1、辦公網(wǎng)面臨的問題
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企事業(yè)單位越來越多地依賴于IT系統(tǒng)作為其日常業(yè)務(wù)的支撐平臺(tái),如OA、ERP、CRM等業(yè)務(wù)系統(tǒng),而這些相關(guān)的業(yè)務(wù)系統(tǒng)無一不需要以網(wǎng)絡(luò)作為其業(yè)務(wù)的基礎(chǔ)平臺(tái)。
但是由于網(wǎng)絡(luò)承載內(nèi)容變得日益復(fù)雜和多元化,網(wǎng)絡(luò)流量日益增加,帶寬出口瓶頸日益嚴(yán)重。大量非業(yè)務(wù)資源的訪問(P2P下載、在線影音)、超大文件的傳輸、上傳、下載,不僅嚴(yán)重浪費(fèi)寶貴的帶寬資源,造成關(guān)鍵業(yè)務(wù)應(yīng)用訪問遲緩,同時(shí)無形中增加了IT維護(hù)成本。
1.1帶寬濫用
辦公網(wǎng)內(nèi)部構(gòu)成是局域網(wǎng)。有共同的廣播域和互聯(lián)網(wǎng)網(wǎng)關(guān)。由于網(wǎng)絡(luò)帶寬資源日趨緊張。帶寬惡性濫用現(xiàn)象嚴(yán)重。
圖1是通過網(wǎng)絡(luò)監(jiān)測設(shè)備抓取的我院24小時(shí)下行流量圖。從圖1可見,11:00-17:00,整個(gè)網(wǎng)絡(luò)下行帶寬被完全耗盡(該例中網(wǎng)絡(luò)帶寬出口上限是20Mbps),其中P2P下載及網(wǎng)絡(luò)電視占據(jù)了絕大多數(shù)帶寬。而當(dāng)帶寬被耗盡時(shí),新發(fā)起網(wǎng)絡(luò)會(huì)話申請(qǐng)會(huì)被無限期延遲,所以給用戶造成網(wǎng)絡(luò)中斷的感覺。
圖2揭示了整個(gè)辦公網(wǎng)的流量概況。從中可以看出僅P2P下載及網(wǎng)絡(luò)電視兩項(xiàng)就占據(jù)了86.75%的帶寬,屬于典型的帶寬濫用。
1.2安全防護(hù)不足
許多辦公網(wǎng)除了網(wǎng)絡(luò)層防火墻外.沒有足夠的網(wǎng)絡(luò)安全設(shè)施。比如IPS入侵防御系統(tǒng)或應(yīng)用層的上網(wǎng)行為管理產(chǎn)品等,所以不能構(gòu)成較完整的網(wǎng)絡(luò)安全防護(hù)架構(gòu)。而不規(guī)范的互聯(lián)網(wǎng)訪問、郵箱附件下載、IM聊天應(yīng)用等,經(jīng)常會(huì)給內(nèi)網(wǎng)帶來病毒、木馬等,危害辦公網(wǎng)的安全。許多病毒、木馬等惡意軟件選擇了互聯(lián)網(wǎng)中的Web網(wǎng)頁作為藏身之地,當(dāng)員工在瀏覽這些問題網(wǎng)頁時(shí),因?yàn)橄到y(tǒng)的漏洞,某些不明插件會(huì)神不知鬼不覺地侵入員工的個(gè)人計(jì)算機(jī)系統(tǒng),導(dǎo)致病毒木馬爆發(fā)。然后通過單位的內(nèi)部網(wǎng)進(jìn)一步傳播和蔓延。
1.3網(wǎng)絡(luò)不可見
如果缺少必要的網(wǎng)絡(luò)安全設(shè)備,則網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)不可視,無法進(jìn)行控制和管理,無法對(duì)網(wǎng)絡(luò)進(jìn)行分析總結(jié),網(wǎng)絡(luò)處于不可控的狀態(tài)且無依據(jù)可循。如辦公網(wǎng)內(nèi)未經(jīng)允許私自架設(shè)無線路由器和修改IP地址時(shí)有發(fā)生,沒有相應(yīng)的科技手段加以管理制約。
因此,如何洞悉、管理、優(yōu)化網(wǎng)絡(luò)帶寬成為各企事業(yè)單位IT運(yùn)營的首要前提,一個(gè)可視、可靠、可持續(xù)運(yùn)營的網(wǎng)絡(luò)系統(tǒng)是保障日常辦公管理正常開展的關(guān)鍵要素。制定一套全面的網(wǎng)絡(luò)行為管理和帶寬管理專業(yè)解決方案勢在必行。
2、選擇合適的網(wǎng)絡(luò)安全設(shè)備
2.1常見網(wǎng)絡(luò)安全設(shè)備的技術(shù)特性
目前廣泛使用的網(wǎng)絡(luò)安全設(shè)備有防火墻、IPS入侵防御系統(tǒng)和上網(wǎng)行為管理產(chǎn)品等,各自具有不同的技術(shù)特性。
2.1.1防火墻
防火墻是內(nèi)部網(wǎng)與外部網(wǎng)之間的一道保護(hù)屏障,能夠保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻的主要功能是提供網(wǎng)絡(luò)安全屏障、強(qiáng)化網(wǎng)絡(luò)安全策略、監(jiān)控網(wǎng)絡(luò)存取和訪問、防止內(nèi)部信息外泄等。
2.1.2 IPS入侵防御系統(tǒng)
