第一篇：上網(wǎng)行為管理解決方案（推薦）

上網(wǎng)行為管理解決方案

一．上網(wǎng)行為管理產(chǎn)品產(chǎn)生的背景

在Internet飛速發(fā)展的今天，網(wǎng)絡(luò)已成為企業(yè)的重要生產(chǎn)工具，員工通過網(wǎng)絡(luò)可以查找資料、溝通交流和從事電子商務(wù)等，但是相應(yīng)的多種問題伴隨而生，例如：

1.與工作無關(guān)的 P2P 和在線視頻等應(yīng)用占用帶寬

2.與工作無關(guān)的聊天、炒股、游戲、博客和在線購物等活動影響工作效率。

3.員工隨意在網(wǎng)絡(luò)上發(fā)帖和傳輸文件導(dǎo)致機密泄露 4.員工上網(wǎng)容易受到病毒、木馬和蠕蟲等攻擊和感染 5.員工通過網(wǎng)絡(luò)從事一些黃賭毒等違法活動 6.員工瀏覽和發(fā)布不良言論導(dǎo)致企業(yè)面臨法律風(fēng)險 為解決以上一系列的問題，上網(wǎng)行為管理產(chǎn)品應(yīng)運而生。二．上網(wǎng)行為管理產(chǎn)品給用戶帶來的價值

上網(wǎng)行為管理產(chǎn)品帶來了全面的互聯(lián)網(wǎng)行為管理解決方案。在此，我們以華為的ASG2000系列產(chǎn)品為例，從URL過濾、應(yīng)用行為控制、流量管理、web內(nèi)容過濾、上網(wǎng)行為審計等幾個方面闡述行為管理產(chǎn)品為用戶帶來的價值： 1． 應(yīng)用控制和URL過濾： 企業(yè)或者組織接入互聯(lián)網(wǎng)的帶寬一般非常有限。當這個有限的帶寬充斥了大量的無關(guān)應(yīng)用（如在線游戲、P2P和在線視頻）的時候，一些重要應(yīng)用將受到擠壓，基本帶寬得不到保證，使得網(wǎng)絡(luò)對于工作和重要業(yè)務(wù)不再可用。該應(yīng)用通過應(yīng)用層數(shù)據(jù)識別，對數(shù)據(jù)流中的應(yīng)用層數(shù)據(jù)進行內(nèi)容檢測。通過對解析的數(shù)據(jù)包，使用應(yīng)用特征庫中的規(guī)則，對應(yīng)用數(shù)據(jù)進行匹配，識別出在線游戲、P2P和在線視頻等多種類型的網(wǎng)絡(luò)數(shù)據(jù)流量，然后根據(jù)用戶對該類應(yīng)用配置的動作允許還是阻斷數(shù)據(jù)包。URL過濾在企業(yè)中是非常重要的功能，員工隨意不受控地訪問非法網(wǎng)站，不僅嚴重影響工作效率而且威脅企業(yè)網(wǎng)絡(luò)安全。URL過濾對用戶的URL請求進行訪問控制，允許或禁止用戶訪問某些網(wǎng)絡(luò)資源，可以達到規(guī)范上網(wǎng)行為的目的。

2． 流量管理：基于時間段、部門/用戶和應(yīng)用/應(yīng)用類型，對網(wǎng)絡(luò)游戲、在線網(wǎng)頁視頻和P2P視頻等帶寬濫用的應(yīng)用進行限速，確保正常業(yè)務(wù)的帶寬使用，為各部門劃分和分配出口帶寬。同時提供帶寬保證措施，保證關(guān)鍵應(yīng)用對外提供服務(wù)的帶寬、保證內(nèi)部重要人員的上網(wǎng)帶寬。

3． web內(nèi)容過濾：Web內(nèi)容過濾可以對HTTP協(xié)議傳輸?shù)腤eb頁面內(nèi)容和附件以及對FTP協(xié)議外傳的附件進行控制，可以控制的項目包括： 按關(guān)鍵字過濾內(nèi)網(wǎng)用戶通過Web頁面提交的文本（如BBS、論壇發(fā)帖），并控制提交文本內(nèi)容的大小。通過文件大小和文件類型控制HTTP方式和FTP方式的文件外傳。Web瀏覽關(guān)鍵字過濾：內(nèi)網(wǎng)用戶通過瀏覽器瀏覽Web頁面時，按關(guān)鍵字過濾Web頁面上的文本。

4． 上網(wǎng)行為審計：用戶訪問的網(wǎng)站，包括成功訪問和意圖訪問但被阻斷的網(wǎng)站，攻擊防范、入侵防御和反病毒日志，上網(wǎng)時長和上網(wǎng)流量日志，同時支持審計某應(yīng)用協(xié)議的上網(wǎng)時長和上網(wǎng)流量，通過HTTP協(xié)議外發(fā)的文本內(nèi)容，通過HTTP、FTP和郵件進行文件收發(fā)的日志，用戶使用搜索引擎搜索過的關(guān)鍵字，郵件收發(fā)日志等審計內(nèi)容。除以上功能外華為產(chǎn)品還支持惡意流量檢測，基于特征碼的病毒檢測等功能。

其他廠家產(chǎn)品及功能：除華為產(chǎn)品之外，還有深信服，網(wǎng)康，飛魚星等廠家的產(chǎn)品，主要包括以下功能：網(wǎng)絡(luò)流量管理，P2P軟件的控制，攔截不良網(wǎng)頁，文件傳輸控制，IM（即時通訊）軟件的管理，應(yīng)用控制，上網(wǎng)時間管理，外發(fā)信息控制等。三．上網(wǎng)行為管理產(chǎn)品部署方式： 1．網(wǎng)橋模式（二層模式）

適用場景：企業(yè)具有出口網(wǎng)關(guān)，不希望改動現(xiàn)有網(wǎng)絡(luò)環(huán)境。2．網(wǎng)關(guān)模式（三層模式）

適用場景：企業(yè)沒有出口網(wǎng)關(guān)，需要使用ASG做出口網(wǎng)關(guān)。3．旁路模式

適用場景：旁路模式通過交換機或HUB的流量鏡像功能把用戶的上網(wǎng)數(shù)據(jù)鏡像到上網(wǎng)行為管理設(shè)備，從而實現(xiàn)對上網(wǎng)行為的審計。旁路組網(wǎng)時即使ASG發(fā)生故障也不會影響網(wǎng)絡(luò)業(yè)務(wù)。四．上網(wǎng)行為管理功能列表： 下面功能列表以華為產(chǎn)品為例：

五．應(yīng)用舉例

政府信息中心上網(wǎng)行為管理；政府機關(guān)網(wǎng)絡(luò)一般包括政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)，電子政務(wù)規(guī)劃要求下屬單位需要通過政府信息中心的互聯(lián)網(wǎng)出口統(tǒng)一上網(wǎng)，但是也存在個別下屬單位由于特殊原因擁有自己的互聯(lián)網(wǎng)出口。政務(wù)內(nèi)網(wǎng)跟互聯(lián)網(wǎng)物理隔離，政務(wù)外網(wǎng)是辦公人員跟外面進行信息交流的通道，也是政務(wù)公開和網(wǎng)上辦事的窗口。在有獨立互聯(lián)網(wǎng)出口的總部和分支機構(gòu)分別部署ASG設(shè)備，通過ASG Manager對ASG設(shè)備進行集中統(tǒng)一管理。通過劃分上網(wǎng)權(quán)限、管理出口帶寬、管控法律風(fēng)險、全面網(wǎng)絡(luò)行為審計，有效降低互聯(lián)網(wǎng)風(fēng)險、滿足法律法規(guī)要求。組網(wǎng)圖：

該應(yīng)用場景主要實現(xiàn)如下目的： 1．管理出口帶寬

基于時間段、部門/用戶和應(yīng)用/應(yīng)用類型，對網(wǎng)絡(luò)游戲、在線網(wǎng)頁視頻和P2P視頻等帶寬濫用的應(yīng)用進行限速，確保正常業(yè)務(wù)的帶寬使用，為各部門劃分和分配出口帶寬。同時提供帶寬保證措施，保證關(guān)鍵應(yīng)用對外提供服務(wù)的帶寬、保證內(nèi)部重要人員的上網(wǎng)帶寬。2． 管控上網(wǎng)權(quán)限

根據(jù)不同部門/用戶（單位）分配不同的互聯(lián)網(wǎng)資源訪問權(quán)限。3． 管控法律風(fēng)險 過濾瀏覽的不良網(wǎng)站和非法網(wǎng)站（反動、色情、暴力、博彩等），過濾發(fā)布非法言論。4． 審計和監(jiān)督

記錄網(wǎng)絡(luò)訪問行為。5． 威脅過濾

過濾釣魚、網(wǎng)馬和惡意軟件下載等惡意網(wǎng)站，確保用戶安全上網(wǎng)。六．硬件設(shè)備 以華為產(chǎn)品為例

七．實施周期 根據(jù)已經(jīng)實施過的華為工程（大唐國際和高壓開關(guān)廠），測算一臺ASG設(shè)備大概1周/人可實施完畢。

運維部-李紅光

2015年1月6日

第二篇：上網(wǎng)行為管理解決方案

上網(wǎng)行為管理解決方案

泉州市東達網(wǎng)絡(luò)科技有限公司

2014-09-22

目錄

第1章 第2章 第3章

3.1 3.2 應(yīng)用背景......................................................................................................1 問題分析......................................................................................................1 帶寬使用情況探知......................................................................................1 用戶識別......................................................................................................2 應(yīng)用識別......................................................................................................2 3.2.1 3.2.2

