在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：

　　与工作无关的P2P和在线视频等应用占用带宽;

　　与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率;

　　员工随意在网络上发帖和传输文件导致机密泄露;

　　员工上网容易受到病毒、木马和蠕虫等攻击和感染;

　　员工通过网络从事一些黄赌毒等违法活动;

　　员工浏览和发布不良言论导致企业面临法律风险。

　　为解决以上一系列的问题，上网行为管理产品应运而生，用于实现员工上网行为的管理、带宽的限制和确保员工上网安全等，可以较高提升员工的办公效率和带宽利用率，防止机密数据泄密和员工通过网络从事违法活动。

　　一华为上网行为管理解决方案

　　1、华为ASG上网行为管理简介

　　ASG(Application Security Gateway)是华为技术有限公司(以下简称华为)推出的上网行为管理产品，主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。

　　2、企业上网行为管理产品部署模式

　　2.1、网桥模式

　　单网桥

　　ASG与内网交换机连接的接口加入LAN区域，与出口网关连接的接口加入WAN区域，形成一进一出单网桥组网。ASG对内网用户的上网行为进行管理，并提供审计功能。

　　适用场景：企业具有出口网关，不希望改动现有网络环境

　　硬件要求：一台ASG2100/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器(用于部署ASG Manager)

　　软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

　　多网桥

　　ASG支持多个网桥，可以通过指定不同的LAN/WAN口进行配置，不同网桥之间在设备内部通过VLAN进行隔离。ASG还支持网桥多网口，即一个网桥中包含多对多或一对多的接口，这些接口属于同一个VLAN，可以相互通信。

　　适用场景：企业网络被隔离为多个，并且都具有出口网关，希望仅适用一套ASG设备进行管理，不希望改动现有网络环境

　　硬件要求：一台ASG2100/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器(用于部署ASG Manager)

　　软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

　　2.2、网关模式

　　单ISP

　　网关模式的ASG工作在三层，通常部署在企业网络出口处，作为出口网关使用。网关模式组网通常还启用源NAT，将上网PC的私网IP地址转换为公网IP地址。

　　网关模式组网支持所有的业务功能，尤其对NAT功能支持全面，同时支持源NAT和地址映射(虚拟服务器)。

　　适用场景：企业没有出口网关，需要使用ASG做出口网关，只接入一个ISP

　　硬件要求：一台ASG2100/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器(用于部署ASG Manager)

　　软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

　　多ISP

　　适用场景：企业没有出口网关，需要使用ASG做出口网关，只接入多个ISP

　　硬件要求：一台ASG2100/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器(用于部署ASG Manager)

　　软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

　　2.2、旁路模式

　　旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到ASG，从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。

　　适用场景：企业具有出口网关，不需要对网络进行改造，对上网行为的审计具有要求，对用户行为的权限控制基本没有要求或者仅要求身份认证。

　　硬件要求：一台ASG2100/ASG2200/ASG2600/ASG2800，内置管理中心或者一台PC服务器(用于部署ASG Manager)。

　　软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008.

　　3、应用场景

　　3.1、金融行业互联网风险管理

　　在总部和分支机构互联出口分别部署ASG设备可以有效降低互联风险。

　　典型组网如下图所示，客户需要做到至少以下三点：规范员工上网行为、防止主动或者被动泄密，有效降低互联网风险。

　　我们的解决方案是在有独立互联网出口的总部部署ASG2800和分支机构部署ASG2200设备，通过ASG管理中心对ASG设备进行集中统一管理。

　　金融行业互联网风险管理典型组网图

　　该应用场景，我们为客户实现了如下目的：

　　管控上网权限

　　根据员工职位职责分配上网权限，杜绝越权访问和权限滥用。

　　管控外发数据

　　管控Web、邮件和IM外发文件行为，防止泄密事件。

　　管理出口带宽

　　对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行封堵或限速，疏堵结合，提高出口带宽利用率。同时提供带宽保证措施，保证关键应用对外提供服务的带宽，保证内部重要人员的上网带宽。

　　威胁过滤

　　自动过滤钓鱼、网马和恶意软件下载等恶意网站，检测威胁流量和病毒，确保用户安全上网。

　　管控违规信息

　　过滤浏览的违法违规网页，过滤通过网页发布的不良信息。

　　审计监督

　　行为日志审计和外发内容保存，满足监管要求。

　　TSM联动部署

　　与TSM(终端安全管理)联动部署，自动从TSM同步用户信息，实现单点登录，禁止未通过TSM认证的用户访问互联网，确保上网终端满足企业安全要求。

　　3.2、中小企业和分支机构上网行为管理

　　直路部署在互联网出口是ASG产品在中小企业和分支机构中常见的应用场景。主要用于规范员工上网行为、带宽管理和保证员工上网安全。

　　如下图所示，企业为了规范员工上网行为、保证对外关键服务的带宽、保证上网安全和防止企业重要信息资产外泄，我们的解决方案是部署ASG2100在公司与Internet连接的出口，为企业打造可管控的安全上网环境。

　　中小企业和分支机构上网行为管理典型组网图

　　该应用场景，我们主要为企业实现如下目的：

　　管控上网权限

　　杜绝上班时间出现QQ聊天、玩游戏和在线视频观看等行为，提高工作效率。

　　管控外发数据

　　管控Web、邮件和IM发送行为，有效防止信息外泄。

　　管理出口带宽

　　充分利用出口带宽，封堵网络游戏、在线网页视频和P2P视频等带宽滥用的应用，保证重要应用和对外服务器的带宽。

　　威胁过滤

　　拦截钓鱼、网马和恶意软件下载等恶意页面，自动过滤病毒和携带威胁的流量，确保用户安全上网。

　　免管控用户

　　配置免管控用户后系统对免管控用户不审计、不控制。

　　出口网关

　　部署在Internet出口作为网关，提供路由接入、攻击防范、源NAT和虚拟服务器(对外提供企业网站、邮件等服务)功能。

　　移动办公WiFi接入

　　ASG2100/2200支持作为WiFi网关，公司内移动办公用户可使用WiFi接入Internet。

　　定位异常终端

　　检测ARP和IP欺骗、Flood攻击、端口和地址扫描等异常行为，并自动防御。

　　二、华为ASG给用户带来的价值

　　1.1 华为ASG系列上网行为管理功能特点

　　ASG是华为在充分了解客户和市场需求的基础上，通过成熟的系统设计推出的上网行为管理产品，具有精准的应用识别、电信级高可靠性、全面威胁过滤和专业报表等特点。

　　最丰富的应用识别，更好地提高办公效率

　　全面的内容控制和审计，有效防止信息外泄和协助法规遵从

　　电信级高可靠性，为业务保驾护航

　　四重保护上网用户，恶意软件无所遁形

　　专业报表针对性强，助力企业治理

　　1.2 ASG规格

　　三、总结

　　ASG(Application Security Gateway)是华为技术有限公司推出的上网行为管理产品，主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。自从咱们有了它，老板们再也不用担心网络员工上网问题了。