上网行为管理系统参数
一、物理性能要求:
大于等于6个千兆电口,大于等于1个RJ45串口,大于等于2个USB接口;七层吞吐量≥500Mbps;并发会话≥1,000,000;用户规模≥1500人;
二、产品功能要求:
1、审计功能要求:
满足公安部82号令审计要求,河北省公安厅或唐山市公安局有平台建设。
2、链路负载均衡功能要求:
必须免费提供,支持多链路之间的负载均衡功能(支持固定指派、源目IP轮询、上行流量、下行流量、总流量负载以及最佳路径等多种算法)、支持多PPPoE出口的链路负载均衡。3、路由功能要求:
持续路由支持数据报文的持续路由配置。
4、上网行为管理功能要求:
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤、SSL加密识别自定义、URL关键字过滤、网页过滤、文件传输过滤、邮件过滤、WEBMAIl过滤、邮件地址过滤、邮件附件过滤、邮件关键字过滤、Webmail管理、SSL邮件管理、加密Webmail管理、加密SMTP邮件过滤、加密SMTP、POP3邮件审计。
5、黑白名单管理功能要求:
支持对单个用户/用户组、IP、地址簿设置一天内总上网时长、上网流量;在某些时间段(如下班时间,凌晨),不对用户的速率和会话数进行限制,用户产生的流量也不记入黑名单的流量配额内。
6、流量控制功能要求:
必须支持在不同线路上,根据不同的应用、用户、用户组来保证或者限制流量,对于多链路必须免费实现流控功能。
7、应用控制功能要求:
1、应用控制:设备内置应用识别规则库,支持超过500种以上的应用,并保持每个星期更
新一次,保证应用识别的准确率、支持根据IP、端口、协议等自定义应用规则、支持根
据不同的应用类型或具体的某种应用设置允许或拒绝。
2、即时通讯:支持MSN、QQ、飞信、Yahoo、WangWang、ICQ等国内外主流的聊天软件,
可以分别控制其登陆与聊天行为。
3、其他类别控制:支持P2P、流媒体、炒股软件、网上银行、网络游戏、网络电话、远程
控制等应用识别、ISA代理识别针对ISA代理服务器在代理部署模式下,数据被重新封装进行专门的配置部署,可以识别被ISA重新封装的数据。
4、代理控制:不允许使用外部HTTP代理、不允许使用外部Sock4/5代理、不允许在HTTP,SSL 一些的标准端口上使用其他协议。
5、防共享控制:具有防共享上网功能,可检测内网私设路由器、无线路由等物理共享行为,并惩罚该用户。
产品资质及厂商实力要求:
1、产品具有计算机信息系统安全专用产品销售许可证
2、产品分别在网页邮箱分类识别方法、文字信息地域识别方法、视频网站的信息抓取方法
具有深入的研究,提供证明!
