上網行為管理

上網行為 管理是指幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析

控制、監督、審核用戶上網所發生的一切行為

5個基本要素: 4W+1H

• Who(誰)
• When (時間)
• Where (訪問哪里)
• What(什么內容、應用)
• How(結果)

對網絡的管控

員工的不當行為引發的問題無法通過傳統的網絡安全設備來實現，網絡管理者必須要對網絡使用基于內容進行管理，包括以下幾點:

• 誰能上網(哪個部門的哪個員工)
• 什么時間可以上網(工作時間/周末、上班時間/休息時間、上午/下午)
• 允許訪問哪些業務(瀏覽網頁、收發郵件、下載文件、 聊天、游戲)
• 具體允許訪問什么內容(哪個網站、郵件內容、聊天內容)
• 允許占用的帶寬、會話、流量是多大(每種應用占用了多大的帶寬、多少會話數、流量有多大)

上網行為系統的工作原理

上網行為系統在線 上運行時需要周期性的更新特征庫,才能更好進行應用識別控制和流量控制等，設備可自動升級也可手動升級。這里主要概述三種工作原理

• web認證實現原理

  上網行為支持使用本地用戶數據庫、RADIUS服務器、AD服務器、LDAP服務器、POP3服務器的用戶認證

• 把用戶名添加到上網行為用戶數據庫中，然后為用戶設置一個密碼以允許用戶使用這個內部數據庫進行認證。
• 添加一個RADIUS 服務器并且選擇RADIUS, 以允許用戶使用選定的RADIUS服務器進行認證。
• 添加一個AD服務器并且選擇AD，以允許用戶使用選定的LDAP服務器進行認證。
• 添加一個LDAP服 務器并且選擇LDAP,以允許用戶使用選定的LDAP服務器進行認證。
• 添加一個POP3服務器并且選擇POP3， 以允許用戶使用選定的POP3服務器進行認證。

• 流量管理原理

  流量管理是通過流量分析，對各種上網流量大小進行精細控制的一種方法。傳統的流量管理功能僅僅是對帶寬進行限制，無法根據應用、 服務、用戶進行帶寬限制，上網行為的流量管理 具有如下特點

• 能夠根據應用、服務、URL、 服務類型、IP地址(組)、 用戶(組)、服務(組)、 時間進行流量控制。
• 支持保障帶寬和最大帶寬。
• 支持彈性帶寬或帶寬借用，充分利用網絡資源。
• 支持優先級，確保高優先級的應用能夠優先獲得帶寬。
• 使用通道帶寬，實現層次化的流量管理。
• 數據包首先協議分析模塊，進行協議識別，包括TCP、 UDP、ICMP,再根據已分析出來的協議特性與系統已有的應用控制特征庫進行模式匹配，匹配到相應特征后，根據規則設置進行放行、阻斷和日志上報。

• HA原理

  HA是High Availbility縮寫， 即高可用性，可防止網絡中由于單個行為管理的設備故障或網絡故障導致網絡中斷，保證網絡服務的連續性和安全強度。目前，HA功能已經是ACM內一個重要組成部分。

• 主備模式(Active-standby) :在一個冗余組中，有兩臺ACM，-臺處于 主狀態。在這個狀態下，ACM響應 ARP請求，并且轉發網絡流量;另一臺處于備份狀態，該ACM不響應ARP請求，也不轉發網絡流量。主備之間同步狀態信息，當主ACM down機或網線故障時，進行主備切換
• ACM的HA功能只支持兩臺設備做HA。在NAT/路由模式和橋接模式下僅支持主備兩種工作模式。HA功能要求兩臺設備的型號相同、組網方式相同、軟件版本一致。在以上條件不一致的情況下，HA功能失效
• 兩臺HA設備之間同步信息和通訊信息采用專用的以太網口，稱為HA接口。HA接口連接方式為直連。為了維護HA狀態的正確性和報文同步，必須妥善維護接口的連接。HA接口的任何中斷都可能導致不可預測的后果:比如兩臺設備可能同時工作狀態，若重新連接之后，兩臺設備重新開始HA啟動過程。
• 兩臺做HA的ACM在路由部署環境中，通常位于核心三層交換機、DMZ區與出口路由器之間，此時，核心三層交換機與主、備ACM相連的兩個端口應在一個VLAN之內;主、備ACM與出口路由器之間以及與DMZ區之間應分別用一臺二層交換機做匯聚。兩臺ACM， 其中一臺為主， 在該狀態下，主ACM響應各類報文請求，并且轉發網絡流量;另一臺為備用設備，備用ACM不響應報文請求，也不轉發網絡流量。主備ACM之間通過HA心跳線同步狀態信息和配置信息。當主機出現故障或主機的鏈路中斷時，備用設備成為主設備，接管原主設備的工作。ACM主備模式支持路由模式和透明模式。

總結

以上是生活随笔為你收集整理的【网络安全】上网行为管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。