上网行为管理解决方案

上网行为管理解决方案一．上网行为管理产品产生的背景在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：1.与工作无关的P2P和在线视频等应用占用带宽2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。3.员工随意在网络上发帖和传输文件导致机密泄露4.员工上网容易受到病毒、木马和蠕虫等攻击和感染5.员工通过网络从事一些黄赌毒等违法活动6.员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题，上网行为管理产品应运而生。二．上网行为管理产品给用户带来的价值上网行为管理产品带来了全面的互联网行为管理解决方案。在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值：1．应用控制和URL过滤：企业或者组织接入互联网的带宽一般非常有限。当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。2．流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。3．web内容过滤：Web内容过滤可以对HTTP协议传输的Web页面内容和附件以及对FTP协议外传的附件进行控制，可以控制的项目包括：按关键字过滤内网用户通过Web页面提交的文本（如BBS、论坛发帖），并控制提交文本内容的大小。通过文件大小和文件类型控制HTTP方式和FTP方式的文件外传。Web浏览关键字过滤：内网用户通过浏览器浏览Web页面时，按关键字过滤Web页面上的文本。4．上网行为审计：用户访问的网站，包括成功访问和意图访问但被阻断的网站，攻击防范、入侵防御和反病毒日志，上网时长和上网流量日志，同时支持审计某应用协议的上网时长和上网流量，通过HTTP协议外发的文本内容，通过HTTP、FTP和邮件进行文件收发的日志，用户使用搜索引擎搜索过的关键字，邮件收发日志等审计内容。除以上功能外华为产品还支持恶意流量检测，基于特征码的病毒检测等功能。其他厂家产品及功能：除华为产品之外，还有深信服，网康，飞鱼星等厂家的产品，主要包括以下功能：网络流量管理，P2P软件的控制，拦截不良网页，文件传输控制，IM（即时通讯）软件的管理，应用控制，上网时间管理，外发信息控制等。三．上网行为管理产品部署方式：1．网桥模式（二层模式）适用场景：企业具有出口网关，不希望改动现有网络环境。2．网关模式（三层模式）适用场景：企业没有出口网关，需要使用ASG做出口网关。3．旁路模式适用场景：旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到上网行为管理设备，从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。四．上网行为管理功能列表：下面功能列表以华为产品为例：五．应用举例政府信息中心上网行为管理；政府机关网络一般包括政务外网和政务内网，电子政务规划要求下属单位需要通过政府信息中心的互联网出口统一上网，但是也存在个别下属单位由于特殊原因拥有自己的互联网出口。政务内网跟互联网物理隔离，政务外网是办公人员跟外面进行信息交流的通道，也是政务公开和网上办事的窗口。在有独立互联网出口的总部和分支机构分别部署ASG设备，通过ASGManager对ASG设备进行集中统一管理。通过划分上网权限、管理出口带宽、管控法律风险、全面网络行为审计，有效降低互联网风险、满足法律法规要求。组网图：该应用场景主要实现如下目的：1．管理出口带宽基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。2．管控上网权限根据不同部门/用户（单位）分配不同的互联网资源访问权限。3．管控法律风险过滤浏览的不良网站和非法网站（反动、色情、暴力、博彩等），过滤发布非法言论。4．审计和监督记录网络访问行为。5．威胁过滤过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全上网。六．硬件设备以华为产品为例七．实施周期根据已经实施过的华为工程（大唐国际和高压开关厂），测算一台ASG设备大概1周/人可实施完毕。运维部-李红光2015年1月6日