AC1.9上网行为管理方案模版-简单版1通用.doc

网络行为管理方案1网络行为管理系统(一)产品功能网络行为网关是员工上网行为管理的产品。

该产品可以在不影响网络运行效率和不改变现有网络配置的条件下，对内部人员使用互联网的情况进行有效的管理和控制, 网络行为网关是软、硬一体化专业网络设备，无需安装客户端软件，使用非常简单方便，单位管理人员一看就会。

网关主要功能如下：1.1访问控制提供完整的访问控制管理策略，可灵活地按用户角色或者分组对用户上网行为进行有效地控制，可以根据日期、时间段、服务类型、网址、流量、IP地址、端口范围等手段设置控制策略，并提供百万级的有害信息过滤网址库防堵不良网站，从而实现单位上网管理控制，规范员工上网行为。

⏹访问外网控制：可以控制所有人或指定的人能否上Internet。

⏹日期时间控制：可以按照日期类型(如：工作日、非工作日)和时间段（如:上午9:00到下午6:00)使用各种控制策略。

⏹网址关键字控制：可以按网址、通配符控制访问的网站(如:禁止网址中包含news的网站)。

⏹应用服务控制：可以根据Internet的服务类型控制能否使用相关的服务(如：能否使用邮件、QQ、P2P下载、www服务等)。

⏹IP及端口控制：可以控制用户可以访问的IP地址或端口号(如：可以封掉某些IP地址及端口)。

⏹分级控制：可以针对某个人、某个部门或所有人进行控制，每个部门或个人均可使用不同的访问策略。

⏹网址库类别控制：可以基于网址库的网址分类确定访问策略，而且用户可以自己维护网址库(如：用户可以将不能访问的网站作为网址库的一类，然后可以通过禁止这一类网址，就达到了禁止访问对应类别的网站的功能)⏹应用服务分类控制：可以基于网络应用的分类确定访问策略，系统默认把应用分为“即时通信”、“P2P下载”、“网络游戏”等九大类，而且用户可以自定义网络应用类别(如：用户可以根据IP地址或端口来定义某些在线游戏服务，然后通过选择禁止或允许来控制最终用户对这些服务的使用)。

有线无线统一上网行为管理解决方案斯奈瑞科技2016年5月目录第一章项目背景 (i)第二章项目需求分析 (i)第三章推荐解决方案 (i)1.推荐方案 (i)2.部署说明................................................... i i3.推荐解决方案说明........................................... i i 第四章 Sangfor AC其他优势功能介绍. (v)第一章项目背景XX酒店目前主要分为住宿区域和公共区域，用的是aruba的无线解决方案，如今客户提出这两个区域的认证要做到区别认证，因住宿区客人停留时间较长，想通过微信认证来增加用户的粘性，方便后期的运营；公共区域访客驻留时间较短，所以想通过不认证或者简单的用户名密码认证的方式，方便用户上网，增加用户体验；同时酒店员工的有线上网行为也需要管理。

第二章项目需求分析为了满足XX酒店的要求，实现有线网络和无线网络的统一上网行为管理，具体需求如下：1.有线网络和无线网络统一管理界面，方便学习和运维2.公共区域访客无线上网需求（一小时上网服务）3.员工互联网上网行为做审计，审计记录需要保留30天4.住宿区域用户满足无线上网的同时，达到微信吸粉，后期运营的需求第三章推荐解决方案1.推荐方案有线无线统一上网行为管理推荐方案：在原有的aruba无线管理器后面部署一台深信服上网行为管理做无线认证；实现三个区域（员工办公区、酒店入住区、公共区域）无线认证；2.部署说明整体网络分成酒店员工办公网络，无线公共区域，无线住宿区域：1.住宿区域的aruba的无线AP规划到一个组，并命名为SSID1，深信服上网行为管理后台与酒店微信公众号（订阅号）做结合；这一部分用户通过微信认证的方式才能上网；2.公共区域的aruba的无线AP规划到一个组，并命名为SSID2，在深信服上网行为管理上做用户名密码认证或者不需要认证方式，用户在该区域免费上网一小时后自动下线；3.酒店办公区域的有线管理可以通过深信服上网行为管理做用户名密码认证或者用户名mac绑定认证方式，实现员工的有线上网行为管理，流量控制、应用控制以及日志的审计；3.推荐解决方案说明本方案能够实现全网全终端统一管控、管理无漏洞：1.统一的管理界面本方案同时管理有线和无线网络，统一管理界面，降低学习成本和运维成本。

