摘 要：為了進(jìn)一步加強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)管理，規(guī)范上網(wǎng)行為，做好網(wǎng)絡(luò)安全防護(hù)與監(jiān)控，某公司采用了深信服公司提供的上網(wǎng)行為管理等產(chǎn)品與解決方案。本文主要介紹了該產(chǎn)品的主要功能，并針對某公司所實(shí)施的具體方案及實(shí)施效果等進(jìn)行了初步分析。

關(guān)鍵詞：上網(wǎng)行為；安全；管理

中圖分類號：TP393.08

隨著電力企業(yè)信息化建設(shè)的不斷前進(jìn)，網(wǎng)絡(luò)應(yīng)用已經(jīng)越來越廣泛的應(yīng)用于電力系統(tǒng)中的各個(gè)領(lǐng)域，互聯(lián)網(wǎng)帶來的各種利弊也慢慢凸顯出來。一方面提高了工作效率，上網(wǎng)條件得到改善；一方面網(wǎng)絡(luò)資源濫用，信息泄露等問題也日益嚴(yán)峻。如何最大化利用網(wǎng)絡(luò)資源的同時(shí)，又能避免各類安全隱患的發(fā)生，某公司決定采用技術(shù)設(shè)備與規(guī)章制度結(jié)合的方式，根據(jù)業(yè)務(wù)需求規(guī)范不同網(wǎng)絡(luò)應(yīng)用優(yōu)先級別，總體規(guī)劃網(wǎng)絡(luò)帶寬、流量，指導(dǎo)員工正確使用網(wǎng)絡(luò)資源，從而對局域網(wǎng)內(nèi)各種上網(wǎng)行為進(jìn)行有效管理。某公司于2007年采購了深信服公司的上網(wǎng)行為管理AC1600及VPN2050等相關(guān)產(chǎn)品，至今已運(yùn)行了5年，期間進(jìn)行了一次系統(tǒng)升級，通過其AC產(chǎn)品提升了整體寬帶水平，做到了流量的智能選路和負(fù)載平衡，同時(shí)對局域網(wǎng)內(nèi)用戶的各種網(wǎng)絡(luò)行為進(jìn)行了有效的管理、監(jiān)控和引導(dǎo)。

1 AC上網(wǎng)行為管理設(shè)備主要功能

1.1 識別功能

識別作為管理的基礎(chǔ)，是上網(wǎng)行為管理產(chǎn)品功能是否健全的有利保障。SANGFOR AC上網(wǎng)行為管理具有強(qiáng)大的識別功能?；谟脩糇R別的功能支持以IP、MAC、IP/MAC綁定、用戶名密碼、USB-Key識別，公用賬號認(rèn)證，同時(shí)支持LDAP認(rèn)證、Radius認(rèn)證、POP3認(rèn)證、WEB認(rèn)證等等，其中WEB認(rèn)證支持以windows認(rèn)證框方式實(shí)現(xiàn)web認(rèn)證也支持以HTTP POST方式實(shí)現(xiàn)web認(rèn)證。其次SANGFOR AC還能夠?qū)K端進(jìn)行識別，特別是目前SSL加密網(wǎng)頁越來越多?；陉P(guān)鍵字、流特征、深度內(nèi)容檢測、關(guān)聯(lián)識別等等技術(shù)的應(yīng)用，能夠識別SSL加密的網(wǎng)頁、IM聊天軟件、P2P、流媒體、炒股等等多種應(yīng)用。而經(jīng)過SSL加密的論壇/BBS發(fā)帖、webmail外發(fā)郵件、SMTP/POP3，AC都能對其進(jìn)行識別。

1.2 控制功能

針對目前P2P行為泛濫的趨勢，SANGFOR AC的P2P智能識別技術(shù)能夠?qū)Σ怀Ｓ玫摹⑽磥砜赡艹霈F(xiàn)的P2P軟件進(jìn)行有效管控。并且對P2P行為嚴(yán)重吞噬帶寬資源的問題，提供流量控制功能。AC所具備的多種網(wǎng)絡(luò)訪問控制功能，可以基于用戶/用戶組、基于時(shí)間段、基于不同目標(biāo)行為進(jìn)行靈活權(quán)限控制，實(shí)現(xiàn)人性化管理要求。

1.3 帶寬及流量管理功能

SANGFOR AC的多線路復(fù)用專利技術(shù)使一臺AC可同時(shí)連接四條公網(wǎng)線路，擴(kuò)展帶寬、互為備份、流量負(fù)載均衡。通過部署SANGFOR AC網(wǎng)關(guān)，可實(shí)現(xiàn)智能化選擇最快的出口線路，有利于上網(wǎng)速度的提升。網(wǎng)絡(luò)管理員可以查看指定時(shí)間段內(nèi)流量分布，用戶流量排名，視頻會議系統(tǒng)等業(yè)務(wù)流量，并可對帶寬進(jìn)行劃分和分配，進(jìn)而優(yōu)化網(wǎng)絡(luò)資源。

