第一篇：公司一般網(wǎng)絡(luò)構(gòu)架方案及上網(wǎng)行為管理

公司網(wǎng)絡(luò)構(gòu)架方案

方案一：

采用標(biāo)準(zhǔn)的三層網(wǎng)絡(luò)設(shè)計(jì)。外部網(wǎng)絡(luò)經(jīng)過(guò)路由器（負(fù)責(zé)撥號(hào)和上網(wǎng)行為管理）接入后，首先接入核心層交換機(jī)（負(fù)責(zé)vlan間通信以及數(shù)據(jù)的快速轉(zhuǎn)發(fā)）；與核心層直連的是匯聚層千兆交換機(jī)，該層上可劃分VLAN2、VLAN3...VLAN10等（VLAN ：虛擬局域網(wǎng)，邏輯上分離無(wú)法互相通信，隔離了廣播域，防止一個(gè)區(qū)域出現(xiàn)網(wǎng)絡(luò)異常波及到其他區(qū)域）；最下面一層是接入層百兆交換機(jī)，負(fù)責(zé)信息的接入。

優(yōu)點(diǎn)：架構(gòu)標(biāo)準(zhǔn)，利于擴(kuò)展，性能穩(wěn)定，速度快。大多用于大型企業(yè)。

缺點(diǎn)：成本高。

方案二：

該方案的設(shè)計(jì)是基于中小型企業(yè)/公司網(wǎng)絡(luò)，信息點(diǎn)不超過(guò)400。與方案一不同的是采用了二層設(shè)計(jì)，除去了匯聚層，用核心層設(shè)備兼職替代了匯聚層設(shè)備。其他一樣。

優(yōu)點(diǎn)：速度快、性能穩(wěn)定、結(jié)構(gòu)精簡(jiǎn)，成本有所下降。

缺點(diǎn)：沒(méi)有匯聚層，若擴(kuò)展網(wǎng)絡(luò)核心層接口不夠，一般用于中小型網(wǎng)絡(luò)。

方案三：

下面這個(gè)方案相對(duì)以上兩個(gè)方案而言，保障了主要功能、性能，且在轉(zhuǎn)發(fā)數(shù)據(jù)速度要求不是太嚴(yán)苛的情況下比較適用，主要進(jìn)一步降低了成本。

優(yōu)點(diǎn)：結(jié)構(gòu)精簡(jiǎn)，大大降低投入（三層核心設(shè)備價(jià)格遠(yuǎn)遠(yuǎn)高于匯聚成設(shè)備）。

缺點(diǎn)：若劃分虛擬局域網(wǎng)VLAN后，彼此之間只有在能上網(wǎng)的情況下通信，如即時(shí)聊天軟件、各種郵件服務(wù)等。若斷網(wǎng)，同VLAN區(qū)域間可以互相訪問(wèn)、共享文件資料；不同VLAN之間除非將匯聚層主線拔至未劃分VLAN的端口，否則不能通信。這也是唯一的缺點(diǎn)需要手工拔線插線，有幾個(gè)VLAN就要插拔幾次。

上網(wǎng)行為管理路由器：內(nèi)嵌上網(wǎng)行為管理軟件的路由器

上網(wǎng)行為管理路由器可以很好的解決這些問(wèn)題，即 在不斷網(wǎng)不影響需要網(wǎng)絡(luò)工作同事的情況下，明確了公司辦公紀(jì)律、規(guī)范了上網(wǎng)行為、避免了帶寬的浪費(fèi)和不良搶占。

第二篇：上網(wǎng)行為管理方案

上網(wǎng)行為管理方案

一．網(wǎng)絡(luò)管理概述

1.網(wǎng)絡(luò)管理的目的

在一般情況下，網(wǎng)絡(luò)管理的主要目的是為了提高網(wǎng)絡(luò)可用性、改進(jìn)網(wǎng)絡(luò)性能、減少和控制網(wǎng)絡(luò)費(fèi)用以及增強(qiáng)網(wǎng)絡(luò)安全性等。2.網(wǎng)絡(luò)管理的要素

網(wǎng)絡(luò)管理平臺(tái)的建設(shè)主要與業(yè)務(wù)需求的結(jié)合。完整而理想的網(wǎng)絡(luò)管理解決方案，應(yīng)該根據(jù)應(yīng)用環(huán)境和網(wǎng)絡(luò)對(duì)業(yè)務(wù)流程，以及用戶需求的端到端關(guān)聯(lián)關(guān)系，來(lái)管理網(wǎng)絡(luò)及其所有設(shè)備。3.網(wǎng)絡(luò)資源管理

網(wǎng)絡(luò)資源就是指網(wǎng)絡(luò)中的硬件設(shè)備、整個(gè)環(huán)境中運(yùn)行的軟件（包括服務(wù)器與電腦的應(yīng)用軟件）以及所提供的服務(wù)等。網(wǎng)絡(luò)管理系統(tǒng)必須將它們表示出來(lái)，才能對(duì)其進(jìn)行管理。在好的網(wǎng)管軟件中，當(dāng)前的網(wǎng)絡(luò)拓?fù)浜透鱾€(gè)硬件系統(tǒng)都以圖形的方式顯示在一個(gè)圖上，而且各種信息都會(huì)動(dòng)態(tài)地在上面顯示，非常方便監(jiān)視與管理。

4.軟件資源管理和軟件分發(fā)

網(wǎng)絡(luò)管理系統(tǒng)的軟件資源管理和軟件分發(fā)功能，是指優(yōu)化管理信息的收集，對(duì)企業(yè)所擁有的軟件授權(quán)數(shù)量和安裝地點(diǎn)進(jìn)行管理。軟件分發(fā)則是通過(guò)網(wǎng)絡(luò)把新軟件分發(fā)到各個(gè)站點(diǎn)，并完成安裝和配置工作。5.應(yīng)用管理

應(yīng)用管理用于測(cè)量和監(jiān)督特定的應(yīng)用軟件及其對(duì)網(wǎng)絡(luò)傳輸流量的影響。網(wǎng)絡(luò)管理員通過(guò)應(yīng)用管理可以跟蹤網(wǎng)絡(luò)用戶和運(yùn)行的應(yīng)用軟件，改善網(wǎng)絡(luò)的響應(yīng)時(shí)

間。

二、網(wǎng)絡(luò)管理要具備的六大基本功能

網(wǎng)絡(luò)管理一般包括性能、故障、配置、計(jì)費(fèi)、安全和行為六方面功能。

1.性能管理

主要考察網(wǎng)絡(luò)運(yùn)行的好壞。性能管理使網(wǎng)絡(luò)管理員能夠監(jiān)視網(wǎng)絡(luò)運(yùn)行的參數(shù)，如吞吐率、響應(yīng)時(shí)間、網(wǎng)絡(luò)的可用性等。2.故障管理

檢測(cè)、定位和排除網(wǎng)絡(luò)硬件和軟件中的故障。當(dāng)出現(xiàn)故障時(shí)，該功能確認(rèn)故障，并記錄故障，找出故障的位置并盡可能地排除這些故障。3.配置管理

掌握和控制網(wǎng)絡(luò)的狀態(tài)，包括網(wǎng)絡(luò)內(nèi)各個(gè)設(shè)備的狀態(tài)及其連接關(guān)系。配置管理的典型方法是，用邏輯圖來(lái)描繪所有的網(wǎng)絡(luò)設(shè)備及其邏輯關(guān)系，并將網(wǎng)絡(luò)的確切物理布局，以適當(dāng)?shù)谋壤成涞竭@個(gè)邏輯圖上。用精心設(shè)計(jì)的各種圖標(biāo)來(lái)表示各種網(wǎng)絡(luò)對(duì)象，而這些圖標(biāo)又往往涂上不同顏色表示相應(yīng)設(shè)備的不同狀態(tài)。4.計(jì)費(fèi)管理

記錄各個(gè)用戶和應(yīng)用程序?qū)W(wǎng)絡(luò)資源的使用情況。計(jì)賬管理提供計(jì)算一個(gè)特定網(wǎng)絡(luò)或網(wǎng)段的運(yùn)行成本的手段。5.安全管理

是對(duì)網(wǎng)絡(luò)資源及其重要信息訪問(wèn)的約束和控制，包括驗(yàn)證網(wǎng)絡(luò)用戶的訪問(wèn)權(quán)限和優(yōu)先級(jí)、檢測(cè)和記錄未授權(quán)用戶企圖進(jìn)行的不應(yīng)有的操作。6.行為管理

上網(wǎng)行為管理是指幫助用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用，包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析。

三、上網(wǎng)行為管理的技術(shù)功能及產(chǎn)品

上網(wǎng)行為管理技術(shù)是專用于防止非法信息惡意傳播，避免相關(guān)機(jī)密、商業(yè)信息、科研成果泄漏，并可實(shí)時(shí)監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理軟硬件系列適用于需實(shí)施內(nèi)容審計(jì)與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，尤其是按等級(jí)進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的相關(guān)單位或部門(mén)。上網(wǎng)行為管理通過(guò)軟硬件能實(shí)現(xiàn)的功能有： 1.上網(wǎng)人員管理

上網(wǎng)身份管理：利用IP/MAC識(shí)別方式、用戶名/密碼認(rèn)證方式、與已有認(rèn)證系統(tǒng)的聯(lián)合單點(diǎn)登錄方式準(zhǔn)確識(shí)別確保上網(wǎng)人員合法性

上網(wǎng)終端管理：檢查主機(jī)的注冊(cè)表/進(jìn)程/硬盤(pán)文件的合法性，確保接入企業(yè)網(wǎng)的終端PC的合法性和安全性

移動(dòng)終端管理：檢查移動(dòng)終端識(shí)別碼，識(shí)別智能移動(dòng)終端類(lèi)型/型號(hào)，確保接入局域網(wǎng)的移動(dòng)終端的合法性

上網(wǎng)地點(diǎn)管理：檢查上網(wǎng)終端的物理接入點(diǎn)，識(shí)別上網(wǎng)地點(diǎn)，確保上網(wǎng)地點(diǎn)的合法性

