上网行为管理设备的功能需求

大数据环境下上网行为分析管理系统随着信息化的发展，大数据技术已经成为了信息管理领域的一股强大力量。

在互联网时代，用户的上网行为已经成为了一种重要的信息资源。

如何对大数据环境下的上网行为进行分析和管理已经成为了一项重要的工作。

为了更好地解决这一问题，我们需要建立一套完善的大数据环境下上网行为分析管理系统。

一、系统需求和功能在设计这样一套系统时，我们需要首先确定系统的需求和功能。

系统需要能够实时地收集用户的上网行为数据，包括浏览网页、搜索关键词、点击链接等信息。

系统需要能够对这些数据进行分析，发现用户的兴趣爱好、消费倾向、生活习惯等信息，并能够生成相应的报表和图表。

系统还需要能够对用户的上网行为进行管理，包括对不良信息的屏蔽、对违法行为的监测等。

二、系统架构和技术方案为了实现上述功能，我们需要设计一套完善的系统架构和技术方案。

系统需要能够实现数据的实时采集和实时处理，这就要求系统的存储和计算能力都需要具备很高的性能。

系统需要能够支持大规模的数据并发处理，这就要求系统的分布式计算能力也需要很强。

系统还需要能够支持多种数据分析和管理的算法和模型，这就要求系统的算法和模型需要具备很高的灵活性和扩展性。

在技术方案上，我们可以选择使用开源的大数据技术，如Hadoop、Spark等作为系统的底层基础架构，并结合机器学习和深度学习技术，设计和实现相应的算法和模型。

三、系统的实现和应用在实现系统的过程中，我们需要结合具体的业务需求，设计和实现相应的功能模块。

我们需要建立一套完善的数据采集和清洗系统，以确保数据的完整和准确。

我们需要设计和实现相应的数据分析和管理模块，以发现和管理用户的上网行为数据。

我们还需要建立一套完善的报表和图表展示系统，以帮助用户更直观地了解数据的分析结果。

在应用方面，我们可以将这套系统应用到各种场景中，如电商领域、广告领域、安全领域等。

通过对用户的上网行为数据进行分析和管理，我们可以更好地理解用户的需求，提供个性化的服务，提高用户体验，并保障网络安全。

深信服上网行为管理主要作用：能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能，防止机密泄露全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果：1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率上班时间从事私人活动，是办公室皆知的秘密。

管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。

而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。

2.流量控制、带宽管理，提升带宽利用率对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。

基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。

3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。

4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

上网行为管理参数网络审计参数一、性能及配置要求项目性能吞吐量≥500Mb并发会话数≥500,000用户规模≥1200人设备接口6个千兆电口，1个RJ45串口硬盘≥250GB内存≥1GBBYPASS 支持二、功能要求项目指标具体功能要求部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP 等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接*支持多路桥接功能，最多可支持四进四出四网桥模式；多主模式*支持两台及两台以上设备同时做主机的部署模式；网关管理管理界面*支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理*不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；*被控设备加入统一平台支持以硬件证书验证身份；告警管理*支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；双因素认证*支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；新用户认证根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则；公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；*可强制指定用户、指定IP段的用户使用单点登录；强制AD认证*指定用户用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1.跳转到用户原本输入的URL地址；2.跳转到管理员指定的URL地址；3.*跳转到该用户上网信息排行页面；4.跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码包括数字或字母或特殊字符；（提供产品界面截图）终端管理系统识别*支持识别终端操作系统版本、系统补丁安装情况；（提供自主知识产权证明，加盖厂商公章）；文件识别*支持识别终端硬盘指定目录下的文件情况；进程识别*支持识别终端系统后台运行的进程信息，防止间谍软件的运行；（提供自主知识产权证明，加盖厂商公章）；注册表识别*支持识别终端系统注册表中指定的表项和键值；自定义识别*支持终端调用管理员指定脚本/程序以满足个性化检查要求；终端准入*支持win 7 64位操作系统，支持在旁路模式部署下准入生效；*支持禁止不满足终端检查要求的用户访问互联网；应用管理应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、支持给每个应用自定义标签；3、支持根据标签选择一类应用做控制；4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、支持给每一种应用列上图标，易于客户了解应用的特征。

