第一篇:迅博peplink上网行为管理说明书
迅博PEPLINK系列上网行为管理
目录
一、互联网带来的挑战............................................................................2
二、上网行为管理的价值........................................................................3
1、综合性的流量控制技术,保障关键业务应用,解决网络拥塞...................3
2、多种网络控制手段,黑名单、白名单、时间段、用户分类相结合...........3
3、强大的网络记录及审计功能,高层次的网络安全管理方式.......................4
4、组合式控制技术,分部门、分用户管理,多安全策略控制.......................4
5、智能向导技术,策略全自动生成,最易使用的上网行为管理产品...........4
三、PEPLINK产品功能..........................................................................4
四、快速使用指南....................................................................................5
五、详细配置说明....................................................................................6
(一)准备工作.....................................................................................................6(二)网络基本设置.............................................................................................7
(三)上网行为管理—透明桥防火墙模式.......................................................10
(四)上网行为管理—群组管理.......................................................................11
(五)上网行为管理—黑名单和白名单管理...................................................11
(六)上网行为管理—智能流控.......................................................................14
(七)上网行为管理—流量控制和流量优化功能...........................................19
(八)PPPOE 服务器.........................................................................................25
(九)上网行为管理—上网记录和审计功能...................................................25
(十)基本信息—连接分布排序.......................................................................32
(十一)高级防火墙...........................................................................................33
(十二)转发规则及动态域名设置...................................................................36
(十三)系统管理功能.......................................................................................37
(十四)硬件初始化(恢复默认配置)...........................................................38
五、迅博上网行为管理部署方式..........................................................38
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
一、互联网带来的挑战
随着互联网的普及,互联网接入越来越方便,改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制,给组织带来更多的安全威胁。但是,如何管理控制网络却越来越复杂,具体问题表现为:
员工在上班时间到底在上哪些网站?如何减少P2P等与工作无关的上网行为? 为什么接入互联网的带宽老是拥塞?如何进行管理控制?
如何确保商务性邮件的畅通,如何对内部收发的邮件进行记录和审计? 即时通讯软件方便了沟通,但也容易降低工作效率,如何进行管控? 出现不法言论和互联网违规事件后,如何锁定责任人?
如何对上网的流量信息、上网信息进行分析汇总?以更有效的对上网行为进行控制。
据美国CSI/FBI的调查结果显示,政府、企业等机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。而据中国公安部最新统计,70%的泄密犯罪来自于机构内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题,已经成为组织管理者和信息技术部门的首要问题之一。但内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂,借助组织现有的防火墙等传统网络安全设备,基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足上网行为管理的具体要求。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
二、上网行为管理的价值
PEPLINK上网行为管理/流量控制路由器是迅博公司开发的安全系列产品,专门为中小型企业用户以及大型企业和行业用户完成高级网络管理功能,可以帮助组织实现完善的上网行为管理、行为审计和内网安全保障等,并达到如下效果: 优化网络带宽资源,解决网络拥塞问题 规范上网行为,提高员工工作效率 监控网络活动,保障网络的安全性
PEPLINK系列产品采用多种专利技术实现上述功能,具体包括:
1、综合性的流量控制技术,保障关键业务应用,解决网络拥塞
PEPLINK支持流量优先级分类功能,用户可以根据源IP地址、目的IP地址、源端口、目的端口以及网络应用类型进行优先级设置,在网络带宽紧张的情况下优先保证关键业务运行,例如对ERP、VOIP、VPN、商务邮件等设置高优先级,而在带宽资源充足的情况下,非关键应用又可以获得充分的带宽。通过网络优先级分类,用户还可以限制P2P应用,通过简单设置,还可以彻底禁止无关的P2P应用。
除了对网络应用进行优先级分类,PEPLINK系列产品还可以对个别IP进行下载带宽和上传带宽限制;还可以对用户进行流量限额设置,例如,可以设置某些用户一天最多使用200M的网络流量限额,如果超过此流量,则该用户无法上网。
PEPLINK系列产品支持对上述流控技术混合使用,不同用户可以采用不同流量控制方法,不同网络应用,可以按优先级进行控制,从而在系统上优化网络带宽资源,彻底解决网络拥塞问题。
2、多种网络控制手段,黑名单、白名单、时间段、用户分类相结合
PEPLINK系列产品支持黑名单、白名单功能,可以对用户进行分类管理和控制,所有的安全策略都可以按时间段进行设置。其中黑名单可以禁止网络视频、网络下载、网络游戏、社交网站等应用,同时可以禁止常用的IM软件,如QQ、MSN、YAHOO通、SKYPE等应用,同时可以彻底禁止迅雷下载,彻底禁止QQ旋风、FLASHGET、PPLIVE等P2P下载软件。通过高级黑名单技术,可以轻松禁止股票软件、大型游戏软件等的使用。
上述网络控制功能,PEPLINK可以组合式使用,例如可以通过MAC地址、IP地址段、IP地址对用户进行组合管理,可以对分类用户按时间段对多种网络控制进行组合。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
PEPLINK还支持强大的白名单功能,包括网址白名单、IP白名单以及端口白名单等功能,例如可以允许部分MAC或IP地址段用户只能访问几个或几十个网站,其他的全部禁止。
3、强大的网络记录及审计功能,高层次的网络安全管理方式
PEPLINK系列产品支持邮件记录、WEB记录、IM聊天记录等功能,可以针对不同用户采用不同的记录策略,同时全系列产品支持数据库存储功能,支持大容量数据存储,所记录的网络访问记录,可以跨年度存储和查询,方便责任认定及网络审计。
4、组合式控制技术,分部门、分用户管理,多安全策略控制
网络管理是系统性工程,不仅需要封堵,也需要放开,不仅需要限制带宽,也需要优化,不仅需要网络记录,更需要方便审计。PEPLINK采用组合式控制技术,控制对象即可以分部门,又可以分IP地址段,又可以按MAC地址控制,既可以按时间段控制,又可以按某日、某天控制。对于控制目标,黑名单、白名单、流量保障、流量限额、流量限速也可以混合组合,实现同一控制对象,可以采用多安全策略,同一安全策略可以针对多个控制对象的功能。
