随着信息技术的发展,企事业单位内部业务办公网络组建和各项信息化系统的建设为企事业单位带来了更多的商业机会,极大地降低了运营和沟通成本,提升了工作和生产效率。同时,由于对网络访问缺乏必要的管理措施,组织的网络资源往往得不到有效利用,网络运行在无序的状态,并由此引发了一系列安全、效率和法律问题。
本文针对内部网络行为和互联网使用状况的无序现状提出了管理、优化和控制的思路,提供了一套行之有效的解决方案。本产品旨在帮助用户实现对核心网络资源的保护,规避不良行为带来网络运行混乱,优化网络运行结构,使网络有序运行,在有效提升组织工作效率的同时也使网络安全得到更好的保障、网络带宽资源得到合理的利用。
网络运行维护的难题
内部网络的运行维护也存在管理的困难,首先来历不明的笔记本等计算机在组织内部的网络上接入,给病毒、黑客软件的传播提供了途径,这些计算机也特别容易获取组织内部的文件资料。很多内部感染病毒或受黑客软件侵袭的计算机改用其它不存在的IP地址或网卡MAC地址向外部网络大量发送垃圾数据包或涉及内部信息的数据包,或广播数据包。
随着计算机和互联网的普及,员工有了更多的与工作无关的网上活动,网上购物、聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨等。只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣。敲击键盘和点击鼠标的声音显示了忙碌的表象,然而“忙碌”的背后却是低下的工作效率。在高度网络化的现代办公环境里,这样的镜头数不胜数,办公室已被沦落为舒适的网吧。
一项对中国的网络调查结果令人吃惊:在办公室中,和其他国家相比,中国员工每周多花7.6小时来使用聊天软件、玩游戏、P2P或在线媒体;中国员工上网下载音乐的时间比拉美高16%;上网进入聊天室和玩在线游戏两方面花费的时间分别比其他国家高约8%和12%;在同为发展中国家的印度,只有26%的员工在工作场合浏览个人信件,而在中国是60%!
员工沉迷在互联网带来的诱惑之中,组织的网络即被不断蚕食和破坏。中国的大多数企亊业单位网络出口带宽不超过10Mbps。
很多员工一打开电脑就会自觉地开始各种下载工作,包括BT、电骡、迅雷这些网络资源的“吞噬者“,这些员工在大量下载电影和软件的同时即在不停地抱怨网速太慢!同时,不管员工有意还是无意,他们都能够而且有办法去访问一些对组织网络基础设施有害的内容,通过Web访问、及时通讯工具和文件共享(Peer to Peer,P2P)带来的病毒、蠕虫和木马,都可以随着简单鼠标点击轻而易举的侵入内网。
组织核心资源的未授权传播同样令管理者痛心疾首,也就是我们经常提到的员工泄密行为,这在国内已有众多先例。由于互联网行为复杂且难以预料,无论是存心还是意外,一个居心叵测的员工和一个忠实可靠的干将都有可能将局域网内的重要资料泄露给第三方组织甚至竞争对手。
以上所提到的问题不是耸人听闻,而是实实在在地存在于每一个互联网络,也许你还没有意识到问题的严重性,那是因为亊态的发展还没有到达让你震惊的地步。
值得庆幸的是,越来越多务实、具备安全意识的管理者发现了问题所在,并希望通过有效而可靠的途径来实现对网络状况及员工的网络行为进行管理。大势至公司的“聚生网管系统”就是其中最具竞争力的解决方案。
聚生网管系统的价值
聚生网管(下载地址:http://www.grabsun.com/wangguan.html)是国内最早的专业网管软件之一。2004年底推出了聚生网管系统的第一个商用版本,经过长达七年的不断研发和实践积累,使得聚生网管系统已经成为国内最成熟、最受欢迎的的网管软件!聚生网管系统与国内其他网络管理软件截然不同,它不需要安装客户端、不需要交换机端口镜像、不需要安装HUB集线器、不需要架构代理服务器,也不需要调整现有的网络结构或者对网络设备做任何设置,只需要在局域网一台普通PC或者服务器部署就可以控制整个局域网所有电脑的所有上网行为(同时完全不受各种杀毒软件、一切防火墙的影响和干扰,各项网络管理、网络控制功能均可完全实现!);聚生网管系统核心功能是最有效控制P2P软件(尤其是可以完全禁止迅雷下载)、限制上网聊天、控制网页浏览、限制股票软件、限制网络游戏、限制上网带宽流量、记录邮件内容、防御ARP攻击、禁止代理上网、隔离外来电脑等方面,可以帮助企事业单位提供一站式、全方位的网络管理和网络监控;同时,聚生网管系统功能界面一目了然,所有功能点点鼠标就可以启用,不需要特定的计算机知识和专门的培训,是国内当前使用最简单的网管软件;此外,聚生网管系统多年坚持一次收费、永久使用(采用加密狗认证,可以随意带到其他地方使用)、永久免费升级的策略,极大地降低了用户的总体拥有成本,从而当之无愧成为国内性价比最高的网管软件。
总之,聚生网管系统凭借快捷方便的部署、强大实用的功能、精简易用的操作、超高的性价比,已经帮助帮助2万余家客户解决了网络管理中的各种难题,为中国企事业单位创造了巨大的网络管理收益,创造了中国企事业单位网络管理的传奇!
