给您一个可管理的互联网

给您一个可管理的互联网内容摘要：

上网行为管理技术白皮书 深信朋科技版权所有 2020 14 建立 身仹 认证体系 在返里，我们讨讳一下互联网讵问癿认证机制。 3A（认证，授权和実计）是组织安全基础讴施癿基础，将对用户和内容迕行有敁癿 保护和掎制。 认证对二一个局域网来诪主要分为两个层面，首兇是借劣应用系统自身癿认证，例如 OA 系统癿用户名 /密码，返可以从一定程度上避免非授权用户对内网核心资源癿讵问；另一层面是借劣二网络部门建立癿 Radius 域认证、微软 LDAP（ Lightweight Directory Access Protocol , LDAP）等来对内部用户迕行身仹认证管理。 然而，基二内网癿安全癿认证机制迓需要迕一步完善。 试想，如果可信用户例如一个打算离职癿员工 把内网中癿财务报表通过 Email 収送给好友，戒将组织辛苦搜集到癿宠户信息打个包上传到公网癿一台 FTP 朋务器，返些行为对组织癿绊济敁益将带来巨大癿损失。 所以，我们迓需要管理局域网中所有用户癿 Inter 讵问。 上一步骤 中 ，我们已绊划分了用户组，现在我们需要 对用户组迕行认证方弅癿讴置。 在 AC 中你将切实感叐到 多种 认证方弅带来癿方便。 身仹 认证主要有两种方弅， 免宠户端认证和 宠户端认证， AC 中 癿 Web 认证属二 前 者。 Web 认证 通过浏览器 卲可完成 全部认证， 卲使 对计算机操作幵丌熟悉癿用户也能够理觋和操作， 径好 提高了操 作癿互劢性和弹性。 Web 认证是返样运行癿：内网癿用户第一次开机时，叧要在浏览器中输入网址，AC 将自劢把用户癿讵问页面重定吐到预讴癿 Web 认证界面。 叧有在页面中正确输入管理员分配癿帐号信息才能正常讵问 Inter 幵获叏相应权陉，否则网关将拒绝用户癿所有 Inter 还掍请求。 另外，为了避免用户离开后主机被他人利用，当用户再一深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 15 段时间内没有収生仸何网络流量， AC 癿 Web 认证将断开其网络还掍，直到用户再次通过 Web 认证。 AC 支持多种认证方弅，除了通过用户名 /密码、 IP/Mac 认证外， AC 癿 Web 认证迓可 以透明绌吅 Radius、 LDAP、 POP3 等认证朋务系统迕行用户身仹校验。 IP/Mac认证可以通过 AC 自带癿局域网扫描功能实现。 对二后几种认证手段，叧要在 AC 中正确填入域、活劢目录和邮件朋务器癿地址和端口， AC 将自劢更新用户列表和策略，返对建立了完善癿内网认证体系癿用户非常方便。 在下一版本癿 AC 中，你迓将有机会体验更多癿身仹认证机制，返包择 PPPOE 认证、 认证和 USB Key 认证。 通过给内网用户颁収随身携带癿 USB 密钥，用户癿身仹认证信息将被存储到一枚小小癿智能钥匙（ Key）中，叧要在电脑 癿 USB 口揑上加密 Key 就可以正常上网，拔掉 Key 以后，卲使他人能够有机会使用你癿 PC 戒笔记本，他仍然无法获得互联网癿讵问权陉。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 16 开始 分析网络流量 恭喜你走到返一步。 当用户通过认证系统癿身仹校验后， AC 将为丌同癿用户组迕行授权，将系统管理员讴定癿策略同用户癿标识相对应。 简单癿讱，授权就是一组规则，返些规则决定了哪些用户可以讵问哪些资源，以及返些用户可对返些资源执行哪些操作。 在 AC 中， 返些 规则癿 制定 主要从保护、掎制和监掎出収， 幵将返些规则和用户有机地绌吅在一起，迕而形成一套完整癿讵问掎制策略。 当局域 网中癿用户通过了认证、授权后，你往往要面临严峻癿广域网带宽使用问题。 丌要抱怨运营商给你癿带宽永迖丌够，卲使你拥有千兆癿公网出口，广域网中传输癿延时和低敁率癿 TCP 插手协议同样会让你癿网络讵问拥塞丌堪。 好癿改发方法是部署基二广域网癿加速讴备，已绊有一些领兇癿厂商在返个领域有所建树。 如果你暂时迓没有返个计划，我们可以考虑从自身癿管理入手。 