計算機和網際網路在為企業帶來生產力的同時,也給企業的管理帶來了更大的挑戰。尤其對於一些大中型企業,隨著網際網路的日漸發達,遇到的問題也日漸突出。如果企業不加以重視,網際網路不但不能成為企業的生產力,還會成為企業的埋葬者
基本介紹
- 中文名:第二代上網行為管理
- 外文名:The second generation of Internet behavior management
- 生產背景:用戶眾多,無法統一管理
- 特點:驗證用戶的身份與使用的網路服務
上網行為管理背景,功能,概念,1.1 產品簡介,1.2 體系架構,第二章 功能介紹,2.1 認證授權計費,2.2 行為管理和審計,2.3 報表統計,2.4 雲服務,2.5 頻寬管理,2.6 虛擬專用網,2.7 網路安全防禦,
上網行為管理背景
計算機和網際網路在為企業帶來生產力的同時,也給企業的管理帶來了更大的挑戰。尤其對於一些大中型企業,隨著網際網路的日漸發達,遇到的問題也日漸突出。如果企業不加以重視,網際網路不但不能成為企業的生產力,還會成為企業的埋葬者。
1 、用戶眾多,無法統一管理
2 、管理困難, 難以有效度量網路狀況
3 、內部機密信息泄密
用戶內部重要資料和秘密資料被有意或無意的通過網路 Web、 Email、 QQ和 MSN等途徑向外散發,或被別有用心的人截獲而加以利用,給企業的信息 安全 帶來極大的隱患;同時不當信息的無意透露可能會給公司帶來極大的外部壓力。
4 、從事網路違法行為,帶來法律風險
網上言論得不到規範,工作時間訪問色情網站、惡意發帖、發表反動言論等都會來法律風險。
5 、員工工作效率低,存在網路怠工現象
根據中國社會科學院社會發展研究中心 2005 年中國 5城市網際網路使用狀況及影響調查報告的結果顯示,被訪網民使用最多的網路資源是娛樂、新聞( 65.9%),而真正用於學習和工作的比例還不到40%。
6 、網速和頻寬效率下降,辦公成本增加
使用P2P下載的行為日益增加,嚴重消耗網路頻寬,正常業務的通訊得不到保障,只能通過增加辦公成本來增加頻寬,但是網速和頻寬沒有得到根本的改善,仍然存在一個人占用頻寬,其它人無法使用網路的情況。
企業管理者不能與員工面對面,你無法知道網路的另一端那個人是什麼想法、什麼狀態。在網路面前,企業管理呈現失控的狀態。
功能
科技上網行為管理能夠有效的規範員工上網行為、保障單位內部信息安全、防止頻寬資源濫用、防止無關網路行為影響工作效率、記錄上網軌跡滿足法規要求、管控外發信息 降低泄密風險、掌握組織動態、最佳化員工管理 、為網路管理與最佳化提供決策依據、防止病毒木馬等網路風險、低成本且有效推行IT制度等等;
2、網路協定分析實時、準確
網路套用識別率高,流量統計實時準確,真實反映網路狀態。
流量顯示實時性強,數據每5秒刷新一次,方便及時發現網路問題。
3、強大的員工上網日誌審計功能
支持以下員工上網日誌審計:
網頁瀏覽 / 網頁搜素 / 網頁POST / 檔案與視頻web下載
微博&部落格登錄、發帖、回帖、轉發 / 論壇登錄、發帖、回帖、轉發
客戶端郵件(包含正文與附屬檔案) / WebMail(包含正文與附屬檔案)
QQ / MSN / MSN檔案 / 飛信 / 雅虎通
FTP / Telnet等
網路日誌留存超過60天以上
4、特有的員工上網行為統計
提供數十種統計報表,可以對單位、部門、個人的上網流量、上網時間、網站訪問、郵件收發、聊天信息、財經炒股、網路遊戲等網路行為進行分析。
按使用時長統計員工行為,為管理部門績效考核提供依據。
5、安裝與操作簡單易用
無需查看用戶手冊,非網管人員也可以安裝、配置與使用。
採用客戶端方式,支持大量右鍵和雙擊功能,功能關聯直觀簡潔。
網路套用識別率高,流量統計實時準確,真實反映網路狀態。
流量顯示實時性強,數據每5秒刷新一次,方便及時發現網路問題。
3、強大的員工上網日誌審計功能
支持以下員工上網日誌審計:
網頁瀏覽 / 網頁搜素 / 網頁POST / 檔案與視頻web下載