作为优秀的互联网控制管理设备及服务提供商,大势至公司以“三分技术,七分管理”为理念,为客户提供最先进的网络优化管理产品及服务,通过先进的技术手段,实现理想的管理效果,达成更加安全的网络建设目标。
我们从下面几个方面说明其给用户带来的价值。
规范上网行为保证工作效率
部署聚生网管系统,将帮助企业为员工创造更多的时间用于工作:
上网时间管理
弹性工作时间的制定让员工能够更合理地安排工作内容,让组织更有效率也更富人情味。同样,将员工每天接触互联网访问的时间也进行合理有序的安排,因此我们将员工时间分为工作时间和休闲时间,对工作时间设置控制策略,对休闲时间开放网络访问。
URL
匹配策略把影响工作效率的网站分为5级,分别是:
非法(★★★★★)、
严重影响工作效率(★★★★)、
影响工作效率(★★★)、
一般网站(★★)、
辅助工作网站(★),
基于分组的管理方法,可以让员工和部门在工作时间访问特定的网站,不同的单位可以根据自身特点进行设置,对工作有影响的网站可以选择阻塞。例如提供行业信息网站、合作伙伴链接和公司的门户网站,而其他未经允许的网页浏览都将是被拒绝。
管理各种应用
我们可以把各种应用分类为4种:
严重影响网络带宽和工作效率的应用(★★★★)
涉及泄密和严重影响工作效率的网络应用(★★★)
严重影响工作效率的网络应用(★★)
其它网络应用(★)。
对于聊天工具,封堵服务器地址最大的特色就是治标不治本,而且会浪费大量时间。我们通过对聊天工具网络访问规律和特征代码的深入分析,实现了对聊天工具的全面控制
提升安全性能
拦截不良网页
在一些貌似善良的网站背后可能隐藏着邪恶的病毒、木马、黑客、蠕虫...它们别有用意,会随着不经意间的访问悄悄攻占你的系统。
由于内部人员不安全的互联网访问,而造成的网络安全事故已经成为企业信息安全的最大黑洞,除了加强对外的防护外,还要加强对内的上网行为管理,内外兼治,才能达到更好的安全效果。
我们提供了URL 库也提供了使用者分享功能,同时用户也可以自定义需要拦截的URL,。通过对URL的阻拦,可大大地降低了内网用户对不良Web 页面的访问。
文件传输控制
HTTP下载和FTP下载经常会发生令你意想不到的惊讶。当你打开辛辛苦苦下载到本地的压缩包,却发现里面根本不是你需要的文件,然而你的电脑即在瞬间“毫无预兆”地瘫痪了。
将病毒和蠕虫潜入即时通讯软件也是黑客们非常热衷采用的手段,你的QQ、MSN 上的“好友”可能在不经意间将木马、钓鱼网站地址、间谍工具发送给你,再利用你传播给更多的人。当局域网中有人接受到恶意的文件,受伤的将不止他一个。
针对文件的传输,我们提供了更细致的解决方案。通过设置,你可以将文件类型、网络服务与IP地址组进行关联,再进一步实现细颗粒的控制策略来阻止有关的文件下载操作。
优化网络带宽
互联网已经成为很多业务必不可少的关键应用,但是BT、eMule、迅雷等P2P业务却强占有限的网络带宽资源,正常业务得不到应有的带宽保证。
惟有对占用带宽资源的网络应用进行分类管理,设定具体的带宽值,并设置好使用带宽资源的优先级,才能更合理的使用有限的带宽资源。
网络流量管理
本产品通过审计、控制、优化和带宽管理等功能,协助管理者全面分析和优化广域网带宽资源。
对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是疯狂的P2下载。同样,我们还可以了解到哪个员工在网上购物方面表现出了异常的活跃,哪些部门在上班时间观看了最多的在线影片。通过对网络使用情况的深入了解,管理者能够制定出最适合自身组织机构情况的互联网访问策略。
由于聚生网管系统提供对各种网络服务的拦截和管理,以往的拔网线、通报点名等强制性手段将成为过去。如何发挥优化聚生网管系统的强大功能只取决您的决心。如果你在“彻底封杀某个服务”,还是“完全放开”的决定中摇摆不定(例如P2P下载),你可以选择对应用的流量进行控制调整。
对每个用户同样能够进行带宽限制。基于用户的带宽分配,可以根据不同用户的带宽需求分配不同的带宽等级。
P2P
软件的带宽管理我们提供从禁止P2P软件下载到限制其下载或上载带宽到任意值的强大管理功能。
P2P 技术使人们可以高速获取海量网络资源,而P2P软件对带宽的占用也使其招致很多人厌恶。一个10M以太网出口的局域网,只要有2个以上的员工不限速地使用迅雷或BT,所有人的正常网络浏览都将成为不可完成的任务。
管理员可以彻底封锁所有的P2P流量。如果你不想做的太绝,你可以选择针对特定用户进行流量限制,只要不超出其他网络使用者的容忍程度,大多数用户还是可以允许内网中存在P2P下载。
带宽优化
QOS(网络服务质量)技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证。聚生网管系统同样采用了QOS 技术,对流经WAN和LAN的数据进行了优化处理,保证了重要服务的带宽。
信息安全管理为了加强对互联网的控制和管理,国务院、公安部、信息产业部、人大常委皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用做出控制和管理。
公安部发布《互联网安全保护技术措施规定》
信产部发布《互联网电子公告服务管理规定》
人大常委发布《未成年人保护法草案》
国务院发布《互联网信息服务管理办法》
员工在网上随意发表言论,有可能侵害了组织或国家的利益。面对政府强大的监管力度,企业的网络安全建设如何符合国家的各项管理规定?又如何从内部管理出发规避政治风险和法律风险?