5、智能向导技术,策略全自动生成,最易使用的上网行为管理产品
对大多数中小型企业来说,网络管理需求越来越复杂,上网行为管理产品的功能越来越系统,往往使上网行为管理产品难以发挥应用的效能,而依赖网管水平的实施。
PEPLINK系列产品支持智能向导技术,用户可以选择主要的几种管理模式,例如:以流量控制为主的管理模式,以黑名单为主的管理模式,以白名单为主的管理模式等等,用户只要填写简单的参数,即可针对黑名单用户、普通用户、特权用户生成相应的安全策略,即使没有专业网络管理人员,中小企业用户依然可以有效的对网络进行管理。
三、PEPLINK产品功能
Peplink上网行为管理功能
基本路由功能 ADSL/静态IP/DHCP
双线上网
策略路由
静态路由设置
√ √ √ √
PPPOEhi服务器 PPPOE帐号管理
在线用户查看
PPPOE用户控制
行为管理
√ √ √
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
透明桥防火墙模式 分时间段控制上网 √ NAT及SNAT模式 多公共IP支持 IP/MAC绑定 流量及优先级控制 IP限速 连接数限制 IP流量额度限制
按IP、端口及应用设置优先级 智能流控 大流量下载限制 流量优先级限制 单IP发包限制 网站邮件优先策略 自定义应用优先策略 记录与审计功能 WEB 记录 网站TOP10功能 按时间段统计访问网站 按点击量统计访问网站 按IP地址统计访问网站 邮件标题内容记录 邮件附件记录
邮件内容还原邮件拦截 IM记录 流量TOP10功能 按IP统计下载上传流量 支持远程数据库存储 自带硬盘存储 部署方式 透明模式 网关模式 旁路模式
√ √ √
√ √ √ √ √ √ √ √ √ √
√ √ √ √ √ √ √ √
√
√ √ √ √
√ √ √
按群组控制上网
按IP地址端和MAC地址控制上网 按PPPOE帐号控制上网 股票软件控制 视频软件控制 下载软件控制 P2P软件控制 IM软件控制 自定义网页过滤 黑名单设置 白名单设置 高级黑名单设置 防火墙功能 端口/IP/协议控制 禁止IP上网 禁止MAC地址上网 DMZ功能 防DDOS攻击 防SYN攻击 ARP病毒防护 多区域管理 多策略管理 多规则管理 多网段功能 管理功能 WEB界面配置 远程管理
在线PPPOE用户查询 日志查看 流量统计 连接分布查询 流量分布查询
支持EPN全网管理节点功能
√ √ √ √ √ √ √ √ √ √ √ √ √
√ √ √ √ √ √ √ √ √ √ √
√ √ √ √ √ √ √ √
四、快速使用指南
1、PEPLINK系列产品的默认IP地址为192.168.10.1,在配置以前,将电脑网卡和设备LAN口相连接,手工设置电脑网卡地址或自动获取IP地址即可。
2、在浏览器中输入http://192.168.10.1 输入用户名称admin和密码admin,即可进入WEB配置界面。
3、进行基本网络设置,进“外网线路1”菜单,选择外网接入方式,保存后即迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
可接入互联网,电脑应该可以打开网页。
4、配置黑名单,可以根据需要,对特定时间段、特定IP地址段、特定IP地址及特定MAC限制网络下载、网络视频、网络游戏以及QQ、QQ游戏、QQ代理、MSN、迅雷、社交网站(如开心网种菜)等应用。
5、配置高级黑名单,可以根据需要,对特定时间段、特定IP地址段、特定IP地址及特定MAC限制所有互联网应用,只打开浏览网页,收发邮件,使用MSN、QQ等功能,彻底禁止股票、游戏、BT等P2P软件。普通黑名单和高级黑名单可以结合使用,因为只用高级黑名单没法封锁迅雷和网页视频。
6、设置流量优先级,填写上行带宽,一般填写理论值的85%即可,对ADSL用户来说,一般为512K,则可以填写430kbit,下行带宽根据实际情况填写。根据情况调整最低优先级的上行带宽,如果机器数比较多,建议上行带宽最高设置为20%,默认情况下设置为10%,这样可以有效禁止P2P应用。下行带宽不需要设置最高比例。
7、设置流量额度,根据需要,可以设置某些IP每天下载流量和上传流量,这样可以简化网络管理。通过设置其他默认每个IP的每天流量限额,可以查看每个IP的流量统计信息。
8、设置流量限速,根据需要,可以限制个别IP的下载速度,如设置为100kbit/s,同时可以限制该IP的TCP连接数和UDP频率,这样可以限制个别IP的P2P应用。
9、其他高级功能,如虚拟服务,3322的动态域名等,可以在相应菜单中进行设置。
10、设备WEB端口号为双端口,默认本地端口为80,远程访问端口为10000,因为电信运营商普遍封锁80端口的远程访问,所以远程访问端口默认用10000,如果启用防火墙,本地也要使用远程端口访问设备,如 http://192.168.10.1:10000,也可修改为8080 端口,这样就可以远程通过动态域名维护设备了。
五、详细配置说明
(一)准备工作
将电脑网卡手工设置192.168.10.X,或者设置为自动获取IP状态,然后将网线与PEPLINK设备的LAN口相连,在IE浏览器中输入: http://192.168.10.1,会提示输入用户名称和密码,默认都是admin,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
输入用户名称和密码后,会显示系统信息,包括版本号,硬件ID,外网信息以及内网信息,如下图所示。
(二)网络基本设置
PEPLINK系列产品支持双线互联网接入,如两条ADSL接入到互联网中,同时支持负载均衡功能,支持高级策略路由功能,可以根据源IP、端口号、目的IP、目的端口号选路,同时支持电信网通选路功能。下面是具体的配置方式:
1、单线接入
外网线路1中选择上网方式,如果是专线用户选择静态IP方式,ADSL用户选择PPPOE拨号方式。如下图所示。输入配置信息后(由运营商提供),点保存,大约10秒多后,配置即可生效。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
2、双线接入
如果需要双线接入,把第2条线路,接到LAN1口,然后进入“外网线路2”菜单,首次选择时线路2为线路禁用状态,选择选择上网方式并且输入配置信息后,再保存,设备会重新启动,请等待大约60秒左右时间,再进入。具体见如下配置示意图:
如果是双线接入,则可以设置高级策略路由,例如可以指定某台电脑后VOIP设备只经过线路1上网,WEB、EMAIL通过线路2上网,P2P等软件通过线路1上网等。同时可以指定线路1和线路2的负载均衡比例,默认是1:1。同时对网通和电信双接入的用户来说,可以批量增加网通和电信路由表,可以实现电信、网通自动选路功能。网通和电信路由表每年都会有稍许变动,可以向代理商或厂家索取,批量加入即可。下面是配置示意图:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
3、内网设置
PEPLINK的默认IP为192.168.10.1,并且开启了DHCP服务功能,您可以对它进行修改,如改变内网网段,关闭DHCP功能等。具体如下图。注意:如果改变了内网IP,则您电脑网卡需要重新设置,或者重新获取IP。
4、VLAN多网段模式
PEPLINK支持VLAN多网段功能,默认是单网段模式,选择多网段模式后,保存,设备会重启。多网段默认的地址是192.168.11.1,192.168.12.1,192.168.13.1,并且开启了DHCP服务器功能,用户可以自己修改接口IP地址。可以对不同网段设置上网行为管理权限,在黑名单或者白名单中选择相应的网段即可,不同网段之间物理隔离不能互相访问。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
(三)上网行为管理—透明桥防火墙模式
透明桥防火墙模式可以不改变网络结构,电脑也无需改变网络配置,客户感觉不出上网行为管理设备的存在,但上网行为管理设备可以控制、管理和记录上网行为,一般情况下,交换机接上网行为管理设备的内网口,而上网行为管理设备的外网口接已有的防火墙或路由后面,然后将设备设置一个和内网同网段的IP地址,然后再设置网关、DNS即可。
如上图所示,上网行为管理的IP地址为192.168.10.2 和前面的路由器IP地址迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
192.168.10.1同一个网段,网关指向前面路由器,静态DNS可以填写当地电信提供的公网DNS。
(四)上网行为管理—群组管理
一个网络可以划分为多个群组,每个群组包括具体的IP地址或IP地址段,在策略管理中可以对群组对象进行控制,每个群组可以包含多个IP,或者多个IP地址范围,例如192.168.10.5-192.168.10.100。
例如:公司有财务,市场和销售三个部门,将它们划分为三个分组进行管理,如图:
在群组对象中分别对这三个部门的IP地址进行定义,如下:
迅博PEPLINK系列产品支持动态防火墙功能,通过在上网行为管理策略中对群组进行控制,可以实现动态防火墙的功能,如果把某些IP从群组中删除或增加,不需要改变策略即可使防火墙生效。
(五)上网行为管理—黑名单和白名单管理
