上网行为管理选型白皮书

北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容，其版权属于北京北信源软件股份有限公司（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

上网行为管理系统技术白皮书目录1互联网给网络管理带来的挑战 (4)1.1应用网络时代，网络面临的问题 (4)1.2对网络的管控势在必行 (5)2功能介绍 (6)1.3用户管理 (6)1.4组织结构 (6)1.5自动分组 (6)1.6内网主机扫描 (7)1.7用户导入 (7)1.8多种身份认证方式 (7)1.9支持策略继承 (7)1.10IP/MAC/VLAN绑定 (7)1.11认证账户有效期 (8)1.12公用账户 (8)1.13临时账户 (8)1.14登录重定向 (8)1.15网络流量识别 (8)1.16带宽资源管理 (10)1.17流量优先级的划分 (10)1.18强大的带宽管理功能 (10)1.18.1基于随机公平队列的流量整形和应用优化 ........................................111.18.2灵活的、强大的基于策略的带宽控制 (11)1.18.3基于单IP/用户的带宽控制 .....................................................111.18.4对各种入侵攻击的安全保护措施 ................................................111.19基于时间的管理 (12)1.20上网行为管理 (12)1.20.1网页过滤 ....................................................................121.20.1.1URL 过滤 (12)1.20.1.2搜索引擎关键字过滤 (13)1.20.1.3发帖关键字过滤 (13)1.20.1.4文件下载过滤 (13)1.20.2邮件过滤 ....................................................................131.20.3即时通讯管理 ................................................................141.21黑名单控制 (15)1.22白名单管理 (16)1.23酒店管理-即插即用 (16)1.24统计与报表系统 (16)1.24.1实时在线网络监控 ............................................................171.24.2上网行为监控 ................................................................171.24.3递进式的流量统计分析 ........................................................181.24.4会话记录 ....................................................................191.24.5阻断记录 ....................................................................191.24.6个人行为分项统计 ............................................................191.24.7报表分析 ....................................................................201.24.8无为而治的管理方式 ..........................................................203产品部署方式 (21)3.1旁路模式 (21)3.2网桥模式 (21)3.3路由模式 (22)1互联网给网络管理带来的挑战随着信息技术的飞速发展和广泛应用，网络已经渗透到社会的各个领域，成为人们工作、学习、生活中不可或缺的一部分。

华为ASG5000 系列上网行为管理产品技术白皮书华为ASG5000 上网行为管理产品技术白皮书目录目录1概述 (1)1.1行为管理产品产生 (1)1.2行为管理产品简介 (1)1.3行为管理设备的使用指南 (2)2行为管理设备的技术原则 (3)2.1行为管理的可靠性设计 (3)2.2行为管理的性能模型 (3)2.3行为管理组网能力 (4)2.4行为管理路由特性 (5)2.5链路负载均衡 (5)2.6服务器负载均衡 (5)2.7地址转换 (6)2.8动态域名服务 (6)2.9VRF 路由 (7)2.10入侵防御 (7)2.11病毒防护 (8)2.12SSL 网站解密 (8)2.13无线非经 (9)2.14双因子设备管理 (9)2.15三权管理 (9)2.16行为管理系统管理方式 (9)2.17身份认证 (10)2.18应用识别 (10)2.19IPv4 一体化策略 (10)2.20流量、时长限额 (11)2.21防私接路由 (11)3ASG5000 系列行为管理技术特点 (11)3.1高可靠性设计 (11)3.2丰富的用户认证 (14)华为ASG5000 上网行为管理产品技术白皮书目录3.3高精度的用户审计 (14)3.4精细化的用户流控 (16)3.5领先的合规维护 (17)3.6丰富的攻击防御手段 (18)3.7优秀的组网能力 (19)3.8完善的日志系统 (21)4典型部署 (23)4.1网桥部署 (23)4.2路由部署 (24)4.3旁路部署 (24)华为ASG5000 系列上网行为管理产品技术白皮书关键词：ASG、SSO摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。