2.上網(wǎng)瀏覽管理

搜索引擎管理：利用搜索框關(guān)鍵字的識(shí)別、記錄、阻斷技術(shù)，確保上網(wǎng)搜索內(nèi)容的合法性，避免不當(dāng)關(guān)鍵詞的搜索帶來(lái)的負(fù)面影響。

網(wǎng)址URL管理 ：利用網(wǎng)頁(yè)分類(lèi)庫(kù)技術(shù)，對(duì)海量網(wǎng)址進(jìn)行提前分類(lèi)識(shí)別、記錄、阻斷確保上網(wǎng)訪問(wèn)的網(wǎng)址的合法性。（URL：統(tǒng)一資源定位器）

網(wǎng)頁(yè)正文管理：利用正文關(guān)鍵字識(shí)別、記錄、阻斷技術(shù)，確保瀏覽正文的合法性

文件下載管理：利用文件名稱/大小/類(lèi)型/下載頻率的識(shí)別、記錄、阻斷技術(shù)確保網(wǎng)頁(yè)下載文件的合法性 3.上網(wǎng)外發(fā)管理

普通郵件管理：利用對(duì)SMTP收發(fā)人/標(biāo)題/正文/附件/附件內(nèi)容的深度識(shí)別、記錄、阻斷確保外發(fā)郵件的合法性

WEB郵件管理 ：利用對(duì)WEB方式的網(wǎng)頁(yè)郵箱的收發(fā)人/標(biāo)題/正文/附件/附件內(nèi)容的深度識(shí)別、記錄、阻斷確保外發(fā)郵件的合法性

網(wǎng)頁(yè)發(fā)帖管理：利用對(duì)BBS等網(wǎng)站的發(fā)帖內(nèi)容的標(biāo)題、正文關(guān)鍵字進(jìn)行識(shí)別、記錄、阻斷確保外發(fā)言論的合法性

即時(shí)通訊管理：利用對(duì)MSN、飛信、QQ、skype、雅虎通等主流IM軟件的外發(fā)內(nèi)容關(guān)鍵字識(shí)別、記錄、阻斷確保外發(fā)言論的合法性

其他外發(fā)管理：針對(duì)FTP、TELNET等傳統(tǒng)協(xié)議的外發(fā)信息進(jìn)行內(nèi)容關(guān)鍵字識(shí)別、記錄、阻斷確保外發(fā)信息的合法性 4.上網(wǎng)應(yīng)用管理

上網(wǎng)應(yīng)用阻斷：利用不依賴端口的應(yīng)用協(xié)議庫(kù)進(jìn)行應(yīng)用的識(shí)別和阻斷

上網(wǎng)應(yīng)用累計(jì)時(shí)長(zhǎng)限額：針對(duì)每個(gè)或多個(gè)應(yīng)用分配累計(jì)時(shí)長(zhǎng)、一天內(nèi)累計(jì)使用時(shí)間達(dá)到限額將自動(dòng)終止訪問(wèn)

上網(wǎng)應(yīng)用累計(jì)流量限額：針對(duì)每個(gè)或多個(gè)應(yīng)用分配累計(jì)流量、一天內(nèi)累計(jì)使用流量達(dá)到限額將自動(dòng)終止訪問(wèn) 5.上網(wǎng)流量管理

上網(wǎng)帶寬控制：為每個(gè)或多個(gè)應(yīng)用設(shè)置虛擬通道上限值，對(duì)于超過(guò)虛擬通道上限的流量進(jìn)行丟棄

上網(wǎng)帶寬保障：為每個(gè)或多個(gè)應(yīng)用設(shè)置虛擬通道下限值，確保為關(guān)鍵應(yīng)用保留必要的網(wǎng)絡(luò)帶寬

上網(wǎng)帶寬借用：當(dāng)有多個(gè)虛擬通道時(shí)，允許滿負(fù)荷虛擬通道借用其他空閑虛擬通道的帶寬

上網(wǎng)帶寬平均：每個(gè)用戶平均分配物理帶寬、避免單個(gè)用戶的流量過(guò)大搶占其他用戶帶寬 6.上網(wǎng)行為分析

上網(wǎng)行為實(shí)時(shí)監(jiān)控：對(duì)網(wǎng)絡(luò)當(dāng)前速率、帶寬分配、應(yīng)用分布、人員帶寬、人員應(yīng)用等進(jìn)行統(tǒng)一展現(xiàn)

上網(wǎng)行為日志查詢：對(duì)網(wǎng)絡(luò)中的上網(wǎng)人員/終端/地點(diǎn)、上網(wǎng)瀏覽、上網(wǎng)外發(fā)、上網(wǎng)應(yīng)用、上網(wǎng)流量等行為日志進(jìn)行精準(zhǔn)查詢，精確定位問(wèn)題

上網(wǎng)行為統(tǒng)計(jì)分析：對(duì)上網(wǎng)日志進(jìn)行歸納匯總，統(tǒng)計(jì)分析出流量趨勢(shì)、風(fēng)險(xiǎn)趨勢(shì)、泄密趨勢(shì)、效率趨勢(shì)等直觀的報(bào)表，便于管理者全局發(fā)現(xiàn)潛在問(wèn)題 7.上網(wǎng)隱私保護(hù)

日志傳輸加密：管理者采用SSL加密隧道方式訪問(wèn)設(shè)備的本地日志庫(kù)、外部日志中心，防止黑客竊聽(tīng)

管理三權(quán)分立：內(nèi)置管理員、審核員、審計(jì)員賬號(hào)。管理員無(wú)日志查看權(quán)限，但可設(shè)置審計(jì)員賬號(hào)；審核員無(wú)日志查看權(quán)限，但可審核審計(jì)員權(quán)限的合法性后

才開(kāi)通審計(jì)員權(quán)限；審計(jì)員無(wú)法設(shè)置自己的日志查看范圍，但可在審核員通過(guò)權(quán)限審核后查看規(guī)定的日志內(nèi)容

精確日志記錄：所有上網(wǎng)行為可根據(jù)過(guò)濾條件進(jìn)行選擇性記錄，不違規(guī)不記錄，最小程度記錄隱私 8.設(shè)備容錯(cuò)管理

死機(jī)保護(hù)：設(shè)備帶電死機(jī) / 斷電后可變成透明網(wǎng)線，不影響網(wǎng)絡(luò)傳輸。一鍵排障：網(wǎng)絡(luò)出現(xiàn)故障后，按下一鍵排障物理按鈕可以直接定位故障是否為上網(wǎng)行為管理設(shè)備引起，縮短網(wǎng)絡(luò)故障定位時(shí)間

雙系統(tǒng)冗余：提供硬盤(pán)+Flash卡雙系統(tǒng)，互為備份，單個(gè)系統(tǒng)故障后依舊可以保持設(shè)備正常使用。9.風(fēng)險(xiǎn)集中告警

告警中心：所有告警信息可在告警中心頁(yè)面中統(tǒng)一的集中展示

分級(jí)告警：不同等級(jí)的告警進(jìn)行區(qū)分排列，防止低等級(jí)告警淹沒(méi)關(guān)鍵的高等級(jí)告警信息。

告警通知：告警可通過(guò)郵件、語(yǔ)音提示方式通知管理員，便于快速發(fā)現(xiàn)告警風(fēng)險(xiǎn)。

10.上網(wǎng)行為管理產(chǎn)品

深信服上網(wǎng)行為管理（AC）是中國(guó)上網(wǎng)行為管理第一品牌，可以防止與業(yè)務(wù)無(wú)關(guān)的網(wǎng)絡(luò)行為，杜絕帶寬資源濫用，加快上網(wǎng)速率，提升工作效率。在網(wǎng)頁(yè)過(guò)濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問(wèn)行為記錄、上網(wǎng)安全等多個(gè)方面為提供解決方案。

網(wǎng)康上網(wǎng)行為管理能幫助客戶最大化利用互聯(lián)網(wǎng)價(jià)值，為網(wǎng)絡(luò)管理者提供各種互聯(lián)網(wǎng)接入環(huán)境的身份認(rèn)證、合規(guī)準(zhǔn)入、網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制、帶寬管理、內(nèi)容審計(jì)、外發(fā)過(guò)濾，行為分析等功能。

小草網(wǎng)管軟件綜合智能動(dòng)態(tài)帶寬保障，服務(wù)器流量分析與保障、虛擬多設(shè)備管理等多項(xiàng)突破性技術(shù)，涵蓋流量分析、帶寬管理、上網(wǎng)行為管理、DMZ區(qū)服務(wù)器管理，專線集中管理、企業(yè)級(jí)防火墻與路由器、負(fù)載均衡等功能，在網(wǎng)絡(luò)性能、質(zhì)量、安全等方面為客戶提供完整的解決方案。

產(chǎn)品對(duì)比：從產(chǎn)品形態(tài)來(lái)看，上網(wǎng)行為管理分為硬件和軟件2種，但是國(guó)內(nèi)以硬件為主流，國(guó)外以軟件為主流；

硬件的優(yōu)勢(shì)：部署簡(jiǎn)單、升級(jí)方便、故障率低

硬件的劣勢(shì)：成本較高,維護(hù)復(fù)雜,維修需要專業(yè)認(rèn)識(shí)

軟件的優(yōu)勢(shì)：成本適當(dāng),維護(hù)簡(jiǎn)單、安裝容易、升級(jí)快速,可以在隨便找個(gè)機(jī)器部署.軟件的劣勢(shì)：對(duì)于國(guó)企和政府來(lái)說(shuō)，沒(méi)有一個(gè)東西不放心,所以國(guó)內(nèi)政府偏硬件，企業(yè)偏軟件。

四、深信服上網(wǎng)行為管理（AC）功能及部署方案 1.AC產(chǎn)品功能

1.1 身份認(rèn)證

1.1.1 映射組織行政結(jié)構(gòu)

為了給不同用戶、不同部門(mén)授予差異化的互聯(lián)網(wǎng)訪問(wèn)、控制、審計(jì)權(quán)限，需要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)。

