上网行为管理

2024年4月20日发(作者：)

1． 上网行为管理

目前市场主流厂商：深信服、网康

 典型案例

2.1 提升内网业务操作效率——封堵非业务应用解决方案

方案背景：

日益发达的互联网让企业员工有了更多的选择，网上聊天、网上购物、在线视频、论

坛灌水、BT电影……上班时间，员工很难不受众多网络娱乐的诱惑，大家在或多或少地利

用工作时间进行非业务操作。

以上行为实实在在地存在于我们的办公网中。事实上，我们很多企业员工打开电脑的

第一件事便是开迅雷，下载电影、视频、游戏；也有为数不少的员工痴迷股海，一心扑在

大盘上面；而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更

是惊人。凡此种种，无不给我们有限的带宽资源带来了巨大的流量压力，给员工的办公效

率打了一个大大的问号。

上网行为管理解决方案——合理封堵非业务网络应用

随着现代企业管理理念和信息技术水平的提升，如何有效管理与利用互联网资源，这

已成为现代企业管理的重要衡量标准。与此同时，上网行为管理的理念愈发深入人心，提

升员工网络业务的办公效率，这已经成为企业IT管理者关心的首要问题。

、

如上图，企业通过以网关、网桥、或旁路模式部署上网行为管理产品，可以有效对内

网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关

网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高

业务应用的办公效率。

方案价值：

1、全方位封堵p2p ，确保正常办公业务带宽

P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽

资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸

显。 鉴于此，上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻

底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的

P2P软件，独有的网络行为智能分析技术使其同样难逃法网。

有些部门和领导因业务需要使用P2P，在全面封堵的同时，上网行为管理设备还可以

提供 P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，

按时间段进行P2P应用封堵、带宽分配与流量控制，上网行为管理设备可有效平衡公司内

部架构要求、提升核心业务办公效率。

2、选择性内容过滤，方式灵活

除针对网络应用软件外，上网行为管理设备还内置了千万条级的URL库，对URL库

按照20个大类进行了划分。基于此，IT管理者可以方便地对娱乐、购物、游戏、影视等

网站进行控制和屏蔽，同时用户可手工输入新分类和新URL地址，这进一步增强了网管人

员工作的灵活性。

同时，上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件，可以根

据关键字如 avi、rmvb、mpeg进行文件过滤，以保证核心业务的带宽。

3、差异化权限划分，构建和谐组织

对于以上管控，上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限，

人性化管控整个企业。如给销售部门足够的网页浏览权限，以方便其网上寻找客户资源，

而对后勤人员则封掉P2P应用、游戏与炒股网站等。

2.2上网行为管理+SSL VPN防信息泄露解决方案

背景分析：

据IDC调查报告显示，全球有近80%的企业存在着信息安全与风险问题。在报告所调

查的公司中，进行网络常规安全检查的公司不到一半，只有30%的公司具有跟踪用户访问

的能力，30%的公司使用加密技术进行数据传输。报告显示：信息安全问题大都来自于企

业内部，信息泄密很多时候源于信息安全管理不善。在中国，众多的事业单位也面临这些

问题。

事实上，很多企事业单位内外网、服务器隔离存在问题，业务系统的操作并没有明确

授权人员，这导致一些非授权人员大肆访问并修改内网服务器的重要数据；很多单位员工

信息安全意识也较薄弱，很多时候将客户信息、内部敏感信息等在公网上随便传播，并没

有加密，这样的信息数据很容易被窃取修改。

现在，客户对企业、民众对事件单位应用服务的访问量在不断增加，客户的访问请求

经常集中在数台服务器上，而其它服务器却因访问量低而低效运行，这不仅影响了用户的

体验感受，也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务

器的运行效率，保证信息发布不被中断，以此来保证信息传播的安全，这点也为越来越多

的有识之士关注。

解决方案：

通过上网行为管理产品来防止企事业单位内网泄密，这样可有效解决单位内部泄密的

问题；通过SSL VPN，企事业单位可对外部接入人员进行身份认证，并对这些接入人员进

行精确的权限分配来保证合法的访问与系统修改，这也可以有效隔离内网里的应用服务器

与内外网。

产品部署拓扑图如下：

如上部署，上网行为管理设备以网桥模式透明部署于企事业单位内网，通过识别敏感

信息并进行过滤等手段，全方位保护客户的信息资产和信息安全。

SSL VPN产品以旁路模式部署，企事业单位通过SSL VPN为不同级别的访问者分配

不同的访问权限，并对其进行严格的身份认证，这样有效管理了外部员工、客户对内网应

用系统服务的访问安全。

方案价值：

上述整合的解决方案，将使企事业单位解决面临的信息安全风险，使得组织业务系统

