第一篇：企业网络行为管理分析及解决方案

企业网络行为管理分析及解决方案

随着互联网应用的深入和普及，当今社会已经全面进入互联网时代，网络安全问题日益严峻，针对中小型企业和分支机构的恶意攻击行为也越来越多，360智慧防火墙一站式解决方案能有效保障中小型企业和大型企业的分支机构网络安全和稳定，让安全不仅全面而且简单可视化。

1、行业特点

中小企业对IT信息化的建设投入资金不足，再加上运维人员不具备专业的安全知识，甚至有些运维人员是其他岗位兼任，导致对安全的认识不足，认为安全是贵而且“不可见”的，因此在信息安全投入的占比更小，缺少专业的信息安全人才和专业而全面的信息安全一体化解决方案，导致中小型企业信息安全问题一触即发。

2、行业需求

低成本的全面安全管控

中小企业在信息安全的预算不足，FW、IPS、防病毒都是企业的基本安全需求，多设备高成本导致不可能“糖葫芦”式的部署和建设，这种方式不仅需要大量资金，更不利于运维管控，因此只需要一台设备就希望搞定众多安全问题。

规范员工上网行为，优化网络管理

员工上网如何管控，如何禁止员工在上班期间看娱乐视频网站和购物、刷贴吧、上不良网站等非工作上网行为，如何让带宽资源稳定高效，不影响其他员工正常上网，同时希望能有全面精确的多维度的员工上网行为分析，为绩效考核提供可信数据。

安全可视化，运维简单化

运维人员对信息安全专业知识的欠缺，对攻击行为和未知安全威胁的发现不足，导致对安全运维往往力不从心，希望安全可视化，运维简单化。

3、产品亮点和方案优势

一体化高性能安全解决方案

360网神智慧防火墙全面集成IPS、防病毒、抗DDOS等一系列高级功能，采用引擎一体化技术提高了应用层的处理速度，降低了整体数据转发的延迟，使防火墙即使开启所有安全功能，仍然能保证高性能和高稳定性，一台设备满足普遍安全需求，为中小型企业打造专业精细化的边界防御体系。

基于行为管控模块提高绩效管理

360网神智慧防火墙通过行为管理模块实现以用户维度为核心的所有网络活动的深度统计和实时监控，包含用户程序、风险等级、文件名、内容、域名、URL、地域等近30个纬度，基于自定义绩效模板和预定义绩效模板，生成员工效率排行榜，提供策略优化处置建议，从管控规则角度提升办公效率，这些客观数据将为员工的绩效考核和办公效率提升提供强有力的数据支撑；同时，通过管理员工上网行为，能有效提升公司出口网络的利用率。

全方位风险信息展示及分析

360网神智慧防火墙提供了全面的实时的风险信息展示，着重突出失陷主机、威胁事件、重点关注对象，一键直达异常行为跟踪界面，让安全“可视化”。结合威胁情报，挖掘出未知威胁，并支持手动及自动两种方式动态生成安全策略，让运维人员无需专业安全知识也能一键分析和处置，让运维“简单化”；

综上所述，使用SSL VPN 可以实现连云港苏州之间直接互通，形成城域网，其次可以限制客户端上网行为的管理，例如guest的权限设置，可以上外网不可以进入公司内网，每台PC的上网日志被记录，再则进行上网准入的原则，接入公司内网后,需要获得上网权限必须由总裁批准后才能进行访问互联网。使用SSL VPN可以使得在外网的笔记本等移动设备接入公司内网，进入相关应用系统及共享文件，具备高加密的封装，保证链路的安全性，从而提高工作的效率。

2017.9.21

第二篇：企业上网行为管理 计算机管理解决方案

公司企业上网行为管理

解决方案

目录

简介.......................................................................................................................................................3 解决方案...............................................................................................................................................3 天易成网管功能简介...........................................................................................................................4 公司简介...............................................................................................................................................5 我们提供...............................................................................................................................................5 产品功能介绍.......................................................................................................................................6

