上网行为管理解决方案讲解

深信服上网行为管理

解决方案

深信服科技有限公司

2014年5月5日

目录

一、项目概况

随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及，单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。

由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。

在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。

二、深信服上网行为管理产品介绍

深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外

发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。

三、具体功能介绍

（一）对内网具有安全防控功能

深信服上网行为管理在提高用户的上网安全方面提供了大量的

技术保证。既能保障AC网关自身的稳定可靠，又能提升组织内网的可用性和安全性。

一是，可以过滤恶意网页，防范恶意攻击。AC内置了庞大的恶意网址库，并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。二是，可以监测出异常

流量并对其进行阻断。检测常规端口(如网页、FTP、Email等)中的异常协议流量，识别并阻断木马、间谍软件、远程控制等危险行为；识别并阻断来自内网的端口扫描行为，滥发垃圾邮件行为。三是，可以严格控制外发信息。支持基于文件特征和扩展名识别文件类型，识别篡改、删除、压缩、加密外发文件行为，全面保护信息安全。

（二）对限制网络行为，做到精准识别管控

识别是管理的基础，深信服AC 全面的应用识别系统能帮助管理者透彻了解网络应用现状和用户行为，保障管理效果。

一是，具有最大的应用识别规则库。深信服AC 具有国内最大的应用识别规则库，能够识别850 种以上互联网应用，强大的应用规则研发团队保证应用识别规则库处于最新状态；

二是，可以进行深度SSL 内容识别。SSL (Secure Socket Layer)协议，被广泛地用于Web 浏览器与服务器之间的身份认证和加密数据传输，可确保数据在网络传输过程中不会被截取及窃听。深信服AC 通过关键字过滤、邮件过滤，真正实现内容识别，防止恶意用户使用SSL 加密应用绕过管理，全面防范web 风险；

三是，具备网址智能识别，自动分类、自动保存的功能。深信服AC 采用内置预分类URL 地址库，数据量高达两千多万条；智能识别技术可自动提取未知网页URL 特征、内容特征、代码特征等信息后自

动识别和分类，实现未知网页的管控；特有的云系统在设置URL 上报后，可自动反馈不在库内的URL 至厂家，进一步丰富静态URL库；

四是，对迅雷、电驴等P2P下载软件可进行智能控制。通过弱特征识别、动态端口识别、流量特征规则三项技术，深信服AC 能识别并管控未知的、新版本的P2P 和加密的P2P 类应用（下载、电影），让带宽杀手无处遁形。

（三）对上网行为进行精细智能管理

AC不仅可基于用户身份和互联网资源实现差异化的上网权限灵活管理，还可基于访问行为（如看帖发帖、收发邮件、上传下载等）进行权限管控。

一是，对上网流量控制精细，提升上网速度。通过灵活多样的流量管理策略，精细、公平地保障核心应用带宽，优化利用率，提升网络稳定性；在管控流量的同时，深信服AC利用特有的“内存缓存加速”技术，当内网用户访问相同互联网资源时，可直接从上网行为管理设备中提取传输，减少冗余数据反复传输浪费带宽的频率，能削减30%以上互联网流量，大幅提升上网速度。

二是，可以自动提醒用户功能。用户指定的应用时长、速度超限后，系统会自动提醒违规行为，敦促用户自觉规范，减少员工抵触情绪减少管理带来的摩擦；。

三是，可以做到风险智能预估。深信服AC可以根据管理者指定的风险行为特征及相应风险系数，自动分析日志并与管理者指定风险特征比对，发现潜在的风险并预警，最后为管理者呈现直观的风险智能报表。

四是，管理权限划分细分。完善的免审计Key和日志审查Key技术，能帮助组织避免过度审计情况的发生。既可以做到对员工上网行为进行管理，同时也保护了组织信息机密和个人隐私安全。

四、设计思路

通过针对单位信息网络业务需求分析，结合上网行为审计系统建设原则，总结出本次方案的设计思路：

1、在网络出口处部署上网行为审计系统，对单位网络的进出数据流量进行记录审计。（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现网络行为审计。）