第4章

4.1 4.2 URL訪問行為...................................................................................2 互聯(lián)網(wǎng)應(yīng)用類型訪問控制................................................................2

規(guī)范網(wǎng)絡(luò)使用行為，提高工作效率..........................................................3 靈活的用戶識別和認證方式......................................................................3 細致全面的應(yīng)用流量識別技術(shù)..................................................................4 4.2.1 4.2.2 4.2.3 URL識別...........................................................................................4 國內(nèi)最大的應(yīng)用協(xié)議庫....................................................................4 P2P智能識別....................................................................................5

4.3 靈活的網(wǎng)絡(luò)控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的訪問的合理分配...................................................................6 基于網(wǎng)站類型，文件類型的流量管理............................................6 IM聊天軟件靈活管控......................................................................6 炒股軟件、游戲軟件的封堵............................................................6 P2P流媒體和P2P下載的管控........................................................6

i

第1章

應(yīng)用背景

互聯(lián)網(wǎng)在中國的普及已經(jīng)超過20多年，尤其是最近幾年得到了飛速的發(fā)展，網(wǎng)絡(luò)改變了我們的工作和生活方式，尤其是對工作帶來了極大的便利，而組織內(nèi)網(wǎng)員工使用IM聊天、網(wǎng)上購物、在線欣賞音樂和電影，通過BT等P2P工具下載互聯(lián)網(wǎng)資源、收發(fā)個人郵件、在論壇上舞文弄墨……只要員工有興趣，他們就能在上班時間盡情享受互聯(lián)網(wǎng)帶來的樂趣;然而隨著網(wǎng)絡(luò)應(yīng)用的越來越豐富，尤其是諸如P2P等流量吞噬十分厲害的下載技術(shù)的出現(xiàn)使得原本飛快的網(wǎng)絡(luò)變的越來越慢，多數(shù)企業(yè)發(fā)現(xiàn)他們花高代價增加的帶寬很快又不能滿足業(yè)務(wù)的需要，另一方面，員工職業(yè)化程度不夠高的組織內(nèi)部會存在大量的用戶上班時間用來炒股、聊天、看電影、打游戲等活動，極大的降低了工作效率，組織機構(gòu)花費極大的代價的網(wǎng)絡(luò)被濫用，1個500人人均工資2000的中型機構(gòu)，如果他的員工每天浪費0.5個小時在業(yè)務(wù)無關(guān)應(yīng)用上面一年下來的損失高達150萬元；而多數(shù)企業(yè)員工進行業(yè)務(wù)無關(guān)網(wǎng)絡(luò)應(yīng)用的時間遠遠超過0.5小時，每年損失的人力成本已經(jīng)幾乎超過網(wǎng)絡(luò)帶來的便利，領(lǐng)導(dǎo)者陷入了兩難的困境，亟需對網(wǎng)絡(luò)使用進行合理的管控。

第2章

問題分析

面對上述問題，以下幾個問題是需要迫切需要解決的

1.內(nèi)網(wǎng)到底發(fā)生了什么？需要一種行之有效的方法探知每個人每天上網(wǎng)行為的明細情況;2.什么應(yīng)用搶占了帶寬，導(dǎo)致了核心業(yè)務(wù)應(yīng)用的速度慢，員工上班時間主要有哪些工作無關(guān)的應(yīng)用需要進行管控;3.面對混亂的內(nèi)網(wǎng)環(huán)境，如何建立起合理的有效的使用規(guī)范？保證網(wǎng)絡(luò)使用主要是用來創(chuàng)造效益。

第3章

帶寬使用情況探知

面對上述情況，我們首先需要的就是探知內(nèi)網(wǎng)用戶的流量使用情況，要探知內(nèi)網(wǎng)用戶的流量使用情況，以下幾個步驟需要解決：

1.用戶識別

2.應(yīng)用識別

3.圖形圖表分析網(wǎng)絡(luò)使用狀況

3.1 用戶識別

大型組織的上網(wǎng)用戶眾多，互聯(lián)網(wǎng)應(yīng)用紛繁復(fù)雜，加上長期以來形成上網(wǎng)無需認證，允許使用迅雷，在線影音娛樂不禁止等上網(wǎng)習(xí)慣，使得網(wǎng)絡(luò)流量、行為情況變得異常復(fù)雜。

需要通過基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權(quán)限控制，對于不同的員工、部門實現(xiàn)分開管理，只有在很好的對人員進行區(qū)分以后，才能在上網(wǎng)行為的管理上責(zé)任到個人，使組織形成良好的上網(wǎng)行為氛圍，營造高效和諧的辦公自動化平臺。

3.2 應(yīng)用識別

3.2.1 URL訪問行為

面對海量的URL地址，需要識別用戶上班時間主要訪問哪些網(wǎng)址，哪些是業(yè)務(wù)相關(guān)網(wǎng)站，哪些是業(yè)務(wù)無關(guān)網(wǎng)站。

3.2.2 互聯(lián)網(wǎng)應(yīng)用類型訪問控制

上網(wǎng)行為管理設(shè)備對互聯(lián)網(wǎng)的應(yīng)用訪問控制主要包括以下幾個方面：

通過內(nèi)置了的應(yīng)用協(xié)議規(guī)則，對于諸如IM聊天類、下載工具類、P2P流媒體類、網(wǎng)絡(luò)游戲類、炒股類基于應(yīng)用協(xié)議特征碼的識別，而不是基于傳統(tǒng)IP、端口識別。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)上的P2P行為層出不窮，如果只能對一些已知的P2P行為，比如BT、eMule、QQLive等進行識別控制，顯然是不夠的。還需要能根據(jù)P2P協(xié)議特征的智能分析技術(shù)有效識別未知的、新的P2P行為。還需要能夠?qū)用蹷T、加密P2P行為進行準確識別與控制。做到對P2P行為的全面監(jiān)控。

第4章 規(guī)范網(wǎng)絡(luò)使用行為，提高工作效率

通過上述的行為探知并分析并得知我們內(nèi)網(wǎng)目前到底存在哪些問題？那么我們?nèi)绾蝸斫鉀Q這些問題，任何的上網(wǎng)行為和控制策略都必須要基于用戶或是用戶組來施行，只有很好的對人員進行認證和區(qū)分才能很好的保障流量管理的成功實施，另一方面，我們需要對應(yīng)用進行細致全面的識別，只有合理的識別應(yīng)用類型，進行細致的歸類和區(qū)分，才能保障我們的上網(wǎng)行為管理的效果對人員和應(yīng)用有了細致識別的區(qū)分以后就需要針對用戶/用戶組、時間段、應(yīng)用類型、文件類型等進行細致的流量管理了。

SANGFOR AC作為業(yè)界領(lǐng)先上網(wǎng)行為管理產(chǎn)品是通過如下領(lǐng)先的技術(shù)來幫助用戶建立一個和諧高效的網(wǎng)絡(luò)使用環(huán)境，保障用戶工作相關(guān)應(yīng)用得到有效的保障。

4.1 靈活的用戶識別和認證方式

網(wǎng)絡(luò)流量的產(chǎn)生來源于用戶，因此，有效流量的管理的前提是必須先對用戶進行有效識別和管理。SANGFOR AC設(shè)備提供了強大的用戶管理系統(tǒng)，提供了多樣化的用戶管理手段實現(xiàn)了基于用戶的流量管理，在動態(tài)IP環(huán)境下保證用戶身份與管理策略的有效結(jié)合，真正的做到了使內(nèi)網(wǎng)的流量管理責(zé)任到人。

功能優(yōu)勢：

? 豐富多樣的用戶精確識別方式； ? 快速、有效的為用戶分配網(wǎng)絡(luò)接入權(quán)限； ? 與第三方用戶管理服務(wù)器的完美聯(lián)動； ? 未知用戶網(wǎng)絡(luò)接入權(quán)限快速歸類； ? 最終實現(xiàn)基于用戶名的流量管理；

4.2 細致全面的應(yīng)用流量識別技術(shù)

4.2.1 URL識別

SANGFOR AC上網(wǎng)行為管理設(shè)備內(nèi)置千萬級的URL庫，提供了近40種內(nèi)置的更加細粒度的URL分類：新聞類、娛樂類、體育類、色情類、暴力類、反動類、迷信類、宗教類、股票類等等。

SANGFOR AC的URL庫支持用戶手工添加，并支持創(chuàng)建新分類；用戶可以根據(jù)自己的具體需求，添加有具有個性管理的URL地址并分類，進行需求的控制。

SANGFOR AC具有智能學(xué)習(xí)的功能，能夠根據(jù)關(guān)鍵字和類似網(wǎng)頁進行網(wǎng)頁的分析和學(xué)習(xí)，自動更新用戶自定義分類。

4.2.2 國內(nèi)最大的應(yīng)用協(xié)議庫

SANGFOR AC內(nèi)置了24大類、500余條的應(yīng)用協(xié)議規(guī)則，例如：IM聊天類、下載工具類、P2P流媒體類、網(wǎng)絡(luò)游戲類、炒股類等等。基于應(yīng)用協(xié)議特征碼的識別，有別于傳統(tǒng)IP、端口識別。

每一個分類下面有包含著眾多的應(yīng)用協(xié)議規(guī)則，比如IM聊天類，包含的應(yīng)用協(xié)議規(guī)則有：QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能識別UUCALL、雅虎通等語音視頻聊天工具。