网页监控.......................................................................................................................................6 下载监控.......................................................................................................................................7 游戏监控.......................................................................................................................................8 聊天监控.......................................................................................................................................9 网络视频监控.............................................................................................................................10 下载速度限制.............................................................................................................................11 股票监控.....................................................................................................................................12 邮件监控.....................................................................................................................................13 流量管理.....................................................................................................................................14 代理监控.....................................................................................................................................15 自定义规则.................................................................................................................................16 时间设置.....................................................................................................................................17 软件部署模式.....................................................................................................................................18 引导模式.....................................................................................................................................18 虚拟网关模式.............................................................................................................................19 网桥模式.....................................................................................................................................20 网关模式.....................................................................................................................................22 旁听模式.....................................................................................................................................23 简介

在现代社会，几乎所有的公司、企业都会使用网络来管理内部资源或者与外界联系业务，企业也是花费了高昂的费用接入互联网，但事实上，这些带宽资源并没有物尽其用，部分员工利用公司资源，在上班时间聊私人QQ、浏览与工作无关的网页，更有甚者大玩各种网络游戏、下载电影等，员工的这些非法上网行为消耗了本就紧张的企业带宽，致使企业局域网网速过慢，甚至连打开网页、收发邮件都困难，严重干扰了企业正常业务的进行。

解决方案

网管软件正是为企业量身定做的上网行为管理系统，用于管理员工上网行为，保障企业信息安全。部署天易成上网管理软件时，无需安装客户端，安装局域网一台机器即可控制整个局域网主机的上网行为。软件支持5种安装模式，适应各种网络环境。

通过我们的产品，可以实现如下功能：

   提高员工的工作效率

合理分配带宽资源，保障企业正常业务顺利进行 防止企业机密资料被泄漏 天易成网管功能简介

1.网页监控——对网站URL进行分类过滤，支持黑白名单功能，允许访问白名单中的网站，禁止访问黑名单中的网站；

2.下载限制——封堵Http下载，FTP上传下载。封堵BT、迅雷、eMule电驴、PP点点通、POCO、卡盟、酷狗等P2P下载；

3.聊天限制——封堵QQ、MSN雅虎通、网易泡泡、新浪UC、贸易通、淘宝旺旺、hi百度、飞信等各种聊天软件；

4.游戏限制——限制QQ游戏、QQ农场、开心农场、地下城与勇士、穿越火线、跑跑卡丁车、征途、巨人、水浒Q传、冒险岛、天龙八部、彩虹岛、联众游戏、中国游戏中心等网络游戏；

5.股票软件限制——禁止同花顺、大智慧、龙卷风、钱龙系列、大福星、广发证券、光大证券、招商证券、国信证券、长城证券等各种炒股软件；

6.在线视频限制——禁止优酷，酷六，土豆，迅雷看看，搜狐视频，新浪视频，我乐网，天线视频，乐酷视频，青娱乐，中央电视台等；

7.网络电视限制——禁止PPStream网络电视，PPLive，PPFilm，UUSee网络电视，风行，BoBoHu，OctoShape，Jeboo等；

8.邮件内容和论坛发帖内容监控——可以监控网易邮件，雅虎邮件，126邮件，QQ邮件，HotMail等各种邮件的内容，并能监控各大论坛的发帖内容；

9.网速和流量管理——自定义设置各主机的上传、下载速度和上行、下行的流量； 10.远程管理——即利用互联网上的任一电脑管理局域网主机的上网行为；

11.远程开关机、设置策略起作用的时间、IP-MAC绑定、实时监控、自定义规则等功能。公司简介

成都天易成软件有限公司位于成都市人民南路四段，是在高新技术应用领域中专业从事上网行为管理软件和企业管理软件开发与销售的高科技公司，公司产品全部拥有自主知识产权。

公司倡导“百分努力 百分满意”的企业精神，具有良好的内部机制和优良的工作环境，汇聚了一批年轻的、有学识的、具有实干精神的人才。高素质、高水平、高效率的人才是天易成软件在当今激烈的市场中立于不败之地的保障。