3、产品提供厂商实力厂商注册资金超过20000万或国内上市公司
4、考虑原厂商售后服务保障问题,要求厂商须具备中国信息安全认证中心颁发的《信息安
全应急处理服务资质认证二级证书》
5、考虑该设备与其它设备对接问题要求厂商须具备《信息系统集成及服务资质证书-贰级证
书》
上网行为管理产品介绍 精编 Document number:WTT-LKK-GBB-08921-EIGG-22986
构建健康安全、高效可管的互联网 SANGFOR AC上网行为管理 产品白皮书 深信服科技有限公司
版权声明 深圳市深信服电子科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。 免责条款 本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。 深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录
1互联网对组织提出的挑战 随着信息技术、特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。 针对用户互联网访问行为的管控与审计,美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求;而中国也颁布了相应的互联网法律法规法规进一步规范互联网行为。 缺乏有效管理的互联网是否让您常常面对如下情形却又束手无策 ■看似充裕的出口带宽却不断接到内网员工关于网速太慢的抱怨; ■视频会议、VOIP断断续续,与分支互联的VPN极不稳定、经常中断; ■过激言论、网络造谣给组织招致网监的压力,却又无法查找到责任人; ■研发代码、营销方案等让竞争对手得知,何人所为 ■内网病毒、木马、ARP欺骗、DOS攻击让IT管理者头痛不已; ■巨资购买的杀毒软件很多员工不装、不用,存在风险的终端肆意上网; ■专注的敲击键盘、认真的盯着屏幕,但却在发生工作无关的行为; ■…… 让人无奈的是,员工的不规范网络行为往往是组织为其买单:除因上班时间无心工作所带来的直接损失外,组织的带宽资源陷入被滥用?扩容?再被滥用的恶性循环,同时组织还面临法律违规和泄密风险,组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首,由于互联网行为复杂且难以预料,无论是存心还是意外,一个居心叵
上网行为管理路由器配置-网络配置篇 一、配置您的计算机网络设置 1、打开路由器的电源开关,等待片刻,当路由器前面板的灯匀速闪烁后,表示路由器 已经进入工作状态,可以接受配置。 2、请正确配置计算机的网络配置,并加载TCP/IP协议。 3、由于路由器默认带有DHCP服务,您的计算机会自动获取192.168.0.2-192.168.0.254 之间的IP地址,子网掩码为255.255.255.0,网关为192.168.0.1。 4、单击计算机的“开始菜单”→“运行”,在运行中输入cmd,可以使用下面的命令来 检查您的计算机和本产品是否正常连通。如图1-1所示: 图1-1 测试连通性 如果出现以上显示,表示网络连接正确,可以进行下一步的操作,如果屏幕提示为:Pinging 192.168.1.1 with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out 说明设备未正确的安装,可以按照下面的步骤进行检查: 1、设备的物理连接是否正确? 与计算机网卡相连的双绞线的另一端必须接路由器内网口并且网线两段的网 络接口的指示灯必须正常点亮。 2、计算机的TCP/IP协议是否设置正确? 您的计算机IP 地址必须为192.168.0.* (*的范围2—254),子网掩码为 255.255.255.0(即在同一网段)。 二、登录界面: 将路由器LAN 口与计算机连接好后,计算机会自动获取到192.168.1.1/24 段地址,在浏览器的地址栏中输入192.168.1.1 后,出现用户名和密码对话框,路由器配置默认的用户名和密码都是admin,然后点击“确定”按钮,即进人路由器配置界面,如图1-2 所示:
深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录
一、项目概况 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及,单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限,在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天,不仅违反了《公务员管理条例》,而且挤占有限的带宽资源,造成大量基于网络的办公应用受到影响,极大地降低了办公效率;同时无法管控的信息渠道可能导致机密信息的泄漏,导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下,如何管理好单位内部职工的日常上网行为呢?深信服上网行为管理系统(以下简称AC)将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络,杜绝带宽资源滥用,加快上网速率,提升工作效率;记录上网轨迹,管控外
