公司上网行为管理软件

第一篇：公司上网行为管理软件

有效监控管理公司局域网的上网行为

随着企业信息化的不断发展，企业单位的宽带上网进一步提速;高速上网为在保持了企业单位各项业务以更高效率进行的同时，也带来了不利的一面。员工肆意的使用网络，占有大量的流量，造成局域网网速越来越慢，严重影响了企业的发展。

作为国内专业的企业局域网管理软件，小草上网行为管理软路由发现在企业单位的局域网中，经常有很多与工作无关的应用在进行着：如使用迅雷、BT、电驴、vagaa、酷狗、pplive、超级旋风、网际快车等等流行的P2P软件，下载影视资料、电影、甚至一些色情、反动、暴力的视频文件;通过网页观看在线视频、玩在线游戏等;通过QQ、MSN、skype、yahoo通、飞信等等聊天软件进行各种聊天行为;通过利用大智慧、同花顺、广通达证券、长江证券、中投证券等等炒股软件进行长时间的炒股行为。此外，在局域网中经常有一些员工私自更改自己的IP，以获得特定的上网权限、逃避网络管理。这些不良的上网行为，极大地占用了公司的宽带网络资源，造成网络堵车的现象时有发生，严重干扰了企业正常的业务的顺利进行;同时还占用了员工大量的工作时间、影响了工作效率;同时，这些不良的上网行为还加大了病毒在局域网传播的风险，这些病毒可能会以木马的形式窃取公司的商业机密，关键数据等从而给公司带来巨大的经营风险。其实，目前在企事业单位的网络管理中，不良的、不适当的上网行为还不止这些，对这些上网行为的管理已经是迫在眉睫的事情了。

早期的网络应用、网络行为的技术模式相对简单，通过路由器、交换机或者防火墙上封堵端口、服务器IP的形式就可以拦截绝大多数不良的上网行为;但是随着近几年网络技术、信息技术、宽带技术的飞速发展，特别是具体的P2P技术、在线流媒体技术的巨大进步，以及厂家实力的增强，纷纷采用集群服务器技术，一个P2P工具、聊天软件的服务器多达上百台，从而可以实现多点登录;而在登录方式上，这些P2P软件、在线视频、网络游戏、股票软件纷纷采用服务器智能切换、端口自动切换的技术，并且可以使用80端口等关键端口实现登录;而在传输方式上，纷纷采用加密的P2P协议、UDP协议、TCP协议进行传输，从而可以实现高速、稳定、安全的传输。这给网络管理带来了巨大的困难，也使得网络管理员的工作更加具有挑战性。

面对这样的网络管理问题。小草上网行为管理软路由以有效监控P2P软件、各种聊天软件、限制主机带宽流量等功能而著称，对当前主流网络游戏软件、主流炒股软件的控制规则，通过点点鼠标导入这些拦截规则，即可实现对这些工具完全控制;同时，还可以实时显示、实时控制局域网各个主机的带宽从而可以防止局域网个别主机过量占用公司的带宽的上网行为，实现对网络资源的合理分配。 小草上网行为管理软路由的IP和网卡地址的绑定功能，可以禁止局域网的用户私自更改IP，造成IP地址冲突、掉线等危害局域网的行为，同时也禁止局域网用户私自更改IP来获取更高的上网权限，从而盗取公司商业机密、重要文件和数据的行为，强化了网络安全管理。

第二篇：如何限制办公室上网行为 控制公司员工上网?

作者：大势至 日期：2013.6.30

聚生网管系统是大势至(北京)软件工程有限公司推出的一款局域网上网控制软件，早在2005年就推出了第一代版本，经过近8年的不断研发和实践积累，使得聚生网管已经成为国内网管软件市场首屈一指的品牌，也是国内知名度最高、产品应用最普遍、性价比最高的网管软件品牌，在诸多优势遥遥领先国内同行产品。 聚生网管系统核心优势如下：

一、 聚生网管是国内最早、最成熟、功能最全面的员工上网管理软件品牌

聚生网管系统是国内最早的控制员工上网的品牌之一，从2005年推出的第一代网管产品，经过8年的不断研发和网络管理实践积累，使得聚生网管系统各项网络管理功能日臻完善，可以为企业提供一站式的局域网网络限制解决方案，帮助企业有效管理公司局域网电脑上网行为。

二、 聚生网管系统是国内安装最快捷、上网控制功能最强、最好用的网管软件品牌 在国内诸多网管软件品牌中，聚生网管系统安装部署是安装最便捷的。安装聚生网管软件不需要调整网络结构，不需要单独的电脑或服务器，也不需要调整路由器、交换机或防火墙等网络设备，也不需要在被控制的电脑上安装类似木马的客户端软件，而是只需要在局域网一台电脑安装就可以控制整个局域网电脑上网行为;安装完毕聚生网管系统，启动网络管理就可以扫描局域网所有电脑，不需要手工添加要监控的电脑。同时，聚生网管界面设计极为简单，纯傻瓜界面，各项功能模块一目了然，所有网络控制功能只需要点击鼠标就可以启用，极为易用。聚生网管系统可以有效禁止局域网下载、限制员工炒股、禁止玩电脑游戏、限制电脑QQ聊天、禁止上班网购、限制浏览无关网站、屏蔽视频网站、禁止员工上班看电影、防止ARP攻击、绑定IP和MAC地址、限制网络流量等功能，可以帮助企业实现一站式的局域网限制上网行为。

