎn)品，畢竟中國的廠商更了解中國用戶的互聯(lián)網(wǎng)環(huán)境和互聯(lián)網(wǎng)使用習(xí)慣。

編輯本段上網(wǎng)行為管理主要功能

網(wǎng)頁訪問過濾

互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時(shí)間訪問如色情、賭博、病毒等具有高度安全風(fēng)險(xiǎn)的網(wǎng)頁，以及購物、招聘、財(cái)經(jīng)等與工作無關(guān)的網(wǎng)頁，將極大的降低生產(chǎn)效率。

通過上網(wǎng)行為管理產(chǎn)品，用戶可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個(gè)性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。

網(wǎng)絡(luò)應(yīng)用控制

聊天、看電影、玩游戲、炒股票等等，互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門，如果員工長期沉迷于這些應(yīng)用，也將成為企業(yè)生產(chǎn)效率的巨大殺手，并可能造成網(wǎng)速緩慢、信息外泄的可能。

通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時(shí)間做合適的事

帶寬流量管理

P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預(yù)算擴(kuò)充帶寬以外，企業(yè)還可以選擇合理化分配和管理帶寬。

通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定精細(xì)的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。

信息內(nèi)容審計(jì)

發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經(jīng)司空見慣，然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。

通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的法律風(fēng)險(xiǎn)。

上網(wǎng)行為分析

隨著互聯(lián)網(wǎng)上的活動(dòng)愈演愈烈，實(shí)時(shí)掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風(fēng)險(xiǎn)。

通過上網(wǎng)行為管理產(chǎn)品，用戶可以實(shí)時(shí)了解、統(tǒng)計(jì)、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。