上网行为管理

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

1.上网行为管理目前市场主流厂商:深信服、网康典型案例2.1提升内网业务操作效率——封堵非业务应用解决方案方案背景:日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。上网行为管理解决方案——合理封堵非业务网络应用随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。方案价值:1、全方位封堵p2p,确保正常办公业务带宽P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。2、选择性内容过滤,方式灵活除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。3、差异化权限划分,构建和谐组织对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。2.2上网行为管理+SSLVPN防信息泄露解决方案背景分析:据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。解决方案:通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSLVPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。产品部署拓扑图如下:如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。SSLVPN产品以旁路模式部署,企事业单位通过SSLVPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。方案价值:上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。SSLVPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSLVPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。2.3校园网上网行为管理+SSLVPN综合解决方案校园网现状:校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:1、流量问题因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。2、网上言论目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。3、网络应用规范问题不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。4、校内资源使用问题学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。部署拓扑图:上网行为管理+SSLVPN综合解决方案:为此,选择上网行为管理+SSLVPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSLVPN远程登录访问内网,让从公网访问校园网内资源成为可能。1、网络行为审计将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。2、全面流量控制对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。3、提高师生网络应用效率虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。4、提供网络决策咨询学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。5、SSLVPN远程登录校园内网将SSLVPN采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。2.4银行业上网行为管理解决方案项目背景:目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。存在问题:随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。解决方案:针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。功能及解决的问题:1、内网用户上网权限的细致划分针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。2、全面流量控制事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。3、详细的日志备份银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,

1 / 12
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功