三、 聚生网管系统是国内唯一可以完全禁止局域网迅雷下载、限制迅雷上传、禁止使用迅雷下载的网管系统 目前，在国内诸多P2P下载软件中，迅雷是应用最普遍、同时也是下载速度最快的P2P软件，局域网员工使用迅雷下载可以瞬间耗尽单位的网络资源，导致整个局域网网速很慢、上网速度很慢，严重影响了企业各项网络应用的正常进行。这是因为迅雷融合了所有流行的P2P下载技术、HTTP下载和FTP下载技术，再加上迅雷的资源检索技术先进、资源服务器众多，这使得封堵迅雷下载也变得极为困难，国内其他网络控制软件品牌常常无法有效封堵。而聚生网管研发团队经过对迅雷传输原理的深入分析、综合利用各种网络报文检测和识别技术，已经完全掌握了迅雷传输的各项特征，从而可以完全禁用迅雷下载，同时还可以完全禁止迅雷上传。在启动聚生网管系统，只需要在“P2P下载限制”这里勾选禁止迅雷下载，即可完全阻断局域网迅雷下载，从而避免了迅雷下载抢网速、抢带宽的行为，可以彻底从根源上防止局域网网速被迅雷抢占的情况。因此，是否可以有效屏蔽迅雷下载也是衡量一款网络管理软件是否真正有效的、是否具有领先的网络控制技术的重要标准之一。

四、 控制P2P下载软件、限制P2P网络电视、禁止网页视频国内遥遥领先 除了有效禁止迅雷下载之外，聚生网管系统在控制其他P2P软件也遥遥领先国内同类网管软件，例如有效禁止QQ旋风下载、禁止快车下载等等国内数十种最流行的P2P下载软件;同时，聚生网管系统还可以有效禁止P2P网络电视，例如有效禁止PPS影音、禁止PPlive网络电视、限制PPTV等等国内最流行的数十种P2P网络电视;此外，聚生网管系统还可以有效禁止在线视频、屏蔽网页视频等几十个国内最流行的视频网站。总之，聚生网管无论是限制P2P软件的数量，还是有效性等方面都遥遥领先国内同类网管软件，并且也是国内独家可以根据用户的需要随时增加各种P2P软件、网络电视和网页视频的封堵;聚生网管系统也是国内独家开放了系统过滤内核的品牌，允许网管员自行添加各种过滤规则，从而帮助用户实现个性化、自主化网络管理。

五、 有效禁止QQ聊天、禁止阿里旺旺登陆，控制聊天软件功能国内最强

聚生网管不仅可以有效屏蔽QQ聊天等国内十几种最流行的聊天软件，并且还可以对聊天软件精细化控制。聚生网管不仅可以检测局域网QQ账号、检测MSN账号、检测阿里旺旺账号，并且还可以设置QQ白名单，只让一部分QQ账号登陆、只允许登陆企业QQ账号、只让特定阿里旺旺账号登陆、只让特定淘宝账号登陆，并且还可以检测局域网淘宝账号。通过对聊天软件账号的精确控制，使得聚生网管可以有效防止员工上班时间聊私人QQ账号、登陆私人阿里旺旺账号或登陆私人淘宝账号，从而防止员工上班做私事、开设网店或上网购物等行为，有效规范了员工使用聊天软件账号的功能。

六、 禁止购物网站的数量最多、防止员工上班购物、禁止工作时间网购国内最强

目前，在企业白领上班族中，上班时间网购已经成为司空见惯的现象。员工工作时间网购，一方面也占用大量的工作时间，影响工作效率;另一方面，员工打开购物网站，经常会遭遇钓鱼网站、木马网站等病毒网站，一旦不小心点击了这些网站，极容易会导致电脑中毒，从而造成网络安全隐患，有些病毒还会发动网络攻击、ARP攻击等，从而对局域网安全造成隐患。此外，一些病毒还会窃取员工上网账号、网银账号或邮箱账号等，从而引发各种网络安全隐患。为此，聚生网管系统集成了国内最全的屏蔽购物网站的功能，可以完全禁止员工访问国内所有流行的网购网站，完全阻止员工上班时间网购的行为，规范员工上网行为，提示员工工作效率，保护局域网电脑安全。

七、 国内唯一完全突破杀毒软件有效控制局域网电脑网速、限制别人网速、控制其他人网速等

限制局域网网速是聚生网管系统核心功能之一。启动聚生网管系统之后，只要在扫描到的电脑前面勾选，就可以看到局域网所有电脑的上行带宽和下行带宽。然后你可以创建一个限制带宽的策略，并指派给局域网电脑，就可以对电脑的上行网速(上传网速)和下行网速(下载速度)进行实时的控制。同时，聚生网管系统是国内唯一完全可以突破各种防火墙限制局域网网速、控制别人网速、限制其他人网速的系统。此外，聚生网管系统基于深度报文统计技术，限制电脑网速更为精确，确保了用户局域网网速控制的真正有效。

