淺談上網(wǎng)行為管理系統(tǒng)在網(wǎng)絡安全中的應用

周賢祿 豐貴瓊

【關鍵詞】互聯(lián)網(wǎng) 上網(wǎng)行為管理 網(wǎng)絡安全 廣播風暴 VLAN

【中圖分類號】TP311【文獻標識碼】A【文章編號】1672-5158（2013）02-0158-02

引言：隨著計算機網(wǎng)絡技術的飛速發(fā)展，各種基于互聯(lián)網(wǎng)的應用與服務日益成為社會生活工作中必不可少的工具，為人們工作、生活和學習帶來了無與倫比、便捷高效的幫助。計算機、寬帶技術的迅速發(fā)展更使得辦公效率、信息傳遞能力得到成倍的提高。與此同時、信息數(shù)據(jù)安全問題，網(wǎng)絡通訊保障問題，計算機網(wǎng)絡安全問題也越來越越被高度重視。不安全使用互聯(lián)網(wǎng)資源、網(wǎng)絡安全漏洞、病毒等等因素都可以嚴重影響正常的工作效率。為了加強計算機網(wǎng)絡安全，除卻嚴格的管理措施外，必須通過一定的技術手段和硬件配置條件來達到計算機網(wǎng)絡安全運行的目的。西藏廣播影視節(jié)目傳輸中心擔負西藏廣播電影電視局局域網(wǎng)出口的管理與維護工作，通過改變網(wǎng)絡結構與部署上網(wǎng)行為管理設備，實現(xiàn)了優(yōu)化網(wǎng)絡環(huán)境，提高資源利用效率，充分保障局域網(wǎng)信息安全。

一、網(wǎng)絡現(xiàn)狀

西藏廣電局局域網(wǎng)有用戶兩百余臺，通過核心路由器，交換機連接電信光纖，每臺計算機IP地址固定，核心機房配備防火墻等安全設備，出口流量在100M左右，由于原有的流量管理手段性能有限，再加上提供網(wǎng)站W(wǎng)EB服務等等功能，其帶寬利用實際已經(jīng)達到極限，其流量管理設備在高峰時段處在超負荷運轉，網(wǎng)絡丟包率上升，特別是對廣播風暴的防范能力比較低，導致網(wǎng)絡訪問響應時間很慢，無法滿足業(yè)務的需求。通過研究分析，發(fā)現(xiàn)在安全方面主要存在的問題：

1.由于兩百余臺用戶計算機廣泛接入互聯(lián)網(wǎng)，網(wǎng)絡安全的控制難度也越來越大，因工作業(yè)務需要，多數(shù)用戶需要隨時使用互聯(lián)網(wǎng)服務，無法通過軟件管理、網(wǎng)絡配置等傳統(tǒng)手段限制其使用某些功能。當一些合法用戶，由于某種原因造成無法正常上網(wǎng)時會私自修改其 IP地址，導致其它合法用戶 IP沖突，出現(xiàn)安全問題時，通過路由器等查看日志， 無法確定真實IP網(wǎng)址，也就無法準確定位出現(xiàn)問題的電腦。對于常用的計算機網(wǎng)絡上，使用TCP/IP協(xié)議時每臺主機必須具有獨立的IP地址，獨立的IP地址能讓每一臺的主機區(qū)分開來，是網(wǎng)絡上其它主機進行通訊的必要條件。

使用路由器或三層交換機能夠實現(xiàn)在不同子網(wǎng)間隔離廣播風暴的作用

2.人為使用因素：互聯(lián)網(wǎng)具有巨大的開放性，也使得非法網(wǎng)站難以控制和限制、無法有效規(guī)避法律風險。日常辦公的技術人員頻繁利用互聯(lián)網(wǎng)做與日常工作無關的事情，嚴重影響工作效率。P2P、流媒體等軟件的廣泛使用導致了帶寬的嚴重不足，帶來的網(wǎng)絡資源的擁塞，局域網(wǎng)用戶經(jīng)常使用P2P軟件下載大量的文件，可能包括不良信息，常常帶有病毒、惡意程序等，容易給整個局域網(wǎng)帶來巨大的危害；P2P軟件經(jīng)常利用計算機網(wǎng)絡安全漏洞來穿透當前各種防火墻和各種安全代理屏障，造成信息安全隱患；傳統(tǒng)的互聯(lián)網(wǎng)設計無法長時間承受P2P軟件的使用，容易造成網(wǎng)絡堵塞。