发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为；
*支持允许用户浏览帖子但不准发帖功能；
SSL发帖管理
*支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；
网页附件管理
支持根据文件类型限制http、FTP方式上传、下载行为；
文件管理
外发文件告警
支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理措施；
文件识别
*支持识别终端硬盘指定目录下的文件情况；
进程识别
*支持识别终端系统后台运行的进程信息，防止间谍软件的运行；（提供自主知识产权证明，加盖厂商公章）；
注册表识别
*支持识别终端系统注册表中指定的表项和键值；
自定义识别
*支持终端调用管理员指定脚本/程序以满足个性化检查要求；
终端准入
*支持win 7 64位操作系统，支持在旁路模式部署下准入生效；
危险插件管理
*能识别网页中的插件，并过滤含有恶意插件的网页（提供自主知识产权证明，加盖厂商公章）；
危险脚本管理
*能识别执行脚本的网页，并过滤脚本中隐藏木马等程序的网页；（提供自主知识产权证明，加盖厂商公章）；
防范端口扫描
*能识别并封堵端口扫描行为；
防范DOS攻击
*能识别并封堵来自于内网或外网的DOS攻击；
2、在数据中心报表中可查询通过共享上网的IP、用户，并能导出报表；
网页管理
静态URL库
设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；
URL智能识别
*支持未知网页的自动识别与分类（提供界面证明）；
*支持根据用户训练的关键字、url、自动分类未知网页；
SSL加密网页
*识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（提供自主知识产权证明，加盖厂商公章）；

支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；
双因素认证
支持以USB-Key方式实现双因素身份认证；
IP、MAC认证
支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；
支持通过SNMP服务器跨三层获取MAC地址；
网页管理
静态URL库
设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；
URL智能识别
支持未知网页的自动识别与分类；
支持根据用户训练的关键字、url、自动分类未知网页；
SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等
自定义URL
设备支持管理者自定义新的URL地址和URL分类；
支持基于扩展名过滤含指定文件类型的邮件外发行为；
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警；；
支持根据附件大小、附件个数限制外发邮件；
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为；
Webmail管理
支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能；
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备；
分级管理
不同用户组的管理权限支持分配给不同管理员；
集中管理
多台设备支持通过统一平台集中管理、集中配置等；
被控设备加入统一平台支持以硬件证书验证身份；
告警管理
支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；
加密连接
具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；

上网行为管理路由器随着互联网的发展和普及，人们的上网方式也在不断地发生变化，使网络安全受到了越来越大的关注。

网络安全已经成为一项全球性的问题，因此各个国家和地区都在加强网络安全的管理和监控。

在这种背景下，上网行为管理路由器成为了很多机构和企事业单位必备的网络安全设备。

一、上网行为管理路由器的概念上网行为管理路由器是指一种能够对网络中所有终端设备的上网行为进行监控、过滤、限制等管理的设备。

它一般安装在企业、学校、政府机构等单位的网络出口处，能够实时监控网络的入口和出口流量，并对网络通信的内容进行检测和管理。

其主要作用就是控制网络用户的上网行为，保护网络安全，防止网络攻击和信息泄露，提高网络整体的运行效率和安全性。

二、上网行为管理路由器的工作原理上网行为管理路由器的工作原理主要分为以下几个步骤：1、数据收集阶段：上网行为管理路由器获取网络数据包，包括用户的网络通信信息、数据传输包等，对其进行逐个解析和识别。