我们提供

专业、完善的产品和解决方案：公司在产品研发方面的高投入，众多项目的实际应用，让我们具备了相应的的创造力和丰富的经验，这将成为您解决疑问和难题的良好保证。并且我们可以为你提供专业、完善的产品解决方案，保证用户使用无忧。

先进、专业的技术支持：公司众多一流人才的深层磨合，对最新技术执拗的探讨精神，使我们能够保证为你提供最专业的应用和服务。

完善、快速、周到的售后服务：我们将以最快的速度、最有效的方法、最先进的技术，保障系统的效果发挥到极至，解除您的后顾之忧。产品功能介绍

网页监控

1、网页访问完全控制：网管可以选择是全部禁止上网还是使用过滤规则上网；

2、黑白名单规则：网管可以设定网址过滤规则，允许访问白名单中的网站，禁止访问黑名单中的网站；

3、色情、游戏类等网址过滤：系统可以自动过滤符合分类网址库的访问；

4、系统可以精确、完整记录主机所上网站，便于事后审计。

下载监控

1、P2P下载控制功能：可以控制如BT、eMule(电驴)、百度下吧、PP点点通、卡盟、迅雷等12种P2P工具的下载；

2、HTTP下载控制功能：用户可以自行设定控制任意文件下载，也可以指定文件后缀名限制下载；

3、FTP下载功能：用户可以自行设定控制任意文件下载，也可以指定文件后缀名；

4、P2P下载智能带宽抑制功能：当发现有主机进行P2P下载时，自动降低该主机可用带宽；

5、系统可以禁止一切HTTP、FTP的上传下载。

游戏监控

监控QQ游戏、地下城与勇士、穿越火线、QQ农场、开心农场、跑跑卡丁车、征途、巨人、水浒Q传、冒险岛、天龙八部、彩虹岛、联众游戏、中国游戏中心等网络游戏。

聊天监控

监控QQ、MSN、雅虎通、网易泡泡、新浪UC、贸易通、淘宝旺旺、hi百度、飞信等各种聊天软件。

网络视频监控

1、在线视频控制：可以监控优酷，酷六，土豆，迅雷看看，搜狐视频，新浪视频，我乐网，天线视频，乐酷视频，青娱乐，中央电视台等；

2、网络电视控制：可以封堵PPStream网络电视，PPLive，PPFilm，UUSee网络电视，风行，BoBoHu，OctoShape，Jeboo等；

3、网络电话监控：监控Skype,UUCall,ET263,SIPhone等。

下载速度限制

1、手动限速功能：可以手动设置被控主机的P2P上传下载速度；

2、智能速度限制VIP功能：若设置倍数为2，应用本策略的电脑可以拥有相当于其它普通主机2倍的速度，倍数越大，速度越快；

股票监控

监控同花顺、大智慧、龙卷风、钱龙系列、大福星、广发证券、光大证券、招商证券、国信证券、长城证券等各种炒股软件。

邮件监控

监控网易邮件，雅虎邮件，126邮件，QQ邮件，HotMail邮件，新浪邮件，搜狐邮件，TOM邮件，Yeah邮件，21CN邮件，搜狗邮件等；

流量管理

1、系统可以为局域网主机设定上行、下行流量和总流量，超过设定流量，自动断开其公网连接；

2、用户可以根据需要选择流量清零的时间。

代理监控

监控Socket5、Http代理。

自定义规则

用户可以自己定义封堵规则，满足系统未提供的封堵。用户也可联系我们，将您的封堵需求加到软件中。

时间设置

可以设置策略起作用的时间段，以免给正常工作带来不必要的麻烦。

软件部署模式

软件支持五种部署模式，适用于不同的网络环境和管理需求。

引导模式

无需改变网络拓扑结构，部署在局域网内任意一台电脑。监控机可以关机。适用于单网段环境，被管理电脑数量不超过100台。

