1、辦公網面臨的問題
隨著計算機技術、網絡技術的飛速發展,企事業單位越來越多地依賴于IT系統作為其日常業務的支撐平臺,如OA、ERP、CRM等業務系統,而這些相關的業務系統無一不需要以網絡作為其業務的基礎平臺。
但是由于網絡承載內容變得日益復雜和多元化,網絡流量日益增加,帶寬出口瓶頸日益嚴重。大量非業務資源的訪問(P2P下載、在線影音)、超大文件的傳輸、上傳、下載,不僅嚴重浪費寶貴的帶寬資源,造成關鍵業務應用訪問遲緩,同時無形中增加了IT維護成本。
1.1帶寬濫用
辦公網內部構成是局域網。有共同的廣播域和互聯網網關。由于網絡帶寬資源日趨緊張。帶寬惡性濫用現象嚴重。
圖1是通過網絡監測設備抓取的我院24小時下行流量圖。從圖1可見,11:00-17:00,整個網絡下行帶寬被完全耗盡(該例中網絡帶寬出口上限是20Mbps),其中P2P下載及網絡電視占據了絕大多數帶寬。而當帶寬被耗盡時,新發起網絡會話申請會被無限期延遲,所以給用戶造成網絡中斷的感覺。
圖2揭示了整個辦公網的流量概況。從中可以看出僅P2P下載及網絡電視兩項就占據了86.75%的帶寬,屬于典型的帶寬濫用。
1.2安全防護不足
許多辦公網除了網絡層防火墻外.沒有足夠的網絡安全設施。比如IPS入侵防御系統或應用層的上網行為管理產品等,所以不能構成較完整的網絡安全防護架構。而不規范的互聯網訪問、郵箱附件下載、IM聊天應用等,經常會給內網帶來病毒、木馬等,危害辦公網的安全。許多病毒、木馬等惡意軟件選擇了互聯網中的Web網頁作為藏身之地,當員工在瀏覽這些問題網頁時,因為系統的漏洞,某些不明插件會神不知鬼不覺地侵入員工的個人計算機系統,導致病毒木馬爆發。然后通過單位的內部網進一步傳播和蔓延。
1.3網絡不可見
如果缺少必要的網絡安全設備,則網絡應用和業務不可視,無法進行控制和管理,無法對網絡進行分析總結,網絡處于不可控的狀態且無依據可循。如辦公網內未經允許私自架設無線路由器和修改IP地址時有發生,沒有相應的科技手段加以管理制約。
因此,如何洞悉、管理、優化網絡帶寬成為各企事業單位IT運營的首要前提,一個可視、可靠、可持續運營的網絡系統是保障日常辦公管理正常開展的關鍵要素。制定一套全面的網絡行為管理和帶寬管理專業解決方案勢在必行。
2、選擇合適的網絡安全設備
2.1常見網絡安全設備的技術特性
目前廣泛使用的網絡安全設備有防火墻、IPS入侵防御系統和上網行為管理產品等,各自具有不同的技術特性。
2.1.1防火墻
防火墻是內部網與外部網之間的一道保護屏障,能夠保護內部網免受非法用戶的侵入。防火墻的主要功能是提供網絡安全屏障、強化網絡安全策略、監控網絡存取和訪問、防止內部信息外泄等。
2.1.2 IPS入侵防御系統
能夠提供入侵防護,實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、DDoS等惡意流量.保護企業信息系統和網絡架構免受侵害;能夠提供WEB安全。基于互聯網Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅;能夠進行流量控制。阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻;能夠提供上網監管,全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量。更好地執行企業的安全策略。
2.1.3上網行為管理產品
上網行為管理是由中國本土安全廠商逐步定義的全新網絡應用層產品,也有的稱之為互聯網控制網關設備,能夠幫助互聯網用戶控制和管理對互聯網的使用。包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等功能。
2.2網絡安全設備的功能定位和比較
防火墻的種類很多,從入門級到專業級、企業級不一而足,價格也相差很大,有的路由器設備自身也帶有防火墻。功能越強大的防火墻,購買及更新費用也越高。
IPS入侵防御系統功能強大,甚至兼具了防火墻、防毒墻、上網行為管理的功能,適用于大中型企業、信息防護要求高的客戶。如用在小型辦公網。則投資與潛在風險危害不成比例,性價比不高。