1 概述ASG5000 系列产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。

该系列产品提供URL 过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

WHITE PAPEREnabling Mobility in NetworkMonitoringYiwei ChenMoxa Product ManagerIntroductionEngineers face different challenges during each stage of the industrial network management lifecycle. During the installation stage, manual device configuration and testing is time consuming and prone to human error. During the operation stage, engineers are required to monitor network status in real time and minimize system downtime. During the maintenance stage, engineers often face long labor hours doing firmware upgrades or configuration changes on multiple devices. During the diagnostics stage, being able to quickly identify where critical network issues occur is essential. To help minimize the total cost of ownership, engineers are always on the lookout for new industrial network management tools that can help them overcome all of these challenges.Industrial network management software is usually installed in the control room, or is sometimes integrated with an existing SCADA system. But when you’re out of the co ntrol room or on the move, you could miss important messages such as network changes or errors, and fail to respond quickly enough. With the number of devices connected to industrial networks continually increasing, the ability to monitor and maintain your network—anytime, anywhere—is becoming more crucial than ever before to ensure that your operation is reliable and runs smoothly.Current statistics show that globally, the number of mobile users is now greater than the number of desktop users, and we can expect this global trend to expand into the industrial automation workplace. In fact, since engineers joining the workforce today are accustomed to using mobile devices in their private life, it is only natural that they would want to use the same devices to simplify their work life.In this white paper, we discuss the challenges in industrial network management and show how a mobile monitoring tool can help keep you informed of network status, even when you’re on the move. In addition, we’ll share experiences we’ve had helping customers from the rail industry reduce system downtime by utilizing the right mobile tools to quickly respond to network changes.Released on October 7, 2015© 2015 Moxa Inc. All rights reserved.Moxa is a leading manufacturer of industrial networking, computing, and automation solutions. With over 25 years of industry experience, Moxa has connected more than 30 million devices worldwide and has a distribution and service network that reaches customers in more than 70 countries. Moxa delivers lasting business value by empowering industry with reliable networks and sincere service for automation systems. Information about Moxa’s solutions is available at . You may also contact Moxa by email at *************.How to contact MoxaTel: 1-714-528-6777Fax: 1-714-528-6778Major Challenges in Industrial Network ManagementManaging a network can be a complex and often extensive operation, especially for industrial networks, and being able to monitor and manage devices is essential to ensuring that the network is running smoothly. However, with evolving business operations, administrators are often on the move, making it difficult to stay informed of or quickly respond to status changes in the network.When doing regular maintenance or troubleshooting at a field site where many network devices are deployed, engineers often face the daunting task of identifying specific devices hiding among a multitude of identical devices. Even with proper labeling and hardware placement, it can still take time to obtain the status information of a specific device onsite. As a result, faulty devices cannot be swapped out quickly enough to ensure that your operation runs smoothly.With the development of mobile networking tools, engineers can now improve operational efficiency and maximize network availability.Why Mobile Network Monitoring?Like their enterprise counterparts, automation engineers can now access their operational applications from mobile devices by installing an appropriate network monitoring app. The mobile network monitoring app is usually a client software tool designed to work in tandem with the network management software installed in the control room.The following diagram illustrates how a typical mobile app for network monitoring works to keep users informed of the ir network’s status. The app connects to the software server over an intranet or the Internet to access network status in real time. In addition, if the network is updated, the network management software server will send a push notification via the Apple cloud or Google cloud to alert the app user.A mobile phone app for network monitoring usually works as the client of the main network management software. Through the app, engineers can access the network status anytime,anywhere.How Mobile Networking Empowers Network OperatorsA mobile network monitoring app should support the following three features to ensure that monitoring a network from a mobile device is worth the effort.1.Sending Real-time AlertsWith a mobile network monitoring app, administrators can receive notifications of events pushed to their mobile devices. These real-time alerts allow administrators to take action immediately in response to critical events, even when they are out of the control room. For example, once an alert is received, they can contact maintenance engineers to do onsite troubleshooting and consequently reduce system downtime.2.Allowing Instant Network ChecksA mobile network app allows users to check the status of a network in real time. After youlog in to the app, it will inform you whether