微博&部落格登錄、發帖、回帖、轉發 / 論壇登錄、發帖、回帖、轉發
客戶端郵件(包含正文與附屬檔案) / WebMail(包含正文與附屬檔案)
QQ / MSN / MSN檔案 / 飛信 / 雅虎通
FTP / Telnet等
網路日誌留存超過60天以上
4、特有的員工上網行為統計
提供數十種統計報表,可以對單位、部門、個人的上網流量、上網時間、網站訪問、郵件收發、聊天信息、財經炒股、網路遊戲等網路行為進行分析。
按使用時長統計員工行為,為管理部門績效考核提供依據。
5、安裝與操作簡單易用
無需查看用戶手冊,非網管人員也可以安裝、配置與使用。
採用客戶端方式,支持大量右鍵和雙擊功能,功能關聯直觀簡潔。
概念
第二代上網行為管理路由器是通過對用戶認證、用戶授權、用戶上網行為管理、用戶賬號計費、用戶行為審計等5A系統一體化的網際網路上網行為管理綜合解決方案的路由器。它從根本上杜絕非法用戶接入、越權訪問、機密信息泄露等難題,從而使網路運行安全可靠、方便管理等優點。
1.1 產品簡介
艾泰的第二代上網行為管理路由器是中小型企業、連鎖機構、酒店、社區、網咖、學校等行業各種網際網路套用的需求最完備解決方案,它是艾泰完全擁有自主智慧財產權的第二代上網行為管理路由器,它以5A系統為一體化,採用高可靠的硬體架構,並集成了先進的軟體作業系統,它能夠對用戶進行識別、監視管理網頁瀏覽、網路聊天、網路遊戲、以及下載等一切上網行為,幫助員工規範自己的上網行為並保證公司的信息的安全穩定,提供工作效率,提供一個良好的辦公環境。
艾泰第二代上網行為管理路由器有以下功能模組:
1.2 體系架構
1.2.1 系統體系架構
本產品基於ReOS SE網路作業系統,實時準確的監測和記錄網路2到7層網路協定和套用數據信息,極大的保證了系統監測和記錄的完整性,系列具有以下特性:
l可靠的硬體平台,保證產品運行靠可靠性和穩定性;
l自主知識產品的ReOS SE作業系統,定期升級,保證產品的及時滿足用戶需求;
系統結構圖如下:
1.2.2 5A體系架構
5A認證系統簡稱:
l用戶認證(Authentication):驗證用戶的身份與可使用的網路服務;
l用戶授權(Authorization):依據認證結果開放網路服務給用戶;
l用戶行為管理(Application):依據已制定的服務策略,對用戶提供特定的服務;
l用戶行為審計(Auditing):可詳細記錄用戶上網軌跡,統計用戶的上網行為;
l計帳(Accounting):記錄用戶對各種網路服務的用量,並提供給計費系統。
AAAAA體統簡稱5A體系,其中包括用戶認證(Authentication)、用戶授權(Authorization)、用戶行為管理(Application)、用戶行為審計(Auditing)、用戶計費(Accounting)等5元素為一體的安全網路體系。
首先,認證部分提供了對用戶的認證。整個認證可以用戶賬戶、用戶IP位址、用戶MAC地址。通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合,那么對用戶認證通過。如果不符合,則拒絕提供網路連線。
其次,用戶還要通過授權來獲得操作相應任務的許可權。比如,登入系統後,用戶可能會執行一些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。一旦用戶通過了認證,他們也就被授予了相應的許可權。
第三,用戶獲取的授權之後,還需要對不同用戶開放不同的服務策略許可權。特定的用戶只需要上特定的網站或者只允許普通下載,禁止P2P下載…..等網路套用上網行為管理。
第四,用戶獲取了特定的上網許可權之後,針對記錄用戶的上網軌跡,並統計用戶的上網行為。
最後一步是用戶帳戶計費,這一過程將會計算用戶在連線過程中消耗的資源數目。這些資源包括連線時間或者用戶在連線過程中的收發流量等等。可以根據連線過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計畫活動來執行帳戶過程。
