上网行为管理系统实现企业网络精细化管理.docVIP

上网行为管理系统实现企业网络精细化管理 摘要：企业互联网络承载的不仅仅是交付于网络的关键业务应用，还需要承载企业员工的上网线路流量。内网用户访问互联网时，P2P下载、流媒体应用、游戏等从事与工作无关的活动不仅大大影响了工作效率，而且占用了大量带宽资源这给企业带来了巨大的经济损失。本文将结合唐钢的实践经验阐述如何利用上网行为管理系统实现网络精细化管理。 关键词：上网行为 策略 审计 中图分类号：TP311 文献标识码：A 文章编号：1007-9416（2013）12-0083-02 1 引言 网络的管理包括员工上网行为合理管理。其关键在于如何通过有效管控构建内网安全、有序的上网环境，合理划分员工上网带宽的同时保障对外交付应用的带宽；如何在用户和应用之间建立快速的访问通过，为用户提供优质的服务，“内”、“外”相辅相成。本文将从上网行为管理系统的部署、员工上网行为的管理和日志审计三个方面进行阐述。 2 上网行为管理系统的部署 上网行为管理系统以网桥模式部署在防火墙及核心交换机之间，网桥模式既可以保证上网行为管理系统的稳定性和性能，又确保上网行为管理系统不会成为网络系统的性能瓶颈，而部署在防火墙及核心交换机之间可以保证网络中所有的上网行为都经过管理系统，确保了上网行为管理的完整性。其中管理系统的NET2网口上联防火墙，NET0网口下联核心交换机，NET1网口下联管理交换机，以实现设备的远程管理。（图1）为上网行为管理系统的部署图，（图2）为web控制台的设备运行状态图。 3 上网行为的管理 系统成功部署到网络中后，将通过设置上网策略实现对员工的上网行为管理，下面将从防火墙、用户与策略管理和流量控制三个方面逐一介绍。 3.1 防火墙 上网行为管理系统自带防火墙功能模块，可以根据网络的具体使用情况配置LAN、WAN、DMZ三区的规则。在防火墙模块中，本单位网络管理员将原来防火墙中的规则转移到上网行为管理系统中，控制LAN- WAN的用户访问行为，并放通WAN- LAN的防火墙规则以对外提供内网服务器的访问服务。这样既可以减轻防火墙的负担，又能够圈定一个允许上网的范围，（图3）为配置防火墙规则图。 3.2 用户与策略管理 根据应用需求及实际工作需要进行用户分组，将各部门的员工都添加到相应的组中，并配置认证方式根据IP地址自动将新用户加入相应的用户组中，（图4）为新增用户组界面图。 用户分组建立成功后，就可以根据用户/用户组、应用、时间等条件设置上网策略，精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整例如，财务部门允许登录股票交易软件，员工在休息时间可以收看视频网站等，（图5）为新增财务组策略图。 3.3 流量控制 流量控制是上网行为管理系统的一个重要功能，对于一些允许进行P2P下载、流媒体应用等占用带宽较大的应用设备一个流量限量通道，设置最高带宽，对于一些网络的关键业务应用设置一个低时延应用保障通道，设置最低带宽。这样既保证了外交付应用的带宽同时也保障了员工上网带宽。（图6）为流量控制通道图。 4 日志审计 上网行为管理系统可以详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求。同时提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。（图7）为上网行为图形化查询工具图，（图8）为上网应用总流量排行图。 5 结语 部署上网行为管理系统后，企业内部员工的办公电脑形成了一个正常健康的办公环境，上网行为责任到人，P2P流量得到有效控制，不再出现业务带宽被无效娱乐流量占用的现象，有效记录了员工的上网行为轨迹，大大提高了员工工作效率，实现了网络的精细化管理。