获得持久的可靠和稳定。

上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密，这将有助于降

低组织机构的信息安全风险，这让企业、事业单位专注信息资产管理，让部门沟通、客户

沟通等多方面沟通更有效。

SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制，

能从源头上有效保护信息资产安全，SSL VPN提供从访问终端安全——接入认证安全——

数据传输安全——访问权限安全等一体化的安全。

2.3校园网上网行为管理+SSL VPN综合解决方案

校园网现状：

校园网网络规模庞大，相应的网络应用流量非常惊人；学生网络应用比较活跃，规范

管理非常头疼。具体而言，校园网建设中存在如下问题：

1、流量问题

因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃，校园网带宽出口经常

被堵塞，师生正常的网络应用经常被挤占。

2、网上言论

目前高校学生网络应用活跃，校内BBS言论、公网上知名论坛等经常语出惊人之举，

时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册，出现问题

后很难查询当事人，最后给学校带来了极大的负面影响。

3、网络应用规范问题

不可否认，目前大学在校生所面对的网络信息、资源较前些年丰富了很多，这其中也

有一些色情、反动等类型的网站及其应用，如何从校园网建设上规避这些不良网站、应用

的影响，将制度的规范强制执行在日常网络应用中，这对管理者是个不小的挑战。

4、校内资源使用问题

学校、政府花费了巨大的精力进行校园网建设，国际教育网络资源对高校也有很大的

优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都

带来了便利，但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已

经成为校园网深度建设必须面对的问题。

最重要的是，当校园网初步建成之后，如何查询师生校园网应用情况（如学生经常应

用什么网络软件，在网上做什么事情），以此来发现网络应用问题及校园网建设中存在的不

足，这对学校的网络管理者尤为重要，他们需要一种能对网络建设与管理决策提出良好反

馈机制的解决方案。

部署拓扑图：

上网行为管理+SSL VPN综合解决方案：

为此，选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地

由对外防御病毒、黑客入侵、垃圾邮件，转向了内外兼备的全面管控，如访问控制、访问

跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网，让从公网访问校园网

内资源成为可能。

1、网络行为审计

将上网行为管理设备部署在学院网络出口的防火墙后侧，以网桥模式部署，实现三进

三出（WAN 口接三台设备，LAN口接三台交换机），保证所有流经学院网络出口的流量

都会经过上网行为管理设备的管控和记录，让学院所有上网行为记录有据可查，事实上学

院IT管理者甚至可以预先设置好敏感关键字，提前过滤网上敏感言论。

2、全面流量控制

对流经学院网络出口处的所有流量，上网行为管理设备全面进行流量控制。事实上，

该设备对学院所有的师生根据院系、专业进行带宽分配，即将用户分划分成组，然后对于

不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备，学院IT管理部

门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控

制。如学生正常应用时放开流量，一旦进行BT下载，则马上施以流量控制。

3、提高师生网络应用效率

虽然学生网络应用非常活跃，但他们很多的网络应用行为与学业、功课并没有多大关

系，有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象，学院IT

管理部门绑定学院公用计算机，让学生上机上课时，完全封堵住在线游戏、在线视频、娱

乐网站等，从网络管理上强制执行上课学习的课堂原则。

4、提供网络决策咨询

学院内网用户的非授权网络行为被禁止，学校管理者可以对学校网络运行情况进行统

计、分析、评估，做到细致的访问控制，有效管理用户上网行为。除了实现强大流量分析

及带宽划分与分配外，同时各种网络行为日志也都将得到全面记录，方便日后查询。

5、SSL VPN远程登录校园内网

将SSL VPN 采用单臂模式部署，接在学院核心三层交换机下，在不改变原网络结构

的情况下，师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资

源等，实现办公效率的快速提升。

2.4银行业上网行为管理解决方案

项目背景：

目前银行的多项业务均需依赖互联网平台， 银行信息化建设一直引领着各行业信息化

建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击，但在

内网安全、规范管理、信息安全上存在许多薄弱环节。试想：如果银行职员上班时间BT

下载、在线观看视频、访问赌博网站等，这些行为通过部署于网关出口的防火墙就能得到

控制吗？银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险，而且会严重

影响工作效率。

存在问题：

随着银行业务的不断丰富，银行的各项业务运作越来越多依赖于网络平台，为了达到