or not the network is operating normally. The app will also display detailed information of a specific network device, keeping network administrators in the know while they are on the move or out of the control room.Information, such as a device’s IP address, MAC address, location, and firmware version can be viewed from the app. For example, if an engineer receives an alert for a link-down event, they can readily access the information needed to determine which port is faulty.3.Finding Field Devices QuicklyIn certain scenarios, it could take a long time to manually search for a specific device from racks and racks of similar devices. Moreover, if automation engineers need to access the parameters or settings of a specific device for onsite troubleshooting, they would need to physically connect the device to a laptop computer using a web console or CLI (command line interface), or physically read the MAC address or serial number printed on the device, and then check the information with the computer. Either way, the engineer could end up spending much more time than would be necessary if the same information could bechecked using a mobile device.To make the task easier and more efficient, mobile network monitoring apps now usually come with a function that allows users to quickly find a particular device, and even view detailed device information.For example, each network device could be encoded with a unique QR code based on its MAC address. If the mobile phone app supports a built-in QR code scanner, engineers can scan the device’s QR code onsite to pull up information about that device, without needing to boot up a laptop computer or entering a device ID manually.With Moxa’s MXview ToGo app, users can not only scan the device to get detailed information, they can also activate the Device Locator function to find the device—which works by causing the device’s LED to blink in a way that is easy to recognize.Success StoryDeploying a Server/Client Solution for Industrial Network MonitoringTo ensure that a network operates reliably, industrial network management software is usually installed in large-scale networks in mission-critical industries, such as transportation, mining, and oil & gas. In this section, we share a success story from a railway application that uses a fiber Ethernet backbone built for data transmission between several stations located across a wide area. Since the application involves multiple control rooms spread over a wide area, the industrial network management software and the mobile phone app can help engineers access network status in real time and then respond quickly, thereby greatly reducing system downtime.This high-speed railway operator built a fiber Ethernet backbone for data transmission between its Operation Management Center and other railway stations to ensure high network availability. The customer used about 30 Moxa industrial rackmount switches (IKS-G6524) to connect to the pre-existing Layer 3 networks, and used the MXstudio industrial network management suite across the network management lifecycle, including for installation, operation, maintenance, and diagnostics. The MXstudio suite includes the MXview industrial network management software, MXconfig industrial network configuration tool, and N-Snap network snapshot tool.The railway operator’s network administrators recounted that they sometimes needed to leave the control room for patrol inspections within and around the station. Since MXview was already installed in the control room, they could install Moxa’s MXview ToGo mobile app, which works as a client of MXview, and then easily check the latest network status from their mobile phones. The dashboard design of the app makes it easy for engineers to tell whether the network is operating under Normal, Warning, or Critical conditions. In one notable incident, an IT engineer received a push notification about a downed link, used the app to determine wherethe broken link was located, and also connected to the MXview server to determine the cause. After determining the cause, the engineer contacted onsite staff immediately, allowing them to get the network link back up and running in no time.The diagram shows that engineers on the move can still get real-time network status with themobile app.ConclusionThe use of effective network management applications can help network administrators accomplish tasks efficiently during different stages of the network management lifecycle. With the changing business environment and improvements in mobile device technology, a mobile app for network monitoring allows administrators to be efficient, effective, and responsive when monitoring and maintaining an industrial network.Using a mobile app for network monitoring, administrators can view device and network status and receive real-time alerts from their mobile devices while on the move. In the field, administrators can quickly search for any device and view that device’s detailed configuration parameters with the click of a button.∙Learn more about Moxa’s MXview ToGo mobile app here:/MXview_ToGo∙Scan the following QR code to download the MXview ToGo app:iPhone OS Android OSDisclaimerThis document is provided for information purposes only, and the contents hereof are subject to change without notice. This document is not warranted to be error-free, nor subject to any other warranties or conditions, whether expressed orally or implied by law, including implied warranties and conditions of merchantability, or fitness for a particular purpose. We specifically disclaim any liability with respect to this document and no contractual obligations are formed either directly or indirectly by this document.。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