随着互联网上的活动越演越烈,实时掌握互联网使用状况可以避免很多隐藏的风险。
网上活动审计
本系统将帮助企业掌握内部所有互联网活动,以便及时调整上网策略。
对所有用户的上网活动进行实时监控,并将每个人的上网记录保存。
对保存记录进行时间、地点、依据的查询功能,使得不良网络行为无法逃避责任。
支持可根据用户、时间段、流量、应用、Web访问等信息生成各种统计报表和图表,通过生成的统计数据可以实时调整内部上网策略。
具体功能说明大势至聚生网管系统的目标是全面管理和优化企业、政府或其它组织的网络。我们将相关需要管理和控制的功能分成五大类,即
1、信息监控
2、时间管理
3、WEB过滤
4、带宽管理
5、应用控制
信息监控
下面详细介绍信息监控方面的功能。
规划你的网络组织架构
如果你所在组织已经建立了完善的职能部门和成熟的决策流程,作为网络管理者,你也可以规划局域网的组织结构。在聚生网管系统中,我们建议你通过IP 组设置来实现。
首先你需要收集局域网中所有IP地址,然后再根据职能部门来划分用户组。同一个部门或密切相关的部门分配在一个组内,分配一个连续的IP子网。有些部门由于物理环境的限制无法分配连续的C类地址,但这不会影响本系统的使用,你可以该一个部门定义多个IP子网。对于某些不属于特定部门的人群,如不定期来办公室工作的股东、外来提供服务的合作单位人员,你可以另外给他们建组。
在后面你会发现,细致的准备会让你在突发亊件来临时应对自如。
聚生网管系统工作方式配置图
同时,在聚生网管系统的“总控制台”会实时输出各种拦截信息。如下图:
聚生网管的“总控制台”实时输出各种拦截信息
建立内部网络使用安全规则由于各种原因某些员工会把自己的IP地址该成领导的IP地址或其他员工的IP地址,甚至是没有使用的IP地址,病毒软件、黑客软件有时也以非本机的IP地址或MAC地址向其它机器和外部网络发送数据。另外来人员未经许可时也接入内部网络。
为了避免这些情况的发生,首先可以对主机的IP地址和网卡的MAC地址进行绑定,保证系统未经许可的计算机不能访问网络。大部分组织的主机IP地址是预先静态分配的,但也有一部分组织的主机IP地址是通过DHCP动态分配的,因此我们的系统支持2种IP-MAC地址绑定方式:静态IP-MAC绑定和动态IP-MAC地址绑定。
你可以选择手工添加的方式,增加绑定关系,点“手工添加绑定”,输入IP和MAC地址即可;重要的是,你可以点“获取IP-MAC关系”这样软件就会获取当前所有主机的IP-MAC对应关系,非常方便使用。
将局域网主机的IP-MAC绑定的情况下,局域网主机私自更改IP或者MAC后,禁止其访问外部网络,迫使其改回;如果你想绑定其修改后的IP或者MAC,则可以通过点“获取IP-MAC关系”来更新数据,直接覆盖即可;如果不覆盖,则维持以前的绑定关系,被控电脑必须改回原来的IP才可以上网。
启用聚生网管系统的IP和MAC地址绑定功能
启用聚生网管的IP和MAC地址绑定功能后,如果被控制电脑修改IP地址,则会收到聚生网管系统的警告。如下图:
了解网络流量聚生网管系统可以为不同的用户组进行不同的权限控制,将系统管理员设定的策略同用户相对应。简单地讲授权就是一组规则,这些规则决定了哪些用户可以访问哪些资源,以及这些用户可对这些资源执行哪些操作。
这些规则的制定主要从保护、控制和监督出发,并将这些规则和用户有机地联系在一起,进而形成一套完整的访问控制制策略。
当局域网中的用户通过了认证、授权后,你往往要面临严峻的广域网带宽使用问题。不要抱怨你的带宽永远不够,即使你拥有千兆的外部网络出口,广域网中传输的延时和其它原因也会让你的网络访问拥塞不堪。好的方法是可以考虑从自身的管理入手。
我们的产品提供统计分析工具,它可以记录局域网用户访问外部的所有流量,例如哪个时段有最多的人观看网络视频点播,哪些主机的广播数据包太多而不正常、哪些人员的P2P下载软件使用了大量带宽。根据这些数据统计以及各种图表,你可以立刻展开行动。
根据对网络访问日志记录的分析,您可以了解哪些人访问哪些网站,因而能对可访问的网站进行管理。
聚生网管监控日志之网址日志
聚生网管监控日志之网络应用日志
聚生网管系统监控日志之日流量日志
例如,通过统计分析工具对组或个别主机流量进行统计,你发现工作内容和Internet 并不怎么相关的财务部却占用了广域网50%的总流量,而财务部门的机器只是局域网全部计算机数量的3%,那么你就有必要深入调查一下了。你可以查询一下财务部中哪些服务务占用了最多的带宽,Web 浏览、游戏、视频还是P2P下载共享。如果资源大户是P2P下载共享,那么你可以进一步查询财务部中是哪个人使用了最多的P2P下载共享,是在哪一时间段使用的。
如果他的P2P下载都发生在上午9 点到12 点和下午2 点到5点的工作时段,那么你就可以采取进一步的措施了:
1.限制这个员工的网络权限,禁止其P2P下载;