2、根据单位组织架构和人员分布，建立用户组树形结构，匹配单位目前组织架构，为后续网络管理奠定基础。

3、对员工在日常办公中的上网行为，例如网站访问、邮件发送、文件下载、在线视频、网络游戏等进行识别后。通过上网行为审计系

统的审计功能，对员工上网行为进行记录，并形成日志报表，为单位决策提供依据。

五、方案介绍

（一）解决方案

通过在网络出口处部署上网行为审计系统（以下简称AC），对内网用户的上网行为进行记录审计。（在内网部署上网行为审计系统，旁挂于核心交换机，在核心交换机上通过端口镜像将上网流量复制到上网行为审计系统，从而实现行为审计。）

1、身份认证。为了有效区分用户和用户组，在上网行为日志中便于统计，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、误审错审等现象出现。身份认证可通过本地认证、外部认证和短信认证三种方式实现。本地认证——包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。外部认证——AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确

识别上网用户，从而对该用户进行流量管理，而对于未通过认证的用户则限制其网络访问权限。短信认证——随着移动互联网的普及，无线网络区域大范围覆盖。无线网络不仅安装便捷、使用灵活，还具有经济节约、易于扩展等优点，可以轻松避免有线网络的各种不足。为了让移动用户能够简单快速的接入无线网络，AC提供短信认证功能，用户使用智能终端接入无线网络，未认证用户被重定向到认证页面，用户通过短信的方式获得密码，从而进行身份认证。

2、应用识别

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理问题。因此，全面的应用识别帮助管理员掌控网络应用现状和用户行为，从而进行有效的上网行为审计，输出报表直观明了。

一类是应用识别规则库。AC内置庞大应用识别规则库，分为26个大类，包含1100多种应用、2500多种规则，可实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive、微博、社区论坛、网盘、在线视频、网络游戏、在线炒股等网络应用行为进行管理和识别。对于未知应用，AC支持自定义功能，用户可通过协议、IP、端口等元素定义内网系统应用，从而进行识别。针对目前P2P应用泛滥的趋势， AC的P2P智能识别技术基于P2P行为进

行识别，不仅能够支持对现有的BT、迅雷、电骡等P2P软件，还能够对不常用的、未来可能出现的P2P软件进行有效识别。并且对P2P 行为严重吞噬带宽资源的问题，提供P2P应用封堵措施。针对类似P2P难以管控的应用，AC内置应用智能识别库，自动判断新出现应用特征，从而归类管理。

另一类是加密应用识别。SSL (Secure Socket Layer)协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此，一方面，越来越多的网页使用SSL加密，如Google 搜索、Gmail、QQ邮箱、bbs甚至赌博网站，而因为采用了加密技术，普通的管理产品无法对其内容进行识别管理，别有用心的用户可以利用这一缺陷绕过管理，通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息，导致管理漏洞。AC可以对SSL 网站提供的数字证书进行深度验证，包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等，防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户，此功能亦应用于过滤SSL加密的色情、反动站点，证券炒股站点等。此外，AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”（专利号ZL200710072997.1）具有对SSL加密内容的完全管控能力，支持识别、管控、审计经由SSL加密的内容，如支持基于关键字过滤SSL加密的

搜索行为、发帖行为、网页浏览行为，审计SSL加密行为如邮件发送行为，为单位打造坚固无漏洞的管理。

3、行为审计

在日常工作中，单位职工会涉及政府部门一些涉密信息，这些信息一旦公开，将会给单位或政府带来巨大的隐患。当这类事情出现的时候，为了在最短的时间内找到网络违法的当事人，避免由单位承担相应法律责任。因此，通过AC的应用审计功能，详细记录员工的日常上网行为。

一是通过实时监控。AC支持实时监控功能，可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况，简单快捷。运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。安全状态实时汇报内网用户安全情况。此外AC还支持实时连接监控，显示用户的所有会话连接状况。

