第一篇：上網行為管理方案建議書

XX 公司

上網行為管理方案建議書

上網行為管理方案建議書

一、引言

根據Dynamic Markets Limited對全球辦公室上網情況的調查：在上班時間，中國員工每周比其他國家的員工多花7.6小時來使用即時通訊(Instant Messenger)工具、玩游戲、P2P下載或在線媒體。中國員工上網下載音樂的時間比拉美國家高16%，進入聊天室和玩在線游戲花費的時間分別比其他國家高約8%和12%。在互聯網發(fā)達的印度，只有26% 員工在工作場合瀏覽個人信件，而在中國，這個數字則是60%！

辦公網中的辦公效率問題

日益發(fā)達的互聯網讓員工有了更多的選擇，網上聊天、網上購物、在線視頻、論壇灌水、BT電影……上班時間，員工很難不受眾多網絡娛樂的誘惑，大家在或多或少地利用工作時間進行非業(yè)務操作。以上行為實實在在地存在于我們的辦公網中。事實上，我們很多企業(yè)員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網站、熱門論壇上花費的時間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個大大的問號。

二、上網行為管理解決方案介紹——合理封堵非業(yè)務網絡應用

隨著現代企業(yè)管理理念和信息技術水平的提升，如何有效管理與利用互聯網資源，這已成為現代企業(yè)管理的重要衡量標準。與此同時，上網行為管理的理念愈發(fā)深入人心，提升員工網絡業(yè)務的辦公效率，這已經成為企業(yè)IT管理者關心的首要問題。

XX 公司

上網行為管理方案建議書

如上圖，企業(yè)通過以網關、網橋、或旁路模式部署上網行為管理設備，可以有效對內網員工的各種網絡應用行為進行管理。上班時間，封掉影響業(yè)務效率的非業(yè)務應用及相關網站；對擠占公司帶寬資源的應用進行流量控制，確保主流的辦公應用帶寬資源，以提高業(yè)務應用的辦公效率……具體而言，上網行為管理系統(tǒng)封堵非業(yè)務網絡應用解決方案，將給我們帶來下述價值：

1、全方位封堵p2p，確保正常辦公業(yè)務帶寬

P2P應用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，上網行為管理設備通過檢測網絡軟件數據包特征碼，可以對常用軟件進行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，上網行為管理系統(tǒng)獨有的網絡行為智能分析技術使其同樣難逃法網。

有些部門和領導因業(yè)務需要使用P2P，在全面封堵的同時，上網行為管理設備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應用封堵、帶寬分配與流量控制，上網行為管理設備可有效平衡公司內部架構要求、提升核心業(yè)務辦公效率。

2、針對性應用管控，對事張馳有度

現在，網絡應用不斷推陳出新，IT管理人員難以及時收集網絡及軟件版本，并制定相應管理策略；他們即使花費了大量的精力實現了收集工作，也很難實現對其全面的識別和管理。

為此，上網行為管理系統(tǒng)針對不斷更新的網絡應用軟件來收集軟件類型與版本，不斷更新自己的應用規(guī)則識別庫。

XX 公司

上網行為管理方案建議書

3、選擇性內容過濾，方式靈活

除針對網絡應用軟件外，上網行為管理設備還內置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等網站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網管人員工作的靈活性。

同時，上網行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據關鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業(yè)務的帶寬。

4、差異化權限劃分，構建和諧組織

對于以上管控，上網行為管理設備可根據不同用戶、不同部門的差異化網絡使用權限，人性化管控整個企業(yè)。如給銷售部門足夠的網頁瀏覽權限，以方便其網上尋找客戶資源，而對后勤人員則封掉P2P應用、游戲與炒股網站等。

三、客戶現狀

企業(yè)目前沒有防火墻，現有200個用戶端，內部網絡劃分為多個不同網段，目前企業(yè)希望能實現簡單的方式控制辦公電腦上外網。

四、方案建議

據上所述，如果客戶對上網行為管理要求不高，僅需要限制辦公電腦上外網，建議用戶可以采購防火墻或者企業(yè)級帶有網管功能的路由器，稍加設置便可實現。如果客戶的上網行為管理要求如上網行為管理解決方案所述，建議客戶采購專業(yè)的上網行為管理設備，上網行為管理設備推薦寶創(chuàng)金盾。

五、產品介紹

詳見產品白皮書和用戶手冊。

第二篇：上網行為管理方案

上網行為管理方案

一．網絡管理概述

1.網絡管理的目的

在一般情況下，網絡管理的主要目的是為了提高網絡可用性、改進網絡性能、減少和控制網絡費用以及增強網絡安全性等。2.網絡管理的要素

網絡管理平臺的建設主要與業(yè)務需求的結合。完整而理想的網絡管理解決方案，應該根據應用環(huán)境和網絡對業(yè)務流程，以及用戶需求的端到端關聯關系，來管理網絡及其所有設備。3.網絡資源管理

網絡資源就是指網絡中的硬件設備、整個環(huán)境中運行的軟件（包括服務器與電腦的應用軟件）以及所提供的服務等。網絡管理系統(tǒng)必須將它們表示出來，才能對其進行管理。在好的網管軟件中，當前的網絡拓撲和各個硬件系統(tǒng)都以圖形的方式顯示在一個圖上，而且各種信息都會動態(tài)地在上面顯示，非常方便監(jiān)視與管理。

4.軟件資源管理和軟件分發(fā)

網絡管理系統(tǒng)的軟件資源管理和軟件分發(fā)功能，是指優(yōu)化管理信息的收集，對企業(yè)所擁有的軟件授權數量和安裝地點進行管理。軟件分發(fā)則是通過網絡把新軟件分發(fā)到各個站點，并完成安裝和配置工作。5.應用管理

應用管理用于測量和監(jiān)督特定的應用軟件及其對網絡傳輸流量的影響。網絡管理員通過應用管理可以跟蹤網絡用戶和運行的應用軟件，改善網絡的響應時

間。

二、網絡管理要具備的六大基本功能

網絡管理一般包括性能、故障、配置、計費、安全和行為六方面功能。

1.性能管理

主要考察網絡運行的好壞。性能管理使網絡管理員能夠監(jiān)視網絡運行的參數，如吞吐率、響應時間、網絡的可用性等。2.故障管理

檢測、定位和排除網絡硬件和軟件中的故障。當出現故障時，該功能確認故障，并記錄故障，找出故障的位置并盡可能地排除這些故障。3.配置管理

掌握和控制網絡的狀態(tài)，包括網絡內各個設備的狀態(tài)及其連接關系。配置管理的典型方法是，用邏輯圖來描繪所有的網絡設備及其邏輯關系，并將網絡的確切物理布局，以適當的比例映射到這個邏輯圖上。用精心設計的各種圖標來表示各種網絡對象，而這些圖標又往往涂上不同顏色表示相應設備的不同狀態(tài)。4.計費管理

記錄各個用戶和應用程序對網絡資源的使用情況。計賬管理提供計算一個特定網絡或網段的運行成本的手段。5.安全管理

是對網絡資源及其重要信息訪問的約束和控制，包括驗證網絡用戶的訪問權限和優(yōu)先級、檢測和記錄未授權用戶企圖進行的不應有的操作。6.行為管理

上網行為管理是指幫助用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。

三、上網行為管理的技術功能及產品

上網行為管理技術是專用于防止非法信息惡意傳播，避免相關機密、商業(yè)信息、科研成果泄漏，并可實時監(jiān)控、管理網絡資源使用情況，提高整體工作效率。上網行為管理軟硬件系列適用于需實施內容審計與行為監(jiān)控、行為管理的網絡環(huán)境，尤其是按等級進行計算機信息系統(tǒng)安全保護的相關單位或部門。上網行為管理通過軟硬件能實現的功能有： 1.上網人員管理

上網身份管理：利用IP/MAC識別方式、用戶名/密碼認證方式、與已有認證系統(tǒng)的聯合單點登錄方式準確識別確保上網人員合法性

上網終端管理：檢查主機的注冊表/進程/硬盤文件的合法性，確保接入企業(yè)網的終端PC的合法性和安全性

移動終端管理：檢查移動終端識別碼，識別智能移動終端類型/型號，確保接入局域網的移動終端的合法性

上網地點管理：檢查上網終端的物理接入點，識別上網地點，確保上網地點的合法性

2.上網瀏覽管理

搜索引擎管理：利用搜索框關鍵字的識別、記錄、阻斷技術，確保上網搜索內容的合法性，避免不當關鍵詞的搜索帶來的負面影響。

網址URL管理 ：利用網頁分類庫技術，對海量網址進行提前分類識別、記錄、阻斷確保上網訪問的網址的合法性。（URL：統(tǒng)一資源定位器）

網頁正文管理：利用正文關鍵字識別、記錄、阻斷技術，確保瀏覽正文的合法性

文件下載管理：利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術確保網頁下載文件的合法性 3.上網外發(fā)管理

普通郵件管理：利用對SMTP收發(fā)人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性

WEB郵件管理 ：利用對WEB方式的網頁郵箱的收發(fā)人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性

網頁發(fā)帖管理：利用對BBS等網站的發(fā)帖內容的標題、正文關鍵字進行識別、記錄、阻斷確保外發(fā)言論的合法性

即時通訊管理：利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟件的外發(fā)內容關鍵字識別、記錄、阻斷確保外發(fā)言論的合法性