2、数据分析阶段：路由器将收集到的数据包进行分析，并采用黑白名单、网络ACL、上网策略等机制对数据包进行判别和处理。

3、行为管理阶段：上网行为管理路由器对数据包进行管理和策略控制，包括禁止访问某些网站、限制用户上网时间、禁止P2P传输等等。

4、统计和报表阶段：上网行为管理路由器会对用户的上网行为进行统计和查询，可以生成各种统计报表和分析结果，方便管理者实时掌握网络安全状态和用户上网行为。

三、上网行为管理路由器的功能特点1、实时监控：上网行为管理路由器能够实时监控网络数据流量，统计用户的上网行为并自动生成日志，方便后续查询和管理。

2、商品化部署：上网行为管理路由器采用“开箱即用”的设计，无需进行大规模部署、改造和升级，方便用户使用和管理。

3、多维度管理：上网行为管理路由器支持多种管理方式，包括IP地址、MAC地址、用户名等多种维度，支持自定义上网策略，满足不同用户需求。

4、高效稳定：上网行为管理路由器采用优秀的硬件平台和软件算法，确保系统高效稳定运行，不影响网络通信和使用。

上网行为管理技术方案4(1)项目目标建立信息安全等级保护体系，增强网络接入准入认证，对上网行为进行管理。

增强网络及电脑等终端设备安全性，防止信息泄露，病毒感染。

为了实现实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅实现功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。

对于设备数量较多、分布地域较广并且又相对较为集中的网络，故需要一套管理平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。

管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。

可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。

不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。

基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。

互联网的普及让网络泄密和网络违法行为层出不穷。

如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。

本项目需要事先帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。

并保证安全可靠，保证环保及其他上传数据安全稳定运行，不会因此系统原因造成中断。

（2）项目范围本次招标范围限于***************。

本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。

投标方的主要工作范围如下：1.硬件设备安装调试1）负责信息设备的拆箱及上架工作。

可识别用户上网设备类型作为“工具”对象，并可作为策略条件。
可将IP或IP段作为“位置”对象，并可作为策略条件。
网页管理
URL库大小
≥3000万条URL数据
搜索关键字
根据关键字管理搜索引擎访问；每个精确关键字对象要求可至少录入500个关键字
搜索策略
一条策略实现搜索关键字的阻断、记录、告警，方便维护
网址管理
能够实时提供应用流量排名、网址分类排名、用户流量排名、应用流量趋势、用户流量趋势
流量监控
能够提供设备流速趋势、用户实时流速、设备实时日志等信息。
报警平台
能够提供各类报警信息，包括行为合规、内容审计、系统状态、网络流量等
用户管理
组织架构建立
可通过手工方式、LDAP导入、数据库导入（SQL Server、MySQL、ORACLE）、文件导入、IP扫描等方式建立组织架构
用户识别
支持对Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、锐捷SAM、H3C CAMS、PPPOE、城市热点等各种数据库格式的单点登录。提供非客户端的AD用户识别方式。
特权用户
支持key免审计、key免管控、key免认证三者的组合
认证安全
认证密码支持全局统一设定与随机获取的方式；
SMTP邮件发送管理
SMTP基于发件人、收件人、主题、内容、附件名、附件大小维度进行记录、告警；
SMTP邮件发送告警
根据SMTP主题、正文关键字进行阻塞并进行告警
邮件延迟预审策略
根据邮件标题、正文、附件名、文件指纹触发延迟审计
IM外发管理
QQ行为审计
可针对QQ账号制定策略，对聊天、登录及登出的行为进行记录与控制
网页文件频率

上网行为管理一体机技术要求产品技术、功能、性能要求：1、上网行为管理产品支持软、硬件一体化与软硬件解耦两种部署方式。

2、支持网桥、路由、旁路模式部署（提供界面截图证明并加盖厂商公章）3、可根据业务需求灵活拓展下一代防火墙组件、SSL VPN组件、上网行为管理组件、数据库审计组件、运维审计组件、日志审计组件、主机杀毒等安全功能组件4、产品可根据实际业务环境定义业务安全区域，简化运维管理；（提供界面截图证明并加盖厂商公章）5、在管理平台上可以通过拖拽虚拟设备图标和连线就能完成网络拓扑的构建，快速的实现整个业务逻辑的编排，并且可以连接、开启、关闭虚拟网络设备。