八、 国内唯一可以有效监测局域网无线路由器、控制无线路由器下电脑上网行为的品牌 目前，在企业局域网中，由于网络布线或网络限制的原因，员工常常自己配备无线路由器、私自安装无线路由器进行上网，同时也常常是为了使用自带的笔记本、手机或平板电脑上网。这种情况一方面使得这些无线设备的接入，可能会抢占公司局域网网速、造成网络带宽紧张不足的局面;另一方面，员工通过无线路由器上网，也使得网管员无法精确定位和控制员工电脑上网，无法区分手机、平板电脑或员工自己的笔记本电脑，从而增加了网络管理的难度，不利于实施规范的网络监控。因此，聚生网管研发团队经过深入的分析和研究，在聚生网管系统上增加了实时探测局域网无线路由器的功能，并可以隔离无线路由器、禁止无线路由器上网，从而阻止了员工私自安装无线路由器进行上网的行为。目前，聚生网管系统是国内唯一可以有效管理无线路由器上网、防止员工私自接入无线路由器系的系统。

九、 监控邮件发送功能最全面，国内唯一可以进行邮件“先审核后发送”功能的网管品牌 聚生网管系统不仅可以有效监控局域网邮件发送情况，实时监控邮件正文内容、实时查看邮件附件内容，并且可以有效监控网页邮件或监控Outlook、Foxmail发送邮件的情况;同时，也可以完全禁止员工登陆非公司的信箱、禁止员工使用门户网站的信箱，而只允许使用公司信箱进行邮件收发。同时，聚生网管系统是国内唯一可以对邮件进行实时审核和发送的功能，也就是员工发送的邮件会实时转发到经理或网管员自己的监控中心，然后经过审核之后，允许发送的邮件才可以发走，而含有敏感关键词或商业机密的邮件则会可以直接阻断，从而可以有效防止员工有意或无意泄露公司商业机密的行为，保护商业机密的安全。

十、 国内最强IP和MAC绑定功能，并独家集成了人性化的提醒功能，实现自动化管理 聚生网管系统集成的IP和MAC地址绑定功能是国内同类网管系统里面最简单、最实时和最人性化的。网管员只需要在聚生网管的“安全管理”，这里点击启用“IP和MAC地址绑定”功能，并点击“获取IP和MAC绑定关系”就可以获取到局域网所有电脑的IP和MAC对应关系并进行了有效绑定，当然员工也可以自行添加IP和MAC对应关系。同时，当员工修改了IP地址或MAC地址关系之后，聚生网管系统不仅会实时阻断电脑的公网访问、禁止电脑上网，而且还会进行人性化的提醒，告知用户必须修改回之前的IP地址或MAC地址，否则系统将会禁止其上网。通过这种人性化的提醒，一方面达到了网络管理的目的，规范了局域网IP地址使用情况，另一方面也可以促使员工自动更改回之前的IP地址，从而降低了网管的工作量，实现了人性化、自动化的管理。

十一、最有效防止局域网ARP攻击、防范ARP欺骗、实时监测ARP攻击源主机

当前，局域网ARP攻击的事件屡有发生，ARP攻击会导致局域网掉线、断网现象的发生。很多网管员认为只要在路由器上进行IP和MAC绑定就可以了，但是实际上ARP攻击分为ARP欺骗和ARP劫持两种，一般的路由器只能防止ARP欺骗，而对于ARP劫持行为一般无能为力。而聚生网管系统提供的ARP攻击防护功能，可以有效防止ARP欺骗攻击，同时还可以防止ARP劫持攻击，从而完全防止了局域网因为ARP攻击行为而导致的断网现象，极大地保护了局域网安全。同时，聚生网管系统还可以实时检测局域网ARP攻击源主机，实时记录发动ARP攻击的电脑，便于网管员及时发现中毒电脑，及时采取补救举措，防止危害的进一步扩大。

十一、独家提供了一系列网络安全扩展插件、全力保护局域网安全 聚生网管软件是国内唯一提供了全方位安全管理插件的网管软件品牌，可以有效保护局域网安全。聚生网管远程开关机工具可以让网管实现局域网远程启动电脑、局域网远程关闭电脑、远程重启电脑和远程注销电脑等，极大地便利了网络管理;聚生网管内网安全卫士则可以有效防止外来电脑接入公司局域网，禁止外来电脑访问公司服务器或其他电脑，有效禁止局域网修改IP地址、禁止修改MAC地址、禁止电脑代理上网、检测局域网混杂网卡、防止网络嗅探、禁止网络抓包等;大势至共享文件监控系统，则可以有效监控局域网共享文件，详细记录局域网用户对共享文件的打开、读取、修改、删除、剪切、重命名等操作，并且还可以实时保护重要共享文件，防止局域网用户不小心或故意删除共享文件的行为等等。

总之，聚生网管系统以各项领先的品牌优势、产品优势、技术优势、功能优势和设计优势等等，可以帮助企业局域网实现上网行为管理和网络安全控制一站式、全方位的网络管理解决方案，可以极大地规范员工上网行为，有效保护单位信息安全和商业机密。

第三篇：1． 上网行为管理

目前市场主流厂商：深信服、网康  典型案例

2.1 提升内网业务操作效率——封堵非业务应用解决方案

方案背景：

日益发达的互联网让企业员工有了更多的选择，网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间，员工很难不受众多网络娱乐的诱惑，大家在或多或少地利用工作时间进行非业务操作。

以上行为实实在在地存在于我们的办公网中。事实上，我们很多企业员工打开电脑的第一件事便是开迅雷，下载电影、视频、游戏;也有为数不少的员工痴迷股海，一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种，无不给我们有限的带宽资源带来了巨大的流量压力，给员工的办公效率打了一个大大的问号。

