企业简单标准方案

1   企业网现状

随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在全世界企业网络使用情况的调查中发现，非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件，或者在线观看收听流媒体的员工正在增加，令网络管理者头疼不已。这些员工随意使用网络将导致三个问题：

(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒，木马造成的网络异常）快速的故障定位，这一切都是对企业网信息安全管理的挑战。

2   系统特点

金盾网络行为管理系统是为了解决企业网出口Internet管理而诞生。该系统在不影响网络运行效率和改变现有网络配置的条件下，可以对内部员工使用Internet网的情况进行有效的管理和控制。它可以做到：

• 通过对员工上网情况的监控和限制，在开放网络资源的同时，最大限度的保证工作效率。
• 通过金盾网络行为管理系统形成的多种统计报表和排行榜，可以帮助网络管理者了解员工的工作情况，并制定相应的策略，提高管理和工作效率
• 通过对于外发邮件和上载内容（BBS）以及即时通信的监控、拦截、审核，防止机密信息通过互联网泄漏出去或员工发布非法言论。

金盾网络行为管理系统是网络管理的好帮手。它对上网行为进行了规范和调整，有效的降低了互联网接入所带来负面影响，在开放网络资源的同时，最大限度地保持了网络的有序性和正常性。金盾网络行为管理系统使用了最先进的网络底层监控技术和多进程共享内存技术，对原有系统没有任何不良影响。

• 管理：金盾提供友善的界面，方便灵活的配置系统，金盾提供灵活的分级管理和授权，便于大型企业网部署和管理。系统也提供完善的备份和数据导出机制。
• 监控：企业管理者可以实时的了解企业网运行数据和员工访问情况。金盾可以记录一段时间的网络使用情况，企业管理者可以方便的查询这些信息。
• 报告：根据金盾的记录，为企业管理者提供各种企业网使用情况报表。
• 规则：企业管理者可以根据监控和报告提供的信息，制作企业网规则，引导员工正确使用网络。
• 审核：企业对含有敏感信息邮件或敏感人群的邮件进行审计，避免企业机密信息泄漏。

3   系统接入方式

金盾网络行为管理系统支持多种接入方式，用户可以根据实际需要把设备接入到自己网络中。系统支持的接入方式如下：

• 01)   旁路监听
• 02)   网桥模式
• 03)   NAT地址转换
• 04)   路由模式

1  旁路监听

旁路监听接入方式对企业网结构影响最小，不需要改变任何路由配置，只需在出口交换机配置端口镜像。其主要原理是监听TCP/IP包并分析来实现监控，通过改变ip包头信息来调节和控制IP连接。

旁路监听适用的网络环境：

• 企业网出口交换机支持端口镜像
• 或企业网出口使用集线器（HUB）

对于大多数的企业网出口部署了交换机，并且可以支持端口镜像，但也有例外。在提出方案之前，需要详细了解客户出口交换机的品牌型号，查阅相关技术文档确认是否支持端口镜像。另外，企业网出口交换机在支持端口镜像的情况下，还必须有可以做端口镜像的空闲端口。对于企业网出口使用集线器的情况，利用数据广播技术，只需一个空闲端口即可。

旁路监听仅仅是一种数据流镜像技术，在数据流控制方面受到制约，金盾的部分阻断和管理功能无法实现。旁路监听工作模式下无法实现功能如下：

• 带宽管理
• 邮件拦截

·注意：旁路监听模式什么时候是首选的方案呢？

• 在客户不需要带宽管理或邮件拦截
• 企业网出口压力很大并且非常繁忙
• 出口交换机可以配置端口镜像或者是HUB
• 在四种方式都可以满足客户时，首选旁路监听

旁路监听典型网络部署拓扑图如下：

2  透明网桥

旁路接入方式对企业网路由配置没有影响，不需要改变任何交换机和路由器的设置，能够实现全部的金盾行为管理功能。其主要原理是监控TCP/IP包并分析来实现监控，通过内置的策略管理器来控制用户的所有访问。

透明网桥适用的网络环境：

• 企业网出口交换机无法实现端口映射
• 客户需要严格的带宽管理
• 网络出口压力不大
• 企业网出口已经配置了路由器、防火墙或者NAT设备，不需要金盾完成路由或NAT功能

透明网桥利用数据流转发技术，所有企业网外出和进入数据都要经过金盾转发。在企业网的数据流路线上多出了一个设备但没有增加路由的跳数，金盾对于数据流是透明的。

·注意：透明网桥模式什么时候是首选呢？

• 客户要求严格带宽管理
• 除旁路监听外，三种模式都可以满足客户需求时

旁路监听典型网络部署拓扑图如下：