二、解決問題的對策

1.改變網(wǎng)絡結構

現(xiàn)有局域網(wǎng)包括200臺以上客戶機，涉及不同的部門，每個部門有不同的互聯(lián)網(wǎng)應用需求，有的側重新聞查詢，有的側重信息通訊，有的側重流媒體服務，為了保證部門與部門間的信息安全，利用三層交換與VLAN技術是十分必要的。

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。是一種將局域網(wǎng)設備從邏輯上劃分成不同網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術。這一技術主要應用在有VLAN協(xié)議的第三層以上交換機之中。

使用三層交換與VLAN后達到的效果

2.引入上網(wǎng)行為管理設備

為滿足信息安全的需要，記錄并留存內網(wǎng)用戶發(fā)生的各種網(wǎng)絡行為日志，針對用戶互聯(lián)網(wǎng)訪問行為的管控都已經(jīng)成為網(wǎng)絡安全的必要措施，由于互聯(lián)網(wǎng)行為復雜且難以預料，不規(guī)范網(wǎng)絡行為，不安全的網(wǎng)絡行為，不論是人為還是意外，都使得互聯(lián)網(wǎng)使用面臨法律違規(guī)和泄密風險；與工作無關的網(wǎng)絡帶寬使用、病毒木馬等引起的網(wǎng)絡帶寬消耗常常使網(wǎng)絡帶寬資源陷入被濫用，為了提高帶寬進行擴容，而后再被濫用的惡性循環(huán)狀態(tài)，因此，使用近年來發(fā)展并逐漸開始普及的上網(wǎng)行為管理系統(tǒng)對員工的上網(wǎng)行為進行有效而可靠的管理變得十分必要。上網(wǎng)行為管理系統(tǒng)可以在管理網(wǎng)絡帶寬、避免法律和泄密風險、提升工作效率、提升內網(wǎng)可靠可用性，便捷管理方面提供高可靠的使用性。在考查了市場上主流產品后，我們選擇了深信服AC-H3500-L1-MS3上網(wǎng)行為管理設備。

2.1 接入模式：網(wǎng)關模式（路由模式）

將AC（深信服AC系列上網(wǎng)行為管理設備）通過網(wǎng)關模式串接在internet出口光纖與三層交換機之間，所有流量都通過 AC 處理，對內網(wǎng)用戶上網(wǎng)行為和數(shù)據(jù)包實施控制、攔截、流量管理等功能。并以 AC 作為局域網(wǎng)internet出口網(wǎng)關，以AC 的防火墻功能保障網(wǎng)絡安全。采用瀏覽器訪問AC的配置界面。因為采用網(wǎng)關部署模式，內網(wǎng)的用戶可以直接訪問到這臺設備。訪問頁面為.Https，需要設備管理員的用戶名和密碼才可進入，這樣網(wǎng)絡管理人員可以在局域網(wǎng)的任何位置了解整個網(wǎng)絡的運行情況。

2.2 規(guī)劃用戶分組結構

不同的部門互聯(lián)網(wǎng)應用的內容不盡相同，比如行政部門對政府和新聞網(wǎng)站方面更加關注，音像傳媒管理部門對視音頻網(wǎng)站有要求，網(wǎng)站部門對WEB服務、上下行帶寬有要求。根據(jù)不同的部門、不同的網(wǎng)絡應用需求，通過分組來制定不同的安全策略。

2.3 建立身份認證體系

采用基于IP地址、MAC地址、計算機名的識別方法，根據(jù)數(shù)據(jù)包的源IP地址/源MAC地址，上網(wǎng)計算機的計算機名來識別用戶。此種識別方式，優(yōu)點是用戶訪問網(wǎng)絡前不會在瀏覽器中彈出認證框要求輸入用戶名，密碼，上網(wǎng)用戶不會感知到設備的存在。也可以采用用戶名/密碼認證方式，訪問網(wǎng)絡前，上網(wǎng)用戶的瀏覽器會被重定向到設備內置的認證頁面，認證頁面中會要求用戶提供正確的用戶名，密碼后才能訪問網(wǎng)絡。開啟IP和MAC地址綁定功能，防止非法修改IP地址。防止IP地址被盜用，這樣可以有效解決用戶非法接入和私自修改IP的問題。