对于很多中小型企业来说,黑、白名单相结合即可有效对网络管理。在管理前,首先要对用户分类,例如对大多数企业来说至少可以分三类用户: 黑名单用户:彻底禁止访问互联网应用,仅可以访问局域网内的数据库和应用服务器。 普通用户: 可以访问部分网络资源,如浏览网页、收发邮件、使用QQ,但禁止P2P下载,禁止网页视频,以保证带宽资源。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
特权用户:可以访问任何网络资源,通常为企业高级管理人员使用。
此外,对某些企业来说,上述分类还不够,还可以增加另一类用户:白名单用户。特点是:
白名单用户:只允许访问行业相关的几个或几十个网站,允许QQ应用,其他全部禁止。
划分用户类别后,可以通过对这些用户的MAC地址进行管理,也可以IP/MAC绑定方式,通常情况下,MAC地址即可。同时,此类用户的访问权限可以设置时间段功能,即只在特定时间段才能访问互联网资源。下面是具体的配置示意图:
黑名单用户:
白名单用户:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
普通用户:
普通用户同时需要设置高级黑名单:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
特权用户:特权用户不需要特殊处理,默认可以访问所有互联网资源。
同时黑名单和白名单应用可以和时间段结合,设置生效时间段。
此外,用户还可以根据具体情况做特殊设置,例如彻底封锁网络视频、网络游戏、迅雷下载等,禁止MSN、QQ聊天、QQ游戏等。
在使用白名单时,通常要通过黑名单禁止所有应用或很多应用,然后对某些IP打开例外,最常用的白名单使用方式是,对这些用户禁止所有互联网应用,然后再打开个别网站、个别端口或者个别公共IP。
注意:如果采用透明桥防火墙模式,在普通黑名单中,禁止所有互联网应用以后,需要在端口白名单打开53,67,68,否则会影响局域网内电脑DHCP和域名解析。
(六)上网行为管理—智能流控
智能流控首先要定义流控策略,然后设置最大下载带宽和默认优先级策略;每个策略都可以设置最大带宽和最小带宽,然后再定义流量规则。可以查看每种流量策略的带宽使用情况。
选用智能流控功能,首先要搞清楚网络接入的最大下载带宽和最大上传带宽。如果接入线路是ADSL,则上行带宽是512Kbit,下行为2M、4M或8M等,如果是光纤专线,则上行带宽和下载带宽是一样的,上行带宽至少是2M、4M或10M。注意下载总带宽和上行总带宽一定要输入正确,否则会严重影响网络速度。下面以某客户2M ADSL预留VPN带宽为例说明配置方式,因为对ADSL用户来说,上行带宽只有512Kbit,是VPN的应用瓶径,如果网络内的电脑有迅雷、电驴下载或者PPLIVE、PPS等视频应用,则VPN通讯会受到严重影响。这时,可以设置智能流控模块,给VPN预留带宽。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
具体配置见如下步骤:
1)设置基本下行带宽和上传带宽 最大下载带宽设置(以2M ADSL为例):
最大上行带宽设置(以2M ADSL为例,上行带宽只有512kbit,实际设置可以稍少一些):
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
2)增加VPN上行带宽保障策略
对ADSL用户来说,VPN的应用主要使用上行带宽,此外上行带宽远小于下载带宽,因此只需要保障VPN的上行带宽就可以了。首先在上传QoS中增加VPN策略,假设给VPN预留最小400K的带宽,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
3)定义VPN带宽规则,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
增加VPN规则后,如下图显示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
(七)上网行为管理—流量控制和流量优化功能
对于机器数稍多的用户来说,流量控制和流量优化就非常重要,此外,像迅雷这样的下载软件占用的是高优先级的流量(HTTP协议),PEPLINK支持多种流量控制技术,来解决网络拥塞和带宽优化问题,具体包括如下技术:
1、通过网络优先级分类进行流量控制
基本功能概述
通过使用优先级技术,可以实现如下功能:
可以对某些特权用户设置为高优先级,使这些用户始终保持网络流畅; 保障关键业务应用,如保证商务邮件不会因为网络拥塞而发不出去; 保障某些对带宽延迟敏感的网络应用,如VOIP电话; 保证VPN应用的带宽资源,不至于被P2P挤占带宽;
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
通过设置,限制或禁止P2P应用。
优先级设置
通常情况下,一般企业要优先DNS解析协议,如果有VOIP应用,也要设置为高优先级;
此外,WEB页面也要设置为高优先级,这是大多数企业最常用的应用,为了达到好的控制效果,建议将某些用户的迅雷下载权限禁止,因为迅雷可使用HTTP协议下载。
对于邮件应用,由于发邮件使用上行带宽比较多,建议采用中优先级。其他默认情况,可以使用低优先级,而P2P应用端口一般为1024:65535,则设置为最低优先级。
此外,还可以对特权用户设置为高优先级,只要在只要输入这些用户的源IP地址即可。
具体配置参见下图:
带宽限制
设置好应用优先级后,需要设置各优先级的带宽限制,通常情况下,只需要设置上行带宽就可以对流量进行优先级分类,对于高优先级和最高优先级,最高上行带宽都设置为100%,对于中优先级最大上行带宽建议设置为80%,对于低优先级,建议最大上行带宽设置为50%,对于最低优先级,建议最高上行带宽设置为10%,如果设置为5%,则基本可以禁止任何P2P应用,如PPLIVE、EMULE、BT等。
优先级的带宽定义,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
流量分布查看
对于网管人员来说可以根据流量分布图,对流量优先级进行适当调整,如下图所示:
注意的问题1:
对于上行带宽,可以通过运营商了解,一般情况下ADSL上行带宽都是512kbit/s,而专线用户比较复杂,一般是2Mbit/s一下,也可以自己实际测试一下(某些测速网站)。在设置最大上行带宽时,不要设置理论最大上行带宽,迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
而要设置的比最大上行带宽小,一般设置为85%即可,例如,ADSL的理论上行带宽为512kbit/s,则配置时请输入512*85% = 435kbit,把最大上行带宽输入430kbit/s即可,如下图所示:
此外,如果用户电脑较多,可以适当将最低优先级的带宽限制上调,也可以增加自定义级别,对优先级进行更细致的调整。注意的问题2:
优先级规则有顺序之分,例如将目的端口1024:65535定义为最低优先级,如果要将8080设置为高优先级,那么对8080的规则定义必须放在1024:65535前面,否则8080会成为最低优先级。由此可见,优先级规则采用的是最先匹配优先的原则。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
2、通过流量额度进行流量控制
流量限额是流量控制的最简单方法,对很多中小企业来说,通过封锁、控制等安全策略固然可以解决网络管理问题,但流量限额是更简单的方法,可以达到对网络管理进行无为而治的效果。通过对不同用户的每天下载和上传总流量进行限制,可以使用户自觉限制对非工作相关网站的访问,自觉限制对P2P软件的滥用。下面是具体的设置方法示意图:
上图中,对某些IP带宽流量超过2M后就进行限速,并且限速是在特定时间段进行(如上班时间),当然也可以将流量设置为500M或更多后再限速。网管人员还可以查看每个用户的累计下载流量和累计上传流量,以方便用户管理,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
3、通过流量限速进行流量控制
除了流量优先级和流量限额,还可以对个别用户的下载速度和上传速度进行限制,同时限制TCP和UDP连接数,从而控制个别用户对网络带宽的滥用。注意:不适合对整个局域网的机器进行网络限速,这样容易浪费带宽,同时难以发挥带宽效率。下面是具体设置方法示意图:
此外在做IP限速前,可以对IP/MAC地址进行绑定,以标志用户合法身份,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
(八)PPPOE 服务器
PPPOE服务器模式适合于小区、写字楼、酒店、学校等网络环境,给局域网的电脑分配用户名和密码,每个用户只有通过认证后,才能上网,对用户可以进行分类管理,如受限用户、普通用户和高级用户等,受限用户可以设置只访问部分网站,普通用户关掉BT等P2P下载,高级用户不限制。
PPPOE服务器用户管理:输入的用户名称、密码供PPPOE拨号客户端使用,其中不同用户的虚拟IP不能重复,并且要和PPPOE服务器的虚拟IP在同一网段。DNS为设备的内网IP,也可以是公共的DNS IP地址。
PPPOE客户端即插即用,客户端电脑的网卡可以设置任何IP并且不需要设置网关和DNS,都可以拨入到PEPLINK网关接入到互联网。彻底杜绝ARP病毒,保证内网安全。
(九)上网行为管理—上网记录和审计功能
PEPLINK支持网站监控、邮件监控及IM聊天记录功能(个别版本支持,需客户端支持),可以灵活设置记录对象,同时支持大容量数据存储,支持大型数据库远程存储。