第二章 功能介紹
2.1 認證授權計費
網路用戶是基於IP/MAC或者賬號和密碼的認證方式,用戶只需新建一個PPPoE寬頻連線,輸入用戶賬號和密碼就可以通過路由器的認證,便可使用網路資源。為了確保管理員能夠查詢使用網路的資源的情況,還提供了一些附屬檔案功能,如即時查詢使用時間、流量等信息。
2.1.1用戶認證
l基於PPPoE賬號的用戶認證;
l基於WEB賬號的用戶認證;
l基於IP的用戶認證;
l基於MAC的用戶認證;
l同時可以滿足實名認證機制;
l提供其他的認證機制;
2.1.2 用戶授權
用戶通過輸入賬號用戶名和密碼之後,用戶的認證信息傳送到路由器,在與資料庫的數據進行匹配之後,路由器將返回認證信息。
根據不同的用戶和用戶組,設定用戶的上網許可權,包括用戶的上網使用的計算機,用戶接入網路的IP位址,
2.2.3 用戶賬號的計費
對用戶的計費是基於多種策略的,可以根據用戶的需要選擇基於時間、流量以及日期的燈多種計費策略。
l支持基於PPPoE賬號的按流量/時間/日期等計費;
l支持基於WEB賬號按流量/時間/日期等計費;
l支持賬號到期通告功能;
2.2 行為管理和審計
l
2.2.1 WEB訪問機制
l記錄用戶的訪問URL地址;
l強大的URL分類庫;
l支持自定義的URL分類;
l基於網站分類的URL控制策略;
l基於關鍵字的過濾;
l實時的查看用戶訪問的URL地址;
l可記錄特定論壇的登錄信息;
l可記錄特定論壇的發帖信息;
2.2.2 外發信息及郵件審計控制
l記錄用戶的網站訪問痕跡;
l記錄用戶在網頁提交的HTTP表單地址以及內容;
l表單的自動分類(如登錄、郵件、BBS等分類)和統計;
l記錄郵件的發件人、收件人、標題、正文、附屬檔案、大小等信息;
l靈活多樣的監控規則;
l收發人、發件人監控;
l標題內容監控;
l正文內容審計;
l附屬檔案名稱審計;
l郵件大小審計;
l郵件內容和附屬檔案的下載;
2.2.3 地下瀏覽記錄
2.2.4 即時聊天軟體監控
l記錄聊天賬號、上下線時間、聊天持續時間、聊天內容等信息;
l記錄MSN/QQ/阿里旺旺/飛信等有關檔案上傳、下載等動作,提供本地審核。
2.2.5 FTP/HTTP傳輸審計
l記錄FTP登錄賬號、密碼、伺服器IP位址;
l記錄傳輸檔案的時間、檔案名稱稱、傳輸方向、大小等信息;
l記錄HTTP下載的檔案名稱、時間、大小等信息;
2.2.6 P2P協定監控
l記錄P2P下載檔案名稱、時間、大小等信息;
l可阻止P2P資源搜尋;
l可阻止特定的P2P軟體;
2.2.7 網路遊戲審計
l記錄網路遊戲的線上時間、結束時間、遊戲時間段等;
l可定義網路遊戲規則、種類以及相關策略;
2.2.8 炒股軟體監控
l記錄用戶開始使用炒股軟體時間、用戶IP/.賬號等信息;
l可對炒股軟體的使用進行控制(阻斷或限制);
2.2.9 網路電視監控
l記錄用戶使用網路電視的開始時間、結束時間以及使用客戶端等信息;
l可真的網路電視自主的設定管理規則,可以限制在某一時段開啟或阻斷;
2.2.10 異常網路流量監控
l實時監控網路流量狀態;
l實時監控NAT會話;
l統計警告網路中的異常流量,例如網路內部的異常ARP狀態,並給出異常流量告警;
2.2.11 域名審計設定
l外網白名單,可免除對指定站點的訪問審計監控;
l外網黑名單,可禁止訪問指定站點;
l區域網路白名單,可免除白名單用戶或IP的上網行為審計;
l區域網路黑名單,可禁止黑名單內用戶或IP的使用網際網路;
2.3 報表統計
2.3.1 流量-時間分布報表
流量-時間分布報表顯示過去一段時間內流量隨時間分布的曲線,便於管理員掌握網路資源的使用情況。
(圖3. 流量-時間分布報表)
2.3.2 興趣-URL排名
興趣-URL排名可以查看當前網路中區域網路用戶訪問URL的有效數次,可以根據訪問的頻率進行有效的排列。