上网行为管理解决方案——合理封堵非业务网络应用

随着现代企业管理理念和信息技术水平的提升，如何有效管理与利用互联网资源，这已成为现代企业管理的重要衡量标准。与此同时，上网行为管理的理念愈发深入人心，提升员工网络业务的办公效率，这已经成为企业IT管理者关心的首要问题。 、

如上图，企业通过以网关、网桥、或旁路模式部署上网行为管理产品，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率。

方案价值：

1、全方位封堵p2p ，确保正常办公业务带宽

P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。 鉴于此，上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件，独有的网络行为智能分析技术使其同样难逃法网。

有些部门和领导因业务需要使用P2P，在全面封堵的同时，上网行为管理设备还可以提供 P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制，上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。

2、选择性内容过滤，方式灵活

除针对网络应用软件外，上网行为管理设备还内置了千万条级的URL库，对URL库按照20个大类进行了划分。基于此，IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽，同时用户可手工输入新分类和新URL地址，这进一步增强了网管人员工作的灵活性。

同时，上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件，可以根据关键字如 avi、rmvb、mpeg进行文件过滤，以保证核心业务的带宽。

3、差异化权限划分，构建和谐组织

对于以上管控，上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限，人性化管控整个企业。如给销售部门足够的网页浏览权限，以方便其网上寻找客户资源，而对后勤人员则封掉P2P应用、游戏与炒股网站等。

2.2上网行为管理+SSL VPN防信息泄露解决方案

背景分析：

据IDC调查报告显示，全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中，进行网络常规安全检查的公司不到一半，只有30%的公司具有跟踪用户访问的能力，30%的公司使用加密技术进行数据传输。报告显示：信息安全问题大都来自于企业内部，信息泄密很多时候源于信息安全管理不善。在中国，众多的事业单位也面临这些问题。

事实上，很多企事业单位内外网、服务器隔离存在问题，业务系统的操作并没有明确授权人员，这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱，很多时候将客户信息、内部敏感信息等在公网上随便传播，并没有加密，这样的信息数据很容易被窃取修改。

现在，客户对企业、民众对事件单位应用服务的访问量在不断增加，客户的访问请求经常集中在数台服务器上，而其它服务器却因访问量低而低效运行，这不仅影响了用户的体验感受，也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率，保证信息发布不被中断，以此来保证信息传播的安全，这点也为越来越多的有识之士关注。

解决方案：

通过上网行为管理产品来防止企事业单位内网泄密，这样可有效解决单位内部泄密的问题;通过SSL VPN，企事业单位可对外部接入人员进行身份认证，并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改，这也可以有效隔离内网里的应用服务器与内外网。

产品部署拓扑图如下：

如上部署，上网行为管理设备以网桥模式透明部署于企事业单位内网，通过识别敏感信息并进行过滤等手段，全方位保护客户的信息资产和信息安全。

SSL VPN产品以旁路模式部署，企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限，并对其进行严格的身份认证，这样有效管理了外部员工、客户对内网应用系统服务的访问安全。

方案价值：

上述整合的解决方案，将使企事业单位解决面临的信息安全风险，使得组织业务系统获得持久的可靠和稳定。

上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密，这将有助于降低组织机构的信息安全风险，这让企业、事业单位专注信息资产管理，让部门沟通、客户沟通等多方面沟通更有效。

SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制，能从源头上有效保护信息资产安全，SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。

2.3校园网上网行为管理+SSL VPN综合解决方案

校园网现状：

校园网网络规模庞大，相应的网络应用流量非常惊人;学生网络应用比较活跃，规范管理非常头疼。具体而言，校园网建设中存在如下问题：

1、流量问题

因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃，校园网带宽出口经常被堵塞，师生正常的网络应用经常被挤占。

2、网上言论

目前高校学生网络应用活跃，校内BBS言论、公网上知名论坛等经常语出惊人之举，时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册，出现问题后很难查询当事人，最后给学校带来了极大的负面影响。

3、网络应用规范问题

不可否认，目前大学在校生所面对的网络信息、资源较前些年丰富了很多，这其中也有一些色情、反动等类型的网站及其应用，如何从校园网建设上规避这些不良网站、应用的影响，将制度的规范强制执行在日常网络应用中，这对管理者是个不小的挑战。

4、校内资源使用问题

学校、政府花费了巨大的精力进行校园网建设，国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利，但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。

最重要的是，当校园网初步建成之后，如何查询师生校园网应用情况(如学生经常应用什么网络软件，在网上做什么事情)，以此来发现网络应用问题及校园网建设中存在的不足，这对学校的网络管理者尤为重要，他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。

部署拓扑图：

上网行为管理+SSL VPN综合解决方案：

为此，选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件，转向了内外兼备的全面管控，如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网，让从公网访问校园网内资源成为可能。

1、网络行为审计

将上网行为管理设备部署在学院网络出口的防火墙后侧，以网桥模式部署，实现三进三出(WAN 口接三台设备，LAN口接三台交换机)，保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录，让学院所有上网行为记录有据可查，事实上学院IT管理者甚至可以预先设置好敏感关键字，提前过滤网上敏感言论。