二是通过应用审计。AC内置庞大应用识别规则库，分为26个大类，包含1600多种应用、2500多种规则，可识别目前网络中各种主流常见应用，如微博、社区论坛、网盘、在线视频等。同时，具备千万级的URL库，能够识别出主流网站。通过对URL和应用的识别，AC

能够记录下用户的日常上网行为。

三是通过内容审计。AC实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用邮件延迟审计技术保证先审计后发送。对于通过Webmail发送邮件，AC全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于微博、社交论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，AC也能完全监控和记录等。同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3和网页，AC可以基于关键字过滤和内容审计记录。

4、数据中心及报表

AC独立数据中心可以实现日志海量存储，而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能，将直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果，并且支持导出PDF等文档、Email投递等功能，方便IT部门将统计结果向高层汇报。AC的风险智能报表能够深入挖掘日志，根据管理员指定的上网行为特征及阈值，自动挖掘日志，自动帮助组织提前发现风险，包括：离职风险智能报表、泄密风险智能报表、工作效率低下风险智能报表等。对于BBS发帖， AC还支持

进行热帖排名，只准看贴不准发帖的灵活管控方式。通过AC数据中心的内容检索工具，可以实现类似Google一样的内容搜索，从海量日志中查询需要的日志记录，并且支持高级搜索，支持订阅和自动Email投递功能，极大的方便了管理者的使用。

五、方案优势

深信服上网行为管理技术基于对网络应用的识别，通过识别出应用的类型、特征，从而对上网行为进行管理。AC具有千万级的URL 库和国内最大的应用识别规则库，包含1100多种应用、2500多种规则，可识别目前网络中各种主流应用，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。通过应用识别，管理员能够有的放矢地限制内网用户的上网行为，如限制访问哪些网站、使用什么软件，全面管理无漏洞。

同时深信服上网行为管理系统不仅能够限制内网用户的上网行为，还可以记录内网用户访问了哪些网站，使用了哪些应用，并对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助单位深入的了解员工上网行为。

贵单位通过在网络出口部署深信服上网行为管理系统AC，不仅

可以加强对员工上网行为的管理，提高工作效率同时还能够避免泄露机密的风险。

深圳市南山区麒麟路1号科技创业中心4楼

Add: 4th Floor, Incubation Center,

No.1 Qilin Road, Nanshan District,

Shenzhen P.C.:518052

产品咨询热线：800-830-9565

Email:master@https://www.sodocs.net/doc/a97039607.html,

上网行为管理路由器配置-网络配置篇

上网行为管理路由器配置-网络配置篇 一、配置您的计算机网络设置 1、打开路由器的电源开关，等待片刻，当路由器前面板的灯匀速闪烁后，表示路由器 已经进入工作状态，可以接受配置。 2、请正确配置计算机的网络配置，并加载TCP/IP协议。 3、由于路由器默认带有DHCP服务，您的计算机会自动获取192.168.0.2-192.168.0.254 之间的IP地址，子网掩码为255.255.255.0，网关为192.168.0.1。 4、单击计算机的“开始菜单”→“运行”，在运行中输入cmd，可以使用下面的命令来 检查您的计算机和本产品是否正常连通。如图1-1所示： 图1-1 测试连通性 如果出现以上显示，表示网络连接正确，可以进行下一步的操作，如果屏幕提示为：Pinging 192.168.1.1 with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out 说明设备未正确的安装，可以按照下面的步骤进行检查： 1、设备的物理连接是否正确？ 与计算机网卡相连的双绞线的另一端必须接路由器内网口并且网线两段的网 络接口的指示灯必须正常点亮。 2、计算机的TCP/IP协议是否设置正确？ 您的计算机IP 地址必须为192.168.0.* （*的范围2—254），子网掩码为 255.255.255.0（即在同一网段）。 二、登录界面： 将路由器LAN 口与计算机连接好后，计算机会自动获取到192.168.1.1/24 段地址，在浏览器的地址栏中输入192.168.1.1 后，出现用户名和密码对话框，路由器配置默认的用户名和密码都是admin，然后点击“确定”按钮，即进人路由器配置界面，如图1-2 所示：