发信息,规避泄密和法规风险;防止PC中毒,防止组织机密外泄,保障内部数据安全;智能数据分析提供可视化报表和详细报告,为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者,在2005年最早开创了上网行为管理的市场;深信服上网行为管理获得了多项产品专利技术和媒体奖项,已服务于1万多多家客户,受到了市场的一致认可;自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 (一)对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠,又能提升组织内网的可用性和安全性。 一是,可以过滤恶意网页,防范恶意攻击。AC内置了庞大的恶意网址库,并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为,以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤,避免无安全防护的终端染毒、被劫持,提升内网安全。二是,可以监测出异常
深信服上网行为管理-管理员手册 深信服电子科技有限公司
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。
2.1 举例:上网行为管理和带宽管理综合场景 配置部门/用户的上网行为控制和审计策略以及带宽管理策略,控制和审计部门/用户访问Internet的行为并进行带宽管理。但对于某些特殊用户,不控制和审计其访问Internet的行为,且需要保证其最小带宽。此外,所有部门/用户访问某些信任地址(如Windows补丁 更新服务器)均不进行上网行为控制和审计。 组网需求 如图2-1所示,ASG以网桥模式部署。 图2-1上网行为管理和带宽管理综合场景典型组图 具体需求如下: ?需求一:“部门A”中的“用户a1”为特殊用户,不需要对其上网行为控制和审计。 ?需求二:对于“部门A”中的其他员工以及后续新增子部门和员工,上班时间(周一到周五,8:30~18:00)只能访问工作类网站,且任何时候均只能浏览,不能通 过论坛、博客等提交文本内容和外发文件。 ?需求三:对于“部门A”中的其他员工以及后续新增子部门和员工,审计员工访问的网站,并记录员工访问次数,了解员工的上网情况。 ?需求四:“部门A”中所有员工访问Windows补丁更新服务器均不受控制和审计。 ?需求五:“部门A”员工可使用的最大下载带宽为10MB/s,为保证“用户a2”拥有足够带宽且不影响其他用户正常上网,需要保证其最小下载带宽为4MB/s,最 大带宽为5MB/s。
配置思路 1.通过快速向导配置ASG以网桥模式部署,确保网络通信正常。 菜单路径为“网络 > 快速向导”。 2.创建本地部门/用户或者从第三方服务器导入部门/用户,并配置部门/用户的认证 策略。只有分配给部门/用户的内容控制策略才有效。 菜单路径为“用户管理 > 上网用户 > 部门/用户”。 3.为实现需求一,将“用户a1”的账号添加到免管控用户。 菜单路径为“用户管理 > 上网用户 > 免管控用户”。
GW系列上网行为管理 --网络无限,安全无忧 随着信息化程度的提高,多线程的下载、在线视频、在线游戏、P2P 应用、蠕虫病毒、以及DoS/DDoS 攻击等多种新型的流量在网络中大量出现。在不作控制的情况下,这些非关键业务严重影响网络中正常业务的运行,导致网络资源的极大消耗,并由此引发了安全性威胁、工作效率低,甚至法律纠纷等一系列问题。因此对网络流量的有效管理,是决定业务正常开展的关键因素。 汇集多年网络安全开发和嵌入式产品开发经验,厚积薄发,我公司最新推出的上网行为网关产品。集上网行为管理、流量控制、防火墙、IDS/IPS、内容过滤等功能为一体。 功能介绍 ●专业的上网行为管理:URL、邮件、BBS、博客、游戏各种应用均可自由管理; ●专业的流量管理功能:可根据IP、时间、服务进行各种详细的控制;
●强大的防火墙功能:灵活的安全规则、防止各种攻击; ●丰富的认证方式:用户名密码、AD 、RADIUS 、LDAP 、POP3 等多种认证方式 ●强大的协议识别与管理:高效管理P2P、IM软件、网络游戏、在线视频等; ●支持多链路:支持多链路的负载均衡和备份链路自动切换; ●详细的统计及报表功能:内置报表服务器、支持外部报表功能。可对全网流量进行采 集和统计、分析用户网络行为。 ●配置灵活:采用了WEB 和CLI管理模式,可通过telnet、http/https、ssh 等多种 模式来管理系统,管理方便、人性化设计,易于配置。 ●自主知识产权的开发,支持自定义的网络传送协议,可灵活配置; 技术优势 完全自主知识产权,灵活的管理方式和配置模式,为用户打造高效稳定的网络应用。 系统界面 1.1智能的协议识别 提供对数据流的深度检测功能,对网络流量能准确的按协议类型识别,包括常规的应用、