2、全面流量控制

对流经学院网络出口处的所有流量，上网行为管理设备全面进行流量控制。事实上，该设备对学院所有的师生根据院系、专业进行带宽分配，即将用户分划分成组，然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备，学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量，一旦进行BT下载，则马上施以流量控制。

3、提高师生网络应用效率

虽然学生网络应用非常活跃，但他们很多的网络应用行为与学业、功课并没有多大关系，有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象，学院IT管理部门绑定学院公用计算机，让学生上机上课时，完全封堵住在线游戏、在线视频、娱乐网站等，从网络管理上强制执行上课学习的课堂原则。

4、提供网络决策咨询

学院内网用户的非授权网络行为被禁止，学校管理者可以对学校网络运行情况进行统计、分析、评估，做到细致的访问控制，有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外，同时各种网络行为日志也都将得到全面记录，方便日后查询。

5、SSL VPN远程登录校园内网

将SSL VPN 采用单臂模式部署，接在学院核心三层交换机下，在不改变原网络结构的情况下，师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等，实现办公效率的快速提升。

2.4银行业上网行为管理解决方案

项目背景：

目前银行的多项业务均需依赖互联网平台， 银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击，但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想：如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等，这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险，而且会严重影响工作效率。

存在问题：

随着银行业务的不断丰富，银行的各项业务运作越来越多依赖于网络平台，为了达到银行信息安全的要求，提高银行的竞争力，需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题：

1、银行职员上班时观看在线视频、进行BT下载等行为，对网络出口带宽造成了不小的压力，银行的正常业务运用可能因为这些非工作性网络应用造成中断;

2、银行业务操作人员利用资金流相对便利，如何有效封堵加密的赌博网站、相关网络应用，是银行迫切需要解决的问题。

解决方案：

针对上述问题，银行选择上网行为管理解决方案，希望通过对内网用户进行明确的权限分配，规范银行员工上班时网络应用;通过彻底的带宽、流量控制，保障银行业务系统带宽，并进一步提高银行员工的网络应用效率。

功能及解决的问题：

1、内网用户上网权限的细致划分

针对银行不同的部门，细致规定其部门员工的上网权限，让合适的人上合适的网站，进行合适的网络应用，超过该部门工作权限的网络行为一律禁止。

上网行为管理设备针对银行各部门进行用户组划分，如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限，如：封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配，大大降低了网络管理者的维护量，合理地规划出局域网的组织结构。

2、全面流量控制

事实上，一个2M以太网出口的局域网，只要有2个以上的员工不限速地使用BT，几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大，但因为其网络应用众多，出口带宽也面临不小的压力。

上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵，而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制，银行IT人员可以提前规划好各部门网络应用流量，充分保障银行正常业务运作。

3、详细的日志备份

银行内网用户每天访问互联网时产生的日志十分巨大，亟需一个更大容量的数据备份机制，而传统网关所能提供的硬盘存储容量有限，且这些数据查询颇为麻烦。

银行关注日志信息的完整性和保密性，通过上网行为管理设备独立的日志存储中心，确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备，银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态，将网络使用情况自动生成报表并统计出网络访问的趋势，以帮助系统管理员更好地维护和管理网络。

2.5电力行业上网行为管理解决方案

项目背景：

随着中国经济的进一步发展，整个经济对能源的需求越来越强烈，工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整，绿色电力的概念也逐步深入人心。正是基于这一背景，整个电力行业迎来了发展的黄金时期。

目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题，新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网，具体要求如下：

1.对公司内部员工进行流量控制，限制员工P2P下载，保证网络流量;

2.针对公司员工的上网行为轨迹进行记录，并支持报表分析;

3.对内部聊天软件进行控制，保证员工上班时间的工作效率;

4.对现有网络拓扑状况不进行改动，保证现有网络的稳定性;

解决方案：

采用网桥模式部署深信服上网行为管理设备，即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置，同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署，这种模式主要用于内网用户上网行为日志存储。

部署拓扑如下：

解决的问题：

1、网络应用封堵，提升办公效率

通过电厂网络出口的上网行为管理设备，通过IP/MAC、硬件特征码绑定等技术，对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控，人性化封堵，提升办公效率。

2、流量控制，优化网络带宽

电厂作为传统企业，其网络出口带宽有限，而相应的电力调度系统、OA办公等网络业务系统又较为完备，这必然带来了网络业务运用与网络带宽不足间的矛盾，而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。

针对于此，电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制，流量控制基于业务应用类型、用户组织权限等各种因素，细致全面地构建平稳流量内网。

3、行为日志记录与统计，保证信息安全

电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。

4、宏观网络应用分析，指导IT管控方向

电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等，并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表，如：内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项，为内网管控、进一步建设进行决策。

通过上网行为管理解决方案，增强了网络管控性，提高了电厂的竞争力。

第四篇：上网行为管理方案

一.网络管理概述

1.网络管理的目的

在一般情况下，网络管理的主要目的是为了提高网络可用性、改进网络性能、减少和控制网络费用以及增强网络安全性等。 2.网络管理的要素

网络管理平台的建设主要与业务需求的结合。完整而理想的网络管理解决方案，应该根据应用环境和网络对业务流程，以及用户需求的端到端关联关系，来管理网络及其所有设备。 3.网络资源管理