上网行为管理解决方案

深信服上网行为管理 解决方案 深信服科技有限公司 2014年5月5日 目录

一、项目概况 随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。随着互联网的普及，单位业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。 由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。 在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。 二、深信服上网行为管理产品介绍 深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外

发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。 三、具体功能介绍 （一）对内网具有安全防控功能 深信服上网行为管理在提高用户的上网安全方面提供了大量的 技术保证。既能保障AC网关自身的稳定可靠，又能提升组织内网的可用性和安全性。 一是，可以过滤恶意网页，防范恶意攻击。AC内置了庞大的恶意网址库，并且实时更新。它通过检测恶意脚本的写注册表、写文件、系统调用等危险行为，以此过滤恶意脚本。独有专利根据插件签名合法性、有效期、插件名称等校验来自网站的插件并过滤，避免无安全防护的终端染毒、被劫持，提升内网安全。二是，可以监测出异常

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

企业上网行为管理解决方案4.doc

企业上网行为管理解决方案4 问题描述 利用公司宽带下载影响办公、上班时间娱乐、网络设备老旧，这些是企业网络经常面临的问题，然而有限的预算能否解决这些问题呢？ 1、P2P应用泛滥，网络拥堵 企业网的带宽资源通常都比较紧张，即使条件非常好的企业也时常遇到网络拥堵的问题。有80人的企业，仅仅使用2M专线接入，加上网内使用P2P下载的人数很多，连开网页都非常困难。 2、网络娱乐降低工作效率 企业对于员工在工作时间玩游戏非常头疼，诸如，QQ农场，MSN游戏平台，导致工作效率低下，但是又不能对QQ、MSN 等即时通信工具作出限制，因此公司需对员工的上网行为进行精确的控制。 3、行政管理手段引起员工情绪不满 针对以上问题，企业会制定上网行为规范，强制执行约束员工的上网行为。但大多数情况是，不仅没有有效地控制员工的上网行为，反而引起员工的情绪不满。对此，管理人员头疼不已，单一的管理手段，无法解决问题。 4、网络设备老旧，产生种种问题

一些廉价的网络设备在使用一段时间以后，便不能满足企业需要了，比如有些企业防火墙不支持第七层的协议分析，有些企业路由器支持并发连接数有限等等。如果有基于第七层网络流量控制的设备，则可以对以上旧设备进行保护，延长其使用寿命，从而降低成本。 解决方案 1、全局划分，控制P2P 网络掌门其流控功能可以有效控制P2P等应用层协议，把P2P应用限制到一定的带宽范围内，并将其他各项网络应用做了一个合理的流量划分，保障浏览网页、收发邮件等关键应用的顺利开展。划分过程中，研发基地在国内、拥有全部自主知识产权的网络掌门对于本土协议97%的识别率优势尽显，网络掌门能对需要解密的协议予以破解，对无需解密的，根据其流量特性模糊识别，合理分类，从而确保带宽划分可靠且实用。 2、通过流控实现对上网行为的管理 网络掌门可以识别HTTP协议，同时对各种网络应用协议的也能够实现精确识别。针对员工的不良上网行为，网络掌门可以对不允许使用的网络协议进行限制，比如在保证QQ、MSN即时通讯工具应用流畅的同时，对QQ网页游戏、MSN游戏平台等应用作出限制。而且，根据每个用户或用户组的不同情况，应用不同的控制策略，精细灵活。 3、可自定义的警告页面 当用户打开这些受限制的应用的时候，桌面将会弹出警告页

上网行为管理技术方案4.doc

上网行为管理技术方案4 （1）项目目标 建立信息安全等级保护体系，增强网络接入准入认证，对上网行为进行管理。增强网络及电脑等终端设备安全性，防止信息泄露，病毒感染。 为了实现实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅实现功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，故需要一套管理平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。本项目