具有多個智能識別規(guī)則，能識別諸如自由門，無界瀏覽器等代理軟件，識別SKYPE,識別RTP語音視頻信息。

支持域名的智能識別?？梢愿鶕?jù)目標域名的弱特征，流特征等來識別內(nèi)網(wǎng)用戶與目標域名的會話連接，從而更智能的進行控制。

SANGFOR AC的應(yīng)用協(xié)議庫支持用戶手工添加，完成個性化需求配置、識別、控制。

4.2.3 P2P智能識別

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)上的P2P行為層出不窮，如果只能對一些已知的P2P行為，比如BT、eMule、QQLive等進行識別控制，顯然是不夠的。

SANGFOR AC除了能夠識別已知的P2P行為之外，還能根據(jù)SANGFOR AC的基于統(tǒng)計學(xué)的智能分析技術(shù)有效識別未知的、新的P2P行為。同時SANGFOR AC還能夠?qū)用蹷T、加密P2P行為進行準確識別與控制。做到對P2P行為的全面監(jiān)控。

4.3 靈活的網(wǎng)絡(luò)控制策略

4.3.1 URL的訪問的合理分配

組織內(nèi)部根據(jù)部門職能的不同于業(yè)務(wù)相關(guān)的網(wǎng)站類型也不一樣，諸如財務(wù)部主要關(guān)注財經(jīng)類網(wǎng)站，而市場人員主要工作相關(guān)網(wǎng)絡(luò)主要是行業(yè)相關(guān)網(wǎng)站，相關(guān)的市場機會網(wǎng)站，SANGFOR AC可以基于不同的用戶群體劃分不同網(wǎng)頁內(nèi)別的訪問規(guī)則。

支持根據(jù)業(yè)務(wù)需要定義URL類別，通過SANGFOR AC獨有的智能識別技術(shù)，對客戶定義類別的網(wǎng)站進行智能學(xué)習(xí)和分類。

有效的封堵在線流媒體的使用，如新浪視頻網(wǎng)站等。

4.3.2 基于網(wǎng)站類型，文件類型的流量管理

基于網(wǎng)站類型的流量管理，可以針對諸如人力資源部保障招聘類網(wǎng)站的訪問速度不少于40KBPS，基于文件類型的流控：例如對內(nèi)網(wǎng)下載電影文件進行帶寬限制，限制公司整體群組下載電影類文件的帶寬不高于2Mbps。

4.3.3 IM聊天軟件靈活管控

能夠完整識別各類IM聊天軟件，可以實現(xiàn)靈活的控制策略，對于市場人員可以允許使用部分業(yè)務(wù)相關(guān)的即時聊天工具，而對于其他人員主要通過郵件交流或是開放部分不通用的聊天軟件來進行內(nèi)部的溝通。

4.3.4 炒股軟件、游戲軟件的封堵

除了公司高層領(lǐng)導(dǎo)需要關(guān)注股價以外，組織內(nèi)部其他人員對于炒股軟件的使用嚴重影響了工作效率，SANGFOR AC全面的識別各類炒股軟件，在線炒股的網(wǎng)址，進行全面的封堵，有效提高工作效率。

SANGFOR AC目前已經(jīng)能識別包括魔獸世界，CS，泡泡堂等在內(nèi)70多款的在線游戲，進行完全封堵保障內(nèi)網(wǎng)工作效率。

4.3.5 P2P流媒體和P2P下載的管控

P2P流媒體不但影響工作效率，而且對帶寬的過度占用導(dǎo)致了業(yè)務(wù)應(yīng)用的緩慢，6

SANGFOR AC能智能識別P2P流量，對于不常見的或是新出現(xiàn)的P2P類應(yīng)用軟件也可以根據(jù)其流量特征進行有效的識別，從而細致精準保證網(wǎng)絡(luò)帶寬的合理使用，禁止P2P的行為既保證了員工上班時間工作效率，也保障了核心應(yīng)用的帶寬。

第三篇：人臉識別上網(wǎng)行為管理解決方案

人臉識別上網(wǎng)行為管理解決方案

一、上網(wǎng)行為管理產(chǎn)品產(chǎn)生的背景

在Internet飛速發(fā)展的今天，網(wǎng)絡(luò)已成為企業(yè)、個人的重要應(yīng)用，但在應(yīng)用當中，兒童使用電腦時長不受控制？機密文件密碼保護易被破解？各種登陸密碼記不住？電腦被偷窺？還有什么PC應(yīng)用問題讓你擔(dān)憂呢??為解決以上一系列的問題，基于人臉識別技術(shù)的上網(wǎng)行為管理產(chǎn)品應(yīng)運而生。

二、人臉識別上網(wǎng)行為管理產(chǎn)品給用戶帶來的價值

人臉識別上網(wǎng)行為管理產(chǎn)品帶來了全面的互聯(lián)網(wǎng)行為管理解決方案。它能夠通過“刷臉”登陸電腦系統(tǒng)、開啟重要文件、遠程教育者身份認證、養(yǎng)老金領(lǐng)取身份認證、寶貝電腦應(yīng)用系統(tǒng)權(quán)限控制和時間控制??

1、父母為電腦開機設(shè)置N多復(fù)雜密碼，孩子總會輕易破解，如果采用人臉識別上網(wǎng)行為管理，不用設(shè)置任何密碼，只需要“刷臉”身份認證，又能控制孩子上網(wǎng)時長。

2、基于人臉識別技術(shù)的攝像頭不僅僅只是聊天的工具，更能你杜絕艷照門事件的發(fā)生

3、企業(yè)重要崗位或個人機密文件更多的是用密碼保護，但很容易被破解。采用人臉識別上網(wǎng)系統(tǒng)，當你離開坐位時，屏幕會自動鎖緊，返回坐位，電腦只會認識你，只有你“刷臉”才能打開電腦

管理人員刷臉進入系統(tǒng)

4、

第四篇：深信服上網(wǎng)行為管理解決方案

有線無線網(wǎng)絡(luò) 統(tǒng)一上網(wǎng)行為管理方案

東莞市廣云網(wǎng)絡(luò)科技有限公司

聯(lián)系人：許應(yīng)甫 *** 0769－89868856 QQ：35447664 地址：東莞市南城區(qū)第一國際D座1810室

2015年8月10日

第1章 需求概述

1.1 背景介紹

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，組織的業(yè)務(wù)模式和員工的工作模式、行為習(xí)慣都在不斷發(fā)生改變：

? 網(wǎng)上業(yè)務(wù)：組織建設(shè)了更多的網(wǎng)上業(yè)務(wù)平臺，通過互聯(lián)網(wǎng)來開展業(yè)務(wù)；

? 溝通橋梁：內(nèi)部員工也更加依賴互聯(lián)網(wǎng)與外部的合作伙伴、人員進行溝通和交流，提升工作效率，獲取資訊和知識，維系人脈關(guān)系；

? 移動互聯(lián)網(wǎng)：移動互聯(lián)網(wǎng)的消費化趨勢也逐漸影響到組織內(nèi)部的IT系統(tǒng)，員工更喜歡通過WLAN、移動終端類開展工作；

因此，在員工的日常工作中，ISD需要針對互聯(lián)網(wǎng)出口平臺的如下上網(wǎng)行為管理、上網(wǎng)安全防護需求進行改造，提供一個更安全、更高效的上網(wǎng)環(huán)境。

1.2 上網(wǎng)行為管理需求

員工訪問互聯(lián)網(wǎng)的習(xí)慣正在發(fā)生變化，從最早使用PC、有線局域網(wǎng)，到更多使用移動終端、WLAN來進行辦公，如果過度開放的上網(wǎng)環(huán)境會帶來以下問題：

1.2.1 工作效率低下

網(wǎng)絡(luò)的普及改變了傳統(tǒng)的辦公方式，而內(nèi)網(wǎng)中總有部分用戶在上班時間有意無意的做與工作無關(guān)的網(wǎng)絡(luò)行為，比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購等，而且越來越多的員工正在通過企業(yè)無線網(wǎng)絡(luò)來使用移動APP版的淘寶、陌陌。這嚴重影響工作效率，從而導(dǎo)致企業(yè)競爭力的下降。

所以，組織需要針對PC、移動終端等各種應(yīng)用、APP進行更有效的識別和管控。

1.2.2 帶寬濫用和浪費

互聯(lián)網(wǎng)中充斥著P2P下載、在線視頻、游戲、在線小說等耗費帶寬的非關(guān)鍵業(yè)務(wù)應(yīng)用，用戶在使用這些應(yīng)用的過程中必然會占用大量的帶寬，而關(guān)鍵的業(yè)務(wù)應(yīng)用、關(guān)鍵人員角色則得不到足夠的資源。

深信服科技版權(quán)所有004km.cn 1 此外，傳統(tǒng)的帶寬管理策略都是靜態(tài)的，當帶寬空閑時，依然會限制用戶的流量，帶寬價值被大大浪費。

所以，IT部門需要針對各種應(yīng)用類型、用戶角色、帶寬占用情況等，提供更加靈活、細致、動態(tài)的帶寬管理策略，提升用戶上網(wǎng)體驗。

1.2.3 BYOD難管理

隨著移動終端的普及，員工往往會采用PC、智能手機、Pad等多種終端，通過有線和無線網(wǎng)絡(luò)，在不同的位置（辦公座位、會議室等），接入企業(yè)IT系統(tǒng)。這種使用場景的多樣化，讓傳統(tǒng)上網(wǎng)管理的手段，難以應(yīng)對內(nèi)部資料的泄密、移動終端設(shè)備的盜用、移動APP難以管控等管理問題。

所以，IT部門需要基于用戶角色、終端類別、使用位置、應(yīng)用類別、時間等更多的元素，為員工不同的上網(wǎng)情景，制定更精細的網(wǎng)絡(luò)管理策略，提升辦公效率的同時，降低安全風(fēng)險。

