随着计算机技术、网络技术的飞速发展,企事业单位越来越多地依赖于IT系统作为其日常业务的支撑平台,如OA、ERP、CRM等业务系统,而这些相关的业务系统无一不需要以网络作为其业务的基础平台。但是由于网络承载内容变得日益复杂和多元化,网络流量日益增加,带宽出口瓶颈日益严重。大量非业务资源的访问(P2P下载、在线影音)、超大文件的传输、上传、下载,不仅严重浪费宝贵的带宽资源,造成关键业务应用访问迟缓,同时无形中增加了IT维护成本。本文分析办公网面临的带宽滥用等问题,比较和选择网络安全设备,探讨办公网行为管理和带宽管理解决方案。
1、办公网面临的问题
随着计算机技术、网络技术的飞速发展,企事业单位越来越多地依赖于IT系统作为其日常业务的支撑平台,如OA、ERP、CRM等业务系统,而这些相关的业务系统无一不需要以网络作为其业务的基础平台。
但是由于网络承载内容变得日益复杂和多元化,网络流量日益增加,带宽出口瓶颈日益严重。大量非业务资源的访问(P2P下载、在线影音)、超大文件的传输、上传、下载,不仅严重浪费宝贵的带宽资源,造成关键业务应用访问迟缓,同时无形中增加了IT维护成本。
1.1 带宽滥用
办公网内部构成是局域网。有共同的广播域和互联网网关。由于网络带宽资源日趋紧张。带宽恶性滥用现象严重。
图1是通过网络监测设备抓取的我院24小时下行流量图。从图1可见,11:00-17:00,整个网络下行带宽被完全耗尽(该例中网络带宽出口上限是20Mbps),其中P2P下载及网络电视占据了绝大多数带宽。而当带宽被耗尽时,新发起网络会话申请会被无限期延迟,所以给用户造成网络中断的感觉。
图2揭示了整个办公网的流量概况。从中可以看出仅P2P下载及网络电视两项就占据了86.75%的带宽,属于典型的带宽滥用。
1.2 安全防护不足
许多办公网除了网络层防火墙外.没有足够的网络安全设施。比如IPS入侵防御系统或应用层的上网行为管理产品等,所以不能构成较完整的网络安全防护架构。而不规范的互联网访问、邮箱附件下载、IM聊天应用等,经常会给内网带来病毒、木马等,危害办公网的安全。许多病毒、木马等恶意软件选择了互联网中的Web网页作为藏身之地,当员工在浏览这些问题网页时,因为系统的漏洞,某些不明插件会神不知鬼不觉地侵入员工的个人计算机系统,导致病毒木马爆发。然后通过单位的内部网进一步传播和蔓延。
1.3 网络不可见
如果缺少必要的网络安全设备,则网络应用和业务不可视,无法进行控制和管理,无法对网络进行分析总结,网络处于不可控的状态且无依据可循。如办公网内未经允许私自架设无线路由器和修改IP地址时有发生,没有相应的科技手段加以管理制约。
因此,如何洞悉、管理、优化网络带宽成为各企事业单位IT运营的首要前提,一个可视、可靠、可持续运营的网络系统是保障日常办公管理正常开展的关键要素。制定一套全面的网络行为管理和带宽管理专业解决方案势在必行。
2、选择合适的网络安全设备
2.1 常见网络安全设备的技术特性
目前广泛使用的网络安全设备有防火墙、IPS入侵防御系统和上网行为管理产品等,各自具有不同的技术特性。
2.1.1 防火墙
防火墙是内部网与外部网之间的一道保护屏障,能够保护内部网免受非法用户的侵入。防火墙的主要功能是提供网络安全屏障、强化网络安全策略、监控网络存取和访问、防止内部信息外泄等。
2.1.2 IPS入侵防御系统
能够提供入侵防护,实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量.保护企业信息系统和网络架构免受侵害;能够提供WEB安全。基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁;能够进行流量控制。阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻;能够提供上网监管,全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量。更好地执行企业的安全策略。
2.1.3 上网行为管理产品
上网行为管理是由中国本土安全厂商逐步定义的全新网络应用层产品,也有的称之为互联网控制网关设备,能够帮助互联网用户控制和管理对互联网的使用。包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。
2.2 网络安全设备的功能定位和比较
防火墙的种类很多,从入门级到专业级、企业级不一而足,价格也相差很大,有的路由器设备自身也带有防火墙。功能越强大的防火墙,购买及更新费用也越高。
