统一上网行为管理

随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关。这些员工随意使用网络将导致三个问题：

①　工作效率低下。

②　网络性能恶化。

③　网络违法行为。   

企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战。

以某一个公司的需求为案例来说，该公司主要需求点为企业无线覆盖以及整体网络实名制上网行为管理。

办公区域的无线覆盖要求办公区域无死角，部署简单，维护容易，扩展方便，同时要求支持多SSID，不同的SSID通过不同的认证策略上网，办公wifi需要员工的账号密码才能登陆，访客wifi 默认为空密码，但需要关注公司微信上网或者通过短信认证上网等。

企业整体网络行为管理需要做到以下几个方面：

² 流量管理，能够细化控制网络的整体及各个终端的带宽（如设置每个部门或者用户每天或每月所能使用的带宽总额、以及实时带宽速率的控制等）；

² 详细记录网络中各类上网日志，PC、手机、平板等终端利用公司网络外发的邮件信息、聊天内容（针对内部员工，安装客户端才可实现）、登陆的账号信息（QQ、邮箱等账号）、搜索的关键字信息，各种终端访问的网站、发送的言论、流量日志分析等；

² 审计过滤，能够针对不同的网站及应用进行阻断审计，上班时间屏蔽购物、电影娱乐、网络游戏等网站，防止上班时间浏览非工作性网站，有效提高工作效率，合理利用公司带宽、能够针对敏感关键字的发帖/搜索等进行阻断与告警，有效规避法律法规、支持针对exe、bat、js等各种后缀的文件下载进行过滤，有效防范网页病毒、挂马等。

结合上述的用户需求以及IT系统的现状，鑫塔科技可以为企业IT部门提供一套完整、可视、智能联动的互联网出口安全解决方案。部署拓扑图如下：

n  互联网出口上网行为管理：部署鑫塔科技XT6000-AC于互联网出口，针对有线网络终端和用户提供接入认证、权限控制、合规审计；此外，还针对有线/无线的全部用户、关键应用，提供全局统一的带宽控制策略。

n  智能联动：此外，互联网出口上网行为管理设备还为无线网络提供portal认证功能，以实现微信认证\短信认证等多途径的无线认证。将无线上网终端和用户身份信息进行关联，同时能够针对不同的智能终端进行上网权限划分以及行为日志审计，便于后续的报表分析、威胁定位、合规审计等。

此方案中将采用上网行为管理XT6000-AC+无线AP的模式，1—6—11信道交叠，多SSID无线覆盖方式。一般来说，企业部署WIFI主要目的在于解决企业移动办公问题、方便企业网络扩展、以及树立企业形象，为企业员工以及客户提供更多网络访问的便捷。

鑫塔科技为该客户提供的解决方案之亮点：

1、 WLAN安全机制

   方案中无线网络将采用802.11I/WAP2的加密方式，多SSID设置，各个SSID直接客户端隔离，同时通过行为管理设备网所有的数据通讯可视化，

2、 WLAN认证机制

常用的认证方有：WEB认证、账号密码认证、微信认证以及短信认证。实际上，微信已成每个智能手机的标配应用了，由于海量的微信用户存在，微信便成为了一个强大的营销平台。微信营销已成为越来越多企业的网络营销首选。

鑫塔WLAN解决方案，将WiFi资源同微信平台关联，访客必须关注商家的微信公共账号才可以享受“免费”的WiFi网络。

通过鑫塔创新的微信认证方式，可以迅速增加企业微信的粉丝数量，从而，企业可以在大量粉丝的基础上，去做微信营销，建立基于微信公共平台的服务。

访客进入公司无线覆盖范围后，自动接入企业访客无线，被定向到指定提示页面，提示顾客关注企业微信号然后即可获取上网权限，访客关注企业微信号即可上网。这样便大大增加了企业的关注度，也便于广告、业务推送和宣传。

同时对于WLAN的运维，鑫塔WLAN能够实时的显示每个接入点AP的接入人数、实时在线用户名等。

短信认证与微信认证类似，访客接入无线后，将弹出手机认证页面，用户输入手机号码并点击获取到验证码后，输入验证码即可上网。

3、让WLAN变得更快速

由于wifi开放给所有用户，自由的网络环境中包含各种杂乱无章的应用流量无法管控。胜鑫塔上网行为管理内置全国最大的应用识别库和URL库，能自动识别无线流量类型，根据终端类型设置相应的流量控制策略。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障顾客正常的上网体验。

4、有线无线网络统一上网行为管理

部署了鑫塔科技上网行为管理设备，为可以帮助企业IT部门提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求，又提升了IT运维效率，还提升了用户上网的操作体验。

5、专业的流量控制

    鑫塔科技上网行为管理系统通过多级父子通道技术，能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，管理员能够给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。鑫塔科技上网行为管理系统具有动态流控功能，在总体带宽利用率偏低时自动调整策略，有效提升带宽利用率，避免资源浪费。在P2P应用流量控制方面，通过鑫塔科技P2P智能流控技术，能够有效的抑制P2P流量，使得核心业务应用有足够的带宽资源。

6、全面精准的行为审计

鑫塔科技上网行为管理系统不仅记录内网用户访问了哪些网站，使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。