1.2.4 WLAN安全隱患

在一些沒有提供Wlan的單位，員工為了便捷性，往往會通過360隨身WiFi、家用WiFi路由器等方式私自建立個人Wlan，讓自己的移動終端可以隨意使用單位的上網(wǎng)資源。這給企業(yè)的安全策略管理帶來的很多的管理漏洞。

所以，IT部門需要針對私接的非法無線熱點、非法代理等威脅進行有效的識別、管控。

1.2.5 訪客接入繁瑣

企業(yè)組建WLan后，當有來賓訪客需要上網(wǎng)時，要么直接開放，安全風(fēng)險高，人員隨意接入，無法定位身份；要么需要提前申請臨時賬號，管理復(fù)雜。

所以，組織需要一套使用便捷，即來即用，同時又能滿足安全合規(guī)要求的來賓訪客認證系統(tǒng)。

1.2.6 數(shù)據(jù)泄密

伴隨著網(wǎng)盤、社交媒體、流量加密等應(yīng)用/技術(shù)的廣泛使用，企業(yè)重要數(shù)據(jù)泄密的方式越來越多樣，風(fēng)險越來越高。在有意無意間，一個員工就可以輕易的把企業(yè)內(nèi)部的深信服科技版權(quán)所有004km.cn 敏感信息、高價值信息資產(chǎn)，外發(fā)的互聯(lián)網(wǎng)上，給組織的公眾形象、業(yè)務(wù)開展帶來嚴重的風(fēng)險。

所以，組織需要對員工制定嚴格、細粒度的互聯(lián)網(wǎng)數(shù)據(jù)傳輸控制策略、合規(guī)審查策略，防止重要數(shù)據(jù)的泄密行為發(fā)生。

1.2.7 網(wǎng)絡(luò)違規(guī)違法

企業(yè)內(nèi)網(wǎng)用戶在日常辦公中擁有訪問互聯(lián)網(wǎng)的權(quán)限，可通過QQ、MSN、論壇或微博等方式外發(fā)信息，如果包含了色情、賭博、反動等不良內(nèi)容，都屬于網(wǎng)絡(luò)違規(guī)違法行為，企業(yè)或個人將承擔(dān)法律責(zé)任。

所以，組織需要根據(jù)82令的相關(guān)要求，建立全面、完善的上網(wǎng)行為的合規(guī)審查機制，并建立嚴格的審查權(quán)限管理機制。

第2章 有線無線網(wǎng)絡(luò)統(tǒng)一行為管理方案

結(jié)合上述的用戶需求以及IT系統(tǒng)的現(xiàn)狀，深信服可以為ISD提供一套完整、可視、智能聯(lián)動的互聯(lián)網(wǎng)出口安全解決方案。

深信服科技版權(quán)所有004km.cn 3 2.1 方案整體概述

本次方案建議采用深信服上網(wǎng)行為管理設(shè)備AC1臺，部署在如下位置：

? 互聯(lián)網(wǎng)出口上網(wǎng)行為管理：部署深信服AC于互聯(lián)網(wǎng)出口，針對有線網(wǎng)絡(luò)終端和用戶提供接入認證、權(quán)限控制、合規(guī)審計；此外，還針對有線/無線的全部用戶、關(guān)鍵應(yīng)用，提供全局統(tǒng)一的帶寬控制策略。智能聯(lián)動：

此外，互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無線網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之間需要通過用戶認證信息的聯(lián)動、單點登錄等功能，將上網(wǎng)終端和用戶身份信息進行同步關(guān)聯(lián)，讓用戶只需要認證一次就可以讓多臺AC同步識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。

2.2 有線和無線網(wǎng)絡(luò)統(tǒng)一上網(wǎng)行為管理

部署了深信服上網(wǎng)行為管理設(shè)備，為可以幫助ISD提供一整套統(tǒng)一的有線、無線網(wǎng)絡(luò)上網(wǎng)行為管理解決方案。這即滿足了安全合規(guī)管理的要求，又提升了IT運維效率，深信服科技版權(quán)所有004km.cn 4 還提升了用戶上網(wǎng)的操作體驗。

2.2.1 安全便捷的用戶認證

為了針對不用角色身份的用戶，避免身份冒充、權(quán)限濫用等出現(xiàn)，提供即安全又便捷的認證方式，深信服上網(wǎng)行為管理可以提供如下多種身份認證。

2.2.1.1 內(nèi)部員工認證：

AC支持本地認證功能，包括Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定、USB-Key等。通過本地認證功能，能夠準確識別上網(wǎng)用戶，從而對該用戶進行上網(wǎng)行為管理，而對于未通過認證的用戶則限制其網(wǎng)絡(luò)訪問權(quán)限。

AC支持與LDAP、Radius、POP3等外部認證服務(wù)器或者SAM、CAMS等認證計費系統(tǒng)結(jié)合進行身份認證。當用戶在認證服務(wù)器上進行認證后，AC能夠獲取用戶認證信息，用戶不用在AC上進行第二次身份認證，形成單點登錄，避免重復(fù)認證所帶來的麻煩。通過身份認證功能，AC能夠準確識別上網(wǎng)用戶，從而對該用戶進行上網(wǎng)行為管理，而對于未通過認證的用戶則限制其網(wǎng)絡(luò)訪問權(quán)限。

2.2.1.2 外來訪客認證：

為了省去復(fù)雜的臨時賬號申請機制，讓外來訪客便捷的接入網(wǎng)絡(luò)，但又滿足合規(guī)要

深信服科技版權(quán)所有004km.cn 5 求。深信服上網(wǎng)行為管理AC提供了短信認證、微信認證、二維碼認證等多種方式，當來賓接入網(wǎng)絡(luò)后，系統(tǒng)會自動推送出專門針對來賓訪客認證界面。

短信認證，來賓只需要輸入手機號碼，獲得并輸入短信驗證碼后，就可以獲得上網(wǎng)權(quán)限。而且為了簡化用戶操作，與傳統(tǒng)的短信驗證相比，用戶只需要點擊3次既可完成，十分便捷，不需要在瀏覽器和短信界面來回切換。

微信認證，訪客認證頁面會自動提醒來賓需要關(guān)注組織的“官方微信公眾賬號”，并發(fā)送上網(wǎng)請求，才能獲得上網(wǎng)權(quán)限。這可以幫助組織推廣社交媒體的粉絲數(shù)量，更好的幫助組織推廣品牌宣傳。

二維碼認證，訪客認證頁面會自動彈出一個二維碼，只有內(nèi)部接待人員用自己的移動終端掃描二維碼，確認同意后，訪客才能獲得上網(wǎng)權(quán)限。而且，為了滿足合規(guī)要求，接待人員，可以在頁面上備注來賓身份信息，便于后續(xù)查找。

2.2.2 靈活細致的權(quán)限控制

深信服上網(wǎng)行為管理系統(tǒng)具有千萬級URL庫和國內(nèi)最大的應(yīng)用識別規(guī)則庫，包含1100多種應(yīng)用、2400多種規(guī)則，可識別目前網(wǎng)絡(luò)中各種主流應(yīng)用，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤、在線視頻等。

同時，AC還能夠識別SSL加密應(yīng)用，如加密郵箱、加密網(wǎng)頁等。通過全面的應(yīng)用識別，管理員能夠根據(jù)不同應(yīng)用制定不同的管理策略，限制與工作無關(guān)的行為，提高工作效率。

2.2.2.1 多維度的靈活策略

為了針對一個用戶有多臺BYOD終端進行靈活、細致的策略管控，深信服AC可以識別各種終端類型，包括windows、IOS、安卓、phone、pad等類型，還可以識別出用戶接入網(wǎng)絡(luò)的位置，包括有線、無線、辦公位、會議室等等。

從而制定用戶的上網(wǎng)策略時，可以從用戶角色、使用終端類型、所在區(qū)域位置等維度進行組合，來制定精細的控制策略。比如用戶角色A，在辦公位置上使用PC接入，可以訪問權(quán)限較多；但在接待區(qū)通過無線網(wǎng)絡(luò)，使用iPad接入網(wǎng)絡(luò)時，只有上網(wǎng)權(quán)限，不能訪問內(nèi)部安全界別較高的應(yīng)用系統(tǒng)等。

2.2.2.2 移動APP管控

為了滿足移動終端的管理需要，深信服上網(wǎng)行為管理系統(tǒng)可以針對數(shù)百種移動終端

深信服科技版權(quán)所有004km.cn 的APP、云應(yīng)用，防止員工通過移動終端來進行和工作無關(guān)的應(yīng)用，避免工作效率的下降。

2.2.2.3 防止非法AP和代理

深信服上網(wǎng)行為管理系統(tǒng)通過技術(shù)創(chuàng)新，可以精準的識別出，當前網(wǎng)絡(luò)中員工私自架設(shè)的無線AP，代理應(yīng)用，從而防止帶寬資源的濫用，防止黑客通過非法AP接入企業(yè)網(wǎng)絡(luò)入侵。

2.2.2.4 應(yīng)用標簽化

管理員可通過AC對應(yīng)用或具體細分動作進行標簽化，例如，迅雷下載定義為“高帶寬消耗”標簽、網(wǎng)盤的上傳動作定義為“泄密風(fēng)險”標簽等。管理員在制定策略時，可通過標簽來選擇相應(yīng)的應(yīng)用或細分動作，不用逐個選擇，從而避免錯選漏選，提高管理效率。