其中,WEB访问记录可以详细记录每个IP的HTTP连接,可以查看连接内容,可以按照时间、IP地址、机器名、HTTP类型、URL关键字等组合条件,查询WEB记录,可以从数据库中查询历史记录,从缓存中查询缓存记录,可以将查询结果导出到文件。
邮件记录可以支持邮件标题、内容及附件的完整记录,支持邮件拦截功能,可以对某些关键字的邮件或者特定大小的附件进行拦截。
WEB访问报表分析功能对大量的数据进行分析汇总,可以对特定时间段、特定IP、网站、机器名称的访问记录生成报告,报告格式可以自由选择,例如可以生成IP点击量排序报告,生成按网站的点击次数的访问报告,以及按天、周、月生成访问量走势报告等。同时,可以将报告输出到文件中去。
此外,PEPLINK系列的产品上网记录符合公安部82号文件的规定,可以支迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
持6个月以上的访问记录存储要求,并且可以对历史上网记录进行组合条件查询,查询结果可以导入到文件中,文件可以用WORD或EXCEL打开。下面是配置示意图: 1.网站监控
参数设置示意图-设置记录对象和WEB访问缓冲行数
上网记录支持免记录功能,即某些电脑的上网情况可以不被记录,具体见上图红色标注。
SQL数据库配置示意图:
上图中,数据库可以存放到局域网任何一台机器中,也可以存放到远程服务器,可以使用PEPLINK系列自带的VPN功能进行连接,或者使用加密功能连接到托管的公共服务器中。
数据库通过MYSQL创建,PEPLINK支持任意版本的MYSQL数据库,可以存放到迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
LINUX、UNIX或WINDOWS机器;数据库创建很简单,具体的说明请参考光盘附带文档。
配置保存后,可以测试一下数据库连接,如果连接正确,则会出现如下界面提示:
历史记录查询——从数据库中查询示意图 设置查询日期从2010年2月1日到2010年2月21日
查询结果导出到文件peplink_web.record 如下图所示
缓冲查询-从缓存中查询示意图:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
分析报告
首先设置分析条件:日期从2010年2月1日到2010年2月21日,然后,选择分析报表类型,按IP地址分析、机器名分析、访问网站分析等,如下图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
选择分析报表类型-按IP地址分析
选择分析报表类型-按访问网站分析
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
通过上面的两个TOP10报表,可以直观的看出访问量大的前10个网站,访问量大的前10个用户IP,一般情况下,同样部门访问量越大,与工作无关性越大。2.邮件监控
参数设置示意图-设置记录对象和邮件拦截条件
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com 迅博PEPLINK系列上网行为管理
记录对象设置同WEB记录设置相同,拦截条件是设置拦截邮件的大小,超过限制大小的邮件将被拦截。 邮件访问记录
邮件查询客户端
邮件查询客户端是用来查询邮件记录信息的软件。将软件拷到C.D.E.F等硬盘中(严禁放到桌面)。双击图标打开客户端,默认密码123456。
配置数据库
首先在高级设置中——配置数据库。方法和WEB记录配置方法相同,如图所示:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
查询详细邮件记录
保存生效后在基本查询——重新查询中查看邮件记录,双击需要查看详细内容的邮件,即可打开邮件内容及附件信息。
(十)基本信息—连接分布排序
连接分布排序
连接分布排序表可以查看IP实时的TCP/UDP连接数,可以根据这些数据调整流量控制策略,下图是实时TCP/UDP连接分布
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
(十一)高级防火墙
如果机器数比较少,可以不启用专业防火墙功能。如果机器数超过20台,建议您采用专业防火墙功能。
为了简化防火墙配置,建议使用自动生成安全策略方式。如下图所示:
防火墙基本的安全策略分为四个级别,当然,可以在四个级别上进一步的修改策略和规则。其中,低级为基本的安全策略,重点防止来自外网的攻击行为,对于迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
静态公共IP来说,这种攻击尤为常见;中级安全策略除了外网安全保护外,只允许内网进行WEB、邮件、MSN、QQ等访问,禁止BT应用,防止个别机器感染木马和病毒后在内网发起的大规模攻击,如果机器数目比较多,如50台以上,强烈建议采用中级防火墙,然后对个别高级别机器开放权限;高级安全策略适合特殊情况,只允许运行VPN通讯,禁止其他任何网络应用;
PEP5100、PEP6100、PEP8100应选择多网段模式,自动生成如下图所示:
选择防火墙安全级别后,可以对安全策略和规则进行修改:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
防火墙生成几个最基本的区域:
fw表示设备本身
lan表示内网区域,即局域网 net表示外网区域,即互联网
VPN表示远程分支机构或客户端机器
规则可以对上述区域的个别机器进行权限设置,其中源地址格式如下:lan:192.168.10.2或lan:192.168.10.2-192.168.10.11或lan:~00-11-22-11-ff-02格式。
如上图的规则设置:不允许lan中的MAC地址为00-11-22-11-ff-02的电脑访问互联网;lan1中的电脑可以访问网页;lan2中的电脑可以访问网页、邮件、QQ和MSN;允许lan1内的电脑访问lan2的服务器192.168.2.100。
上面的防火墙安全策略配置完成后,进入到“防火墙”-》“实时管理”菜单,编译防火墙,编译完成后即可生效。
如果想要防火墙在设备重新启动后自动启动,需要在系统管理-》参数设置中选择,如下图:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
(十二)转发规则及动态域名设置
虚拟服务:
动态DDNS设置:
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
DMZ设置:
(十三)系统管理功能
系统管理包括参数设置,如改变设备配置端口为10000,改变设备默认密码,升级后保存以前配置,允许远程WEB界面配置等。同时可以对配置文件进行保存。具体如下图:
可在系统参数设置中选择升级后保存以前配置,无需重新配置,实现无人值守升级。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
(十四)硬件初始化(恢复默认配置)
如果在使用过程中,选择了点掉PEPLINK系列产品的DHCP服务器功能,则PC机就无法获取IP地址,如果这时候忘记了产品的默认IP地址或者WEB密码,则需要使用硬件初始化功能恢复默认配置。PEPLINK系列产品的默认IP地址为192.168.10.1,WEB配置界面的默认用户名为admin,密码也为admin。硬件初始化的方法:在硬件通电的状态下,找一细铁丝(或圆珠笔芯)按住机箱电源插孔旁边的RESET按纽(或者FACTORY DEFAULTS),这时所有的网口指示灯全亮,一直按住保持不动,直到网口指示灯不亮时松开,1分钟后,硬件恢复为默认配置。这时需要您重新对硬件的上网方式和上网行为策略进行配置。
另外,一种型号没有RESET按钮,可以通过WAN口默认IP地址9.9.9.9进入,电脑通过网线连到WAN 口,将IP设置成与WAN口IP同一个网段,例如电脑IP设置为9.9.9.8 掩码255.255.255.0,通过http://9.9.9.9即可进入设备配置界面。可以通过系统管理-参数设置 恢复出厂设置并重启。
五、部署方式
迅博PEPLINK系列上网行为管理设备可提供多种部署方式,以适应不同组织机构的网络环境及需求。
部署模式
部署示意图
部署说明
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
将迅博产品作为路由器、防火墙等网关设备使用。优点 :
•可以将设备作为防火墙设备使用,网关模式
性价比高;
•可实现NAT地址转换等防火墙的功能;
•易于远程维护; •完全监控网络进出数据。
将迅博产品接在网络出口上,让网络数据透明穿过,网桥方式一般将设备接在交换机和网关设备之间。
网桥模式
优点 :
•安装不影响原有网络设备配置; •可通过Bypass方式实现网关故障时,不影响正常上网; •完全监控网络进出数据。
将迅博产品接在核心交换机镜像口上,或接在网络出口经过的HUB上。优点 :
•安装时不影响原有网络拓朴结构;
•设备配置简单;
旁路模式
•不影响数据传输性能; •设备故障不影响业务。缺点 :
•部分控制功能不能实现; •需要共享网络设备(如:HUB)或交换机端口镜像。
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
迅博PEPLINK系列上网行为管理
商标、版权声明
PEPLINK为青岛迅博信息技术有限公司注册商标。本手册和所有相关硬件、软件和文档版权保留。未经青岛迅博信息技术有限公司许可,不得任意仿制、拷贝、誊抄或转译。
本公司保留更改硬件、软件和文档而不另行通知的权利。
版权所有,不得翻印!
