1、互联网给网络管理带来的挑战

随着信息技术的飞速发展和广泛应用，网络已经渗透到社会的各个领域，成为人们工作、学习、生活中不可或缺的一部分。互联网的商业和通讯业务也随之得到快速增长，在为组织带来更多商业机会、提升组织生产效率的同时，相应地也降低了组织运营、生产和沟通成本。目前，不论政府、学校、企事业单位或是个人与网络的联系越来越紧密，网络一旦出现故障，将严重影响到工作、学习、生活。

1.1    应用网络时代，网络面临的问题

基于互联网的应用从最初的文件共享、文件传输（FTP）、静态网页浏览（HTML）以及 Telnet 等内容单一、静态的、简单、小规模的应用，逐步发展为包括 E-Mail、ERP、OA、CRM、新闻信息、文件共享、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务以及移动终端应用等等在内的动态的、大规模的、复杂的应用。网络承载的内容日益丰富，变得更加复杂、多样化。当今，互联网进入了应用级网络时代，逐步成为一个虚拟的真实社会。P2P传输、网络电视、网络游戏、在线聊天、Web视频、股票软件、网上银行、数据库、物流供应链、各种论坛以及大量未知的内容和信息纷纷涌进网络。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，无法应对日新月异的网络应用给网络管理者们带来的严峻挑战。具体表现如下：

Ø     带宽资源浪费，关键业务得不到保障

据IDC统计数据显示，2007年P2P下载、网络视频等非关键业务的流量横行大肆吞噬了网络67.5%的带宽资源，降低了企业30%-40%的生产率。尽管带宽一扩再扩，却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费，还使得网络关键业务（与用户生产经营、信息安全、关键用户息息相关的各类网络应用，包括ERP、数据库、中间件、电子商务、视频会议等）的带宽无法保证，最终会造成直接的经济损失。

Ø     工作效率低下

据一项调查显示，普通企业员工每天的互联网访问活动 40％ 与工作无关，在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股等无时无刻不在占用正常的工作时间。在降低工作效率的同时还侵占了大量带宽。在高度网络化的现代办公环境里，办公室可能成为“舒适的网吧”，人力资源在无形中浪费巨大。

Ø     敏感信息泄露

电子邮件、MSN/QQ 以及 BBS 论坛等网络应用，已经成为提高工作效率的工具，但如果不加监管，也可能成为泄密的工具。对于政府机关、上市公司以及知识密集型企业，关键设计文档、软件源代码、市场销售计划等核心机密文档，可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部，给组织造成重大损失。

Ø     网络安全方面存在的隐忧

网络技术的发展相应的也给网络安全带来了挑战。有数据表明超过20% 的用户遭受了黑客的攻击，给网络运营和数据安全带来了困扰和损失。同时，令人忧虑的是，尽管网络安全问题造成的损失越来越大，仍然有大量的用户没有引起足够的重视或者说没有找到合适的方法有效提高网络的安全性。

因此在确保组织正常工作和关键业务的安全、高效运行的同时，如何从根本上解决上述问题，才能在显著提高企业的生产效率同时来保障 IT 投资的回报率，这是大部分组织目前在网络管理和运维中亟待解决的问题。

Ø     网络应用可见性差，存在法律风险

一份来自于 IDC 的权威数据显示：80%以上的 IT 管理人员无法准确了解自己的网络。对网络管理来说，自己的网络就像一个黑盒子，里面都跑了些什么应用以及网络的状况根本不清楚，而管理员无法知道异常流量的类型、来源、具体流向、流量大小、持续的时间等，也无法有效规划网络资源的使用，导致网络管理处于无序状态。

为了加强对互联网的控制和管理，公安部颁发的82号令要求各机构要保存至少3个月的访问日志，以便协助公安调查取证。因此，如无有效的管理手段，企业内部对互联网资源的非法访问，比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等，都会触犯相关法律，给企业带来法律风险。

1.2    对网络的管控势在必行

员工的不当行为引发的问题无法通过传统的网络安全设备来实现，网络管理者必须要对网络使用基于内容进行管理，包括以下几点：

       谁能上网 (哪个部门的哪个员工)

            什么时间可以上网 (工作时间/周末、上班时间/休息时间、上午/下午)

       允许访问哪些业务(浏览网页、收发邮件、下载文件、聊天、游戏)

       具体允许访问什么内容(哪个网站、邮件内容、聊天内容)

       允许占用的带宽、会话、流量是多大(每种应用占用了多大的带宽、多少会话数、流量有多大)

2、功能介绍

对于网络资源的滥用，封堵还是放任，这是摆在网络管理者面前的难题，上网行为管理产品提供了灵活的管理策略，根据企业的需求，定制个性化的管理方案，帮助各企业建立安全、高效、健康、和谐的网络环境。

2.1    用户管理

用户是上网行为管理产品的基本要素，任何的行为管理策略都是以用户为核心。因此，对于用户的识别、认证与管理成了行为管理的前提要素，同时也决定了行为管理的效果。上网行为管理产品通过不断地深入实践与研发，提供了灵活而全面的用户管理方式，很好的满足了广大企业对用户管理的需求。

2.1.1   组织结构

对于用户数比较多的企业，有一个清晰的组织结构非常重要，便于管理员对用户的管理、查询和定位。上网行为管理设备支持树型结构的用户管理，并且不同的用户组之间可以灵活的调整成员用户，从而可建立与企业行政组织结构相同的网络组织结构，如下图所示：

 

2.1.2   自动分组

对于用户数比较多的网络环境，第一次构建组织结构时，如果让管理员手动的去建立每一个组和用户是很不现实的。在大多数情况下，管理员并不会对每一个用户单独的设定一个管理策略，而是针对某一类用户进行统一的管理。所以自动的创建用户组和自动的分配用户就显得非常重要。