IPS入侵防御系统功能强大,甚至兼具了防火墙、防毒墙、上网行为管理的功能,适用于大中型企业、信息防护要求高的客户。如用在小型办公网。则投资与潜在风险危害不成比例,性价比不高。
上网行为管理是基于应用层管理的产品。它可以根据应用协议库分析应用程序,将用户需要管理的应用程序很好的管理起来,让用户安全绿色上网。防火墙主要是从网络层来控制安全,基于端口和IP地址进行过滤。目前很多上网行为管理的产品比相同等级的防火墙价位要相对更低一些。更适用于中小企业、学校、医院等客户。因此成为办公网实施行为管理和带宽管理的最佳选择。
3、制定行为管理和带宽管理的策略组合
选择了合适的上网行为管理设备之后,还需要根据办公网的网络环境,选择合适的网络部署模式。配置上网行为管理系统网关设备,并根据网络环境和客户需求的不同,制定综合管理策略组合。
同时结合Web管理界面,实现单位内部局域网上网行为管理平台的集成,构建完整的上网行为管理体系。
以我院办公网为例。我们从完善用户管理、控制上两行为、合理配置资源的角度出发,经过反复实验论证和细致调整,制定了如下管理策略。
3.1 流量管理策略
3.1.1 P2P下载限制:包括P2P影音、P2P下载等应用,将下载带宽设定为最大下载速率6Mbps。
3.1.2 网页视频限制:包括各种网页视频应用.将下载带宽设定为最大下载速率10Mbps。由于网页视频也包括了网络教学视频在内,并且对带宽占用比较均匀。所以限制可放宽。
3.1.3 网页访问优先保障:包括普通HTTP,HTTP脚本文件下载,HTTP动态页面文件下载等应用.将下载带宽设定为最小下载速率3Mbps,最大下载速率20Mbps。由于浏览网页属于最常用.并且和办公密切相关的应用,所以应当优先保障其应用。这里配置的策略相当于给浏览网页单独划出3M带宽通道,无论是否使用,这3M带宽会被保留,能给用户带来流畅上网体验。
3.1.4 网络课堂优先保障:包括RTMP等网络课堂应用,将下载带宽设定为最小下载速率3Mbps,最大下载速率20Mlops。这条策略的设定与网页保障相同,可以留出一定带宽优先保障其应用,以满足教职员工登录网络学院学习的需求。企业也可根据单位实际情况选择与此类似的网络会议保障、办公OA保障等等,由此可以优化网络资源配置。
3.2 用户管理策略
3.2.1并发连接数限制:设定为3000以下。局域网内并发连接数过高的用户往往是中了病毒或木马,不仅计算机运行速度会变得很慢,也会影响整个网络的正常运行。
3.2.2 单个用户带宽限制:设定为单个用户最高下载速率为3Mbps。这项策略是为了避免某个用户占用过多资源。经测试发现。在用户数较多的办公网内,单用户最高下载速率略微提高则富余带宽会迅速减少。由图3可见办公网内曾同时有2位用户下载速率达到上限。
3.2.3 IP地址管理:将IP地址分段管理并进行MAC地址绑定。lP地址如果私自修改将无法上网。
3.3 应用控制管理
3.3.1 网页浏览限制:在网站分类列表中.直接将安全隐患、非法行为、低俗行为等网站进行屏蔽。通过对不良信息的过滤。能够保障信息安全,强化安全防范能力:
3.3.2 木马应用限制:直接屏蔽带有木马特征的应用。
4、部署上网行为管理设备的成效
4.1 流量管控,提高了业务应用系统的带宽利用率
通过针对不同用户和具体应用进行合理的带宽划分,为员工正常学习办公提供了充足的带宽.保障了相关部门业务应用的带宽需求。既防范了办公网的带宽滥用,又提升了带宽利用效率。有效的流量管理,保障了正常的上网行为。
通过前述管理策略的组合,学院办公网络的运行质量得到了明显提升。
从图4可见,学院办公网络高峰时段下行流速被控制在上限的80%附近即16Mbps左右,显示带宽尚有富余。从图5看,P2P下载(含迅雷)及网络电视占比下降到了55%。
4.2 带宽统计和报表显示,为lT管理决策提供依据
作为网络安全设施建设的一部分.上网行为管理设备的部署,能为信息科技部门的IT管理决策提供科学依据。这类设备能对内网用户各种网络行为进行记录、统计并形成图形化报表,以便管理者轻松掌控网络行为分布和带宽资源使用情况。
4.3 规范上网行为,提高员工工作效率
针对员工上班时间无关网页浏览、IM聊天、在线炒股、网络游戏等,可以进行过滤、封堵、管理和引导,规范员工的网络应用。提高工作效率,减少非业务网络应用对带宽的挤占。
总之,办公网上网行为管理的建设为单位提供了一个高效、规范和安全的互联网环境。通过整体的安全解决方案来实现统一的用户管理,在员工获得更为高效的工作效率的同时,还将促使单位向知识型、学习型发展。