迅博科技
提升网络利用价值
免费咨询电话:400-708-9039
http://www.xiexiebang.com
第二篇:上网行为管理
1. 上网行为管理
目前市场主流厂商:深信服、网康 典型案例
2.1 提升内网业务操作效率——封堵非业务应用解决方案
方案背景:
日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。
以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。
上网行为管理解决方案——合理封堵非业务网络应用
随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。
方案价值:
1、全方位封堵p2p,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。
有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。
2、选择性内容过滤,方式灵活
除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。
同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。
3、差异化权限划分,构建和谐组织
对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。
2.2上网行为管理+SSL VPN防信息泄露解决方案
背景分析:
据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。
事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。
现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。
解决方案:
通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSL VPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。
产品部署拓扑图如下:
如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。
SSL VPN产品以旁路模式部署,企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。
方案价值:
上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。
上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。
SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。
2.3校园网上网行为管理+SSL VPN综合解决方案
校园网现状:
校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:
1、流量问题
因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。
2、网上言论
目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。
3、网络应用规范问题
不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。
4、校内资源使用问题
学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。
最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。
部署拓扑图:
上网行为管理+SSL VPN综合解决方案:
为此,选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网,让从公网访问校园网内资源成为可能。
1、网络行为审计
将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN 口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。
2、全面流量控制
对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。
3、提高师生网络应用效率
虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。
4、提供网络决策咨询
学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。
5、SSL VPN远程登录校园内网
将SSL VPN 采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。
2.4银行业上网行为管理解决方案
项目背景:
目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
存在问题:
随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。
解决方案:
针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。
功能及解决的问题:
1、内网用户上网权限的细致划分
针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
2.5电力行业上网行为管理解决方案
项目背景:
随着中国经济的进一步发展,整个经济对能源的需求越来越强烈,工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整,绿色电力的概念也逐步深入人心。正是基于这一背景,整个电力行业迎来了发展的黄金时期。
目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题,新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网,具体要求如下:
1.对公司内部员工进行流量控制,限制员工P2P下载,保证网络流量;
2.针对公司员工的上网行为轨迹进行记录,并支持报表分析;
3.对内部聊天软件进行控制,保证员工上班时间的工作效率;
4.对现有网络拓扑状况不进行改动,保证现有网络的稳定性;
解决方案:
采用网桥模式部署深信服上网行为管理设备,即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置,同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署,这种模式主要用于内网用户上网行为日志存储。
部署拓扑如下:
解决的问题:
1、网络应用封堵,提升办公效率
通过电厂网络出口的上网行为管理设备,通过IP/MAC、硬件特征码绑定等技术,对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控,人性化封堵,提升办公效率。
2、流量控制,优化网络带宽
电厂作为传统企业,其网络出口带宽有限,而相应的电力调度系统、OA办公等网络业务系统又较为完备,这必然带来了网络业务运用与网络带宽不足间的矛盾,而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。
针对于此,电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制,流量控制基于业务应用类型、用户组织权限等各种因素,细致全面地构建平稳流量内网。
3、行为日志记录与统计,保证信息安全
电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。
4、宏观网络应用分析,指导IT管控方向
电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等,并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表,如:内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项,为内网管控、进一步建设进行决策。
通过上网行为管理解决方案,增强了网络管控性,提高了电厂的竞争力。
第三篇:上网行为管理
上网行为管理的定义
帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析;
为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”----蒂姆•伯纳斯•李(互联网之父)
水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
问题1:网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!
根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌”越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!
无论如何豪华的防线,一个漏洞就可以毁灭所有一切。Meta Group发布研究报告称:“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!