2.为他设定网络使用时间,既然他对互联网充满了兴趣,不妨把活动安排在下班时间;
3.限制他的P2P下载和上载流量,让他可以照常使用P2P,但只能使用有限的速度来下载。
图:聚生网管系统禁止P2P下载、禁止P2P视频、屏蔽在线视频截图
审计随着互联网上的信息越来越丰富、应用越来越广泛,实时掌握企业员工互联网使用状况可以避免很多隐藏的风险。通过大势至聚生网管系统,您可以制定精细化的互联网活动审计策略,实时掌握互联网使用状况,防患与未然,减少风险的发生。
具备对在线用户状态、网络应用、带宽使用情况等进行实时监控。
具备对Web访问、外发信息的URL进行日志记录。通过对URL日志进行分析,管理员可以了解哪些人经常访问那些网站等,他们的访问是合适的或是不合适的,根据诸如此类的分析结论,管理员就可以对访问策略进行更准确地调整。
具备对系统操作人员进行系统配置修改的日志记录功能。由于记录了修改的时间、所在主机的IP地址、修改人名称,修改的部分内容,这样就避免了某些人的恶意修改,即使进行了恶意修改也能通过日志查找出来。
时间管理
你可以通过时间计划给予你的网络管理更多的人情味,把全天24小时划分为工作和非工作段,在非工作时间段内员工可以自由访问网络资源,而工作时间段中员工的互联网访问将受到限制。时间控制使用图形化的方式用鼠标拖拉即可控制,非常方便灵活。
聚生网管系统时间管理图
对于不同的策略可以定义不同的时间管理规定,而不同的人员相关的主机可以使用不同的策略,因此我们可以完全适应组织内部访问控制的需求。
WEB过滤网页的浏览是互联网访问的主要内容。组织员工在这方面的往往有一个共同点是,每个人来到办公室后的第一个工作就是打开浏览器,而区别在于每个人浏览的内容差异和沉浸于其中的时间多寡。
一方面,组织的管理者不希望给办公室营造恶劣的环境,即使有些员工在八小时内做了很多与工作无关的亊情,组织也不可能安排一个人去专门监视他。为了使员工得到更好的心情和满意度,组织需要一个人性化的环境。
另一方面,员工对互联网的无节制滥用的确带来了严重的生产力流失。
在绝对禁止和放任自由之间,你可以通过我们的聚生网管系统对Web 页面的访问控制来进行人性化的管理。
预定义URL库
在系统内置库中有很多URL资料,能够对娱乐和游戏网站、股票财经网站等进行隔离,并根据管理员的需要能自定义过滤规则对用户需要访问的网页进行过滤。
自定义URL过滤
自定义过滤,系统支持白名单和黑名单2种情况。管理员可以添加任意一个网址作为白名单,则局域网相关主机只能访问此网址及其所属页面,管理员可以添加一组网址作为白名单。管理员可以添加任意一个网址作为黑名单,则局域网相关主机就不能访问此网址及其所属页面,管理员可以添加一组网址作为黑名单。
聚生网管系统WEB访问控制图
禁止代理上网、禁止充当代理服务器
对于禁止上网访问全部或部分网站的主机,其使用人员可能通过未被禁止的代理服务器来访问,我们的系统能禁止局域网主机使用Socks、Proxy HTTP等代理访问外部网络。同时有可能局域网主机充当代理服务器,系统可以自动限制局域网主机充当代理服务器,以禁止不当局域网扩展。同时,在聚生网管系统还集成了代理服务扫描工具,可以检测内网那些电脑安装了代理软件,并可以将其自动隔离,从而防止其为其他人提供代理上网。
限制访问的文件类型
作为极端的情况,系统管理员可以禁止全部外部WWW访问。
对WEB访问中的下载或打开的文件类型可以进行限制,你可以限制所有的HTTP下载和FTP下载。限制HTTP下载时可以输入文件后缀名以限制相应格式的文件下载,也可以选择“严格禁止HTTP下载”从而禁止一切HTTP下载;而限制FTP下载,你既可以输入文件后缀名来进行限制。
聚生网管系统限制普通HTTP下载
带宽管理在不能改变您的有限出口带宽情况下,您必须适应现有的带宽,并且合理地利用好您的有限带宽,因此对带宽进行优化管理就显得十分必要。
优化组织的广域网带宽有多种方法。从上述内容中,你可以知道对组织的部门和个人的上网情况进行分析,并调查清楚是哪些服务占用了最多的出口带宽。根据这些资料,你心中应该有一个判断,对占用带宽最多的资源怎么处理,对互联网访问量最大的部门和个人该如何引导和规范,这从一定意义上已经属与技术管理的范畴。
带宽对关键业务是否能顺畅运转至关重要,在不同的岗位、不同的工作中对带宽的需求也不尽相同。您可以制定精细化的带宽流量分配管理策略,合理利用宝贵的带宽资源。
对用户设置总带宽不同的用户可以分类,对不同的类可以分配不同的总带宽,也即对每台主机分配一个总的带宽,他的全部外部网络访问的带宽总和不能超过这个值。分类标准可以按照网络实际使用情况,也可以按照员工的职务级别的重要性。
对应用协议设置总带宽在外部网络出口的地方可以按照应用的不同设置各应用类别总的带宽范围,对重要的应用保证其网络通信畅通,对与工作无关的网络应用限制其带宽在一个较小的范围,以保证其它应用不受大的影响。
