【IT168 厂商动态】随着互联网十多年的发展,基于网络的各种应用也越来越完善普及,成为人们学习、工作、生活不可或缺的工具,成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利。与此同时,如何安全高效的利用网络资源,也成了每一个访问互联网的用户,尤其是企业用户更为关心的问题。纽盾的上网行为管理器通过多年的产品研发与客户的应用体验,根据企业的网络情况,纽盾上网行为管理器的优势越来越明显。
很多企业都遇到过下面的问题:
1.每天早晨上班,员工坐在电脑前的第一件事就是浏览新闻或者访问一些与工作无关的资讯;
2.员工是不是利用上班时间在聊天,甚至把公司的企业秘密和战略计划泄漏出去;
3.公司已经在所有电脑安装了防病毒软件,可内网病毒依然泛滥,永远清楚不完;
4.网络带宽不管怎么升级,都会很快被非业务下载占满,核心业务却慢得无法忍受;
5.员工通过企业网络发出非法言论,可是无法知道是何人何时所为;
6.本来禁止上网的用户,随意更改了合法用户的ip地址后就可以随意浏览网络资源。
企业可能花了很多的精力和资金投入来部署防火墙等安全网关设备,确实在抵御外部网络威胁方面起了很大作用,但是却对来自内网的安全威胁束手无策,据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间,带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。电子邮件、MSN/QQ以及BBS论坛等网络应用,已经成为提高工作效率的工具,但如果不加监管,也可能成为泄密的工具。对于政府机关、上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部,给组织造成重大损失。
上海纽盾科技出品的NAF系列纽盾上网行为管理设备的上市为企业一举解决了上述问题,该产品支持NAT模式、路由模式和旁路模式三种工作模式部署,可以在不改变企业现有的网络构架的情况下部署,支持跨三层交换机来对终端用户的IP地址和MAC地址绑定,甚至可绑定NETBIOS名,支持windows域帐户的导入等功能,为企业提供全透明可视化的流量管理。
工作模式分为:网桥模式,路由模式,旁路模式
绑定用户IP和MAC
以下为一个外资制造业利用NAF-6200纽盾上网行为管理器来规范企业内部网络,优化网络资源应用的案例:
某外资制造业,拥有终端约500台,包括PC,笔记本电脑,以及智能终端设备,其中有些设备是公司配备的,有些则是员工个人带进工厂进行非业务应用,不仅占用的公司的网络带宽,也给公司的办公网络造成了安全隐患,表现症状为有很多员工利用工作时间观看流媒体,进行P2P下载,qq聊天,访问与工作无关的论坛甚至是色情网站,而公司正常的业务如收发邮件、访问假设在公司总部的erp服务器的时候速度缓慢,甚至无法连接。
阻止P2P下载,流媒体视频
该企业网络拓扑如下:
经过与企业负责人多次沟通,充分了解用户需求后,为满足用户对内部员工的上网行为进行审计和管控,并对网络流量进行控制管理的要求,我们为用户推荐纽盾上网行为管理器的NAF-6200型号,因为用户内部划分了很多VLAN,而且用户数较多,企业的网络建设时间较久,很多网络配置文件都没有保留,所以本次增加设备,不能对网络结构进行改变,不能对终端的用户产生影响,所以我们决定采用路由模式部署,部署NAF-6200纽盾上网行为管理器后的网络拓扑如下:
如图所示,部署了NAF-6200纽盾上网行为管理器后,网络构架基本维持原状,仅仅是在纽盾上网行为管理器里面设置为路由模式,指定了一个管理IP和网关ip地址,简单配置一下静态路由表,而不需要对原有的网络设备进行任何配置,更不需要更改终端PC和智能终端设备的网络配置。
根据用户的要求,我们在纽盾上网行为管理器NAF-6200设备内部设置的认证策略里面选择IP地址和MAC地址同时绑定,并且新用户以ip地址作为用户名,然后根据不同的职能部门建立组织架构,组织架构里面的用户名称按照实际使用人员的姓名命名,这样一来,管理人员可以轻松的将使用人、ip地址、mac地址做到统一管理,私自更改了ip地址的用户不能访问互联网,管理人员也可以轻松看到是谁更改了自己的IP地址,造成网络IP地址冲突。
由于这是一家外资企业,经常会有合作伙伴来参观考察,而这些合作伙伴的网络设置和本地的网络配置不统一,无法在本地访问互联网,在以前,只能要求这些来宾更改网络配置,等回到了自己的公司再将配置改回来,造成很多不便;为了解决这个困扰,在纽盾上网行为管理器NAF-6200内部设置UPNP,即网络即插即用功能,保证来宾无论本身设置的是什么ip地址,都可以介入到本地网络来访问互联网,并且应用本地网络规定的网络策略。
接下来为各个职能部门设置网络应用的权限,按照公司领导的要求,对领导组不作任何限制,允许所有的网络应用;对办公组的成员,禁用qq等即时通讯工具,只保留msn,禁用所有P2P下载软件,禁用网络流媒体应用,禁用网络购物的网站及应用,禁止一些色情、反动、暴力等不良网站的访问。对一些日常工作不需要访问互联网的部门和用户采取阻断网络流量,禁止其上网,但是远在海外的公司erp系统,则可以通过网站白名单来允许这部分用户访问。除领导组外,所有用户仅允许在工作时间段内访问网络,下班后则禁止所有互联网的访问。
设置分组,针对不同分组分别定制策略
阻止即时通信
策略生效时间分为工作可非工作时段
所有用户及所有的应用采取全部记录的方式来进行内容的审计,即所有的msn会话记录,问的网站、论坛、发表过的言论、收发的邮件及邮件附件、webmail等等内容全部记录在纽盾上网行为管理器的硬盘上,并可以通过IP地址、用户名、应用名称等多种条件检索查询。
记录邮件等内容
系统可自动统计网页URL访问排名
管理人员在使用一段时间后,从系统内自动生成的分析图表可以看出,部署了纽盾的上网行为管理器NAF-6200设备后,大幅节约的网络资源,再也没有网络带宽被占满的情况,通过网络流量排行功能,可以清楚的看到网络中使用流量最大的前十名,是谁在使用什么应用占用了多大的网络资源,真正做到了透明化可视化的管理。纽盾上网行为管理器的各项功能为企业的网络资源有效利用,和提高员工的工作效率提供了有力的保障。