上网行为管理方案建议书1 ***********机关互联网用户上网行为管理方案建议书目录1项目背景(3)2***********机关互联网网络情况(3)2.1网络状况(3)2.2应用系统状况(4)3风险与需求分析(4)3.1风险分析(4)3.2需求分析(5)4方案实施与设备部署(6)4.1身份认证(6)4.2行为审计(6)4.3行为管理(7)4.4流量管理(8)4.5设备部署(9)5产品调研与预算(9)6方案总结(12)摘要：互联网作为企事业单位日常办工的一种重要工具，其发挥的作用也越来越大，但互联网信息的杂乱以及用户上网行为的不可控制性，也逐渐为机关办公带来一些负面影响，例如：恶意舆论的发布、机密信息外泄、娱乐色情传播等。

本文经对目前IT界信息网络技术手段的调研，深入研究技术原理，对利用软件和硬件两种方式实现互联网上网行为管理进行了探讨。

1项目背景随着***********信息技术的发展和信息化建设的高速推进，互联网已经成为员工行政管理、日常办公的一个重要工具。

互联网的快速发展使得我们所面临的信息安全环境也变得越来越复杂。

当互联网给我们带来无数便利的同时，也带来了日益严重的安全问题。

色情、毒品、暴力、赌博等不良的信息泛滥，木马、病毒充斥在互联网当中，更有一些违法的言论和不良舆论给***********以及社会造成一定负面的影响，信息外泄给企业带来巨大的经济损失和法律风险，宝贵的带宽资源被耗竭，不良的上网行为习惯导致工作效率的明显下降和身心健康的影响等等。

不管是现实工作环境还是虚拟网络世界，无法则乱。

对于互联网管理，上网行为规范，企业良好的上网办公环境提出了迫切的需要，所以***********有必要建设上网行为管理系统。

2***********机关互联网网络情况2.1网络状况***********机关互联网为一个中型的局域网，通过接口路由器、流控服务器、核心交换机、接入层交换机等设备构建而成，机关内部近130名上网用户数据经过铁通公司10M专线链路访问互联网。

XX机构网上网行为管理解决方案深信服科技1. 前言1.1深信服科技简介深信服科技有限公司是一家长期致力于提升用户带宽价值的高科技、高成长型企业。

从2000年底成立至今，深信服公司以每年销售收入增长2－3倍、人员增长1倍的速度高速发展，从2005到2008连续四年入选德勤中国高科技、高成长50强，亚太区500强。

深信服科技坚持自主研发、每年将销售收入的15％投入产品研发，目前已申请近30项网络及安全领域发明专利。

现有产品包括AC 上网行为管理、IPSEC VPN、SSL VPN、广域网加速等全系列产品线。

深信服科技现有员工近600人，平均年龄26岁，95％具有大学本科及以上学历。

其中41％从事研发、40％从事市场和客户服务工作。

在国内三十余大中城市设立直属办事处，在香港设有海外办事处，在迪拜、孟买、新加坡等具有全球销售和服务网络。

自2005年深信服与业界第一个提出上网行为管理理念并推出成熟产品，目前已经部署于超过5000家客户网络中，是国内上网行为管理领域当之无愧的第一品牌。

深信服通过SINFOR AC网关为客户提供业界最领先的上网行为管理解决方案，全面灵活的帮助客户实现带宽与流量管理、外发信息管理、上网行为审计、网络访问控制、内网与终端安全增强等，从而有效解决互联网使用带来的带宽效率降低、网络泄密风险、法律违规问题、工作效率影响、网络安全性降低等各种问题。

深信服立足自主研发、自主创新，SINFOR AC上网行管理产品具有7项发明专利，并获得高交会自主知识产权认证、国家信息安全产品评测中心认证等资质。

深信服持续研究上网行为前沿技术与趋势，完全遵从“以精准用户识别、终端识别、应用识别为基础，实现封堵、流控、审计等管理手段，集合安全增强功能”的业界标准，为客户提供完善的方案及服务。

2. 项目概述2.1网络现状描述XX机构不仅部署有OA、Email等丰富的业务系统，并且组织内网Intranet、互联网Internet的应用也十分普及。

上网行为管理方案1上网行为管理方案(员工上网控制)构建安全、稳定、高效的企业网络⏹行业背景分析CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。