其他外發(fā)管理：針對FTP、TELNET等傳統(tǒng)協議的外發(fā)信息進行內容關鍵字識別、記錄、阻斷確保外發(fā)信息的合法性 4.上網應用管理

上網應用阻斷：利用不依賴端口的應用協議庫進行應用的識別和阻斷

上網應用累計時長限額：針對每個或多個應用分配累計時長、一天內累計使用時間達到限額將自動終止訪問

上網應用累計流量限額：針對每個或多個應用分配累計流量、一天內累計使用流量達到限額將自動終止訪問 5.上網流量管理

上網帶寬控制：為每個或多個應用設置虛擬通道上限值，對于超過虛擬通道上限的流量進行丟棄

上網帶寬保障：為每個或多個應用設置虛擬通道下限值，確保為關鍵應用保留必要的網絡帶寬

上網帶寬借用：當有多個虛擬通道時，允許滿負荷虛擬通道借用其他空閑虛擬通道的帶寬

上網帶寬平均：每個用戶平均分配物理帶寬、避免單個用戶的流量過大搶占其他用戶帶寬 6.上網行為分析

上網行為實時監(jiān)控：對網絡當前速率、帶寬分配、應用分布、人員帶寬、人員應用等進行統(tǒng)一展現

上網行為日志查詢：對網絡中的上網人員/終端/地點、上網瀏覽、上網外發(fā)、上網應用、上網流量等行為日志進行精準查詢，精確定位問題

上網行為統(tǒng)計分析：對上網日志進行歸納匯總，統(tǒng)計分析出流量趨勢、風險趨勢、泄密趨勢、效率趨勢等直觀的報表，便于管理者全局發(fā)現潛在問題 7.上網隱私保護

日志傳輸加密：管理者采用SSL加密隧道方式訪問設備的本地日志庫、外部日志中心，防止黑客竊聽

管理三權分立：內置管理員、審核員、審計員賬號。管理員無日志查看權限，但可設置審計員賬號；審核員無日志查看權限，但可審核審計員權限的合法性后

才開通審計員權限；審計員無法設置自己的日志查看范圍，但可在審核員通過權限審核后查看規(guī)定的日志內容

精確日志記錄：所有上網行為可根據過濾條件進行選擇性記錄，不違規(guī)不記錄，最小程度記錄隱私 8.設備容錯管理

死機保護：設備帶電死機 / 斷電后可變成透明網線，不影響網絡傳輸。一鍵排障：網絡出現故障后，按下一鍵排障物理按鈕可以直接定位故障是否為上網行為管理設備引起，縮短網絡故障定位時間

雙系統(tǒng)冗余：提供硬盤+Flash卡雙系統(tǒng)，互為備份，單個系統(tǒng)故障后依舊可以保持設備正常使用。9.風險集中告警

告警中心：所有告警信息可在告警中心頁面中統(tǒng)一的集中展示

分級告警：不同等級的告警進行區(qū)分排列，防止低等級告警淹沒關鍵的高等級告警信息。

告警通知：告警可通過郵件、語音提示方式通知管理員，便于快速發(fā)現告警風險。

10.上網行為管理產品

深信服上網行為管理（AC）是中國上網行為管理第一品牌，可以防止與業(yè)務無關的網絡行為，杜絕帶寬資源濫用，加快上網速率，提升工作效率。在網頁過濾、行為控制、流量管理、防止內網泄密、防范法規(guī)風險、互聯網訪問行為記錄、上網安全等多個方面為提供解決方案。

網康上網行為管理能幫助客戶最大化利用互聯網價值，為網絡管理者提供各種互聯網接入環(huán)境的身份認證、合規(guī)準入、網頁過濾、應用控制、帶寬管理、內容審計、外發(fā)過濾，行為分析等功能。

小草網管軟件綜合智能動態(tài)帶寬保障，服務器流量分析與保障、虛擬多設備管理等多項突破性技術，涵蓋流量分析、帶寬管理、上網行為管理、DMZ區(qū)服務器管理，專線集中管理、企業(yè)級防火墻與路由器、負載均衡等功能，在網絡性能、質量、安全等方面為客戶提供完整的解決方案。

產品對比：從產品形態(tài)來看，上網行為管理分為硬件和軟件2種，但是國內以硬件為主流，國外以軟件為主流；

硬件的優(yōu)勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,維護復雜,維修需要專業(yè)認識

軟件的優(yōu)勢：成本適當,維護簡單、安裝容易、升級快速,可以在隨便找個機器部署.軟件的劣勢：對于國企和政府來說，沒有一個東西不放心,所以國內政府偏硬件，企業(yè)偏軟件。

四、深信服上網行為管理（AC）功能及部署方案 1.AC產品功能

1.1 身份認證

1.1.1 映射組織行政結構

為了給不同用戶、不同部門授予差異化的互聯網訪問、控制、審計權限，需要規(guī)劃和建立組織的用戶分組結構。

一般組織均有自己的行政結構，AC可以完全按照組織的行政結構建立樹形用戶分組，實現父組、子組等多層嵌套的要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，AC能夠根據OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便管理員管理。

此外，AC支持賬戶自動創(chuàng)建功能，依據管理員分配好的IP段與用戶組的對應關系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網絡權限。管理員亦可將用戶信息編輯成Excel、TXT文件，過AC的賬戶導入功能更加快捷的創(chuàng)建用戶和分組信息。

用戶帳號還支持有效期限定，賬號過期則自動失效，支持多人共用同一帳號等，豐富的帳號策略使得管理員可以根據實際情況自由地合理調整。1.1.2 建立身份認證體系

有效區(qū)分用戶，是部署差異化授權和審計策略、有效防御身份冒充、權限擴散與濫用等的管理基礎。AC支持豐富的身份認證方式：

■ 本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定 ■ 第三方認證：AD、LDAP、Radius、POP3、PROXY等； ■ 雙因素認證：USB-Key認證；

■ 單點登錄：AD、POP3、Proxy、HTTP POST等；

■ 強制認證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等）

豐富的認證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與行為的一一對應，方便 5

管理員實施上網行為管理解決方案。

AC支持為未認證通過的用戶分配受限的互聯網訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發(fā)布通知。1.2 應用權限管理 1.2.1應用控制策略 1.2.1.1 識別是管理的基礎

全面的應用識別幫助管理員透徹了解網絡應用現狀和用戶行為，保障管理效果。

AC多種應用識別技術，全面識別各種應用，進而有效管控和審計。主要包括： a)URL識別： AC內置千萬級靜態(tài)URL庫、支持基于關鍵字管控、網頁智能分析系統(tǒng)IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術； b)應用規(guī)則識別庫：AC擁有國內最大的應用識別庫，該庫由深信服應用規(guī)則研發(fā)團隊定期維護，保證庫處于最新狀態(tài)；該庫支持360種以上網絡主流應用，680條以上規(guī)則 能識別40種以上IM、50種以上P2P/P2P流媒體、100種以上游戲、20種以上OA、15種以上網銀、20種以上股票行情軟件、15種以上股票交易軟件、10種以上木馬、10種以上代理軟件； c)文件類型識別：識別并過濾HTTP、FTP、mail方式上傳下載的文件，即使刪除文件擴展名、篡改擴展名、壓縮、加密后再上傳，AC同樣能識別和報警；

d)深度內容檢測：IM聊天、在線炒股、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等，基于數據包特征精準識別，且支持管理員自行定義新規(guī)則，以及深信服科技及時更新和快速響應；

e)智能識別：種類泛濫的P2P行為，靜態(tài)“應用識別規(guī)則”已經捉襟見肘，通過P2P智能識別，識別不常見、未來可能出現的P2P行為，進而封堵、流控和審計。

通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等AC都能幫助組織實現對上網行為的封堵、流控、審計等管理。1.2.1.2 上網策略對象化

AC支持完美映射組織的行政結構，管理員可依據組織結構添加管理策略。上網策略對象化，同一條上網策略可被多個用戶/用戶組復用，同一用戶/用戶組可關聯使用多條策略，實現策略和用戶/用戶組的雙向關聯，方便管理員調整。對于父組、子組的

上網策略不僅僅支持基于生效時間、用戶/用戶組、應用類型，支持模板形 6

式復制，更支持策略有效期，管理員可手動設定策略的過期時間，逾期自動失效，有效實現策略的回收管理。此外，AC支持將策略的查看、編輯權限分配給指定管理員，實現策略的分級管理。1.2.1.3 靈活的授權

AC支持基于生效時間、用戶/用戶組、應用類型的授權，幫助組織實現上網權限與工作職責的匹配，防止越權訪問與泄密風險，一方面管控與業(yè)務無關的上網行為，提升員工工作效率，一方面過濾不良信息、阻止異常行為，防止法律與泄密風險。

AC更兼顧了管理與人性化的需求，對于某些不便添加權限控制策略的部門或者是企業(yè)文化較為寬松的組織，AC提供了“智能提醒”功能，管理員可設定允許特定用戶使用指定應用的時長、流速，一旦用戶使用指定應用的時長、速度超限后，AC自動彈出提醒窗口，提醒用戶注意違規(guī)行為，敦促用戶自覺規(guī)范，達到促進自我管理的目的，減少管理帶來的摩擦。1.2.2 Web應用控制 1.2.2.1 URL訪問控制