2.2.2.5 加密應(yīng)用識別

SSL(Secure Socket Layer)協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認證和加密數(shù)據(jù)傳輸，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。正因為如此，一方面，越來越多的網(wǎng)頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網(wǎng)站，而因為采用了加密技術(shù)，普通的管理產(chǎn)品無法對其內(nèi)容進行識別管理，別有用心的用戶可以利用這一缺陷繞過管理，通過SSL加密郵件、BBS、論壇發(fā)布的反動言論或者是向外發(fā)送組織的機密信息，導(dǎo)致管理漏洞。

2.2.3 合理有效的流量控制

深信服上網(wǎng)行為管理系統(tǒng)通過多級父子通道技術(shù)，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過用戶和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，帶寬的分配并不是一成不變的。深信服上網(wǎng)行為管理系統(tǒng)具有動態(tài)流控功能，在總體帶寬利用率偏低時自動調(diào)整策略，有效提升帶寬利用率，避免資源浪費。

在P2P應(yīng)用流量控制方面，通過深信服P2P智能流控技術(shù)，能夠有效的抑制P2P流量，使得核心業(yè)務(wù)應(yīng)用有足夠的帶寬資源。

深信服科技版權(quán)所有004km.cn 7 2.2.3.1 父子通道

通過部署AC，可對網(wǎng)絡(luò)出口鏈路總帶寬進行細分，采用“基于隊列的流控技術(shù)”，即建立通道，將不同的控制對象分配到不同的通道里。通道可應(yīng)用于不同用戶或者應(yīng)用，在通道中可以限制或保障其帶寬，控制靈活。AC支持多級父子通道，即在父通道中嵌套子通道，最大可支持8級父子通道。通過多級父子通道技術(shù)，能夠完全匹配企業(yè)的組織架構(gòu)，針對不同級別的通道進行帶寬調(diào)整，為用戶提供細致的流量管理手段，使得帶寬分配更靈活、更合理。

2.2.3.2 P2P智能流控

目前，通過封IP、端口等限制“帶寬殺手”P2P應(yīng)用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設(shè)。AC憑借P2P智能識別技術(shù)，不僅識別和管控常用P2P、加密P2P，還能對不常見和未來將出現(xiàn)的P2P應(yīng)用加以控制。

目前互聯(lián)網(wǎng)上流行的P2P下載、流媒體等應(yīng)用程序通常具備強烈的帶寬侵占特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實現(xiàn)流量控制的目的，但是某些P2P應(yīng)用如P2P流媒體、P2P下載工具等缺乏自身流控機制，即使被丟包依然不會主動降低速率，仍搶占大量的帶寬資源。同時對于下行的接收流量來說，被丟棄的數(shù)據(jù)包已經(jīng)占用了線路帶寬，關(guān)鍵業(yè)務(wù)的帶寬依然得不到提升，流控達不到預(yù)期的效果。

針對這些問題，AC通過智能流控功能，能有效解決P2P應(yīng)用的問題。雖然基于UDP

深信服科技版權(quán)所有004km.cn 協(xié)議的P2P應(yīng)用對丟包不敏感，但是下行流量與上行流量有顯著的相關(guān)性，只要控制住上行流量，下行流量就能得到控制。當開啟AC的智能流控功能時，系統(tǒng)會根據(jù)下行流量的設(shè)定值對上行流量進行自動調(diào)整，從而達到控制和減少下行流量的效果，從源頭處有效限制P2P流量。

2.2.3.3 動態(tài)流量控制

當帶寬有限時，企業(yè)希望通過限制P2P、流媒體等應(yīng)用來保障郵件、訪問網(wǎng)站等業(yè)務(wù)相關(guān)應(yīng)用的流暢性。傳統(tǒng)的解決方法是通過靜態(tài)的帶寬分配策略，根據(jù)應(yīng)用的重要性分配相應(yīng)的帶寬。無論網(wǎng)絡(luò)情況如何變動，分配的帶寬都是固定的，不能自動調(diào)整，這樣的流控策略往往造成帶寬資源的浪費。比如某些業(yè)務(wù)應(yīng)用帶寬資源不足，而其他應(yīng)用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。

針對此類問題，AC提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實現(xiàn)針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制，應(yīng)用流量可突破原來設(shè)定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復(fù)到被限制狀態(tài)，執(zhí)行原有的流控策略。通過靈活的帶寬管理，最大滿足業(yè)務(wù)對帶寬的需求，實現(xiàn)帶寬的最大價值。

2.2.4 全面精準的行為審計

深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶訪問了哪些網(wǎng)站，使用了哪些應(yīng)用，還能對用戶的上網(wǎng)行為內(nèi)容進行深入審計，如IM聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時，還支持SSL加密網(wǎng)頁和應(yīng)用的深信服科技版權(quán)所有004km.cn 9 內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。

2.2.4.1 實時監(jiān)控

AC支持實時監(jiān)控功能，可對AC設(shè)備的運行狀態(tài)、安全狀態(tài)、流量狀態(tài)、上網(wǎng)行為監(jiān)控、在線用戶管理、郵件延遲審計進行實時監(jiān)控。管理員不需要登陸數(shù)據(jù)中心即可實時查看網(wǎng)絡(luò)的各種應(yīng)用和流量使用情況，簡單快捷。

運行狀態(tài)包括系統(tǒng)資源信息、接口信息、接口吞吐率、應(yīng)用流速趨勢、應(yīng)用流量排名、用戶流量排名。安全狀態(tài)實時匯報內(nèi)網(wǎng)用戶安全情況。

在實時應(yīng)用流量排行界面點擊某一個應(yīng)用即可自動彈出該應(yīng)用流量的用戶排名情況。實時用戶流量排行界面可針對單個用戶實現(xiàn)用戶的應(yīng)用流量排行情況的頁面跳轉(zhuǎn)。此外AC還支持實時連接監(jiān)控，顯示用戶的所有會話連接狀況。

2.2.4.2 全面、靈活的應(yīng)用審計

AC實時監(jiān)控和完善的應(yīng)用審計功能，幫助網(wǎng)絡(luò)管理員了解內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時也作為追查依據(jù)。

2.2.4.3 網(wǎng)頁訪問

內(nèi)網(wǎng)用戶訪問的URL地址、網(wǎng)頁標題、時間等內(nèi)容，AC能夠完全監(jiān)控與記錄。

同時，通過網(wǎng)頁快照功能，直觀展現(xiàn)網(wǎng)頁內(nèi)容，便于管理人員快速查看。

深信服科技版權(quán)所有004km.cn 10

2.2.4.4 郵件收發(fā)

對于Webmail或郵件客戶端收發(fā)郵件，AC能夠記錄郵件的時間、發(fā)件人、收件人、標題、正文內(nèi)容和附件等，附件內(nèi)容可提供下載做進一步審核。

深信服科技版權(quán)所有004km.cn 11

2.2.4.5 IM聊天

對于QQ、MSN、Gtalk等聊天應(yīng)用，無論是Web版或是桌面版，AC均能詳細記錄其聊天內(nèi)容。

2.2.4.6 微博論壇

對于微博、社交論壇發(fā)帖不僅能夠根據(jù)關(guān)鍵字進行過濾，發(fā)布的內(nèi)容也能全面記錄，準確還原發(fā)帖內(nèi)容，提高可讀性。

深信服科技版權(quán)所有004km.cn 12

2.2.4.7 SSL加密應(yīng)用

同時，對于經(jīng)過SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3，AC可以基于關(guān)鍵字過濾和內(nèi)容審計記錄。

針對不同的用戶、用戶組，通過數(shù)據(jù)簡單的勾選，即可完成差異化的行為審計功能。

深信服科技版權(quán)所有004km.cn 13

2.2.4.8 數(shù)據(jù)中心及報表

大型機構(gòu)每天產(chǎn)生數(shù)十G日志數(shù)據(jù)，通過AC獨立數(shù)據(jù)中心實現(xiàn)日志海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計、審計、報表中心等功能。

通過統(tǒng)計報表功能，將直觀的獲得關(guān)于流量、郵件收發(fā)、上網(wǎng)時間、網(wǎng)絡(luò)行為等方面的詳細的報表和圖形化統(tǒng)計結(jié)果，并且支持導(dǎo)出PDF等文檔、Email投遞等功能，方便IT部門將統(tǒng)計結(jié)果向高層匯報。

AC的風(fēng)險智能報表能夠深入挖掘日志，根據(jù)管理員指定的上網(wǎng)行為特征及閾值，自動挖掘日志，自動幫助組織提前發(fā)現(xiàn)風(fēng)險，包括：離職風(fēng)險智能報表、泄密風(fēng)險智能報表、工作效率低下風(fēng)險智能報表等。

深信服科技版權(quán)所有004km.cn 14

對于BBS發(fā)帖，AC還支持進行熱帖排名，只準看貼不準發(fā)帖的靈活管控方式。通過AC數(shù)據(jù)中心的內(nèi)容檢索工具，可以實現(xiàn)類似Google一樣的內(nèi)容搜索，從海量日志中查詢需要的日志記錄，并且支持高級搜索，支持訂閱和自動Email投遞功能，極大的方便了管理者的使用。

2.2.4.9 免審計Key 機構(gòu)的總裁、高層領(lǐng)導(dǎo)網(wǎng)絡(luò)訪問行為，財務(wù)部收發(fā)的郵件，關(guān)乎機構(gòu)機密信息，對其記錄審計反而成為泄密風(fēng)險。因此AC支持免審計Key功能。在AC上為總裁、財務(wù)部相關(guān)人員生成免審計Key。當使用該免審計Key認證后，AC從底層免除對該人員的一切記錄。一旦免審計功能被惡意取消后，當再插入該免審計Key后會自動彈出警告，且禁止該人員訪問網(wǎng)絡(luò)，徹底保障信息安全。