1.4 監(jiān)控和審計(jì)功能

可以對局域網(wǎng)網(wǎng)用戶的訪問網(wǎng)站、使用的聊天工具、聊天內(nèi)容、傳輸文件等進(jìn)行審核記錄。對一些敏感網(wǎng)址進(jìn)行屏蔽。對不同崗位人員可以設(shè)置不同上網(wǎng)權(quán)限。

除以上四個(gè)主要功能外還包括提醒功能、報(bào)表和檢索功能、安全增值功能等。

2 某公司采取方案

2007年某公司采用了深信服公司的SANGFOR M5400-AC和SNGFOR M5100-S產(chǎn)品，隨著硬件平臺的老化和外網(wǎng)帶寬的增加，已經(jīng)無法滿足現(xiàn)有的使用承載能力，2010年，公司將產(chǎn)品升級到SANGFOR AC1600和SANGFOR VPN2050，新的產(chǎn)品可以支持局域網(wǎng)內(nèi)用戶數(shù)1500人，支持千兆的網(wǎng)絡(luò)平臺，最大支持并發(fā)300移動客戶。目前公司使用的深信服產(chǎn)品網(wǎng)絡(luò)拓?fù)鋱D如圖1：

圖1

由于某公司工作特殊性，許多員工需要外出辦公，領(lǐng)導(dǎo)與管理人員也會經(jīng)常出差，如何實(shí)現(xiàn)局域網(wǎng)內(nèi)的異地辦公，我們采用了SANGFO VPN產(chǎn)品來解決遠(yuǎn)程接入的問題。公司為需要異地辦公的人員配備了DKEY鑰匙，使員工無需安裝客戶端，僅憑借瀏覽器即可使用SSL VPN。原理見下圖2：

圖2

3 實(shí)施效果

通過近五年的使用，對于規(guī)范網(wǎng)絡(luò)資源的正確使用起到了良好的作用。

3.1 P2P軟件的控制

P2P行為對帶寬的吞噬能力眾所周知，而傳統(tǒng)的只能封堵“昨天的BT軟件”是不夠的。AC憑借P2P智能識別專利技術(shù)（專利號： 200610156977.8），不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現(xiàn)的P2P亦能管控。而AC為您提供的P2P流控技術(shù)，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。

3.2 帶寬統(tǒng)計(jì)和管理

AC數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行審計(jì)、統(tǒng)計(jì)及趨勢、報(bào)表等。借助圖形化報(bào)表、曲線和統(tǒng)計(jì)結(jié)果，可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。

AC基于用戶（組）、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)IP等的智能流控，細(xì)致劃分與分配帶寬資源，如保障領(lǐng)導(dǎo)的視頻會議、市場部訪問行業(yè)網(wǎng)站、設(shè)計(jì)部傳輸CAD文件等行為得到帶寬保障，提升整個(gè)機(jī)構(gòu)的帶寬使用效率。

3.3 外發(fā)信息控制

內(nèi)網(wǎng)用戶如果使用了聊天軟件、或是論壇、博客、E-mail、BBS等將辦公信息或其他機(jī)密信息外泄時(shí)， AC能封堵審計(jì)收發(fā)的Email，過濾訪問論壇、網(wǎng)站的行為，讓內(nèi)網(wǎng)用戶認(rèn)識到自己需要為其網(wǎng)絡(luò)行為負(fù)責(zé)。AC具有完整的身份認(rèn)證體系，某公司采用IP地址與MAC地址綁定的方式，對局域網(wǎng)內(nèi)每個(gè)用戶進(jìn)行監(jiān)控，未經(jīng)授權(quán)的用戶將無法訪問包括內(nèi)網(wǎng)在內(nèi)的任何網(wǎng)絡(luò)資源。

3.4 版權(quán)保護(hù)和法律舉證

局域網(wǎng)內(nèi)的個(gè)人用戶有可能對版權(quán)的認(rèn)識不是很清晰，AC系統(tǒng)可以幫助提醒個(gè)人用戶是否有違法違規(guī)的操作，并在AC數(shù)據(jù)中心找到違規(guī)記錄，避免不必要的糾紛。當(dāng)因個(gè)人原因?qū)е碌姆钦?dāng)網(wǎng)絡(luò)行為，例如訪問色情、反動網(wǎng)站等，也可在AC數(shù)據(jù)中心中找到相關(guān)違法違規(guī)記錄作為法律舉證的重要依據(jù)。某公司每天產(chǎn)生數(shù)幾M的日志數(shù)據(jù)，通過AC獨(dú)立數(shù)據(jù)中心實(shí)現(xiàn)日志海量存儲，而且提供了圖形化的日志查詢、統(tǒng)計(jì)、審計(jì)、報(bào)表中心等功能。

