网络部署与运维华为（华为上网行为管理平台）

网络部署与运维华为（华为上网行为管理平台）[通过与企业进行深入的交流，我们对其网络进行了充分的了解与分析。……] 为解决以上一系列的问题，上网行为管理产品应运而生，用于实现员工上网行为的管理、带宽的限制和确保员工上网安全等，可以极大提高员工的办公效率和带宽利用率，防止机密数据泄密和员工通过网络从事违法活动。l 员工上网容易受到病毒、木马和蠕虫等攻击和感染l 员工通过网络从事一些黄赌毒等违法活动l 员工浏览和发布不良言论导致企业面临法律风险

1 概述

在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：

l 与工作无关的P2P和在线视频等应用占用带宽

l 与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率

l 员工随意在网络上发帖和传输文件导致机密泄露

l 员工上网容易受到病毒、木马和蠕虫等攻击和感染

l 员工通过网络从事一些黄赌毒等违法活动

l 员工浏览和发布不良言论导致企业面临法律风险

为解决以上一系列的问题，上网行为管理产品应运而生，用于实现员工上网行为的管理、带宽的限制和确保员工上网安全等，可以极大提高员工的办公效率和带宽利用率，防止机密数据泄密和员工通过网络从事违法活动。

2 企业网络分析

[通过与企业进行深入的交流，我们对其网络进行了充分的了解与分析。……]

2.1 企业网络现状

[此部分主要包括两个部分(注意：要给出网络的吞吐量)：

1．企业内部网络拓扑图，如果企业是新建网络，则提供没有上网行为管理设备的网络拓扑图，用来进行组网方案的分析。

2．企业内部网络承载的业务，主要是内部业务以及出口网络业务]

2.2 企业网络业务流分析

[给出企业现网的业务流分析图，使得客户对现有网络资源滥用问题理解的更加清晰]

2.3 企业上网行为管理问题与分析

[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)：

1．企业内部有大量抢占带宽的与工作无关的应用：需要对P2P下载、P2P视频等流量进行限制，甚至阻断；

2．企业内部有影响工作效率的与工作无关的应用：需要对聊天、炒股、游戏、博客、网上商城等流量进行限制，甚至阻断；

3．企业有核心数据泄露的风险：需要对员工的网上发帖、传输文件等的内容进行过滤，并对泄露行为留下证据；

4．企业因为员工个人的网上行为带给企业法律风险：需要过滤不良的URL网址、对员工上网发表言论的关键字进行过滤，并留下证据；

5. 企业员工安全意识薄弱带来企业网络安全问题：需要对恶意URL网址进行过滤、对下载文件进行防病毒检查，对针对终端的攻击进行防御等；

6. 企业网管对网络使用情况管理困难：员工上班时间从事办公无关行为影响办公效率；大量网络视频和P2P下载导致网络不稳定；时常发生设计图纸和财务报表等敏感数据外泄事故。企业需要按人、应用对上网时长/流量/行为次数进行分析，可以形成排名、趋势、对比的分析报表；并总结输出面向管理层的多种分析报表，如：办公效率报表、员工合规性评估报表等；

3 企业上网行为管理需求

[针对企业上网行为管理问题与分析给出简要的描述，例如：通过深入的交流与分析，企业上网行为管理需求分为四个部分：提升办公效率、带宽管控、内网安全、员工上网行为审计、数据防泄漏。]

3.1 企业上网行为管理设计原则

根据企业对网络安全的需求以及华为公司对网络安全的积累，我们提出企业上网行为管理设计必须满足以下原则：

1． 安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

2． 可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。

3． 先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。

4． 可推广性原则：方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。

5． 可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。

6． 兼容性原则：要求系统的标准化程度高，可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给出不兼容的设计。

