【摘 要】本文對網(wǎng)絡(luò)行為管理系統(tǒng)進行了簡要概述，并分析了它的技術(shù)特點和組建要點。同時結(jié)合現(xiàn)有的技術(shù)，針對當(dāng)前網(wǎng)絡(luò)管理中存在的問題，用技術(shù)手段實現(xiàn)對互聯(lián)網(wǎng)訪問過程中非正常行為的管理，消除由于內(nèi)網(wǎng)的一些不良行為引起的網(wǎng)絡(luò)安全問題，防范潛在的法律風(fēng)險。同時也為浙江廣播電視集團構(gòu)建完整、系統(tǒng)的集中式網(wǎng)絡(luò)行為管理系統(tǒng)，為集團未來的全集團整體信息化打好堅實的技術(shù)基礎(chǔ)提供了很多很好的建議。

【關(guān)鍵詞】流量識別；行為管理；單點登陸；IP/MAC綁定

一、前言

按照摩爾定律，IT產(chǎn)業(yè)已遠超我們想象的速度在發(fā)展著。計算機從單機走向聯(lián)網(wǎng)，人們對網(wǎng)絡(luò)的需求也從原來的工作為主，逐步轉(zhuǎn)向了電子商務(wù)、流媒體、大型游戲的等為代表的多媒體娛樂活動。相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)環(huán)境也發(fā)生了極大的變化：網(wǎng)絡(luò)拓?fù)淙找鎻?fù)雜，網(wǎng)絡(luò)安全日益嚴(yán)峻，用戶需求不斷提高，應(yīng)用熱點越來越多變。而反觀以TCP/IP協(xié)議為主的計算機網(wǎng)絡(luò)，設(shè)計就是一個盡力而為的網(wǎng)絡(luò)，決定了它本身就是一個不安全、低可靠性（靠TCP協(xié)議保證），并且可管理性較差的網(wǎng)絡(luò)。黑客攻擊、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)偵聽、木馬后門、拒絕服務(wù)（DDoS）等信息安全問題；網(wǎng)絡(luò)服務(wù)阻塞、鏈路擁塞失效、其他硬件故障等可靠性問題；網(wǎng)絡(luò)權(quán)限（AAA）控制、網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)統(tǒng)計等管理問題都日益嚴(yán)重。

本文對網(wǎng)絡(luò)行為管理系統(tǒng)的現(xiàn)狀進行了調(diào)研，根據(jù)企業(yè)戰(zhàn)略和業(yè)務(wù)支撐系統(tǒng)的發(fā)展遠景，提出了網(wǎng)絡(luò)行為管理系統(tǒng)的技術(shù)框架和功能設(shè)計，并對所涉及的具體需進行研究、分析，旨在深入根據(jù)實際的應(yīng)用需求提出一個合理的系統(tǒng)方案，使得系統(tǒng)能夠適用于實際需求，成為高效可靠的系統(tǒng)，進一步提升信息化管理水平。

二、系統(tǒng)設(shè)計基本概況

本論文的研究目標(biāo)是規(guī)劃設(shè)計一套網(wǎng)絡(luò)行為管理系統(tǒng)，期望能在將來的企業(yè)選型開發(fā)和設(shè)計中起到一定的啟示作用。從其功能特性出發(fā)，我們需要了解系統(tǒng)實現(xiàn)的原理以及其涉及到的核心技術(shù)，并且指出了此類產(chǎn)品中存在的問題及其今后的發(fā)展方向，重點在于內(nèi)容識別、流量識別、流量控制的實現(xiàn)，因此，如何提高識別的準(zhǔn)確率，是研究最為廣泛并且最有難度的一個課題，以此作為我們選擇和定制此類產(chǎn)品的標(biāo)準(zhǔn)，同時配合此類產(chǎn)品獨立開發(fā)一個支撐平臺與之配套。

整個網(wǎng)絡(luò)行為管理系統(tǒng)功能上分成四部分，具體拓?fù)浣Y(jié)構(gòu)如圖1所示：

1.硬件平臺：采用國內(nèi)主流廠商的硬件平臺，透明方式串聯(lián)接入網(wǎng)絡(luò)，具體位置位于核心交換機與出口防火墻之間。硬件平臺主要進行內(nèi)容識別、流量識別、流量控制的實現(xiàn)、用戶IP/MAC的識別、用戶認(rèn)證以及策略的制定與實現(xiàn)。