網頁瀏覽是員工主要互聯網行為之一，在URL過濾方面，AC采用“靜態(tài)URL庫+URL智能識別+云系統(tǒng)”三重識別體系。

首先，AC內置千萬級預分類URL地址庫，該庫由深信服URL研發(fā)小組專人負責維護，收集新增網頁并經由人工審核分類，包含互聯網上數十種分類站點，覆蓋了95%以上用戶訪問量最高的網址。

其次，互聯網網頁容量爆炸性增長，靜態(tài)URL庫不足以有效應對。因此，AC支持基于內容關鍵字的過濾手段，可基于管理員指定的多關鍵字過濾用戶搜索行為、網頁訪問行為、發(fā)帖行為等。更提供了人工智能的網頁智能分析系統(tǒng)（Intelligent Webpage Analysis System, IWAS）能夠根據已知網址、正文內容、關鍵字、代碼特征等對網進行學習和智能分類，真正幫助組織完善網頁訪問行為的管理。1.2.2.2 SSL內容管理

SSL(Secure Socket Layer)協議，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸，利用數據加密技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。正因為如此，一方面，越來越多的網頁使用SSL加密，如Google搜索、Gmail、QQ郵箱、bbs甚至賭博網站，而因為采用了加密技術，普通的管理產品無法對其內容進行識別管理，導致管理漏洞；另一方面，互聯網上存在大量偽造的網上銀行、網上購物頁面，此類網頁利用了網銀、網上購物等

普遍采用第三方權威機構頒發(fā)的數字證書以實現SSL加密的特性，偽造虛假證書以騙取用戶信任，警惕性不高的用戶容易在毫不知情的情況下泄露自己的賬戶信息，導致直接或間接的經濟損失。

AC可以對SSL網站提供的數字證書進行深度驗證，包括該證書的根頒發(fā)機構、證書有效期、證書撤銷列表、證書持有人的公鑰、證書簽名等，防止采用非可信頒發(fā)機構數字證書的釣魚網站蒙騙用戶，此功能亦應用于過濾SSL加密的色情、反動站點，證券炒股站點等。1.2.2.3 代理翻墻管控

許多組織統(tǒng)一采用Microsoft ISA、CCproxy、Sygate等代理服務器上網，也有的組織明文規(guī)定禁止內網用戶私用代理上網，但仍有用戶將瀏覽器等應用配置公網服務器、私裝代理軟件代理他人上網，甚至使用自由門、無界瀏覽器、IPN等加密代理行為。由于防火墻等設備對內網用戶的管理是基于目的地址和端口的，無法有效區(qū)分正常上網的流量和通過代理服務器上網的員工流量。對于如上情況，AC的深度內容檢測技術能有效識別用戶數據中包含的代理上網流量，通過代理識別模塊可以識別從用戶端發(fā)送到達代理服務器之間的應用數據，進而對用戶的網絡行為進行管控和記錄。1.2.3文件傳輸控制

利用網絡來進行文件傳輸是許多用戶每天的必修課，而在文件傳輸過程中存在種種管理和安全隱患，如用戶通過不可信的下載源下載了帶毒文件、在文件打包外發(fā)過程中不慎夾帶了涉密文件、終端因為中毒或被黑客控制主動發(fā)起外發(fā)文件行為而用戶對此茫然無知，有意泄密者甚至會將外發(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。

AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點下載文件而封堵其他站點，基于關鍵字、文件類型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實現對外發(fā)文件的審計和記錄顯然無法挽回泄密已經給組織造成的損失，單純的基于文件擴展名過濾外發(fā)文件、外發(fā)Email也無法應對以上風險。鑒于此AC的文件類型深度識別技術能基于特征能夠識別文件類型，即便存在修改、刪除外發(fā)文件后綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現并且告警，保護組織的信息資產安全。1.2.4 郵件收發(fā)控制

Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。AC支持基于關鍵字、收發(fā)地址、附件類型/個數/大小過濾外發(fā)郵件，對于將文件修改

后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識別并進行報警。同時，對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數據中心方便管理員對郵件日志進行查詢、審計、報表統(tǒng)計等操作。1.3 帶寬管理 1.3.1流量可視化

AC為IT管理員提供了網絡流量可視化方案，登陸AC控制臺后，管理員可以查看出口流量曲線圖、當前流量TOP N應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。

此外，數據中心（Network Database Center，NDC）對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結果等，幫助管理員了解流量TOP N用戶、TOP N應用等，并自動形成報表文檔，定時發(fā)送到指定郵箱，讓IT管理員輕松掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。1.3.2 流量管理

當您了解了帶寬的使用情況，并對帶寬進行優(yōu)化和分配后，我們即將對用戶(組)的上網行為做進一步的管理和控制。1.3.2.1 多線路復用和智能選路

很多組織擁有電信、網通等兩條以上互聯網出口鏈路，如何同時復用多條鏈路并做到流量的負載均衡與智能分擔？通過AC特有的多線路復用及帶寬疊加技術，AC復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，AC將出網流量自動匹配最佳出口。1.3.2.2 基于應用/網站/文件類型的智能流量管理

AC可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配。精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。1.3.2.3 多級父子通道嵌套技術

AC采用“基于隊列的流控技術”，即建立管道，將不同的控制對象分配到不同的管道里。該技術的好處是控制靈活，大通道中可以多層嵌套小管道，分別基于不同的用戶、時間、應用協議、網站、文件類型等對象建立不同的通道，對于結構復雜又希望實現差異化控制的組織來說可以做到更為精確的控制。

1.3.2.4 動態(tài)帶寬分配

組織管理員往往既希望在網絡應用高峰期保障核心用戶、核心業(yè)務帶寬，限制無關應用占用資源，又希望在帶寬空閑時實現資源的充分利用。為此，AC支持帶寬的“自由競爭”與“動態(tài)分配”，除了基于父子通道進行流量控制之外，還可以根據在線的用戶數量將帶寬動態(tài)分配給在線用戶。1.3.2.5 P2P的智能識別與靈活控制

通過封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。AC憑借P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能管控。

對于某些企業(yè)文化較為寬松的組織，完全封堵P2P可能實施困難，AC的P2P流量控制技術能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。1.4 日志記錄與報表分析

記錄員工的網絡工作效率、分析網絡應用情況、提供管理依據等。1.5 安全防護 1.5.1終端安全

網絡世界中安全事件數量急劇攀升，內網中斷、不穩(wěn)定將直接影響用戶的上網行為，所以需要AC保證網關自身安全，并強化內網可靠性、可用性。1.5.1.1 防火墻

AC內置基于狀態(tài)檢測技術的企業(yè)級防火墻，對進出組織的數據包提供過濾和控制。NAT（Network Address Translation）功能，代理內網員工上網和實現靜態(tài)端口映射。1.5.1.2 網關防病毒

AC的網關防病毒功能集成知名廠商的防病毒引擎（防病毒引擎每天自動升級），從源頭對HTTP、FTP、SMTP、POP3等協議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。1.5.1.3 終端安全級別檢測

借助網絡準入規(guī)則專利技術（專利號ZL200510037455.1），AC將按照管理員要求檢查每位員工防病毒軟件安裝、運行、更新情況、操作系統(tǒng)版本、補丁情況、注冊表鍵值、終端程序運行情況、終端目錄盤下文件情況等，不滿足預設安全級別的終端將不允許訪問互聯網，從而提升整個內網的可靠性和可用性。

1.5.2網絡準入控制 近年來，在企業(yè)網中，新的安全威脅層出不窮，給組織帶來各種風險：

深信服科技推出了輕量級NAC（網絡準入控制）解決方案，只需在出口處部署一臺硬件網關，通過向內網終端自動推送一個輕量級的客戶端控件，即可實現對接入內網終端的網絡準入控制和安全隔離，執(zhí)行安全級別檢查，限制非法外聯線路，禁用USB拷貝功能。

1.5.3 危險插件惡意腳本過濾 非法網站假冒可信軟件如防病毒軟件、插入非法軟件，通過惡意廣告、垃圾博客、惡意點對點文件傳播等，當用戶發(fā)現時，用戶端已經被安裝惡意插件，被強迫瀏覽黑客指定的網站，或者被利用攻擊某個站點，終端信息已被外發(fā)，損失已造成。

究其根源，在于用戶訪問不可信的資源，如現在非常流行的是通過瀏覽器自動安裝ActiveX控件來進行惡意插件的傳播。AC通過對 ActiveX控件的簽名進行過濾，防止不被信任的插件安裝到內網機器當中，從而解決通過IE瀏覽器亂裝控件的問題，起到保護內網安全的作用。還有形形色色的病毒、木馬，而這些危害絕大部分都是危險腳本造成的。AC通過對內網用戶訪問的網頁腳本進行特征識別，在腳本下載到瀏覽器執(zhí)行前進行攔截，從而起到保護內網安全的作用。1.5.3.1 危險插件過濾