7． 可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。

3.2 企业上网行为管理需求

[新增上网行为管理，用以满足企业以下需求(根据企业上网行为管理问题与分析给出需求)：

企业上网行为

1． 员工上班时间上网，影响工作效率。

2． 公司机密信息通过网络随意外传，遭受损失。

3． 公司正常网络业务带宽受到工作无关业务影响。

4． 保障用户正常业务流量、限制办公无关应用流量

5． 防止重要信息资产外泄

6． 绝浏览和发布不良信息

政府上网行为管理

1. 上班时间炒股、玩游戏

2. 浏览不良网站（反动、色情、暴力、博彩类）

3. 严重影响政府形象和办事效率

4. 散布非法言论，违法互联网相关的政策法规

教育行业

1. 实现学校绿色上网的政策要求

2. 过滤恶意网站

3. 审计网络行为

4. 保证教师等重要用户的上网带宽

宾馆酒店

1. 保证宾馆正常在线客房预订业务

2. 保证宾馆办公网络正常带宽

3. 保证房客住宿期间，宾馆承诺的网络带宽

4. 宾馆记录房客的互联网访问记录，以备检查和取证。

5. 宾馆禁止房客进行不良、非法的互联网访问行为

6. 公安部82号令

7． ……]

8．

4 上网行为管理解决方案

4.1 ASG上网行为管理简介

ASG（Application Security Gateway）是华为技术有限公司（以下简称华为）推出的上网行为管理产品，主要解决内部员工上网带来的工作效率低下、带宽滥用、恶意软件感染、内部信息泄漏以及法律合规等问题。

4.2 企业上网行为管理产品部署模式

[根据对企业的需求分析选择以下的一个方案或者进行方案综合]

4.2.1 网桥模式

单网桥

ASG与内网交换机连接的接口加入LAN区域，与出口网关连接的接口加入WAN区域，形成一进一出单网桥组网。ASG对内网用户的上网行为进行管理，并提供审计功能。

适用场景：企业具有出口网关，不希望改动现有网络环境

硬件要求：一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器（用于部署ASG Manager）

软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

多网桥

ASG支持多个网桥，可以通过指定不同的LAN/WAN口进行配置，不同网桥之间在设备内部通过VLAN进行隔离。ASG还支持网桥多网口，即一个网桥中包含多对多或一对多的接口，这些接口属于同一个VLAN，可以相互通信。

适用场景：企业网络被隔离为多个，并且都具有出口网关，希望仅适用一套ASG设备进行管理，不希望改动现有网络环境

硬件要求：一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器（用于部署ASG Manager）

软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

4.2.2 网关模式

单ISP

网关模式的ASG工作在三层，通常部署在企业网络出口处，作为出口网关使用。网关模式组网通常还启用源NAT，将上网PC的私网IP地址转换为公网IP地址。

网关模式组网支持所有的业务功能，尤其对NAT功能支持全面，同时支持源NAT和地址映射（虚拟服务器）。

适用场景：企业没有出口网关，需要使用ASG做出口网关，只接入一个ISP

硬件要求：一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器（用于部署ASG Manager）

软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

多ISP

适用场景：企业没有出口网关，需要使用ASG做出口网关，只接入多个ISP

硬件要求：一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800，ESP卡或者一台PC服务器（用于部署ASG Manager）

软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008

4.2.3 旁路模式

旁路模式通过交换机或HUB的流量镜像功能把用户的上网数据镜像到ASG，从而实现对上网行为的审计。旁路组网时即使ASG发生故障也不会影响网络业务。

适用场景：企业具有出口网关，不需要对网络进行改造，对上网行为的审计具有要求，对用户行为的权限控制基本没有要求或者仅要求身份认证。

硬件要求：一台ASG2050/ASG2100/ASG2150/ASG2200/ASG2600/ASG2800，内置管理中心或者一台PC服务器（用于部署ASG Manager）。

软件要求：在选用独立PC服务器部署ASG Manager时需要单独提供Windows 7/Windows 2003/Windows 2008.

