浅谈上网行为管理系统在网络安全中的应用

【关键词】互联网 上网行为管理 网络安全 广播风暴 VLAN

【中图分类号】TP311【文献标识码】A【文章编号】1672-5158（2013）02-0158-02

引言：随着计算机网络技术的飞速发展，各种基于互联网的应用与服务日益成为社会生活工作中必不可少的工具，为人们工作、生活和学习带来了无与伦比、便捷高效的帮助。计算机、宽带技术的迅速发展更使得办公效率、信息传递能力得到成倍的提高。与此同时、信息数据安全问题，网络通讯保障问题，计算机网络安全问题也越来越越被高度重视。不安全使用互联网资源、网络安全漏洞、病毒等等因素都可以严重影响正常的工作效率。为了加强计算机网络安全，除却严格的管理措施外，必须通过一定的技术手段和硬件配置条件来达到计算机网络安全运行的目的。西藏广播影视节目传输中心担负西藏广播电影电视局局域网出口的管理与维护工作，通过改变网络结构与部署上网行为管理设备，实现了优化网络环境，提高资源利用效率，充分保障局域网信息安全。

一、网络现状

西藏广电局局域网有用户两百余台，通过核心路由器，交换机连接电信光纤，每台计算机IP地址固定，核心机房配备防火墙等安全设备，出口流量在100M左右，由于原有的流量管理手段性能有限，再加上提供网站WEB服务等等功能，其带宽利用实际已经达到极限，其流量管理设备在高峰时段处在超负荷运转，网络丢包率上升，特别是对广播风暴的防范能力比较低，导致网络访问响应时间很慢，无法满足业务的需求。通过研究分析，发现在安全方面主要存在的问题：

1.由于两百余台用户计算机广泛接入互联网，网络安全的控制难度也越来越大，因工作业务需要，多数用户需要随时使用互联网服务，无法通过软件管理、网络配置等传统手段限制其使用某些功能。当一些合法用户，由于某种原因造成无法正常上网时会私自修改其 IP地址，导致其它合法用户 IP冲突，出现安全问题时，通过路由器等查看日志， 无法确定真实IP网址，也就无法准确定位出现问题的电脑。对于常用的计算机网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，独立的IP地址能让每一台的主机区分开来，是网络上其它主机进行通讯的必要条件。

使用路由器或三层交换机能够实现在不同子网间隔离广播风暴的作用

2.人为使用因素：互联网具有巨大的开放性，也使得非法网站难以控制和限制、无法有效规避法律风险。日常办公的技术人员频繁利用互联网做与日常工作无关的事情，严重影响工作效率。P2P、流媒体等软件的广泛使用导致了带宽的严重不足，带来的网络资源的拥塞，局域网用户经常使用P2P软件下载大量的文件，可能包括不良信息，常常带有病毒、恶意程序等，容易给整个局域网带来巨大的危害；P2P软件经常利用计算机网络安全漏洞来穿透当前各种防火墙和各种安全代理屏障，造成信息安全隐患；传统的互联网设计无法长时间承受P2P软件的使用，容易造成网络堵塞。

二、解决问题的对策

1.改变网络结构

现有局域网包括200台以上客户机，涉及不同的部门，每个部门有不同的互联网应用需求，有的侧重新闻查询，有的侧重信息通讯，有的侧重流媒体服务，为了保证部门与部门间的信息安全，利用三层交换与VLAN技术是十分必要的。

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。是一种将局域网设备从逻辑上划分成不同网段，从而实现虚拟工作组的数据交换技术。这一技术主要应用在有VLAN协议的第三层以上交换机之中。

使用三层交换与VLAN后达到的效果

2.引入上网行为管理设备

为满足信息安全的需要，记录并留存内网用户发生的各种网络行为日志，针对用户互联网访问行为的管控都已经成为网络安全的必要措施，由于互联网行为复杂且难以预料，不规范网络行为，不安全的网络行为，不论是人为还是意外，都使得互联网使用面临法律违规和泄密风险；与工作无关的网络带宽使用、病毒木马等引起的网络带宽消耗常常使网络带宽资源陷入被滥用，为了提高带宽进行扩容，而后再被滥用的恶性循环状态，因此，使用近年来发展并逐渐开始普及的上网行为管理系统对员工的上网行为进行有效而可靠的管理变得十分必要。上网行为管理系统可以在管理网络带宽、避免法律和泄密风险、提升工作效率、提升内网可靠可用性，便捷管理方面提供高可靠的使用性。在考查了市场上主流产品后，我们选择了深信服AC-H3500-L1-MS3上网行为管理设备。