一般組織均有自己的行政結(jié)構(gòu)，AC可以完全按照組織的行政結(jié)構(gòu)建立樹(shù)形用戶分組，實(shí)現(xiàn)父組、子組等多層嵌套的要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)權(quán)限的授予與繼承。用戶創(chuàng)建的過(guò)程簡(jiǎn)單方便，除手工輸入帳戶方式外，AC能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理員管理。

此外，AC支持賬戶自動(dòng)創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對(duì)應(yīng)關(guān)系，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，過(guò)AC的賬戶導(dǎo)入功能更加快捷的創(chuàng)建用戶和分組信息。

用戶帳號(hào)還支持有效期限定，賬號(hào)過(guò)期則自動(dòng)失效，支持多人共用同一帳號(hào)等，豐富的帳號(hào)策略使得管理員可以根據(jù)實(shí)際情況自由地合理調(diào)整。1.1.2 建立身份認(rèn)證體系

有效區(qū)分用戶，是部署差異化授權(quán)和審計(jì)策略、有效防御身份冒充、權(quán)限擴(kuò)散與濫用等的管理基礎(chǔ)。AC支持豐富的身份認(rèn)證方式：

■ 本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC/IP-MAC綁定 ■ 第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等； ■ 雙因素認(rèn)證：USB-Key認(rèn)證；

■ 單點(diǎn)登錄：AD、POP3、Proxy、HTTP POST等；

■ 強(qiáng)制認(rèn)證：強(qiáng)制指定IP段的用戶必須使用單點(diǎn)登錄（如必須登錄AD域等）

豐富的認(rèn)證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體系，進(jìn)而形成樹(shù)形用戶分組，映射組織行政結(jié)構(gòu)，實(shí)現(xiàn)用戶與行為的一一對(duì)應(yīng)，方便 5

管理員實(shí)施上網(wǎng)行為管理解決方案。

AC支持為未認(rèn)證通過(guò)的用戶分配受限的互聯(lián)網(wǎng)訪問(wèn)權(quán)限，將通過(guò)Web認(rèn)證的用戶重定向至顯示指定網(wǎng)頁(yè)，方便組織管理員發(fā)布通知。1.2 應(yīng)用權(quán)限管理 1.2.1應(yīng)用控制策略 1.2.1.1 識(shí)別是管理的基礎(chǔ)

全面的應(yīng)用識(shí)別幫助管理員透徹了解網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶行為，保障管理效果。

AC多種應(yīng)用識(shí)別技術(shù)，全面識(shí)別各種應(yīng)用，進(jìn)而有效管控和審計(jì)。主要包括： a)URL識(shí)別： AC內(nèi)置千萬(wàn)級(jí)靜態(tài)URL庫(kù)、支持基于關(guān)鍵字管控、網(wǎng)頁(yè)智能分析系統(tǒng)IWAS從容應(yīng)對(duì)互聯(lián)網(wǎng)上數(shù)以萬(wàn)億的網(wǎng)頁(yè)、SSL內(nèi)容識(shí)別技術(shù)； b)應(yīng)用規(guī)則識(shí)別庫(kù)：AC擁有國(guó)內(nèi)最大的應(yīng)用識(shí)別庫(kù)，該庫(kù)由深信服應(yīng)用規(guī)則研發(fā)團(tuán)隊(duì)定期維護(hù)，保證庫(kù)處于最新?tīng)顟B(tài)；該庫(kù)支持360種以上網(wǎng)絡(luò)主流應(yīng)用，680條以上規(guī)則 能識(shí)別40種以上IM、50種以上P2P/P2P流媒體、100種以上游戲、20種以上OA、15種以上網(wǎng)銀、20種以上股票行情軟件、15種以上股票交易軟件、10種以上木馬、10種以上代理軟件； c)文件類(lèi)型識(shí)別：識(shí)別并過(guò)濾HTTP、FTP、mail方式上傳下載的文件，即使刪除文件擴(kuò)展名、篡改擴(kuò)展名、壓縮、加密后再上傳，AC同樣能識(shí)別和報(bào)警；

d)深度內(nèi)容檢測(cè)：IM聊天、在線炒股、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP/IP協(xié)議等，基于數(shù)據(jù)包特征精準(zhǔn)識(shí)別，且支持管理員自行定義新規(guī)則，以及深信服科技及時(shí)更新和快速響應(yīng)；

e)智能識(shí)別：種類(lèi)泛濫的P2P行為，靜態(tài)“應(yīng)用識(shí)別規(guī)則”已經(jīng)捉襟見(jiàn)肘，通過(guò)P2P智能識(shí)別，識(shí)別不常見(jiàn)、未來(lái)可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計(jì)。

通過(guò)強(qiáng)大的應(yīng)用識(shí)別技術(shù)，無(wú)論網(wǎng)頁(yè)訪問(wèn)行為、文件傳輸行為、郵件行為、應(yīng)用行為等AC都能幫助組織實(shí)現(xiàn)對(duì)上網(wǎng)行為的封堵、流控、審計(jì)等管理。1.2.1.2 上網(wǎng)策略對(duì)象化

AC支持完美映射組織的行政結(jié)構(gòu)，管理員可依據(jù)組織結(jié)構(gòu)添加管理策略。上網(wǎng)策略對(duì)象化，同一條上網(wǎng)策略可被多個(gè)用戶/用戶組復(fù)用，同一用戶/用戶組可關(guān)聯(lián)使用多條策略，實(shí)現(xiàn)策略和用戶/用戶組的雙向關(guān)聯(lián)，方便管理員調(diào)整。對(duì)于父組、子組的

上網(wǎng)策略不僅僅支持基于生效時(shí)間、用戶/用戶組、應(yīng)用類(lèi)型，支持模板形 6

式復(fù)制，更支持策略有效期，管理員可手動(dòng)設(shè)定策略的過(guò)期時(shí)間，逾期自動(dòng)失效，有效實(shí)現(xiàn)策略的回收管理。此外，AC支持將策略的查看、編輯權(quán)限分配給指定管理員，實(shí)現(xiàn)策略的分級(jí)管理。1.2.1.3 靈活的授權(quán)

AC支持基于生效時(shí)間、用戶/用戶組、應(yīng)用類(lèi)型的授權(quán)，幫助組織實(shí)現(xiàn)上網(wǎng)權(quán)限與工作職責(zé)的匹配，防止越權(quán)訪問(wèn)與泄密風(fēng)險(xiǎn)，一方面管控與業(yè)務(wù)無(wú)關(guān)的上網(wǎng)行為，提升員工工作效率，一方面過(guò)濾不良信息、阻止異常行為，防止法律與泄密風(fēng)險(xiǎn)。

AC更兼顧了管理與人性化的需求，對(duì)于某些不便添加權(quán)限控制策略的部門(mén)或者是企業(yè)文化較為寬松的組織，AC提供了“智能提醒”功能，管理員可設(shè)定允許特定用戶使用指定應(yīng)用的時(shí)長(zhǎng)、流速，一旦用戶使用指定應(yīng)用的時(shí)長(zhǎng)、速度超限后，AC自動(dòng)彈出提醒窗口，提醒用戶注意違規(guī)行為，敦促用戶自覺(jué)規(guī)范，達(dá)到促進(jìn)自我管理的目的，減少管理帶來(lái)的摩擦。1.2.2 Web應(yīng)用控制 1.2.2.1 URL訪問(wèn)控制

網(wǎng)頁(yè)瀏覽是員工主要互聯(lián)網(wǎng)行為之一，在URL過(guò)濾方面，AC采用“靜態(tài)URL庫(kù)+URL智能識(shí)別+云系統(tǒng)”三重識(shí)別體系。

首先，AC內(nèi)置千萬(wàn)級(jí)預(yù)分類(lèi)URL地址庫(kù)，該庫(kù)由深信服URL研發(fā)小組專人負(fù)責(zé)維護(hù)，收集新增網(wǎng)頁(yè)并經(jīng)由人工審核分類(lèi)，包含互聯(lián)網(wǎng)上數(shù)十種分類(lèi)站點(diǎn)，覆蓋了95%以上用戶訪問(wèn)量最高的網(wǎng)址。

其次，互聯(lián)網(wǎng)網(wǎng)頁(yè)容量爆炸性增長(zhǎng)，靜態(tài)URL庫(kù)不足以有效應(yīng)對(duì)。因此，AC支持基于內(nèi)容關(guān)鍵字的過(guò)濾手段，可基于管理員指定的多關(guān)鍵字過(guò)濾用戶搜索行為、網(wǎng)頁(yè)訪問(wèn)行為、發(fā)帖行為等。更提供了人工智能的網(wǎng)頁(yè)智能分析系統(tǒng)（Intelligent Webpage Analysis System, IWAS）能夠根據(jù)已知網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對(duì)網(wǎng)進(jìn)行學(xué)習(xí)和智能分類(lèi)，真正幫助組織完善網(wǎng)頁(yè)訪問(wèn)行為的管理。1.2.2.2 SSL內(nèi)容管理

SSL(Secure Socket Layer)協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。正因?yàn)槿绱耍环矫?，越?lái)越多的網(wǎng)頁(yè)使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網(wǎng)站，而因?yàn)椴捎昧思用芗夹g(shù)，普通的管理產(chǎn)品無(wú)法對(duì)其內(nèi)容進(jìn)行識(shí)別管理，導(dǎo)致管理漏洞；另一方面，互聯(lián)網(wǎng)上存在大量偽造的網(wǎng)上銀行、網(wǎng)上購(gòu)物頁(yè)面，此類(lèi)網(wǎng)頁(yè)利用了網(wǎng)銀、網(wǎng)上購(gòu)物等

普遍采用第三方權(quán)威機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)以實(shí)現(xiàn)SSL加密的特性，偽造虛假證書(shū)以騙取用戶信任，警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息，導(dǎo)致直接或間接的經(jīng)濟(jì)損失。