2.數(shù)據(jù)中心：包括網(wǎng)管服務(wù)器、數(shù)據(jù)庫、存儲，記錄各種應(yīng)用行為，存儲硬件平臺提供監(jiān)控、審計數(shù)據(jù)，并保存所有的系統(tǒng)日志。

3.支撐平臺：提供人機接口界面，并通過此界面管理硬件平臺、數(shù)據(jù)中心服務(wù)器、認(rèn)證服務(wù)器、DHCP服務(wù)器；進行用戶/用戶組的管理，權(quán)限分配，并負(fù)責(zé)對數(shù)據(jù)中心、認(rèn)證服務(wù)器、DHCP服務(wù)器、硬件平臺的用戶數(shù)據(jù)實時同步；權(quán)限定制與分發(fā)，根據(jù)不同用戶、不同部門、不同使用范圍差異化的進行網(wǎng)絡(luò)使用權(quán)限劃分。數(shù)據(jù)分析功能，對數(shù)據(jù)中心存儲數(shù)據(jù)進行統(tǒng)計、查詢、排序、審計等，獲得網(wǎng)絡(luò)活動狀況的當(dāng)前、歷史情況。

4.DHCP服務(wù)器（認(rèn)證）：與數(shù)據(jù)中心數(shù)據(jù)庫保持?jǐn)?shù)據(jù)同步，同時控制DHCP服務(wù)進行IP地址自動分配，滿足基于IP地址的用戶終端設(shè)備管理，同時可以管理用戶，實施ip/mac的綁定。

三、系統(tǒng)實現(xiàn)功能

網(wǎng)絡(luò)行為管理系統(tǒng)建設(shè)規(guī)劃需要考慮的兩個首要問題。

首先，對于未來網(wǎng)絡(luò)行為管理系統(tǒng)的建設(shè)，所面臨的首要問題是如何滿足日益增長、日益變化的網(wǎng)絡(luò)應(yīng)用狀況，以及滿足對產(chǎn)品性能及分析能力的需求，特別是對于企業(yè)的內(nèi)部網(wǎng)絡(luò)來說，更注重網(wǎng)絡(luò)記賬和網(wǎng)絡(luò)控制功能。隨著網(wǎng)絡(luò)應(yīng)用的逐漸增多，以及加密技術(shù)的不斷進步，如何從海量數(shù)據(jù)中迅速而準(zhǔn)確的識別各種應(yīng)用數(shù)據(jù)，是一個很大的挑戰(zhàn)。因此基于網(wǎng)絡(luò)行為的、針對復(fù)雜應(yīng)用的語義分析等技術(shù)也會逐漸被引入到網(wǎng)絡(luò)行為管理產(chǎn)品中。

其次，網(wǎng)絡(luò)行為管理系統(tǒng)具有較高的網(wǎng)絡(luò)適應(yīng)能力，適應(yīng)各種網(wǎng)絡(luò)拓?fù)洵h(huán)境新系統(tǒng)的部署不能更改原有網(wǎng)絡(luò)的架構(gòu)，不能破壞用戶的網(wǎng)絡(luò)基礎(chǔ)設(shè)施規(guī)劃，也不能影響到其他設(shè)備的性能，要做到無縫接入。因此，做到靈活接入是網(wǎng)絡(luò)行為管理設(shè)備必須要做到的。

網(wǎng)絡(luò)行為管理系統(tǒng)的設(shè)計實現(xiàn)功能主要包括訪問控制、身份認(rèn)證、監(jiān)控審計、帶寬流量管理、權(quán)限管理、IP和MAC管理、終端管理、查詢統(tǒng)計。

1.訪問控制

主要實現(xiàn)網(wǎng)頁行為過濾、搜索關(guān)鍵字過濾、發(fā)帖關(guān)鍵字過濾、文件類型過濾、應(yīng)用控制、反釣魚網(wǎng)站功能、反釣魚網(wǎng)站功能、加密管理、郵件管理。

