一、上網(wǎng)行為管理部署需求分析

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)條件得到改善，另一方面也給機構(gòu)帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂性。據(jù)IDC調(diào)查發(fā)現(xiàn)，在上班工作時間非法使用郵件、瀏覽非法Web網(wǎng)站、進行音樂/電影等BT下載、在線收看流媒體的員工正在日益增加，令網(wǎng)絡(luò)管理者頭疼不已。IDC的數(shù)據(jù)統(tǒng)計顯示，員工30%-40%的上網(wǎng)活動與工作無關(guān)；而來自色情網(wǎng)站訪問統(tǒng)計的分析表明：70%的色情網(wǎng)站訪問量發(fā)生在工作時間。而中國員工比其它地區(qū)的員工每周多花7.6小時使用IM、玩游戲、P2P軟件或流媒體?；ヂ?lián)網(wǎng)濫用，給中國企業(yè)、政府、高校、行業(yè)用戶等各行業(yè)帶來了巨大的損失。
員工隨意使用網(wǎng)絡(luò)將主要導(dǎo)致五個問題：(1)工作效率低下、(2)網(wǎng)速越來越慢、(3)安全隱患不斷、(4)信息和機密外泄、(5)網(wǎng)絡(luò)違法行為。


為獲取外部信息和資源、及與第三方合作伙伴、投資方等保持聯(lián)系和溝通，機構(gòu)內(nèi)部網(wǎng)絡(luò)必然與互聯(lián)網(wǎng)連通。IT管理者如何及時了解網(wǎng)絡(luò)運行情況，并對網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如訪問違規(guī)網(wǎng)頁、玩網(wǎng)頁游戲、資源濫用、泄密、ARP欺騙等），并進行快速的故障定位，這一切都是對機構(gòu)內(nèi)網(wǎng)安全管理的挑戰(zhàn)，這些問題包括：

IT管理者如何對網(wǎng)絡(luò)效能和行為進行統(tǒng)計、分析、評估？
     IT管理者如何控制上班時間QQ聊天、游戲、無關(guān)網(wǎng)站瀏覽等非工作網(wǎng)絡(luò)訪問行為？
    IT管理者如何管控BT、PPLive等P2P行為，避免其嚴重占用帶寬，同時如何為業(yè)務(wù)系統(tǒng)和關(guān)鍵用戶保障帶寬資源的分配，提升帶寬利用率？
    IT管理者如何防范用戶“主動”下載含有病毒、木馬、惡意軟件的文件？
    IT管理者如何杜絕通過Email、MSN等途徑潛在的泄密行為？
    IT管理者如何避免網(wǎng)絡(luò)造謠、惡意言論和發(fā)貼等法律問題，并在發(fā)生問題時有據(jù)可查？
因此，如何有效地提高工作效率，提升帶寬資源使用效率、改善內(nèi)網(wǎng)安全環(huán)境、杜絕泄密行為、避免法律風(fēng)險，已經(jīng)成為各行業(yè)信息化建設(shè)中的首要任務(wù)。當(dāng)前內(nèi)網(wǎng)安全管理也隨之提升到一個新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如訪問控制、訪問跟蹤、流量限制、監(jiān)控、審計等問題也日益凸現(xiàn)。越來越多的企事業(yè)單位需要對內(nèi)網(wǎng)員工上網(wǎng)行為進行管理以實現(xiàn)網(wǎng)絡(luò)資源的合理利用。

 

二、解決方案

1、控制功能：細致的訪問控制，有效管理用戶上網(wǎng)

對于內(nèi)網(wǎng)員工訪問各種網(wǎng)頁的行為，通過內(nèi)置URL庫，關(guān)鍵字過濾等方式進行管控。對于采用SSL方式加密的網(wǎng)頁，如釣魚網(wǎng)站等，證書驗證鏈接黑白名單技術(shù)同樣可以管控。安全網(wǎng)關(guān)不僅可以對員工使用WEB、FTP、EMAIL等常用服務(wù)進行控制，通過深度內(nèi)容檢測技術(shù)，根據(jù)應(yīng)用數(shù)據(jù)包四層到七層的特征碼，實現(xiàn)對QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具，網(wǎng)絡(luò)游戲，在線炒股等網(wǎng)絡(luò)應(yīng)用行為進行管理和控制。具有國內(nèi)全的應(yīng)用協(xié)議識別庫，例如對IM聊天工具、炒股軟件的識別庫如下：