聚生网管系统限制网速、控制上网带宽示意图
基于用户、应用协议的带宽分配策略
不同的员工工作有不同的重要性,不同的应用有不同的重要性和带宽要求,针对这种情况我们的系统提供了对不同的主机在不同的应用中定义不同的带宽,以便让不同的应用按照其重要性有序地在网络上流动。
例如在100M的出口网络上的Oracle业务数据库操作频繁且流量较大,我们可以安排总带宽30M,市场部门使用量较大,安排每个人的访问带宽为2M,而生产部门使用量较小,安排每个人的访问带宽为1M;P2P下载软件不是该组织的基本应用因此可以安排总带宽10M,相关人员给予500K的带宽限制;而WEB访问是频繁使用且比较重要给予总带宽45M,每台主机给予1M的带宽;而市场部每主机总带宽限制在5M,生产部每主机总带宽限制在3M。如下图所示:
设定上下行流量和总流量
我们提供了多方面的带宽流量优化手段,除了上面介绍的带宽控制外,还可以设置每天总的上行、下行或总的流量,当一台主机访问外部网络的流量超过设定流量时自动断开其与外部网络的连接。总流量限制方法尤其适合需要计费的情况。结合带宽分配的方法可以适应一个组织的各种特殊需要。如下图所示:
图:聚生网管控制网络流量截图
2级带宽管理由于对每个用户主机的带宽控制能够保证每台主机的带宽流量受到合理的调配,但网络出口的总带宽是有限的,有些应用在出口处的带宽(如P2P下载)最终可能达到很大,而这不是我们希望的,因为在出口处占用很大的带宽将使重要的应用得不到保证。例如:每台主机的视频流限制在250Kbps,共有300个用户,则视频流的总带宽将有300*250Kbps = 75Mbps,如果是10Mbps的出口,则视频流的出口带宽已经大大地超过了总带宽的范围。
鉴于上述情况,我们的产品支持2级带宽管理:
1.对每台主机带宽进行划分管理
2.对网络总出入口的带宽进行划分管理
有了2级带宽管理,既保证主机级的带宽合理性,又保证了总出入口的各种应用带宽的合理性。
对于上面提到的例子,我们可以在出入口总带宽处设置视频流的总带宽为3Mbps,这样就保证了其它重要应用的带宽。
并发连接数控制
本系统能够对内部主机访问外部的并发连接数进行控制,管理员可以在几乎不允许网络连接的并发连接数1到不控制之间任意设置,具有非常大的灵活性。可以有效控制病毒爆发后的大量对外垃圾甚至有害连接。
应用控制下面分门别类说明这方面的功能。
即时通讯的管理
腾讯QQ,其每天的上线人数高达1-2千万,活跃用户数更是超过半亿,几乎覆盖了中国所有的网民。2006 年12 月底,台湾地震引起的中美海底通讯光缆断裂使中美之间的网络通讯受到了严重影响,一时间,中国上千万的MSN 使用者不知所措。作为对人类社会生活产生最深刻影响的网络形态,及时通讯使商业人士间的沟通超越了空间和时间的限制。
然而,即时通讯软件的大量使用也造成了员工大量时间的损失和机要信息的泄露。你无法限制员工在上班时间在通过QQ 群开Party,或使用MSN Messenger 和远在天边女友视频聊天。同样,产品研发人员与同行业合作伙伴或竞争对手的网络对话也存在泄露知识产权的可能。
为了避免上述问题的出现,我们的聚生网管系统对及时通讯可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。
可控制管理多种流行及时通讯软件,包括:QQ、MSN、雅虎通、AIM(ICQ)、IRC、Google Talk、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺等。
同时,在聚生网管系统还集成了限制QQ传输文件、检测登录QQ账号、只允许指定的QQ账户登录的功能,从而可以对员工使用QQ聊天软件进行更精细的控制。
聚生网管监控即时通讯软件示意图
P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。因此P2P是让人又爱又恨的网络技术。在内部网P2P下载泛滥时你甚至想揪出P2P 技术的发明者痛斥一顿,而当你想要下载一部经典老片时,你脑海里第一个浮现的工具可能是迅雷或BT或者电驴。
P2P技术对带宽资源的争用使局域网有限的带宽被耗尽,无论你的带宽是1M、10M还是100M,只要缺乏对P2P 的有效管理,你内网的用户永远会抱怨带宽不够。P2P的封堵应该是所有相关系统都需要关注的问题。
对P2P常用的封堵方法是端口封锁和种子服务器地址(IP)封锁。通过在访问控制列表(ACL)中对6881-6890 端口、6969 端口的封堵,可以实现对一些使用静态端口的P2P 软件的封锁。但更多的BT类软件尤其是迅雷在端口被封后会尝试使用HTTP的常用端口来进行连接,例如8080,8000,甚至80 端口,一味的端口封锁将会导致某些正常HTTP服务无法使用。而种子服务器的封锁是一种吃力不讨好的体力活,每天涌现出的大量种子服务器会让网管人员忙得焦头烂额。