AC可以對(duì)SSL網(wǎng)站提供的數(shù)字證書(shū)進(jìn)行深度驗(yàn)證，包括該證書(shū)的根頒發(fā)機(jī)構(gòu)、證書(shū)有效期、證書(shū)撤銷(xiāo)列表、證書(shū)持有人的公鑰、證書(shū)簽名等，防止采用非可信頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)的釣魚(yú)網(wǎng)站蒙騙用戶，此功能亦應(yīng)用于過(guò)濾SSL加密的色情、反動(dòng)站點(diǎn)，證券炒股站點(diǎn)等。1.2.2.3 代理翻墻管控

許多組織統(tǒng)一采用Microsoft ISA、CCproxy、Sygate等代理服務(wù)器上網(wǎng)，也有的組織明文規(guī)定禁止內(nèi)網(wǎng)用戶私用代理上網(wǎng)，但仍有用戶將瀏覽器等應(yīng)用配置公網(wǎng)服務(wù)器、私裝代理軟件代理他人上網(wǎng)，甚至使用自由門(mén)、無(wú)界瀏覽器、IPN等加密代理行為。由于防火墻等設(shè)備對(duì)內(nèi)網(wǎng)用戶的管理是基于目的地址和端口的，無(wú)法有效區(qū)分正常上網(wǎng)的流量和通過(guò)代理服務(wù)器上網(wǎng)的員工流量。對(duì)于如上情況，AC的深度內(nèi)容檢測(cè)技術(shù)能有效識(shí)別用戶數(shù)據(jù)中包含的代理上網(wǎng)流量，通過(guò)代理識(shí)別模塊可以識(shí)別從用戶端發(fā)送到達(dá)代理服務(wù)器之間的應(yīng)用數(shù)據(jù)，進(jìn)而對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行管控和記錄。1.2.3文件傳輸控制

利用網(wǎng)絡(luò)來(lái)進(jìn)行文件傳輸是許多用戶每天的必修課，而在文件傳輸過(guò)程中存在種種管理和安全隱患，如用戶通過(guò)不可信的下載源下載了帶毒文件、在文件打包外發(fā)過(guò)程中不慎夾帶了涉密文件、終端因?yàn)橹卸净虮缓诳涂刂浦鲃?dòng)發(fā)起外發(fā)文件行為而用戶對(duì)此茫然無(wú)知，有意泄密者甚至?xí)⑼獍l(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過(guò)HTTP、FTP、Email附件等形式外發(fā)。

AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點(diǎn)下載文件而封堵其他站點(diǎn)，基于關(guān)鍵字、文件類(lèi)型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實(shí)現(xiàn)對(duì)外發(fā)文件的審計(jì)和記錄顯然無(wú)法挽回泄密已經(jīng)給組織造成的損失，單純的基于文件擴(kuò)展名過(guò)濾外發(fā)文件、外發(fā)Email也無(wú)法應(yīng)對(duì)以上風(fēng)險(xiǎn)。鑒于此AC的文件類(lèi)型深度識(shí)別技術(shù)能基于特征能夠識(shí)別文件類(lèi)型，即便存在修改、刪除外發(fā)文件后綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現(xiàn)并且告警，保護(hù)組織的信息資產(chǎn)安全。1.2.4 郵件收發(fā)控制

Email不僅是組織重要的溝通方式之一，同時(shí)也是最常見(jiàn)的泄密方式。AC支持基于關(guān)鍵字、收發(fā)地址、附件類(lèi)型/個(gè)數(shù)/大小過(guò)濾外發(fā)郵件，對(duì)于將文件修改

后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過(guò)攔截與審查的行為，AC能夠識(shí)別并進(jìn)行報(bào)警。同時(shí)，對(duì)于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過(guò)數(shù)據(jù)中心方便管理員對(duì)郵件日志進(jìn)行查詢、審計(jì)、報(bào)表統(tǒng)計(jì)等操作。1.3 帶寬管理 1.3.1流量可視化

AC為IT管理員提供了網(wǎng)絡(luò)流量可視化方案，登陸AC控制臺(tái)后，管理員可以查看出口流量曲線圖、當(dāng)前流量TOP N應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況。

此外，數(shù)據(jù)中心（Network Database Center，NDC）對(duì)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄、審計(jì)，借助圖形化報(bào)表直觀顯示統(tǒng)計(jì)結(jié)果等，幫助管理員了解流量TOP N用戶、TOP N應(yīng)用等，并自動(dòng)形成報(bào)表文檔，定時(shí)發(fā)送到指定郵箱，讓IT管理員輕松掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準(zhǔn)確依據(jù)。1.3.2 流量管理

當(dāng)您了解了帶寬的使用情況，并對(duì)帶寬進(jìn)行優(yōu)化和分配后，我們即將對(duì)用戶(組)的上網(wǎng)行為做進(jìn)一步的管理和控制。1.3.2.1 多線路復(fù)用和智能選路

很多組織擁有電信、網(wǎng)通等兩條以上互聯(lián)網(wǎng)出口鏈路，如何同時(shí)復(fù)用多條鏈路并做到流量的負(fù)載均衡與智能分擔(dān)？通過(guò)AC特有的多線路復(fù)用及帶寬疊加技術(shù)，AC復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，AC將出網(wǎng)流量自動(dòng)匹配最佳出口。1.3.2.2 基于應(yīng)用/網(wǎng)站/文件類(lèi)型的智能流量管理

AC可以基于不同用戶(組)、出口鏈路、應(yīng)用類(lèi)型、網(wǎng)站類(lèi)型、文件類(lèi)型、目標(biāo)地址、時(shí)間段進(jìn)行細(xì)致的帶寬劃分與分配。精細(xì)智能的流量管理既防止帶寬濫用，提升帶寬使用效率。1.3.2.3 多級(jí)父子通道嵌套技術(shù)

AC采用“基于隊(duì)列的流控技術(shù)”，即建立管道，將不同的控制對(duì)象分配到不同的管道里。該技術(shù)的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時(shí)間、應(yīng)用協(xié)議、網(wǎng)站、文件類(lèi)型等對(duì)象建立不同的通道，對(duì)于結(jié)構(gòu)復(fù)雜又希望實(shí)現(xiàn)差異化控制的組織來(lái)說(shuō)可以做到更為精確的控制。

1.3.2.4 動(dòng)態(tài)帶寬分配

組織管理員往往既希望在網(wǎng)絡(luò)應(yīng)用高峰期保障核心用戶、核心業(yè)務(wù)帶寬，限制無(wú)關(guān)應(yīng)用占用資源，又希望在帶寬空閑時(shí)實(shí)現(xiàn)資源的充分利用。為此，AC支持帶寬的“自由競(jìng)爭(zhēng)”與“動(dòng)態(tài)分配”，除了基于父子通道進(jìn)行流量控制之外，還可以根據(jù)在線的用戶數(shù)量將帶寬動(dòng)態(tài)分配給在線用戶。1.3.2.5 P2P的智能識(shí)別與靈活控制

通過(guò)封IP、端口等管控“帶寬殺手”P(pán)2P應(yīng)用的方式極不徹底。加密P2P、不常見(jiàn)P2P、新P2P工具等讓眾多P2P管理手段束手無(wú)策。AC憑借P2P智能識(shí)別技術(shù)，不僅識(shí)別和管控常用P2P、加密P2P，對(duì)不常見(jiàn)和未來(lái)將出現(xiàn)的P2P亦能管控。

對(duì)于某些企業(yè)文化較為寬松的組織，完全封堵P2P可能實(shí)施困難，AC的P2P流量控制技術(shù)能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會(huì)濫用帶寬，充分滿足管理的靈活性。1.4 日志記錄與報(bào)表分析

記錄員工的網(wǎng)絡(luò)工作效率、分析網(wǎng)絡(luò)應(yīng)用情況、提供管理依據(jù)等。1.5 安全防護(hù) 1.5.1終端安全

網(wǎng)絡(luò)世界中安全事件數(shù)量急劇攀升，內(nèi)網(wǎng)中斷、不穩(wěn)定將直接影響用戶的上網(wǎng)行為，所以需要AC保證網(wǎng)關(guān)自身安全，并強(qiáng)化內(nèi)網(wǎng)可靠性、可用性。1.5.1.1 防火墻

AC內(nèi)置基于狀態(tài)檢測(cè)技術(shù)的企業(yè)級(jí)防火墻，對(duì)進(jìn)出組織的數(shù)據(jù)包提供過(guò)濾和控制。NAT（Network Address Translation）功能，代理內(nèi)網(wǎng)員工上網(wǎng)和實(shí)現(xiàn)靜態(tài)端口映射。1.5.1.2 網(wǎng)關(guān)防病毒

AC的網(wǎng)關(guān)防病毒功能集成知名廠商的防病毒引擎（防病毒引擎每天自動(dòng)升級(jí)），從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。1.5.1.3 終端安全級(jí)別檢測(cè)

借助網(wǎng)絡(luò)準(zhǔn)入規(guī)則專利技術(shù)（專利號(hào)ZL200510037455.1），AC將按照管理員要求檢查每位員工防病毒軟件安裝、運(yùn)行、更新情況、操作系統(tǒng)版本、補(bǔ)丁情況、注冊(cè)表鍵值、終端程序運(yùn)行情況、終端目錄盤(pán)下文件情況等，不滿足預(yù)設(shè)安全級(jí)別的終端將不允許訪問(wèn)互聯(lián)網(wǎng)，從而提升整個(gè)內(nèi)網(wǎng)的可靠性和可用性。

1.5.2網(wǎng)絡(luò)準(zhǔn)入控制 近年來(lái)，在企業(yè)網(wǎng)中，新的安全威脅層出不窮，給組織帶來(lái)各種風(fēng)險(xiǎn)：

深信服科技推出了輕量級(jí)NAC（網(wǎng)絡(luò)準(zhǔn)入控制）解決方案，只需在出口處部署一臺(tái)硬件網(wǎng)關(guān)，通過(guò)向內(nèi)網(wǎng)終端自動(dòng)推送一個(gè)輕量級(jí)的客戶端控件，即可實(shí)現(xiàn)對(duì)接入內(nèi)網(wǎng)終端的網(wǎng)絡(luò)準(zhǔn)入控制和安全隔離，執(zhí)行安全級(jí)別檢查，限制非法外聯(lián)線路，禁用USB拷貝功能。

