上网行为管理产品功能特性及案例

1. 上网行为管理（什么能上、什么不能上，包括网页、应用、IP地址、端口等进行控制）2. 网络审计（流量的审计：流量由哪些应用组成、这段时间流量趋势走向等、行为的审计：什么人在什么时间在干什么；报表：TOPN、饼状图、树状图、趋势图）3. 互联网流控（限制某应用/人员/IP 流量最高不超过1M；保障某人员/应用/IP流量通道最小1M，而且用不完1M时可以留着不给其他人用，或者分给其他人用）1. 通过技术手段，封堵于业务无关的网络应用，约束员工网络行为，提高员工工作效率，防止信息外泄，实现外发信息审查，2. 网络带宽整形，划分上网数据通道，实现数据优先级，保障重要人员/应用的访问带宽(速度)，控制非业务流量3. 规避滥用互联网而招致法律风险，防止缺乏上网行为记录而导致事后无据可查、内网网络不安全等问题4. 符合国家法规条例，应对相关部门的审查实现上网数据可视化，了解内网员工网络行为，了解流量分布及趋势，提供IT决策依据产品功能特性：一、上网行为控制，规范员工上网行为，提高工作效率多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别与认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为；独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁；二、强大的监控和审计，保护内部数据安全，防止机密信息泄漏记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件；防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏；独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；三、流量控制和带宽管理，优化带宽资源的使用多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路；对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户(组)、应用类别、时间段等进行带宽分配；智能QoS优先级技术，重要数据优先传送，提升带宽使用效率；智能QOS，重要数据优先传送；四、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持网络行为日志支持海量存储，满足公安部82号令存储60天要求，且日志的查询、统计、审计等不影响网关性能；全面记录所有上网行为日志，图形化的日志查询、审计、统计功能；自动报表，让管理者自动获知组织的网络状况；提供类似百度的搜索界面，实现海量日志的内容检索和搜索；五、更多安全功能，全面提升内网安全级别防范来自公网和源自内网的DOS攻击，提升网络可用性；防ARP欺骗；网关杀毒，从源头上查杀病毒；网络准入规则，修复内网安全短板，提升内网安全级别。

深信服上网行为管理主要作用：能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能，防止机密泄露全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果：1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率上班时间从事私人活动，是办公室皆知的秘密。

管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。

而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。

2.流量控制、带宽管理，提升带宽利用率对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。

基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。

3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。

4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。

企业路由器上网行为管理功能分析第一篇：企业路由器上网行为管理功能分析企业路由器上网行为管理功能分析企业的上网行为管理的技术实现大概分为几个部分：IP分组管理、特定应用封锁、行为审计、行为记录等。

在企业上网行为管理路由器中所必须具备的，从万任上网行为管理路由我们可以分析下它的功能。

IP分组管理是实现上网行为管理的基础，对于每个特定的分组分配不同的上网权限，对各种不同部门、不同业务、不同人员的上网行为管理进行要求，这样才能适应企业的应用状况。

那种不依赖分组的“一键封锁”是不能全面满足用户需求的。

所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。

特定应用封锁技术包括静态过滤、协议型封锁二种模式。

静态过滤是通过封锁特定应用的网络服务器IP和端口，达到应用无法连接到服务器的目的，实现行为封锁的一种方式。

这种功能其实在路由器中早就存在，它是“外网IP过滤”、“端口过滤”、“URL 关键字过滤”等几个功能的组合。

上网行为管理就是厂家把应用项目提出来，预制进产品中，通过一个在界面上的名字表达这个功能。

这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，再一条一条地在路由器上配置保存，这大大提高了产品的易用性。

而协议型封锁是通过对要封锁的协议进行分析，识别上网行为身份，进行对该协议的拦截，实现行为封锁的一种方式。

这是编制在产品的执行程序中的，用户无法自己设置和干预。

包括QQ、某些游戏、P2P等的部分应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP 都是不确定的。

这就需要协议型封锁的方式进行处理。

从技术实现的角度来看，静态过滤是较容易的手段，而协议型封锁对产品设计的能力要求要高得多。

协议型封锁既要吃透应用协议的内部过程，又要在实现的同时照顾路由器的转发效率，照顾多WAN情况下的负载均衡，算法上是比较复杂的。

当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。

万任科技上网行为管理功能简述万任科技上网行为管理能够有效的规范员工上网行为、保障单位内部信息安全、防止带宽资源滥用、防止无关网络行为影响工作效率、记录上网轨迹满足法规要求、管控外发信息降低泄密风险、掌握组织动态、优化员工管理、为网络管理与优化提供决策依据、防止病毒木马等网络风险、低成本且有效推行IT制度等等；一、网络安全性▲实施全面的上网行为管理，使网络安全建设符合国家对企业使用互联网的管理规定（《公安部令第82号》）▲识别与阻断网络攻击，保护网络设备的安全。