2.身份認(rèn)證

現(xiàn)今大多數(shù)企業(yè)的身份認(rèn)證仍舊采用靜態(tài)的用戶名、明文密碼認(rèn)證方式，在身份認(rèn)證過程中與認(rèn)證設(shè)備交換的數(shù)據(jù)消息為明文方式，未進行DES等加密算法或者RSA散列算法的處理，導(dǎo)致的直接后果是用戶名、口令等敏感數(shù)據(jù)很容易被截獲和泄露。因此一套安全、穩(wěn)定的身份認(rèn)證對于一個成熟的企業(yè)網(wǎng)絡(luò)是必不可少的，同時兼顧效率。

整個認(rèn)證的流程如圖2所示。

3.監(jiān)控審計

訪問控制功能主要決定了用戶能做什么，而用戶進行相關(guān)操作后，系統(tǒng)需要提供全面的、靈活的監(jiān)控審計功能。

4.帶寬流量管理

具體有以下幾種的分配方式：主流業(yè)務(wù)優(yōu)先分配，設(shè)置服務(wù)下限；非業(yè)務(wù)流量設(shè)置上限；基于用User/Group的流量分配；基于協(xié)議分類的流量分配；根據(jù)時間段進行分配：在不同的時間段對不同的業(yè)務(wù)類型進行調(diào)整，從而實現(xiàn)帶寬資源利用率的最大化。

在實際使用中以上諸多流量分配方式混合應(yīng)用。

5.權(quán)限管理

上網(wǎng)行為管理需要提供3A功能，可以通過用戶帳號、IP、MAC的綁定功能，通過身份認(rèn)證來實現(xiàn)對用戶的互聯(lián)網(wǎng)準(zhǔn)入控制，防止未授權(quán)的人員使用單位網(wǎng)絡(luò)。對于外來人員的互聯(lián)網(wǎng)使用需求，可以通過額外的流程準(zhǔn)入，提高網(wǎng)絡(luò)使用的便捷性。

6.IP和MAC管理

IP地址是計算機的身份標(biāo)識，是進行網(wǎng)絡(luò)路由的門牌號碼。在IP地址管理的基礎(chǔ)上，需要增加MAC地址的管理。MAC地址是指的計算機網(wǎng)卡上內(nèi)置的硬件信息，相對IP地址不容易更改，更重要的是可以建立IP地址與MAC地址的對應(yīng)關(guān)系表，形成IP+MAC的記錄項，這樣當(dāng)其中的任何一樣放生改變時，即可認(rèn)為有非法用戶進入系統(tǒng)。

7.終端管理

分成兩部分，包括用戶管理和PC管理。

用戶管理：現(xiàn)有的OA系統(tǒng)已經(jīng)有了自己的用戶信息庫，而上網(wǎng)行為管理系統(tǒng)也有自己的用戶信息庫，兩者并不相同。因此我們的支撐平臺要建立一套用戶信息庫，主要內(nèi)容來自于OA系統(tǒng)，并同步給上網(wǎng)行為管理系統(tǒng)設(shè)備，保證兩邊的數(shù)據(jù)一致性。

終端管理：因為我們的網(wǎng)絡(luò)管理系統(tǒng)主要管理的是我們設(shè)備，當(dāng)然最直接的就是pc終端。如何很好的對pc終端進行管理是衡量這個系統(tǒng)是否有效、是否有價值的一個標(biāo)準(zhǔn)。

8.查詢統(tǒng)計

管理員可以通過數(shù)據(jù)中心的內(nèi)容檢索工具，從海量日志中進行實時查詢、審計所需的日志記錄，并生成，詳細的報表和圖形化統(tǒng)計結(jié)果，并且支持導(dǎo)出功能，以及電子郵件轉(zhuǎn)發(fā)方便日常管理。

四、系統(tǒng)實現(xiàn)方式

網(wǎng)絡(luò)行為管理系統(tǒng)由支撐平臺（網(wǎng)絡(luò)管理系統(tǒng)）、硬件平臺）、DHCP服務(wù)平臺、數(shù)據(jù)中心四大部分組成。其中，支撐平臺包含了我的工作、信息查詢、報表統(tǒng)計、系統(tǒng)維護；上網(wǎng)行為管理系統(tǒng)主要是根據(jù)需求和要求進行設(shè)備的采購；DHCP服務(wù)平臺采用windows2003自帶的DHCP服務(wù)，可以采用集群的方式。

支撐平臺網(wǎng)絡(luò)管理系統(tǒng)分別通過UDP客戶端和Webservice客戶端向兩者發(fā)送用戶和IP/MAC信息，以完成信息的三者同步。