能夠提供入侵防護(hù),實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、DDoS等惡意流量.保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害;能夠提供WEB安全。基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測結(jié)果,結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù),保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害,及時(shí)、有效地第一時(shí)間攔截Web威脅;能夠進(jìn)行流量控制。阻斷一切非授權(quán)用戶流量,管理合法網(wǎng)絡(luò)資源的利用,有效保證關(guān)鍵應(yīng)用全天候暢通無阻;能夠提供上網(wǎng)監(jiān)管,全面監(jiān)測和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻,以及在線炒股等網(wǎng)絡(luò)行為,協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量。更好地執(zhí)行企業(yè)的安全策略。
2.1.3上網(wǎng)行為管理產(chǎn)品
上網(wǎng)行為管理是由中國本土安全廠商逐步定義的全新網(wǎng)絡(luò)應(yīng)用層產(chǎn)品,也有的稱之為互聯(lián)網(wǎng)控制網(wǎng)關(guān)設(shè)備,能夠幫助互聯(lián)網(wǎng)用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用。包括對(duì)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析等功能。
2.2網(wǎng)絡(luò)安全設(shè)備的功能定位和比較
防火墻的種類很多,從入門級(jí)到專業(yè)級(jí)、企業(yè)級(jí)不一而足,價(jià)格也相差很大,有的路由器設(shè)備自身也帶有防火墻。功能越強(qiáng)大的防火墻,購買及更新費(fèi)用也越高。
IPS入侵防御系統(tǒng)功能強(qiáng)大,甚至兼具了防火墻、防毒墻、上網(wǎng)行為管理的功能,適用于大中型企業(yè)、信息防護(hù)要求高的客戶。如用在小型辦公網(wǎng)。則投資與潛在風(fēng)險(xiǎn)危害不成比例,性價(jià)比不高。
上網(wǎng)行為管理是基于應(yīng)用層管理的產(chǎn)品。它可以根據(jù)應(yīng)用協(xié)議庫分析應(yīng)用程序,將用戶需要管理的應(yīng)用程序很好的管理起來,讓用戶安全綠色上網(wǎng)。防火墻主要是從網(wǎng)絡(luò)層來控制安全,基于端口和IP地址進(jìn)行過濾。目前很多上網(wǎng)行為管理的產(chǎn)品比相同等級(jí)的防火墻價(jià)位要相對(duì)更低一些。更適用于中小企業(yè)、學(xué)校、醫(yī)院等客戶。因此成為辦公網(wǎng)實(shí)施行為管理和帶寬管理的最佳選擇。
3、制定行為管理和帶寬管理的策略組合
選擇了合適的上網(wǎng)行為管理設(shè)備之后,還需要根據(jù)辦公網(wǎng)的網(wǎng)絡(luò)環(huán)境,選擇合適的網(wǎng)絡(luò)部署模式。配置上網(wǎng)行為管理系統(tǒng)網(wǎng)關(guān)設(shè)備,并根據(jù)網(wǎng)絡(luò)環(huán)境和客戶需求的不同,制定綜合管理策略組合。
同時(shí)結(jié)合Web管理界面,實(shí)現(xiàn)單位內(nèi)部局域網(wǎng)上網(wǎng)行為管理平臺(tái)的集成,構(gòu)建完整的上網(wǎng)行為管理體系。
以我院辦公網(wǎng)為例。我們從完善用戶管理、控制上兩行為、合理配置資源的角度出發(fā),經(jīng)過反復(fù)實(shí)驗(yàn)論證和細(xì)致調(diào)整,制定了如下管理策略。
3.1流量管理策略
3.1.1 P2P下載限制:包括P2P影音、P2P下載等應(yīng)用,將下載帶寬設(shè)定為最大下載速率6Mbps。
3.1.2網(wǎng)頁視頻限制:包括各種網(wǎng)頁視頻應(yīng)用.將下載帶寬設(shè)定為最大下載速率1 0Mbps。由于網(wǎng)頁視頻也包括了網(wǎng)絡(luò)教學(xué)視頻在內(nèi),并且對(duì)帶寬占用比較均勻。所以限制可放寬。
3.1.3網(wǎng)頁訪問優(yōu)先保障:包括普通HTTP,HTTP腳本文件下載,HTTP動(dòng)態(tài)頁面文件下載等應(yīng)用.將下載帶寬設(shè)定為最小下載速率3Mbps,最大下載速率20Mbps。由于瀏覽網(wǎng)頁屬于最常用.并且和辦公密切相關(guān)的應(yīng)用,所以應(yīng)當(dāng)優(yōu)先保障其應(yīng)用。這里配置的策略相當(dāng)于給瀏覽網(wǎng)頁單獨(dú)劃出3M帶寬通道,無論是否使用,這3M帶寬會(huì)被保留,能給用戶帶來流暢上網(wǎng)體驗(yàn)。