1.5.3 危險(xiǎn)插件惡意腳本過(guò)濾 非法網(wǎng)站假冒可信軟件如防病毒軟件、插入非法軟件，通過(guò)惡意廣告、垃圾博客、惡意點(diǎn)對(duì)點(diǎn)文件傳播等，當(dāng)用戶發(fā)現(xiàn)時(shí)，用戶端已經(jīng)被安裝惡意插件，被強(qiáng)迫瀏覽黑客指定的網(wǎng)站，或者被利用攻擊某個(gè)站點(diǎn)，終端信息已被外發(fā)，損失已造成。

究其根源，在于用戶訪問(wèn)不可信的資源，如現(xiàn)在非常流行的是通過(guò)瀏覽器自動(dòng)安裝ActiveX控件來(lái)進(jìn)行惡意插件的傳播。AC通過(guò)對(duì) ActiveX控件的簽名進(jìn)行過(guò)濾，防止不被信任的插件安裝到內(nèi)網(wǎng)機(jī)器當(dāng)中，從而解決通過(guò)IE瀏覽器亂裝控件的問(wèn)題，起到保護(hù)內(nèi)網(wǎng)安全的作用。還有形形色色的病毒、木馬，而這些危害絕大部分都是危險(xiǎn)腳本造成的。AC通過(guò)對(duì)內(nèi)網(wǎng)用戶訪問(wèn)的網(wǎng)頁(yè)腳本進(jìn)行特征識(shí)別，在腳本下載到瀏覽器執(zhí)行前進(jìn)行攔截，從而起到保護(hù)內(nèi)網(wǎng)安全的作用。1.5.3.1 危險(xiǎn)插件過(guò)濾

? 能識(shí)別那些下載文件是會(huì)自動(dòng)安裝的插件，包括所有通過(guò)瀏覽器自動(dòng)下載的文件。

? 能根據(jù)插件白名單對(duì)插件進(jìn)行過(guò)濾，內(nèi)置常用安全插件列表供用戶選擇，還可以自定義白名單（支持插件名稱、證書(shū)名稱和域名）。

? 能根據(jù)插件證書(shū)的合法性進(jìn)行過(guò)濾，包括：檢查插件簽名是否過(guò)期，對(duì)插件簽名進(jìn)行證書(shū)鏈控制。

? 能記錄控件過(guò)濾日志，包括被過(guò)濾控件名稱及被拒絕的原因，并能在數(shù)據(jù)中心查出來(lái)。

? 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時(shí)做攔截，第二次實(shí)現(xiàn)時(shí)給出提示。1.5.3.2 惡意腳本過(guò)濾功能：

? 可以過(guò)濾注冊(cè)表的寫(xiě)操作； ? 可以過(guò)濾文件的寫(xiě)操作； ? 過(guò)濾危險(xiǎn)對(duì)象和危險(xiǎn)調(diào)用；

? 能夠?qū)崿F(xiàn)二次提示，第一次出現(xiàn)時(shí)做攔截，第二次實(shí)現(xiàn)時(shí)給出提示。

1.5.4 異常流量控制

■ 異常流量感知 隨U盤(pán)等潛入組織內(nèi)網(wǎng)的木馬、間諜軟件等為了隱藏自己，通常會(huì)通過(guò)常用的TCP 80、443、25、110等端口泄漏內(nèi)網(wǎng)機(jī)密數(shù)據(jù)及接受黑客控制。傳統(tǒng)設(shè)備防火墻等解決方案在開(kāi)放了常用端口后并不能識(shí)別該端口中傳輸?shù)臄?shù)據(jù)及內(nèi)容，AC的異常流量感知技術(shù)能夠識(shí)別常用端口中的如上異常流量，并能夠?qū)崟r(shí)報(bào)警，幫助管理員掌控網(wǎng)絡(luò)，防范風(fēng)險(xiǎn)。

2.AC產(chǎn)品的部署模式 2.1網(wǎng)關(guān)模式（路由模式）

AC以網(wǎng)關(guān)模式部署在組織網(wǎng)絡(luò)中，所有流量都通過(guò)AC處理，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計(jì)等功能。2.2網(wǎng)橋模式

單網(wǎng)橋模式：以網(wǎng)橋模式部署在組織網(wǎng)絡(luò)中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機(jī)之間的“智能網(wǎng)線”，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計(jì)、安全防護(hù)等功能。

多網(wǎng)橋模式：組織考慮到網(wǎng)絡(luò)的穩(wěn)定性、可靠性，往往采用雙機(jī)、雙線路構(gòu)建基礎(chǔ)網(wǎng)絡(luò)。AC支持多路橋接模式，適應(yīng)組織的多機(jī)網(wǎng)絡(luò)環(huán)境要求。2.3旁路模式

AC以旁路模式部署在組織網(wǎng)絡(luò)中，與交換機(jī)鏡像端口相連，實(shí)施簡(jiǎn)單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生率。2.4多機(jī)模式

根據(jù)我院現(xiàn)有的網(wǎng)絡(luò)機(jī)構(gòu)適合使用網(wǎng)橋模式：

第三篇：上網(wǎng)行為管理方案

上網(wǎng)行為管理方案(員工上網(wǎng)控制)

構(gòu)建安全、穩(wěn)定、高效的企業(yè)網(wǎng)絡(luò)

?

行業(yè)背景分析

CNNIC最新數(shù)據(jù)表明：94.8%的中小企業(yè)配備了電腦、92.7%的中國(guó)中小企業(yè)接入互聯(lián)網(wǎng)；57.2%的中小企業(yè)正在利用互聯(lián)網(wǎng)與客戶溝通及為客戶提供咨詢服務(wù)。從企業(yè)門(mén)戶平臺(tái)的建設(shè)到公文、數(shù)據(jù)的傳遞，從VPN企業(yè)專用信息通道到網(wǎng)絡(luò)視頻會(huì)議，網(wǎng)絡(luò)應(yīng)用已經(jīng)成為廣大企業(yè)提高工作效率，進(jìn)行實(shí)時(shí)溝通的有力保證和手段；同時(shí)網(wǎng)絡(luò)也成為企業(yè)收集各類(lèi)信息、與外界溝通以及員工獲得專業(yè)知識(shí)與信息的重要來(lái)源。然而，網(wǎng)絡(luò)也是各種娛樂(lè)活動(dòng)的渠道，是分散員工精力、生產(chǎn)力流失的根源，重要資料的泄漏和不可控的安全隱患也使廣大企業(yè)面臨巨大經(jīng)濟(jì)損失和法律風(fēng)險(xiǎn)。

據(jù)美國(guó)科技調(diào)查機(jī)構(gòu)IDC的調(diào)查指出：企業(yè)員工大約30％～40％對(duì)網(wǎng)絡(luò)的使用是跟工作無(wú)關(guān)的。中國(guó)企業(yè)的情況略高于這個(gè)比例。中國(guó)員工每周花在網(wǎng)上處理私人事務(wù)的時(shí)間為5.6小時(shí)，中國(guó)的IT主管認(rèn)為員工每周會(huì)花費(fèi)至少6.2小時(shí)進(jìn)行網(wǎng)上沖浪，83%的中層管理人員在辦公時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的網(wǎng)站。

如果缺乏管理制度和技術(shù)手段，員工不加監(jiān)管、隨意使用網(wǎng)絡(luò)將導(dǎo)致三個(gè)重大問(wèn)題：工作效率低下、網(wǎng)絡(luò)性能惡化、網(wǎng)絡(luò)違法隱患。?

行業(yè)網(wǎng)絡(luò)需求分析 多線高速接入

因?yàn)閾芴?hào)接入方式比專線、光纖便宜很多，一般企業(yè)多采用ADSL這類(lèi)的寬帶接入。隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越多，管理難度越來(lái)越大，很多企業(yè)一條寬帶不夠，再增加一條寬帶；兩條條寬帶不夠，再增加兩條寬帶。但這樣就會(huì)出現(xiàn)多路接入、多個(gè)出口的問(wèn)題，接入設(shè)備多，維護(hù)成本增大，給管理帶來(lái)困難。

因此企業(yè)需要多路寬帶接入，特別是在業(yè)務(wù)范圍覆蓋全國(guó)的企業(yè)，還需要電信、聯(lián)通線路的同時(shí)接入訪問(wèn)，消除跨網(wǎng)互通的問(wèn)題。網(wǎng)絡(luò)帶寬管理

一般來(lái)說(shuō)，一個(gè)2M外網(wǎng)帶寬的局域網(wǎng)，只要有2個(gè)以上的用戶毫無(wú)節(jié)制地使用BT，所有人的正常網(wǎng)絡(luò)瀏覽都將成為不可完成的任務(wù)。如果缺乏有效的技術(shù)手段，BT、迅雷、電驢、PPLive等P2P軟件和在線影音等行為就會(huì)嚴(yán)重吞噬帶寬資源，導(dǎo)致正常工作的帶寬得不到保障，企業(yè)大量投資的寬帶網(wǎng)絡(luò)速度一天比一天慢；IT部門(mén)經(jīng)常遭到抱怨，要求提升上網(wǎng)的帶寬；而有趣的是抱怨的人中常常包括那些下載音樂(lè)文件或看視頻電影的員工。

網(wǎng)絡(luò)帶寬缺乏規(guī)劃與管理，勢(shì)必造成網(wǎng)絡(luò)投資加大，企業(yè)成本上升。企業(yè)推廣信息化建設(shè)、建立網(wǎng)絡(luò)應(yīng)用環(huán)境是為了提高工作效率，降低辦公成本。網(wǎng)絡(luò)資源浪費(fèi)迫使企業(yè)加大網(wǎng)絡(luò)投資，網(wǎng)絡(luò)投資導(dǎo)致了成本的上升，利潤(rùn)的下降，這也是企業(yè)面臨的重要問(wèn)題。抵制不良信息