上网行为管理设备支持将新入网还未在组织结构中的用户根据预设的IP 网段进行自动分组并设定策略。新入网的用户可以根据其IP地址、MAC地址、主机名、VLAN ID等多种方式来定义用户名，可以达到各种网络环境的需求，如静态IP环境、DHCP环境等等。每个用户还支持别名的功能，管理员可以为其添加别名，以更加直观的方式来呈现用户，为后续的行为审计、统计奠定了基础。

对于外来访问的临时用户，管理员可以为其分配一个特定网段，将其加入临时用户组，并预设一定的访问权限。同时可以设定用户离线多久就自动删除该用户，从而大大的简化了动态用户的管理，增强了用户管理的灵活性。

2.1.3   内网主机扫描

上网行为管理设备可通过 NetBIOS 协议扫描内网的主机信息，扫描结果将列出每个主机的 IP 地址、MAC地址和主机名等，然后可以将其加入某个用户组中，逐步完善组织结构的管理。另外，在对用户进行IP/MAC绑定时，管理员只需要输入某个主机的IP或者MAC等信息，就可以扫描出对应的其它信息，从而大大简化了管理员的工作。

2.1.4   用户导入

除了自动分组和内网主机扫描以外，上网行为管理设备还支持批量导入用户的方式，以多种灵活的方式方便管理员建立组织结构：

²      自定义文件：可将管理员定义的包含批量用户的Excel文件导入系统，从而批量建立用户组和用户。

²      LDAP/AD用户导入：可将LDAP/AD服务器中的用户信息导入组织结构中，并自动创建默认的组权限，同时，上网行为管理设备还支持定期与LDAP/AD服务器同步用户信息，实现用户的定期更新。从而实现了与原有网络管理平台的结合，达到了全网用户统一管理的目的。

2.1.5   多种身份认证方式

用户身份认证有两种方式：客户端认证和免客户端认证。上网行为管理设备支持免客户端的WEB认证，即通过浏览器就可以完成全部的认证。上网行为管理设备支持丰富的身份认证方式：

       本地认证：用户名/密码认证；

     第三方服务器认证：LDAP、AD域、Radius、POP3、微信认证、短信网关、SMP服务器等；

       免认证：IP免认证、MAC免认证、ip-mac绑定免认证；

       单点登录：AD SSO、PPPoE SSO、Radius SSO、WEB SSO、PROXY SSO、城市热点SSO、H3C IMC SSO等；

       强制认证：强制指定IP段的用户必须使用单点登录（如必须登录AD域），否则无法接入互联网；

上网行为管理设备也支持多种认证方式的混合使用，可为不同的用户配置不同的认证方式，实现用户的差异化管理。比如，一部分用户使用本地服务器认证、一部分用户结合LDAP服务器认证，一部分用户不需要进行身份认证。

2.1.6   支持策略继承

上网行为管理设备提供了多种配置策略的方式。每个组都可以有自己独立的上网策略，子组也可以继承父组的策略，父组也可以强制子组继承自己的策略。

2.1.7   IP/MAC/VLAN绑定

上网行为管理设备支持二层网络环境和三层网络环境的IP、MAC、IP+MAC和VLAN ID的绑定，可自动阻断哪些非法占用他人IP的用户上网。

2.1.8   认证账户有效期

对于一些临时的用户，通过有效期的限定可以控制这些用户的上网时间范围，当用户超出预设的时间有效期，就不能上网。很好的控制了外来用户上网的准入性和上网时长。同时可以设定用户离线多久就自动删除该用户，从而大大的简化了动态用户的管理，增强了用户管理的灵活性。

2.1.9   公用账户

上网行为管理设备的认证账户可支持多人同时登录，比如一个员工有2台电脑，那么可以用同一个账户认证，这样两台电脑的流量和行为都记录在同一个账户上，以便统一网络中的流量统计和行为审计与行为分析。

2.1.10 临时账户

支持临时用户自主申请临时账户，方便于外来的临时用户上网使用。支持自动审核和管理员手动审核的核定方法将临时账户加入到组织结构中，从而减少管理员对临时账户的频繁配置，同时统一了临时账户的上网权限和使用期限的管理。

2.1.11 登录重定向

上网行为管理设备支持网页重定向的功能。当用户认证成功后，上网行为管理设备可以将其第一次的WEB访问重定向到预设的URL链接。此功能适合于政府机关、企业集团、大中小学等、或者酒店等网络环境，便于用户上网的时候直接导向最新的公告信息。

2.2    网络流量识别

要控制好各种应用，必须首先准确的识别。传统的安全设备通过IP或者端口封堵各种协议，但这只能局限于网络层和传输层的标准协议，如HTTP、FTP等。P2P、网络游戏、网络电视等一系列应用都是通过协商动态产生的端口，不再是固定的端口，而且诸如电驴、Skype等协议还是加密的，面对这种应用传统的设备完全无能为力。

上网行为管理设备以 DPI（Deep  Packet  Inspect，深度包检测） 技术为核心，结合基于报文内容及基于行为特征的技术，实现网络中应用的自动识别和智能分类。上网行为管理设备可以探测和跟踪动态端口分配，通过比对协议的特征库，能够识别变动端口的流量，并能够对使用同一端口的不同协议进行自动识识别。下图就是上网行为管理设备识别各种应用采取的方法。

到目前为止，上网行为管理设备已经支持多种协议的识别，如下所示：

       常用协议：HTTP，HTTPS，FTP，Telnet，DNS，SMTP，POP3，Lotus_Notes，IMAP，NetBIOS，CVS，DHCP，NTP，NFS，ESP，AH，NNTP，SNMP，TFTP，BGP，VRRP，HSRP，VNC，UPNP，Syslog，SSL，SSH，SQL，MySQL，SOCKS，SCTP，RIP，OSPF，Remote_Desktop，PPTP，PING，PING_v6，LDAP，L2TP，IKE，IGMP等。