路由器不能做ARP静态绑定，路由器和被管理电脑不能开启ARP防火墙功能。部署如下图所示：

虚拟网关模式

部署在局域网内任意一台电脑，然后将网关/路由器同监控机的IP交换，并修改监控机的网关。监控机不能关机。

适用于单网段环境，被管理电脑数量不超过100台。支持有ARP防火墙的网络环境。安装软件在局域网内任意一台电脑；

将路由器的IP和控制机的IP互换，并修改监控机的网关。例：

设置前路由器IP为192.168.0.1，监控机IP为192.168.0.10，监控机网关为192.168.0.1。设置路由器IP为192.168.0.10，控制机IP为192.168.0.1，控制机网关为192.168.0.10；

运行控制台程序，登录服务端。点击工具栏的“设置向导”，在设置向导第一页，选择虚拟网关模式；

点击工具栏的“开始管理”图标，即可管理整个局域网。部署如下图所示：

网桥模式

适用于任何网络环境，支持VLAN。被管理电脑数量没有限制。推荐使用此模式！注：一定要先设置好网桥，再安装设置程序。

使用一台双网卡的电脑放置在路由器/防火墙与交换机之间，在此电脑上配置网桥。然后部署软件在此电脑上。监控机不能关机。

准备一台带双网卡的电脑(建议使用两张千兆网卡)； 建议使用Windows Server 2003或2008系统；

创建网桥： 进入控制面板，点开网络连接，同时选上这两个物理网卡，点鼠标右键，然后选择桥接，如下图：

设置网桥：成功创建网桥后，本地连接里会自动虚拟出来一个网络桥。原来的两个物理网卡已经不能设置TCP/IP属性了，只需要对虚拟出来的那个网络桥设置固定的IP地址、掩码、网关和DNS；注：设置网桥的IP应该和路由器在同一个网段。

成功创建网桥后，会产生一个新的MAC，假如你在路由器上有做IP-MAC绑定，应修改对应的规则 ；

连接网络：用网线将做网桥的电脑，一张网卡连接路由器/防火墙，另一张连接主交换机，部署如下图所示：

安装程序(包括服务端和控制台)后，运行控制台程序，登录服务端。点击工具栏的“设置向导”，在设置向导第一页，选择网桥模式；

在设置向导第二页，选择网卡，应该选靠近内网的网卡；如不知道哪张网卡是靠近内网的网卡，可以两张网卡都试试；

点工具栏的“开始管理”图标，即可管理整个局域网。网关模式

适用于在网络出口处有一台双网卡电脑拨号上网的情况，支持VLAN。被管理电脑数量没有限制。监控机不能关机。

安装程序(包括服务端和控制台)后，运行控制台程序，登录服务端。点击工具栏的“设置向导”，在设置向导第一页，选择网关模式；

在设置向导第二页，选择网卡，应该选靠近内网的网卡；如不知道哪张网卡是靠近内网的网卡，可以两张网卡都试试；

点工具栏的“开始管理”图标，即可管理整个局域网。部署如下图所示：

旁听模式

功能较弱，只能查看不能控制被监控机的行为。不推荐使用。适用于使用hub或带端口镜像的交换机的情况。无需改变网络拓扑结构，被管理电脑数量没有限制。监控机可以关机。

在交换机上接一台机器，做好端口镜像，并将软件安装在此机器；或者管理机器和被管理机通过共享集线器连接在一起.部署如下图所示：

第三篇：企业上网行为解决方案

企业上网行为解决方案 企业面临问题分析

据调查得知，员工在工作时间从事非工作行为主要分为四大类：

一是获取与工作无关的资讯活动，如浏览新闻、看小说、看图片、收看收听视频和音频等；二是从互联网下载与工作内容无关的数据，如音乐、电影、程序及其他资料等； 三是从事获取个人收益的活动，如网上购物、炒股、兼职、发布广告等；