从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。

然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。

据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。

中国企业的情况略高于这个比例。

中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。

如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。

⏹行业网络需求分析多线高速接入因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。

随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。

但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。

因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。

网络带宽管理一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。

如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive 等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天比一天慢；IT部门经常遭到抱怨，要求提升上网的带宽；而有趣的是抱怨的人中常常包括那些下载音乐文件或看视频电影的员工。

上网行为管理解决方案讲解1 深信服上网行为管理解决方案深信服科技有限公司2014年5月5日目录一、项目概况随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现。

互联网在给生活和工作带来便捷的同时也对上网行为审计带来了新的挑战。

随着互联网的普及，单位业务几乎都依托于互联网进行。

ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施，共同构成业务信息化平台。

但是在内部网络中，除了这些关键业务系统外，还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用，形成了复杂的网络应用“脉络”。

由于单位职工拥有访问互联网的全部权限，在日常工作中对职工的上网行为难以实行有效管理。

一些职工上班时间玩游戏、看网络视频、长时间进行I聊天，不仅违反了《公务员管理条例》，而且挤占有限的带宽资源，造成大量基于网络的办公应用受到影响，极大地降低了办公效率；同时无法管控的信息渠道可能导致机密信息的泄漏，导致内部局域网感染病毒而瘫痪。

如果工作人员通过QQ、MSN、论坛、微博等方式对外发布了包含、色情、赌博、反动等不良信息单位或个人还将承担法律责任。

在复杂的互联网环境下，如何管理好单位内部职工的日常上网行为呢？深信服上网行为管理系统（以下简称AC）将彻底解决这些问题。

二、深信服上网行为管理产品介绍深信服上网行为管理产品可以阻止人员访问无关的网络，杜绝带宽资源滥用，加快上网速率，提升工作效率；记录上网轨迹，管控外发信息，规避泄密和法规风险；防止PC中毒，防止组织机密外泄，保障内部数据安全；智能数据分析提供可视化报表和详细报告，为网络管理和优化提供决策依据。

可以帮助用户管理员工使用互联网行为的管理，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

深信服是上网行为管理产品品类的创始者，在2005年最早开创了上网行为管理的市场；深信服上网行为管理获得了多项产品专利技术和媒体奖项，已服务于1万多多家客户，受到了市场的一致认可；自2009年以来在其市场占有率一直排在第一的位置。

AC上网行为管理方案一、背景与意义当前，互联网的快速发展已经成为人们生活和工作中不可或缺的一部分。

互联网作为一种广泛使用的媒介，不仅为人们提供了大量的信息资源，也为人们的学习、工作和娱乐提供了便利。

然而，一些不良的上网行为也随之而来，如网络游戏沉迷、不良信息获取与传播、网络欺凌等。

为了营造一个良好的网络环境，学校亟需制定一项科学、合理、有效的AC上网行为管理方案。

二、目标与原则1.目标：倡导健康、积极的上网行为，培养学生良好的网络素养，减少不良的上网行为对学生健康成长的负面影响。

2.原则：a.全面性原则：管理方案应涵盖所有学生的上网行为，并对所有不良行为进行管理。

b.学生主体性原则：通过引导和教育，培养学生自觉遵守网络行为规范。

c.公平性原则：对学生进行公平的管理与处罚，保证程序的公正性。

d.管理与教育相结合原则：不仅要进行上网行为管理，还要通过教育学生正确的网络使用方式，提高他们的网络素养。

三、具体措施1.制定网络行为规范a.禁止通过AC上网参与非法的、有害的活动。

b.禁止使用AC上网传播谣言、歧视、恶意攻击等不良信息。

c.强调对个人隐私和版权的尊重，不做侵犯他人的行为。

d.鼓励学生通过AC上网参与有益的活动，如学习、交流、分享。

2.安装网络过滤软件为了防止不良信息传播，学校可以安装网络过滤软件，对AC上网进行实时监控和过滤，屏蔽非法、有害的信息，以确保网络环境的健康和安全。

3.提供网络素养教育a.在课堂中加入网络素养的教育内容，教导学生如何正确使用互联网。

b.开展网络安全教育活动，教授学生减少网络风险和威胁的方法和技巧。

c.邀请专家进行网络素养讲座，增加学生对网络问题的认知和了解。

4.强化管理措施a.学校建立网络行为管理小组，负责学生AC上网行为的监督与管理。

b.制定详细的规章制度，规定学生在AC上网活动中的行为规范。

c.配备专职网络管理员，负责监测学生上网行为，及时发现并处理不良行为。

d.建立网络举报机制，鼓励学生主动向管理小组举报不良信息和行为。

AC有线无线统一上网行为管理方案4第2页图四深信服应用特征识别库3.非法无线热点及时发现和精准控制通过移动APP识别技术、系统检测技术、HTTP协议分析技术等多种识别技术组合方案，能够秒级发现非法Wi-Fi热点，将内网管理风险降到最低。