       HTTP应用：网页文档下载，网页音频，网页flash，Web下载，HTTP多线程下载，伪IE下载，普通HTTP下载，Facebook，Plurk(噗浪)，QQ空间应用，开心网，人人网，HTTP代理，大量Web访问，HTTP文件上传，伪SSL等。

       FTP应用：FTP上传文件，FTP下载文件，FTP命令。

       视频网站浏览：凤凰视频，华数TV，新华网，乐视网，17173游戏视频，奇艺网视频，播视网视频，潘朵拉TV，天地视频，第一视频，东方宽频，优酷，我乐网，搜狐视频，酷六视频，爆米花视频，六间房，土豆网，新浪视频，齐鲁网视频，激动网，网易视频，金鹰网视频(芒果TV)，第一财经视频，Yam番薯藤，音悦台，电影网视频，迅雷看看，风云直播，中国网络电视台，百度视频，PPTV等视频浏览。

²      WEB视频：六间房，土豆，新浪视频，我乐网，搜狐视频，酷六视频，爆米花视频，优酷，第一视频，齐鲁网视频，东方宽频，凤凰宽频，华数TV，激动网，网易视频，金鹰网视频(芒果TV)，新华网视频，YouTube，乐视网，17173游戏视频，yam影音，音悦台，电影网视频，奇艺网视频，第一财经视频，中国网络电视台，HiNet hiChannel，百度视频，潘多拉TV，百度视频，天地视频，播视网视频，BilibiliTV，人人听力视频，泰捷视频，Flash视频等。

²      P2P 下载：酷狗，百度音乐，多米音乐，酷我音乐盒，迅雷，网际快车(FlashGet)，Flash加速，QQ(超级)旋风下载，BT，Gnutella，电驴，GoGoBox，汉魅，RealLink，Raysource，顶悦视听盒，宝酷噢，foxy，ZCOM杂志订阅器，天网Maze，P8数字娱乐传播平台，酷宝娱乐互动，网络蚂蚁，飞鱼娱乐，WinMX，DirectConnect，Clubbox，KKBOX，影视下载等。

       流媒体：PPTV，PPS影音，Qvod 播放器，TwitchTV，风行网络电视，迅雷看看，腾讯视频，沸点影视盒，Ustream电视，UUSee网络电视，搜狐影音，SopCast，暴风影音，风云直播，百度影音，MMS，RTSP，海康威视等。

       网络游戏：QQ游戏系列，盛大游戏系列，网易游戏系列，完美时空系列，九城游戏系列，搜狐畅游系列，天晴数码系列，巨人游戏系列，久游游戏系列，金山游戏系列，蓝港在线系列，光宇游戏系列，天游游戏系列，小游戏(棋牌游戏)，RUNUP(云起)系列等。

       即时通信：MSN， YahooMessger，QQ/TM，WebQQ，企业QQ，网易泡泡，淘宝旺旺，新浪 UC，中国移动飞信，淘宝旺旺，雅虎通(Yahoo)，聪慧发发，校内通，阿里旺旺，腾讯通，微信网页版，微信文件，易信，京东咚咚，有缘婚恋，竞时通，百度HI，GoogleTalk，新浪SHOW，飞秋等。

       股票行情：股票行情-同花顺，股票行情-大智慧，东方财富通，和讯财经，安信行情，齐鲁证券，大福星，股票行情-通达信，国信金太阳，钱龙系，申银万国金典版，大有期货，证券之星财富版，广发证券至强版，168(888)行情系统，指南针，金融界，财龙投资，光大证券超强版，光大证券大智慧，光大证券钱龙金典，国泰君安大智慧，银河证券网站版，国元证券，操盘手，HY trader，中信建投博易大师，中信建投大智慧等。

       股票交易：股票交易-大智慧，安信证券，银河期指快速交易，银河期指套利交易，钱龙金典合一版，恒生投资赢家，股票交易-同花顺，国金太阳服务终端，广发证券至诚版，广发独立交易，双子星交易，双子星云服务，双子星融资融券，海通_核新，海通_SSL，同花顺新一代，股票交易-通达信，国泰君安，快期期货，博易大师，中国国际期货网上交易等。

       网上银行：中国建设银行，中国工商银行，中国农业银行，中国招商银行，中国人民银行，中国民生银行，交通银行，中国光大银行，兴业银行，上海浦东银行，平安银行，台湾银行，台北富邦银行，台新银行，第一商业银行，汇丰银行，中国信托商业银行，台湾企业银行，渣打银行，联邦银行，日盛网络银行，京城银行，元大商业银行，远东国际商业银行，高雄银行，庆丰银行，华泰银行，永丰银行等。

       网络电话： Skype，YY语音，ET263，Netmeeting，阿里通网络电话，和悦网络电话，KC网络电话，RedVip，SIP等。

       网络存储：360云盘，七牛云，新浪微云，金山快盘，百度文库，百度网盘，迅载网盘，为知笔记，速度网盘，京东云盘，豆丁网，麦库记事，和笔记，印象笔记，坚果云，有道云笔记，腾讯微云，华为网盘，google网盘，Skydrive网盘，Xuite网盘，115网盘，DropBox等。

       移动应用：主要包括新闻资讯、社交通讯、购物支付、地图导航、音频视频、移动游戏、旅游和综合服务。

       新闻资讯：凤凰新闻，网易新闻，新浪新闻，今日头条，BBC新闻，环球时报，腾讯新闻，ZAKER，Flipboard，ABC_News，Financial_Times，NPR_News，百度新闻，财新网，每讯新闻，南方周末，苹果日报，视频手机报，搜狐新闻，指阅等。

     社交通讯：Weaver，Tappy，Telegram，oovoo，Cord，Blippy，Whatt，OKHello，FranklyChat，CyberDust，Confide，Beamlt，BBM，Fb即时通，微信，微信朋友圈，西秦会馆，手机QQ，百度贴吧，新浪微博，掌上猫扑，密语，个信，米聊，飞聊，微聊，易信，翼聊，陌陌等。