四是进行虚拟世界的沟通活动，如上网聊天、论坛、撰写博客、收发私人邮件等。随着网络技术的飞速发展，网络的安全性越来越引起广泛的关注。网络既能促进信息交流，加强员工合作，成倍的增加工作效率；也能让您的公司降低工作效率，泄漏公司机密，甚至担当法律风险。

针对企业的做出的上网行为解决方案

针对以上企业面临的问题和管理上的麻烦，我们认为可以利用西默上网行为管理路由器来解决企业困扰。得用西默上网行为管理的流量管理功能，保障企业关键业务应用的带宽使用；利用西默上网行为管理路由器强大的上网行为管理功能，规范企业员工的上网行为，使其在上班时间只能做与工作相关的动作，从而提高员工的工作效率，提高企业的核心竞争力；西默上网行为管理提供完善的日志审计功能，可以独立安装的审计中心，满足大日志量，长时间存储的要求，使企业满足“公安部82号令”的要求。部署上网行为管理路由器，解决企业当前面临的问题 上网行为管理路由器具有什么样的功能呢？

1、上网管理路由器是一款内容安全产品，用于管理用户的上网行为：是否允许上网、分时段上网、过滤不良信息、限制敏感信息；全中文用户访问日志管理，用户向互联网发布信息的日志管理；聊天、游戏等分时段管理。

2、上网行为管理路由器还具有审计功能，可以对所有员工的上网行为进行审计，可以记录员工浏览过的网页，下载的东西，查看QQ聊天记录及邮件内容等。可以记录员工有没有向互联网发布对公司不利的信息等，给公司带来不必要的麻烦。

3、上网行为管理路由器可以进行细致的带宽和流量管理

可最多连接四条外网线路，扩展带宽；且上网流量支持智能选路，解决跨运营商问题，同时超限流量将被设备缓存并于空闲时转发。提高带宽的利用率

4、上网行为管理路由器具有上网安全功能 领先的ARP信任机制与内网ARP防御功能结合，杜绝ARP病毒侵扰，防止内网掉线。支持内/外部攻击防御，防止病毒、木马和黑客的侵扰。打造从网关到终端的安全堡垒，为上网保驾护航。

5、上网行为管理路由器具有上网行为管理限制功能

针对迅雷，BT，电驴，UUSEE,PPLIVE,QQLIVE,风行，迅雷看看，PPS等P2P下载限制，QQ游戏，春秋，征途，天下，魔兽，穿越火线，传奇，网页在线游戏等各类网络游戏限制

6、上网行为管理路由器适合，中小企业，政府机构，各大高校等

第四篇：上网行为管理解决方案（推荐）

上网行为管理解决方案

一．上网行为管理产品产生的背景

在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：

1.与工作无关的 P2P 和在线视频等应用占用带宽

2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。

3.员工随意在网络上发帖和传输文件导致机密泄露 4.员工上网容易受到病毒、木马和蠕虫等攻击和感染 5.员工通过网络从事一些黄赌毒等违法活动 6.员工浏览和发布不良言论导致企业面临法律风险 为解决以上一系列的问题，上网行为管理产品应运而生。二．上网行为管理产品给用户带来的价值

上网行为管理产品带来了全面的互联网行为管理解决方案。在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值： 1． 应用控制和URL过滤： 企业或者组织接入互联网的带宽一般非常有限。当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

2． 流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。

3． web内容过滤：Web内容过滤可以对HTTP协议传输的Web页面内容和附件以及对FTP协议外传的附件进行控制，可以控制的项目包括： 按关键字过滤内网用户通过Web页面提交的文本（如BBS、论坛发帖），并控制提交文本内容的大小。通过文件大小和文件类型控制HTTP方式和FTP方式的文件外传。Web浏览关键字过滤：内网用户通过浏览器浏览Web页面时，按关键字过滤Web页面上的文本。

