一、需求应用分析

随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体/WEB视频的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；更多主要使用IM聊天、浏览无关网页、BBS论坛发帖、网络游戏、P2P下载、流媒体、在线视频等不仅导致职员工作效率低下，还潜在可能向公网泄露内部机密信息，并可能因访问非法网站或发表非法言论而违反法律。互联网资源的滥用，给企业、政府、事业单位等各行业各组织带来了巨大的损失。另外无孔不入的病毒（尤其是木马、ARP欺骗等）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了企事业单位应用系统的运行和业务的正常运作；特别在针对内网安全方面（尤其是PC客户端准入安全检查）缺少专门的网络安全控制审计设备，无法查找和修复内网的安全隐患，从而无法有效的保护整个内部网络的安全性。

互联网的蓬勃发展，为企业提供了丰富的信息资源和畅通的网络工作平台。受益于互联网的同时，越来越多的企业已经认识到：不受控制的互联网使用行为对企业造成安全威胁，随着信息化程度的提高，如多线程的下载、在线视频、在线游戏、P2P 应用、蠕虫病毒、以及 DOS/DDOS 攻击等多种新型的流量在网络中大量出现。在不作控制的情况下，这些非关键业务严重影响网络中正常业务的运行，导致网络资源的极大消耗，并由此引发以下问题：(1)职员工作效率低下、(2)网速越来越慢、(3)安全隐患不断、(4)网络下载、娱乐、网购、视频、(5)网络违法行为、信息泄露；因此对网络流量和网络行为进行管理监控，是保障业务正常运行的关键，因此选择上网行为管理/流控产品为您提供最具竞争力的解决方案。

对企中科网威ANYSEC上网行为管理系统是一款集上网行为管控、应用识别控制、流量控制管理、内容审计分析、VPN防火墙于一体的专业网络安全控制产品，业内部网络及业务应用实现最高安全级别的保护，对网络行为实现最灵活的控制管理审计，实现 IT 网络资源最大程度的管控和优化。中科网威流控/行为管理系统基于内核架构实现上网行为管理和内容审计，对比与基于应用层级别的其他同类产品，具有无可比拟的性能优势。

二、应用方案 

针对一般企业单位的管理目标和需求，中科钢威提供如下上网行为管理安全控制解决方案，中科网威ANYSEC上网行为管理解决方案网络拓扑如下所示：

方案说明 

如上图所示，考虑到整个网络的安全性能以及可管理性，建议如以下布署：

信息中心署一台中科网威上网行为管理系统，对内网进行管控员工上网行为和对所有网络应用流量识别并管控，中科网威上网行为管理集上网行为管控、流量监控、带宽管理、应用识别控制、访问控制、VPN防火墙、多线路负载均衡、内容审计过滤、多用户认证接入、黑白名单管理、统计分析报表等功能于一体，除对内网用户做精细的上网行为管控之外，更有效提供带宽利用率保障关键应用。

三、方案特点及实现价值

1、管控网络带宽 

多线路负载均衡

通过ANYSEC上网行为管理产品多线负载均衡、带宽叠加智能选路功能，用户可同时连接多条公网线路，形成一条公网总出口，提升整体带宽水平。再结合多ISP线路智能选路，内网员工访问不同运营资源时，AE能够自动为用户匹配最佳出口，保障重要服务的带宽质量和服务质量。

      P2P下载控制

P2P下载对带宽的吞噬能力众所周知，而每天不断更新的P2P软件，让大多数控制工具只能封堵“昨天的BT软件”。中科网威AE控制网关P2P智能应用识别功能不仅能识别和管控用户常用的P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。单纯禁止使用P2P下载可能导致用户不满或实施困难，AE智能P2P流控技术，将限制指定用户开启P2P占用的带宽。既允许用户使用P2P下载，又不会滥用机构宝贵的带宽资源。

     带宽统计和管理

ANYSEC上网行为管理数据中心对内网员工的各种网络行为进行记录、审计、统计及趋势、报表等。借助图形化报表、曲线和统计结果，可以了解哪些行为占用了带宽资源，并能自动形成报表文档，定时发送到指定邮箱，让IT管理者轻松掌控用户网络行为分布和带宽资源使用等情况。

ANYSEC上网行为管理针对不同用户(组)结合具体应用进行合理的带宽通道划分，如为内网服务器提供充足带宽；保障关键部门Email收发的带宽需求，且为重要部门每位员工平均分配带宽资源，既防止带宽滥用，又提升了带宽的使用效率。

2、提升工作效率 

上班时间无关网页浏览、IM聊天、在线视频、网络游戏等降低了企业的工作效率，如何在上班时间对内网员工的网络行为进行管理和引导？

     网页过滤策略

上班时间从事与工作无关网络活动，管理者却难以阻止，如上班时间浏览新闻网站、论坛发帖等。ANYSEC上网行为管理能针对不同用户(组)提供基于角色的管理方法，让管理者实现指定的员工和部门在工作时间只能访问特定的网站，例如行业信息网站、公司门户网站等，而其他未经允许的网页浏览都将被拒绝。

     IM聊天软件的管理

上班时间使用QQ、MSN等私人聊天，不仅影响工作效率，还可能因IM传文件而引入病毒和向外泄密。面对Skype、Yahoo Messenger、旺旺、飞信等众多IM软件，IT管理员使用现有防火墙等传统网络安全设备，通过封堵端口和服务器IP的方式，不仅费时费力且无法根治。ANYSEC上网行为管理通过检测应用数据包的特征字段，实现对IM聊天软件、在线视频、网络游戏、下载等诸多应用的管控。