上網行為管理是基于應用層管理的產品。它可以根據應用協議庫分析應用程序,將用戶需要管理的應用程序很好的管理起來,讓用戶安全綠色上網。防火墻主要是從網絡層來控制安全,基于端口和IP地址進行過濾。目前很多上網行為管理的產品比相同等級的防火墻價位要相對更低一些。更適用于中小企業、學校、醫院等客戶。因此成為辦公網實施行為管理和帶寬管理的最佳選擇。
3、制定行為管理和帶寬管理的策略組合
選擇了合適的上網行為管理設備之后,還需要根據辦公網的網絡環境,選擇合適的網絡部署模式。配置上網行為管理系統網關設備,并根據網絡環境和客戶需求的不同,制定綜合管理策略組合。
同時結合Web管理界面,實現單位內部局域網上網行為管理平臺的集成,構建完整的上網行為管理體系。
以我院辦公網為例。我們從完善用戶管理、控制上兩行為、合理配置資源的角度出發,經過反復實驗論證和細致調整,制定了如下管理策略。
3.1流量管理策略
3.1.1 P2P下載限制:包括P2P影音、P2P下載等應用,將下載帶寬設定為最大下載速率6Mbps。
3.1.2網頁視頻限制:包括各種網頁視頻應用.將下載帶寬設定為最大下載速率1 0Mbps。由于網頁視頻也包括了網絡教學視頻在內,并且對帶寬占用比較均勻。所以限制可放寬。
3.1.3網頁訪問優先保障:包括普通HTTP,HTTP腳本文件下載,HTTP動態頁面文件下載等應用.將下載帶寬設定為最小下載速率3Mbps,最大下載速率20Mbps。由于瀏覽網頁屬于最常用.并且和辦公密切相關的應用,所以應當優先保障其應用。這里配置的策略相當于給瀏覽網頁單獨劃出3M帶寬通道,無論是否使用,這3M帶寬會被保留,能給用戶帶來流暢上網體驗。
3.1.4網絡課堂優先保障:包括RTMP等網絡課堂應用,將下載帶寬設定為最小下載速率3Mbps,最大下載速率20Mlops。這條策略的設定與網頁保障相同,可以留出一定帶寬優先保障其應用,以滿足教職員工登錄網絡學院學習的需求。企業也可根據單位實際情況選擇與此類似的網絡會議保障、辦公OA保障等等,由此可以優化網絡資源配置。
3.2用戶管理策略
3.2.1并發連接數限制:設定為3000以下。局域網內并發連接數過高的用戶往往是中了病毒或木馬,不僅計算機運行速度會變得很慢,也會影響整個網絡的正常運行。
3.2.2單個用戶帶寬限制:設定為單個用戶最高下載速率為3Mbps。這項策略是為了避免某個用戶占用過多資源。經測試發現。在用戶數較多的辦公網內,單用戶最高下載速率略微提高則富余帶寬會迅速減少。由圖3可見辦公網內曾同時有2位用戶下載速率達到上限。
3.2.3 IP地址管理:將IP地址分段管理并進行MAC地址綁定。lP地址如果私自修改將無法上網。
3.3應用控制管理
3.3.1網頁瀏覽限制:在網站分類列表中.直接將安全隱患、非法行為、低俗行為等網站進行屏蔽。通過對不良信息的過濾。能夠保障信息安全,強化安全防范能力:
3.3.2木馬應用限制:直接屏蔽帶有木馬特征的應用。
4、部署上網行為管理設備的成效
4.1流量管控,提高了業務應用系統的帶寬利用率
通過針對不同用戶和具體應用進行合理的帶寬劃分,為員工正常學習辦公提供了充足的帶寬.保障了相關部門業務應用的帶寬需求。既防范了辦公網的帶寬濫用,又提升了帶寬利用效率。有效的流量管理,保障了正常的上網行為。
通過前述管理策略的組合,學院辦公網絡的運行質量得到了明顯提升。
從圖4可見,學院辦公網絡高峰時段下行流速被控制在上限的80%附近即16Mbps左右,顯示帶寬尚有富余。從圖5看,P2P下載(含迅雷)及網絡電視占比下降到了55%。
4.2帶寬統計和報表顯示,為lT管理決策提供依據
作為網絡安全設施建設的一部分.上網行為管理設備的部署,能為信息科技部門的IT管理決策提供科學依據。這類設備能對內網用戶各種網絡行為進行記錄、統計并形成圖形化報表,以便管理者輕松掌控網絡行為分布和帶寬資源使用情況。
4.3規范上網行為,提高員工工作效率
針對員工上班時間無關網頁瀏覽、IM聊天、在線炒股、網絡游戲等,可以進行過濾、封堵、管理和引導,規范員工的網絡應用。提高工作效率,減少非業務網絡應用對帶寬的擠占。
總之,辦公網上網行為管理的建設為單位提供了一個高效、規范和安全的互聯網環境。通過整體的安全解決方案來實現統一的用戶管理,在員工獲得更為高效的工作效率的同時,還將促使單位向知識型、學習型發展。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:上網行為管理解決方案探討
相關文章