4． 上网行为审计：用户访问的网站，包括成功访问和意图访问但被阻断的网站，攻击防范、入侵防御和反病毒日志，上网时长和上网流量日志，同时支持审计某应用协议的上网时长和上网流量，通过HTTP协议外发的文本内容，通过HTTP、FTP和邮件进行文件收发的日志，用户使用搜索引擎搜索过的关键字，邮件收发日志等审计内容。除以上功能外华为产品还支持恶意流量检测，基于特征码的病毒检测等功能。

其他厂家产品及功能：除华为产品之外，还有深信服，网康，飞鱼星等厂家的产品，主要包括以下功能：网络流量管理，P2P软件的控制，拦截不良网页，文件传输控制，IM（即时通讯）软件的管理，应用控制，上网时间管理，外发信息控制等。三．上网行为管理产品部署方式： 1．网桥模式（二层模式）

适用场景：企业具有出口网关，不希望改动现有网络环境。2．网关模式（三层模式）

适用场景：企业没有出口网关，需要使用ASG做出口网关。3．旁路模式

适用场景：旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到上网行为管理设备，从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。四．上网行为管理功能列表： 下面功能列表以华为产品为例：

五．应用举例

政府信息中心上网行为管理；政府机关网络一般包括政务外网和政务内网，电子政务规划要求下属单位需要通过政府信息中心的互联网出口统一上网，但是也存在个别下属单位由于特殊原因拥有自己的互联网出口。政务内网跟互联网物理隔离，政务外网是办公人员跟外面进行信息交流的通道，也是政务公开和网上办事的窗口。在有独立互联网出口的总部和分支机构分别部署ASG设备，通过ASG Manager对ASG设备进行集中统一管理。通过划分上网权限、管理出口带宽、管控法律风险、全面网络行为审计，有效降低互联网风险、满足法律法规要求。组网图：

该应用场景主要实现如下目的： 1．管理出口带宽

基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。2． 管控上网权限

根据不同部门/用户（单位）分配不同的互联网资源访问权限。3． 管控法律风险 过滤浏览的不良网站和非法网站（反动、色情、暴力、博彩等），过滤发布非法言论。4． 审计和监督

记录网络访问行为。5． 威胁过滤

过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全上网。六．硬件设备 以华为产品为例

七．实施周期 根据已经实施过的华为工程（大唐国际和高压开关厂），测算一台ASG设备大概1周/人可实施完毕。

运维部-李红光

2015年1月6日

第五篇：上网行为管理解决方案

上网行为管理解决方案

泉州市东达网络科技有限公司

2014-09-22

目录

第1章 第2章 第3章

3.1 3.2 应用背景......................................................................................................1 问题分析......................................................................................................1 带宽使用情况探知......................................................................................1 用户识别......................................................................................................2 应用识别......................................................................................................2 3.2.1 3.2.2

第4章

4.1 4.2 URL访问行为...................................................................................2 互联网应用类型访问控制................................................................2

规范网络使用行为，提高工作效率..........................................................3 灵活的用户识别和认证方式......................................................................3 细致全面的应用流量识别技术..................................................................4 4.2.1 4.2.2 4.2.3 URL识别...........................................................................................4 国内最大的应用协议库....................................................................4 P2P智能识别....................................................................................5