▲限制每个员工的最大并发连接数，大大提高单位网络的安全性和可用性。

杜绝因为个别员工主机中毒，而导致整个网络瘫痪的情况。

▲对聊天软件的内容、邮件（包括正文和附件）、网络浏览、论坛、博客与微博、通过HTTP或者FTP上传文件等上网日志进行记录，防止通过上网泄露单位的商业或者研发机密。

二、网络管理▲禁止员工在工作时间炒股、玩网络游戏、看网络视频，可以大大提高员工的工作效率。

▲屏蔽大量反动、色情等非法网站或者与工作无关的网站，降低单位的法律风险，同时提高员工工作效率。

▲关注重要员工上人力资源网站的情况，提前获知重要员工的离职倾向，也可以追溯离职员工的网络行为。

产品优势1、企业网关统一管理系统••集企业级上网行为管理、流量控制、路由器、防火墙、链路负载均衡于一身的综合管理网关。

‚集中的管理可以让网络管理员在一个平台上对网络进行全面的管理，降低操作复杂度。

2、网络协议分析实时、准确••网络应用识别率高，流量统计实时准确，真实反映网络状态。

‚流量显示实时性强，数据每5秒刷新一次，方便及时发现网络问题。

3、强大的员工上网日志审计功能支持以下员工上网日志审计：•网页浏览/ 网页搜素/ 网页POST / 文件与视频web下载‚微博&博客登录、发帖、回帖、转发/ 论坛登录、发帖、回帖、转发ƒ客户端邮件（包含正文与附件）/ WebMail（包含正文与附件）…QQ / MSN / MSN文件/ 飞信/ 雅虎通…FTP / Telnet等†网络日志留存超过60天以上4、特有的员工上网行为统计••提供数十种统计报表，可以对单位、部门、个人的上网流量、上网时间、网站访问、邮件收发、聊天信息、财经炒股、网络游戏等网络行为进行分析。

海蜘蛛上网行为管理综合应用案例2011-10-20 14:10:50标签：海蜘蛛上网行为管理综合应用案例版权声明：原创作品，谢绝转载！否则将追究法律责任。

海蜘蛛软路由系统是一套运行于普通PC上的路由系统，基于稳定的GNU/Linux 2.6 系列内核开发。

它以用户需求为导向，逐步开发了路由系统的各个通用模块。

其中它的上网行为管理功能模块主要是针对企事业单位、政府机关等网络实际应用环境量身设计。

专门用于解决企业网络安全和杜绝企业员工在上班时间利用网络玩游戏看视频等娱乐现象，提高企业的网络效能。

下面我们看一个实际的海蜘蛛上网行为管理综合应用案例：需求描述：某单位分为4个部门，在各部门之间用不同的网络策略限制，具体如下：1、财务部只能访问工商银行。

2、技术支持部只能收发电子邮件。

3、销售部不能玩网页游戏，不能上QQ聊天。

4、研发部不能访问百度和新浪网页，另外对研发部员工a禁止其使用炒股软件。

网络拓扑如下：具体设置过程：1、新建用户与分组：登陆海蜘蛛路由主页面，进入“上网管理”->“预定义对象”，进入IP对象页面，选择“新增”，如图：输入要管理对象的名称（自定义）和IP地址，然后点击“获取”，系统可根据IP地址自动获取其MAC地址，然后保存设置。

设置好所有用户后，我们再进行分组设置。

进入“上网管理”->“对象分组管理”，进入IP分组页面，选择“新增”，如图：这里我们按部门划分不同的组，例如我们这里把研发部a、研发部b划分为研发组，并保存。

分好组后，核对确认各组成员准确无误。

如图：2、新建时间和网址对象进入“上网管理”->“预定义对象”，选择“时间对象”页面，选择“新增”，如图：在编辑页面里，填好名称，选择起始与结束的日期，以及每天的起止时间：注：工作日指周一到周五设定好后保存，再进入网址对象，选择“新增”，填写名称与网址并保存，如图：注：网址列表的域名最好填写网站的顶级域名，并保留域名前的“.”。