浅析SANFOR网上行为管理在企业局域网内应用.docVIP

浅析SANFOR网上行为管理在企业局域网内应用 　　摘 要：为了进一步加强企业内部的网络管理，规范上网行为，做好网络安全防护与监控，某公司采用了深信服公司提供的上网行为管理等产品与解决方案。本文主要介绍了该产品的主要功能，并针对某公司所实施的具体方案及实施效果等进行了初步分析。 　　关键词：上网行为；安全；管理 　　中图分类号：TP393.08 　　随着电力企业信息化建设的不断前进，网络应用已经越来越广泛的应用于电力系统中的各个领域，互联网带来的各种利弊也慢慢凸显出来。一方面提高了工作效率，上网条件得到改善；一方面网络资源滥用，信息泄露等问题也日益严峻。如何最大化利用网络资源的同时，又能避免各类安全隐患的发生，某公司决定采用技术设备与规章制度结合的方式，根据业务需求规范不同网络应用优先级别，总体规划网络带宽、流量，指导员工正确使用网络资源，??而对局域网内各种上网行为进行有效管理。某公司于2007年采购了深信服公司的上网行为管理AC1600及VPN2050等相关产品，至今已运行了5年，期间进行了一次系统升级，通过其AC产品提升了整体宽带水平，做到了流量的智能选路和负载平衡，同时对局域网内用户的各种网络行为进行了有效的管理、监控和引导。 　　1 AC上网行为管理设备主要功能 　　1.1 识别功能 　　识别作为管理的基础，是上网行为管理产品功能是否健全的有利保障。SANGFOR AC上网行为管理具有强大的识别功能。基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别，公用账号认证，同时支持LDAP认证、Radius认证、POP3认证、WEB认证等等，其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web认证。其次SANGFOR AC还能够对终端进行识别，特别是目前SSL加密网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用，能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过SSL加密的论坛/BBS发帖、webmail外发邮件、SMTP/POP3，AC都能对其进行识别。 　　1.2 控制功能 　　针对目前P2P行为泛滥的趋势，SANGFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 　　1.3 带宽及流量管理功能 　　SANGFOR AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。通过部署SANGFOR AC网关，可实现智能化选择最快的出口线路，有利于上网速度的提升。网络管理员可以查看指定时间段内流量分布，用户流量排名，视频会议系统等业务流量，并可对带宽进行划分和分配，进而优化网络资源。 　　1.4 监控和审计功能 　　可以对局域网网用户的访问网站、使用的聊天工具、聊天内容、传输文件等进行审核记录。对一些敏感网址进行屏蔽。对不同岗位人员可以设置不同上网权限。 　　除以上四个主要功能外还包括提醒功能、报表和检索功能、安全增值功能等。 　　2 某公司采取方案 　　2007年某公司采用了深信服公司的SANGFOR M5400-AC和SNGFOR M5100-S产品，随着硬件平台的老化和外网带宽的增加，已经无法满足现有的使用承载能力，2010年，公司将产品升级到SANGFOR AC1600和SANGFOR VPN2050，新的产品可以支持局域网内用户数1500人，支持千兆的网络平台，最大支持并发300移动客户。目前公司使用的深信服产品网络拓扑图如图1： 　　图1 　　由于某公司工作特殊性，许多员工需要外出办公，领导与管理人员也会经常出差，如何实现局域网内的异地办公，我们采用了SANGFO VPN产品来解决远程接入的问题。公司为需要异地办公的人员配备了DKEY钥匙，使员工无需安装客户端，仅凭借浏览器即可使用SSL VPN。原理见下图2： 　　图2 　　3 实施效果 　　通过近五年的使用，对于规范网络资源的正确使用起到了良好的作用。 　　3.1 P2P软件的控制 　　P2P行为对带宽的吞噬能力众所周知，而传统的只能封堵“昨天的BT软件”是不够的。AC凭借P2P智能识别专利技术（专利号： 200610156977.8），不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。而AC为您提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。 　　3.2