VSB手机门户管理平台技术白皮书申明所有，本手册中的任何信息未经博达软件的同意不得以任何方式〔包括纸、印刷品、电子出版物、电子文档等信息传播媒介〕复制、传播、摘抄、再发表。

就像我们始终确保高质量的优质产品一样，我们同样竭力保证本手册的精细以与准确性，但即便如此，我们依然无法绝对保证手册中的信息不存在偏差，所以根据本说明书进展操作之前，请对您要做的每一步都经过足够确实认。

我们保有因为产品的升级而修改本手册的权利。

最新信息本产品最新版本信息、升级信息以与相关技术文档将在博达软件产品.vsbclub.与时公布，敬请留意。

信息反应博达软件欢迎您通过以下各种的渠道向我们提供尽可能多的信息，您的意见和问题都会得到我们的重视和妥善处理，通过以下联系方式可以反应您宝贵的意见：➢通讯地址：中国·高新技术产业开发区科技4路209号4层➢：710065➢：1➢：9➢客服：400-605-1065➢公司.chinawebber.➢产品.vsbclub.➢电子：marketchinawebber.〔商业联系〕surpportchinawebber.〔技术支持〕1.概述据CNNIC统计，截至2012年12月份，我国手机网民达到4.2亿，年增长率达到18.1%，从2012年第二季度开始，中国移动互联网用户数已经超过了桌面互联网用户数。

中国移动互联网用户在全国互联网用户中比重不断提升，已占到74.2%，手机已成为第一上网终端。

中国手机网民对手机上网依赖性较强，根据调查，79.9%的手机网民每天至少使用手机上网一次，65%的手机网民每天使用手机上网屡次。

而且，中国手机网民手机上网的黏性较大，手机上网不仅挤占了手机网民的碎片化时间，也逐渐开始占据手机网民的其他时间，成为中国手机网民的一种生活方式，根据调查，中国手机网民平均每天累计手机上网时长为124分钟，其中，每天上网4小时以上的重度手机网民比例达到22%。

手机的便捷性使用户可以随时随地、碎片化时间使用手机上网，手机、平板电脑等移动终端接入互联网已经成为趋势。

RG-UAC 6000系列统一上网行为管理与审计产品白皮书目录1产品图片 (3)2产品概述 (5)3产品特性 (6)4典型应用 (10)5订购信息 (13)1 产品图片RG-UAC 6000-E10 v3.0RG-UAC 6000-E20RG-UAC 6000-E50RG-UAC 6000-X20RG-UAC 6000-X60RG-UAC 6000-X100RG-UAC 6000-X2002 产品概述锐捷统一上网行为管理与审计RG-UAC系列是锐捷网络自主研发的业界领先的上网行为管理与审计产品，以路由、透明、旁路或混合模式部署在网络的关键节点上，对数据进行2-7层的全面检查和分析，深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频、移动应用、网络存储等常见应用，并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性，同时RG-UAC系列具备的上网行为日志审计功能，能够全面、准确、细致的审计并记录多种上网行为日志，包括网页、搜索、外发文件、邮件、论坛、IM等等，并对日志数据进行统计分析，形成多种多样的数据报表，将上网行为情况清晰、详细的呈现。

锐捷统一上网行为管理与审计RG-UAC系列产品线提供不同档次的多款型号，从低端、中端、高端适用于政府、教育、医疗、数据中心、大型网络边界、通用企业等全业务出口应用场景。

3 产品特性高性能处理能力单台设备最高网络吞吐达到40Gbps、审计性能带宽20Gbps多核并行处理架构，业务处理层和数据转发层分离整个解析过程一次拆包，保证开启多项行为管理功能后依然保证高速度、低时延的行为管控细粒度高识别率的应用识别技术采用硬件提升内容特征匹配速度，性能不随策略数、会话数、特征库增加而被过度占用近四十种大类、2000多种应用的识别强大精准的审计、管控能力能够识别主流应用协议、准确审计用户的上网行为信息，精确审计网页、搜索、外发、聊天等行为内容的源IP、目的IP、时间、具体内容等能够识别BYOD设备上的主流APP支持移动终端的准入和认证，并支持与Radius、LDAP和AD域等认证系统的联动能够实现接入设备的实名上网行为审计，做到内容全覆盖、网络全覆盖智能带宽管理支持用户、接口、应用协议、通道的上下行流量控制支持应用的流量配额控制、在线时长控制、并发控制、新建会话控制可基于业务应用划分优先级，将业务应用划分为保障应用、受限应用、禁止使用等级别，保障业务流量，限制无关流量，优化网络资源，提高效率提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽分级、智能管理功能上网行为管理内容过滤，包括即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤，搜索引擎的关键字过滤，Telnet内容过滤。