(圖4. 興趣-URL排名)
2.3.3 套用流量排名
套用流量排名可以根據當前區域網路用戶的套用流量進行統計,並根據統計數據排列出當前套用數據排名。
(圖5. 套用流量排名)
2.3.4 警告統計
路由器可以統計
(圖6 警告數次統計)
2.4 雲服務
2.4.1 雲存儲
艾泰設備可以將設備日誌定期上傳到艾泰雲端伺服器,艾泰設備根據頻寬使用情況而定,選擇在頻寬空閒時上傳數據,繁忙時不占用頻寬。艾泰設備將配置信息自動同步到雲端,在設備恢復到出廠設定時可以自動載入配置信息,無需重新配置。艾泰雲端伺服器給每台設備預留1GB存儲空間,可用於保存日誌信息,審計報告,配置備份等數據。
2.4.2 雲監控
艾泰服務雲端可以監控設備運行狀態,定製異常信息推送給用戶的網際網路設備(如受到FLOOD攻擊時),審計功能交由雲端完成,並可在雲端生成審計報告,可自動生成日報/周
2.4.3 雲端數據中心
艾泰雲端伺服器可以對各種網路套用進行有效的統計,即時了解網際網路的套用信息,同時對套用進行排序並對各種套用評級等,供用戶參考,幫助用戶更好的使用艾泰設備的各種功能。
2.5 頻寬管理
網路卡、網路慢是網路中常見問題,如何有效提高網路的頻寬利用率,是很多網路管理人員一直需要面對的問題。上海艾泰第二代上網行為管理器系統對此給出了一個的頻寬管理解決方案:以套用為基礎,以優先權為條件,輔以連線數、連線速率以及傳輸方向來進行智慧型頻寬管理策略設定。合理的策略設定,能夠使當前的網路為更多的網路用戶和套用服務,並可以通過優先權設定、許可權設定等多種頻寬管理方式來管理或限制網路娛樂或其它非業務套用對網路的占用,保證關鍵業務和正常業務的暢通。網路套用能夠通過系統的多種管理形式來設定和控制用戶的網路使用頻寬。
2.5.1 智慧型彈性頻寬
基於套用的智慧型彈性頻寬管理需要準確分析到數據的協定類型以及套用類型,所設定的頻寬策略才能準確限制各業務、合理分配各用戶的網路頻寬使用情況。基於套用的智慧型彈性頻寬管理策略的好處在於:能夠根據需求區分主要業務與次要業務、非業務等網路套用,有效保證關鍵業務對網路頻寬的占用情況。如下圖所示:
(圖7. 智慧型彈性頻寬管理)
2.5.2 個性化頻寬控制
在確定套用管理的基礎上,路由器還可以根據用戶或用戶組設定不同頻寬分配策略,例如可以設定不同組的每組頻寬策略,亦可根據不同用戶進行頻寬設定,使頻寬管理能夠準確管理到用戶;還可以設定不同的優先權,優先保障關鍵業務的頻寬占用,使得每組用戶中的非關鍵套用在保障核心關鍵業務順暢運轉的基礎上可以使用部分網路頻寬,從而最大程度的提升網路利用率。 通過對用戶組頻寬策略的設定,還能有效提升網內伺服器群組的出口頻寬,保障網內伺服器群組的對外服務能力,縮短回響時間。頻寬管理的設定經過了充分的考慮以及合理的規劃,可以實現針對網路中的任一用戶或用戶組的能夠基於套用的頻寬管理;用戶及用戶組不需另外添加,由系統自動從已有的用戶列表中讀取,然後由用戶進行選擇。策略添加頁面如下圖所示:
(圖8. 智慧型彈性頻寬管理)
2.6 虛擬專用網
虛擬專用網路(Virtual Private Network ,簡稱VPN)指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網,主要是因為整個VPN網路的任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網路服務商所提供的網路平台,如Internet、ATM(異步傳輸模式)、Frame Relay (幀中繼)等之上的邏輯網路,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證連結的專用網路的擴展。VPN主要採用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。艾泰第二代行為管理路由器支持多種VPN技術-PPTP/L2TP/Ipsec VPN等。