支持白名单功能，能够把信任的用户或IP添加到信任列表，保障合法热点的正常使用，业务不中断。

针对非法热点，能够选择是否封堵，满足不同程度的控制需求；发现非法热点之后，支持发送邮件给管理员进行告警，以便管理员尽早掌握网络状态，及时处理网络事件。

4.五维一体的识别与权限控制深信服有线无线统一上网行为管理方案能够基于位置、应用、终端、用户、SSID 五个维度进行权限划分，满足各种场景需求：比如会议室和办公区需要区分上网权限；比如不允许非工作相关的PC应用、网站、移动APP在内网使用；比如不允许andriod系统的移动终端接入内网；比如对不同分组的用户使用不同的上网权限；比如对于接入访客SSID的客户只允许访问互联网，不允许访问内网等。

通过多种维度权限划分，达到最低权限的管理原则，保证内网的安全可控。

第四章Sangfor AC其他优势功能介绍1.上网行为管控更有效：上网应用识别更有效、管控更精细1.应用识别种类更多（2000多种应用，600多种移动应用）、时效性更强（2周更新及时淘汰）、准确度更高（迅雷、PPStream、风行等全流量识别）2.应用控制更精细，区分动作（如社交网站的浏览、发帖回帖、上传）、区分方向（如网盘的上传，下载）3.应用行为标签化管理，策略部署更简单、无遗漏2.上网行为管控更有效：流量管理更精准、控制保障两不误1.精确控制P2P上下行流量，带宽利用率提高30%2.流量管理策略更灵活，呈现更直观（能够针对URL类型、文件类型做流控，通道流量实时可视化以及细粒度的可视化报表）3.动态流控，突破限制上限，不浪费带宽3.上网行为管控更有效：外发数据识别更精确，真正防泄密1.多种外发途径的有效管控（网盘上传附件控制、论坛上传附件控制、邮件外发附件审计与控制、IM外发文件控制等）2.SSL加密内容识别与控制（邮件客户端收发加密邮件、加密论坛审计等）AC有线无线统一上网行为管理方案4 有线无线统一上网行为管理解决方案斯奈瑞科技有限公司2016年5月目录第一章项目背景(1)第二章项目需求分析(1)第三章推荐解决方案(1)1.推荐方案(1)2.部署说明(2)3.推荐解决方案说明(2)第四章Sangfor AC其他优势功能介绍(5)第一章项目背景XX酒店目前主要分为住宿区域和公共区域，用的是aruba的无线解决方案，如今客户提出这两个区域的认证要做到区别认证，因住宿区客人停留时间较长，想通过微信认证来增加用户的粘性，方便后期的运营；公共区域访客驻留时间较短，所以想通过不认证或者简单的用户名密码认证的方式，方便用户上网，增加用户体验；同时酒店员工的有线上网行为也需要管理。

银行Wifi上网行为审计方案一、无线wifi的安全审计功能人员通过银行wifi访问互联网信息，如果向互联网发布一些过激言论、反动信息等，不仅会对银行形象产生负面影响，甚至如果触犯了国家的法律招致有关部门的调查，还会牵连面临法律风险，因此，必须对用户的上网行为进行管理并审计风险行为，以便有据可查。

上网行为管理产品，能为用户提供专业的用户管理、应用控制、网站过滤、内容审计、流量管理和行为分析等功能。

可以帮助客户达成上网行为可视、减少安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等等实用功能。

通过选用通过公安部安全审计入围设备，结合中国电信综合信息服务提供商在网络接入与安全的专业技术优势，提供安全接入综合解决方案，合理配置安全策略，提供可视化管理工具，用户行为分析等应用功能，为银行提供用户wifi 接入安全审计，满足互联网上网规范，同时可以满足银行业务的营销分析需求。