需要事先帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。 并保证安全可靠，保证环保及其他上传数据安全稳定运行，不会因此系统原因造成中断。 （2）项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下： 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作，达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

网络安全等级保护-联合大学上网行为管理集中管控方案

联合大学 网络安全等级保护上网行为集中管控解 决方案

目录 第1章概述——需求分析 (1) 第2章深信服解决方案 (1) 2.1组网拓扑 (2) 第3章方案价值 (3) 3.1控制功能：细致的访问控制，有效管理用户上网 (3) 3.2带宽及流量管理功能：强大流量分析及带宽划分与分配 (4) 3.3方便高效的集中管理 (4) 3.3.1集中管理 (4) 3.3.2实时监控 (5) 3.3.3智能升级 (5) 第4章典型客户 (5)

第1章概述——需求分析 随着互联网行业的逐渐发展，网络已经发展成为联合大学不可或缺的办公依托，然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力，内部的管理压力，这一切都要求联合大学对各个分校区的互联网进行有效的管理，具体问题如下： 1）大量的非业务资源的访问（P2P/BT/在线影音）、超大文件的传输、上传、下载吞噬出口带宽资源，造成关键业务应用访问速度严重降低，带宽出口的瓶颈日益显现出来。 2）互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为学校创造一个健康的绿色的网络环境。 3）网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响。 第2章深信服解决方案 充分考虑联合大学的实际网络状况，建议采用上网行为管理的集中部署解决方案。 上网行为管理策略： 1）通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。 2）内置千万级URL库，具备URL智能识别功能，对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。 3）可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，可设置看帖看不允许发帖，或者实行发帖关键字过滤，避免发表不良言论给学校带来法律追究责任的风险。 4）对所有日志进行报表呈现、数据分析，做到全网网络的透明化管理。 整套网络由联合大学总部及4个分校区组成，由总部集中管理设备实现统一管理： 1）方便快速部署：通过总部的集中管理平台，实现对各校区上网行为管理的配置、选

上网行为管理技术要求

淮南职业技术学院上网行为管理技术要求 一、硬件性能及高可用性要求 标准2U机架设备，网络接口：千兆电口≥4，千兆光口≥4 吞吐量≥1.2Gbps 并发用户数≥5000 并发会话数≥1200000 ，设备CPU必须采用多核并行技术处理，硬盘容量不小于500GB，最好支持1健bypass功能。 二、功能要求 （一）用户认证： 支持IP认证、MAC认证、web 认证及IP/MAC绑定认证等基本认证方式。 （二）流量控制： 1、识别BT、BTCommet、电骡、Foxy等，支持弱特征识别等相关技术，以应对P2P软件 种类多、版本多、更新快的问题（提供自主知识产权证明，加盖厂商公章） 2、必须支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控 3、支持基于访问行为的目标IP实现带宽划分与分配 4、支持基于应用类型、网站类型、文件类型划分与分配带宽（提供产品配置界面证明）（三）行为审计： 1、具备较完整的上网行为管理URL数据库 2、支持审计记录网页正文内容，支持只记录含有指定关键字的网页正文内容 3、支持审计用户的明文发帖内容，支持审计用户在SSL加密论坛、BBS上的发帖内容；（提 供相关技术证明文档） 4、支持审计用户的Webmail邮件外发行为，并支持精准还原原始邮件，支持审计用户通过 SSL加密Webmail网站外发邮件的内容（提供审计如Gmail SSL加密邮箱内容证明文档） 5、支持指定用户通过硬件USB-Key免审计的功能，（USB-Key数量可按用户需求定） 6、支持以USB-Key方式验证接入数据中心的管理员身份并分配管理员的日志审计权限（提 供数据中心验证USB-Key一个） 7、支持热门论坛排行，方便统计内网用户参与热门讨论，支持论坛地址和行为数的链接查 询（提供相关技术证明文档） 三、资质要求： 1、提供公安部信息安全产品检测中心信息安全管理系统检测报告 2、公安部公共信息网络安全监察局《计算机信息系统安全专用产品销售许可证》 3、具备中国国家信息安全产品认证中心ISCCC证书 4、中国软件测评中心（CSTC）《网络安全产品性能测试报告》

深信服上网行为管理部署方式及功能实现配置说明.