上网行为管理系统技术白皮书中国人民解放军信息安全研究中心研制目录第一章概述 (3)1．1研发背景 (3)1．2系统概述 (3)第二章部分名词解释 (4)第三章系统设计思想与工作原理 (4)3．2系统设计思想 (4)3．2系统工作原理 (5)第四章系统关键技术 (5)第五章系统特性 (6)第六章系统主要功能介绍 (7)6.1.1 用户分时段上网控制 (7)6.1.2 实时阻断不良信息 (7)6.1.3 限制敏感信息 (7)6.1.4 特殊网站控制 (8)6.1.5用户互联网浏览信息日志 (8)6.1.6 用户互联网上传信息日志 (8)6.1.7 日志管理 (8)6.1.8 流量管理 (8)6.1.9 上网行为审计 (8)第七章系统技术指标及安装环境 (9)7．1系统技术指标 (9)7．2系统安装环境 (9)7．2．1 系统运行环境 (9)7．2．2 系统安装环境 (9)第八章技术支持 (11)第九章备注 (11)第一章概述1．1研发背景随着信息技术的迅猛发展，互联网已成为人们及时了解世界最新资讯，查询最新科技动态，实现网上购物，接受网上教育等现代生活必不可少的工具。

但是，互联网上良莠不齐的信息，以及信息发布与浏览的随意性，使得她在给人们带来种种便利的同时，也带来了不少负面影响。

其中最为严重的是网上反动、邪教、色情等内容的浏览，以及一些纯娱乐性内容，如网上聊天、网上交友、网上游戏等，这些内容或严重危害人们的身心健康，毒害人们的意志；或使人“玩物丧志”，影响正常的工作、学习、生活。

有资料表明目前全球有色情网站数十万个，并且每天都有新的色情网站发布。

这些色情网站以网上链接为主要传播途径，也就是说，只要您偶然打开一个色情网站，就能很方便地链接到成千上万个中、外文色情网站。

就像阿里巴巴的芝麻开门一样，一旦色情之门被打开，一切将不可控制。

同时，由于向互联网发布信息的随意性，一些不法分子也在利用互联网这一特点，随意发布各种信息。

网强网络管理系统白皮书7 目录一、系统概述(3)1、系统背景(3)2、系统简介(3)3、系统架构(3)（1）采集层(4)（2）业务层(4)（3）展示层(4)（4）系统接口(4)二、系统特点(5)1、易用性(5)2、通用性(5)3、可靠性(5)4、安全性(5)5、个性化(5)三、功能模块(5)1、系统首页(5)2、运行状况(6)（1）整体运行状况(6) （2）当前运行一览(7) （3）当前指标一览(7) （4）分类显示(8)3、拓扑管理(8)（1）物理拓扑图(9) （2）示意拓扑图(9) （3）缩略拓扑图(10) 4、资源管理(10)（1）资源一览(10) （2）添加资源(11) （3）资源详细信息(11)5、网络工具(12)6、故障管理(12)（1）异常信息一览(13)（2）告警方式配臵(13) （3）异常依赖(14)（4）知识库(14)7、系统管理(14)（1）拓扑图发现配臵(15) （2）日志管理(15)（3）产品自管理(15) （4）首页配臵(16)（5）帮助(17)8、数据分析(17)（1）报表一览(18)（2）报表配臵(19)（3）统计分析(20)9、用户管理(22)（1）部门管理(22)（2）人员管理(22)（3）角色管理(23)（4）个人资料(23)10、地域管理(23)（1）地域拓扑图(24)（2）地域一览(24)（3）新增地域(25)四、功能优势(25)1、智能化故障管理(25)2、实用便捷的知识库(26)3、规范的分级管理(27)4、安全的入网控制(28)5、真实的设备背板(29)6、实时拓扑图展现(29)7、全面的资源管理(31)8、非编程扩展与兼容性(32)五、运行环境(33)1、硬件要求(33)2、网络环境(33)3、操作系统(33)4、其它(34)六、应用价值(34)七、关于网强(34)1、网强简介(34)2、资质荣誉(35)3、网强产品(35)4、联系我们(36)一、系统概述1、系统背景随着计算机技术和Internet的发展以及各行各业信息化的普及与应用，各行业开始大规模的建立网络来推动电子商务和政务的发展，不论是政府、金融、教育、医疗等单位都逐渐将核心业务移值到电子化和网络上。