据一项调查显示,普通企业员工每天的互联网访问活中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位。
IT系统追求的的是性价比,一位的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出? 编辑本段上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
上网行为管理产品对比
硬件与软件之分
从产品形态来看,目前上网行为管理分为硬件和软件2种,但是国内以硬件为主流,国外以软件为主流;
硬件的优势:部署简单、升级方便、故障率低
硬件的劣势:成本较高,运输不方便,维护复杂,维修需要专业认识,技术支持不到位
软件的优势:成本适当,维护简单、安装容易、升级快速,可以在公司随便找个机器部署.软件的劣势:对于国企和政府来说,没有一个东西不放心,所以国内政府偏硬件,企业偏软件。
以上对比,并不是绝对的说法。目前的软硬件结合模式越来越多。包括加入准入模式、VPN的上网行为管理,基于客户端的内网管理模式和文档管理模式,为的是内外兼修,从各种方向去弥补单一产品的不足。企业应该根据自身的应用需求,去选择自己需要而合理的方案。如果只是追求单一产品本身的应用,在信息化建设的综合成本上一定会超出很多预算,无谓地增加了更多的信息化成本。
产品适用范围之分
市面上目前能够提供全面或部分上网行为管理功能的产品,已经有几十种。如果以产品适用范围来区分,通常分为这样3类。
1,适合同时上网PC数量低于50台。
这类产品一般以纯软件型和低端宽带路由器集成QQ、MSN、BT等的过滤为主。纯软件型产品通常成本低廉、稳定性较差,适合对上网行为管理有需求,但预算有限的用户。低端宽带路由器集成针对部分常见应用或软件的过滤功能,同样以价格低廉胜出。在提供基本组网应用的同时,兼顾最基础的上网行为管理需求,较容易被价格敏感的用户接受。
2,适合同时上网PC数量在50~200台之间。
这类产品一般以高性能上网行为管理设备和带自主研发Kercap引擎的软件产品为主。即在高性能网关路由器上,增加深度包检测(DPI)功能。通过分析网络应用特征码,配合智能带宽管理、自动行为管控等综合策略,全面管理聊天、在线视频、股票、游戏、P2P下载、暴力及色情等非法网站等的过滤,并配合WAN口流量统计、LAN侧用户流量统计、并发session统计等功能,提供综合的管理手段。通常价格较软件产品或低端路由器略高,但功能更全面,性能更稳定,性价比较能够为此等规模的企业用户所接受。
3,适合200台以上的PC同时上网的管理。
这类产品通常是采用硬件与软件结合的方式。即同样的软件版本,安装在不同档次的工业计算机上,经过反复的测试后,根据所安装的工业计算机的处理性能不同,可以涵盖到200~500,500~1000,甚至更大范围的并发应用。由于有性能更为强大的工业计算机作为处理平台,这类产品能够提供的功能更加丰富,部分产品甚至可以缓存上网浏览或发送的内容,检索出可能涉及泄露公司机密、触犯法律或不适合上班时间处理的内容,进而采取相应的策略加以限制。对于规模较大的公司,IT管理对技术的依赖更加侧重,需要管理的内容和管理的手段更加广泛,以适应大批量管理的需要。此类产品由于其复杂的功能需要高性能的工业计算机才能够支撑,因此起步价格通常因硬件成本的因素,只有规模和需求达到一定程度的中大型企业可以接受。
目前也有部分此类厂家推出了适合中小规模用户的产品,功能上没有太大的差异,只是选择更为低廉的工业计算机进行处理,从而降低了整体成本和适用范围,以满足中小规模用户的需求。价格也相应的降到万元以下。
产品定价
根据软件硬件产品、产品工业等级、产品硬件内核模组、产品管理规模、产品适用范围的区分,产品定价的幅度也有极大的变化。
如低端产品线:价格从数百元至数千元不等。即便是软件产品。也有高达十万元的价位。而高端产品线,从主流厂商报价来看,从几万到几十万的价格不等。若是在高校、骨干线路的应用方案中,为了满足需求,采用双核、四核、G级的硬件模组的设备其价位更高。
旁路与串接之分
从部署的方式来看,主要分为旁路与串接之分,这主要看用户对上网行为的管理程度来决定。
旁路:不容易造成单点故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成单点故障;
目前国内主流的厂商提供的产品都比较稳定,单点故障率较小,建议用户在条件允许的情况下采用串接方式部署
对于以备份(邮件,聊天,网页审计)为主的建议采用旁路方式的软件。
国外与国内
一直以来,很多用户都认为国外的产品和技术要优于国内厂商,但是上网行为管理产品并不如此。
上网行为管理产品是用来管理互联网访问内容和互联网使用者的,这与企业的文化、管理制度、人文环境、法律法规都非常相关,例如:
国外与中国在成人内容上的分级不同,导致对成人内容的过滤结果不同;
国外与中国的流行网络应用不同,有很多是只有中国用户使用的网络应用,而国外的产品往往不能支持对这些应用的控制和管理;
建议国内用户尽量选择使用国内厂商推出的上网行为管理产品,毕竟中国的厂商更了解中国用户的互联网环境和互联网使用习惯。
编辑本段上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
第四篇:上网行为管理解决方案
上网行为管理解决方案
泉州市东达网络科技有限公司
2014-09-22
目录
第1章 第2章 第3章
3.1 3.2 应用背景......................................................................................................1 问题分析......................................................................................................1 带宽使用情况探知......................................................................................1 用户识别......................................................................................................2 应用识别......................................................................................................2 3.2.1 3.2.2
第4章
4.1 4.2 URL访问行为...................................................................................2 互联网应用类型访问控制................................................................2
规范网络使用行为,提高工作效率..........................................................3 灵活的用户识别和认证方式......................................................................3 细致全面的应用流量识别技术..................................................................4 4.2.1 4.2.2 4.2.3 URL识别...........................................................................................4 国内最大的应用协议库....................................................................4 P2P智能识别....................................................................................5
4.3 灵活的网络控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的访问的合理分配...................................................................6 基于网站类型,文件类型的流量管理............................................6 IM聊天软件灵活管控......................................................................6 炒股软件、游戏软件的封堵............................................................6 P2P流媒体和P2P下载的管控........................................................6
i
第1章
应用背景
互联网在中国的普及已经超过20多年,尤其是最近几年得到了飞速的发展,网络改变了我们的工作和生活方式,尤其是对工作带来了极大的便利,而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣;然而随着网络应用的越来越丰富,尤其是诸如P2P等流量吞噬十分厉害的下载技术的出现使得原本飞快的网络变的越来越慢,多数企业发现他们花高代价增加的带宽很快又不能满足业务的需要,另一方面,员工职业化程度不够高的组织内部会存在大量的用户上班时间用来炒股、聊天、看电影、打游戏等活动,极大的降低了工作效率,组织机构花费极大的代价的网络被滥用,1个500人人均工资2000的中型机构,如果他的员工每天浪费0.5个小时在业务无关应用上面一年下来的损失高达150万元;而多数企业员工进行业务无关网络应用的时间远远超过0.5小时,每年损失的人力成本已经几乎超过网络带来的便利,领导者陷入了两难的困境,亟需对网络使用进行合理的管控。