网络资源就是指网络中的硬件设备、整个环境中运行的软件(包括服务器与电脑的应用软件)以及所提供的服务等。网络管理系统必须将它们表示出来，才能对其进行管理。 在好的网管软件中，当前的网络拓扑和各个硬件系统都以图形的方式显示在一个图上，而且各种信息都会动态地在上面显示，非常方便监视与管理。

4.软件资源管理和软件分发

网络管理系统的软件资源管理和软件分发功能，是指优化管理信息的收集，对企业所拥有的软件授权数量和安装地点进行管理。软件分发则是通过网络把新软件分发到各个站点，并完成安装和配置工作。 5.应用管理

应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。网络管理员通过应用管理可以跟踪网络用户和运行的应用软件，改善网络的响应时

间。

二、网络管理要具备的六大基本功能

网络管理一般包括性能、故障、配置、计费、安全和行为六方面功能。

1.性能管理

主要考察网络运行的好坏。性能管理使网络管理员能够监视网络运行的参数，如吞吐率、响应时间、网络的可用性等。 2.故障管理

检测、定位和排除网络硬件和软件中的故障。当出现故障时，该功能确认故障，并记录故障，找出故障的位置并尽可能地排除这些故障。 3.配置管理

掌握和控制网络的状态，包括网络内各个设备的状态及其连接关系。配置管理的典型方法是，用逻辑图来描绘所有的网络设备及其逻辑关系，并将网络的确切物理布局，以适当的比例映射到这个逻辑图上。用精心设计的各种图标来表示各种网络对象，而这些图标又往往涂上不同颜色表示相应设备的不同状态。 4.计费管理

记录各个用户和应用程序对网络资源的使用情况。计账管理提供计算一个特定网络或网段的运行成本的手段。 5.安全管理

是对网络资源及其重要信息访问的约束和控制，包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。 6.行为管理

上网行为管理是指帮助用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

三、上网行为管理的技术功能及产品

上网行为管理技术是专用于防止非法信息恶意传播，避免相关机密、商业信息、科研成果泄漏，并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理软硬件系列适用于需实施内容审计与行为监控、行为管理的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。上网行为管理通过软硬件能实现的功能有： 1. 上网人员管理

上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性

上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性

移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入局域网的移动终端的合法性

上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性

2.上网浏览管理

搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。

网址URL管理 ：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。(URL：统一资源定位器)

网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性

文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性 3.上网外发管理

普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

WEB邮件管理 ：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性

即时通讯管理：利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性

其他外发管理：针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性 4.上网应用管理

上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断

上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问

上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问 5.上网流量管理

上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃

上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽

上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的带宽

上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽 6.上网行为分析

上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现

上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题

上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题 7.上网隐私保护

日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听

管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号;审核员无日志查看权限，但可审核审计员权限的合法性后

才开通审计员权限;审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容

精确日志记录：所有上网行为可根据过滤条件进行选择性记录，不违规不记录，最小程度记录隐私 8.设备容错管理

死机保护：设备带电死机 / 断电后可变成透明网线，不影响网络传输。 一键排障：网络出现故障后，按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起，缩短网络故障定位时间

双系统冗余：提供硬盘+Flash卡双系统，互为备份，单个系统故障后依旧可以保持设备正常使用。 9.风险集中告警

告警中心：所有告警信息可在告警中心页面中统一的集中展示

分级告警：不同等级的告警进行区分排列，防止低等级告警淹没关键的高等级告警信息。

告警通知：告警可通过邮件、语音提示方式通知管理员，便于快速发现告警风险。

10. 上网行为管理产品

深信服上网行为管理(AC)是中国上网行为管理第一品牌，可以防止与业务无关的网络行为，杜绝带宽资源滥用，加快上网速率，提升工作效率。在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为提供解决方案。

网康上网行为管理能帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的身份认证、合规准入、网页过滤、应用控制、带宽管理、内容审计、外发过滤，行为分析等功能。

小草网管软件综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案。

产品对比：从产品形态来看，上网行为管理分为硬件和软件2种，但是国内以硬件为主流，国外以软件为主流;

硬件的优势：部署简单、升级方便、故障率低

硬件的劣势：成本较高,维护复杂,维修需要专业认识

软件的优势：成本适当,维护简单、安装容易、升级快速,可以在随便找个机器部署. 软件的劣势：对于国企和政府来说，没有一个东西不放心,所以国内政府偏硬件，企业偏软件。

四、深信服上网行为管理(AC)功能及部署方案 1.AC产品功能

1.1 身份认证

1.1.1 映射组织行政结构

为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限，需要规划和建立组织的用户分组结构。

一般组织均有自己的行政结构，AC可以完全按照组织的行政结构建立树形用户分组，实现父组、子组等多层嵌套的要求。在完成用户组的创建后，即可创建用户，并将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外，AC能够根据OU或Group读取AD域控服务器上用户组织结构，并保持与AD的自动同步，方便管理员管理。

此外，AC支持账户自动创建功能，依据管理员分配好的IP段与用户组的对应关系，基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件，过AC的账户导入功能更加快捷的创建用户和分组信息。

用户帐号还支持有效期限定，账号过期则自动失效，支持多人共用同一帐号等，丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。 1.1.2 建立身份认证体系

有效区分用户，是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。 AC支持丰富的身份认证方式：

■ 本地认证：Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 ■ 第三方认证：AD、LDAP、Radius、POP

3、PROXY等; ■ 双因素认证：USB-Key认证;

■ 单点登录：AD、POP

3、Proxy、HTTP POST等;

■ 强制认证：强制指定IP段的用户必须使用单点登录(如必须登录AD域等)

丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与行为的一一对应，方便 5

管理员实施上网行为管理解决方案。

AC支持为未认证通过的用户分配受限的互联网访问权限，将通过Web认证的用户重定向至显示指定网页，方便组织管理员发布通知。 1.2 应用权限管理 1.2.