       购物支付：当当网，苏宁易购，蘑菇街，美团，一号店，淘宝天猫，移动支付宝，京东商城，聚美优品，微店，返利网，拉手网团购，美丽说，麦包包，顺丰优选，唯品会，360团购，饿了吗，国美在线，华为商城，凡客诚品，eBay，麦考林，窝窝团，乐蜂网，乐淘网，借贷宝，小米商城，优购网，亚马逊等。

       地图导航：高德地图，百度地图，Google地图，Apple_Maps，Google_Earth，Soso地图，导航犬，导航小蜜，老虎地图，搜狗地图，图吧导航，悠悠手机导航等。

       音频视频：移动搜狐视频，超高清壁纸，移动奇艺视频，微视，秒拍，美拍等

       旅游：携程，8684火车，铁路客服中心，去哪儿网，艺龙等。

       综合服务：搜房网，AppStore(ios)，赶集生活，大众点评，QQ浏览器，UC浏览器，wifi万能钥匙，手机百度，搜狗输入法，58同城，太平洋电脑在线，中关村在线，eBuddy_Mobile等。

       网页邮箱：163邮箱、QQ邮箱、126邮箱、新浪邮箱、搜狐邮箱、21cn邮箱、tom邮箱、雅虎邮箱、yeah邮箱、阿里云邮箱、eyou邮箱、263邮箱、搜狗邮箱等。

       软件更新：诺顿更新，金山毒霸更新，趋势科技更新，网秦安全更新，熊猫卫士更新，360安全卫士，金山卫士更新，Mcafee更新，QQ电脑管家更新，小红伞更新等。

       远程控制：QQ远程协助，Windows远程桌面，向日葵远程控制，PC_Anywhere，Teamviewer等。

       数据库：DB2，MySQL，Oracle，Postgresql，SQL，Sybase等。

2.3    带宽资源管理

通过专业的带宽管理和分配算法，上网行为管理设备提供流量优先级，最大带宽限制，保障带宽，预留带宽，以及随机公平队列等一系列的应用优化和带宽管理控制功能。

2.3.1    流量优先级的划分

上网行为管理设备可基于业务应用的优先级，将业务应用划分为 高，中，低等共三个优先级，优先级越高的流量，优先传送。在实现流量控制时，可将核心业务应用，时延要求高的应用，以及重要人物的流量配置为高优先级，同时将 P2P，网络电视，WEB视频等非核心的，占用带宽资源较高的应用配置为低优先级。从而可以实现在带宽资源紧张时，优先保证高优先级应用的传送，而在带宽资源使用宽松时，各级应用都可以正常使用。

2.3.2    强大的带宽管理功能

上网行为管理设备通过 DPI 为核心的深度包检测技术，结合各种应用的行为特点，能够精确到对每个会话的数据包的检测和控制。同时结合流量优先级，随机公平队列等，提供了最大带宽限制，保障带宽，预留带宽等一系列强大的带宽管理功能。

上网行为管理设备支持源会话数，目的会话数，上行，下行，以及双向总带宽的管理与控制，管理员可以基于线路，流量优先级，源 IP 地址(地址组，用户组或用户组)，目标 IP 地址(地址，地址组)，时间，会话，协议和应用等参数对网络流量进行划分，并确定如何有效的，合理的实现带宽的管理与控制。从而实现灵活的带宽控制和应用优化目的。

2.3.2.1 基于随机公平队列的流量整形和应用优化

基于上网行为管理设备特有的功能，随机公平队列可以保证在相同等级的每一个用户都具有相同的网络资源，避免少部分用户占用了大部分带宽资源的这种极端情况的出现。在相同用户等级的情况下，获得始终如一的服务，使所有用户都满意。

2.3.2.2 灵活的，强大的基于策略的带宽控制

上网行为管理设备基于流量优先级，随机公平队列，令牌桶算法，TCP 窗口控制算法等技术，提供最大带宽限制，保障带宽，预留带宽的功能，实现灵活，高效，可靠的带宽控制能力。基于策略的流量控制，可以根据线路，IP地址(组)，用户(组)，协议(组)，URL，时间段等参数配置策略规则，然后再为这些规则分配优先级，带宽，会话数，从而实现对网络中的各种流量进行精细而灵活的控制。最大带宽，保障带宽和预留带宽的详细阐述如下：

       最大带宽：为某些用户或特定应用指定最大带宽。一方面，防止了某些用户疯狂抢占带宽，保证了网络使用的相对公平性。另一方面，限制了非关键应用毫无节制的消耗宝贵的带宽资源，保证了关键应用的服务质量。

       保障带宽：结合最大带宽和流量优先级，根据需要为某些关键应用或者VIP客户保障一定带宽。当网络繁忙时，这些关键应用或者VIP客户至少可以得到预设的保障带宽，并还可以租借空闲的或低优先级流量的带宽；当网络空闲时，低优先级的流量亦可使用当前空闲带宽。从而保证了带宽的合理，高效的使用。

       预留带宽：为某种特定应用或某些重点客户预留一定带宽，以保证用户在不同时间段，不同的网络使用环境中都能得到同样的带宽管理服务和网络使用感受。

2.3.2.3 基于单IP/用户的带宽控制

上网行为管理设备不仅提供由 IP 地址(组)，用户(组)，服务(组)，时间等组合而成的基于策略的带宽控制方式，同时对单IP/用户使用网络资源也提供精细的控制方法。基于单IP/用户的控制，可以将内网的用户分为多种等级，对同等级里的用户实现相同的控制策略。这种方式在对单个主机使用的会话和最大带宽(上行/下行) 进行控制的同时，可再对每个主机的多个特定服务(组)的带宽进行精细的控制，再可以结合时间段，可满足不同网络的各种复杂的带宽控制需求。