上网行为管理技术方案4 (1)项目目标 建立信息安全等级保护体系,增强网络接入准入认证,对上网行为进行管理。增强网络及电脑等终端设备安全性,防止信息泄露,病毒感染。 为了实现实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅实现功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,故需要一套管理平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。本项目
需要事先帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。 并保证安全可靠,保证环保及其他上传数据安全稳定运行,不会因此系统原因造成中断。 (2)项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下: 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作,达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工
深信服上网行为管理部署方式及功能实现配置说明(标化院) 设备出厂的默认IP见下表: 接口IP地址 ETH0(LAN)10.251.251.251/24 ETH1(DMZ)10.252.252.252/24 ETH2(W AN1)200.200.20.61/24 AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。 『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能; 网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能; 旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且
可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。 路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。 配置方法: 第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。 第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为路由模式,点击下一步
飞鱼星上网行为管理路由器 功能介绍 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
飞鱼星上网行为管理路由器VE系列 产品概述 飞鱼星上网行为管理路由器--VE系列(VOLANS Enterprise Series),专为企业、政府机关、教育及科研机构等用户设计,是具备“上网行为管理”和“多WAN路由器”双重功能的新一代硬件网络接入设备。它能帮助企业对员工使用因特网的情况进行监控、生成报表并进行管理;帮助企业提高员工的生产率、节省网络带宽并且减少法律风险。 飞鱼星VE系列基于INTEL IXP硬件架构,提供2-4条外线接入,为用户提供高性价比的网络解决方案。 飞鱼星上网行为管理路由器VE系列 产品特点 规范上网行为,员工工作效率高 ●在工作时间通过上网行为管理功能,规范员工的网络行为,杜绝办公室沦为“网吧”或 “游戏室”,从企业内部挖潜,大幅提高员工的工作效率。 ●能监控所有用户浏览网址的记录,也能禁止访问最热门的9大类网站,它们包括:休闲娱 乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件和网上银行等。支持网址分类库自动升级。 ●可以禁止员工在网络论坛上发帖,禁止登陆网页邮箱,保护企业的内部资料不被泄露。过滤 网址的关键字和文件后缀名,防止用户下载危险的文件,减少病毒来源。 ●轻轻松松管制QQ\MSN\飞信\SKYPE等聊天工具,并支持多个业务QQ号码的正常使用,这样 既能支持正常业务开展,又能防止使用员工使用私人QQ闲聊。 ●能有效限制BT\迅雷\PPLIVE\电驴等P2P软件,封锁多种主流炒股软件,既能保证正常工作 有足够的带宽,又能让员工专注工作,上班时间不分心。 ●SMTP邮件监控:对于发送的邮件以及附件进行备份监控,保证企业的信息安全。 多条宽带接入,提高网速又省钱 ●最多同时接入4条ADSL线路,捆绑线路提升带宽,节省费用并降低“单线故障”的风险。 内置电信、联通和教育网最新策略库,确保不同的运营商数据各行其道,让网络更流畅。 ●特有的线路负载均衡技术,可根据线路带宽比例和带宽占用率自动分配数据流,提高双线带 宽利用率,让您真正体验到双线的优势。 ●您还能通过 VPN应用连接到办公网络,安全的访问文件服务器、邮件服务器和局域网的所有 资源,就好像您在办公室一样,特别适合员工出差、在家办公等。 合理分配带宽,网络不卡不掉线 ●灵活的弹性流控能为每台在线的PC分配最佳带宽。网络繁忙时,自动抑制带宽大户,保证