上网行为管理设备功能列表如下：二、上网行为管理部署可选方案AC工作模式有两种：一种是集中管理，集中转发。

即所有AP的管理数据流和终端的业务数据流都需要由AC来转发；另外一种是集中管理，分布转发。

即所有AP的管理数据流由AC转发，而业务数据流则在部署在本地的三层设备转发。

方案一：AC的工作模式设置为集中管理，集中转发。

上网行为管理设备可部署在2个位置，汇聚出口或者AC与核心交换机之间。

可根据设备的多少选择部署上网行为设备管理平台和专用的上网行为管理日志服务器，以便于管理。

图示如下：1、选择上网行为管理设备部署在AC与核心交换机之间，那么可根据用户数量的增长，相应的扩容行为管理设备，不会造成投资浪费，同时安全性相对较高。

2、选择上网行为管理设备部署在上网出口，那么需评估总体用户数量，设备性能需能够支撑未来的用户增长。

方案优点：网络结构简单，上网行为管理设备部署集中，管理维护方便。

缺点：出口汇聚流量过于集中，出口带宽成本高，地市分行无直接管理权限。

无线wifi上网行为管理方案final1.9.docx银行Wifi上网行为审计方案一、无线wifi的安全审计功能人员通过银行wifi访问互联网信息，如果向互联网发布一些过激言论、反动信息等，不仅会对银行形象产生负面影响，甚至如果触犯了国家的法律招致有关部门的调查，还会牵连面临法律风险，因此，必须对用户的上网行为进行管理并审计风险行为，以便有据可查。

上网行为管理产品，能为用户提供专业的用户管理、应用控制、网站过滤、内容审计、流量管理和行为分析等功能。

可以帮助客户达成上网行为可视、减少安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等等实用功能。

通过选用通过公安部安全审计入围设备，结合中国电信综合信息服务提供商在网络接入与安全的专业技术优势，提供安全接入综合解决方案，合理配置安全策略，提供可视化管理工具，用户行为分析等应用功能，为银行提供用户wifi 接入安全审计，满足互联网上网规范，同时可以满足银行业务的营销分析需求。

上网行为管理设备功能列表如下：二、上网行为管理部署可选方案AC工作模式有两种：一种是集中管理，集中转发。

即所有AP的管理数据流和终端的业务数据流都需要由AC来转发；另外一种是集中管理，分布转发。

即所有AP的管理数据流由AC转发，而业务数据流则在部署在本地的三层设备转发。

方案一：AC的工作模式设置为集中管理，集中转发。

上网行为管理设备可部署在2个位置，汇聚出口或者AC与核心交换机之间。

可根据设备的多少选择部署上网行为设备管理平台和专用的上网行为管理日志服务器，以便于管理。

图示如下：1、选择上网行为管理设备部署在AC与核心交换机之间，那么可根据用户数量的增长，相应的扩容行为管理设备，不会造成投资浪费，同时安全性相对较高。

2、选择上网行为管理设备部署在上网出口，那么需评估总体用户数量，设备性能需能够支撑未来的用户增长。

方案优点：网络结构简单，上网行为管理设备部署集中，管理维护方便。

上网行为管理解决方案1上网行为管理解决方案一．上网行为管理产品产生的背景在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：1.与工作无关的P2P 和在线视频等应用占用带宽2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。

3.员工随意在网络上发帖和传输文件导致机密泄露4.员工上网容易受到病毒、木马和蠕虫等攻击和感染5.员工通过网络从事一些黄赌毒等违法活动6.员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题，上网行为管理产品应运而生。

二．上网行为管理产品给用户带来的价值上网行为管理产品带来了全面的互联网行为管理解决方案。

在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值：1．应用控制和URL过滤：企业或者组织接入互联网的带宽一般非常有限。