2.3.2.4 对各种入侵攻击的安全保护措施

上网行为管理设备自带的防火墙功能，能够识别并阻断黑客的端口扫描以及普通的 DoS 攻击行为，保证内部网络的安全性。同时，系统也阻断了内网的垃圾数据包对防火墙资源的消耗，大大降低了防火墙工作的负担，提高了整体网络的安全性。

2.4    基于时间的管理

上网行为管理设备支持自定义时间对象，实现针对时间段进行带宽分配和上网行为的管理。比如，上班时间要对关键业务和重要人员的带宽进行保障，对P2P等非关键业务进行严格控制；下班时间可以对P2P，网络电视等业务给与适当宽松的流量。再比如，上班时间不允许员工浏览与工作无关的网页，不允许某些员工使用IM软件等等。时间对象可以根据需要灵活选择，如下图所示：

2.5    上网行为管理

门户网站，社区论坛，交友网站，博客，个人网页，网络上五花八门，包罗万象的网页吸引着网民的眼球，诱惑网民拿起鼠标去体验网络世界的乐趣。在企业里，很多员工利用上班时间泡论坛，炒股，玩游戏，收发私人邮件，聊天等等，影响了工作氛围，降低了工作效率，浪费了企业资源，这是所有企业管理者都不希望发生的。

为避免企业为员工的这些不良行为买单，上网行为管理设备提供了细致的上网行为管理方案，对用户的上网行为进行细致而灵活的管理，进而提高员工的工作效率，避免机密信息的泄漏。

WEB 是互联网上内容最丰富，访问量最大的应用，然而许多网页充斥着反动，暴力，色情以及其它不健康的信息。此外，大量网络应用，如 P2P，IM，网络电视，游戏等等，也借助 HTTP 协议或者 80 端口，透过防火墙的封堵，抢占网络带宽，携带病毒，恶意软件，为内网用户带来安全风险。上网行为管理设备通过灵活的策略设置，对违反国家法律，危害社会，影响企业发展的内容进行过滤，避免用户有意无意访问包含非法内容的网页，净化网络，降低企业法律风险，提高员工工作效率，提高人民素质，创造文明健康的上网环境。

2.5.1 URL 过滤

上网行为管理设备利用目前国际上最先进的方式，将 URL 按照一定的标准进行预分类，然后由网关设备对各种类别网页进行过滤。在上网行为管理设备中内置了数千万的 URL 资料，分为新闻，音乐，视频，广告，财经，教育，科学，房地产，求职招聘等 URL 组。

此外，由于每个网络环境对互联网的访问特点差异很大，可能出现内置 URL 库没有包含的情况，上网行为管理设备支持自定义 URL 库的功能，客户可以根据自己的需要，将要被控制的 URL 灵活分组，从而使得客户 URL 访问范围得以全面覆盖。

在过滤URL记录的同时，可以对网络中所访问的URL 进行记录和统计排名，以实现对URL访问的监控和控制。

有了上网行为管理设备，员工依然可以浏览网页，但其访问时间和内容可以受到管理和控制。比如，新闻，教育，科学以及同工作相关的页面是可以被允许访问的，而涉及到色情，暴力，恐怖等不良网站将被阻止。

2.5.2   搜索引擎关键字过滤

 据调查显示，搜索引擎是网民访问量最大的网站类型之一，用户大多数的WEB站点访问行为都是从搜索引擎开始的。为了应对 WEB 访问使用所带来的效率，安全及责任风险等问题。上网行为管理设备提供了“搜索引擎关键字审计与过滤”，它可以记录用户通过搜索引擎类网站搜索的关键字内容，并基于搜索类别，关键字内容，过滤用户的非法搜索行为，全面解决不良搜索给用户带来的法律风险问题。“搜索引擎关键字审计与过滤”解决了网民通过搜索引擎访问色情，暴力等低俗网站的控制问题，体现了精细化管理的思路。

通过设置针对性策略，对搜索引擎关键字检索行为进行封堵，可以从源头上减少用户访问不良网站，获取不良信息。比如，某公司部署了 上网行为管理设备，并通过策略禁止公司员工通过搜索引擎访问“法轮功”；那么，员工搜索“法轮功”时，搜索结果将为空，查不到任何相关的内容。此时，系统自动对搜索到的网址页面进行屏蔽，帮助企事业单位用户将涉及低俗的，带有病毒的网站彻底封堵掉。

2.5.3   发帖关键字过滤

泡论坛，顶帖子等已经成为诸多员工互联网休闲方式之一。但如果将总裁办公室里的八卦，对工资的不满，对组织的抱怨等，或者涉嫌非法关键字，政治词汇，色情词汇等发布到各种贴吧，论坛上，必将给组织带来不良影响。

为加强论坛管理，禁止发布不良信息！上网行为管理设备提供对发帖的内容启用关键词过滤，对含有攻击国家领导人，分裂国家言论，下流词汇，或者伤害公司利益的帖子进行审计和过滤处理，并能对所有成功上传的内容进行详细记录以便事后查验。从而帮助员工养成远离低俗内容的上网习惯，协助推动“互联网低俗内容整治”，帮助企事业单位建立健康，规范，有序的上网环境。

2.5.4邮件过滤

为防止机密信息泄露，上网行为管理设备可以对SMTP，POP3，Web-Mail等进行监控审计，能够对用户收发邮件的时间，标题，内容以及附件等等元素进行过滤和完整的内容记录，避免企业，机关敏感信息泄露。

Ø    邮件过滤条件

²        发件人地址

²        收件人地址

²        邮件主题关键字

²        邮件正文关键字

²        邮件附件类型

²        邮件附件大小

²        邮件内容大小

Ø    邮件审计内容

²        用户名/IP地址/用户组

²        发件人地址

²        收件人地址

²        邮件主题

²        邮件正文

²        邮件附件名称及文件

²        收发邮件的时间

²        邮件的类型（收/发，允许/过滤）

²        详细的会话信息

Ø    Web-Mail邮件

163邮箱，QQ邮箱，126邮箱，新浪邮箱，搜狐邮箱，21cn邮箱，Tom邮箱，雅虎邮箱，yeah邮箱，Hotmail邮箱，263邮箱，139邮箱，阿里云邮箱，189邮箱。