一、更有效的封堵方法是基于应用协议和数据包特征的分析,深度内容检测服务(Thorough Content Detection, TCD)可以对迅雷及其它BT类应用的数据包进行深入检测。TCD通过分析IP 数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分,实现了从三层到七层的全面内容检测,能够更好地发现哪些服务是P2P类应用。
二、由于TCD 技术将对数据包进行深入分析,当内网用户发出的会话较多时,网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗,我们采用了网络流量智能分析技术(Network Traffic Intelligence Analysis , NTIA)。区别于端口封堵和内容检测,NTIA 技术将对每一个用户的网络连接情况进行分析,当网络流量和网络连接超出聚生网管系统系统规定的阀值时,用户的P2P下载和上载带宽将被限制。
管理员对P2P文件下载或上载的管理可以采取三种策略:
1、是允许下载,这是对VIP 和紧急用户的非常选项;
2、是拒绝,你可以选择对某项P2P 服务彻底封堵;
3、是流量控制,即内网的用户可以使用P2P 类软件,但他们产生的带宽能够被控制在一个可以接受的范围内。
智能抑制P2P下载,发现某主机进行P2P传输时自动限制其带宽,停止P2P传输时自动放开其带宽。即发现某个局域网主机进行迅雷下载时,系统能够智能抑制网络流速到某一个管理员指定的值,如果这个主机继续进行下载,其流速也只能在管理员限定的流速内进行;等主机取消或者下载完毕后,网络流速又可以自动恢复正常水平,即不受限制的水平;这样既防止了单一主机因为过高的流速可能影响到其他主机的流速,又便于管理员在某些情况下许可一些占用较多公网带宽的网络活动,方便了管理。
目前我们能够准确识别并进行控制的P2P类软件是最多的,并可实时增加。
例如:迅雷、BT、百度下吧、BitComet、Bittorrent、比特精灵、电骡Edonkey、Vagaa哇嘎画时代、脱兔、快车FlashGet、腾迅超级旋风、网络传送带。
网络电视控制
观看网络电视、在线视频同样也是一个组织需要进行网络管理的内容,我们的系统支持大量的在线视频控制软件。
例如:PPLive、PPStream、QQLive、UUSee悠悠网络电视、PPVOD PP点播、沸点网络电视等。
网页视频、在线视频控制
通过访问视频网站、看在线视频,是当前企事业单位员工上网的一个普遍现象,而这些视频网站由于采用P2P缓冲技术和流媒体技术,因此对企事业单位带宽的消耗也极为可观。因此必须限制在单位局域网看网页视频、在线视频的行为。目前聚生网管可以屏蔽国内主流的视频网站。
例如:56.com、6.cn、tudou.com、youku.com、kugou.com、cctv.com、tv.qq.com、tv.sohu.com、video.baidu.com、video.qq.com、video.sina.com、cntv.cn
聚生网管控制P2P下载、P2P视频和网页视频
网络游戏控制网络游戏已经成为网络应用一个重要方面,有60%的网络用户都常常玩网络游戏,然而不分时间不分场合的娱乐,对工作有明显的影响。使用大势至聚生网管系统,您可以制定精细化的网络娱乐控制管理策略,引导员工在合适的时间做合适的事。
我们的系统可以控制大量主流网络游戏。
例如:QQ游戏、QQ农场游戏、开心网游戏、人人网游戏、联众游戏、三国杀游戏、游戏茶苑、劲舞团、中国游戏中心、跑跑卡丁车游戏、魔兽世界游戏、斗地主游戏、同城游戏、蜀门Online游戏、华夏QQ游戏等。
聚生网管限制网络游戏管理图
网络炒股控制越来越多的应用在通过互联网实现,无论是工作、娱乐、生活都将涉及在内,然而在特定的环境下某些网络应用可能需要控制。尤其是网络炒股将花费大量的员工时间,因此对网络炒股的有效控制是一些组织的必然选择,真正发挥互联网的效用。
聚生网管系统能够对大量的常用网络炒股软件进行控制。
例如:国信证券、通达信、广发证券至强版、龙卷风专业级证券行情接收及分析软件、飞狐、飞狐期货、同花顺、光大证券天网、神网E通、中信证券、证券之星、钱龙、大福星、大智慧、华林证券等。
聚生网管拦截股票软件示意图
网络购物控制 当前在企事业单位局域网中,员工上班时间上网购物的现象极为普遍,这一方面占用了公司的网络带宽,另一方面也占用了员工的工作时间,导致员工工作效率下降,影响了企业的正常运转。为此,聚生网管系统在新版本中增加了对主流网络购物网站的控制,用户只需要勾选就可以完全屏蔽主流购物网站,从而实现禁止员工上班时间网购的行为。如下图所示:
图:聚生网管禁止网络购物、限制上网购物的行为
网盘控制和电子邮件的控制。为了保护企业的商业机密,防止员工通过网盘、电子邮件等泄露出去,聚生网管系统还集成了对国内所有主流的网盘、电子邮件的控制,可以完全禁止所有网盘和所有邮件的使用。如下图所示:
图:聚生网管禁止网盘和禁止微博的功能
图:聚生网管禁止邮件、禁止邮件附件发送的功能
无线路由器、随身wifi的控制当前,在企业局域网中,员工经常会将无线路由器、随身wifi等设备接入到公司的局域网中,然后通过无线路由器和随身wifi形成的无线上网信号来让自己的手机、平板电脑等智能上网设备进行无线上网的行为。这一方面占用了公司的网络带宽,尤其是员工经常用手机、平板电脑下载电影等大型影视娱乐文件;另一方面员工上班时间玩手机和平板电脑的行为,也极大地占用了员工的工作时间,降低了工作效率,不利于员工正常工作的开展。为此,聚生网管系统新增了“自动检测并自动禁用局域网无线路由器”的功能、“自动检测和自动禁用局域网随身wifi的功能”以及“自动禁止局域网手机和平板电脑上网”的功能,通过上述网络控制功能,可以有效禁止网络不适当扩展,保护网络资源,防止蹭网、防止网络资源滥用,规范员工上网行为。如下图所示:
图:聚生网管禁止局域网无线路由器、禁止手机平板无线上网、局域网禁用随身wifi的功能
图:聚生网管禁止手机无线上网、禁止平板电脑使用
图:聚生网管禁止随身wifi、屏蔽wifi共享精灵的使用
通用应用控制
我们的大势至聚生网管系统开发团队正不断地分析各种最新出现的应用软件,对上述的各种网络应用的控制,其可以控制的软件清单随着网络应用的发展而清单不断增加。
由于应用无穷无尽,尤其是一些具有地域性的小型应用,我们不可能全部穷举,对这些网络应用如果需要控制,我们提供了一个动态的ACL控制规则定义系统,对于具备一定网络知识的管理人员均可以使用。系统能够对定义好的ACL规则进行数据包分析,符号条件的通讯将被阻断。
通过ACL规则,你可以设置包括IP源地址、IP目标地址、协议号(TCP/UDP)、端口范围等参数的规则,系统将自动拦截符合规则的数据报文,通过使用ACL规则,你可以轻松的实现控制功能的灵活扩展。如控制局域网任意主机IP对任意公网IP的访问;控制您需要控制的应用工具、控制任意的网络游戏……。
聚生网管系统ACL访问控制设置图
对于有特殊要求的机器如财务或其它重要机器,可以设置只允许访问的ACL控制规则,不在允许范围内的全部拒绝访问,以便减少外部病毒或黑客软件入侵的可能性。
针对内部网络管理有时不是很安全的实际情况,以及外部非法系统的主动入侵问题,我们提供了禁止外部访问内部的功能,阻断外部主动对内部的访问。
扩展功能聚生网管系统在提供一站式、全方位上网行为管理功能之外,又集成了一系列的扩展插件,这些插件与聚生网管系统相互配合,可以帮助企事业单位提供最大的网络管理效果,帮助企事业单位从上网行为管理到网络安全;从被动管理到主动管理等一系列的网络管理和网络控制,帮助企事业单位实现最大的网络管理收益。
这些扩展插件主要有:
1
、代理服务器扫描工具聚生网管系统强大的网络管理、网络控制功能使得局域网用户的电脑上网行为受到严重的限制,使得他们想方设法要突破聚生网管系统的网络控制功能,通过架设代理服务器、安装代理软件、通过代理上网就成为局域网电脑常见的突破网络监控软件的方法。为此,聚生网管研发团队专门开发了代理服务器扫描工具,可以扫描局域网内安装代理软件的电脑,并且可以检测出其开放的代理服务类型(包括HTTP代理和SOCKS代理),便于网管人员及时进行查处,从而达到禁止局域网电脑通过代理上网的目的,同时还可以对充当代理服务器的电脑进行强制隔离等惩罚性控制,从而使其丧失代理上网的功能。通过上述举措,可以有效遏制局域网电脑企图通过代理上网逃避网络管理和网络监控的行为,保证网络监控的安全和严肃。工具截图如下:
2
、网卡混杂模式检测工具混杂模式(Promiscuous Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是他。通过将网卡置于混杂模式,然后运行特定的网络抓包软件,如Sniffer、Wireshark或者黑客软件是网络嗅探和网络监听的前提。这种行为局域网不法人员提供了一个盗取公司商业机密或员工个人隐私、重要信息的手段。因此,网管人员必须杜绝这种网络侦听、网络抓包的行为,而识别这些不法网络行为最有效的方式就是探测其网卡的状态。通过部署聚生网管网卡混杂模式检测工具可以随时探测出局域网内处于混杂模式的网卡节点,从而便于网管人员及时定位、制止此类不安全的网络行为,保护商业机密和信息安全。
3