深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： 接口IP地址 ETH0（LAN）10.251.251.251/24 ETH1（DMZ）10.252.252.252/24 ETH2（W AN1）200.200.20.61/24 AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能； 网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能； 旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且

可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。 配置方法： 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步

上网行为管理方案建议书

上网行为管理方案建议书 一、引言 根据Dynamic Markets Limited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家的员工多花7.6小时来使用即时通讯(Instant Messenger)工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26% 员工在工作场合浏览个人信件，而在中国，这个数字则是60%！ 办公网中的办公效率问题 日益发达的互联网让员工有了更多的选择，网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间，员工很难不受众多网络娱乐的诱惑，大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上，我们很多企业员工打开电脑的第一件事便是开迅雷，下载电影、视频、游戏；也有为数不少的员工痴迷股海，一心扑在大盘上面；而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种，无不给我们有限的带宽资源带来了巨大的流量压力，给员工的办公效率打了一个大大的问号。 二、上网行为管理解决方案介绍——合理封堵非业务网络应用 随着现代企业管理理念和信息技术水平的提升，如何有效管理与利用互联网资源，这已成为现代企业管理的重要衡量标准。与此同时，上网行为管理的理念愈发深入人心，提升员工网络业务的办公效率，这已经成为企业IT管理者关心的首要问题。

如上图，企业通过以网关、网桥、或旁路模式部署上网行为管理设备，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率……具体而言，上网行为管理系统封堵非业务网络应用解决方案，将给我们带来下述价值： 1、全方位封堵p2p ，确保正常办公业务带宽 P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。鉴于此，上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件，上网行为管理系统独有的网络行为智能分析技术使其同样难逃法网。 有些部门和领导因业务需要使用P2P，在全面封堵的同时，上网行为管理设备还可以提供P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制，上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控，对事张驰有度 现在，网络应用不断推陈出新，IT管理人员难以及时收集网络及软件版本，并制定相应管理策略；他们即使花费了大量的精力实现了收集工作，也很难实现对其全面的识别和管理。 为此，上网行为管理系统针对不断更新的网络应用软件来收集软件类型与版本，不断更新自己的应用规则识别库。

公司上网行为管理规范

员工上网行为管理规范 为有助于大家合理利用工作时间，高效率地完成各项工作目标，更好地营造积极向上的工作氛围，提高公司的网络资源使用率，在不影响大家正常工作的前提下，特制定本制度。 一、应用范围： 1、本制度适用于公司所有员工。 2、工作时间（8：30-12：00；13：15-17：45）必须遵守本制度。 3、下班时间公司上网行为必须遵守国家相关法规，不做有损他人以及团体利益的事情。 二、员工上网行为规范: 1、上班时间在公司禁止玩电脑游戏、炒股、看电影等娱乐综艺视频、看小说、网购、买彩票等。 2、禁止安装与工作无关的任何软件。 禁止在工作时间安装软件一览(请仔细阅读) 禁止安装软件名称危害:1.占用带宽2.限制别人电脑网速,从而加快自己速度. 3.整天乱下载,部分下载的东西捆绑病 毒,入侵及传播网内其他的电脑,影响网速4.乱打开不良网页,中毒5.应用软件没及时打上漏洞补丁,导致系统中毒 P2P 、网路岗、聚生网管、网络执法官等限速软件采用多线程下载软件，如:迅雷、快车、网络蚂蚁、风行、QOVDPLAY 等P2P 多线程播放电视电影、音乐软件，如:皮皮、QQ 影音、P2P 网络电视、PPTV 、PPS 、迅雷等多线程在线音乐软件:如酷狗、QQ 音乐 软件等. 在线炒股软件、游戏客户端软件、挂机 练级、外挂软件 3、不得在上班时间下载与工作无关的文件和图片，如MP3、小说、电子影像文件等。 4、上班时间禁止利用电脑从事与工作无关的事或处理个人事 务。

