上网行为管理方案1XX机构上网行为管理解决方案杭州天网电子有限公司XXX上网行为管理解决方案一、需求概述1．1 背景介绍XX机构内部网络已搭建完毕:200台PC.四个网段.100M带宽出口.1．2 需求分析随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。

据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。

互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。

员工随意使用网络将主要导致五个问题：(1)工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)信息和机密外泄、(5)网络违法行为。

为获取外部信息和资源、及与第三方合作伙伴、投资方等保持联系和沟通，机构内部网络必然与互联网连通。

IT管理者如何及时了解网络运行情况，并对网络整体状况作出基本的分析，发现可能存在的问题（如访问违规网页、玩网页游戏、资源滥用、泄密、ARP欺骗等），并进行快速的故障定位，这一切都是对机构内网安全管理的挑战，这些问题包括：IT管理者如何对网络效能和行为进行统计、分析、评估？IT管理者如何控制上班时间QQ聊天、游戏、无关网站浏览等非工作网络访问行为？IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户保障带宽资源的分配，提升带宽利用率？IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件？IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为？IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？因此，如何有效地提高工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设中的首要任务。

当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。

越来越多的企事业单位需要对内网员工上网行为进行管理以实现网络资源的合理利用。

1．3 客户具体需求分析XX机构网络访问控制详细需求分析：随着业务的发展和信息化建设步伐的加快，XX机构的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马、ARP欺骗等）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了本机构应用系统的运行和业务的正常运作；另外，在针对内网安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。

更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露机构内部机密信息，并可能因访问非法网站或发别非法言论而违反法律。

另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了机构内部关键应用和业务的开展。

通过对本机构内部网络目前存在的问题，我们看到XX机构在内网员工的互联网访问行为管控方面需要解决几个问题。

1.3.1 缺乏有效的统计方法，无法得知网络使用状况对于机构网络的使用情况，有限的公网出口带宽的占用情况，用户最常发生的网络访问行为，TOP 10用户最常访问的网站等，IT管理者当前都无法掌握真实情况，而只能靠部分员工反映或抱怨，通常只能简单记录的一些IP访问情况，查询、审计非常不便。

1.3.2 无法做到细致的访问控制机构因为需要获取外部信息和资源而与Internet实现互联，通过Email等IT应用系统，内网员工不仅可以与合作伙伴、第三方单位保持沟通，而且外网用户也可以方便的通过Internet访问机构内部的WWW网站、FTP下载服务器等。

但是如果没有完善的互联网访问权限控制手段，而仅仅依靠传统的防火墙等设备，将无法有效管控内网员工的各种网络访问行为；内网员工在上班时间使用QQ、MSN等聊天，浏览各种网站（甚至色情、反动网站），BBS、论坛发贴（包括不负责任的反动言论等），在线炒股、网络游戏娱乐等，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给机构带来直接经济损失，还可能引起不必要的法律纠纷。

1.3.3 无法有效管理带宽流量，无法保障业务系统的带宽需求机构现有的公网出口带宽通常都比较有限。

一个带宽2M的Internet出口，即使有两个内部用户全速下载BT、eMule等，其他用户和业务系统的访问与开展都会及其缓慢，甚至完全不可用。

而IT管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率，同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。

业务部门收发Email缓慢，领导的视频会议系统无法正常运作，设计部的CAD文件传输速度极慢等，都需要IT管理者优化机构有限带宽资源的使用情况，有效的限制非业务系统对带宽的占用，合理的划分和分配更多的带宽供业务系统所使用。

1.3.4 无法保证客户端的端点安全性类似于木桶理论，内网网络安全的等级取决于安全最薄弱环节。

如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新，反而使用和安装机构不允许的软件，这都将造成该终端设备成为内网的安全短板。

如果用户使用该终端设备肆意访问互联网，来自Internet的病毒、木马、恶意程序等极易感染和侵害该终端，从而进一步感染和泛滥到整个内网，影响更多用户的网络使用和业务的开展。

1.3.5 无法对用户网络行为进行有效监控和审计提到网络安全问题，大多数用户都只关注外网安全。

但其实机构内部的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。

所以虽然机构已经部署了防火墙等安全设备，但是无法对内网员工的网络行为进行有效的监控和审计。

内网员工可能通过MSN聊天即将机构的机密信息无意间泄露出去，而更典型的是通过Email邮件，将机构的信息资产通过邮件及附件发送到公网；还可能通过向公网BBS、论坛发贴的方式，不仅泄露机构信息，也可能发表不良言论、网络造谣等，不仅泄露机构的信息资产，还难免招致法律问题；这就需要有别于传统防火墙的解决方案，对用户的网络访问行为进行有效的监控和审计，做到有据可查。

1．4 客户网络现状分析XX机构目前使用内部设备：结构图：通过以上机构的内网拓扑简图可见，机构内部众多用户和各种应用系统，通过位于外网接口的防火墙进行了防护和保障，对于来自外网的安全风险和威胁提供了一定的防御能力，但是对于来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等无法进行有效地管控，同时内网员工的各种互联网访问行为也无法有效的监控和审计。

二、解决方案2．1 AC上网行为管理设备功能介绍2.1.1 控制功能：细致的访问控制，有效管理用户上网对于内网员工访问各种网页的行为，AC通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL方式加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，根据应用数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC 具有国内最全的应用协议识别库，例如对IM聊天工具、炒股软件的识别库如下：针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

基于Web与LDAP/Radius集成的用户认证功能，又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式，使得对上网用户的管理变得十分灵活方便。

通过对基于LDAP、POP3、PROXY的单点登录功能，简化用户的操作，方便用户的使用。

AC所具备的各种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人性化要求。

表3.1：访问控制功能一览表功能模块功能性能指标身份认证用户认证方式支持触发式WEB认证；支持用户名/密码方式认证；支持USB-Key认证；支持IP认证；支持IP-MAC绑定认证等IP －MAC绑定支持跨三层交换机的IP-MAC绑定功能第三方认证不仅支持将用户账号/密码信息内建设备本身，亦支持与第三方LDAP、微软AD、Radius、POP3、PROXY服务器联动WEB认证WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、微软AD域控服务器、Radius服务器，POP3服务器联动单点登录支持基于LDAP、微软AD域控服务器、POP3、PROXY服务器的单点登陆；用户只要通过以上验证，则无需再次在WEB认证页面输入密码未创建用户认证AC支持将未创建用户自动创建并加入设备，并同时赋予该用户指定权限和用户分组网页访问控制URL（网址）过滤AC内置超过800万条预分类的URL库，允许用户输入新URL地址和创建新分类；关键字过滤可限制通过搜索引擎搜索某些关键字（关键字可定义），可针对网页正文关键字进行网页过滤，可限制用户通过BBS、Webmail、Blog等方式发送带有敏感字样的言论反钓鱼网站功能支持对SSL加密网站的识别和过滤文件类型限制可限制和管理通过HTTP、FTP下载、上传指定类型的文件邮件控制邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件。