? 能識別那些下載文件是會自動安裝的插件，包括所有通過瀏覽器自動下載的文件。

? 能根據插件白名單對插件進行過濾，內置常用安全插件列表供用戶選擇，還可以自定義白名單（支持插件名稱、證書名稱和域名）。

? 能根據插件證書的合法性進行過濾，包括：檢查插件簽名是否過期，對插件簽名進行證書鏈控制。

? 能記錄控件過濾日志，包括被過濾控件名稱及被拒絕的原因，并能在數據中心查出來。

? 能夠實現二次提示，第一次出現時做攔截，第二次實現時給出提示。1.5.3.2 惡意腳本過濾功能：

? 可以過濾注冊表的寫操作； ? 可以過濾文件的寫操作； ? 過濾危險對象和危險調用；

? 能夠實現二次提示，第一次出現時做攔截，第二次實現時給出提示。

1.5.4 異常流量控制

■ 異常流量感知 隨U盤等潛入組織內網的木馬、間諜軟件等為了隱藏自己，通常會通過常用的TCP 80、443、25、110等端口泄漏內網機密數據及接受黑客控制。傳統(tǒng)設備防火墻等解決方案在開放了常用端口后并不能識別該端口中傳輸的數據及內容，AC的異常流量感知技術能夠識別常用端口中的如上異常流量，并能夠實時報警，幫助管理員掌控網絡，防范風險。

2.AC產品的部署模式 2.1網關模式（路由模式）

AC以網關模式部署在組織網絡中，所有流量都通過AC處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能。2.2網橋模式

單網橋模式：以網橋模式部署在組織網絡中，如同連接在出口網關和內網交換機之間的“智能網線”，實現對內網用戶上網行為的流量管理、行為控制、日志審計、安全防護等功能。

多網橋模式：組織考慮到網絡的穩(wěn)定性、可靠性，往往采用雙機、雙線路構建基礎網絡。AC支持多路橋接模式，適應組織的多機網絡環(huán)境要求。2.3旁路模式

AC以旁路模式部署在組織網絡中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網絡結構，降低了網絡單點故障的發(fā)生率。2.4多機模式

根據我院現有的網絡機構適合使用網橋模式：

第三篇：上網行為管理方案

上網行為管理方案(員工上網控制)

構建安全、穩(wěn)定、高效的企業(yè)網絡

?

行業(yè)背景分析

CNNIC最新數據表明：94.8%的中小企業(yè)配備了電腦、92.7%的中國中小企業(yè)接入互聯網；57.2%的中小企業(yè)正在利用互聯網與客戶溝通及為客戶提供咨詢服務。從企業(yè)門戶平臺的建設到公文、數據的傳遞，從VPN企業(yè)專用信息通道到網絡視頻會議，網絡應用已經成為廣大企業(yè)提高工作效率，進行實時溝通的有力保證和手段；同時網絡也成為企業(yè)收集各類信息、與外界溝通以及員工獲得專業(yè)知識與信息的重要來源。然而，網絡也是各種娛樂活動的渠道，是分散員工精力、生產力流失的根源，重要資料的泄漏和不可控的安全隱患也使廣大企業(yè)面臨巨大經濟損失和法律風險。

據美國科技調查機構IDC的調查指出：企業(yè)員工大約30％～40％對網絡的使用是跟工作無關的。中國企業(yè)的情況略高于這個比例。中國員工每周花在網上處理私人事務的時間為5.6小時，中國的IT主管認為員工每周會花費至少6.2小時進行網上沖浪，83%的中層管理人員在辦公時間內瀏覽與工作無關的網站。

如果缺乏管理制度和技術手段，員工不加監(jiān)管、隨意使用網絡將導致三個重大問題：工作效率低下、網絡性能惡化、網絡違法隱患。?

行業(yè)網絡需求分析 多線高速接入

因為撥號接入方式比專線、光纖便宜很多，一般企業(yè)多采用ADSL這類的寬帶接入。隨著網絡的應用越來越多，管理難度越來越大，很多企業(yè)一條寬帶不夠，再增加一條寬帶；兩條條寬帶不夠，再增加兩條寬帶。但這樣就會出現多路接入、多個出口的問題，接入設備多，維護成本增大，給管理帶來困難。

因此企業(yè)需要多路寬帶接入，特別是在業(yè)務范圍覆蓋全國的企業(yè)，還需要電信、聯通線路的同時接入訪問，消除跨網互通的問題。網絡帶寬管理

一般來說，一個2M外網帶寬的局域網，只要有2個以上的用戶毫無節(jié)制地使用BT，所有人的正常網絡瀏覽都將成為不可完成的任務。如果缺乏有效的技術手段，BT、迅雷、電驢、PPLive等P2P軟件和在線影音等行為就會嚴重吞噬帶寬資源，導致正常工作的帶寬得不到保障，企業(yè)大量投資的寬帶網絡速度一天比一天慢；IT部門經常遭到抱怨，要求提升上網的帶寬；而有趣的是抱怨的人中常常包括那些下載音樂文件或看視頻電影的員工。

網絡帶寬缺乏規(guī)劃與管理，勢必造成網絡投資加大，企業(yè)成本上升。企業(yè)推廣信息化建設、建立網絡應用環(huán)境是為了提高工作效率，降低辦公成本。網絡資源浪費迫使企業(yè)加大網絡投資，網絡投資導致了成本的上升，利潤的下降，這也是企業(yè)面臨的重要問題。抵制不良信息

互聯網上信息龐雜多樣，既有大量進步、有益的信息，也有不少反動、迷信、黃色等不健康的內容，對于有危害的站點如何去屏蔽？對于色情反動站點如何過濾？

現在很多企業(yè)還缺乏有效的管理監(jiān)控手段來對企業(yè)員工的上網進行必要的限制和記錄，對于一些非法站點也沒有采取有效手段來過濾。企業(yè)將面臨違反國家法律法規(guī)的風險，反動、黃色的言論通過網絡在企業(yè)內部傳播，直接會導致企業(yè)面臨國家法律的制裁，企業(yè)領導難辭其咎。

在企業(yè)內部提供一個綠色安全的上網環(huán)境，已經成為迫切的問題。上網行為管理

互聯網上的內容太豐富了，對企業(yè)員工有太多的誘惑，很多的員工沉溺其中，無法自拔，常常把自己的本職工作放在一邊，導致企業(yè)整體工作效率沒有提升反而下降。調查數據顯示以下為影響工作效率主要的互聯網行為，它們與工作無關而且可能導致更多的問題（比如網絡安全等）： 閑逛新聞、娛樂網站，泡論壇“打發(fā)時間”； 瀏覽色情網站、賭博網站；

瀏覽游戲、音樂等娛樂網站，下載大量與工作無關的音樂文件，在線聽音樂，在線看視頻等，不僅耽誤工作，而且占用大量的網絡帶寬資源，影響其他人員使用公司的資源；瀏覽相關財經網站，利用公司的資源在線炒股；瀏覽“在線”購物和拍賣網站； 使用IM軟件如QQ、MSN、Skype、飛信等。

個人沉溺于網絡或者“出工不出力”的現象屢見不鮮。個人工作效率及工作狀態(tài)的低下，最終會反映到工作業(yè)績上，影響到個人在企業(yè)中發(fā)展。而且它具有擴散效應，八卦新聞、小道消息一旦成為工作時間的談資，必然極大破壞辦公室的工作氛圍。信息安全風險

任何企業(yè)主或管理人員都擔心企業(yè)內部的機密信息流露出去，而互聯網偏偏又是最便捷的信息交流傳遞途徑。企業(yè)商業(yè)機密、重要文獻可以通過網絡以MSN、QQ、郵箱等多種方式快速、方便的流失出去。不受限制的上網行為將帶來更多的安全問題，比如下載的文件中帶有病毒或其它有破壞性的程序QQ、MSN等軟件的使用有可能招到網絡黑客的襲擊等。

想到這些問題，每個管理人員都可能坐立不安。如何解決這些問題呢 網絡穩(wěn)定安全

企業(yè)內網PC終端眾多，網絡應用也較復雜，因誤觸惡意網站、下載等原因，木馬、蠕蟲、釣魚等網絡陷阱可以輕易沖垮企業(yè)的網絡環(huán)境，甚至導致企業(yè)整體IT系統(tǒng)的癱瘓，泛濫的P2P軟件（迅雷、BT、電驢等）都可能造成內網的安全隱患。最典型的就是不少企業(yè)網絡都飽受ARP病毒攻擊，網絡要么頻繁掉線、亂彈廣告，要么上網速度巨慢！?

XX網絡解決方案

XX上網行為管理路由器部署為企業(yè)的網關，提供網絡接入、上網行為管理等功能；內網采用上網行為管理交換機，提供千兆內網傳輸速率。

?

