上网行为管理解决方案完整篇

上网行为管理解决方案上网行为管理解决方案 1 1 上网行为管理解决方案 一．上网行为管理产品产生的背景 在 Internet 飞速发展的今天，网络已成为企业的重要生产工 具，员工通过网络可以查找资料、沟通交流和从事电子商务等， 但是相应的多种问题伴随而生，例如： 1.与工作无关的 P2P 和在线视频等应用占用带宽 2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动 影响工作效率。 3.员工随意在网络上发帖和传输文件导致机密泄露 4.员工上网容易受到病毒、木马和蠕虫等攻击和感染 5.员工通过网络从事一些黄赌毒等违法活动 6.员工浏览和发布不良言论导致企业面临法律风险 为解决以上一系列的问题，上网行为管理产品应运而生。 二．上网行为管理产品给用户带来的价值 上网行为管理产品带来了全面的互联网行为管理解决方案。 在此，我们以华为的ASG2000 系列产品为例，从URL 过滤、应 用行为控制、流量管理、web 内容过滤、上网行为审计等几个方 面阐述行为管理产品为用户带来的价值： 1．应用控制和 URL 过滤：企业或者组织接入互联网的带宽 一般非常有限。当这个有限的带宽充斥了大量的无关应用（如在 线游戏、P2P 和在线视频）的时候，一些重要应用将受到挤压， 基本带宽得不到保证，使得网络对于工作和重要业务不再可用。 该应用通过应用层数据识别， 对数据流中的应用层数据进行内容 检测。通过对解析的数据包，使用应用特征库中的规则，对应用 数据进行匹配，识别出在线游戏、P2P 和在线视频等多种类型的 网络数据流量， 然后根据用户对该类应用配置的动作允许还是阻 断数据包。 URL 过滤在企业中是非常重要的功能，员工随意不 受控地访问非法网站， 不仅严重影响工作效率而且威胁企业网络 安全。URL 过滤对用户的 URL 请求进行访问控制，允许或禁止 用户访问某些网络资源，可以达到规范上网行为的目的。2．流 量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、 在线网页视频和 P2P 视频等带宽滥用的应用进行限速， 确保正常 业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽 保证措施，保证关键应用对外提供服务的带宽、保证内部重要人 员的上网带宽。3．web 内容过滤：Web 内容过滤可以对 HTTP 协议传输的 Web 页面内容和附件以及对 FTP 协议外传的附件进 行控制，可以控制的项目包括：按关键字过滤内网用户通过 Web 页面提交的文本（如 BBS、论坛发帖） ，并控制提交文本内容的 大小。通过文件大小和文件类型控制 HTTP 方式和 FTP 方式的文件外传。 Web浏览关键字过滤：内网 用户通过浏览器浏览 Web页面时，按关键字过滤 Web页面上的 文本。 4．上网行为审计：用户访问的网站，包括成功访问和意图 访问但被阻断的网站，攻击防范、入侵防御和反病毒日志，上网 时长和上网流量日志， 同时支持审计某应用协议的上网时长和上 网流量，通过HTTP 协议外发的文本内容，通过HTTP、FTP 和 邮件进行文件收发的日志，用户使用搜索引擎搜索过的关键字， 邮件收发日志等审计内容。 除以上功能外华为产品还支持恶意流量检测， 基于特征码的 病毒检测等功能。 其他厂家产品及功能： 除华为产品之外， 还有深信服， 网康， 飞鱼星等厂家的产品，主要包括以下功能：网络流量管理，P2P 软件的控制，拦截不良网页，文件传输控制， IM（即时通讯） 软件的管理，应用控制，上网时间管理，外发信息控制等。 三．上网行为管理产品部署方式： 1．网桥模式（二层模式） 2．网关模式（三层模式） 3．旁路模式 适用场景：旁路模式通过交换机或 HUB 的流量镜像功能把 用户的上网数据镜像到上网行为管理设备， 从而实现对上网行为 的审计。旁路组网时即使 ASG 发生故障也不会影响网络业务。 四．上网行为管理功能列表： 下面功能列表以华为产品为例： 上网行为管理解决方案上网行为管理解决方案 1 1 第第 2 2 页页 五．应用举例 政府信息中心上网行为管理； 政府机关网络一般包括政务外 网和政务内网， 电子政务规划要求下属单位需要通过政府信息中 心的互联网出口统一上网， 但是也存在个别下属单位由于特殊原 因拥有自己的互联网出口。政务内网跟互联网物理隔离，政务外 网是办公人员跟外面进行信息交流的通道， 也是政务公开和网上 办事的窗口。在有独立互联网出口的总部和分支机构分别部署 ASG 设备，通过 ASG Manager 对 ASG 设备进行集中统一管理。 通过划分上网权限、管理出口带宽、管控法律风险、全面网络行 为审计，有效降低互联网风险、满足法律法规要求。 组网图： 该应用场景主要实现如下目的： 1．管理出口带宽 基于时间段、部门/用户和应用/应用类型，对网络游戏、在 线网页视频和 P2P 视频等带宽滥用的应用进行限速， 确保正常业 务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保 证措施，保证关键应用对外提供服务的带宽、保证内部重要人员 的上网带宽。 2．管控上网权限 根据不同部门/用户（单位）分配不同的互联网资源访问权 限。3．管控法律风险 过滤浏览的不良网站和非法网站（反动、色情、暴力、博彩 等） ，过滤发布非法言论。 4．审计和监督 记录网络访问行为。 5．威胁过滤 过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全 上网。六．硬件设备 以华为产品为例 七．实施周期 根据已经实施过的华为工程（大唐国际和高压开关厂） ，测 算一台 ASG 设备大概 1 周/人可实施完毕。 运维部-李红光 2015 年 1 月 6 日