2.5.5    HTTPS加密网页的识别和过滤

针对HTTPS加密网页的访问情况，可基于网站分类控制，如网上银行、网上购物、钓鱼网站、色情网站、反动网站等；也可基于证书合法性阻挡存在安全隐患的HTTPS加密网页的访问，有效屏蔽用户访问钓鱼网站，保障网络安全和用户信息安全。

2.5.6    即时通讯管理

即时通信工具因其沟通的便利性，即时性，如今几乎成为人手必备的工具。但由于即时通讯工具自身偏重娱乐性，在企业应用中，缺乏自律的员工往往将其作为上班期间的私人聊天工具。员工对即时通讯工具的滥用已经成为影响效率乃至运营成本的极大隐患。

不仅如此，其日益暴露出的企业信息安全问题则让企业老板越发无法忍耐。因为缺乏有效的管理机制与安全保障，由即时通讯工具引发的企业机密信息流失，被盗取和滥用的情况屡见不鲜，已经对企业信息安全构成严重威胁。

此外，近年来通过即时通讯工具传播的病毒，蠕虫，间谍软件以及混合攻击层出不穷，如某些蠕虫病毒通过即时通信软件，向用户的“联系人”发送恶意代码以获取用户信息。

针对以上问题，一些管理员试图通过关闭防火墙上 即时通讯流量的端口来禁止，即时通讯应用能够通过智能检测机制，自动转到其它端口，例如 80，443。上网行为管理设备以 DPI（Deep  Packet  Inspect，深度包检测） 技术为核心，结合行为分析技术，准确识别各种即时通讯软件。上网行为管理设备对即时通讯软件提出了如下解决方案：

       阻断

对于在工作时间不需要和外部频繁交流的某些部门，可以阻断他们对即时通讯工具的使用，或者限制其使用即时通讯软件的部分功能，比如只允许使用文字聊天，不允许语音聊天或者传输文件。

       监控

对于必须使用即时通讯工具作为工作手段的部门和员工，一方面企业领导者希望员工可以利用即时通讯工具进行更有效的商务活动，但对于一些通过即时通讯工具泄露组织机密的行为也是不愿意让其发生的。因此，对于普通人群，我们可以通过 上网行为管理设备允许其使用即时通讯工具，但对其使用过程和内容进行监控和记录；但对于特殊人群，比如领导，可以完全不做控制和监控。

通过对即时通讯的行为记录和聊天内容的监督，让员工有所警惕，达到间接控制员工的不规范行为。

2.5.7   网络准入管理

当前，政府、学校及企业等构建了大量内部计算机网络，以支持自身的信息化建设。由于主要业务都运行在内部网络，一旦其受到破坏，将产生严重的后果。

终端作为网络的关键组成和服务对象，其安全性受到极大关注。网络准入规则依据预先设定的安全策略，通过控制终端的访问权限，能有效限制不可信、非安全终端对网络的访问，该规则允许管理者手工添加和定制，从而可以管理几乎所有终端在线状态，使端点安全和网关安全紧密结合，从而达到保护网络及终端安全的目的。 

2.5.8   黑名单控制

为了防止网络资源的滥用和方便管理员管理用户，上网行为管理设备支持将用户加入黑名单的功能。对进入黑名单的用户可以采取惩罚机制，惩罚期限到了之后，该用户又可以正常使用网络。用户一旦进入黑名单，当再次上网时，网页回弹出已经进入黑名单，是什么原因进入黑名单的。灵活的黑名单功能可以帮助管理员快速，准确的定位出谁肆意占有网络资源。

黑名单可以同时基于以下几种参数来控制：

       流量配额：控制用户每日，每周，每月使用的流量(上行/下行/双向)总和，防止用户肆意占用带宽。

       速率控制：控制用户速率(上行/下行) 在一段时间不能超过一定阀值。可以防止蠕虫等病毒的突发性，或者防止某个时段某个用户占有大量带宽。

       并发Session控制：控制用户并发会话数(上行/下行) 在一段时间不能超过一定阀值。控制用户滥用P2P，防止病毒等。

       新建会话控制：控制用户新建会话数(上行/下行) 在一段时间不能超过一定阀值。控制用户滥用P2P，防止病毒等。

当用户上网参数的超过以上阀值时，即可将用户加入黑名单进行惩罚一定时长（N分钟/小时/天），惩罚方式有以下几种：

       强制下线：将用户强制下线，即用户不能上网。

       修改带宽：将用户上网速率修改到一个较小的值。

       修改会话：将用户的并发会话数修改到一个较小的值。

对黑名单的控制，有一个生效时间，在生效时间内才进行黑名单的控制。在生效时间外，不对用户的速率和会话进行限制，用户产生的流量也不记入黑名单的流量配额内。

2.6    白名单管理

对于公司领导或者重要的用户，他们的上网不希望受到各种控制策略的限制，也不希望上网的内容被记录。设备的白名单功能可以很好的满足这些需求。符合白名单规则的流量，将不受“防火墙规则，流控规则，认证策略规则，上网策略对象规则，黑名单规则”的控制；同时上网的流量和上网行为的内容（如发送的邮件，发送的帖子，访问的网页，即时通讯记录等）将全部不记录。

白名单功能包括IP地址白名单，URL白名单，即时通讯白名单。IP地址白名单和URL白名单表示：对内网中某些用户访问的IP地址或URL地址不做控制和记录。即时通讯白名单表示：对即时通讯软件的某些账户不做控制和记录。