2.2.4.10 日志審查Key 企業(yè)內(nèi)網(wǎng)用戶的各種上網(wǎng)行為記錄AC都可以記錄、并全部記錄到數(shù)據(jù)中心中，這避免了互聯(lián)網(wǎng)違法事件后無據(jù)可查的尷尬。但如果行為日志被濫用，領(lǐng)導(dǎo)的Email、MSN聊天內(nèi)容等被肆意傳播、私自張貼到互聯(lián)網(wǎng)上必將給組織造成不良影響、甚至經(jīng)濟損失。

因此AC提供日志審查Key技術(shù)。數(shù)據(jù)中心管理員只有插入該Key后才能以審計、查詢權(quán)限接入數(shù)據(jù)中心，從而對行為日志進行詳細查詢。對于沒有該Key的管理員接入數(shù)據(jù)中心后只能對有限的用戶組的行為進行統(tǒng)計和趨勢查看，無權(quán)限對行為日志進行審計、查詢，從而保障行為日志記錄不被濫用。

深信服科技版權(quán)所有004km.cn 15 第3章 方案優(yōu)勢

3.1 全面完整

無線有線統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計等功能外，深信服的上網(wǎng)行為管理針對無線、有線網(wǎng)絡(luò)的各種PC、移動終端上網(wǎng)遇到的新問題、新風(fēng)險，提供了統(tǒng)一全面的管理功能：員工、來賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動APP/云應(yīng)用管控和審計。從而簡化了IT運維操作，降低了管理難度。

3.2 細致精準

上網(wǎng)行為管理不是簡單的對應(yīng)用進行封堵，而是根據(jù)不同的管理需求來對應(yīng)用進行限制。深信服上網(wǎng)行為管理能夠?qū)W(wǎng)絡(luò)應(yīng)用進行細分控制，如分別識別出網(wǎng)盤應(yīng)用中的登陸、瀏覽、上傳和下載等動作，根據(jù)企業(yè)中防泄密需求，實現(xiàn)允許瀏覽下載，同時禁止上傳。通過細分控制，能夠更細致的對員工的上網(wǎng)行為進行管理。

在審計方面，深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶訪問了哪些網(wǎng)站，使用了哪些應(yīng)用，還能對用戶的上網(wǎng)行為內(nèi)容進行深入審計，如IM聊天內(nèi)容、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等。同時，還支持SSL加密網(wǎng)頁和應(yīng)用的內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。

3.3 靈活有效

AC支持父子通道技術(shù)，最高可支持八級，能夠完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過用戶和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。同時，由于通道具有父子關(guān)系屬性，在后期維護中既能整體調(diào)整帶寬，又能局部調(diào)節(jié)，帶寬分配更靈活。

P2P應(yīng)用具有強烈的帶寬侵蝕特性，為了保護帶寬資源不被濫用，必須對P2P流量進行控制。傳統(tǒng)的流控技術(shù)對P2P應(yīng)用不起作用，外網(wǎng)線路依然被占用，影響核心業(yè)務(wù)應(yīng)用。通過深信服P2P智能流控技術(shù)，能夠有效的從源端抑制P2P下行流量，使得核心業(yè)務(wù)應(yīng)用有足夠的帶寬資源。

同時，AC具有動態(tài)流控功能，在總體帶寬利用率偏低時自動調(diào)整策略，有效提升

深信服科技版權(quán)所有004km.cn 16 帶寬利用率，避免資源浪費。

基于用戶、終端、位置、業(yè)務(wù)多個維度的策略管理，能夠根據(jù)用戶在不同位置，使用不同終端時自動匹配相應(yīng)的上網(wǎng)管理策略，靈活性強，適用于每一種應(yīng)用場景。

3.4 智能便捷

深信服的上網(wǎng)行為管理方案，與其他多廠商設(shè)備組合方案相比，可以讓IT管理員維護更簡單，用戶使用更便捷： 智能聯(lián)動：

互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無線網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之間需要通過用戶認證信息的聯(lián)動、單點登錄等功能，將上網(wǎng)終端和用戶身份信息進行同步關(guān)聯(lián)，讓用戶只需要認證一次就可以讓AC同步識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。從而，也極大的減少IT管理員配置、運維工作量。

便捷簡單：

AC的外來訪客的二維碼認證功能，不但省去了復(fù)雜的臨時賬號申請流程，提升了工作效率，還能提升來賓體驗，增強對企業(yè)形象認可。

在應(yīng)用管理方面，引入標簽化的概念，對應(yīng)用打上標簽，通過選擇標簽來指定多個應(yīng)用，而無須再一個一個的查找，使得應(yīng)用管理更加靈活高效。

第4章 方案價值

4.1 提升工作效率

網(wǎng)頁過濾策略

上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽購物網(wǎng)站、上微博、論壇發(fā)帖等。AC能針對不同用戶(組)提供基于角色的管理方法，讓管理者實現(xiàn)指定用戶和部門在工作時間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。IM（即時通訊）聊天軟件的管理

深信服科技版權(quán)所有004km.cn 17 上班時間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因IM傳文件而引入病毒和向外泄密。面對的眾多IM軟件，AC通過檢測應(yīng)用數(shù)據(jù)包的特征字段，實現(xiàn)對IM聊天軟件的管控，提升工作效率。全面的行為管理

網(wǎng)頁過濾、IM聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對用戶上班即掛機下載，搜索最新網(wǎng)絡(luò)新聞、圖片，上班時間更新博客、上傳圖片、看在線視頻、網(wǎng)絡(luò)游戲等問題，AC支持應(yīng)用識別規(guī)則庫，包含1500多種應(yīng)用，對員工上網(wǎng)行為進行全面管理。上網(wǎng)時間管理

AC通過為不同部門、不同用戶，基于時間段進行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時間，實現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時間值，當用戶超過這個閥值時，將自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，不要從事與工作無關(guān)的網(wǎng)絡(luò)活動。

4.2 提高帶寬利用率

多線路策略

AC支持多線路復(fù)用、帶寬疊加技術(shù)（專利號：200310112006X），企業(yè)通過AC同時連接多條公網(wǎng)線路，提升整體帶寬水平。同時結(jié)合多線路智能選路技術(shù)（專利號：ZL03113974.4），做到流量的智能選路和負載均衡。P2P軟件的控制

P2P行為對帶寬具有強烈的吞噬能力，而傳統(tǒng)的流控功能在P2P應(yīng)用上不起作用。AC提供P2P智能識別專利技術(shù)(專利號： 200610156977.8），不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現(xiàn)的P2P亦能管控。而AC提供的P2P流控技術(shù)，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。動態(tài)調(diào)節(jié)

AC支持動態(tài)流控功能，通過設(shè)定閾值，實現(xiàn)當整體帶寬利用率過低時自動調(diào)整釋放更多的帶寬資源，讓帶寬得到有效利用，避免浪費，比傳統(tǒng)單

一、死板的流控方法更有效的提升帶寬利用率。帶寬統(tǒng)計和管理

AC數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進行統(tǒng)計及趨勢、報表等。借助圖形化報

深信服科技版權(quán)所有004km.cn 18 表、曲線和統(tǒng)計結(jié)果，可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。

同時，AC基于用戶(組)、應(yīng)用類型、網(wǎng)站類型、文件類型、目標IP等的智能流控，細致劃分與分配帶寬資源，如保障領(lǐng)導(dǎo)的視頻會議、市場部訪問行業(yè)網(wǎng)站、設(shè)計部傳輸CAD文件等行為得到帶寬保障，提升整個機構(gòu)的帶寬使用效率。

4.3 避免泄密和法律風(fēng)險

在部署上網(wǎng)行為管理系統(tǒng)后，通過定義關(guān)鍵字的方式，實現(xiàn)對發(fā)送郵件、網(wǎng)上搜索、網(wǎng)上發(fā)布、文件外發(fā)等行為進行過濾，從而避免敏感信息泄露問題給企業(yè)帶來經(jīng)濟損失。同時，有效防止不良信息外發(fā)行為，避免引來法律糾紛。即使發(fā)生了不良信息外發(fā)行為，也能夠通過對內(nèi)網(wǎng)用戶上網(wǎng)行為實施記錄審計，能夠在發(fā)生網(wǎng)絡(luò)違法事件的時候通過審計日志追查相關(guān)責(zé)任人，避免由企業(yè)承擔(dān)相應(yīng)法律責(zé)任。

同時，上網(wǎng)安全桌面根據(jù)規(guī)則對本機文件數(shù)據(jù)進行了隔離，安全桌面內(nèi)的任何程序試圖獲取本機被隔離文件數(shù)據(jù)的行為都將被禁止，防止終端被木馬入侵后文件信息遭竊取，從而幫助用戶有效保護了敏感數(shù)據(jù)的安全性。

4.4 保障終端安全

防病毒、木馬

內(nèi)網(wǎng)用戶在訪問internet時，常常會無意中下載到一些包含惡意病毒的文件，這些病毒程序通常是極具破壞力的，嚴重時會造成計算機系統(tǒng)的崩潰，使員工無法正常工作。而如果在上網(wǎng)過程中使用上網(wǎng)安全桌面，則可以有效的防止這些病毒程序?qū)Ρ緳C造成破壞。