4.3 灵活的网络控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的访问的合理分配...................................................................6 基于网站类型，文件类型的流量管理............................................6 IM聊天软件灵活管控......................................................................6 炒股软件、游戏软件的封堵............................................................6 P2P流媒体和P2P下载的管控........................................................6

i

第1章

应用背景

互联网在中国的普及已经超过20多年，尤其是最近几年得到了飞速的发展，网络改变了我们的工作和生活方式，尤其是对工作带来了极大的便利，而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣;然而随着网络应用的越来越丰富，尤其是诸如P2P等流量吞噬十分厉害的下载技术的出现使得原本飞快的网络变的越来越慢，多数企业发现他们花高代价增加的带宽很快又不能满足业务的需要，另一方面，员工职业化程度不够高的组织内部会存在大量的用户上班时间用来炒股、聊天、看电影、打游戏等活动，极大的降低了工作效率，组织机构花费极大的代价的网络被滥用，1个500人人均工资2000的中型机构，如果他的员工每天浪费0.5个小时在业务无关应用上面一年下来的损失高达150万元；而多数企业员工进行业务无关网络应用的时间远远超过0.5小时，每年损失的人力成本已经几乎超过网络带来的便利，领导者陷入了两难的困境，亟需对网络使用进行合理的管控。

第2章

问题分析

面对上述问题，以下几个问题是需要迫切需要解决的

1.内网到底发生了什么？需要一种行之有效的方法探知每个人每天上网行为的明细情况;2.什么应用抢占了带宽，导致了核心业务应用的速度慢，员工上班时间主要有哪些工作无关的应用需要进行管控;3.面对混乱的内网环境，如何建立起合理的有效的使用规范？保证网络使用主要是用来创造效益。

第3章

带宽使用情况探知

面对上述情况，我们首先需要的就是探知内网用户的流量使用情况，要探知内网用户的流量使用情况，以下几个步骤需要解决：

1.用户识别

2.应用识别

3.图形图表分析网络使用状况

3.1 用户识别

大型组织的上网用户众多，互联网应用纷繁复杂，加上长期以来形成上网无需认证，允许使用迅雷，在线影音娱乐不禁止等上网习惯，使得网络流量、行为情况变得异常复杂。

需要通过基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，对于不同的员工、部门实现分开管理，只有在很好的对人员进行区分以后，才能在上网行为的管理上责任到个人，使组织形成良好的上网行为氛围，营造高效和谐的办公自动化平台。

3.2 应用识别

3.2.1 URL访问行为

面对海量的URL地址，需要识别用户上班时间主要访问哪些网址，哪些是业务相关网站，哪些是业务无关网站。

3.2.2 互联网应用类型访问控制

上网行为管理设备对互联网的应用访问控制主要包括以下几个方面：

通过内置了的应用协议规则，对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别，而不是基于传统IP、端口识别。

随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。还需要能根据P2P协议特征的智能分析技术有效识别未知的、新的P2P行为。还需要能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。

第4章 规范网络使用行为，提高工作效率

通过上述的行为探知并分析并得知我们内网目前到底存在哪些问题？那么我们如何来解决这些问题，任何的上网行为和控制策略都必须要基于用户或是用户组来施行，只有很好的对人员进行认证和区分才能很好的保障流量管理的成功实施，另一方面，我们需要对应用进行细致全面的识别，只有合理的识别应用类型，进行细致的归类和区分，才能保障我们的上网行为管理的效果对人员和应用有了细致识别的区分以后就需要针对用户/用户组、时间段、应用类型、文件类型等进行细致的流量管理了。

SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个和谐高效的网络使用环境，保障用户工作相关应用得到有效的保障。

4.1 灵活的用户识别和认证方式

网络流量的产生来源于用户，因此，有效流量的管理的前提是必须先对用户进行有效识别和管理。SANGFOR AC设备提供了强大的用户管理系统，提供了多样化的用户管理手段实现了基于用户的流量管理，在动态IP环境下保证用户身份与管理策略的有效结合，真正的做到了使内网的流量管理责任到人。

功能优势：

 丰富多样的用户精确识别方式；  快速、有效的为用户分配网络接入权限；  与第三方用户管理服务器的完美联动；  未知用户网络接入权限快速归类；  最终实现基于用户名的流量管理；