方案特點：

多條寬帶接入，提高網速又省錢

提供2~4個WAN口，可以使用多條ADSL取代光纖，或增加 ADSL提升帶寬，節(jié)省費用并且降低“單線故障”的風險。智能實現“電信數據走電信線路，聯通數據走聯通線路”，并支持在線升級策略庫，實現多網的高速接入。

它還具有領先的通斷檢測技術，能智能判斷線路狀態(tài)，如果某條線路出現故障，會自動將相關應用調度到正常線路，確保網絡永遠在線。支持線路定時切換的數據平滑過渡，減少線路切換時卡機、掉線等現象。

合理分配帶寬，網絡不卡不掉線

免配置智能流控（Smart QoS Ⅱ）通過對各類應用的深度識別、分類管理、分級處理，始終讓企業(yè)關鍵業(yè)務走優(yōu)先通道，其余流量都給他們讓路，保證關鍵應用如：視頻會議、OA系統(tǒng)等永遠都不卡！同時還能把剩余帶寬分配給其他用戶或應用（例如文件下載、在線視頻），實現帶寬合理化、最大化的利用！

針對不同應用設置不同的帶寬、連接數以及不同的數據優(yōu)先級，保證您的核心業(yè)務能得到有力的保障。提升帶寬使用率，真正做到物盡其用！P2P軟件過濾，防止帶寬被暴力占用

P2P技術的發(fā)展給互聯網帶來了極大的促進，給用戶帶來便利的同時也給網絡應用帶來了嚴重隱患。首先P2P軟件對帶寬暴力占用使企業(yè)網絡帶寬面臨嚴峻挑戰(zhàn)。其次P2P軟件本身現在也成為眾多安全攻擊者的目標，利用P2P傳播病毒或者隱藏木馬成為一種新的攻擊趨勢。

通過上網行為管理路由器的P2P軟件過濾，輕松過濾主流的P2P軟件，使企業(yè)網絡的帶寬資源得到最合理的使用。抵制不良信息

通過黑白名單可以管理企業(yè)網絡內用戶的網頁訪問。通過白名單來指定企業(yè)員工只能瀏覽的網站（例如工作相關網站）；或者通過名單屏蔽惡意網站或不良網站；結合域名過濾功能，優(yōu)化關鍵字，能加強對低俗不良信息的過濾和攔截，大大降低內網用戶對不良Web頁面的訪問。上網行為管理，杜絕網絡“曠工曠課”

上網行為管理路由器能阻止對色情、反動、病毒等高風險網站的訪問，限制工作無關的網絡應用，能有效減少惡意軟件的侵擾，使得IT設備維修率下降，企業(yè)員工的工作效率大幅提高，工作質量越來越好。通過限制BT、Emule等P2P下載應用的帶寬，保證主要業(yè)務暢通無阻，加強了對Email、BBS等外發(fā)信息的管理，減少了單位信息外泄的可能，從而大大提高了企業(yè)員工的工作效率，降低網絡泄密的風險。網址分類管理，輕松過濾與工作無關的網站

能監(jiān)控所有用戶瀏覽網址的記錄，并可禁止訪問最熱門的10大類網站，它們包括：休閑娛樂、新聞資訊、聊天交友、網絡游戲、電子購物、論壇博客、證券基金、電子郵件、網上銀行和不良網址等。支持網址分類庫自動升級。配合禁止通過IP訪問網頁、黑白名單以及跳轉頁面設置，全面管好企業(yè)內部的網站訪問。能有效的避免在上班時間瀏覽與工作學習無關網站的現象。在用戶瀏覽網頁的時候，上網行為管理路由器可以提示監(jiān)管信息，讓大家知道哪些操作是被禁止或記錄的。這類似公布道路上電子眼位置，公開監(jiān)管會讓企業(yè)員工的抵觸情緒明顯降低。聊天軟件過濾，提高工作效率

很多企業(yè)對QQ、MSN等及時通訊軟件是又愛又恨，一方面它們是必不可少的信息溝通工具，一方面又最容易讓企業(yè)員工因私聊耽誤工作學習。通過上網行為管理路由器的聊天軟件過濾，可輕松管制QQMSN飛信SKYPE阿里旺旺等聊天軟件，而且可以設置例外的IP地址組（例如讓領導不受限制）。更有QQ號碼的精細化管理，僅允許使用單位指定的工作QQ，而其他私人QQ無法使用。股票軟件過濾，規(guī)范工作行為

不少企業(yè)都有部分企業(yè)員工利用上班時間炒股的現象，這種行為極大地占用了工作時間，降低了工作效率，而且運行炒股軟件還占用了大量的帶寬，導致其他企業(yè)員工無法很好地利用網絡進行工作。

通過上網行為管理路由器的股票軟件過濾，可以輕松過濾主流的炒股軟件，可以在很大程度上杜絕上班炒股行為，保證帶寬資源能夠被合理高效地使用。游戲過濾，防止沉迷網游

企業(yè)員工在上班時間玩網絡游戲，一方面占用工作時間，嚴重違反了相關紀律，造成不良影響；另一方面，這些網絡游戲又極大的消耗著網絡帶寬，造成其他企業(yè)員工上網堵塞；同時，網絡游戲里面常常充斥著色情、暴力、反動等信息，有損企業(yè)形象。

通過上網行為管理路由器的游戲過濾，可以輕松過濾主流的網絡游戲，規(guī)范企業(yè)員工上網行為，凈化企業(yè)的網絡環(huán)境。郵件監(jiān)控，防止網絡泄密

對內網用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過POP3/SMTP協議收發(fā)郵件時，進行收發(fā)郵件的鏡像和監(jiān)控。WEB安全管理，減少網絡風險

能有效減少內網用戶訪問網頁時被各類木馬病毒文件感染的幾率。通過禁止WEB頁面提交，還能防止用戶在網絡論壇上發(fā)言發(fā)帖，避免給企業(yè)帶來法律風險。外防攻擊，內防病毒

防攻擊抗病毒：擁有網絡自防御功能，支持內外網攻擊防御，提供掃描類、DoS類、可疑包和含有IP選項的包等攻擊保護，能偵測及阻擋IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網絡攻擊，有效防止沖擊波、木馬等病毒攻擊，有效提高網絡可靠性。

網絡攻擊報警：實時提示內外網攻擊信息，快速定位和查找到攻擊來源，及時解決網絡問題。全面防御ARP病毒

ARP病毒泛濫是企業(yè)網絡的一個頑癥，ARP病毒經常造成整個網絡的頻繁斷網，極大地影響了企業(yè)網絡用戶的正常使用。上網行為管理路由器通過多種方式能有效解決ARP病毒難題。

方便的ARP欺騙防御：通過免費ARP的定時發(fā)送機制，初步防治內網ARP病毒。

可靠的雙向綁定：一鍵完成IP/MAC地址綁定，使ARP表不被輕易更改，有效防范ARP病毒攻擊，保障內網運行效率。也能防止部分企業(yè)員工私自更改IP，導致IP沖突、網絡管理混亂的現象，保證企業(yè)網絡的合理、規(guī)范和高效。

靈活的ARP信任機制：有些環(huán)境不適合傳統(tǒng)的IP/MAC雙向綁定（例如筆記本用戶較多的企業(yè)），采用ARP信任機制在無雙向綁定的情況下，自動學習、判斷和更新內網主機的ARP信息，確保路由器獲得真實可靠的用戶ARP信息，既保證上網的便捷性，又保證上網的安全性。VPN虛擬專網

企業(yè)網絡開設VPN虛擬專網，能為出差的企業(yè)員工訪問單位資源提供了很大的方便，也能使得同系統(tǒng)的多個單位安全快速的互聯互通。上網行為管理路由器提供PPTP VPN和IPSec VPN功能，可以實現本地網絡與遠程網絡之間安全加密互訪。

上網行為管理路由器還支持網對網的VPN功能，便于企業(yè)總部和分支機構的互聯互通。好使用易管理

內網管理輕松直觀：通過直觀的數據流量圖和網絡狀態(tài)報告，每條線路的數據流量都一目了然。您可以實時統(tǒng)計每個IP的累計流量、實時流量、網絡連接數等關鍵指標，全面分析每個IP的網絡連接詳情，網絡問題的定位也易如反掌。還能實時管控每個主機當前的網絡連接。并能對異常主機進行遠程管控，斷掉或恢復該主機的外網鏈接。

配置備份與導入:可將每種配置文件保存到電腦，需要重新配置路由器時，可導入相應配置文件，縮短配置時間。

使用方便：全中文WEB配置及管理頁面，配置簡單，不需專業(yè)網管。支持免費軟件升級功能。

第四篇：上網行為管理

1． 上網行為管理

目前市場主流廠商：深信服、網康 ? 典型案例

2.1 提升內網業(yè)務操作效率——封堵非業(yè)務應用解決方案

方案背景：

日益發(fā)達的互聯網讓企業(yè)員工有了更多的選擇，網上聊天、網上購物、在線視頻、論壇灌水、BT電影……上班時間，員工很難不受眾多網絡娛樂的誘惑，大家在或多或少地利用工作時間進行非業(yè)務操作。

以上行為實實在在地存在于我們的辦公網中。事實上，我們很多企業(yè)員工打開電腦的第一件事便是開迅雷，下載電影、視頻、游戲；也有為數不少的員工癡迷股海，一心撲在大盤上面；而我們的員工在在線視頻、在線小游戲、娛樂網站、熱門論壇上花費的時間更是驚人。凡此種種，無不給我們有限的帶寬資源帶來了巨大的流量壓力，給員工的辦公效率打了一個大大的問號。

上網行為管理解決方案——合理封堵非業(yè)務網絡應用

隨著現代企業(yè)管理理念和信息技術水平的提升，如何有效管理與利用互聯網資源，這已成為現代企業(yè)管理的重要衡量標準。與此同時，上網行為管理的理念愈發(fā)深入人心，提升員工網絡業(yè)務的辦公效率，這已經成為企業(yè)IT管理者關心的首要問題。、如上圖，企業(yè)通過以網關、網橋、或旁路模式部署上網行為管理產品，可以有效對內網員工的各種網絡應用行為進行管理。上班時間，封掉影響業(yè)務效率的非業(yè)務應用及相關網站；對擠占公司帶寬資源的應用進行流量控制，確保主流的辦公應用帶寬資源，以提高業(yè)務應用的辦公效率。