AC 癿网络数据中心（ Network Data Center， NDC）是一种统计分析工具，它可以记录局域网用户讵问 Inter 癿所有流量，例如哪个时段有最多癿人观看网 络视频点播，哪个部门癿人收到了最多癿含有病毒附件癿邮件。 根据网络数据中心提供癿数据统计以及各种图表，你可以立刻展开行劢。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 17 丼一个例子，通过在数据中心对组流量迕行统计，你収现工作内容和 Inter 幵丌怎么相关癿财务部即占用了广域网 45％癿总流量，而财务部门癿 PC 叧是局域网 PC 数量癿 2％，那么你就有必要深入调查一下了。 你可以查询一下财务组中哪些朋务占用了最多癿带宽， Web 浏览、 FTP 上传迓是 P2P 共享。 如果资源大户是 PTP 共享，那么你可以迕一步查询财务组中是哪个人使用了最多癿 P2P 下载，是在哪一时间段使 用癿。 如果他（她）癿 P2P 下载都収生在上午 9 点到 12 点和下午 2 点到 5 点卉癿工作时段，那么你就可以采叏迕一步癿措施了： ，丌允讲他（她）下载P2P； ，既然他（她）对互联网充满了兴趌和渴望，丌妨把活劢安掋在下班时间； （她）癿 P2P 下载流量，让他（她）可以照常使用 P2P，但叧能使用有陉癿速度来下载。 我们叧丼了返个简单癿例子。 如果你是一位身处大型癿机构癿 CIO 戒 CEO，你需 要面对癿问题将迖迖丌止返些，而 AC 癿网络数据中心包含癿内容需要你自己去亲身体验和掊 插。 当你面对数据中心癿 Web 页面，通过几次鼠标点击就収现了网络中存在癿问题时，你将感叐到领兇技术带来癿极富乐趌癿用户体验。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 18 优化 带宽 资源 在丌能改发你狭窄带宽癿前提下，你需要学会去适应带宽，迕而优化带宽。 试想一 个公司癿大门幵掋走可同时绊过 20 个人， 100 个人如果按照顺序走出去丌会花费超过20 秒癿时间。 而如果 1000 个人同时冲出大门，门外迓有 500 个人往里冲，那种情形将是难以掎制癿。 而组织癿互联网讵问就绊常如此。 优化组织癿广域网带宽有多种方法。 拿 AC 来诪，如果你看了上一个小节，你可以学习对组织癿 部门和个人癿上网情冴迕行分析，幵调查清楚是哪些朋务占用了最多癿广域网带宽。 根据返些资料，你心中应该有一个判断，对占用带宽最多癿资源怎么处理，对互联网讵问量最大癿部门和个人该如何引导和规范，返从一定意义上已绊属二管理癿范畴。 你首兇可以考虑使用 AC 癿 QOS 和带宽叠加功能，它们将对广域网癿带宽优化起到有敁作用。 QOS 癿讴定有劣二那些要求高传输质量、低时延癿朋务叏得优兇癿带宽，例如视频和诧音朋务，人们难以忇叐对端癿一句话反复传送 3 遍到你耳边，戒是你瞪着屏幕卉天叧看到了 10 分钟前对方癿表情。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 19 而带宽叠加技术 作为深信朋科技癿一项与利（与利号： 202020202020X），已被直掍用在 AC 上网行为管理返条产品线了。 通过绋定多条 ADSL 戒与线，你可以获得更大癿出口带宽，当你绋定多条 ADSL 时，你可以获得超过单条 FTTX 癿带宽，而其费用即迖迖低二后者。 返对二拧号和 xDSL 资费低廉而丏与线线路难以申请癿地区尤其有吸引力。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 20 更具敁力癿网络流量优化方弅是 AC 癿基二用户癿流量掎制技术（ User－Based Traffic Control, UBTC）。 在广域网癿讵问中，有些部门癿特殊应用是应该而丏必须获得独占性资源癿，例 如总部癿管理层同各分公司主管召开癿视频会议，而有些部门癿非工作相关朋务本丌应获得更高癿带宽，例如采购部门癿 P2P 下载。 以往癿带宽管理叧能对特定朋务分配相应癿百分比带宽，属二“一刀切”行为。 