4.2 细致全面的应用流量识别技术

4.2.1 URL识别

SANGFOR AC上网行为管理设备内置千万级的URL库，提供了近40种内置的更加细粒度的URL分类：新闻类、娱乐类、体育类、色情类、暴力类、反动类、迷信类、宗教类、股票类等等。

SANGFOR AC的URL库支持用户手工添加，并支持创建新分类；用户可以根据自己的具体需求，添加有具有个性管理的URL地址并分类，进行需求的控制。

SANGFOR AC具有智能学习的功能，能够根据关键字和类似网页进行网页的分析和学习，自动更新用户自定义分类。

4.2.2 国内最大的应用协议库

SANGFOR AC内置了24大类、500余条的应用协议规则，例如：IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类等等。基于应用协议特征码的识别，有别于传统IP、端口识别。

每一个分类下面有包含着众多的应用协议规则，比如IM聊天类，包含的应用协议规则有：QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能识别UUCALL、雅虎通等语音视频聊天工具。

具有多个智能识别规则，能识别诸如自由门，无界浏览器等代理软件，识别SKYPE,识别RTP语音视频信息。

支持域名的智能识别。可以根据目标域名的弱特征，流特征等来识别内网用户与目标域名的会话连接，从而更智能的进行控制。

SANGFOR AC的应用协议库支持用户手工添加，完成个性化需求配置、识别、控制。

4.2.3 P2P智能识别

随着网络技术的发展，网络上的P2P行为层出不穷，如果只能对一些已知的P2P行为，比如BT、eMule、QQLive等进行识别控制，显然是不够的。

SANGFOR AC除了能够识别已知的P2P行为之外，还能根据SANGFOR AC的基于统计学的智能分析技术有效识别未知的、新的P2P行为。同时SANGFOR AC还能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。

4.3 灵活的网络控制策略

4.3.1 URL的访问的合理分配

组织内部根据部门职能的不同于业务相关的网站类型也不一样，诸如财务部主要关注财经类网站，而市场人员主要工作相关网络主要是行业相关网站，相关的市场机会网站，SANGFOR AC可以基于不同的用户群体划分不同网页内别的访问规则。

支持根据业务需要定义URL类别，通过SANGFOR AC独有的智能识别技术，对客户定义类别的网站进行智能学习和分类。

有效的封堵在线流媒体的使用，如新浪视频网站等。

4.3.2 基于网站类型，文件类型的流量管理

基于网站类型的流量管理，可以针对诸如人力资源部保障招聘类网站的访问速度不少于40KBPS，基于文件类型的流控：例如对内网下载电影文件进行带宽限制，限制公司整体群组下载电影类文件的带宽不高于2Mbps。

4.3.3 IM聊天软件灵活管控

能够完整识别各类IM聊天软件，可以实现灵活的控制策略，对于市场人员可以允许使用部分业务相关的即时聊天工具，而对于其他人员主要通过邮件交流或是开放部分不通用的聊天软件来进行内部的沟通。

4.3.4 炒股软件、游戏软件的封堵

除了公司高层领导需要关注股价以外，组织内部其他人员对于炒股软件的使用严重影响了工作效率，SANGFOR AC全面的识别各类炒股软件，在线炒股的网址，进行全面的封堵，有效提高工作效率。

SANGFOR AC目前已经能识别包括魔兽世界，CS，泡泡堂等在内70多款的在线游戏，进行完全封堵保障内网工作效率。

4.3.5 P2P流媒体和P2P下载的管控

P2P流媒体不但影响工作效率，而且对带宽的过度占用导致了业务应用的缓慢，6

SANGFOR AC能智能识别P2P流量，对于不常见的或是新出现的P2P类应用软件也可以根据其流量特征进行有效的识别，从而细致精准保证网络带宽的合理使用，禁止P2P的行为既保证了员工上班时间工作效率，也保障了核心应用的带宽。