1应用控制策略 1.2.1.1 识别是管理的基础

全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。

AC多种应用识别技术，全面识别各种应用，进而有效管控和审计。主要包括： a) URL识别： AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术; b) 应用规则识别库：AC拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态;该库支持360种以上网络主流应用，680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件; c) 文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警;

d) 深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应;

e) 智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。

通过强大的应用识别技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。 1.2.1.2 上网策略对象化

AC支持完美映射组织的行政结构，管理员可依据组织结构添加管理策略。上网策略对象化，同一条上网策略可被多个用户/用户组复用，同一用户/用户组可关联使用多条策略，实现策略和用户/用户组的双向关联，方便管理员调整。对于父组、子组的

上网策略不仅仅支持基于生效时间、用户/用户组、应用类型，支持模板形 6

式复制，更支持策略有效期，管理员可手动设定策略的过期时间，逾期自动失效，有效实现策略的回收管理。此外，AC支持将策略的查看、编辑权限分配给指定管理员，实现策略的分级管理。 1.2.1.3 灵活的授权

AC支持基于生效时间、用户/用户组、应用类型的授权，帮助组织实现上网权限与工作职责的匹配，防止越权访问与泄密风险，一方面管控与业务无关的上网行为，提升员工工作效率，一方面过滤不良信息、阻止异常行为，防止法律与泄密风险。

AC更兼顾了管理与人性化的需求，对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织，AC提供了“智能提醒”功能，管理员可设定允许特定用户使用指定应用的时长、流速，一旦用户使用指定应用的时长、速度超限后，AC自动弹出提醒窗口，提醒用户注意违规行为，敦促用户自觉规范，达到促进自我管理的目的，减少管理带来的摩擦。 1.2.2 Web应用控制 1.2.2.1 URL访问控制

网页浏览是员工主要互联网行为之一， 在URL过滤方面，AC采用“静态URL库+URL智能识别+云系统”三重识别体系。

首先，AC内置千万级预分类URL地址库，该库由深信服URL研发小组专人负责维护，收集新增网页并经由人工审核分类，包含互联网上数十种分类站点，覆盖了95%以上用户访问量最高的网址。

其次，互联网网页容量爆炸性增长，静态URL库不足以有效应对。因此，AC支持基于内容关键字的过滤手段，可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类，真正帮助组织完善网页访问行为的管理。 1.2.2.2 SSL内容管理

SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，导致管理漏洞;另一方面，互联网上存在大量伪造的网上银行、网上购物页面，此类网页利用了网银、网上购物等

普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性，伪造虚假证书以骗取用户信任，警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息，导致直接或间接的经济损失。

AC可以对SSL网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。 1.2.2.3 代理翻墙管控

许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网，也有的组织明文规定禁止内网用户私用代理上网，但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网，甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的，无法有效区分正常上网的流量和通过代理服务器上网的员工流量。 对于如上情况，AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量，通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据，进而对用户的网络行为进行管控和记录。 1.2.

3文件传输控制

利用网络来进行文件传输是许多用户每天的必修课，而在文件传输过程中存在种种管理和安全隐患，如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。

AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用webmail收邮件而禁止发送邮件等。其中，仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失，单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型，即便存在修改、删除外发文件后缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护组织的信息资产安全。 1.2.4 邮件收发控制

Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件，对于将文件修改

后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。 1.3 带宽管理 1.3.

1流量可视化

AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息，直观了解当前网络运行状况。

此外，数据中心(Network Database Center，NDC)对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。 1.3.2 流量管理

当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。 1.3.2.1 多线路复用和智能选路

很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术，AC将出网流量自动匹配最佳出口。 1.3.2.2 基于应用/网站/文件类型的智能流量管理

AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。 1.3.2.3 多级父子通道嵌套技术

AC采用“基于队列的流控技术”，即建立管道，将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活，大通道中可以多层嵌套小管道，分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道，对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。

1.3.2.4 动态带宽分配

组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，AC支持带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还可以根据在线的用户数量将带宽动态分配给在线用户。 1.3.2.5 P2P的智能识别与灵活控制

通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。

对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难， AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 1.4 日志记录与报表分析

记录员工的网络工作效率、分析网络应用情况、提供管理依据等。 1.5 安全防护 1.5.

1终端安全

网络世界中安全事件数量急剧攀升，内网中断、不稳定将直接影响用户的上网行为，所以需要AC保证网关自身安全，并强化内网可靠性、可用性。 1.5.1.1 防火墙

AC内置基于状态检测技术的企业级防火墙，对进出组织的数据包提供过滤和控制。NAT(Network Address Translation)功能，代理内网员工上网和实现静态端口映射。 1.5.1.2 网关防病毒

AC的网关防病毒功能集成知名厂商的防病毒引擎(防病毒引擎每天自动升级)，从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包(zip，rar，gzip等)中的病毒。 1.5.1.3 终端安全级别检测

借助网络准入规则专利技术(专利号ZL200510037455.1)，AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等，不满足预设安全级别的终端将不允许访问互联网，从而提升整个内网的可靠性和可用性。

1.5.