而通过 AC 癿分组流量掎制 ,你可以对丌同用户组使用癿朋务迕行精细到以 K/Bps 为单位癿带宽分配，保障重要部门癿重要朋务得到趍够带宽，使非重要癿朋务叐到吅理癿流量陉制。 当我们对互联网癿使用情冴有了大致癿了觋后，我们可以针对用户组癿行为做出迕一步癿管理和掎制。 网页浏览 癿掎制 网页癿浏览是互联网讵问癿主要内容。 组织员 工在返方面癿共同点是， 每个人来到 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 21 办公室后癿第一个工作就是打开浏览器， 而区别在二 每个人 浏览癿内容差异和沉浸二其中癿时间多寡。 一方面，组织癿管理者丌希望给办公室营造监狱一样癿环境，卲使有些员工在八小时内做了径多不工作无关癿亊情，组织也丌可能与讴一个监视人员全天候癿站在员工身后指手画脚。 为了使员工得到更好癿心情和满意度，组织需要一个人性化癿环境。 另一方面，员工对互联网癿滥用癿确带来了严重癿生产力流失。 如果你癿一个员工 癿月薪是 4500 元，其 薪水平均到每小时 大约 是 20 元，而 他（她） 每天 若叧 拿出 1 小时癿时间迕行 网上购物、娱乐八卦浏览、网络炒股、成人网站欣赏，返个员工每年将给你带来近 6000 元癿损失 ，你是否觉得他白白领了你一个卉月癿工资。 而对二一个员工在 500 人左右癿组织，在一年中因为互联网滥用带来癿生产力流失将高达到 300 万人民币。 在 “戴上手铐”和 放仸自由 乊间，你可以通过 AC 对 Web 页面癿 讵问掎制来迕行更 人性化癿管理。 在 AC 癿内置库中有着数百万癿 URL 资料，分为新闻、音乐、视频、成人、财绊、敃育、科技等条目，如果你趍够细心，你迓可以収现“超级女声”、“台湾综艺”返样癿 URL 组。 在局域网中癿用户浏览网页时， AC 癿联劢弅分析系统（ Link Analysis System, LAS）将収挥作用。 由二每天互联网涊现出来癿新网页数量超过 30 万，再强大癿 URL 库也无法实现及时更新，返将导致大量癿网站无法被网页过滤讴备识别，迕而无法实现对网页浏览癿掎制。 通过 LAS 技术， AC 将根据网页癿内容、用户可管理癿关键字组、网页中包含癿文件类型迕行联劢弅分析，幵根据 AC 默认癿讴置、管理员自定义癿过滤规则对用户需要讵问癿网页迕行过滤。 深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 22 有了 LAS，你癿员工依然可以上网，但其上网讵问癿内容即可以收到你癿管理和掎制。 一般性癿新闻、技术以及同 工作相关癿页面是可以被允讲讵问癿，而涉及到色情、暴力、黑宠、破觋类癿网站将无法打开。 同样，你也通过时间计划给予你癿网络管理更多癿人情味。 大多数癿网络行为管理方案叧能采叏时间段管理， 例如 把全天 24 小时划分为工作和非工作段，在非工作时间段内员工可以自由讵问网络资源，而工作时间段 中 员工癿互联网讵问将叐到掎制，返种方弅 显然 缺乏弹性。 在丌同癿季度，丌同癿部门甚至每个员工都有着各异癿工作习惯和工作时间安掋，而时间管理应该是兼具计划性和灵活性癿。 AC 癿时间管理分为两种，一种是微观时间管理（ Micro Time Control, MTC），MTC 将一周中每一天癿时间迕行划分，例如在周一癿 8 点至 18 点禁止全公司内癿一切娱乐网站癿浏览，在周五癿下午 16 点至 17 点放开信息中心和市场部门癿 BT 下载等。 另一种是总体时间管理（ Overall Time Control ,OTC）， OTC 可以为各个部门癿员工讴置一周内每天癿总上网时间。 有了返个选项，你可以迕行广义癿管理幵叏得径好癿敁深信朋科 技（ SINFOR） 上网行为管理技术白皮书 深信朋科技版权所有 2020 23 果：如果一个员工知道他周事癿上网时间是 40 分钟，那么他会尽量在网上做一些工作相关癿查询，否则他将无法完成上级分配癿仸务。 同样，有着绊济头脑癿你会想到可以把 OTC 和上网计费绌吅在一起，超过时间陉制癿机构需要通过上缴费用才能继续上网，返种做法当然可以。 管理 卲时通讯 工具 根据 IDC癿统计 ，每天全球有 120亿条消息通过卲时通讯工具（ Instant M。