3.1.4網(wǎng)絡(luò)課堂優(yōu)先保障:包括RTMP等網(wǎng)絡(luò)課堂應(yīng)用,將下載帶寬設(shè)定為最小下載速率3Mbps,最大下載速率20Mlops。這條策略的設(shè)定與網(wǎng)頁保障相同,可以留出一定帶寬優(yōu)先保障其應(yīng)用,以滿足教職員工登錄網(wǎng)絡(luò)學(xué)院學(xué)習(xí)的需求。企業(yè)也可根據(jù)單位實(shí)際情況選擇與此類似的網(wǎng)絡(luò)會(huì)議保障、辦公OA保障等等,由此可以優(yōu)化網(wǎng)絡(luò)資源配置。
3.2用戶管理策略
3.2.1并發(fā)連接數(shù)限制:設(shè)定為3000以下。局域網(wǎng)內(nèi)并發(fā)連接數(shù)過高的用戶往往是中了病毒或木馬,不僅計(jì)算機(jī)運(yùn)行速度會(huì)變得很慢,也會(huì)影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。
3.2.2單個(gè)用戶帶寬限制:設(shè)定為單個(gè)用戶最高下載速率為3Mbps。這項(xiàng)策略是為了避免某個(gè)用戶占用過多資源。經(jīng)測試發(fā)現(xiàn)。在用戶數(shù)較多的辦公網(wǎng)內(nèi),單用戶最高下載速率略微提高則富余帶寬會(huì)迅速減少。由圖3可見辦公網(wǎng)內(nèi)曾同時(shí)有2位用戶下載速率達(dá)到上限。
3.2.3 IP地址管理:將IP地址分段管理并進(jìn)行MAC地址綁定。lP地址如果私自修改將無法上網(wǎng)。
3.3應(yīng)用控制管理
3.3.1網(wǎng)頁瀏覽限制:在網(wǎng)站分類列表中.直接將安全隱患、非法行為、低俗行為等網(wǎng)站進(jìn)行屏蔽。通過對(duì)不良信息的過濾。能夠保障信息安全,強(qiáng)化安全防范能力:
3.3.2木馬應(yīng)用限制:直接屏蔽帶有木馬特征的應(yīng)用。
4、部署上網(wǎng)行為管理設(shè)備的成效
4.1流量管控,提高了業(yè)務(wù)應(yīng)用系統(tǒng)的帶寬利用率
通過針對(duì)不同用戶和具體應(yīng)用進(jìn)行合理的帶寬劃分,為員工正常學(xué)習(xí)辦公提供了充足的帶寬.保障了相關(guān)部門業(yè)務(wù)應(yīng)用的帶寬需求。既防范了辦公網(wǎng)的帶寬濫用,又提升了帶寬利用效率。有效的流量管理,保障了正常的上網(wǎng)行為。
通過前述管理策略的組合,學(xué)院辦公網(wǎng)絡(luò)的運(yùn)行質(zhì)量得到了明顯提升。
從圖4可見,學(xué)院辦公網(wǎng)絡(luò)高峰時(shí)段下行流速被控制在上限的80%附近即16Mbps左右,顯示帶寬尚有富余。從圖5看,P2P下載(含迅雷)及網(wǎng)絡(luò)電視占比下降到了55%。
4.2帶寬統(tǒng)計(jì)和報(bào)表顯示,為lT管理決策提供依據(jù)
作為網(wǎng)絡(luò)安全設(shè)施建設(shè)的一部分.上網(wǎng)行為管理設(shè)備的部署,能為信息科技部門的IT管理決策提供科學(xué)依據(jù)。這類設(shè)備能對(duì)內(nèi)網(wǎng)用戶各種網(wǎng)絡(luò)行為進(jìn)行記錄、統(tǒng)計(jì)并形成圖形化報(bào)表,以便管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用情況。
4.3規(guī)范上網(wǎng)行為,提高員工工作效率
針對(duì)員工上班時(shí)間無關(guān)網(wǎng)頁瀏覽、IM聊天、在線炒股、網(wǎng)絡(luò)游戲等,可以進(jìn)行過濾、封堵、管理和引導(dǎo),規(guī)范員工的網(wǎng)絡(luò)應(yīng)用。提高工作效率,減少非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用對(duì)帶寬的擠占。
總之,辦公網(wǎng)上網(wǎng)行為管理的建設(shè)為單位提供了一個(gè)高效、規(guī)范和安全的互聯(lián)網(wǎng)環(huán)境。通過整體的安全解決方案來實(shí)現(xiàn)統(tǒng)一的用戶管理,在員工獲得更為高效的工作效率的同時(shí),還將促使單位向知識(shí)型、學(xué)習(xí)型發(fā)展。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:上網(wǎng)行為管理解決方案探討
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121513426.html