上网行为管理路由器配置-管控配置篇 互联网是信息时代企业的生产工具,随着Internet在中小企业的不断普及,一方面员工上网的条件不断改善,另一方面因为缺乏有效的应用管理,网络资源往往得不到合理利用,并给企业带来诸多困扰和安全威胁。 上网行为管理路由器应用示例 西默上网行为管理路由器是面对中小型企业,给予专业网络安全平台,为企业量身定做的高性价比上网行为管理设备。通过URL 过滤、文件类型过滤、关键字过滤、内容检测等多种方式,彻底防止了色情网站、网络游戏、BT 等互联网滥用的行为。通过应用软件的过滤,可以禁止员工在工作时间聊天、播放在线视频,防止带宽滥用,保障关键业务的开展。通过邮件监控可以防止企业重要机密泄露。 同时,智能QOS会根据内网用户数量、上下行带宽使用比率等参数自动均衡每个IP的带宽,充分利用企业带宽资源,保障网络通畅。 假设一家公司的IP 段是192.168.2.1—192.168.2.254 其中研发为 192.168.2.240—192.168.2.254 ,要求研发人员周一到周五上班时间不能下载,不能玩游戏。同时也要对其它上网行为进行限制。 第一步:添加IP对象组:点击“系统菜单”→“上网行为”→“IP对象组设置”,如图1-1所示: 图1-1“添加IP对象组” 在IP 对象组名称中输入“yanfan”(这里必须是字母、数字以及下划线),在IP 地址中输入192.168.2.240 到192.168.2.254,填写完成后点击“添加”,然后点击“提交”。得到如图1-2 所示: 图1-2 “IP对象组” 完成后点击“应用”即可生效。 第二步:时间设置:点击“系统菜单”→“上网行为”→“时间计划设置”得到图1-3:
通程泛华网络信息管理制度 目的: 为加强公司网络管理,规范员工上网行为、提高工作效率,进行控制上网流量;合理分配带宽,提升网络资源利用率,保障公司信息安全,防范网络风险。 特制定下列管理办法: 一、计算机,网络设备与使用者管理 1.1严格落实办公计算机、IP 地址、电脑账号使用人负责制。 按照“一机一址、谁使用谁负责”的原则,登记计算机信息、IP 地址、电脑账号。登记人使用该计算机、IP 地址、电脑账号的直接责任人,对该计算机和IP 地址、电脑账号的信息安全、网络行为负责。使用人发生变动后报网络信息部进行信息修改及更新。 1.2责任人不得擅自拆卸、改变计算机内部配件。 不得修改计算机的软硬件设置、IP地址、DNS等。严格禁止盗用他人计算机、IP地址、电脑账号、0A等各类信息系统的登录账号,否则,一经查出,罚款50 元。进入公司文化建设基金。 1.3严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。 网络资源、IP 地址、电脑账号由网络信息部统一分配,严禁私拉网线,严禁私用路由器及所有影响网络正常运行的设备。如因办公需要增加路由器等设备,需在向网络部信息部报备,填写设备申请单。 1.4保护计算机及周边设备,不要在计算机及周边设备旁摆放有碍计算机 散热的物品,以免损伤,烧毁计算机。使用者每隔一季度须自行 清理计算机灰尘一次。保持计算机及周边设备的卫生清洁,减少灰尘二、网络信息访问管理
2.1 上网权限与分配 为了有限管理公司网络安全和保密文件,对于特定电脑进行禁止上网规范。对于申请开网和临时开网需通过网络申请表,申请审批过方可开通上网权限。网络信息部负责对公司电脑用户上网行为通过防火墙进行控制,对公司内部网络环境进行监控。主要包括访问网站、即时通讯、P2P行为、流媒体软件等。以规范员工的网络权限。 22禁止安装和使用非公司指定即时通信工具,如yy、pp、MSN ICQ Skype、UC和POPO等。如果有特定业务需求,须向网络信息部申请安装,禁止私自安装。 2.3禁止利用公司网络,访问BBS博客和网络游戏,如QQ游戏、等游戏。 2.4禁止利用公司网络,发布、浏览或散播娱乐、购物、反动、邪 教、色情、赌博、交友、证券和暴力等一切与工作无关的网络信息。 2.5禁止浏览在线视频,如优酷、土豆、PPLive 和Qiyi 等。 2.6 禁止使用在线炒股软件、游戏客户端软件、挂机练级、外挂软件 2.7 禁止在网上下载破解软件、辅助外挂等软件 三、网络流量管理 3.1禁止安装和使用P2P 及其它影响网速的上传下载软件,如BT、