     各种行为的管理

网页过滤、IM聊天等管控只是内网行为管理的一部分。面对员工上班即下载未看完的电视剧，搜索最新网络新闻、图片、视频，上班时间更新博客、上传图片、下载电影、程序等问题，ANYSEC上网行为管理通过限制用户搜索指定关键字，过滤用户上传下载的指定文件，将员工精力更多聚焦在工作上。

     上网时间管理

每个单位都有其工作时间安排，所以，根据不同时间段为用户分配网络访问权限，是专业上网行为管理设备必须考虑的问题之一。ANYSEC上网行为管理通过为不同部门、不同员工，基于时间段进行权限分配，也可以限制员工一天内总的上网时间，实现人性化管理。

3、保障内网安全 

多数单位已经在公网接口处部署了防火墙、IPS等设备，但内网依然病毒频发、攻击不断，是何原因？堡垒最容易从内部突破，内网员工主动“邀请”病毒、木马等进入内网！

     拦截不良网页

ANYSEC上网行为管理内置自动更新2000多万条URL库，包括色情、反动等分类，潜藏在此类网站中的威胁将被ANYSEC上网行为管理轻松过滤；ANYSEC上网行为管理允许用户手工添加新URL分类；再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字，实现对各类网页的全面过滤，降低内网员工访问不良网页和危险网页的可能。

假冒网上银行的钓鱼网站、加密的反动HPPTS网站等，显示“加密化”已经成为趋势，而业界多数设备无法对SSL加密网页进行管控。ANYSEC上网行为管理通过证书验证链接黑白名单技术，过滤含有不可信任数字证书的SSL网站，实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。

     文件传输控制

针对QQ、MSN等IM软件的病毒，通过引诱用户下载指定文件或打开指定URL链接而传播；ANYSEC上网行为管理“拦截不良网页”措施将避免用户访问含病毒URL地址；ANYSEC上网行为管理还可限制使用QQ、MSN等进行文件传递或视频通话。

通过HTTP、HPPTS、FTP从互联网下载的文件，往往打开或运行后导致用户电脑感染病毒、木马，甚至瘫痪。该风险还会伺机爆发，感染更多用户，瘫痪整个网络。而此类行为和流量经过ANYSEC上网行为管理时，ANYSEC上网行为管理首先限制用户通过HTTP、FTP上传下载指定类型的文件，对于允许传输的文件，AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。

     强制修复内网安全

根据木桶理论，机构内网的安全级别取决于安全等级最低的一环。IT部门要求用户操作系统及时更新、安装指定杀毒/防火墙软件并保持更新等，但并非所有用户都能遵从，进而形成内网安全短板。一旦该“短板用户”访问安全风险网站、下载含病毒文件、执行非法程序等，极易导致自己感染病毒，还将感染整个内网员工群。借助网络准入访问规则技术，ANYSEC-A将检测接入终端的操作系统及补丁、杀毒/防火墙软件等安全状况，不安装、不运行指定安全软件，就不允许接入Internet，从而强制修复内网安全策略。

     防DOS、ARP欺骗

即使部署众多安全措施，安全威胁仍无孔不入。来自外网的DOS攻击AC能防御；而来自内网的DOS攻击，不仅吞噬带宽，还将影响出口网关的稳定。传统防火墙等无法防御来自内网的DOS攻击，而ANYSEC上网行为管理通过检测流量和异常网络行为等技术，彻底防御来自外网和内网的DOS攻击。

ARP协议原本用于“从IP地址寻找MAC地址”，但病毒等引起的ARP欺骗导致子网内所有用户无法访问Internet，定位故障点又颇为麻烦。有别于部分厂商依赖第三方软件的方案，ANYSEC上网行为管理通过内置防ARP欺骗功能组件，保障用户网络的可用性和可靠性。

4、规避法律风险 

目前网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果员工无控制利用公司网络，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的直接责任人。

外发信息控制

员工们更多选择使用IM软件、Email、BBS、论坛、个人博客等方式将办公室和机构内信息发布出去。而ANYSEC上网行为管理能够封堵IM聊天软件，过滤和审计Email邮件收发，过滤访问论坛、网站的行为，而网络发帖ANYSEC上网行为管理一样可以进行过滤和审计，让员工们认识到自己需要为其网络行为负责。

对外来人员接入内网的认证，通过ANYSEC上网行为管理提供的完整用户接入认证体系：可以启用Web方式的用户名/密码认证，IP和MAC地址绑定，或与机构的Radius、LDAP、微软域控服务器联动，ANYSEC上网行为管理甚至可以借助机构的POP3邮件服务器上的用户帐号数据，对接入用户进行强身份认证，未经授权的局域网接入用户将无法访问任何网络资源。

法律规避和举证

员工个人偏好导致的非正当网络行为，例如访问色情、反动网站等，ANYSEC上网行为管理能有效过滤和拦截；ANYSEC上网行为管理亦可过滤张贴的非法网络言论，即使逃脱过滤进入BBS的煽动性言论、网上聊天中的侵犯性语言等，也可在ANYSEC上网行为管理数据中心中找到相关记录作为法律举证的重要依据。ANYSEC上网行为管理通过独立数据中心实现行为日志海量存储，结合图形化的报表、查询、统计工具，和内容检索工具，让机构的管理者可以轻松掌控您的网络和内部员工的网络访问行为。