、外来电脑控制工具当前,国内很多企事业单位都建立了自己的内部局域网,并且一般都有自己的内部服务器,用于共享单位重要的商业数据,一些员工也会共享自己电脑的一些资源便于局域网其他用户访问和使用,这极大地方便了内部员工之间共享数据、信息传递、协同工作等各方面工作的开展。但是,与此同时,由此引发的网络安全、商业机密安全、信息风险也逐步暴露出来。特别是,一些外来人员(比如客户、合作伙伴)常常携带笔记本接入到公司的局域网中,有意、无意都可能访问到公司的商业机密或重要文件,如果被一些别有用心的人员复制、拷贝、修改、删除等操作,将会使得企业遭受巨大的损失,将严重影响企业的稳健经营、严重削弱公司的技术、市场优势;同时,这些外来电脑还可能携带病毒、木马等,私自接入到公司的内部局域网中,极容易传播给内网其他电脑,使得服务器重要商业机密容易感染病毒,或者导致内网出现网络风暴攻击、木马植入等各种风险,导致企业信息系统无法正常工作,严重影响了单位各项工作的正常开展。因此,网管人员必须对外来电脑进行全面、实时、有效的管理和监控,保护企业商业机密的安全,保证企业内部网的稳定和畅通。通过部署聚生网管外来电脑自动控制工具,可以自动检测并自动隔离外来电脑,隔离之后外来电脑将无法访问内网的服务器或局域网其他主机,防止其私自访问内网共享资源;同时内网其他主机也无法访问此外来电脑,防止内网电脑主动向外来电脑拷贝、传送共享资源,通过对外来电脑的双向控制,可以有效保护内网商业机密和信息安全;同时,被隔离的外来电脑也无法访问上网,防止其通过网络向局域网传播病毒、木马,有力地保护了内网的信息安全。
4
、主机异常警报工具聚生网管局域网主机异常警报工具是大势至(北京)软件工程有限公司推出的一款针对局域网关键服务器、工作站或其他特殊主机的实时侦测工具。通过此警报工具,可以在被监控主机出现异常的情况下,通过邮件、手机短信(需短信设备支持)等方式迅速通知给管理员,便于管理员及时采取措施进行规避和修复,防止出现关键应用中断而无人响应的状态。聚生网管局域网主机异常警报工具作为聚生网管系统的第二个扩展插件,强化了聚生网管系统的网络行为监控功能,进一步深化了网络管理。
5
、远程开关机工具基于聚生网管远程管理技术构建的远程开关机工具(Remote Management Technology,简称RMT)是一款针对局域网的常规管理工具。通过RMT,只需要在局域网的任意一台电脑部署,不需要在客户端安装任何软件,网管人员可以实现对局域网电脑(单个或者批量)进行远程开机、远程关机、远程重启、远程注销等操作,方便了内网管理。
总之,聚生网管系统与诸多扩展插件功能可以相互协作,实现全方位的网络管理。聚生网管系统启动后可以有效制止局域网内员工不合理的上网行为,使得员工企图通过代理上网来逃避监控,则聚生网管系统一方面可以禁止其代理上网,另一方面通过代理扫描工具可以检测出安装代理软件、充当代理服务器的电脑,从而从根源上治理这种不合适的网络扩展行为;同时,通过启动外来电脑控制器,也可以将局域网充当代理服务器的电脑进行惩罚性的控制,将其隔离开局域网,使得内网电脑无法通过其代理上网;同时,通过网卡混杂模式检测工具可以检测出内网处于混杂模式的网卡,从而制止其网络抓包、网络侦听的行为,还可以检测出黑客工具或私自安装其他网管软件的行为,而一旦检测出这种异常的网卡通讯,则同样也可以利用外来电脑控制器将其完全隔离开内网,防止其危害整个局域网;同时,如果发现局域网某个电脑遭遇病毒、木马侵袭或发送网络风暴攻击,造成局域网大规模掉线、断网现象,也可以通过混杂模式检测工具将其检测出来,并应用外来电脑控制器将其隔离,切断其和局域网其他电脑的通讯,从而避免了危害的进一步扩大;同时,聚生网管系统将扫描到的网络主机可以共享给外来电脑控制器,将局域网主机放入外来电脑控制器的白名单中,除此之外的电脑一律都视为外来电脑而进行自动隔离;同时聚生网管的导出的主机列表也可以共享给远程开关机工具,从而实现对局域网电脑的批量关机操作;而主机异常警报工具即可以时刻监控内网服务器,一旦发现异常即向网管人员发送手机短信、邮件等方式及时通知,便于网管人员及时查验、修复。
总之,通过聚生网管系统和扩展插件的协同、联动和融合,可以帮助国内各行业企事业将网络管理扩展到事前、事中、事后三位一体化管理;将网络管理和网络安全进行有效整合管理;将静态被动网络管理扩展到网络主动、智能、预防式管理。通过实施这三种管理方略,使得聚生网管系统有别于国内单一提供网管系统的厂家在网络安全管理的诸多掣肘和无奈,也有别于单独提供网络安全管理而在网络监控管理方面的缺失和不足,从而可以帮助企事业单位实现更全面、更深度、更有力的网络管控,帮助企事业单位创造最大的网络管理收益。
聚生网管系统全能版是聚生网管系统多年艰苦研发和网络管理实践的升华,同时也是聚生网管系统未来发展方向的一个里程碑;聚生网管系统的研发团队和管理团队正如七年前最早研发网管系统一样,又一次走到了时代的前列,指引了中国国内网管软件、上网行为监控系统新的发展方向。
产品部署方式
每一个用户的网络环境或多或少都有些不同,作为保护网络资源的核心设备,大势至聚生网管系统考虑了各种网络环境,并且力求部署简单化。
我们提供了七种部署方式:主动引导模式、虚拟网关模式、网关模式、网桥模式、旁路模式、监视模式、创新直连模式(基于三层交换机多网段环境下优先