互聯(lián)網(wǎng)上信息龐雜多樣，既有大量進(jìn)步、有益的信息，也有不少反動(dòng)、迷信、黃色等不健康的內(nèi)容，對(duì)于有危害的站點(diǎn)如何去屏蔽？對(duì)于色情反動(dòng)站點(diǎn)如何過(guò)濾？

現(xiàn)在很多企業(yè)還缺乏有效的管理監(jiān)控手段來(lái)對(duì)企業(yè)員工的上網(wǎng)進(jìn)行必要的限制和記錄，對(duì)于一些非法站點(diǎn)也沒(méi)有采取有效手段來(lái)過(guò)濾。企業(yè)將面臨違反國(guó)家法律法規(guī)的風(fēng)險(xiǎn)，反動(dòng)、黃色的言論通過(guò)網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播，直接會(huì)導(dǎo)致企業(yè)面臨國(guó)家法律的制裁，企業(yè)領(lǐng)導(dǎo)難辭其咎。

在企業(yè)內(nèi)部提供一個(gè)綠色安全的上網(wǎng)環(huán)境，已經(jīng)成為迫切的問(wèn)題。上網(wǎng)行為管理

互聯(lián)網(wǎng)上的內(nèi)容太豐富了，對(duì)企業(yè)員工有太多的誘惑，很多的員工沉溺其中，無(wú)法自拔，常常把自己的本職工作放在一邊，導(dǎo)致企業(yè)整體工作效率沒(méi)有提升反而下降。調(diào)查數(shù)據(jù)顯示以下為影響工作效率主要的互聯(lián)網(wǎng)行為，它們與工作無(wú)關(guān)而且可能導(dǎo)致更多的問(wèn)題（比如網(wǎng)絡(luò)安全等）： 閑逛新聞、娛樂(lè)網(wǎng)站，泡論壇“打發(fā)時(shí)間”； 瀏覽色情網(wǎng)站、賭博網(wǎng)站；

瀏覽游戲、音樂(lè)等娛樂(lè)網(wǎng)站，下載大量與工作無(wú)關(guān)的音樂(lè)文件，在線聽(tīng)音樂(lè)，在線看視頻等，不僅耽誤工作，而且占用大量的網(wǎng)絡(luò)帶寬資源，影響其他人員使用公司的資源；瀏覽相關(guān)財(cái)經(jīng)網(wǎng)站，利用公司的資源在線炒股；瀏覽“在線”購(gòu)物和拍賣(mài)網(wǎng)站； 使用IM軟件如QQ、MSN、Skype、飛信等。

個(gè)人沉溺于網(wǎng)絡(luò)或者“出工不出力”的現(xiàn)象屢見(jiàn)不鮮。個(gè)人工作效率及工作狀態(tài)的低下，最終會(huì)反映到工作業(yè)績(jī)上，影響到個(gè)人在企業(yè)中發(fā)展。而且它具有擴(kuò)散效應(yīng)，八卦新聞、小道消息一旦成為工作時(shí)間的談資，必然極大破壞辦公室的工作氛圍。信息安全風(fēng)險(xiǎn)

任何企業(yè)主或管理人員都擔(dān)心企業(yè)內(nèi)部的機(jī)密信息流露出去，而互聯(lián)網(wǎng)偏偏又是最便捷的信息交流傳遞途徑。企業(yè)商業(yè)機(jī)密、重要文獻(xiàn)可以通過(guò)網(wǎng)絡(luò)以MSN、QQ、郵箱等多種方式快速、方便的流失出去。不受限制的上網(wǎng)行為將帶來(lái)更多的安全問(wèn)題，比如下載的文件中帶有病毒或其它有破壞性的程序QQ、MSN等軟件的使用有可能招到網(wǎng)絡(luò)黑客的襲擊等。

想到這些問(wèn)題，每個(gè)管理人員都可能坐立不安。如何解決這些問(wèn)題呢 網(wǎng)絡(luò)穩(wěn)定安全

企業(yè)內(nèi)網(wǎng)PC終端眾多，網(wǎng)絡(luò)應(yīng)用也較復(fù)雜，因誤觸惡意網(wǎng)站、下載等原因，木馬、蠕蟲(chóng)、釣魚(yú)等網(wǎng)絡(luò)陷阱可以輕易沖垮企業(yè)的網(wǎng)絡(luò)環(huán)境，甚至導(dǎo)致企業(yè)整體IT系統(tǒng)的癱瘓，泛濫的P2P軟件（迅雷、BT、電驢等）都可能造成內(nèi)網(wǎng)的安全隱患。最典型的就是不少企業(yè)網(wǎng)絡(luò)都飽受ARP病毒攻擊，網(wǎng)絡(luò)要么頻繁掉線、亂彈廣告，要么上網(wǎng)速度巨慢！?

XX網(wǎng)絡(luò)解決方案

XX上網(wǎng)行為管理路由器部署為企業(yè)的網(wǎng)關(guān)，提供網(wǎng)絡(luò)接入、上網(wǎng)行為管理等功能；內(nèi)網(wǎng)采用上網(wǎng)行為管理交換機(jī)，提供千兆內(nèi)網(wǎng)傳輸速率。

?

方案特點(diǎn)：

多條寬帶接入，提高網(wǎng)速又省錢(qián)

提供2~4個(gè)WAN口，可以使用多條ADSL取代光纖，或增加 ADSL提升帶寬，節(jié)省費(fèi)用并且降低“單線故障”的風(fēng)險(xiǎn)。智能實(shí)現(xiàn)“電信數(shù)據(jù)走電信線路，聯(lián)通數(shù)據(jù)走聯(lián)通線路”，并支持在線升級(jí)策略庫(kù)，實(shí)現(xiàn)多網(wǎng)的高速接入。

它還具有領(lǐng)先的通斷檢測(cè)技術(shù)，能智能判斷線路狀態(tài)，如果某條線路出現(xiàn)故障，會(huì)自動(dòng)將相關(guān)應(yīng)用調(diào)度到正常線路，確保網(wǎng)絡(luò)永遠(yuǎn)在線。支持線路定時(shí)切換的數(shù)據(jù)平滑過(guò)渡，減少線路切換時(shí)卡機(jī)、掉線等現(xiàn)象。

合理分配帶寬，網(wǎng)絡(luò)不卡不掉線

免配置智能流控（Smart QoS Ⅱ）通過(guò)對(duì)各類(lèi)應(yīng)用的深度識(shí)別、分類(lèi)管理、分級(jí)處理，始終讓企業(yè)關(guān)鍵業(yè)務(wù)走優(yōu)先通道，其余流量都給他們讓路，保證關(guān)鍵應(yīng)用如：視頻會(huì)議、OA系統(tǒng)等永遠(yuǎn)都不卡！同時(shí)還能把剩余帶寬分配給其他用戶或應(yīng)用（例如文件下載、在線視頻），實(shí)現(xiàn)帶寬合理化、最大化的利用！

針對(duì)不同應(yīng)用設(shè)置不同的帶寬、連接數(shù)以及不同的數(shù)據(jù)優(yōu)先級(jí)，保證您的核心業(yè)務(wù)能得到有力的保障。提升帶寬使用率，真正做到物盡其用！P2P軟件過(guò)濾，防止帶寬被暴力占用

P2P技術(shù)的發(fā)展給互聯(lián)網(wǎng)帶來(lái)了極大的促進(jìn)，給用戶帶來(lái)便利的同時(shí)也給網(wǎng)絡(luò)應(yīng)用帶來(lái)了嚴(yán)重隱患。首先P2P軟件對(duì)帶寬暴力占用使企業(yè)網(wǎng)絡(luò)帶寬面臨嚴(yán)峻挑戰(zhàn)。其次P2P軟件本身現(xiàn)在也成為眾多安全攻擊者的目標(biāo)，利用P2P傳播病毒或者隱藏木馬成為一種新的攻擊趨勢(shì)。

通過(guò)上網(wǎng)行為管理路由器的P2P軟件過(guò)濾，輕松過(guò)濾主流的P2P軟件，使企業(yè)網(wǎng)絡(luò)的帶寬資源得到最合理的使用。抵制不良信息

通過(guò)黑白名單可以管理企業(yè)網(wǎng)絡(luò)內(nèi)用戶的網(wǎng)頁(yè)訪問(wèn)。通過(guò)白名單來(lái)指定企業(yè)員工只能瀏覽的網(wǎng)站（例如工作相關(guān)網(wǎng)站）；或者通過(guò)名單屏蔽惡意網(wǎng)站或不良網(wǎng)站；結(jié)合域名過(guò)濾功能，優(yōu)化關(guān)鍵字，能加強(qiáng)對(duì)低俗不良信息的過(guò)濾和攔截，大大降低內(nèi)網(wǎng)用戶對(duì)不良Web頁(yè)面的訪問(wèn)。上網(wǎng)行為管理，杜絕網(wǎng)絡(luò)“曠工曠課”

上網(wǎng)行為管理路由器能阻止對(duì)色情、反動(dòng)、病毒等高風(fēng)險(xiǎn)網(wǎng)站的訪問(wèn)，限制工作無(wú)關(guān)的網(wǎng)絡(luò)應(yīng)用，能有效減少惡意軟件的侵?jǐn)_，使得IT設(shè)備維修率下降，企業(yè)員工的工作效率大幅提高，工作質(zhì)量越來(lái)越好。通過(guò)限制BT、Emule等P2P下載應(yīng)用的帶寬，保證主要業(yè)務(wù)暢通無(wú)阻，加強(qiáng)了對(duì)Email、BBS等外發(fā)信息的管理，減少了單位信息外泄的可能，從而大大提高了企業(yè)員工的工作效率，降低網(wǎng)絡(luò)泄密的風(fēng)險(xiǎn)。網(wǎng)址分類(lèi)管理，輕松過(guò)濾與工作無(wú)關(guān)的網(wǎng)站

