一、上網行為安全概述
1. 背景與需求
? ? 互聯網的雙刃劍特性:
? ? ? ? ?網絡普及改變工作生活方式,業務向互聯網遷移。
? ? ? ? ?缺乏管理導致風險:帶寬濫用、監管困難、信息泄露、網絡違法、安全威脅。
? ? 核心問題:
? ? ? ? ?帶寬濫用:P2P/流媒體占用70%帶寬,影響核心業務。
? ? ? ? ?監管缺失:員工非工作行為(聊天、炒股、游戲)降低效率。
? ? ? ? ?信息泄露:主動外發或黑客竊取敏感數據,追溯困難。
? ? ? ? ?網絡違法:造謠、反動信息、翻墻軟件繞過管控。
? ? ? ? ?安全威脅:終端感染木馬、惡意插件,缺乏安全防護。
2. 上網行為管理三要素
目標:實現上網行為?可視、可控,保障數據價值。
3. 核心功能模塊
功能 | 目的 | 關鍵技術 |
用戶認證 | 驗證身份,控制審計行為,獲取用戶信息用于營銷。 | IP/MAC綁定、雙因素認證、微信/短信認證 |
網頁過濾 | 屏蔽非法網站,提高效率,防范惡意網頁。 | 千萬級URL庫、智能識別、云共享、自定義過濾 |
應用控制 | 封堵非工作應用(IM/游戲/代理),防止信息泄露。 | 應用特征識別庫、標簽化管理、防代理/共享 |
流量管理 | 保障核心業務帶寬,動態分配資源。 | 基于用戶/應用的流控、P2P智能限速、多級通道 |
行為審計 | 記錄行為日志用于追責,統計流量分布,發現安全威脅。 | 網頁/郵件/IM/外發文件/發帖審計 |
4. 應用場景
? ? 互聯網管控:企業出口部署,實現過濾、流控、審計(滿足公安部82號令)。
? ? 一體化網關:多分支場景,集成組網(IPSec VPN)、安全防護、行為管理。
? ? 無線Wi-Fi營銷:Portal認證(短信/微信),推廣公眾號,集中審計日志。
? ? 防共享上網:阻斷私接Wi-Fi,保障企業內網安全及運營商收益。
? ? 全網上網態勢分析:多分支統一監控上網行為與安全狀態(教育、政府場景)。
二、上網行為組網方案
1. 設備部署模式對比
2. 部署模式詳解
? ? 路由模式:
? ? ? ? ?場景:替代出口路由器,需支持NAT、路由轉發。
? ? ? ? ?配置:設置WAN/LAN地址、回包路由。
? ? 網橋模式:
? ? ? ? ?場景:最小化網絡改動,透明部署于出口或內網間。
? ? ? ? ?配置:設置網橋IP、網關、DNS,添加回包路由。
? ? 旁路模式:
? ? ? ? ?場景:純審計需求,通過交換機鏡像口監聽流量。
? ? ? ? ?限制:僅支持TCP應用控制。
3. 防火墻關鍵技術
? ? 過濾規則:
? ? ? ? ?基于IP/端口控制數據包轉發(如放通LAN→WAN的HTTP流量)。
? ? 端口映射(DNAT):
? ? ? ? ?場景:將內網服務器(如OA系統)發布到公網。
? ? ? ? ?原理:將公網IP:端口映射到內網服務器IP:端口。
? ? ? ? ?特殊配置:
? ? ? ? ?? ? ??發布服務器:允許內網用戶通過公網IP訪問內網服務(需勾選)。
? ? ? ? ?? ? ??排查步驟:檢查服務器可達性、防火墻規則、運營商端口封堵。
三、關鍵結論
? ? 上網行為管理核心:通過?認證→控制→審計?閉環,解決互聯網濫用問題。
? ? 部署選擇:
? ? ? ? ?需全面管控 →?路由/網橋模式。
? ? ? ? ?僅審計需求 →?旁路模式。
? ? 技術要點:
? ? ? ? ?流控保障核心業務帶寬,審計滿足合規(如公安部82號令)。
? ? ? ? ?端口映射需關注?DNAT配置?和?“發布服務器”?選項。
? ? 趨勢適配:應對移動互聯網、加密流量(HTTPS)、新型應用持續升級識別能力。