第2章
问题分析
面对上述问题,以下几个问题是需要迫切需要解决的
1.内网到底发生了什么?需要一种行之有效的方法探知每个人每天上网行为的明细情况;2.什么应用抢占了带宽,导致了核心业务应用的速度慢,员工上班时间主要有哪些工作无关的应用需要进行管控;3.面对混乱的内网环境,如何建立起合理的有效的使用规范?保证网络使用主要是用来创造效益。
第3章
带宽使用情况探知
面对上述情况,我们首先需要的就是探知内网用户的流量使用情况,要探知内网用户的流量使用情况,以下几个步骤需要解决:
1.用户识别
2.应用识别
3.图形图表分析网络使用状况
3.1 用户识别
大型组织的上网用户众多,互联网应用纷繁复杂,加上长期以来形成上网无需认证,允许使用迅雷,在线影音娱乐不禁止等上网习惯,使得网络流量、行为情况变得异常复杂。
需要通过基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,对于不同的员工、部门实现分开管理,只有在很好的对人员进行区分以后,才能在上网行为的管理上责任到个人,使组织形成良好的上网行为氛围,营造高效和谐的办公自动化平台。
3.2 应用识别
3.2.1 URL访问行为
面对海量的URL地址,需要识别用户上班时间主要访问哪些网址,哪些是业务相关网站,哪些是业务无关网站。
3.2.2 互联网应用类型访问控制
上网行为管理设备对互联网的应用访问控制主要包括以下几个方面:
通过内置了的应用协议规则,对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别,而不是基于传统IP、端口识别。
随着网络技术的发展,网络上的P2P行为层出不穷,如果只能对一些已知的P2P行为,比如BT、eMule、QQLive等进行识别控制,显然是不够的。还需要能根据P2P协议特征的智能分析技术有效识别未知的、新的P2P行为。还需要能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。
第4章 规范网络使用行为,提高工作效率
通过上述的行为探知并分析并得知我们内网目前到底存在哪些问题?那么我们如何来解决这些问题,任何的上网行为和控制策略都必须要基于用户或是用户组来施行,只有很好的对人员进行认证和区分才能很好的保障流量管理的成功实施,另一方面,我们需要对应用进行细致全面的识别,只有合理的识别应用类型,进行细致的归类和区分,才能保障我们的上网行为管理的效果对人员和应用有了细致识别的区分以后就需要针对用户/用户组、时间段、应用类型、文件类型等进行细致的流量管理了。
SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个和谐高效的网络使用环境,保障用户工作相关应用得到有效的保障。
4.1 灵活的用户识别和认证方式
网络流量的产生来源于用户,因此,有效流量的管理的前提是必须先对用户进行有效识别和管理。SANGFOR AC设备提供了强大的用户管理系统,提供了多样化的用户管理手段实现了基于用户的流量管理,在动态IP环境下保证用户身份与管理策略的有效结合,真正的做到了使内网的流量管理责任到人。
功能优势:
丰富多样的用户精确识别方式; 快速、有效的为用户分配网络接入权限; 与第三方用户管理服务器的完美联动; 未知用户网络接入权限快速归类; 最终实现基于用户名的流量管理;
4.2 细致全面的应用流量识别技术
4.2.1 URL识别
SANGFOR AC上网行为管理设备内置千万级的URL库,提供了近40种内置的更加细粒度的URL分类:新闻类、娱乐类、体育类、色情类、暴力类、反动类、迷信类、宗教类、股票类等等。
SANGFOR AC的URL库支持用户手工添加,并支持创建新分类;用户可以根据自己的具体需求,添加有具有个性管理的URL地址并分类,进行需求的控制。
SANGFOR AC具有智能学习的功能,能够根据关键字和类似网页进行网页的分析和学习,自动更新用户自定义分类。
4.2.2 国内最大的应用协议库
SANGFOR AC内置了24大类、500余条的应用协议规则,例如:IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类等等。基于应用协议特征码的识别,有别于传统IP、端口识别。
每一个分类下面有包含着众多的应用协议规则,比如IM聊天类,包含的应用协议规则有:QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能识别UUCALL、雅虎通等语音视频聊天工具。
具有多个智能识别规则,能识别诸如自由门,无界浏览器等代理软件,识别SKYPE,识别RTP语音视频信息。
支持域名的智能识别。可以根据目标域名的弱特征,流特征等来识别内网用户与目标域名的会话连接,从而更智能的进行控制。
SANGFOR AC的应用协议库支持用户手工添加,完成个性化需求配置、识别、控制。
4.2.3 P2P智能识别
随着网络技术的发展,网络上的P2P行为层出不穷,如果只能对一些已知的P2P行为,比如BT、eMule、QQLive等进行识别控制,显然是不够的。
SANGFOR AC除了能够识别已知的P2P行为之外,还能根据SANGFOR AC的基于统计学的智能分析技术有效识别未知的、新的P2P行为。同时SANGFOR AC还能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。
4.3 灵活的网络控制策略
4.3.1 URL的访问的合理分配
组织内部根据部门职能的不同于业务相关的网站类型也不一样,诸如财务部主要关注财经类网站,而市场人员主要工作相关网络主要是行业相关网站,相关的市场机会网站,SANGFOR AC可以基于不同的用户群体划分不同网页内别的访问规则。
支持根据业务需要定义URL类别,通过SANGFOR AC独有的智能识别技术,对客户定义类别的网站进行智能学习和分类。
有效的封堵在线流媒体的使用,如新浪视频网站等。
4.3.2 基于网站类型,文件类型的流量管理
基于网站类型的流量管理,可以针对诸如人力资源部保障招聘类网站的访问速度不少于40KBPS,基于文件类型的流控:例如对内网下载电影文件进行带宽限制,限制公司整体群组下载电影类文件的带宽不高于2Mbps。
4.3.3 IM聊天软件灵活管控
能够完整识别各类IM聊天软件,可以实现灵活的控制策略,对于市场人员可以允许使用部分业务相关的即时聊天工具,而对于其他人员主要通过邮件交流或是开放部分不通用的聊天软件来进行内部的沟通。
4.3.4 炒股软件、游戏软件的封堵
除了公司高层领导需要关注股价以外,组织内部其他人员对于炒股软件的使用严重影响了工作效率,SANGFOR AC全面的识别各类炒股软件,在线炒股的网址,进行全面的封堵,有效提高工作效率。
SANGFOR AC目前已经能识别包括魔兽世界,CS,泡泡堂等在内70多款的在线游戏,进行完全封堵保障内网工作效率。
4.3.5 P2P流媒体和P2P下载的管控
P2P流媒体不但影响工作效率,而且对带宽的过度占用导致了业务应用的缓慢,6
SANGFOR AC能智能识别P2P流量,对于不常见的或是新出现的P2P类应用软件也可以根据其流量特征进行有效的识别,从而细致精准保证网络带宽的合理使用,禁止P2P的行为既保证了员工上班时间工作效率,也保障了核心应用的带宽。
第五篇:路由器上网行为管理
上网行为管理的应用价值
除了迟到、旷工,上网行为也要纳入到行政管理了,这是目前一些企业的网络应用需求。为此,越来越多的组网设备开始提供上网行为管理的功能。
上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。这些问题其实是一个职业素质的基本问题,但企业管理者由于各种原因,对此经常无可奈何。路由器上网行为管理正是迎合了这个需要,以电子化手段进行铁面无私的管理,行政措施得以有效的贯彻。
但是,上网行为管理功能的产品出现的时间不长,很多用户在应用中有一定的误区,产品选购上也无所适从。本文旨在上网行为管理功能的应用价值、技术实现、产品选择等方面做一个粗略的探讨。
一、上网行为管理的应用价值
首先应该明确的是,上网行为管理产品不是组网安全设备,而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具,是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用,从这一点上来说上网行为管理的应用对企业是有益的。诚然,精心部署上网行为管理,对企业网络的稳定性、可靠性有一定的帮助,但这是非常不够的。网络的稳定可靠不能仅仅依靠上网行为管理来实现,而主要还是要依靠专业的网络安全设备和方案。可是目前,在一些用户心中,依然对上网行为管理产品的作用存在一些模糊不清的认识:
误区一:上网行为管理能让网络不掉线 网络掉线是整个网络架构不健全的反应,是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题,客观上对网络净化起到一些作用,但绝不是根本的手段。网络问题要从网络结构本身加以解决,解决网络掉线、卡滞等问题,应该使用类似欣向免疫墙之类的专业方案,那才是从根源着手的有效办法。误区二:上网行为管理能防病毒侵害
网络病毒的传播防不胜防,挂马成为了庞大产业。所以,靠上网行为的约束,期望杜绝病毒的侵入,在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段,在网络层面,要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等,在单机层面,要安装杀毒软件、定期升级操作系统补丁等措施。所以,尽管上网行为管理对防范病毒侵害很重要,但也只能是一个辅助措施。
误区三:上网行为管理能控制网速