方案價值：

1、全方位封堵p2p，確保正常辦公業(yè)務帶寬

P2P應用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，上網行為管理設備通過檢測網絡軟件數據包特征碼，可以對常用軟件進行徹底封堵，包括BT、eMule、PPLive、QQLive等。對于加密BT、不常用的和未知版本的P2P軟件，獨有的網絡行為智能分析技術使其同樣難逃法網。

有些部門和領導因業(yè)務需要使用P2P，在全面封堵的同時，上網行為管理設備還可以提供 P2P流控功能，即允許指定用戶使用P2P，但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應用封堵、帶寬分配與流量控制，上網行為管理設備可有效平衡公司內部架構要求、提升核心業(yè)務辦公效率。

2、選擇性內容過濾，方式靈活

除針對網絡應用軟件外，上網行為管理設備還內置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分。基于此，IT管理者可以方便地對娛樂、購物、游戲、影視等網站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網管人員工作的靈活性。

同時，上網行為管理設備針對通過HTTP、FTP等上傳下載的電影等大文件，可以根據關鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業(yè)務的帶寬。

3、差異化權限劃分，構建和諧組織

對于以上管控，上網行為管理設備可根據不同用戶、不同部門的差異化網絡使用權限，人性化管控整個企業(yè)。如給銷售部門足夠的網頁瀏覽權限，以方便其網上尋找客戶資源，而對后勤人員則封掉P2P應用、游戲與炒股網站等。

2.2上網行為管理+SSL VPN防信息泄露解決方案

背景分析：

據IDC調查報告顯示，全球有近80%的企業(yè)存在著信息安全與風險問題。在報告所調查的公司中，進行網絡常規(guī)安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術進行數據傳輸。報告顯示：信息安全問題大都來自于企業(yè)內部，信息泄密很多時候源于信息安全管理不善。在中國，眾多的事業(yè)單位也面臨這些問題。

事實上，很多企事業(yè)單位內外網、服務器隔離存在問題，業(yè)務系統(tǒng)的操作并沒有明確授權人員，這導致一些非授權人員大肆訪問并修改內網服務器的重要數據；很多單位員工信息安全意識也較薄弱，很多時候將客戶信息、內部敏感信息等在公網上隨便傳播，并沒有加密，這樣的信息數據很容易被竊取修改。

現在，客戶對企業(yè)、民眾對事件單位應用服務的訪問量在不斷增加，客戶的訪問請求經常集中在數臺服務器上，而其它服務器卻因訪問量低而低效運行，這不僅影響了用戶的體驗感受，也嚴重影響著該應用服務訪問穩(wěn)定性。為將大量的訪問最快的處理并提高服務器的運行效率，保證信息發(fā)布不被中斷，以此來保證信息傳播的安全，這點也為越來越多的有識之士關注。

解決方案：

通過上網行為管理產品來防止企事業(yè)單位內網泄密，這樣可有效解決單位內部泄密的問題；通過SSL VPN，企事業(yè)單位可對外部接入人員進行身份認證，并對這些接入人員進行精確的權限分配來保證合法的訪問與系統(tǒng)修改，這也可以有效隔離內網里的應用服務器與內外網。

產品部署拓撲圖如下：

如上部署，上網行為管理設備以網橋模式透明部署于企事業(yè)單位內網，通過識別敏感信息并進行過濾等手段，全方位保護客戶的信息資產和信息安全。

SSL VPN產品以旁路模式部署，企事業(yè)單位通過SSL VPN為不同級別的訪問者分配不同的訪問權限，并對其進行嚴格的身份認證，這樣有效管理了外部員工、客戶對內網應用系統(tǒng)服務的訪問安全。

方案價值：

上述整合的解決方案，將使企事業(yè)單位解決面臨的信息安全風險，使得組織業(yè)務系統(tǒng)獲得持久的可靠和穩(wěn)定。

上網行為管理產品將幫助企事業(yè)單位防范企事業(yè)單位的信息資產泄密，這將有助于降低組織機構的信息安全風險，這讓企業(yè)、事業(yè)單位專注信息資產管理，讓部門溝通、客戶溝通等多方面溝通更有效。

SSL VPN將幫助組織強化信息數據訪問安全。對內網重要區(qū)域信息數據的訪問控制，能從源頭上有效保護信息資產安全，SSL VPN提供從訪問終端安全——接入認證安全——數據傳輸安全——訪問權限安全等一體化的安全。

2.3校園網上網行為管理+SSL VPN綜合解決方案

校園網現狀：

校園網網絡規(guī)模龐大，相應的網絡應用流量非常驚人；學生網絡應用比較活躍，規(guī)范管理非常頭疼。具體而言，校園網建設中存在如下問題：

1、流量問題

因為學生BT下載、在線視頻、迅雷應用等P2P行為十分活躍，校園網帶寬出口經常被堵塞，師生正常的網絡應用經常被擠占。

2、網上言論

目前高校學生網絡應用活躍，校內BBS言論、公網上知名論壇等經常語出驚人之舉，時常給學校帶來世俗、法律上的諸多困擾。由于目前網絡言論實行匿名式注冊，出現問題后很難查詢當事人，最后給學校帶來了極大的負面影響。

3、網絡應用規(guī)范問題

不可否認，目前大學在校生所面對的網絡信息、資源較前些年豐富了很多，這其中也有一些色情、反動等類型的網站及其應用，如何從校園網建設上規(guī)避這些不良網站、應用的影響，將制度的規(guī)范強制執(zhí)行在日常網絡應用中，這對管理者是個不小的挑戰(zhàn)。

4、校內資源使用問題

學校、政府花費了巨大的精力進行校園網建設，國際教育網絡資源對高校也有很大的優(yōu)惠措施。目前校園的圖書館電子資源、校內OA系統(tǒng)、校務管理系統(tǒng)給師生工作學習都帶來了便利，但走出校園網這些資源便無力利用了。如何在校園網外實現遠程登錄辦公已經成為校園網深度建設必須面對的問題。

最重要的是，當校園網初步建成之后，如何查詢師生校園網應用情況（如學生經常應用什么網絡軟件，在網上做什么事情），以此來發(fā)現網絡應用問題及校園網建設中存在的不足，這對學校的網絡管理者尤為重要，他們需要一種能對網絡建設與管理決策提出良好反饋機制的解決方案。

部署拓撲圖：

上網行為管理+SSL VPN綜合解決方案：

為此，選擇上網行為管理+SSL VPN遠程登錄解決方案。將學校內網安全管理單純地由對外防御病毒、黑客入侵、垃圾郵件，轉向了內外兼?zhèn)涞娜婀芸?，如訪問控制、訪問跟蹤、流量限制、監(jiān)控、審計等。配合SSL VPN遠程登錄訪問內網，讓從公網訪問校園網內資源成為可能。

1、網絡行為審計

將上網行為管理設備部署在學院網絡出口的防火墻后側，以網橋模式部署，實現三進三出（WAN 口接三臺設備，LAN口接三臺交換機），保證所有流經學院網絡出口的流量都會經過上網行為管理設備的管控和記錄，讓學院所有上網行為記錄有據可查，事實上學院IT管理者甚至可以預先設置好敏感關鍵字，提前過濾網上敏感言論。

2、全面流量控制

對流經學院網絡出口處的所有流量，上網行為管理設備全面進行流量控制。事實上，該設備對學院所有的師生根據院系、專業(yè)進行帶寬分配，即將用戶分劃分成組，然后對于不同的組分配不同的帶寬、流量上傳下載的限定。通過上網行為管理設備，學院IT管理部門甚至可以根據相關師生的網絡應用行為、訪問網站類型、上傳下載文件類型進行流量控制。如學生正常應用時放開流量，一旦進行BT下載，則馬上施以流量控制。

3、提高師生網絡應用效率

雖然學生網絡應用非常活躍，但他們很多的網絡應用行為與學業(yè)、功課并沒有多大關系，有些學生甚至到學校機房上機時仍然玩網絡游戲、網上沖浪。針對這些現象，學院IT管理部門綁定學院公用計算機，讓學生上機上課時，完全封堵住在線游戲、在線視頻、娛樂網站等，從網絡管理上強制執(zhí)行上課學習的課堂原則。

4、提供網絡決策咨詢

學院內網用戶的非授權網絡行為被禁止，學校管理者可以對學校網絡運行情況進行統(tǒng)計、分析、評估，做到細致的訪問控制，有效管理用戶上網行為。除了實現強大流量分析及帶寬劃分與分配外，同時各種網絡行為日志也都將得到全面記錄，方便日后查詢。

5、SSL VPN遠程登錄校園內網

將SSL VPN 采用單臂模式部署，接在學院核心三層交換機下，在不改變原網絡結構的情況下，師生可以在任何能上網的地方安全高效地登錄學校內網的OA系統(tǒng)、圖書館資源等，實現辦公效率的快速提升。

2.4銀行業(yè)上網行為管理解決方案

項目背景：

目前銀行的多項業(yè)務均需依賴互聯網平臺，銀行信息化建設一直引領著各行業(yè)信息化建設的潮頭。雖然金融單位已經部署了多種網絡安全產品來抵御來自互聯網的攻擊，但在內網安全、規(guī)范管理、信息安全上存在許多薄弱環(huán)節(jié)。試想：如果銀行職員上班時間BT下載、在線觀看視頻、訪問賭博網站等，這些行為通過部署于網關出口的防火墻就能得到控制嗎？銀行內網一旦缺乏有效的管理手段必然會增加各項業(yè)務操作的風險，而且會嚴重影響工作效率。