当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。

该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。

通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。

URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。

URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

2．流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。

上⽹⾏为管理解决⽅案-1（详细版）XX公司上⽹⾏为管理解决⽅案XXXXXXXXXXX有限公司2020年⽬录⽬录 (2)⼀、XX介绍 (4)1.1公司简介 (4)1.2产品简介 (4)1.3资质认证 (5)1.4产品荣誉 (5)⼆、上⽹⾏为管理– XX⾏业信息安全新视⾓ (5)2.1XX⾏业信息安全建设⾯临的问题 (5)2.2对员⼯上⽹⾏为进⾏规范管理势在必⾏ (7)三、XX集团公司互联⽹访问管理需求分析 (7)3.1 项⽬背景 (7)3.2需求分析 (7)四、 XX集团互联⽹访问管理⽅案设计理论依据 (9)4.1基于ISO/IEC 17799信息安全管理标准 (9)4.2主体管理技术理念 (9)4.3 主体管理构架于真实的组织结构之上 (9)4.4 基于⾏为后果的搜索引擎技术分类⽹址库 (10)4.5 细粒度树形协议分类库 (10)4.6 流⾏的五元组⽅式的策略定义 (10)4.7 DPT,DST技术 (10)4.8 持续的、可学习的本地更新技术 (10)4.9 安全基础的PPDR理念 (11)五、 XX集团上⽹⾏为管理解决⽅案和技术实现 (11)5.1 整体解决⽅案 (11)5.1 总部ICG部署的⽹络拓扑 (12)5.2 分公司ICG部署的⽹络拓扑 (12)5.3 NSICG的技术实现介绍 (12)5.3.1可靠⾼效的硬件系统和智能容错旁路技术 (12)5.3.2灵活安全的设备管理⽅式 (13)5.3.3专业级的应⽤识别和分类，层次清晰的结构化管理 (13)5.2.4迅速准确的协议跟踪识别 (13)5.3.5细致的⽤户组织结构管理 (13)5.3.6XX灵活精细的带宽管理策略 (14)5.3.7异常流量防护报警，保障出⼝线路的稳定 (14)5.3.8先进的内容过滤技术，构建⽂明健康的企业⽹络 (15)5.3.9外发信息控制管理 (16)5.3.10强⼤的内置流量分析和⾏为统计报告 (16)六、产品规范 (16)6.1产品指标规范 (16)6.2系统结构图： (16)七、项⽬实施管理 (17)⼋、产品部署⽅案 (18)8.1设备上线安装步骤 (18)8.2 设备IP、路由说明，地址分配说明 (18)8.3互联⽹访问管理部署 (18)8.4设备可⽤性测试 (19)8.5风险分析及回退 (19)8.6变更实施⼈员⼯作分⼯ (19)8.7使⽤期间的维护 (19)8.8部署完毕后守局并制作使⽤报告 (19)九、重点功能实现⽅案细则 (19)9.1⽤户⾝份鉴别及帐户的管理 (19)9.2互联⽹访问提速⽅案 (20)⼗、典型客户 (21)10.1、典型客户案例 (21)10.2、典型客户列表 (24)⼀、XX介绍1.1公司简介北京XX科技有限公司是互联⽹控制管理领域的先⾏者，致⼒于研究如何帮助⼴⼤⽤户更好地控制和管理对互联⽹的使⽤。

AC上网行为管理方案一、背景随着信息技术的发展，计算机已经成为现代社会和学校不可或缺的一部分。

互联网给人们的学习、工作和娱乐带来了很大的便利，但同时也存在着许多问题。

特别是在校园网络环境中，学生上网行为的管理成为了一个非常重要的任务。

为了提供一个健康、安全、有秩序的网络环境，本文将对AC上网行为进行管理方案的设计与实施进行探讨。

二、目标1.提供一个健康、安全、有秩序的网络环境，保护学生的身心健康；2.保障学生网络使用的合法性和规范性；3.促进学生自主学习，提高学习兴趣和效果；4.培养学生正确的网络使用意识和道德观念；5.加强学校与家庭的合作，共同管理学生上网行为。

