網絡安全産品普及------上網行爲管理

基本定義:上網行爲管理是指幫助互聯網用戶控制和管理對互聯網的使用。其包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行爲分(fēn)析，除了以上功能以外(wài)，IP/MAC綁定，各類方式認證也是用的最多的功能。

 

基本功能：

      路由功能:靜态路由、動态路由、策略路由、ISP路由等。

      NAT功能:将内部網絡的私有IP地址轉換爲公有IP地址。

      端口映射:就是将外(wài)網主機的IP地址的一(yī)個端口映射到内網中(zhōng)一(yī)台機器，提供相應的服務。當用戶訪問該IP的這個端口時，自動将請求映射到對應局域網内部的機器上。

      安全策略:通過對源地址、目的地址、服務、時間、允許/阻止等内容進行配置做相關安全訪問策略。

      會話(huà)管理:對通過防火(huǒ)牆設備會話(huà)經行統計、分(fēn)析、控制等      

      VPN功能: IPSEC VPN 、SSL VPN、PPTP 、L2TP 、GRE等(VPN功能較弱如需使用，建議使用VPN專用設備)

      以上功能，是之前介紹防火(huǒ)牆的功能，現階段上網行爲管理已經具備防火(huǒ)牆的基本功能，下(xià)面說一(yī)下(xià)上網行爲管理比較突出的一(yī)些功能：

 

      流控管理:根據不同用戶或分(fēn)組、針對URL及各種應用做流量控制管理，合理分(fēn)配帶寬，優化帶寬利用率。如：上班時間對P2P流媒體(tǐ)、下(xià)載、在線視頻(pín)等進行限制上下(xià)行帶寬，對财務電(diàn)腦保障一(yī)定帶寬等。

 

      行爲審計:對上網用戶各類行爲日志(zhì)進行審計、同樣包括訪問的各類URL、應用。現在對上網行爲日志(zhì)保存的時間要求不小(xiǎo)于6個月。

 

      行爲阻斷: 針對一(yī)些URL、應用進行封堵阻斷。如:暴力、成人等等(有些内容太敏感，論壇也會過濾，大(dà)家懂的)

 

      外(wài)發審計: 對上網用戶外(wài)發郵件、論壇等内容進行審計。

 

      外(wài)發阻斷: 針對特定關鍵字内容的外(wài)發進行有效的阻斷。

 

      私接wifi: 針對網内私接wifi進行檢查并阻斷。（主要是針對便攜wifi私接亂接）

      上網認證: 通過各類方式認證，滿足各種上網認證需求，包括:IP/MAC、用戶名/密碼、微信、AD域等。

      報表功能: 因審計内容較多，提供各類報表，如用戶應用、用戶流量、應用排行、流量排行等等。

 

      數據中(zhōng)心: 具有強大(dà)的數據報表功能，比設備自身提供的各類報表更加強大(dà)，數據中(zhōng)心一(yī)般需要單獨在服務器上安裝

 

部署方式:

 

      路由模式：用于中(zhōng)小(xiǎo)型網絡出口部署，配置NAT、路由、端口映射。所有上網行爲管理功能均可使用
       透明模式：最常見部署方式，部署于出口設備與核心交換機中(zhōng)間，對現有網絡結構無任何影響。(如需要進行IP/MAC綁定，需要在設備上對核心交換機的SNMP進行配置)。
       
       旁路模式：對網絡結構無任何影響，需要将網絡中(zhōng)的流量鏡像到設備上，旁路設備隻具備審計功能，流控等控制功能将無法使用。

 

雙機熱備: 主主、主備

應用場景:
      出口網關:中(zhōng)小(xiǎo)型網絡可以使用上網行爲管理設備做出口，但不建議，畢竟上網行爲審計和流控功能比較消耗資(zī)源，當出口設備使用NAT等功能會增加設備資(zī)源消耗影響設備性能

      串聯：串聯在網關與核心交換機之間，也是現在絕大(dà)多數使用的部署方式，設備具備Bypass功能，防止設備出現故障後網絡出現中(zhōng)斷等異常情況

 

設備參數：
      設備吞吐量：設備傳輸數據量，對應到具體(tǐ)設備選型時關注的參數爲帶寬

      設備并發連接數：能夠同時處理的點對點連接的最大(dà)數目，對應到具體(tǐ)設備選型時關注的參數爲同時在線人數

      設備新建連接數：設備一(yī)秒内創建的連接數

      設備接口: 設備配備的電(diàn)口、光口、等物(wù)理接口

 

      Bypass:可以通過特定的觸發狀态（斷電(diàn)或死機）讓兩個網絡不通過網絡安全設備的系統，而直接物(wù)理上導通，所以有了Bypass後，當網絡安全設備故障以後，還可以讓連接在這台設備上的網絡相互導通，當然這個時候這台網絡設備也就不會再對網絡中(zhōng)的封包做處理了。

設備選型方面沒有特殊要求，設備接口數都可以滿足需要，如果有特殊需要購買前需要提前溝通、主要關注設備吞吐量與并發連接數兩個參數，選擇時需要考慮以後網絡擴容，避免重複購買。

      上網行爲管理是現在使用比較普遍的設備，前期上架完成後暫時無需做任何流控策略(審計策略可以開(kāi)啓)，通過設備觀察網絡内一(yī)段時間(大(dà)概一(yī)周時間)的用戶流量及應用流量再進行流控策略的配置，且流控策略需要不斷的調整達到最佳的優化效果。至于各個廠家排名，請自行百度。