2网络准入控制 近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：

深信服科技推出了轻量级NAC(网络准入控制)解决方案，只需在出口处部署一台硬件网关，通过向内网终端自动推送一个轻量级的客户端控件，即可实现对接入内网终端的网络准入控制和安全隔离，执行安全级别检查，限制非法外联线路，禁用USB拷贝功能。

1.5.3 危险插件恶意脚本过滤 非法网站假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等，当用户发现时，用户端已经被安装恶意插件，被强迫浏览黑客指定的网站，或者被利用攻击某个站点，终端信息已被外发，损失已造成。

究其根源，在于用户访问不可信的资源，如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤，防止不被信任的插件安装到内网机器当中，从而解决通过IE浏览器乱装控件的问题，起到保护内网安全的作用。还有形形色色的病毒、木马，而这些危害绝大部分都是危险脚本造成的。 AC通过对内网用户访问的网页脚本进行特征识别，在脚本下载到浏览器执行前进行拦截，从而起到保护内网安全的作用。 1.5.3.1 危险插件过滤

 能识别那些下载文件是会自动安装的插件，包括所有通过浏览器自动下载的文件。

 能根据插件白名单对插件进行过滤，内置常用安全插件列表供用户选择，还可以自定义白名单(支持插件名称、证书名称和域名)。

 能根据插件证书的合法性进行过滤，包括：检查插件签名是否过期，对插件签名进行证书链控制。

 能记录控件过滤日志，包括被过滤控件名称及被拒绝的原因，并能在数据中心查出来。

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。 1.5.3.2 恶意脚本过滤功能：

 可以过滤注册表的写操作;  可以过滤文件的写操作;  过滤危险对象和危险调用;

 能够实现二次提示，第一次出现时做拦截，第二次实现时给出提示。

1.5.4 异常流量控制

■ 异常流量感知 随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP 80、4

43、

25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容， AC的异常流量感知技术能够识别常用端口中的如上异常流量，并能够实时报警，帮助管理员掌控网络，防范风险。

2.AC产品的部署模式 2.1网关模式(路由模式)

AC以网关模式部署在组织网络中，所有流量都通过AC处理，实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。 2.2网桥模式

单网桥模式：以网桥模式部署在组织网络中，如同连接在出口网关和内网交换机之间的“智能网线”，实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。

多网桥模式：组织考虑到网络的稳定性、可靠性，往往采用双机、双线路构建基础网络。AC支持多路桥接模式，适应组织的多机网络环境要求。 2.3旁路模式

AC以旁路模式部署在组织网络中，与交换机镜像端口相连，实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生率。 2.4多机模式

根据我院现有的网络机构适合使用网桥模式：

第五篇：企业网络管理-----监控员工上网、控制上网行为

随着互联网技术的发展,企业网络的稳定、安全、畅通的重要性越来越突出。部署上网行为监控系统、网络管理软件(例如小草上网行为管理软路由已经是企业网管最普遍的做法,也是目前效果最好、见效最快的手段。

网络毕竟是一个虚拟的世界,这使得人们的网络行为也具有随意性、自主性等特征。虚拟的网络世界与现实世界是对等的,现实世界里有美与丑、善与恶,网络世界里同样也有美与丑、善与恶。因此,无论是从社会角度、从法律角度、从企业的利益角度,甚至从员工的切身利益角度,对互联网的控制和管理都是必然的。对于员工的上网行为,我们不能禁止,但合理的管理也是必要的。

所以上网行为管理系统,不是封堵了QQ、MSN、P2P下载,反而保证了员工可以使用他们,只不过,需要进行合理控制,这让员工与企业都成为双赢的局面。一方面,由于员工的上网行为会受到系统的全程监控,员工肯定会减少网络聊天的时间,不去访问不应该访问的网站,另一方面,员工能够确保良好的沟通方式,从而极大地提高工作效率和降低工作成本。仔细分析,我们会发现,上网行为监控系统并非是IE通讯工作、P2P应用的敌人,相反,是它们的合法保护者。

首先,上网行为监控系统就像公司的法规,它从法律的角度确定了IE通讯工作、P2P 应用的合法性,同时,它限制了员工的非法行为。事实上,并非所有的企业都需要行为管理系统。但是,对于很多单位,例如学校、保密单位、企业的核心研发部门,都会有行为管理系统的潜在需求。未来的市场将会无限开阔。

其次,专业的网管系统可以弥补企业管理制度的管理缺失。例如我们前面说的小草上网行为管理软路由,是专业的企业局域网软件。可以从技术手段,有效禁止BT软件、限制即时通讯聊天、封堵股票软件、禁止玩网络游戏、限制上网速度、屏蔽不良网站等;同时,还可以有效防御ARP攻击、防止ARP欺骗、抵御网络风暴攻击、防止冲击波攻击等危害局域网的病毒、黑客攻击。从而,一方面有效禁止侵蚀公司网络资源、影响员工工作效率的网络行为,另一方面保护了局域网的安全、

稳定和畅通,保证了企业各项业务的正常进行,保证网络资源充分、合理、高效利用。

解决企业局域网管理的问题,把网络的价值发挥到最大,建立良好的办公氛围,为企业获得更多的利益。