能監(jiān)控所有用戶瀏覽網(wǎng)址的記錄，并可禁止訪問(wèn)最熱門(mén)的10大類(lèi)網(wǎng)站，它們包括：休閑娛樂(lè)、新聞資訊、聊天交友、網(wǎng)絡(luò)游戲、電子購(gòu)物、論壇博客、證券基金、電子郵件、網(wǎng)上銀行和不良網(wǎng)址等。支持網(wǎng)址分類(lèi)庫(kù)自動(dòng)升級(jí)。配合禁止通過(guò)IP訪問(wèn)網(wǎng)頁(yè)、黑白名單以及跳轉(zhuǎn)頁(yè)面設(shè)置，全面管好企業(yè)內(nèi)部的網(wǎng)站訪問(wèn)。能有效的避免在上班時(shí)間瀏覽與工作學(xué)習(xí)無(wú)關(guān)網(wǎng)站的現(xiàn)象。在用戶瀏覽網(wǎng)頁(yè)的時(shí)候，上網(wǎng)行為管理路由器可以提示監(jiān)管信息，讓大家知道哪些操作是被禁止或記錄的。這類(lèi)似公布道路上電子眼位置，公開(kāi)監(jiān)管會(huì)讓企業(yè)員工的抵觸情緒明顯降低。聊天軟件過(guò)濾，提高工作效率

很多企業(yè)對(duì)QQ、MSN等及時(shí)通訊軟件是又愛(ài)又恨，一方面它們是必不可少的信息溝通工具，一方面又最容易讓企業(yè)員工因私聊耽誤工作學(xué)習(xí)。通過(guò)上網(wǎng)行為管理路由器的聊天軟件過(guò)濾，可輕松管制QQMSN飛信SKYPE阿里旺旺等聊天軟件，而且可以設(shè)置例外的IP地址組（例如讓領(lǐng)導(dǎo)不受限制）。更有QQ號(hào)碼的精細(xì)化管理，僅允許使用單位指定的工作QQ，而其他私人QQ無(wú)法使用。股票軟件過(guò)濾，規(guī)范工作行為

不少企業(yè)都有部分企業(yè)員工利用上班時(shí)間炒股的現(xiàn)象，這種行為極大地占用了工作時(shí)間，降低了工作效率，而且運(yùn)行炒股軟件還占用了大量的帶寬，導(dǎo)致其他企業(yè)員工無(wú)法很好地利用網(wǎng)絡(luò)進(jìn)行工作。

通過(guò)上網(wǎng)行為管理路由器的股票軟件過(guò)濾，可以輕松過(guò)濾主流的炒股軟件，可以在很大程度上杜絕上班炒股行為，保證帶寬資源能夠被合理高效地使用。游戲過(guò)濾，防止沉迷網(wǎng)游

企業(yè)員工在上班時(shí)間玩網(wǎng)絡(luò)游戲，一方面占用工作時(shí)間，嚴(yán)重違反了相關(guān)紀(jì)律，造成不良影響；另一方面，這些網(wǎng)絡(luò)游戲又極大的消耗著網(wǎng)絡(luò)帶寬，造成其他企業(yè)員工上網(wǎng)堵塞；同時(shí)，網(wǎng)絡(luò)游戲里面常常充斥著色情、暴力、反動(dòng)等信息，有損企業(yè)形象。

通過(guò)上網(wǎng)行為管理路由器的游戲過(guò)濾，可以輕松過(guò)濾主流的網(wǎng)絡(luò)游戲，規(guī)范企業(yè)員工上網(wǎng)行為，凈化企業(yè)的網(wǎng)絡(luò)環(huán)境。郵件監(jiān)控，防止網(wǎng)絡(luò)泄密

對(duì)內(nèi)網(wǎng)用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過(guò)POP3/SMTP協(xié)議收發(fā)郵件時(shí)，進(jìn)行收發(fā)郵件的鏡像和監(jiān)控。WEB安全管理，減少網(wǎng)絡(luò)風(fēng)險(xiǎn)

能有效減少內(nèi)網(wǎng)用戶訪問(wèn)網(wǎng)頁(yè)時(shí)被各類(lèi)木馬病毒文件感染的幾率。通過(guò)禁止WEB頁(yè)面提交，還能防止用戶在網(wǎng)絡(luò)論壇上發(fā)言發(fā)帖，避免給企業(yè)帶來(lái)法律風(fēng)險(xiǎn)。外防攻擊，內(nèi)防病毒

防攻擊抗病毒：擁有網(wǎng)絡(luò)自防御功能，支持內(nèi)外網(wǎng)攻擊防御，提供掃描類(lèi)、DoS類(lèi)、可疑包和含有IP選項(xiàng)的包等攻擊保護(hù)，能偵測(cè)及阻擋IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網(wǎng)絡(luò)攻擊，有效防止沖擊波、木馬等病毒攻擊，有效提高網(wǎng)絡(luò)可靠性。

網(wǎng)絡(luò)攻擊報(bào)警：實(shí)時(shí)提示內(nèi)外網(wǎng)攻擊信息，快速定位和查找到攻擊來(lái)源，及時(shí)解決網(wǎng)絡(luò)問(wèn)題。全面防御ARP病毒

ARP病毒泛濫是企業(yè)網(wǎng)絡(luò)的一個(gè)頑癥，ARP病毒經(jīng)常造成整個(gè)網(wǎng)絡(luò)的頻繁斷網(wǎng)，極大地影響了企業(yè)網(wǎng)絡(luò)用戶的正常使用。上網(wǎng)行為管理路由器通過(guò)多種方式能有效解決ARP病毒難題。

方便的ARP欺騙防御：通過(guò)免費(fèi)ARP的定時(shí)發(fā)送機(jī)制，初步防治內(nèi)網(wǎng)ARP病毒。

可靠的雙向綁定：一鍵完成IP/MAC地址綁定，使ARP表不被輕易更改，有效防范ARP病毒攻擊，保障內(nèi)網(wǎng)運(yùn)行效率。也能防止部分企業(yè)員工私自更改IP，導(dǎo)致IP沖突、網(wǎng)絡(luò)管理混亂的現(xiàn)象，保證企業(yè)網(wǎng)絡(luò)的合理、規(guī)范和高效。

靈活的ARP信任機(jī)制：有些環(huán)境不適合傳統(tǒng)的IP/MAC雙向綁定（例如筆記本用戶較多的企業(yè)），采用ARP信任機(jī)制在無(wú)雙向綁定的情況下，自動(dòng)學(xué)習(xí)、判斷和更新內(nèi)網(wǎng)主機(jī)的ARP信息，確保路由器獲得真實(shí)可靠的用戶ARP信息，既保證上網(wǎng)的便捷性，又保證上網(wǎng)的安全性。VPN虛擬專網(wǎng)

企業(yè)網(wǎng)絡(luò)開(kāi)設(shè)VPN虛擬專網(wǎng)，能為出差的企業(yè)員工訪問(wèn)單位資源提供了很大的方便，也能使得同系統(tǒng)的多個(gè)單位安全快速的互聯(lián)互通。上網(wǎng)行為管理路由器提供PPTP VPN和IPSec VPN功能，可以實(shí)現(xiàn)本地網(wǎng)絡(luò)與遠(yuǎn)程網(wǎng)絡(luò)之間安全加密互訪。

上網(wǎng)行為管理路由器還支持網(wǎng)對(duì)網(wǎng)的VPN功能，便于企業(yè)總部和分支機(jī)構(gòu)的互聯(lián)互通。好使用易管理

內(nèi)網(wǎng)管理輕松直觀：通過(guò)直觀的數(shù)據(jù)流量圖和網(wǎng)絡(luò)狀態(tài)報(bào)告，每條線路的數(shù)據(jù)流量都一目了然。您可以實(shí)時(shí)統(tǒng)計(jì)每個(gè)IP的累計(jì)流量、實(shí)時(shí)流量、網(wǎng)絡(luò)連接數(shù)等關(guān)鍵指標(biāo)，全面分析每個(gè)IP的網(wǎng)絡(luò)連接詳情，網(wǎng)絡(luò)問(wèn)題的定位也易如反掌。還能實(shí)時(shí)管控每個(gè)主機(jī)當(dāng)前的網(wǎng)絡(luò)連接。并能對(duì)異常主機(jī)進(jìn)行遠(yuǎn)程管控，斷掉或恢復(fù)該主機(jī)的外網(wǎng)鏈接。

配置備份與導(dǎo)入:可將每種配置文件保存到電腦，需要重新配置路由器時(shí)，可導(dǎo)入相應(yīng)配置文件，縮短配置時(shí)間。

使用方便：全中文WEB配置及管理頁(yè)面，配置簡(jiǎn)單，不需專業(yè)網(wǎng)管。支持免費(fèi)軟件升級(jí)功能。

第四篇：企業(yè)網(wǎng)絡(luò)管理如何監(jiān)控管理上網(wǎng)行為

企業(yè)網(wǎng)絡(luò)管理如何監(jiān)控管理上網(wǎng)行為

企業(yè)需要通過(guò)上網(wǎng)行為管理系統(tǒng)對(duì)企業(yè)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制，引導(dǎo)規(guī)范內(nèi)部員工合理有效地使用網(wǎng)絡(luò)，避免網(wǎng)絡(luò)資源的浪費(fèi)，增強(qiáng)網(wǎng)絡(luò)的安全性穩(wěn)定性。這就是現(xiàn)在企業(yè)網(wǎng)絡(luò)管理的目的所在。

上網(wǎng)下載，下載電影、軟件，或者在線音樂(lè)、在線視頻等，嚴(yán)重占用網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)堵塞。

員工訪問(wèn)了不明網(wǎng)站，病毒、蠕蟲(chóng)、木馬、惡意代碼及間諜軟件等就會(huì)通過(guò)網(wǎng)頁(yè)、Email、聊天工具、下載軟件等方式，侵入到內(nèi)網(wǎng)的各個(gè)角落，嚴(yán)重影響了網(wǎng)絡(luò)的正常使用。

互聯(lián)網(wǎng)豐富的內(nèi)容總是在分散員工注意力，炒股、聊天、購(gòu)物、游戲等，無(wú)關(guān)的視頻、語(yǔ)音、文檔的上傳和下載，必然帶來(lái)嚴(yán)重的生產(chǎn)力悄悄地流失，導(dǎo)致企業(yè)整體工作效率下降。