安达通TPN-2G全网行为管理网关白皮书上海安达通信息安全技术股份有限公司目录一、全网行为管理系统概述 (1)1.1全网行为管理简介 (1)1.2全网行为管理系统组成 (2)二、TPN-2G安全网关功能 (3)2.1上网行为管理 (3)2.1.1多种流控技术 (3)2.1.2网络程序监控 (4)2.1.3URL访问控制 (5)2.1.4内容过滤 (6)2.1.5邮件还原 (6)2.2内网安全管理 (7)2.2.1身份认证技术 (7)2.2.2虚拟VLAN技术 (7)2.2.3非法接入管理 (7)2.2.4防止非法外联 (7)2.3主机行为管理 (8)2.3.1准入控制技术 (8)2.3.2单机程序管控 (8)2.3.3主机外设控制 (9)2.3.4移动存储设备加密 (9)2.3.5主机补丁检测和升级 (10)2.4IPSEC和SSL VPN功能 (10)2.5软件分发 (10)2.6主机资产管理 (11)2.7全网行为审计和报表 (12)2.7.1行为监控功能 (12)2.7.2内容审计功能 (13)2.7.3统计报表 (13)2.8其他功能 (14)2.8.1上网均衡技术 (14)2.8.2双机热备 (15)三、TPN-2G安全网关部署模式 (15)3.1 网关模式 (15)3.2 网桥模式 (16)3.3 旁路模式 (17)四、TPN-2G安全网关产品规格 (18)一、全网行为管理系统概述1.1全网行为管理简介随着互联网的日益普及和发展，一方面提高了工作效率，促进了社会的发展，另一方面网络安全问题和网络行为规范问题也越发突出。

这样就在管理、工作效率、信息安全、法律遵从、IT投资等方面对我们提出了严峻的挑战。

针对全方位网络安全的需求，安达通率先推出了满足该需求的产品——全网行为管理网关（也称：TPN-2G网关）。

全网行为管理网关在功能上，主要分为两大块：网络行为管理和主机行为管理，如下图。

较之当下流行的“上网行为管理”系统，它不仅能够管控互联网的访问行为，而且能够管控内网以及主机行为，具有更全面的管控能力、更细的管理粒度和更高的性价比。

华为 ASG5000 系列上网行为管理产品无线非经技术白皮书目录1技术背景 (2)2概念及原理 (3)2.1非经的概念 (3)2.2非经对接的原理 (4)2.2.1终端认证、场所、AP 信息获取 (4)2.2.2用户行为、终端指纹和其它关键信息获取 (4)2.2.3信息写入设备本地 (4)2.2.4数据关联 (5)2.2.5根据后端厂商规范进行数据拼接 (5)2.2.6根据后端场所规范进行数据上报 (6)2.3认证的概念 (6)2.4认证的原理 (6)2.5审计的概念 (7)2.6审计的原理 (7)3运营与部署 (9)3.1非经的部署方式 (9)3.2非经对接支持情况 (10)3.3非经对接方式总结 (11)华为ASG5000 系列上网行为管理产品技术白皮书关键词：ASG摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。

非经前端设备非经后端平台1技术背景从 2006 年开始，《互联网安全保护技术措施规定》（公安部第 82 号令）一直是互联网安 全建设的指导文件，对于上网行为审计方面，公安部第 82 号令主要强调“留存”：需要将用户实名信息、用户登录和退出时间、主叫号码、账号、互联网地址或域名、网络运行状态、网络安全事件、系统维护日志等关键信息进行留存备用，留存周期为 3 个月、 6 个月或 1 年不等。

2015 年 4 月，公安部十一局发布实施了“公共场所无线上网安全管理系统无线上网接入安全技术要求”技术规范，此规范主要针对对象为非经营性上网场所（除网吧以外的如餐饮、金融、购物、旅店宾馆等不经营但提供互联网服务的场所），该技术规范是针对“留存”的方案升级，需要前端设备将采集到的信息加工后实时上传到后端平台，我们将这一应用场景称为无线非经，示意图如下。