上網(wǎng)控制功能	上網(wǎng)控制	可分組、分時段、分用戶控制用戶可以使用的網(wǎng)絡(luò)服務(wù)（包括網(wǎng)頁、下載、QQ、MSN、游戲、Email等）
	IM控制	可分組、分用戶、分時段封堵所有聊天軟件如：QQ、MSN、新浪UC、Yahoo Messenger、網(wǎng)易泡泡、Skype、飛信等
	P2P控制	可分組、分用戶、分時段控制用戶使用BT、電驢、迅雷、PPLive等P2P軟件；并能夠?qū)Ψ浅Ｒ?未來可能出現(xiàn)的P2P軟件進行管控
	SSL控制	支持SSL控制功能，可控制用戶通過SSL協(xié)議訪問的URL，并可對SSL協(xié)議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網(wǎng)站，以防止用戶通過SSL協(xié)議泄密和訪問色情、反動、和釣魚網(wǎng)站
	代理識別	可以識別并禁止使用HTTP、Socks代理；對HTTP/HTTPS端口中封裝的其他協(xié)議進行封堵；可禁止內(nèi)網(wǎng)員工使用代理軟件代理他人上網(wǎng)
	訪問控制策略	支持基于組、時間、服務(wù)、網(wǎng)址策略、內(nèi)容策略等多種對象組合
	上網(wǎng)計時控制	控制用戶總的上網(wǎng)時長；支持對用戶上網(wǎng)時長進行統(tǒng)計

 

2、帶寬及流量管理功能：強大流量分析及帶寬劃分與分配

通過多線路復(fù)用專利技術(shù)，一臺上網(wǎng)行為管理硬件網(wǎng)關(guān)多可以同時連接四條公網(wǎng)線路，擴展了機構(gòu)的Internet出口帶寬，多線路間互為備份，提升了可靠性；同時多線路智能選路和負載均衡技術(shù)，將內(nèi)網(wǎng)員工的流量智能分擔(dān)到各線路間，解決了跨運營商的帶寬瓶頸問題。
IT管理者需要詳細了解當(dāng)前帶寬資源的使用情況，這可以通過訪問AC的數(shù)據(jù)中心實現(xiàn)，如查看指定時間周期內(nèi)應(yīng)用流量分布情況，用戶流量分布和排名等。
下一步IT管理者就需要對非業(yè)務(wù)流量如P2P行為等進行帶寬限制，對領(lǐng)導(dǎo)的視頻會議系統(tǒng)、業(yè)務(wù)部門的應(yīng)用流量需求進行滿足，這可以通過強大的流量管理系統(tǒng)輕松實現(xiàn)，基于不同用戶/用戶組、時間段、應(yīng)用類型/網(wǎng)站類型/上傳下載文件類型、結(jié)合QoS優(yōu)先級機制，進行帶寬劃分和分配，實現(xiàn)帶寬資源利用率的大化。


帶寬及流量管理功能一覽表

功能	詳細指標
多線路復(fù)用	一臺設(shè)備，多同時連接四條公網(wǎng)線路，提升機構(gòu)的出口帶寬
多線路智能選路	多線路之間互為備份，且內(nèi)網(wǎng)員工的流量可以智能分擔(dān)到多線路之間，解決了跨運營商的帶寬瓶頸問題
流量分配和控制	針對內(nèi)網(wǎng)每個用戶或者不同的組，限定其各種應(yīng)用/網(wǎng)站類型/上傳下載文件類型能占用的帶寬資源，使機構(gòu)的帶寬資源得到充分有效的利用
P2P管控	不僅可以全面封堵P2P的應(yīng)用，還可對P2P行為進行流量控制，控制其上行流量和下行流量，節(jié)省機構(gòu)網(wǎng)絡(luò)資源
QOS保證	使用差分業(yè)務(wù)模型實現(xiàn)QOS 使用隨機早期檢測RED丟棄算法提供流量控制

 

3、監(jiān)控與審計功能：防止機密信息泄漏和法律違規(guī)事件

談到安全問題時，大多數(shù)人都只關(guān)注外網(wǎng)安全，但其實機構(gòu)的信息資產(chǎn)更多的不是被黑客竊取，而是通過內(nèi)部泄漏的。上網(wǎng)行為管理設(shè)備完善的訪問審計和監(jiān)控功能能夠有效防止信息通過Internet泄漏，并建立強大的內(nèi)部安全的威懾，減少內(nèi)部泄密的行為。對于郵件類型的應(yīng)用采用了深信服“郵件延遲審計”的專利技術(shù)來保證先審計后發(fā)送；對于通過Webmail站點發(fā)送郵件，全面記錄郵件正文和附件等；對于QQ、MSN等聊天內(nèi)容提供了全面的記錄功能；對于BBS、論壇發(fā)帖不僅根據(jù)關(guān)鍵字進行過濾，成功發(fā)布的內(nèi)容也能全面記錄；內(nèi)網(wǎng)員工訪問的URL地址、網(wǎng)頁標題、甚至整個網(wǎng)頁內(nèi)容，AC也能夠完全監(jiān)控和記錄等。訪問審計/監(jiān)控模塊為機構(gòu)構(gòu)筑了強大的內(nèi)部安全屏障。
針對不同的用戶、用戶組，通過數(shù)據(jù)簡單的勾選，即可完成差異化的行為審計功能