通過統(tǒng)計(jì)報(bào)表功能，您將直觀的獲得關(guān)于流量、郵件收發(fā)、上網(wǎng)時(shí)間、網(wǎng)絡(luò)行為等方面的詳細(xì)的報(bào)表和圖形化統(tǒng)計(jì)結(jié)果，并且支持導(dǎo)出PDF等文檔、Email投遞等功能，方便IT部門將統(tǒng)計(jì)結(jié)果向機(jī)構(gòu)高層匯報(bào)。

3.5 提升了工作效率

AC能針對不同用戶（組）提供基于角色的管理方法，讓管理者實(shí)現(xiàn)指定用戶和部門在工作時(shí)間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。如果員工上班時(shí)間通過QQ、MSN、飛信等工具聊天或發(fā)送文件，不僅影響工作效率，還有可能導(dǎo)致信息外泄。AC可通過檢測數(shù)據(jù)包內(nèi)字段，實(shí)現(xiàn)多方位的管控。并通過限制用戶搜索指定關(guān)鍵字，過濾用戶上傳下載的指定文件，將內(nèi)網(wǎng)用戶精力更多聚焦在工作上。AC通過為不同部門、不同用戶進(jìn)行權(quán)限分配，并支持設(shè)定一定的上網(wǎng)時(shí)間值。

3.6 保障內(nèi)網(wǎng)安全

SANGFOR AC的腳本過濾功能能夠根據(jù)腳本行為和特征攔截不良網(wǎng)站和含有惡意腳本、木馬的網(wǎng)頁，防止用戶不小心進(jìn)入不良網(wǎng)站而感染病毒、木馬。SANGFOR AC支持插件過濾，能夠根據(jù)插件的名稱、簽名、證書等過濾掉IE插件，同時(shí)也能識別下載的文件中隱藏的插件。從而避免用戶上網(wǎng)被強(qiáng)制安裝的惡意插件而導(dǎo)致的系統(tǒng)崩潰、訪問網(wǎng)絡(luò)不正常等情況，阻止惡意監(jiān)控軟件盜取個(gè)人信息、企業(yè)機(jī)密。假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動網(wǎng)站等，顯示“加密化”已經(jīng)成為趨勢，而業(yè)界多數(shù)設(shè)備無法對SSL加密網(wǎng)頁進(jìn)行管控。AC通過證書驗(yàn)證鏈接黑白名單技術(shù)，過濾含有不可信任數(shù)字證書的SSL網(wǎng)站，實(shí)現(xiàn)對SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。通過檢測流量和異常網(wǎng)絡(luò)行為等技術(shù)和內(nèi)置防ARP欺騙功能組件，還可徹底防御來自外網(wǎng)和內(nèi)網(wǎng)的DOS攻擊，保障用戶網(wǎng)絡(luò)的可用性和可靠性。

4 結(jié)束語

某公司是擁有3000多員工的老廠，但信息化建設(shè)一直走在電力系統(tǒng)前沿，公司局域網(wǎng)的建設(shè)經(jīng)過多年的完善，已經(jīng)初具規(guī)模，內(nèi)網(wǎng)網(wǎng)絡(luò)效能的提升更是公司信息化建設(shè)非?？粗氐囊环矫妗Ｍㄟ^SANFOR網(wǎng)上行為管理的實(shí)施，大大提高了工作效率，增強(qiáng)了內(nèi)網(wǎng)安全性，更是為整個(gè)國華系統(tǒng)的內(nèi)網(wǎng)建設(shè)提供了寶貴的資料。

參考文獻(xiàn)：

[1]徐梁，何宇，陸函奇.芻議電力企業(yè)局域網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全問題[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（20）：97+113.

[2]吳琴.淺析中小型企業(yè)辦公局域網(wǎng)的安全管理[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（22）：159+161.

作者簡介：商慶偉（1978-），男，江蘇省徐州市人，碩士，講師、工程師，主要從事網(wǎng)絡(luò)運(yùn)行、維護(hù)、管理方面的工作，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)，信息安全域網(wǎng)絡(luò)技術(shù)；王卿（1979-），女，江蘇徐州人，工程師，從事計(jì)算機(jī)軟件管理工作。

作者單位：徐州工業(yè)職業(yè)技術(shù)學(xué)院，江蘇徐州 221140；國華徐州發(fā)電有限公司，江蘇徐州 221166