序号 数据类型 序号 数据类型 1 认证类型 1 APP 类型 2 认证账号 2 APP 登陆ID 3 终端IP 3 搜索关键字 4 终端MAC 4 发帖内容 5 上线时间 5 经度 6 下线时间 6 维度 7 场所信息 7 IMEI 8AP MAC8 认证账号9…相对于公安部第 82 号令，无线非经场景除了将静态的留存升级成了动态的实时上传以外，在数据层面也进行了升级，主要体现在了以下两个方面：首先是与 WLAN 相关的信息参数，例如 AP MAC 、场所信息等，主要是对WiFi 环境的特定信息采集；其次是范围更广更详细的数据，例如位置信息（经纬度）、移动终端的 IMEI 串号等，举例来说， 当某台终端使用叫车软件时，乘车人出发和到达的位置信息可以做到实时上传到非经后端平台。

上网行为管理系统产品白皮书上网行为管理系统产品白皮书目录目录(2)1互联网给企业管理带来的挑战(4)1.1互联网一把双刃剑(4)1.2对员工上网行为进行规范管理势在必行(5) 1.3360上网行为管理系统帮您用好双刃剑(6)2产品形态(7)2.1硬件平台(7)2.2软件系统(7)3功能介绍(9)3.1网页访问审计与过滤(9)3.1.1最领先的中文URL分类数据库(9)3.1.2灵活的Web策略设置(10)3.1.3Web访问违禁提示(12)3.2应用控制(13)3.2.1基于特征识别的覆盖全面的应用协议数据库(13) 3.2.2支持用户各项应用限额管理(14)3.2.3灵活精细的管控策略(14)3.3带宽管理(15)3.3.1识别控制P2P软件和加密P2P数据(16)3.3.2针对用户/应用设置带宽(16)3.3.3基于时间段流量控制(17)3.4内容审计和过滤(17)3.4.1邮件收发审计和过滤(17)3.4.2IM审计和过滤(19)3.4.3论坛发帖审计和过滤(19)3.4.4搜索引擎关键字审计和过滤(19)3.4.5HTTP文件传输审计和过滤(20)3.4.6HTTPS加密网页的审计和过滤(20)3.4.7FTP文件传输审计和过滤(20)3.4.8TELNET内容审计(20)3.4.9SSL内容审计(20)3.4.10数据库审计(20)3.5终端控制与准入(21)3.5.1客户端准入(21)3.5.2客户端应用封堵(21)3.5.3移动终端管理与监控(22)3.6实时监控(22)3.7共享接入监控(24)3.8报警管理中心(26)3.9查询统计与报表分析(26)3.9.1详细的日志查询(26)3.9.2丰富的统计报告(28)3.10日志管理(35)3.10.1完整的日志记录与导出备份(35) 3.10.2日志中心(35)3.11集中管理SMC (36)3.12用户管理(37)3.12.1用户身份信息维护管理(37)3.12.2用户身份识别与认证(40)3.13分级分权管理(42)3.14特权USB-Key (43)3.15设备自身安全(44)3.16虚拟专用网络（IPSec VPN）(45)4特点与优势(47)4.1国际领先的中文URL过滤系统(47) 4.2国内最全面的网络应用协议数据库(48) 4.3精细化的策略管理(49)4.4细化的应用带宽管理与流量控制(50) 4.5高效内容分析引擎(50)4.6强大的查询统计与分析报告(51)4.7完整的BYOD解决方案(51)4.8人性化界面设计，易于操作管理(53) 4.9运行稳定可靠，确保网络畅通(53)4.10灵活的部署方式(54)4.11独立的日志中心(54)4.12分布部署，集中管理(54)5产品的部署(55)5.1串行接入(55)5.2镜像旁路(57)5.3集中管理中心(57)6产品荣誉(59)1互联网给企业管理带来的挑战1.1 互联网一把双刃剑经过十几年的高速发展，互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作、生活不可或缺的工具，成为企业高效运营、提高竞争力的基础平台。

华为 ASG5000 系列上网行为管理产品无线非经技术白皮书目录1技术背景 (2)2概念及原理 (3)2.1非经的概念 (3)2.2非经对接的原理 (4)2.2.1终端认证、场所、AP 信息获取 (4)2.2.2用户行为、终端指纹和其它关键信息获取 (4)2.2.3信息写入设备本地 (4)2.2.4数据关联 (5)2.2.5根据后端厂商规范进行数据拼接 (5)2.2.6根据后端场所规范进行数据上报 (6)2.3认证的概念 (6)2.4认证的原理 (6)2.5审计的概念 (7)2.6审计的原理 (7)3运营与部署 (9)3.1非经的部署方式 (9)3.2非经对接支持情况 (10)3.3非经对接方式总结 (11)华为ASG5000 系列上网行为管理产品技术白皮书关键词：ASG摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。

