公司内部网络监控、局域网上网行为监控软件、电脑网络控制软件白皮书

  发布时间:2017-03-10 16:13:30   作者:佚名   我要评论
本文主要介绍了公司内部网络监控、局域网上网行为监控软件、电脑网络控制软件白皮书,需要的朋友们可以参考下

聚生网管系统时间管理图

对于不同的策略可以定义不同的时间管理规定,而不同的人员相关的主机可以使用不同的策略,因此我们可以完全适应组织内部访问控制的需求。

WEB过滤网页的浏览是互联网访问的主要内容。组织员工在这方面的往往有一个共同点是,每个人来到办公室后的第一个工作就是打开浏览器,而区别在于每个人浏览的内容差异和沉浸于其中的时间多寡。

一方面,组织的管理者不希望给办公室营造恶劣的环境,即使有些员工在八小时内做了很多与工作无关的亊情,组织也不可能安排一个人去专门监视他。为了使员工得到更好的心情和满意度,组织需要一个人性化的环境。

另一方面,员工对互联网的无节制滥用的确带来了严重的生产力流失。

在绝对禁止和放任自由之间,你可以通过我们的聚生网管系统对Web 页面的访问控制来进行人性化的管理。

预定义URL库

在系统内置库中有很多URL资料,能够对娱乐和游戏网站、股票财经网站等进行隔离,并根据管理员的需要能自定义过滤规则对用户需要访问的网页进行过滤。

自定义URL过滤

自定义过滤,系统支持白名单和黑名单2种情况。管理员可以添加任意一个网址作为白名单,则局域网相关主机只能访问此网址及其所属页面,管理员可以添加一组网址作为白名单。管理员可以添加任意一个网址作为黑名单,则局域网相关主机就不能访问此网址及其所属页面,管理员可以添加一组网址作为黑名单。

聚生网管系统WEB访问控制图

禁止代理上网、禁止充当代理服务器

对于禁止上网访问全部或部分网站的主机,其使用人员可能通过未被禁止的代理服务器来访问,我们的系统能禁止局域网主机使用Socks、Proxy HTTP等代理访问外部网络。同时有可能局域网主机充当代理服务器,系统可以自动限制局域网主机充当代理服务器,以禁止不当局域网扩展。同时,在聚生网管系统还集成了代理服务扫描工具,可以检测内网那些电脑安装了代理软件,并可以将其自动隔离,从而防止其为其他人提供代理上网。

限制访问的文件类型

作为极端的情况,系统管理员可以禁止全部外部WWW访问。

对WEB访问中的下载或打开的文件类型可以进行限制,你可以限制所有的HTTP下载和FTP下载。限制HTTP下载时可以输入文件后缀名以限制相应格式的文件下载,也可以选择“严格禁止HTTP下载”从而禁止一切HTTP下载;而限制FTP下载,你既可以输入文件后缀名来进行限制。

聚生网管系统限制普通HTTP下载

带宽管理在不能改变您的有限出口带宽情况下,您必须适应现有的带宽,并且合理地利用好您的有限带宽,因此对带宽进行优化管理就显得十分必要。

优化组织的广域网带宽有多种方法。从上述内容中,你可以知道对组织的部门和个人的上网情况进行分析,并调查清楚是哪些服务占用了最多的出口带宽。根据这些资料,你心中应该有一个判断,对占用带宽最多的资源怎么处理,对互联网访问量最大的部门和个人该如何引导和规范,这从一定意义上已经属与技术管理的范畴。

带宽对关键业务是否能顺畅运转至关重要,在不同的岗位、不同的工作中对带宽的需求也不尽相同。您可以制定精细化的带宽流量分配管理策略,合理利用宝贵的带宽资源。

对用户设置总带宽不同的用户可以分类,对不同的类可以分配不同的总带宽,也即对每台主机分配一个总的带宽,他的全部外部网络访问的带宽总和不能超过这个值。分类标准可以按照网络实际使用情况,也可以按照员工的职务级别的重要性。

对应用协议设置总带宽在外部网络出口的地方可以按照应用的不同设置各应用类别总的带宽范围,对重要的应用保证其网络通信畅通,对与工作无关的网络应用限制其带宽在一个较小的范围,以保证其它应用不受大的影响。

聚生网管系统限制网速、控制上网带宽示意图

基于用户、应用协议的带宽分配策略

不同的员工工作有不同的重要性,不同的应用有不同的重要性和带宽要求,针对这种情况我们的系统提供了对不同的主机在不同的应用中定义不同的带宽,以便让不同的应用按照其重要性有序地在网络上流动。

例如在100M的出口网络上的Oracle业务数据库操作频繁且流量较大,我们可以安排总带宽30M,市场部门使用量较大,安排每个人的访问带宽为2M,而生产部门使用量较小,安排每个人的访问带宽为1M;P2P下载软件不是该组织的基本应用因此可以安排总带宽10M,相关人员给予500K的带宽限制;而WEB访问是频繁使用且比较重要给予总带宽45M,每台主机给予1M的带宽;而市场部每主机总带宽限制在5M,生产部每主机总带宽限制在3M。如下图所示:

设定上下行流量和总流量

我们提供了多方面的带宽流量优化手段,除了上面介绍的带宽控制外,还可以设置每天总的上行、下行或总的流量,当一台主机访问外部网络的流量超过设定流量时自动断开其与外部网络的连接。总流量限制方法尤其适合需要计费的情况。结合带宽分配的方法可以适应一个组织的各种特殊需要。如下图所示:

图:聚生网管控制网络流量截图

2级带宽管理由于对每个用户主机的带宽控制能够保证每台主机的带宽流量受到合理的调配,但网络出口的总带宽是有限的,有些应用在出口处的带宽(如P2P下载)最终可能达到很大,而这不是我们希望的,因为在出口处占用很大的带宽将使重要的应用得不到保证。例如:每台主机的视频流限制在250Kbps,共有300个用户,则视频流的总带宽将有300*250Kbps = 75Mbps,如果是10Mbps的出口,则视频流的出口带宽已经大大地超过了总带宽的范围。

鉴于上述情况,我们的产品支持2级带宽管理:

1.对每台主机带宽进行划分管理

2.对网络总出入口的带宽进行划分管理

有了2级带宽管理,既保证主机级的带宽合理性,又保证了总出入口的各种应用带宽的合理性。

对于上面提到的例子,我们可以在出入口总带宽处设置视频流的总带宽为3Mbps,这样就保证了其它重要应用的带宽。

并发连接数控制

本系统能够对内部主机访问外部的并发连接数进行控制,管理员可以在几乎不允许网络连接的并发连接数1到不控制之间任意设置,具有非常大的灵活性。可以有效控制病毒爆发后的大量对外垃圾甚至有害连接。

应用控制下面分门别类说明这方面的功能。

即时通讯的管理

腾讯QQ,其每天的上线人数高达1-2千万,活跃用户数更是超过半亿,几乎覆盖了中国所有的网民。2006 年12 月底,台湾地震引起的中美海底通讯光缆断裂使中美之间的网络通讯受到了严重影响,一时间,中国上千万的MSN 使用者不知所措。作为对人类社会生活产生最深刻影响的网络形态,及时通讯使商业人士间的沟通超越了空间和时间的限制。

然而,即时通讯软件的大量使用也造成了员工大量时间的损失和机要信息的泄露。你无法限制员工在上班时间在通过QQ 群开Party,或使用MSN Messenger 和远在天边女友视频聊天。同样,产品研发人员与同行业合作伙伴或竞争对手的网络对话也存在泄露知识产权的可能。

为了避免上述问题的出现,我们的聚生网管系统对及时通讯可以根据业务需要制定精细化的网络聊天监控管理策略,在不同时间对不同部门、不同人员施行差异管理方式。

可控制管理多种流行及时通讯软件,包括:QQ、MSN、雅虎通、AIM(ICQ)、IRC、Google Talk、Skype、网易泡泡、新浪UC、搜Q、淘宝旺旺等。

同时,在聚生网管系统还集成了限制QQ传输文件、检测登录QQ账号、只允许指定的QQ账户登录的功能,从而可以对员工使用QQ聊天软件进行更精细的控制。

聚生网管监控即时通讯软件示意图

P2P下载控制P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。因此P2P是让人又爱又恨的网络技术。在内部网P2P下载泛滥时你甚至想揪出P2P 技术的发明者痛斥一顿,而当你想要下载一部经典老片时,你脑海里第一个浮现的工具可能是迅雷或BT或者电驴。

P2P技术对带宽资源的争用使局域网有限的带宽被耗尽,无论你的带宽是1M、10M还是100M,只要缺乏对P2P 的有效管理,你内网的用户永远会抱怨带宽不够。P2P的封堵应该是所有相关系统都需要关注的问题。

对P2P常用的封堵方法是端口封锁和种子服务器地址(IP)封锁。通过在访问控制列表(ACL)中对6881-6890 端口、6969 端口的封堵,可以实现对一些使用静态端口的P2P 软件的封锁。但更多的BT类软件尤其是迅雷在端口被封后会尝试使用HTTP的常用端口来进行连接,例如8080,8000,甚至80 端口,一味的端口封锁将会导致某些正常HTTP服务无法使用。而种子服务器的封锁是一种吃力不讨好的体力活,每天涌现出的大量种子服务器会让网管人员忙得焦头烂额。

一、更有效的封堵方法是基于应用协议和数据包特征的分析,深度内容检测服务(Thorough Content Detection, TCD)可以对迅雷及其它BT类应用的数据包进行深入检测。TCD通过分析IP 数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分,实现了从三层到七层的全面内容检测,能够更好地发现哪些服务是P2P类应用。

二、由于TCD 技术将对数据包进行深入分析,当内网用户发出的会话较多时,网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗,我们采用了网络流量智能分析技术(Network Traffic Intelligence Analysis , NTIA)。区别于端口封堵和内容检测,NTIA 技术将对每一个用户的网络连接情况进行分析,当网络流量和网络连接超出聚生网管系统系统规定的阀值时,用户的P2P下载和上载带宽将被限制。

相关文章

最新评论