1.硬件平臺的實現(xiàn)

上網(wǎng)行為管理系統(tǒng)目前在市場上有很多成熟的產(chǎn)品，目前不僅國外的有，國內(nèi)做的好的也不少，比如深信服的AC產(chǎn)品、天易成上網(wǎng)行為管理系統(tǒng)、瑞星的RAC上網(wǎng)行為管理系統(tǒng)等。同時這些產(chǎn)品都支持二次開發(fā)，而且性能上都很不錯。

經(jīng)過對各廠家多款設(shè)備全方面的比較，在實際系統(tǒng)實現(xiàn)中采用了深信服AC系列產(chǎn)品，利用其自帶的流量識別算法，已經(jīng)實現(xiàn)了訪問控制、監(jiān)察審計、帶寬管理功能。

2.數(shù)據(jù)中心平臺的實現(xiàn)

數(shù)據(jù)中心服務(wù)器采用Windows平臺，運行IBM DB2數(shù)據(jù)庫。此部分?jǐn)?shù)據(jù)庫包含兩部分內(nèi)容：硬件平臺的日志記錄，以及支撐平臺的所有數(shù)據(jù)記錄。

3.DHCP服務(wù)平臺的實現(xiàn)

DHCP服務(wù)實現(xiàn)主要包括兩方面，包括DHCP服務(wù)的配置和WEBSERVICE服務(wù)程序的編寫。DHCP服務(wù)配置我們采用成熟的WINDOWS2003自帶的DHCP服務(wù)，通過安裝微軟DHCP服務(wù)組件來實現(xiàn)。DHCP服務(wù)由服務(wù)器來負(fù)責(zé)，服務(wù)器會為用戶接入提供DHCP的IP和MAC綁定設(shè)置。DHCP服務(wù)器提供的數(shù)據(jù)同步采用webservice服務(wù)方式。另外用JAVA開發(fā)一個WEBSERVICE接受數(shù)據(jù)并同時以命令方式操控DHCP服務(wù)。

4.支撐平臺的實現(xiàn)

為了實現(xiàn)網(wǎng)絡(luò)行為管理系統(tǒng)在前面所寫的諸多功能，在系統(tǒng)外端需要有一個支撐平臺來支撐整個網(wǎng)絡(luò)行為管理系統(tǒng)的運行。這一段主要來講如何開發(fā)一個支撐平臺，通過此平臺可以協(xié)助網(wǎng)絡(luò)行為管理系統(tǒng)的正常運行。我們把此支撐平臺稱為網(wǎng)絡(luò)管理平臺。

網(wǎng)絡(luò)管理平臺主要功能包括用戶信息維護、權(quán)限分配、設(shè)備信息維護，IP/MAC信息管理，后臺接口、查詢統(tǒng)計等功能。其中，支撐平臺（網(wǎng)絡(luò)管理系統(tǒng)）和上網(wǎng)行為管理中的人員數(shù)據(jù)同步的主要流程如圖3所示。

五、總結(jié)語

以上綜述主要簡單介紹了網(wǎng)絡(luò)行為管理系統(tǒng)的設(shè)計和技術(shù)實現(xiàn)。根據(jù)本單位的實際需求，系統(tǒng)可以對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進行規(guī)范，并實現(xiàn)現(xiàn)有OA與網(wǎng)絡(luò)行為管理設(shè)備的聯(lián)動，解決網(wǎng)絡(luò)準(zhǔn)入難題。本論文從需求分析著手，對系統(tǒng)的功能、系統(tǒng)的各模塊、系統(tǒng)與用戶的交互方式等方面進行了分析，提出具有本行業(yè)特點的網(wǎng)絡(luò)行為管理系統(tǒng)的系統(tǒng)框架、功能模塊和解決方案，并采用JAVA和.NET程序設(shè)計語言開發(fā)軟件。系統(tǒng)主要分為硬件平臺、數(shù)據(jù)中心、DHCP服務(wù)器、支撐平臺四部分組成，具有用戶管理、終端管理、訪問控制、IP/MAC管理、查詢統(tǒng)計等多個模塊，實現(xiàn)了對網(wǎng)絡(luò)行為的管理以及注冊用戶的綁定認(rèn)證，可以滿足特定行業(yè)高安全性的要求。