4.3 应用场景

请根据具体项目场景选择

4.3.1 金融行业互联网风险管理

在总部和分支机构互联出口分别部署ASG设备可以有效降低互联风险。

典型组网如下图所示，在有独立互联网出口的总部和分支机构分别部署ASG设备，通过ASG管理中心对ASG设备进行集中统一管理。通过规范员工上网行为、防止主动或者被动泄密，有效降低互联网风险。

金融行业互联网风险管理典型组网图

该应用场景主要实现如下目的：

l 管控上网权限

根据员工职位职责分配上网权限，杜绝越权访问和权限滥用。

l 管控外发数据

管控Web、邮件和IM外发文件行为，防止泄密事件。

l 管理出口带宽

对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行封堵或限速，疏堵结合，提高出口带宽利用率。同时提供带宽保证措施，保证关键应用对外提供服务的带宽，保证内部重要人员的上网带宽。

l 威胁过滤

自动过滤钓鱼、网马和恶意软件下载等恶意网站，检测威胁流量和病毒，确保用户安全上网。

l 管控违规信息

过滤浏览的违法违规网页，过滤通过网页发布的不良信息。

l 审计监督

行为日志审计和外发内容保存，满足监管要求。

l TSM联动部署

与TSM（终端安全管理）联动部署，自动从TSM同步用户信息，实现单点登录，禁止未通过TSM认证的用户访问互联网，确保上网终端满足企业安全要求。

4.3.2 政府信息中心上网行为管理

在具有独立出口的信息中心和下属单位部署ASG设备，通过细分上网权限、管理出口带宽、管控法律风险和全面网络行为审计，可以有效降低互联网风险、满足法律法规要求。

政府机关网络一般包括政务外网和政务内网，电子政务规划要求下属单位需要通过政府信息中心的互联网出口统一上网，但是也存在个别下属单位由于特殊原因拥有自己的互联网出口。政务内网跟互联网物理隔离，政务外网是办公人员跟外面进行信息交流的通道，也是政务公开和网上办事的窗口。

如下图所示，在有独立互联网出口的总部和分支机构分别部署ASG设备，通过ASG管理中心对ASG设备进行集中统一管理。

政府信息中心上网行为管理典型组网图

该应用场景主要实现如下目的：

l 管理出口带宽

基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。

l 管理出口带宽

基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。同时提供带宽保证措施，保证关键应用对外提供服务的带宽、保证内部重要人员的上网带宽。

l 管控上网权限

根据不同部门/用户（单位）分配不同的互联网资源访问权限。

l 管控法律风险

过滤浏览的不良网站和非法网站（反动、色情、暴力、博彩等），过滤发布非法言论。

l 审计和监督

记录网络访问行为，满足公安部82号令要求。

l 威胁过滤

过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全上网。

4.3.3能源行业上网行为管理

在连接Internet网出口部署ASG设备，通过保障用户正常业务流量、限制办公无关应用流量和规范员工上网行为，打造高效办公、绿色上网的办公环境。

如下图所示，在连接Internet网出口处部署ASG设备，通过ASG管理中心对ASG设备进行集中管理。

该应用场景主要实现如下目的：

l 管理出口带宽

保证员工访问服务器区资源的带宽、保证领导和部分特别人员和部门的带宽、限制员工在上班时间使用办公无关的大流量应用。

l 限制办公无关的上网行为

限制上班时间浏览工作无关网页、IM聊天、在线网页视频、在线炒股、迅雷/BT等P2P下载和网络游戏等。

l 上网行为和流量统计

统计用户上网行为及时长、统计应用流量和用户流量，识别主要用户和主要应用及其变化趋势，为行为管理和带宽优化提供依据。

l 审计和监控

记录网络访问行为，满足国家电网定期检查最近网络访问日志（60天以上）的审计要求。

l 威胁过滤

过滤钓鱼、网马和恶意软件下载等恶意网站，确保用户安全上网。