2.1 接入模式：网关模式（路由模式）

将AC（深信服AC系列上网行为管理设备）通过网关模式串接在internet出口光纤与三层交换机之间，所有流量都通过 AC 处理，对内网用户上网行为和数据包实施控制、拦截、流量管理等功能。并以 AC 作为局域网internet出口网关，以AC 的防火墙功能保障网络安全。采用浏览器访问AC的配置界面。因为采用网关部署模式，内网的用户可以直接访问到这台设备。访问页面为.Https，需要设备管理员的用户名和密码才可进入，这样网络管理人员可以在局域网的任何位置了解整个网络的运行情况。

2.2 规划用户分组结构

不同的部门互联网应用的内容不尽相同，比如行政部门对政府和新闻网站方面更加关注，音像传媒管理部门对视音频网站有要求，网站部门对WEB服务、上下行带宽有要求。根据不同的部门、不同的网络应用需求，通过分组来制定不同的安全策略。

2.3 建立身份认证体系

采用基于IP地址、MAC地址、计算机名的识别方法，根据数据包的源IP地址/源MAC地址，上网计算机的计算机名来识别用户。此种识别方式，优点是用户访问网络前不会在浏览器中弹出认证框要求输入用户名，密码，上网用户不会感知到设备的存在。也可以采用用户名/密码认证方式，访问网络前，上网用户的浏览器会被重定向到设备内置的认证页面，认证页面中会要求用户提供正确的用户名，密码后才能访问网络。开启IP和MAC地址绑定功能，防止非法修改IP地址。防止IP地址被盗用，这样可以有效解决用户非法接入和私自修改IP的问题。

2.4 监控、分配网络流量

通过计算机登陆 AC 控制台，网络管理人员可以直观查看流量曲线图、当前流量 TOP 10 应用等，并可通过 AC 的数据中心进一步详细查看、统计指定时间段的流量情况。AC可以提供统计指定时间段、指定分组或指定用户的流量情况；还可基于用户进行上行流量、下行流量、总流量等排名，找到流量最活跃的用户。

2.5 网页访问控制

网页浏览是互联网行为最为常用的部分，由于上网人员安全意识与网络知识的参差不齐，上网行为安全与否越来越难以通过教育与规定来全面控制。目前，病毒木马等主要来源与不安全网页的浏览有着极为重要的关系，信息的泄密也常常发生于在用户没有察觉的情况下下载了危险程序有关。以AC来防控和过滤上网行为，在内网与外网之间在信息层面上形成安全机制有着十分重要的作用。

2.5.1 URL 地址过滤

通过预分类 URL 地址库，经过人工审核分类，已知的危险网站，挂马网站，比如互联网上各类涉及色情、反动、暴力等站点，通过URL地址过滤，使内网用户不能访问这些网站。

2.5.2 应用审计

应用审计是对各种类型应用服务的审计，它的审计范围是用户的上网行为。例如BBS发帖，用户访问过的网址、用户通过网站下载的文件名称、用户通过telnet执行远程登陆服务等等信息，为全面管理网络信息安全提供高效的解决方案。

三、取得的效果

在引入VLAN与上网行为管理设备之前，内网用户的上网流量构成非常复杂，引起广播风暴的病毒程序在内网用户间的交叉感染使得查找和排除工作缓慢低效，网络带宽资源受此影响，时常发生网络业务运行不稳定，应用系统访问缓慢，严重时出现大面积掉线的情况。虽然对于内网用户使用互联网，各单位部门都有严格的规定，但仅仅依靠用户自觉遵守，而缺乏技术手段，效果不尽如人意。

通过划分VLAN与部署上网行为管理设备，网络运行越来越稳定，上网速率较以前有明显的改善，工作效率有了很大的提高。

通过审计发现，网络流量中P2P等应用流量的占用比率明显降低，有效减轻了网络带宽的负载。通过查看到网络流量、网络监控、安全日志等详细信息，可直接打印和导出报表。通过日志检索功能，能快速的定位问题事件，及时了解网络运行情况，并对网络整体状况做出基本分析，及时发现造成网络异常的故障原因，快速进行故障定位。特别是可以监督、控制、引导用户正确使用网络。对于目前市场上互联网出口控制层面上的主流产品，上网行为管理设备较好地解决了在安全和畅通的前提下，充分利用网络资源，高度保障信息安全的问题。