2.7    移动终端发现

随着无线移动互联网的迅速发展，智能手机，平板电脑等这些移动终端愈来愈流行，有许多员工也会使用自己的移动终端进行办公。由于iPad等智能终端只能采用无线网络来上网，有些员工出于便捷考虑可能自己在工位旁私自拉一些无线AP，在公司通过无线AP到公司网络出口，这些AP由于安全措施薄弱，极容易被外人破解，可能导致内网暴露，信息安全遭受威胁。通过上网行为管理设备的“无线热点发现”功能，可以帮管理员找到内网中违反公司规定安置的无线AP，并可以对这些热点进行拒绝与封堵。

2.8    防共享管理

无线移动互联网时代，也是智能手机、平板电脑流行的时代，解决了移动终端发现和识别的问题后，WIFI共享的行为在企业网络中流行，PC无线网卡应用的无线共享软件，甚至有台式机上外接WiFi共享神器。通过安装WiFi共享软件一键设置，将笔记本变成无线路由器，就能通过无线网络跟他人共享数据。这种一拖N行为的行为滥用网络资源，以及上网数据无法准确定位到个人，成了网管人员非常头疼的问题。

上网行为管理通过先进的检测技术发现共享上网的IP、用户名、接入终端数、接入终端的操作系统个数，并在防共享上网的状态界面显示出来。并针对有共享行为的终端下发提示信息。

2.9    免审计Key功能

总裁、高层领导网络访问行为，财务部收发的邮件等关乎组织机密信息，怎样避免记录此类用户的网络行为？常规的解决方案，将敏感用户规划到特定用户组，通过免审计策略规避这些用户的上网行为审计。万一免审计规则被删除，怎么把    

业界多数方案是通过将敏感用户划分到指定用户组，通过设备配置界面的勾选，避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录，怎么办？

UAC正是考虑到用户可能面临的以上风险和威胁，推出了“免审计Key”功能。

在UAC上为总裁等重要人员创建帐户时使用DKEY认证，并勾选“启用DKEY防监控”选项，为总裁生成“免审计Key”。总裁使用“免审计Key”认证后，AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项，总裁再插入“免审计Key”后系统会自动弹出警告，且禁止总裁访问网络，彻底保障信息安全。

 

 

2.10  酒店管理-即插即用

由于酒店客人的电脑的IP地址配置各不相同，经常需要酒店网管人员为其进行一番配置后才能正常上网。既费时费力，又降低了客人的满意度。开启酒店即插即用功能，不论其电脑的 IP 地址，网关，DNS 服务器怎样配置，都能实现客人的电脑插上网线即可正常上网。大大方便了客人的使用，又降低了酒店的运作成本。

上网行为管理设备还可以管理，监控，查询，过滤酒店客人的上网行为，规范上网行为，预防网络违法犯罪，避免法律风险，保障网络信息安全。通过绑定房间号来绑定账户，由于房间号和账户一一对应，这样查找上网记录时就可以定位到人。

2.11  统计与报表系统

一个能够允许用户访问互联网的系统也必须及时关注用户对网络资源的使用情况。上网行为管理设备的报表中心提供了完整的互联网访问记录，根据IP/用户，应用，时间，线路等参数对上网流量及行为进行全方位的记录，内容涵盖网络流量，带宽速率，新建会话，活跃会话，Web 访问，邮件收发，IM 聊天，论坛发帖，P2P 下载等各种网络行为。

由于将所有网络流量和行为记录完全整合到网关设备中会影响设备的性能，尤其是对于大量的统计和查询会占用较高的设备资源。另外，由于公安部颁发的82号令要求各机构要保存至少3个月的访问日志，以便协助公安调查取证。一般情况，网络设备的内置存储空间有限，无法记录3个月的访问日志。所以 上网行为管理设备除了内置的报表中心，还支持在服务器上安装外置的报表中心。只要你的硬盘空间足够大，你能存储的日志内容将无限多。

报表中心提供丰富的统计数据，可按长期(周/月/年)，短期(分钟/小时/日)和实时(秒)的方式显示网络使用状况，并根据用户需求产生报表。从而帮助管理者了解网络整体使用情况，防止出现滥用，误用，盗用的行为。具体统计项目如下：

       实时在线网络监控

       上网行为分析

       流量与会话统计分析

       报表系统

2.11.1 实时在线网络监控

上网行为管理设备及其报表中心都支持管理员实时地监控设备运行状况与当前网络情况，可确保管理员在第一时间内掌握网络运行情况，帮助管理员对网络异常进行定位分析。

       系统资源使用状况，如 CPU，内存等使用信息；

       物理端口的实时流量以及最近 1小时网络流量变化情况；

       当前网络前10名服务最近一小时流量趋势图

       服务组最近一小时流量堆叠趋势图

       当前活跃服务/所有服务的当前速率，最近一小时总流量，最近一小时平均速率；

       当前网络前50名用户实时流量，上下行速率，新建会话速率，活跃会话数；

下图显示了设备当前的运行情况，端口状态和流量情况，以及前10名服务带宽分布情况，前10名IP带宽占用情况：

2.11.2 上网行为监控

通过互联网传递信息已经成为企业的关键应用，然而信息的机密性，健康性，政治性等问题也随之而来。通过 上网行为管理设备，您可以制定精细化的信息收发监控策略，有效控制信息的传播范围，控制敏感信息的泄露，避免可能引起的法律风险。上网行为管理设备能够对以下信息发送进行监控与控制：

Ø    WEB访问记录

     URL统计与排名

     网页标题统计

     搜索引擎上搜索的关键字统计

     文件上传下载记录

Ø    论坛发帖

     发帖正文监控

     发帖附件监控

     发帖关键字阻断

     网页评论记录

Ø    电子邮件

     SMTP 发送邮件

     WebMail 邮件

     POP3 接收邮件

     审计内容包括收件/发件邮箱，邮件标题，邮件正文，邮件附件，邮件日期

Ø    即时通讯软件

     聊天内容监控

     聊天账户监控

Ø    FTP 记录

     登录信息

     文件上传记录

     文件下载记录

Ø    Telnet 记录

     登录信息

     命令记录

2.11.3 递进式的流量统计分析

上网行为管理设备的报表中心通过流量统计分析模块详细的记录了全网的流量信息。同时，报表中心采用递进的方式，把统计数据从宏观到微观，从总体到局部，层次分明地展现给用户，帮助管理员快速在全局与细节上把握网络活动的状况。