网络审计参数 一、性能及配置要求 项目性能 吞吐量≥500Mb 并发会话数≥500,000 用户规模≥1200人 设备接口6个千兆电口,1个RJ45串口 硬盘≥250GB 内存≥1GB BYPASS 支持 二、功能要求 项目指标具体功能要求 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计;多路桥接*支持多路桥接功能,最多可支持四进四出四网桥模式;多主模式*支持两台及两台以上设备同时做主机的部署模式; 网关管理管理界面*支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理*不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; *被控设备加入统一平台支持以硬件证书验证身份; 告警管理*支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证*支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证;
上网行为管理方案建议书 一、引言 根据Dynamic Markets Limited对全球办公室上网情况的调查:在上班时间,中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%,进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度,只有26% 员工在工作场合浏览个人信件,而在中国,这个数字则是60%! 办公网中的办公效率问题 日益发达的互联网让员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。 二、上网行为管理解决方案介绍——合理封堵非业务网络应用 随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。
如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理设备,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率……具体而言,上网行为管理系统封堵非业务网络应用解决方案,将给我们带来下述价值: 1、全方位封堵p2p ,确保正常办公业务带宽 P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。 有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控,对事张驰有度 现在,网络应用不断推陈出新,IT管理人员难以及时收集网络及软件版本,并制定相应管理策略;他们即使花费了大量的精力实现了收集工作,也很难实现对其全面的识别和管理。 为此,上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本,不断更新自己的应用规则识别库。
上网行为管理介绍 提升工作效率 在上班时间限制游戏、聊天、炒股等上网行为,减少员工的工作时间浪费,提升员工的工作效率。生成工作效率报告,提供给各个部门的管理者,便于清晰了解员工工作效率。 优化带宽资源 限制P2P下载、P2P视频、网页视频等浪费带宽资源应用的速率; 保障OA、邮件、视频会议等关键应用的速率; 在不增加带宽投资的情况下,满足核心业务的带宽需求,保障业务质量。 上网行为可视 直观掌握各种上网行为,便于快速指定上网行为管理策略: 查看实时流量趋势图和应用组成情况; 查看热门网站和访问网站的分类排名。 减少安全风险 帮助用户识别大量的风险网站,可以有效阻止员工访问带毒站点;配合终端准入机制,强制员工在计算机上安装必要的安全软件,降低桌面安全漏洞带来的安全风险。减少信息泄密; 对网页发帖、邮件、IM、FTP等方式传输的文字、文件进行全面审计,便于发生泄密事件时进行快速追溯; 如果传输的信息中包含预设的敏感关键字,还可以进行告警、阻断,快速发现泄密行为,防止信息外泄。 遵从法律法规 满足公安部门要求的上网日志记录60天的要求。避免员工访问低俗类网站和违法类网站,净化网页的访问。还可以过滤、审计论坛发帖、IM聊天中存在的政治言论,提前规避法律风险。
产品优势: 专业精准 1)用户识别能力领先 支持20余种用户识别机制,充分满足各种环境下的用户管理需求; 支持不同认证方式的自由组合,可以在同网段内针对不同用户启用不同认证方式; 可为用户自定义各种丰富的用户属性,定位查找用户更方便。 2)网页识别能力领先 内置全球最大的中文网页分类库,可以识别2500万个站点的网页内容。 3)应用识别能力领先 内置600多钟主流网络应用协议库,完全不依赖于IP、端口。无论应用IP、端口如何变化,甚至加密也可以准确识别。 管理人性化 上网行为管理产品需要有效避免员工的抵触,只有提供丰富、灵活、人性化的管理方式,才能真正的使得上网管理制度落地。 1)管理要素丰富 可以基于人员、时间、地点、应用类型,进行灵活的策略定义。 2)员工自助管理 能够采用时间限额、流量限额的人性化方式让员工自己合理安排上网行为,避免简单粗暴阻断带来的抵触。 安全可靠