當內(nèi)網(wǎng)用戶使用安全桌面上網(wǎng)，文件、注冊表重定向技術(shù)使本機內(nèi)真實文件與注冊表得到了保護，而訪問目錄權(quán)限功能使病毒無法訪問繼而感染本機內(nèi)部文件，有效地防止了病毒對本機系統(tǒng)的破壞，彌補殺毒軟件對安全事件事前防護的不足。上網(wǎng)安全桌面采用國際領(lǐng)先的沙盒技術(shù)保證了它能給用戶帶來一個干凈、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境，讓用戶使用起來再也不受病毒、木馬泛濫的困擾。

同時，AC具有網(wǎng)關(guān)殺毒功能，對內(nèi)網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載的文件進行病毒過濾，降低內(nèi)網(wǎng)用戶感染病毒的風(fēng)險。

深信服科技版權(quán)所有004km.cn 19 攔截不良網(wǎng)頁

AC內(nèi)置自動更新的海量URL庫，包括色情、反動等分類，潛藏在此類網(wǎng)站中的威脅將被AC過濾；AC允許用戶手工添加新URL分類；再過濾用戶通過搜索引擎搜索的關(guān)鍵字、過濾URL地址關(guān)鍵字和網(wǎng)頁正文關(guān)鍵字，實現(xiàn)對各類網(wǎng)頁的全面過濾，降低內(nèi)網(wǎng)用戶訪問不良網(wǎng)頁和危險網(wǎng)頁的可能。

假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動網(wǎng)站等，顯示“加密化”已經(jīng)成為趨勢，而業(yè)界多數(shù)設(shè)備無法對SSL加密網(wǎng)頁進行管控。AC通過證書驗證鏈接黑白名單技術(shù)，過濾含有不可信任數(shù)字證書的SSL網(wǎng)站，實現(xiàn)對SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。文件傳輸控制

針對QQ、MSN等IM軟件的病毒，通過引誘用戶下載指定文件或打開指定URL鏈接而傳播；AC的“攔截不良網(wǎng)頁”措施將避免用戶訪問含病毒URL地址；AC還可限制使用QQ、MSN等傳遞文件。

通過HTTP、FTP從互聯(lián)網(wǎng)下載的文件，往往打開或運行后導(dǎo)致用戶電腦感染病毒、木馬，甚至癱瘓。該風(fēng)險“感染點”還會伺機爆發(fā)，感染更多用戶，使整個網(wǎng)絡(luò)癱瘓。而此類行為和流量經(jīng)過AC時，AC首先限制用戶通過HTTP、FTP上傳下載指定類型的文件，對于允許傳輸?shù)奈募?，AC的網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。

深信服科技版權(quán)所有004km.cn 20

第五篇：企業(yè)上網(wǎng)行為管理 計算機管理解決方案

公司企業(yè)上網(wǎng)行為管理

解決方案

目錄

簡介.......................................................................................................................................................3 解決方案...............................................................................................................................................3 天易成網(wǎng)管功能簡介...........................................................................................................................4 公司簡介...............................................................................................................................................5 我們提供...............................................................................................................................................5 產(chǎn)品功能介紹.......................................................................................................................................6

網(wǎng)頁監(jiān)控.......................................................................................................................................6 下載監(jiān)控.......................................................................................................................................7 游戲監(jiān)控.......................................................................................................................................8 聊天監(jiān)控.......................................................................................................................................9 網(wǎng)絡(luò)視頻監(jiān)控.............................................................................................................................10 下載速度限制.............................................................................................................................11 股票監(jiān)控.....................................................................................................................................12 郵件監(jiān)控.....................................................................................................................................13 流量管理.....................................................................................................................................14 代理監(jiān)控.....................................................................................................................................15 自定義規(guī)則.................................................................................................................................16 時間設(shè)置.....................................................................................................................................17 軟件部署模式.....................................................................................................................................18 引導(dǎo)模式.....................................................................................................................................18 虛擬網(wǎng)關(guān)模式.............................................................................................................................19 網(wǎng)橋模式.....................................................................................................................................20 網(wǎng)關(guān)模式.....................................................................................................................................22 旁聽模式.....................................................................................................................................23 簡介

在現(xiàn)代社會，幾乎所有的公司、企業(yè)都會使用網(wǎng)絡(luò)來管理內(nèi)部資源或者與外界聯(lián)系業(yè)務(wù)，企業(yè)也是花費了高昂的費用接入互聯(lián)網(wǎng)，但事實上，這些帶寬資源并沒有物盡其用，部分員工利用公司資源，在上班時間聊私人QQ、瀏覽與工作無關(guān)的網(wǎng)頁，更有甚者大玩各種網(wǎng)絡(luò)游戲、下載電影等，員工的這些非法上網(wǎng)行為消耗了本就緊張的企業(yè)帶寬，致使企業(yè)局域網(wǎng)網(wǎng)速過慢，甚至連打開網(wǎng)頁、收發(fā)郵件都困難，嚴重干擾了企業(yè)正常業(yè)務(wù)的進行。

解決方案

網(wǎng)管軟件正是為企業(yè)量身定做的上網(wǎng)行為管理系統(tǒng)，用于管理員工上網(wǎng)行為，保障企業(yè)信息安全。部署天易成上網(wǎng)管理軟件時，無需安裝客戶端，安裝局域網(wǎng)一臺機器即可控制整個局域網(wǎng)主機的上網(wǎng)行為。軟件支持5種安裝模式，適應(yīng)各種網(wǎng)絡(luò)環(huán)境。

通過我們的產(chǎn)品，可以實現(xiàn)如下功能：

? ? ? 提高員工的工作效率

合理分配帶寬資源，保障企業(yè)正常業(yè)務(wù)順利進行 防止企業(yè)機密資料被泄漏 天易成網(wǎng)管功能簡介

1.網(wǎng)頁監(jiān)控——對網(wǎng)站URL進行分類過濾，支持黑白名單功能，允許訪問白名單中的網(wǎng)站，禁止訪問黑名單中的網(wǎng)站；

2.下載限制——封堵Http下載，F(xiàn)TP上傳下載。封堵BT、迅雷、eMule電驢、PP點點通、POCO、卡盟、酷狗等P2P下載；

3.聊天限制——封堵QQ、MSN雅虎通、網(wǎng)易泡泡、新浪UC、貿(mào)易通、淘寶旺旺、hi百度、飛信等各種聊天軟件；

4.游戲限制——限制QQ游戲、QQ農(nóng)場、開心農(nóng)場、地下城與勇士、穿越火線、跑跑卡丁車、征途、巨人、水滸Q傳、冒險島、天龍八部、彩虹島、聯(lián)眾游戲、中國游戲中心等網(wǎng)絡(luò)游戲；

5.股票軟件限制——禁止同花順、大智慧、龍卷風(fēng)、錢龍系列、大福星、廣發(fā)證券、光大證券、招商證券、國信證券、長城證券等各種炒股軟件；

6.在線視頻限制——禁止優(yōu)酷，酷六，土豆，迅雷看看，搜狐視頻，新浪視頻，我樂網(wǎng)，天線視頻，樂酷視頻，青娛樂，中央電視臺等；

7.網(wǎng)絡(luò)電視限制——禁止PPStream網(wǎng)絡(luò)電視，PPLive，PPFilm，UUSee網(wǎng)絡(luò)電視，風(fēng)行，BoBoHu，OctoShape，Jeboo等；

8.郵件內(nèi)容和論壇發(fā)帖內(nèi)容監(jiān)控——可以監(jiān)控網(wǎng)易郵件，雅虎郵件，126郵件，QQ郵件，HotMail等各種郵件的內(nèi)容，并能監(jiān)控各大論壇的發(fā)帖內(nèi)容；

9.網(wǎng)速和流量管理——自定義設(shè)置各主機的上傳、下載速度和上行、下行的流量； 10.遠程管理——即利用互聯(lián)網(wǎng)上的任一電腦管理局域網(wǎng)主機的上網(wǎng)行為；

11.遠程開關(guān)機、設(shè)置策略起作用的時間、IP-MAC綁定、實時監(jiān)控、自定義規(guī)則等功能。公司簡介

成都天易成軟件有限公司位于成都市人民南路四段，是在高新技術(shù)應(yīng)用領(lǐng)域中專業(yè)從事上網(wǎng)行為管理軟件和企業(yè)管理軟件開發(fā)與銷售的高科技公司，公司產(chǎn)品全部擁有自主知識產(chǎn)權(quán)。

公司倡導(dǎo)“百分努力 百分滿意”的企業(yè)精神，具有良好的內(nèi)部機制和優(yōu)良的工作環(huán)境，匯聚了一批年輕的、有學(xué)識的、具有實干精神的人才。高素質(zhì)、高水平、高效率的人才是天易成軟件在當今激烈的市場中立于不敗之地的保障。

我們提供

專業(yè)、完善的產(chǎn)品和解決方案：公司在產(chǎn)品研發(fā)方面的高投入，眾多項目的實際應(yīng)用，讓我們具備了相應(yīng)的的創(chuàng)造力和豐富的經(jīng)驗，這將成為您解決疑問和難題的良好保證。并且我們可以為你提供專業(yè)、完善的產(chǎn)品解決方案，保證用戶使用無憂。

先進、專業(yè)的技術(shù)支持：公司眾多一流人才的深層磨合，對最新技術(shù)執(zhí)拗的探討精神，使我們能夠保證為你提供最專業(yè)的應(yīng)用和服務(wù)。

完善、快速、周到的售后服務(wù)：我們將以最快的速度、最有效的方法、最先進的技術(shù)，保障系統(tǒng)的效果發(fā)揮到極至，解除您的后顧之憂。產(chǎn)品功能介紹