举例来说，如果管理员想了解全网流量的情况，那么，他可以按照服务进行第一层的分类统计。首先，可以看到在不同时间段内网络中有哪些服务，每种服务所占用的流量大小，带宽速率，会话数，并可以根据这些参数进行排名，并分别以饼图，柱图，现行趋势图，及表格呈现。然后，可以再进一步查看每种服务有哪些IP/用户在使用，每个IP/用户占用的流量大小，带宽速率，会话数，以及每个IP/用户对应这些参数的趋势图等；当有多条线路时，还可以看到每种服务在不同线路的流量分配情况。反过来，如果首先基于 IP 地址分类统计和排名显示，那么可得知哪个IP传输的流量最大，占用的带宽最高，然后可进一步查看到每个IP所使用的服务等等详细信息。

同样，对于全网的流量还可以按照IP地址组，用户，用户组，线路等元素进行第一层的分类统计，然后可再一层一层往下进行递进查询分析。

2.11.4 会话记录

上网行为管理设备可记录全部的会话日志。通过检查完整的会话日志，管理者可以跟踪网络中的任何操作，尤其可帮助公安部发稽查案件。目前，在大多数的网络中，内部用户上互联网都需要做NAT转换。如果谁在网上散步了一些关于恐怖，拐卖，色情等等违法的言论，往往只能追查到网络出口的IP地址，很难追查到原始用户的IP地址，对案件的进展非常不利。

上网行为管理设备的会话记录包括：源 IP，目的 IP，协议类型，七层应用名称，源端口，目的端口，是否进行 NAT 转换(可显示转换后的 IP 和端口)，会话产生的时间和会话持续时间。当管理员发现异常的流量和行为记录时，可以再去追查到这个行为的会话信息，即便是有NAT转换的网络环境，也可以很快的定位到发布信息的原始用户。

2.11.5 阻断记录

上网行为管理设备可记录被防火墙策略，流量管理策略，行为管理策略阻断的报文的日志。阻断日志包括：源 IP，源端口，目的 IP，目的端口，协议类型，服务名称，报文长度等。当网络有异常时，阻断日志可以协助管理员查找网络问题，可以清楚的知道哪些报文被策略阻断。

2.11.6 个人行为分项统计

全局的行为统计，是将网络中所有的用户的记录综合在一起进行统计。而个人行为分享统计，是根据组织结构中的逻辑结构树，逐个展示用户，并将每个用户的上网行为进行分项统计。同时也可以将个人行为的数据导出为报表。个人行为分项统计可使管理员简明清晰的了解每个用户的上网行为，极大的帮助管理员跟踪网络行为的动向。

个人行为分项统计包括以下几项：

Ø    网页统计：将每个用户的网页标题记录，论坛发帖记录，网页评论记录，搜索引擎上搜索的关键字记录，网页文件上传记录，URL访问记录分项统计并显示。

Ø    即时通讯记录：将每个用户的 MSN，QQ，Yahoo，ICQ 等即时通讯工具的登录记录，聊天记录，或文件传输记录分项统计并显示。聊天记录的显示完全模拟即时通讯软件的聊天记录框的样式。

Ø    邮件记录：将每个用户收发的邮件详细记录并显示。邮件信息包括：邮件收发者，主题，正文，附件及大小，日期等信息。若用户使用了多个邮件账户，每个账户将分别显示其收发邮件的信息，完全模拟了FoxMail 客户端的显示方式。

Ø    FTP 记录：将每个用户使用 FTP 的登录信息，文件上传记录，文件下载记录分项统计并显示。

Ø    Telnet 记录：将每个用户使用 Telnet 的登录信息，命令记录分项统计并显示。

2.11.7 报表分析

为了有效地展示大量分析数据，上网行为管理设备的报表中心提供丰富的，图文并茂的报表，包含曲线图，饼状图，柱状图以及数据统计报表等多种样式和内容，以小时，天，周，月，年，或自定义的时间段为时间单位的系列报表。此外，为了方便信息的沟通，每种报表都可以通过电子邮件发送，并支持定期订阅功能。报表中心提供的报表包括：

Ø    统计报表

用于以用户，用户组，服务，服务组，线路等为对象，统计某段时间的流量信息和行为次数，并按统计对象进行排名，便于管理员了解网络的使用情况以及内网用户的上网行为。

Ø    趋势报表

用于以用户，用户组，服务，服务组，线路等为对象，统计某段时间内各个时间点的流量信息和行为次数，便于管理员掌握某个时间段内网络的运行状态，流量和行为的趋势信息。

2.11.8 无为而治的管理方式

强大的监控手段往往涉及到个人隐私，建议您在监控网络流量和网络行为前，向相关的人员发出正式通知，让每一个员工知道他们在工作时间发生的网络行为是可以被监视的。当员工意识到上班时间的网络行为有可能被监控，便会主动减少上班时间做与工作无关的事情，自觉地提高工作效率，使网络管理者对网络的管理达到无为而治的效果。

3、产品部署方式

上网行为管理设备采用串接方式接入网络，支持网桥模式，路由模式和旁路模式。

3.1    旁路模式

以透旁路方式接入网络，可对网络的流量进行前面的监控和记录，无需改动用户网络结构和配置。

 

3.2    网桥模式

以透明网桥方式接入网络，可以部署到网络的网关位置或各部门的出口位置。无需改动用户网络结构和配置，即插即用，支持单网桥，多网桥的部署方式。

      3.3        路由模式（X100暂不支持）

将设备串接网络中，可以放于内网的任意子网边界，或与核心交换机相连。可以代替防火墙或路由器，需要为设备配置内网和外网接口的 IP 地址。