通過(guò)MSN傳文件、郵件、論壇、博客等導(dǎo)致內(nèi)部機(jī)密信息泄漏的事件越來(lái)越普遍，企業(yè)的機(jī)密信息很可能會(huì)被在職甚至離職員工有意或無(wú)意地泄露出去，威脅到企業(yè)的生存。

使用BT、電驢、迅雷、網(wǎng)際快車(chē)、超級(jí)旋風(fēng)等P2P下載軟件和PPlive、UUsee、PPstream、迅雷看看等P2P視頻軟件。使得局域網(wǎng)網(wǎng)絡(luò)資源被消耗殆盡，導(dǎo)致企業(yè)正常的網(wǎng)絡(luò)應(yīng)用無(wú)法進(jìn)行，嚴(yán)重干擾了公司的經(jīng)營(yíng)活動(dòng)。

局域網(wǎng)客戶端某些電腦經(jīng)常修改自己的IP地址，以此獲取更高的上網(wǎng)權(quán)限，獲取對(duì)公司關(guān)鍵商業(yè)機(jī)密的訪問(wèn)，使得企業(yè)的商業(yè)機(jī)密面臨巨大的風(fēng)險(xiǎn);同時(shí)，修改IP地址，經(jīng)常導(dǎo)致局域網(wǎng)出現(xiàn)IP地址沖突，導(dǎo)致局域網(wǎng)電腦掉線現(xiàn)象，嚴(yán)重影響了局域網(wǎng)的穩(wěn)定和暢通。

小草上網(wǎng)行為管理軟件是針對(duì)中國(guó)中小型企事業(yè)單位上網(wǎng)行為管理的共性需求。企業(yè)網(wǎng)管可以利用小草軟路由限制局域網(wǎng)P2P下載和P2P視頻軟件、限制在線視頻、限制在線游戲、阻斷聊天軟件、進(jìn)行IP和MAC地址綁定，禁止修改IP地址等行為。

小草上網(wǎng)行為管理軟路由的功能強(qiáng)大，是企業(yè)局域網(wǎng)監(jiān)控管理的、上網(wǎng)行為管理、流量控制的最佳選。

第五篇：上網(wǎng)行為管理方案建議書(shū)

XX 公司

上網(wǎng)行為管理方案建議書(shū)

上網(wǎng)行為管理方案建議書(shū)

一、引言

根據(jù)Dynamic Markets Limited對(duì)全球辦公室上網(wǎng)情況的調(diào)查：在上班時(shí)間，中國(guó)員工每周比其他國(guó)家的員工多花7.6小時(shí)來(lái)使用即時(shí)通訊(Instant Messenger)工具、玩游戲、P2P下載或在線媒體。中國(guó)員工上網(wǎng)下載音樂(lè)的時(shí)間比拉美國(guó)家高16%，進(jìn)入聊天室和玩在線游戲花費(fèi)的時(shí)間分別比其他國(guó)家高約8%和12%。在互聯(lián)網(wǎng)發(fā)達(dá)的印度，只有26% 員工在工作場(chǎng)合瀏覽個(gè)人信件，而在中國(guó)，這個(gè)數(shù)字則是60%！

辦公網(wǎng)中的辦公效率問(wèn)題

日益發(fā)達(dá)的互聯(lián)網(wǎng)讓員工有了更多的選擇，網(wǎng)上聊天、網(wǎng)上購(gòu)物、在線視頻、論壇灌水、BT電影……上班時(shí)間，員工很難不受眾多網(wǎng)絡(luò)娛樂(lè)的誘惑，大家在或多或少地利用工作時(shí)間進(jìn)行非業(yè)務(wù)操作。以上行為實(shí)實(shí)在在地存在于我們的辦公網(wǎng)中。事實(shí)上，我們很多企業(yè)員工打開(kāi)電腦的第一件事便是開(kāi)迅雷，下載電影、視頻、游戲；也有為數(shù)不少的員工癡迷股海，一心撲在大盤(pán)上面；而我們的員工在在線視頻、在線小游戲、娛樂(lè)網(wǎng)站、熱門(mén)論壇上花費(fèi)的時(shí)間更是驚人。凡此種種，無(wú)不給我們有限的帶寬資源帶來(lái)了巨大的流量壓力，給員工的辦公效率打了一個(gè)大大的問(wèn)號(hào)。

二、上網(wǎng)行為管理解決方案介紹——合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用

隨著現(xiàn)代企業(yè)管理理念和信息技術(shù)水平的提升，如何有效管理與利用互聯(lián)網(wǎng)資源，這已成為現(xiàn)代企業(yè)管理的重要衡量標(biāo)準(zhǔn)。與此同時(shí)，上網(wǎng)行為管理的理念愈發(fā)深入人心，提升員工網(wǎng)絡(luò)業(yè)務(wù)的辦公效率，這已經(jīng)成為企業(yè)IT管理者關(guān)心的首要問(wèn)題。

XX 公司

上網(wǎng)行為管理方案建議書(shū)

如上圖，企業(yè)通過(guò)以網(wǎng)關(guān)、網(wǎng)橋、或旁路模式部署上網(wǎng)行為管理設(shè)備，可以有效對(duì)內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。上班時(shí)間，封掉影響業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站；對(duì)擠占公司帶寬資源的應(yīng)用進(jìn)行流量控制，確保主流的辦公應(yīng)用帶寬資源，以提高業(yè)務(wù)應(yīng)用的辦公效率……具體而言，上網(wǎng)行為管理系統(tǒng)封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用解決方案，將給我們帶來(lái)下述價(jià)值：

1、全方位封堵p2p，確保正常辦公業(yè)務(wù)帶寬

P2P應(yīng)用給用戶帶來(lái)了前所未有的速度體驗(yàn)與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問(wèn)題已經(jīng)成為每個(gè)IT管理者頭痛的問(wèn)題，其所帶來(lái)的負(fù)作用日漸凸顯。鑒于此，上網(wǎng)行為管理設(shè)備通過(guò)檢測(cè)網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對(duì)常用軟件進(jìn)行徹底封堵，包括BT、eMule、PPLive、QQLive等。對(duì)于加密BT、不常用的和未知版本的P2P軟件，上網(wǎng)行為管理系統(tǒng)獨(dú)有的網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。

有些部門(mén)和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P，在全面封堵的同時(shí)，上網(wǎng)行為管理設(shè)備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對(duì)其占用的帶寬進(jìn)行控制。對(duì)不同用戶，按時(shí)間段進(jìn)行P2P應(yīng)用封堵、帶寬分配與流量控制，上網(wǎng)行為管理設(shè)備可有效平衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。

2、針對(duì)性應(yīng)用管控，對(duì)事張馳有度

現(xiàn)在，網(wǎng)絡(luò)應(yīng)用不斷推陳出新，IT管理人員難以及時(shí)收集網(wǎng)絡(luò)及軟件版本，并制定相應(yīng)管理策略；他們即使花費(fèi)了大量的精力實(shí)現(xiàn)了收集工作，也很難實(shí)現(xiàn)對(duì)其全面的識(shí)別和管理。

為此，上網(wǎng)行為管理系統(tǒng)針對(duì)不斷更新的網(wǎng)絡(luò)應(yīng)用軟件來(lái)收集軟件類(lèi)型與版本，不斷更新自己的應(yīng)用規(guī)則識(shí)別庫(kù)。

XX 公司

上網(wǎng)行為管理方案建議書(shū)

3、選擇性內(nèi)容過(guò)濾，方式靈活

除針對(duì)網(wǎng)絡(luò)應(yīng)用軟件外，上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬(wàn)條級(jí)的URL庫(kù)，對(duì)URL庫(kù)按照20個(gè)大類(lèi)進(jìn)行了劃分?；诖?，IT管理者可以方便地對(duì)娛樂(lè)、購(gòu)物、游戲、影視等網(wǎng)站進(jìn)行控制和屏蔽，同時(shí)用戶可手工輸入新分類(lèi)和新URL地址，這進(jìn)一步增強(qiáng)了網(wǎng)管人員工作的靈活性。

同時(shí)，上網(wǎng)行為管理設(shè)備針對(duì)通過(guò)HTTP、FTP等上傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進(jìn)行文件過(guò)濾，以保證核心業(yè)務(wù)的帶寬。

4、差異化權(quán)限劃分，構(gòu)建和諧組織

對(duì)于以上管控，上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、不同部門(mén)的差異化網(wǎng)絡(luò)使用權(quán)限，人性化管控整個(gè)企業(yè)。如給銷(xiāo)售部門(mén)足夠的網(wǎng)頁(yè)瀏覽權(quán)限，以方便其網(wǎng)上尋找客戶資源，而對(duì)后勤人員則封掉P2P應(yīng)用、游戲與炒股網(wǎng)站等。

三、客戶現(xiàn)狀

企業(yè)目前沒(méi)有防火墻，現(xiàn)有200個(gè)用戶端，內(nèi)部網(wǎng)絡(luò)劃分為多個(gè)不同網(wǎng)段，目前企業(yè)希望能實(shí)現(xiàn)簡(jiǎn)單的方式控制辦公電腦上外網(wǎng)。

四、方案建議

據(jù)上所述，如果客戶對(duì)上網(wǎng)行為管理要求不高，僅需要限制辦公電腦上外網(wǎng)，建議用戶可以采購(gòu)防火墻或者企業(yè)級(jí)帶有網(wǎng)管功能的路由器，稍加設(shè)置便可實(shí)現(xiàn)。如果客戶的上網(wǎng)行為管理要求如上網(wǎng)行為管理解決方案所述，建議客戶采購(gòu)專業(yè)的上網(wǎng)行為管理設(shè)備，上網(wǎng)行為管理設(shè)備推薦寶創(chuàng)金盾。

五、產(chǎn)品介紹

詳見(jiàn)產(chǎn)品白皮書(shū)和用戶手冊(cè)。