非经前端设备非经后端平台1技术背景从 2006 年开始，《互联网安全保护技术措施规定》（公安部第 82 号令）一直是互联网安 全建设的指导文件，对于上网行为审计方面，公安部第 82 号令主要强调“留存”：需要将用户实名信息、用户登录和退出时间、主叫号码、账号、互联网地址或域名、网络运行状态、网络安全事件、系统维护日志等关键信息进行留存备用，留存周期为 3 个月、 6 个月或 1 年不等。

2015 年 4 月，公安部十一局发布实施了“公共场所无线上网安全管理系统无线上网接入安全技术要求”技术规范，此规范主要针对对象为非经营性上网场所（除网吧以外的如餐饮、金融、购物、旅店宾馆等不经营但提供互联网服务的场所），该技术规范是针对“留存”的方案升级，需要前端设备将采集到的信息加工后实时上传到后端平台，我们将这一应用场景称为无线非经，示意图如下。

序号 数据类型 序号 数据类型 1 认证类型 1 APP 类型 2 认证账号 2 APP 登陆ID 3 终端IP 3 搜索关键字 4 终端MAC 4 发帖内容 5 上线时间 5 经度 6 下线时间 6 维度 7 场所信息 7 IMEI 8AP MAC8 认证账号9…相对于公安部第 82 号令，无线非经场景除了将静态的留存升级成了动态的实时上传以外，在数据层面也进行了升级，主要体现在了以下两个方面：首先是与 WLAN 相关的信息参数，例如 AP MAC 、场所信息等，主要是对WiFi 环境的特定信息采集；其次是范围更广更详细的数据，例如位置信息（经纬度）、移动终端的 IMEI 串号等，举例来说， 当某台终端使用叫车软件时，乘车人出发和到达的位置信息可以做到实时上传到非经后端平台。

用户上网行为监控技术白皮书关键词：上网行为、网络监控、协议识别、监控策略摘要：有效的监控用户的上网行为，已经成为网络安全的一个重要领域，也越来越受到人们的重视。

本文主要介绍了H3C用户上网行为监控技术的基本原理和典型应用。

缩略语：目录1 概述 (3)1.1 产生背景 (3)1.2 H3C用户上网行为监控的功能 (3)1.3 H3C用户上网行为监控的特点 (4)2 技术实现 (5)2.1 监控处理器 (5)2.2 Web控制台 (6)2.3 日志服务器 (6)3 H3C实现的技术特色 (6)3.1 基于流状态的协议识别技术 (6)3.2 可扩展、可升级的应用识别和行为识别能力 (7)3.3 可灵活配置的监控规则 (7)3.4 丰富时间表特性 (7)3.5 灵活的黑白名单特性 (7)3.6 众多的日志查看终端 (7)3.7 完善的日志报表 (7)4 典型组网应用 (8)4.1 网关模式部署 (8)4.2 旁路模式部署 (9)1 概述1.1 产生背景随着教育、政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖随之增加。

因此，网络信息系统的安全问题就变得越来越重要。

根据权威机构的调查显示，超过70％的严重攻击来自于组织中的内部人员，具体表现在以下几个方面：•内部员工访问非法网站，通过文件共享、邮件等发送重要机密文件，导致信息外泄，造成恶劣影响。

•终端用户为牟利，对各类应用系统越权访问、违规操作数据库等造成的信息安全风险。

•各种P2P 下载、在线视频观看等非关键业务流量过大，导致网络出口拥挤不堪，各种关键业务无法正常开展。

•内网用户IP 地址随时变化，对信息事件源难以定位。

因此，如何规范和监控内部人员的上网行为已成为各组织机构迫切需要解决的问题。

相关法规，如美国的《2002年萨班斯-奥克斯利法案》和中国的《计算机信息系统安全保护等级划分准则》、公安部等级保护等，也对网络的日志审计和行为审计提出了明确的要求，要能确保关键信息系统在可审计、可控制的状态下运行。