5、严禁公司员工私自接入无线设备（无线路由器、无线网 卡……）来盗取公司网络资源。【安装无线路由器经人事行政部、总经理批准方可安装】 6、任何时间，员工不得将公司机密，包括计划、经营数据、业务资料、技术资料等通过网络或其他途径透露给他人，一经查明，公司将追究其责任。 7、提倡利用网络了解时事、学习业务、提高技能。 三、解决方案及处罚规定： 1、公司将通过上网行为管理路由器来规范员工上网行为，提高网络资源使用率和员工工作效率，做到尽可能去避免上网行为给公司带来的损失。 2、如发现违规行为，将予以处罚：首次警告，第二次罚标准金额的20%（即10元），【20%标准不明确】第三次起罚标准金额（即50元）。 做出以上规定的根本目的在于规范工作行为，提高正常工作效率，减少网络安全隐患，请各部门支持并执行。

上网行为管理解决方案-1(详细版)

XX公司 上网行为管理解决方案 XXXXXXXXXXX有限公司 2020年

目录 目录 (2) 一、XX介绍 (4) 1.1公司简介 (4) 1.2产品简介 (4) 1.3资质认证 (5) 1.4产品荣誉 (5) 二、上网行为管理– XX行业信息安全新视角 (5) 2.1XX行业信息安全建设面临的问题 (5) 2.2对员工上网行为进行规范管理势在必行 (7) 三、XX集团公司互联网访问管理需求分析 (7) 3.1 项目背景 (7) 3.2需求分析 (7) 四、 XX集团互联网访问管理方案设计理论依据 (9) 4.1基于ISO/IEC 17799信息安全管理标准 (9) 4.2主体管理技术理念 (9) 4.3 主体管理构架于真实的组织结构之上 (9) 4.4 基于行为后果的搜索引擎技术分类网址库 (10) 4.5 细粒度树形协议分类库 (10) 4.6 流行的五元组方式的策略定义 (10) 4.7 DPT,DST技术 (10) 4.8 持续的、可学习的本地更新技术 (10) 4.9 安全基础的PPDR理念 (11) 五、 XX集团上网行为管理解决方案和技术实现 (11) 5.1 整体解决方案 (11) 5.1 总部ICG部署的网络拓扑 (12) 5.2 分公司ICG部署的网络拓扑 (12) 5.3 NSICG的技术实现介绍 (12)

5.3.1可靠高效的硬件系统和智能容错旁路技术 (12) 5.3.2灵活安全的设备管理方式 (13) 5.3.3专业级的应用识别和分类，层次清晰的结构化管理 (13) 5.2.4迅速准确的协议跟踪识别 (13) 5.3.5细致的用户组织结构管理 (13) 5.3.6XX灵活精细的带宽管理策略 (14) 5.3.7异常流量防护报警，保障出口线路的稳定 (14) 5.3.8先进的内容过滤技术，构建文明健康的企业网络 (15) 5.3.9外发信息控制管理 (16) 5.3.10强大的内置流量分析和行为统计报告 (16) 六、产品规范 (16) 6.1产品指标规范 (16) 6.2系统结构图： (16) 七、项目实施管理 (17) 八、产品部署方案 (18) 8.1设备上线安装步骤 (18) 8.2 设备IP、路由说明，地址分配说明 (18) 8.3互联网访问管理部署 (18) 8.4设备可用性测试 (19) 8.5风险分析及回退 (19) 8.6变更实施人员工作分工 (19) 8.7使用期间的维护 (19) 8.8部署完毕后守局并制作使用报告 (19) 九、重点功能实现方案细则 (19) 9.1用户身份鉴别及帐户的管理 (19) 9.2互联网访问提速方案 (20) 十、典型客户 (21) 10.1、典型客户案例 (21) 10.2、典型客户列表 (24)