封QQ、封P2P、封视频,通过限制大容量的下载保证带宽的合理使用,这些都是权宜之计,不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题,因为网络上的内容太丰富了,抢占带宽的流量无法一一识别并限制。在网络管理的技术方面,对带宽的管理是通过QoS实现的,而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供,有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的欣向智能带宽算法等等。这些都是从专业角度进行的,对控制网速根本有效的办法。
因此,综上所述,上网行为管理功能解决不了网络的稳定性、可靠性问题,对网络本身的管理也不是根本的办法。应用上网行为管理后,企业的网络状况会有一定好转,但恐怕只是暂时的。上网行为管理最大的效用就是在行政管理上,它通过提高员工的工作效率为企业创造价值,这才是上网行为管理路由器得到欢迎的主要原因。
二、上网行为管理的技术实现
上网行为管理的技术实现大概分为几个部分:IP分组管理、特定应用封锁、行为审计、行为记录等。IP分组管理是实现上网行为管理的基础,对于每个特定的分组分配不同的上网权限,对各种不同部门、不同业务、不同人员的上网行为管理进行要求,这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以,分组管理和权限策略在路由器中设计为多重搭配组合的模式。
欣向免疫路由分组成员管理
特定应用封锁技术包括静态过滤、协议型封锁二种模式。静态过滤是通过封锁特定应用的网络服务器IP和端口,达到应用无法连接到服务器的目的,实现行为封锁的一种方式。这种功能其实在路由器中早就存在,它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来,预制进产品中,通过一个在界面上的名字表达这个功能。这样做法就是方便了用户,不必让用户自己去查找要封锁项目的相关信息,再一条一条地在路由器上配置保存,这大大提高了产品的易用性。
而协议型封锁是通过对要封锁的协议进行分析,识别上网行为身份,进行对该协议的拦截,实现行为封锁的一种方式。这是编制在产品的执行程序中的,用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用,它们虽然有相对固定的服务器IP群,但它们的连接方式是靠协议握手,动态地变换IP和端口,甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。从技术实现的角度来看,静态过滤是较容易的手段,而协议型封锁对产品设计的能力要求要高得多。协议型封锁既要吃透应用协议的内部过程,又要在实现的同时照顾路由器的转发效率,照顾多WAN情况下的负载均衡,算法上是比较复杂的。当前的网络设备市场,提供上网行为管理功能的路由器很多,表面上是大家都有上网行为管理功能,但实际上由于技术实现方式的不同,导致了有的上网行为管理功能只是空架子、有漏洞、不实用。
如果使用简单的静态过滤方式,而不是协议型封锁来实现上网行为管理,功能虽然提供了,而效果是不能令人满意的。遗憾的是,很多上网行为管理路由器就是这么做的。
拿大家熟悉的QQ来说,我们登陆QQ时,都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表,然后通过路由器进行这些服务器IP的过滤处理,这样QQ帐号密码认证不了,当然也就实现了拦截QQ的目的。
这种封QQ的方式存在两个问题:
1、当网络中特定应用添加或变更服务器IP时,就会出现行为管理失效,路由器不得不进行软件升级,效果不彻底,应用麻烦。
2、当使用代理服务器进行应用访问的中转时,由于认证和访问信息通过第三方中转,自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP,就是用来破解此种行为管理的,QQ聊天软件也提供了绕过此种封锁的代理服务器设置(如图),区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分,所以静态过滤的方式对行为管理是不彻底的,无效的。
QQ代理服务器设置
而协议型封锁方式由于直接分析网络数据协议,所以无论如何设置代理都能直接识别封锁,效果彻底,然而此种行为管理方式需要的技术较高,路由器中很少使用。而已知的,欣向免疫墙路由器就是采用了协议分析的上网行为管理手段,这是很难得的。它采用了全新的应用层协议分析,根据不同应用的协议特征,对特定上网行为进行分析确认。由于采用了协议分析,行为管理真正做到了准确无误。基于协议的上网行为管理功能的实现,对路由器设计有较高的要求。尤其是多WAN环境下,不管是静态过滤还是协议封锁,都需要考虑对负载均衡的影响,也就是说,上网行为管理的启用,不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候,把内网IP固定地绑在某一个WAN口上,或者按照IP均衡的方式进行分配,这就失去了多WAN带宽叠加的应用效果。
欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家,欣向一直从事多WAN下的应用协议分析,以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候,欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑,是比较周全的方案,在这个方面无疑是占据了领先的高度。
欣向免疫墙路由器分组上网行为管理
三、上网行为管理的产品选择
由于存在着用户对上网行为管理功能的需求,很多网络设备开始提供这样的功能。不仅仅在路由器,在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子,甚至还有一些专门的上网行为管理设备卖的也很不错。
虽然存在的就是合理的,但对于用户来说,要根据自己的应用需求进行选择,要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划,最后考虑产品的优劣,从而进行正确的选择。
下面提供一些建议供企业朋友们参考。
对上网行为管理要求较高,管理严苛的较大型企业,应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能,也没有过多涉及防火防毒网络安全内容,它的主要功能就是上网行为管理,术业有专攻,它在产品功能上比较丰富,服务支撑比较到位。
至于防火墙、UTM中提供的上网行为管理功能,也是很可取的方案,它适用于一些信息化程度较高的企业,准备或已经部署了相关设备的情况下,启用附带的上网行为管理功能可以节省部署专用设备的资金。
选择宽带路由器中的上网行为管理功能,适用于大多数的中小企业。接入路由器是企业网络的大门,在大门处加一个门岗做上网行为管理,是简单易行的办法。但是,路由器主要的功能是高速数据转发,由于CPU负载能力和成本的限制,路由器功能设计不可能主次颠倒,在上网行为管理上不可能做到很强,所以不要对他抱有太多的期望值,够用好用就可以了。如果单纯因为上网行为管理去选择路由器,很可能会本末倒置。这就两难了。虽然上网行为管理在地位上应该是路由功能的附属,但对于大多数中小企业用户来说,这个功能确实又是需要的。同时企业网络又要解决网络的稳定、可靠、安全的问题,又不能牺牲网络接入的性能,尤其是一些用户还有多WAN带宽汇聚能力的要求。在IT投资不可能太大的情况下,那又该如何选择一台优质的路由器,同时满足多种需求呢? 强烈的建议是:配备带有上网行为管理的免疫墙路由器。
当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用,导致盲目上马上网行为管理设备,实则不然。以上网络应用仅是占用了大量的网络带宽,而企业路由器都有带宽管理功能,如果是因为特定行为访问导致的带宽不足,启用路由器带宽管理后就该没有问题了。但实际情况是,启用了带宽管理以上网络问题还存在,购置了新的上网行为管理设备网络问题还没有解决!
这主要是因为企业网络的免疫安全问题被忽视了!据统计,80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱,黑客能够充分利用协议漏洞对网络系统进行破坏,ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段,对终端进行强制性管理,从而对网络进行整体的管控,使病毒的发作无法窜扰到网络上来,这样才能彻底解决网络问题。网络问题必须网络解决,提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备,欣全向公司基于这样的技术思路,让免疫墙路由器不仅在宽带接入端起到安全管理的作用,也能够深入到整个内网的每一个终端进行控制和保护。同时,在内网中还有一台监控中心,对整个内网的运行进行统计、显示、控制、告警、策略分发等工作,全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网,可以达到普通路由器难以企及的应用效果,在上网的稳定、高速、安全、可管理能力上,远远超过了普通路由的组网方案。
有了网络安全和稳定的运行基础,网络行为管理才能显示其更加细致的应用访问控制优势,才能真正满足中小企业对网络应用的多种需求。没有稳定可靠,上网行为管理就无从谈起,所谓皮之不存毛之焉在。欣向免疫墙路由器 总结
是否部署上网行为管理要依据企业的具体情况。如果企业网络稳定,并且有网络访问行为控制的要求,那么选择合适的上网行为管理设备是必要的。
上网行为管理功能需要采用静态过滤和协议型封锁2种技术方式,单纯依靠静态过滤处理上网行为管理是技术敷衍,功能是不可靠的。但上网行为管理仅限于网络访问权限的控制,是行政管理的辅助手段,并不能解决网络的安全和稳定问题。如果企业存在网络掉线、卡滞、速度慢、不安全、难管理等问题,那就需要带免疫墙功能的路由器,着重解决内网问题。中小企业既要上网行为管理,又要安全稳定可靠的网络,使用带有上网行为管理功能的免疫墙路由器可以一举多得。
点击咨询 