海蜘蛛软路由方案及功能说明.doc

海蜘蛛软路由方案及功能说明 应用一：如何高效利用企业网络： 需求分析： 随着现代企业规模的不断扩大，企业的网络体系也越来越复杂，面对越来越庞大的员工群体，如何管理好他们的网络行为，更加合理地利用网络资源，是每个网络管理者必须思考的问题。 深圳一企业办公区员工屡屡发生上班时间炒股、看论坛、玩游戏，更有甚者私接笔记本上网，窃取公司机密文件。最近有员工上恶意网站中了ARP病毒，导致局域网内很多电脑上连ARP安全卫士都无法打开。分公司的VPN连接也经常掉线，达不到安全稳定的效果。网管人员发现原来的路由器已无法承受现有的网络需求。 为了以较低的网络维护和管理成本来解决这些企业里常见的难题，本文讲解了如何利用纯软件来管理整个网络系统，让企业网络的使用尽在您的掌控之中。 方案设计： 企业总部采用海蜘蛛路由系统，使用三层交换机划分VLAN，出差人员或各分公司采用VPN与总部互联来实现资源共享。网络管理者可以随时随地对整个网络跨VLAN、跨平台监控查看各员工的带宽流量及相关应用的日志记录。 系统特点： 采用各种认证加上防火墙控制，保障网络的安全和系统的稳定 针对局域网ARP攻击现象，采用PPPoE+Web+验证码的三重防护措施来解决，再配合IP-MAC绑定来杜绝员工私接电脑用公网办私事。VLAN的划分和域的控制，使得各部门员工只能与FTP服务器进行通讯，而相互之间不能随意私下交换信息，更有效地防止公司机密信息泄露。对于个别员工进行端口监控，只需设置端口镜像就可以将其数据复制并转发到监控机上，从而了解到该员工上网行为的一举一动。启用路由系统自带的防火墙功能，可有效过滤恶意网站、IP地址、关键字等，再加上自定义ACL策略，极大地减少了内网感染病毒、木马及遭受外网攻击的可能性。即使网内某台计算机感染上病毒也能利用日志记录来快速对网络攻击源进行准确定位。 利用上网应用管理，根除员工上班时间娱乐现象 以上图为例：对销售部禁止玩网络游戏，对销售部A，因为其经常上网炒股，所以还特别限制使用炒股软件。对销售部B因为经常访问天涯论坛，所以限制其对天涯网站的访问。对研发部网络应用限制为只能使用客户端收发邮件。 我们按如下流程来规范员工上网行为 利用信息推送功能，对各部门或指定员工发公告 利用信息推送功能，对各部门或指定员工发公告 采用安全VPN接入，实现随时随地办公自动化 选择PPTP/L2TP/SSL/IPsec中任意一种VPN连接方式，使分布在各地的分公司都能够安全稳定地与企业总部交换信息。例如建立IPsec VPN。 在路由上设置好以后，两端局域网内主机就可以利用IPsec VPN通讯而不需要进行任何设置。 启用智能化带宽控制，让网络应用分配最优化 此设置专门针对一些占用带宽较高的应用如在线视频、下载等，使这些应用在网络繁忙时自动减小带宽使用，再对这些高带宽应用添加一个带宽占用上限。就可以避免因少数人滥用宽带导致整个网络的堵塞，而使整个办公效率降 方案总结： 采用了此方案后，该企业网络恢复正常了，员工办公更有效率了，网络系统也很少发生故障。至此，管理者达到了将企业网络用到实处，以低廉的价格换取高效运作的目的。 应用二： 企业上网行为管理方案 应用背景 随着Internet的应用越来越广，企业网络的好坏已经成为了决定其经济命脉的关键因素。当我们走进任何一家企业的办公室，都可看到员工在电脑前忙忙碌碌的状态，不禁感慨信息化在提高生产和办公效率方面作出了卓越贡献。但是，员工对网络应用不当也造成了很大的负面影响，员工在办公期间浏览与工作无关的网页、下载最新电影、高清视频和其他大容量文件，频繁使用QQ、MSN等即时通讯软件网聊，在线玩偷菜游戏。这不仅降低了工作效率，占用了大量的带宽资源，还对公司的其他员工造成很大的负面影响。企业网络管理员最迫切需要为单位考虑的就是企业员工上网行为的管理。 解决方案 需要全面封堵的内容列表 海蜘蛛路由按照“分组管理每个员工计算机”-“自定义不同的网络应用权限”-“对组或个人设定对应的网络应用策略”的思路来对员工的网络行为进行规范限制。 方案介绍 预定义对象： 灵活自定义IP、时间、网址、端口等对象，在上网行为管理功能中调用，为不同部门的员工分配不同的上网权限，利用分组管理能有效减少维护量。 恶意网址拦截： 独有的恶意网址数据库，专门禁止员工访问高危网址和与工作无关网站及其IP地址，可过滤自定义的网址、IP地址和关键字。更进一步地配置，将与工作相关的网站添加到白名单里，而后禁止访问白名单以外的任何网站。再辅助以关键字过滤，限制工作相关网站上的娱乐板块，这样就可以彻底杜绝员工在上班时间浏览与工作无关的网站。同时后台管理还能记录每个员工所访问的网址。 禁止网游： 能够禁止