網(wǎng)頁監(jiān)控

1、網(wǎng)頁訪問完全控制：網(wǎng)管可以選擇是全部禁止上網(wǎng)還是使用過濾規(guī)則上網(wǎng)；

2、黑白名單規(guī)則：網(wǎng)管可以設(shè)定網(wǎng)址過濾規(guī)則，允許訪問白名單中的網(wǎng)站，禁止訪問黑名單中的網(wǎng)站；

3、色情、游戲類等網(wǎng)址過濾：系統(tǒng)可以自動過濾符合分類網(wǎng)址庫的訪問；

4、系統(tǒng)可以精確、完整記錄主機所上網(wǎng)站，便于事后審計。

下載監(jiān)控

1、P2P下載控制功能：可以控制如BT、eMule(電驢)、百度下吧、PP點點通、卡盟、迅雷等12種P2P工具的下載；

2、HTTP下載控制功能：用戶可以自行設(shè)定控制任意文件下載，也可以指定文件后綴名限制下載；

3、FTP下載功能：用戶可以自行設(shè)定控制任意文件下載，也可以指定文件后綴名；

4、P2P下載智能帶寬抑制功能：當發(fā)現(xiàn)有主機進行P2P下載時，自動降低該主機可用帶寬；

5、系統(tǒng)可以禁止一切HTTP、FTP的上傳下載。

游戲監(jiān)控

監(jiān)控QQ游戲、地下城與勇士、穿越火線、QQ農(nóng)場、開心農(nóng)場、跑跑卡丁車、征途、巨人、水滸Q傳、冒險島、天龍八部、彩虹島、聯(lián)眾游戲、中國游戲中心等網(wǎng)絡(luò)游戲。

聊天監(jiān)控

監(jiān)控QQ、MSN、雅虎通、網(wǎng)易泡泡、新浪UC、貿(mào)易通、淘寶旺旺、hi百度、飛信等各種聊天軟件。

網(wǎng)絡(luò)視頻監(jiān)控

1、在線視頻控制：可以監(jiān)控優(yōu)酷，酷六，土豆，迅雷看看，搜狐視頻，新浪視頻，我樂網(wǎng)，天線視頻，樂酷視頻，青娛樂，中央電視臺等；

2、網(wǎng)絡(luò)電視控制：可以封堵PPStream網(wǎng)絡(luò)電視，PPLive，PPFilm，UUSee網(wǎng)絡(luò)電視，風(fēng)行，BoBoHu，OctoShape，Jeboo等；

3、網(wǎng)絡(luò)電話監(jiān)控：監(jiān)控Skype,UUCall,ET263,SIPhone等。

下載速度限制

1、手動限速功能：可以手動設(shè)置被控主機的P2P上傳下載速度；

2、智能速度限制VIP功能：若設(shè)置倍數(shù)為2，應(yīng)用本策略的電腦可以擁有相當于其它普通主機2倍的速度，倍數(shù)越大，速度越快；

股票監(jiān)控

監(jiān)控同花順、大智慧、龍卷風(fēng)、錢龍系列、大福星、廣發(fā)證券、光大證券、招商證券、國信證券、長城證券等各種炒股軟件。

郵件監(jiān)控

監(jiān)控網(wǎng)易郵件，雅虎郵件，126郵件，QQ郵件，HotMail郵件，新浪郵件，搜狐郵件，TOM郵件，Yeah郵件，21CN郵件，搜狗郵件等；

流量管理

1、系統(tǒng)可以為局域網(wǎng)主機設(shè)定上行、下行流量和總流量，超過設(shè)定流量，自動斷開其公網(wǎng)連接；

2、用戶可以根據(jù)需要選擇流量清零的時間。

代理監(jiān)控

監(jiān)控Socket5、Http代理。

自定義規(guī)則

用戶可以自己定義封堵規(guī)則，滿足系統(tǒng)未提供的封堵。用戶也可聯(lián)系我們，將您的封堵需求加到軟件中。

時間設(shè)置

可以設(shè)置策略起作用的時間段，以免給正常工作帶來不必要的麻煩。

軟件部署模式

軟件支持五種部署模式，適用于不同的網(wǎng)絡(luò)環(huán)境和管理需求。

引導(dǎo)模式

無需改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)，部署在局域網(wǎng)內(nèi)任意一臺電腦。監(jiān)控機可以關(guān)機。適用于單網(wǎng)段環(huán)境，被管理電腦數(shù)量不超過100臺。

路由器不能做ARP靜態(tài)綁定，路由器和被管理電腦不能開啟ARP防火墻功能。部署如下圖所示：

虛擬網(wǎng)關(guān)模式

部署在局域網(wǎng)內(nèi)任意一臺電腦，然后將網(wǎng)關(guān)/路由器同監(jiān)控機的IP交換，并修改監(jiān)控機的網(wǎng)關(guān)。監(jiān)控機不能關(guān)機。

適用于單網(wǎng)段環(huán)境，被管理電腦數(shù)量不超過100臺。支持有ARP防火墻的網(wǎng)絡(luò)環(huán)境。安裝軟件在局域網(wǎng)內(nèi)任意一臺電腦；

將路由器的IP和控制機的IP互換，并修改監(jiān)控機的網(wǎng)關(guān)。例：

設(shè)置前路由器IP為192.168.0.1，監(jiān)控機IP為192.168.0.10，監(jiān)控機網(wǎng)關(guān)為192.168.0.1。設(shè)置路由器IP為192.168.0.10，控制機IP為192.168.0.1，控制機網(wǎng)關(guān)為192.168.0.10；

運行控制臺程序，登錄服務(wù)端。點擊工具欄的“設(shè)置向?qū)А?，在設(shè)置向?qū)У谝豁?，選擇虛擬網(wǎng)關(guān)模式；

點擊工具欄的“開始管理”圖標，即可管理整個局域網(wǎng)。部署如下圖所示：

網(wǎng)橋模式

適用于任何網(wǎng)絡(luò)環(huán)境，支持VLAN。被管理電腦數(shù)量沒有限制。推薦使用此模式！注：一定要先設(shè)置好網(wǎng)橋，再安裝設(shè)置程序。

使用一臺雙網(wǎng)卡的電腦放置在路由器/防火墻與交換機之間，在此電腦上配置網(wǎng)橋。然后部署軟件在此電腦上。監(jiān)控機不能關(guān)機。

準備一臺帶雙網(wǎng)卡的電腦(建議使用兩張千兆網(wǎng)卡)； 建議使用Windows Server 2003或2008系統(tǒng)；

創(chuàng)建網(wǎng)橋： 進入控制面板，點開網(wǎng)絡(luò)連接，同時選上這兩個物理網(wǎng)卡，點鼠標右鍵，然后選擇橋接，如下圖：

設(shè)置網(wǎng)橋：成功創(chuàng)建網(wǎng)橋后，本地連接里會自動虛擬出來一個網(wǎng)絡(luò)橋。原來的兩個物理網(wǎng)卡已經(jīng)不能設(shè)置TCP/IP屬性了，只需要對虛擬出來的那個網(wǎng)絡(luò)橋設(shè)置固定的IP地址、掩碼、網(wǎng)關(guān)和DNS；注：設(shè)置網(wǎng)橋的IP應(yīng)該和路由器在同一個網(wǎng)段。

成功創(chuàng)建網(wǎng)橋后，會產(chǎn)生一個新的MAC，假如你在路由器上有做IP-MAC綁定，應(yīng)修改對應(yīng)的規(guī)則 ；

連接網(wǎng)絡(luò)：用網(wǎng)線將做網(wǎng)橋的電腦，一張網(wǎng)卡連接路由器/防火墻，另一張連接主交換機，部署如下圖所示：

安裝程序(包括服務(wù)端和控制臺)后，運行控制臺程序，登錄服務(wù)端。點擊工具欄的“設(shè)置向?qū)А?，在設(shè)置向?qū)У谝豁摚x擇網(wǎng)橋模式；

在設(shè)置向?qū)У诙?，選擇網(wǎng)卡，應(yīng)該選靠近內(nèi)網(wǎng)的網(wǎng)卡；如不知道哪張網(wǎng)卡是靠近內(nèi)網(wǎng)的網(wǎng)卡，可以兩張網(wǎng)卡都試試；

點工具欄的“開始管理”圖標，即可管理整個局域網(wǎng)。網(wǎng)關(guān)模式

適用于在網(wǎng)絡(luò)出口處有一臺雙網(wǎng)卡電腦撥號上網(wǎng)的情況，支持VLAN。被管理電腦數(shù)量沒有限制。監(jiān)控機不能關(guān)機。

安裝程序(包括服務(wù)端和控制臺)后，運行控制臺程序，登錄服務(wù)端。點擊工具欄的“設(shè)置向?qū)А?，在設(shè)置向?qū)У谝豁?，選擇網(wǎng)關(guān)模式；

在設(shè)置向?qū)У诙摚x擇網(wǎng)卡，應(yīng)該選靠近內(nèi)網(wǎng)的網(wǎng)卡；如不知道哪張網(wǎng)卡是靠近內(nèi)網(wǎng)的網(wǎng)卡，可以兩張網(wǎng)卡都試試；

點工具欄的“開始管理”圖標，即可管理整個局域網(wǎng)。部署如下圖所示：

旁聽模式

功能較弱，只能查看不能控制被監(jiān)控機的行為。不推薦使用。適用于使用hub或帶端口鏡像的交換機的情況。無需改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)，被管理電腦數(shù)量沒有限制。監(jiān)控機可以關(guān)機。

在交換機上接一臺機器，做好端口鏡像，并將軟件安裝在此機器；或者管理機器和被管理機通過共享集線器連接在一起.部署如下圖所示：