银行信息安全的要求，提高银行的竞争力，需要构建管理规范、流量平稳、防止泄密的安

全无忧内网。目前银行内网管理存在以下问题：

1、银行职员上班时观看在线视频、进行BT下载等行为，对网络出口带宽造成了不小

的压力，银行的正常业务运用可能因为这些非工作性网络应用造成中断；

2、银行业务操作人员利用资金流相对便利，如何有效封堵加密的赌博网站、相关网络

应用，是银行迫切需要解决的问题。

解决方案：

针对上述问题，银行选择上网行为管理解决方案，希望通过对内网用户进行明确的权

限分配，规范银行员工上班时网络应用；通过彻底的带宽、流量控制，保障银行业务系统

带宽，并进一步提高银行员工的网络应用效率。

功能及解决的问题：

1、内网用户上网权限的细致划分

针对银行不同的部门，细致规定其部门员工的上网权限，让合适的人上合适的网站，

进行合适的网络应用，超过该部门工作权限的网络行为一律禁止。

上网行为管理设备针对银行各部门进行用户组划分，如信用卡中心、财务部……然后对

基于人员划分的用户组赋予不同的上网权限，如：封掉信用卡中心炒股、加密交易网站应

用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细

致的权限分配，大大降低了网络管理者的维护量，合理地规划出局域网的组织结构。

2、全面流量控制

事实上，一个2M以太网出口的局域网，只要有2个以上的员工不限速地使用BT，几

乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大，但因为

其网络应用众多，出口带宽也面临不小的压力。

上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵，而且不会像防火墙

那样被BT软件通过转换端口绕过去；通过基于人员、应用、访问网站类型等进行带宽分配、

流量控制，银行IT人员可以提前规划好各部门网络应用流量，充分保障银行正常业务运作。

3、详细的日志备份

银行内网用户每天访问互联网时产生的日志十分巨大，亟需一个更大容量的数据备份

机制，而传统网关所能提供的硬盘存储容量有限，且这些数据查询颇为麻烦。

银行关注日志信息的完整性和保密性，通过上网行为管理设备独立的日志存储中心，

确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备，银行的管

理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状

态，将网络使用情况自动生成报表并统计出网络访问的趋势，以帮助系统管理员更好地维

护和管理网络。

2.5电力行业上网行为管理解决方案

项目背景：

随着中国经济的进一步发展，整个经济对能源的需求越来越强烈，工业发展、居民生

活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整，绿色电力的概念也

逐步深入人心。正是基于这一背景，整个电力行业迎来了发展的黄金时期。

目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题，新的形

势要求电力行业构建规范管控、流量平稳、信息安全的内网，具体要求如下：

1.对公司内部员工进行流量控制，限制员工P2P下载，保证网络流量；

2.针对公司员工的上网行为轨迹进行记录，并支持报表分析；

3.对内部聊天软件进行控制，保证员工上班时间的工作效率；

4.对现有网络拓扑状况不进行改动，保证现有网络的稳定性；

解决方案：

采用网桥模式部署深信服上网行为管理设备，即部署在防火墙和核心交换机之间。这

样就不需改变电厂原有的网络拓扑及设置，同时也可管控电厂内网的网络行为；同时也可

以采用旁路模式部署，这种模式主要用于内网用户上网行为日志存储。

部署拓扑如下：

解决的问题：

1、网络应用封堵，提升办公效率

通过电厂网络出口的上网行为管理设备，通过IP/MAC、硬件特征码绑定等技术，对

用户进行唯一身份识别；之后将用户根据业务部门、组织架构进行用户组划分及权限分配；

对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时

间段、分用户组管控，人性化封堵，提升办公效率。

2、流量控制，优化网络带宽

电厂作为传统企业，其网络出口带宽有限，而相应的电力调度系统、OA办公等网络

业务系统又较为完备，这必然带来了网络业务运用与网络带宽不足间的矛盾，而且时常有

用户进行BT下载等娱乐行为而挤占正常应用带宽。

针对于此，电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制，流量

控制基于业务应用类型、用户组织权限等各种因素，细致全面地构建平稳流量内网。

3、行为日志记录与统计，保证信息安全

电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多

信息安全管理行为。

4、宏观网络应用分析，指导IT管控方向

电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等，并可对相

关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表，如：内网哪

个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者

便能根据日志分析图表调整上网行为管理选项，为内网管控、进一步建设进行决策。

通过上网行为管理解决方案，增强了网络管控性，提高了电厂的竞争力。