一、上網行為管理部署需求分析

隨著Internet接入的普及和帶寬的增加，一方面員工上網條件得到改善，另一方面也給機構帶來更高的網絡使用危險性、復雜性和混亂性。據IDC調查發現，在上班工作時間非法使用郵件、瀏覽非法Web網站、進行音樂/電影等BT下載、在線收看流媒體的員工正在日益增加，令網絡管理者頭疼不已。IDC的數據統計顯示，員工30%-40%的上網活動與工作無關；而來自色情網站訪問統計的分析表明：70%的色情網站訪問量發生在工作時間。而中國員工比其它地區的員工每周多花7.6小時使用IM、玩游戲、P2P軟件或流媒體?；ヂ摼W濫用，給中國企業、政府、高校、行業用戶等各行業帶來了巨大的損失。
員工隨意使用網絡將主要導致五個問題：(1)工作效率低下、(2)網速越來越慢、(3)安全隱患不斷、(4)信息和機密外泄、(5)網絡違法行為。


為獲取外部信息和資源、及與第三方合作伙伴、投資方等保持聯系和溝通，機構內部網絡必然與互聯網連通。IT管理者如何及時了解網絡運行情況，并對網絡整體狀況作出基本的分析，發現可能存在的問題（如訪問違規網頁、玩網頁游戲、資源濫用、泄密、ARP欺騙等），并進行快速的故障定位，這一切都是對機構內網安全管理的挑戰，這些問題包括：

IT管理者如何對網絡效能和行為進行統計、分析、評估？
     IT管理者如何控制上班時間QQ聊天、游戲、無關網站瀏覽等非工作網絡訪問行為？
    IT管理者如何管控BT、PPLive等P2P行為，避免其嚴重占用帶寬，同時如何為業務系統和關鍵用戶保障帶寬資源的分配，提升帶寬利用率？
    IT管理者如何防范用戶“主動”下載含有病毒、木馬、惡意軟件的文件？
    IT管理者如何杜絕通過Email、MSN等途徑潛在的泄密行為？
    IT管理者如何避免網絡造謠、惡意言論和發貼等法律問題，并在發生問題時有據可查？
因此，如何有效地提高工作效率，提升帶寬資源使用效率、改善內網安全環境、杜絕泄密行為、避免法律風險，已經成為各行業信息化建設中的首要任務。當前內網安全管理也隨之提升到一個新的高度，在防御從外到內諸如病毒、黑客入侵、垃圾郵件的同時，從內到外諸如訪問控制、訪問跟蹤、流量限制、監控、審計等問題也日益凸現。越來越多的企事業單位需要對內網員工上網行為進行管理以實現網絡資源的合理利用。

 

二、解決方案

1、控制功能：細致的訪問控制，有效管理用戶上網

對于內網員工訪問各種網頁的行為，通過內置URL庫，關鍵字過濾等方式進行管控。對于采用SSL方式加密的網頁，如釣魚網站等，證書驗證鏈接黑白名單技術同樣可以管控。安全網關不僅可以對員工使用WEB、FTP、EMAIL等常用服務進行控制，通過深度內容檢測技術，根據應用數據包四層到七層的特征碼，實現對QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具，網絡游戲，在線炒股等網絡應用行為進行管理和控制。具有國內全的應用協議識別庫，例如對IM聊天工具、炒股軟件的識別庫如下：

上網控制功能	上網控制	可分組、分時段、分用戶控制用戶可以使用的網絡服務（包括網頁、下載、QQ、MSN、游戲、Email等）
	IM控制	可分組、分用戶、分時段封堵所有聊天軟件如：QQ、MSN、新浪UC、Yahoo Messenger、網易泡泡、Skype、飛信等
	P2P控制	可分組、分用戶、分時段控制用戶使用BT、電驢、迅雷、PPLive等P2P軟件；并能夠對非常見/未來可能出現的P2P軟件進行管控
	SSL控制	支持SSL控制功能，可控制用戶通過SSL協議訪問的URL，并可對SSL協議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網站，以防止用戶通過SSL協議泄密和訪問色情、反動、和釣魚網站
	代理識別	可以識別并禁止使用HTTP、Socks代理；對HTTP/HTTPS端口中封裝的其他協議進行封堵；可禁止內網員工使用代理軟件代理他人上網
	訪問控制策略	支持基于組、時間、服務、網址策略、內容策略等多種對象組合
	上網計時控制	控制用戶總的上網時長；支持對用戶上網時長進行統計

 

2、帶寬及流量管理功能：強大流量分析及帶寬劃分與分配

通過多線路復用專利技術，一臺上網行為管理硬件網關多可以同時連接四條公網線路，擴展了機構的Internet出口帶寬，多線路間互為備份，提升了可靠性；同時多線路智能選路和負載均衡技術，將內網員工的流量智能分擔到各線路間，解決了跨運營商的帶寬瓶頸問題。
IT管理者需要詳細了解當前帶寬資源的使用情況，這可以通過訪問AC的數據中心實現，如查看指定時間周期內應用流量分布情況，用戶流量分布和排名等。
下一步IT管理者就需要對非業務流量如P2P行為等進行帶寬限制，對領導的視頻會議系統、業務部門的應用流量需求進行滿足，這可以通過強大的流量管理系統輕松實現，基于不同用戶/用戶組、時間段、應用類型/網站類型/上傳下載文件類型、結合QoS優先級機制，進行帶寬劃分和分配，實現帶寬資源利用率的大化。


帶寬及流量管理功能一覽表

功能	詳細指標
多線路復用	一臺設備，多同時連接四條公網線路，提升機構的出口帶寬
多線路智能選路	多線路之間互為備份，且內網員工的流量可以智能分擔到多線路之間，解決了跨運營商的帶寬瓶頸問題
流量分配和控制	針對內網每個用戶或者不同的組，限定其各種應用/網站類型/上傳下載文件類型能占用的帶寬資源，使機構的帶寬資源得到充分有效的利用
P2P管控	不僅可以全面封堵P2P的應用，還可對P2P行為進行流量控制，控制其上行流量和下行流量，節省機構網絡資源
QOS保證	使用差分業務模型實現QOS 使用隨機早期檢測RED丟棄算法提供流量控制

 

3、監控與審計功能：防止機密信息泄漏和法律違規事件

談到安全問題時，大多數人都只關注外網安全，但其實機構的信息資產更多的不是被黑客竊取，而是通過內部泄漏的。上網行為管理設備完善的訪問審計和監控功能能夠有效防止信息通過Internet泄漏，并建立強大的內部安全的威懾，減少內部泄密的行為。對于郵件類型的應用采用了深信服“郵件延遲審計”的專利技術來保證先審計后發送；對于通過Webmail站點發送郵件，全面記錄郵件正文和附件等；對于QQ、MSN等聊天內容提供了全面的記錄功能；對于BBS、論壇發帖不僅根據關鍵字進行過濾，成功發布的內容也能全面記錄；內網員工訪問的URL地址、網頁標題、甚至整個網頁內容，AC也能夠完全監控和記錄等。訪問審計/監控模塊為機構構筑了強大的內部安全屏障。
針對不同的用戶、用戶組，通過數據簡單的勾選，即可完成差異化的行為審計功能