三、管理方案1.加强师生宣传教育学校应对师生进行有关网络安全与合理使用的宣传教育，包括网络中毒的危害、不良信息的识别和屏蔽、网络行为的规范等方面的教育。

通过讲座、讨论会、宣传栏等方式，提高师生对网络安全和合理使用的认识和意识。

2.规范网络使用规定学校应制定严格的网络使用规定，明确学生在校园内使用网络的权利和义务。

规定包括学生对网络资源的合理使用时间、不得浏览含有不良信息的网站、不得侵犯他人网络隐私等。

学校可以组织网络行为规范的考试，对达标的学生给予奖励，并对违反规定的学生进行相应的处罚。

3.安装上网监控设备学校应安装上网监控设备对学生上网行为进行监控，确保网络使用的合法性和规范性。

监控设备可以通过日志记录学生上网行为，包括访问的网站、时间、时长等信息，以便管理人员对学生上网行为进行检查和分析。

4.提供健康网络资源学校应提供丰富、有质量的网络资源，为学生提供健康、安全的网络环境。

在校园网中，学校可以设立相应的网站导航、知识平台，为学生提供学习资料、教学视频、学科竞赛等资源，以满足学生在学习和娱乐方面的需求。

5.加强与家庭的沟通和合作学校应与家庭共同管理学生上网行为，通过家长会、家长研讨会等形式，加强师生家长的沟通和合作。

学校可以向家长介绍学校的网络安全管理方案，帮助家长正确引导学生合理使用网络，并提供网络安全知识的培训。

_上网行为管理测试方案1上网行为管理测试方案目录第1章功能测试汇总................................................................................................. i v 第2章功能测试用例................................................................................................. v i2.1 部署模式......................................................................................................... v i2.1.1 旁路模式............................................................................................... v i2.1.2 多路桥接.............................................................................................. v ii2.2 用户识别测试................................................................................................ v ii2.2.1 三层IP/MAC绑定.............................................................................. v ii2.2.2 USB-Key认证..................................................................................... v iii2.2.3 AD单点登录....................................................................................... v iii2.2.4 域帐号登录........................................................................................... i x2.2.5 指定IP段用户必须使用单点登录..................................................... i x2.2.6 AD域认证及其单点登录(x)2.2.7 未创建账号用户的认证(x)2.2.8 未通过用户的处理............................................................................... x i2.2.9 从AD服务器读取用户组织结构....................................................... x i2.2.10 用户组织结构与AD的自动同步.................................................... x ii2.2.11 冻结用户管理.................................................................................... x ii2.2.12 管理员分级管理................................................................................ x ii2.3 终端识别测试............................................................................................... x iii2.3.1 终端操作系统补丁识别..................................................................... x iii2.3.2 对注册表键值的识别......................................................................... x iv2.3.3 对硬盘文件的检查和识别................................................................. x iv2.3.4 识别终端的进程(xv)2.3.5 多条准入规则的与/或(xv)2.4 应用识别测试............................................................................................... x vi2.4.1 SSL网址识别与封堵.......................................................................... x vi2.4.2 非80端口网页访问行为的识别....................................................... x vi2.4.3 搜索引擎输入关键字的过滤............................................................ x vii2.4.4 网页正文关键字识别和过滤............................................................ x vii2.4.5 禁止QQ传文件、封堵QQ登录和记录QQ聊天内容............... x viii2.4.6 封堵移动飞信的使用....................................................................... x viii2.4.73.4.7 Skype的封堵及聊天内容监控................................................ x viii2.4.8 不常见P2P软件的识别和封堵........................................................ x ix2.4.9 新浪视频的识别与封堵..................................................................... x ix2.4.10 网页智能学习与分类(xx)2.4.11 基于特征的外发文件识别和告警(xx)2.4.12 URL地址的动作过滤....................................................................... x xi2.4.13 目标域名免控制............................................................................... x xi2.4.14 虎通语音视频、UuCall语音视频................................................. x xii 2.5 上网策略管理.............................................................................................. x xii2.5.1 上网时长控制.................................................................................... x xii2.5.2 子组支持继承父组的上网策略....................................................... x xiii2.5.3 组从父组强制继承的上网策略将不能修改、删除、绕过........... x xiii 2.6 流量管理功能测试..................................................................................... x xiv2.6.1 基于应用类型的流控....................................................................... x xiv2.6.2 基于文件类型的流控....................................................................... x xiv2.6.3 于网站类型的流控(xxv)2.6.4 Wan->lan的流控(xxv)2.6.5 以公网IP为用户的带宽划分与分配............................................. x xvi 2.7 邮件过滤与审计......................................................................................... x xvi2.7.1 根据发件人地址进行邮件过滤...................................................... x xvii2.7.2 仅允许指定后缀的邮件地址发送邮件.......................................... x xvii2.7.3 过滤含有指定关键字的邮件......................................................... x xviii2.7.4 过滤含有指定类型附件的邮件..................................................... x xviii2.7.5 根据收件人地址对邮件进行延迟审计........................................... x xix2.7.6 根据外发邮件大小、附件个数及邮件标题和内容所含的指定关键字延迟审计 (x)xix 2.8 行为记录与审计(xxx)2.8.1 管理员分级审计用户日志(xxx)2.8.2 记录被访问网页的网页标题........................................................... x xxi2.8.3 记录含有指定关键字的网页内容................................................... x xxi2.8.4 非TCP 21端口行为的识别和记录............................................... x xxii2.8.5 QQ聊天内容记录............................................................................ x xxii2.8.6 kype聊天内容记录.......................................................................... x xxii2.8.7 MSNShell聊天内容记录................................................................ x xxiii2.8.8 时间审计......................................................................................... x xxiii2.8.9 Webmail附件的记录和审计.......................................................... x xxiv2.8.10 WAN->LAN行为审计.................................................................. x xxiv2.8.113.8.11数据中心认证key测试(xxxv)2.8.12 内容检索功能测试(xxxv)2.8.13 主题订阅功能测试....................................................................... x xxvi2.8.14 基于硬件方式的免审计功能....................................................... x xxvi2.8.15 对比报表功能测试...................................................................... x xxvii2.8.16 将报表、统计等自定义成链接功能.......................................... x xxvii 2.9 网络可靠性、可用性保障能力............................................................. x xxviii2.9.1 防火墙功能................................................................................... x xxviii2.9.2 ARP欺骗防护功能....................................................................... x xxviii2.9.3 防DOS攻击功能........................................................................... x xxix第1章功能测试汇总测试项目测试分项测试结果备注部署模式旁路部署满足不满足多路桥接满足不满足用户认证与管理三层网络环境中无插件实现IP-MAC绑定满足不满足USB-Key认证满足不满足无需客户端软件的AD单点登录满足不满足指定IP段用户必须使用单点登录满足不满足未创建账号用户的认证满足不满足认证未通过用户的处理满足不满足从AD服务器读取用户组织结构满足不满足用户组织结构与AD的自动同步满足不满足冻结用户及管理满足不满足管理员分级管理满足不满足终端识别终端操作系统补丁识别满足不满足对注册表键值的识别满足不满足对硬盘文件的检查和识别满足不满足识别终端的进程满足不满足多条规则关系或/与满足不满足应用控制SSL加密网址的识别与封堵满足不满足非80端口网页访问行为的识别满足不满足搜索引擎输入关键字的过滤满足不满足网页智能学习与分类满足不满足基于特征的外发文件识别和告警满足不满足URL地址的动作过滤满足不满足网页正文关键字识别和过滤满足不满足禁止QQ传文件、封堵QQ登录和记录QQ聊天内容满足不满足识别和控制移动飞信的使用满足不满足Skype的封堵及聊天内容监控满足不满足不常见P2P软件的识别和封堵满足不满足语音视频识别满足不满足目标域名免控制满足不满足新浪视频的识别与封堵满足不满足上网策略管理上网时长控制满足不满足子组支持继承父组的上网策略满足不满足子组从父组强制继承的上网策略将不能修改、删除、绕过满足不满足流量管理基于应用类型的流控满足不满足基于文件类型的流控满足不满足基于网站类型的流控满足不满足_上网行为管理测试方案1第2页Wan->lan的流控满足不满足以公网IP为用户的带宽划分与分配满足不满足邮件过滤与审计根据发件人地址进行邮件过滤满足不满足仅允许指定后缀的邮件地址发送邮件满足不满足过滤含有指定关键字的邮件满足不满足过滤含有指定类型附件的邮件满足不满足根据收件人地址对邮件进行延迟审计满足不满足根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计满足不满足应用审计与报表管理员分级审计用户日志满足不满足记录被访问网页的网页标题满足不满足记录含有指定关键字的网页内容满足不满足非TCP 21端口行为的识别和记录满足不满足QQ聊天内容记录满足不满足Skype聊天内容记录满足不满足MSNShell聊天内容记录满足不满足时间审计满足不满足Webmail附件的记录和审计满足不满足WAN->LAN行为审计满足不满足数据中心认证key测试满足不满足内容检索功能测试满足不满足主题订阅功能测试满足不满足基于硬件方式的免审计功能满足不满足对比报表功能测试满足不满足将报表、统计等自定义成链接测试满足不满足网络可靠、可用的保障能力防火墙功能满足不满足ARP欺骗防护功能满足不满足防DOS攻击功能满足不满足第2章功能测试用例2.1部署模式被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式，才能够更加完善的满足客户复杂的网络环境。