2.4 監(jiān)控、分配網(wǎng)絡流量

通過計算機登陸 AC 控制臺，網(wǎng)絡管理人員可以直觀查看流量曲線圖、當前流量 TOP 10 應用等，并可通過 AC 的數(shù)據(jù)中心進一步詳細查看、統(tǒng)計指定時間段的流量情況。AC可以提供統(tǒng)計指定時間段、指定分組或指定用戶的流量情況；還可基于用戶進行上行流量、下行流量、總流量等排名，找到流量最活躍的用戶。

2.5 網(wǎng)頁訪問控制

網(wǎng)頁瀏覽是互聯(lián)網(wǎng)行為最為常用的部分，由于上網(wǎng)人員安全意識與網(wǎng)絡知識的參差不齊，上網(wǎng)行為安全與否越來越難以通過教育與規(guī)定來全面控制。目前，病毒木馬等主要來源與不安全網(wǎng)頁的瀏覽有著極為重要的關系，信息的泄密也常常發(fā)生于在用戶沒有察覺的情況下下載了危險程序有關。以AC來防控和過濾上網(wǎng)行為，在內網(wǎng)與外網(wǎng)之間在信息層面上形成安全機制有著十分重要的作用。

2.5.1 URL 地址過濾

通過預分類 URL 地址庫，經(jīng)過人工審核分類，已知的危險網(wǎng)站，掛馬網(wǎng)站，比如互聯(lián)網(wǎng)上各類涉及色情、反動、暴力等站點，通過URL地址過濾，使內網(wǎng)用戶不能訪問這些網(wǎng)站。

2.5.2 應用審計

應用審計是對各種類型應用服務的審計，它的審計范圍是用戶的上網(wǎng)行為。例如BBS發(fā)帖，用戶訪問過的網(wǎng)址、用戶通過網(wǎng)站下載的文件名稱、用戶通過telnet執(zhí)行遠程登陸服務等等信息，為全面管理網(wǎng)絡信息安全提供高效的解決方案。

三、取得的效果

在引入VLAN與上網(wǎng)行為管理設備之前，內網(wǎng)用戶的上網(wǎng)流量構成非常復雜，引起廣播風暴的病毒程序在內網(wǎng)用戶間的交叉感染使得查找和排除工作緩慢低效，網(wǎng)絡帶寬資源受此影響，時常發(fā)生網(wǎng)絡業(yè)務運行不穩(wěn)定，應用系統(tǒng)訪問緩慢，嚴重時出現(xiàn)大面積掉線的情況。雖然對于內網(wǎng)用戶使用互聯(lián)網(wǎng)，各單位部門都有嚴格的規(guī)定，但僅僅依靠用戶自覺遵守，而缺乏技術手段，效果不盡如人意。

通過劃分VLAN與部署上網(wǎng)行為管理設備，網(wǎng)絡運行越來越穩(wěn)定，上網(wǎng)速率較以前有明顯的改善，工作效率有了很大的提高。

通過審計發(fā)現(xiàn)，網(wǎng)絡流量中P2P等應用流量的占用比率明顯降低，有效減輕了網(wǎng)絡帶寬的負載。通過查看到網(wǎng)絡流量、網(wǎng)絡監(jiān)控、安全日志等詳細信息，可直接打印和導出報表。通過日志檢索功能，能快速的定位問題事件，及時了解網(wǎng)絡運行情況，并對網(wǎng)絡整體狀況做出基本分析，及時發(fā)現(xiàn)造成網(wǎng)絡異常的故障原因，快速進行故障定位。特別是可以監(jiān)督、控制、引導用戶正確使用網(wǎng)絡。對于目前市場上互聯(lián)網(wǎng)出口控制層面上的主流產品，上網(wǎng)行為管理設備較好地解決了在安全和暢通的前提下，充分利用網(wǎng)絡資源，高度保障信息安全的問題。