存在問題：

隨著銀行業(yè)務的不斷豐富，銀行的各項業(yè)務運作越來越多依賴于網絡平臺，為了達到銀行信息安全的要求，提高銀行的競爭力，需要構建管理規(guī)范、流量平穩(wěn)、防止泄密的安全無憂內網。目前銀行內網管理存在以下問題：

1、銀行職員上班時觀看在線視頻、進行BT下載等行為，對網絡出口帶寬造成了不小的壓力，銀行的正常業(yè)務運用可能因為這些非工作性網絡應用造成中斷；

2、銀行業(yè)務操作人員利用資金流相對便利，如何有效封堵加密的賭博網站、相關網絡應用，是銀行迫切需要解決的問題。

解決方案：

針對上述問題，銀行選擇上網行為管理解決方案，希望通過對內網用戶進行明確的權限分配，規(guī)范銀行員工上班時網絡應用；通過徹底的帶寬、流量控制，保障銀行業(yè)務系統(tǒng)帶寬，并進一步提高銀行員工的網絡應用效率。

功能及解決的問題：

1、內網用戶上網權限的細致劃分

針對銀行不同的部門，細致規(guī)定其部門員工的上網權限，讓合適的人上合適的網站，進行合適的網絡應用，超過該部門工作權限的網絡行為一律禁止。

上網行為管理設備針對銀行各部門進行用戶組劃分，如信用卡中心、財務部……然后對基于人員劃分的用戶組賦予不同的上網權限，如：封掉信用卡中心炒股、加密交易網站應用……上網行為管理設備甚至可以針對具體的用戶進行上網權限分配。上網行為管理產品細致的權限分配，大大降低了網絡管理者的維護量，合理地規(guī)劃出局域網的組織結構。

2、全面流量控制

事實上，一個2M以太網出口的局域網，只要有2個以上的員工不限速地使用BT，幾乎所有人的正常網絡瀏覽都將成為不可完成的任務。銀行帶寬出口雖然相對較大，但因為其網絡應用眾多，出口帶寬也面臨不小的壓力。

上網行為管理設備可進行BT、加密BT、未知版本BT的全面封堵，而且不會像防火墻那樣被BT軟件通過轉換端口繞過去；通過基于人員、應用、訪問網站類型等進行帶寬分配、流量控制，銀行IT人員可以提前規(guī)劃好各部門網絡應用流量，充分保障銀行正常業(yè)務運作。

3、詳細的日志備份

銀行內網用戶每天訪問互聯網時產生的日志十分巨大，亟需一個更大容量的數據備份機制，而傳統(tǒng)網關所能提供的硬盤存儲容量有限，且這些數據查詢頗為麻煩。

銀行關注日志信息的完整性和保密性，通過上網行為管理設備獨立的日志存儲中心，確保了銀行內網網絡應用日志的完整性與保密性。通過使用上網行為管理設備，銀行的管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態(tài)，將網絡使用情況自動生成報表并統(tǒng)計出網絡訪問的趨勢，以幫助系統(tǒng)管理員更好地維護和管理網絡。

2.5電力行業(yè)上網行為管理解決方案

項目背景：

隨著中國經濟的進一步發(fā)展，整個經濟對能源的需求越來越強烈，工業(yè)發(fā)展、居民生活的用電需求更是不斷增高。而隨著國家產業(yè)升級、能源結構的調整，綠色電力的概念也逐步深入人心。正是基于這一背景，整個電力行業(yè)迎來了發(fā)展的黃金時期。

目前電力行業(yè)內網存在非業(yè)務流量擠占帶寬、機密信息存在泄密風險等問題，新的形勢要求電力行業(yè)構建規(guī)范管控、流量平穩(wěn)、信息安全的內網，具體要求如下：

1.對公司內部員工進行流量控制，限制員工P2P下載，保證網絡流量；

2.針對公司員工的上網行為軌跡進行記錄，并支持報表分析；

3.對內部聊天軟件進行控制，保證員工上班時間的工作效率；

4.對現有網絡拓撲狀況不進行改動，保證現有網絡的穩(wěn)定性；

解決方案：

采用網橋模式部署深信服上網行為管理設備，即部署在防火墻和核心交換機之間。這樣就不需改變電廠原有的網絡拓撲及設置，同時也可管控電廠內網的網絡行為；同時也可以采用旁路模式部署，這種模式主要用于內網用戶上網行為日志存儲。

部署拓撲如下：

解決的問題：

1、網絡應用封堵，提升辦公效率

通過電廠網絡出口的上網行為管理設備，通過IP/MAC、硬件特征碼綁定等技術，對用戶進行唯一身份識別；之后將用戶根據業(yè)務部門、組織架構進行用戶組劃分及權限分配；對員工上班時的非業(yè)務網絡應用——如在線視頻、在線游戲、在線炒股、聊天等進行分時間段、分用戶組管控，人性化封堵，提升辦公效率。

2、流量控制，優(yōu)化網絡帶寬

電廠作為傳統(tǒng)企業(yè)，其網絡出口帶寬有限，而相應的電力調度系統(tǒng)、OA辦公等網絡業(yè)務系統(tǒng)又較為完備，這必然帶來了網絡業(yè)務運用與網絡帶寬不足間的矛盾，而且時常有用戶進行BT下載等娛樂行為而擠占正常應用帶寬。

針對于此，電廠通過上網行為管理設備對相應用戶組進行帶寬分配與流量控制，流量控制基于業(yè)務應用類型、用戶組織權限等各種因素，細致全面地構建平穩(wěn)流量內網。

3、行為日志記錄與統(tǒng)計，保證信息安全

電廠通過上網行為管理設備進行用戶流量統(tǒng)計、網絡應用記錄、訪問網站軌跡等諸多信息安全管理行為。

4、宏觀網絡應用分析，指導IT管控方向

電廠可根據上網行為管理設備記錄日志生成曲線、餅狀、柱狀、趨勢圖等，并可對相關網絡應用、流量等進行排名。用戶可根據自己所需信息生成宏觀分析圖表，如：內網哪個用戶流量最大、哪些網絡應用生成流量最大、哪些網站訪問最多……這樣電廠IT管理者便能根據日志分析圖表調整上網行為管理選項，為內網管控、進一步建設進行決策。

通過上網行為管理解決方案，增強了網絡管控性，提高了電廠的競爭力。

第五篇：上網行為管理

上網行為管理的定義

幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析；

為什么要管理上網行為

“隨著互聯網的發(fā)展，它已經到了必須控制和管理的時代，因為網上充滿了錯誤的信息、虛假的信息，和非民主的力量。”----蒂姆?伯納斯?李（互聯網之父）

水能載舟亦能覆舟!互聯網一方面能夠幫助企業(yè)提高生產力、促進企業(yè)發(fā)展；另一方面也在企業(yè)管理、工作效率、信息安全、法律遵從、IT投資等方面給企業(yè)提出了嚴峻的問題與挑戰(zhàn)。

問題1：網速為什么越來越慢？

在辦公室里經常會聽到有人抱怨“網速為什么這么慢？”，幾乎所有的企業(yè)都存在這樣的問題。那么企業(yè)花錢租用的10M甚至100M帶寬都被用在哪里了？為什么帶寬不斷擴充，而網速并沒有明顯改善？

真相：帶寬資源也許正被濫用!

根據聯通公司發(fā)布的一份調查顯示：以迅雷、BT、eDonkey、KaZaA等為代表的P2P應用，消耗了40%以上的有效網絡帶寬。而在企業(yè)租用的有限帶寬里，充斥著大量P2P下載、網絡電視等應用流量，導致大量帶寬被非工作應用所占用。而且，由于P2P的應用特征，使得企業(yè)高額投資的帶寬成了互聯網公共服務。

誰？在什么時間？可以擁有多少帶寬資源？可以使用哪些網絡應用？

問題2：網絡安全事故為什么防不勝防？

“堵漏洞、砌高墻、防外攻、防內賊，防不勝防”，防火墻越“砌”越“高”，入侵檢測越做越復雜，病毒庫越來越龐大，身份系統(tǒng)層層設保，卻依然無法應對層出不窮網絡安全威脅，難道那么多安全產品都是擺設？

真相：安全隱患來自內部員工!

無論如何豪華的防線，一個漏洞就可以毀滅所有一切。Meta Group發(fā)布研究報告稱：“持續(xù)增長的安全威脅源自您的員工”。內部人員通過互聯網與外部通訊時，可能會引入含有惡意的或者攻擊性的內容，如若未能得到監(jiān)測和控制，這將成為企業(yè)的一大隱患。并且充滿誘惑的網絡資源往往是風險的發(fā)源地。

誰？在什么時間？是否可以上網？是否阻止訪問可能含有安全風險的網絡內容？

問題3：辦公室為成了免費網吧!

據一項調查顯示，普通企業(yè)員工每天的互聯網訪問活中40％與工作無關，對色情等非法網站的訪問量70％都發(fā)生在工作時間。上班時間“上網休閑”已經成為普遍現象，聊天、游戲、炒股、購物、BBS、電影、博客等無時無刻不在搶占正常的工作時間，辦公室因此淪為不需要花錢的“網吧”。

誰？在什么時間？可以用什么應用？不可以訪問什么網站？

約束員工在互聯網上的行為，其實是在幫助員工匡正工作行為，丟棄不好的習慣，成為一個專業(yè)、敬業(yè)的職業(yè)人，這對員工自身的職業(yè)發(fā)展也是大有裨益的。

問題4：企業(yè)要為員工的網絡行為背黑鍋嗎？

目前，大部分企業(yè)內部員工上網并不受限制，但是他們在網上做了什么？對外發(fā)了什么信息？企業(yè)完全不知情，也無記錄可查詢，這就給企業(yè)埋下了巨大的法律風險。

某企業(yè)被當地公安局網絡監(jiān)察處執(zhí)行嚴厲處罰，原因是查出該企業(yè)內有員工在網上發(fā)布了違反法律的信息，但是無法查出是哪位員工所為，最后企業(yè)只得為這名“幕后英雄”背黑鍋。那么在這種情況下，企業(yè)必須為員工的個人網絡行為負責嗎？

誰？在什么時間？以何種方式？對外發(fā)了什么信息？發(fā)給了誰？

問題5：發(fā)現內部網絡問題后不能快速的找到根源？

當出口擁塞，網絡訪問異常時，只能通過網絡層面的的設備分析原因，簡單的插拔網線，復位設備，以希圖問題解決。但本質，內在的源頭無法定位。

IT系統(tǒng)追求的的是性價比，一位的遷就會隱藏更大的隱患，我們需要專業(yè)的洞悉網絡問題應用源頭的能力，能夠分析問題的普遍性，嚴重性，共通性。利用上網行為管理產品能夠做到：

哪些人群的應用異常？哪些行為在單位內最普遍？哪些部門隱患最突出？ 編輯本段上網行為管理的實施步驟

洞悉－＞管控－＞駕馭

step1:企業(yè)要做好上網行為管理，必須先洞悉企業(yè)內使用互聯網的過程中存在哪些問題？因為不同企業(yè)面臨的問題不同，需要先了解到底有哪些問題？

step2:然后分析問題的根源，再制定有針對性的策略管控問題；上網行為管理策略必須是有針對性的、個性化的，這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求；

step3:最后通過審計報表了解問題解決的程度和效果，再根據報表做管理策略優(yōu)化，進而達到駕馭互聯網、實現上網行為管理的價值。

上網行為管理產品對比

硬件與軟件之分

從產品形態(tài)來看，目前上網行為管理分為硬件和軟件2種，但是國內以硬件為主流，國外以軟件為主流；

硬件的優(yōu)勢：部署簡單、升級方便、故障率低

硬件的劣勢：成本較高,運輸不方便,維護復雜,維修需要專業(yè)認識，技術支持不到位

軟件的優(yōu)勢：成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署.軟件的劣勢：對于國企和政府來說，沒有一個東西不放心,所以國內政府偏硬件，企業(yè)偏軟件。

以上對比，并不是絕對的說法。目前的軟硬件結合模式越來越多。包括加入準入模式、VPN的上網行為管理,基于客戶端的內網管理模式和文檔管理模式，為的是內外兼修，從各種方向去彌補單一產品的不足。企業(yè)應該根據自身的應用需求，去選擇自己需要而合理的方案。如果只是追求單一產品本身的應用，在信息化建設的綜合成本上一定會超出很多預算，無謂地增加了更多的信息化成本。

產品適用范圍之分

市面上目前能夠提供全面或部分上網行為管理功能的產品，已經有幾十種。如果以產品適用范圍來區(qū)分，通常分為這樣3類。

1，適合同時上網PC數量低于50臺。

這類產品一般以純軟件型和低端寬帶路由器集成QQ、MSN、BT等的過濾為主。純軟件型產品通常成本低廉、穩(wěn)定性較差，適合對上網行為管理有需求，但預算有限的用戶。低端寬帶路由器集成針對部分常見應用或軟件的過濾功能，同樣以價格低廉勝出。在提供基本組網應用的同時，兼顧最基礎的上網行為管理需求，較容易被價格敏感的用戶接受。

2，適合同時上網PC數量在50~200臺之間。

這類產品一般以高性能上網行為管理設備和帶自主研發(fā)Kercap引擎的軟件產品為主。即在高性能網關路由器上，增加深度包檢測(DPI)功能。通過分析網絡應用特征碼，配合智能帶寬管理、自動行為管控等綜合策略，全面管理聊天、在線視頻、股票、游戲、P2P下載、暴力及色情等非法網站等的過濾，并配合WAN口流量統(tǒng)計、LAN側用戶流量統(tǒng)計、并發(fā)session統(tǒng)計等功能，提供綜合的管理手段。通常價格較軟件產品或低端路由器略高，但功能更全面，性能更穩(wěn)定，性價比較能夠為此等規(guī)模的企業(yè)用戶所接受。

3，適合200臺以上的PC同時上網的管理。

這類產品通常是采用硬件與軟件結合的方式。即同樣的軟件版本，安裝在不同檔次的工業(yè)計算機上，經過反復的測試后，根據所安裝的工業(yè)計算機的處理性能不同，可以涵蓋到200~500，500~1000，甚至更大范圍的并發(fā)應用。由于有性能更為強大的工業(yè)計算機作為處理平臺，這類產品能夠提供的功能更加豐富，部分產品甚至可以緩存上網瀏覽或發(fā)送的內容，檢索出可能涉及泄露公司機密、觸犯法律或不適合上班時間處理的內容，進而采取相應的策略加以限制。對于規(guī)模較大的公司，IT管理對技術的依賴更加側重，需要管理的內容和管理的手段更加廣泛，以適應大批量管理的需要。此類產品由于其復雜的功能需要高性能的工業(yè)計算機才能夠支撐，因此起步價格通常因硬件成本的因素，只有規(guī)模和需求達到一定程度的中大型企業(yè)可以接受。

目前也有部分此類廠家推出了適合中小規(guī)模用戶的產品，功能上沒有太大的差異，只是選擇更為低廉的工業(yè)計算機進行處理，從而降低了整體成本和適用范圍，以滿足中小規(guī)模用戶的需求。價格也相應的降到萬元以下。

產品定價

根據軟件硬件產品、產品工業(yè)等級、產品硬件內核模組、產品管理規(guī)模、產品適用范圍的區(qū)分，產品定價的幅度也有極大的變化。

如低端產品線：價格從數百元至數千元不等。即便是軟件產品。也有高達十萬元的價位。而高端產品線，從主流廠商報價來看，從幾萬到幾十萬的價格不等。若是在高校、骨干線路的應用方案中，為了滿足需求，采用雙核、四核、G級的硬件模組的設備其價位更高。

旁路與串接之分

從部署的方式來看，主要分為旁路與串接之分，這主要看用戶對上網行為的管理程度來決定。

旁路：不容易造成單點故障，但是控制和管理的效果不理想；

串接：控制和管理的效果好，但是容易造成單點故障；

目前國內主流的廠商提供的產品都比較穩(wěn)定，單點故障率較小，建議用戶在條件允許的情況下采用串接方式部署

對于以備份(郵件，聊天，網頁審計)為主的建議采用旁路方式的軟件。

國外與國內

一直以來，很多用戶都認為國外的產品和技術要優(yōu)于國內廠商，但是上網行為管理產品并不如此。

上網行為管理產品是用來管理互聯網訪問內容和互聯網使用者的，這與企業(yè)的文化、管理制度、人文環(huán)境、法律法規(guī)都非常相關，例如：

國外與中國在成人內容上的分級不同，導致對成人內容的過濾結果不同；

國外與中國的流行網絡應用不同，有很多是只有中國用戶使用的網絡應用，而國外的產品往往不能支持對這些應用的控制和管理；

建議國內用戶盡量選擇使用國內廠商推出的上網行為管理產品，畢竟中國的廠商更了解中國用戶的互聯網環(huán)境和互聯網使用習慣。

編輯本段上網行為管理主要功能

網頁訪問過濾

互聯網上的網頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁，以及購物、招聘、財經等與工作無關的網頁，將極大的降低生產效率。

通過上網行為管理產品，用戶可以根據行業(yè)特征、業(yè)務需要和企業(yè)文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。

網絡應用控制

聊天、看電影、玩游戲、炒股票等等，互聯網上的應用可謂五花八門，如果員工長期沉迷于這些應用，也將成為企業(yè)生產效率的巨大殺手，并可能造成網速緩慢、信息外泄的可能。

通過上網行為管理產品，用戶可以制定有效的網絡應用控制策略，封堵與業(yè)務無關的網絡應用，引導員工在合適的時間做合適的事

帶寬流量管理

P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預算擴充帶寬以外，企業(yè)還可以選擇合理化分配和管理帶寬。

通過上網行為管理產品，用戶可以制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。

信息內容審計

發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經司空見慣，然而信息的機密性、健康性、政治性等問題也隨之而來。

通過上網行為管理產品，用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的法律風險。

上網行為分析

隨著互聯網上的活動愈演愈烈，實時掌握員工互聯網使用狀況可以避免很多隱藏的風險。

通過上網行為管理產品，用戶可以實時了解、統(tǒng)計、分析互聯網使用狀況，并根據分析結果對管理策略做調整和優(yōu)化。