（提供界面截图证明并加盖厂商公章）6、产品首页可以展示详细主机状态、磁盘状态及应用状态，以及业务遭受的入侵风险、僵尸主机风险及外发流量异常等相关安全信息；7、产品支持模板化的组件部署模式，至少支持出口边界安全模板、等保合规安全模板（提供界面截图证明并加盖厂商公章）8、产品必须提供便捷的排障手段，支持在平台内节点抓包分析分析功能，能够设置抓包的网口、过滤条件、文件大小等参数（提供界面截图证明并加盖厂商公章）9、产品支持关键安全组件双机功能，保障安全组件高可用；在双机场景下，管理平台要支持双机配置同步，在硬件故障时保障无感知切换。

（提供界面截图证明并加盖厂商公章）10、上网行为管理性能：应用层吞吐量：200M，支持用户数：800，每秒新建连接数：1200，最大并发连接数：6W，支持弹性扩容11、支持细致的管理员权限划分，包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限；12、支持终端调用管理员指定脚本/程序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等；（提供界面截图证明并加盖厂商公章）13、产品必须支持以USB-Key方式验证接入数据中心的管理员身份；支持以USB-Key方式分配管理员的日志审计权限；14、支持把每一个外网IP作为通道内的用户，使得通道的用户间公平分配带宽，以及单用户最高带宽属性对外网IP有效；15、支持基于访问行为的目标IP/IP组实现带宽划分与分配；支持多种事件进行邮件告警，包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等；资质要求：提供《计算机软件著作权》及测试报告，提供复印件并加盖厂商公章；提供《计算机信息系统安全专用产品销售许可证》，提供复印件并加盖厂商公章；所报产品厂商为国家互联网应急中心CNCERT国家级网络安全应急服务第七届（17到19年）支撑单位，提供证书复印件并加盖厂商公章；所报产品厂商具备软件开发成熟度CMMI 5级认证，提供证书复印件并加盖厂商公章；所报产品厂商为国家信息安全漏洞共享平台CNVD用户组成员，提供CNVD官网截图证明并加盖厂商公章；所报产品厂商具备云安全成熟度成熟度模型CS-CMMI 5认证，提供证书复印件并加盖厂商公章。

附件一上网行为管理设备参数0000000上网行为管理设备一台技术要求：1、硬件性能要求：1000BASE-T (RJ-45)≥4个防火墙吞吐量（双向 256 bits包）≥500Mbps并发用户数≥800. 并发会话数≥1000,000，必须具有一个RS232串口，支持ECC校验2、安全防护要求：设备支持网关杀毒、具有防火墙、防ARP欺骗、防DOS攻击等安全防护功能。

（以上功能提供产品界面截图证明）3、终端识别要求：设备必须能识别终端操作系统版本及补丁更新情况，可识别终端杀毒软件更新情况，必须能识别终端杀毒软件/防火墙软件的安装、运行、更新情况（必须提供自主知识产权证明，加盖厂商公章），必须能识别终端硬盘文件情况、系统进程情况、注册表情况。

4、URL过滤要求：设备能对URL网址进行识别和过滤，内置1000万条以上的URL库，并且能识别并过滤SSL加密网站（必须提供自主知识产权证明，加盖厂商公章）。

5、应用监控要求：可对网络常见应用进行识别和控制，内置应用库不少于500个，其中IM聊天工具识别必须包括：QQ、QQ农场、QQ游戏、QQ网页类游戏、MSN、51挂挂、chikka、Digsby、Doshow、Gizmo、IceChat、ispeak、KC网络电话、KuBao、Miranda、PaLTALK、raketu、TeamSpeak、XChat、阿里旺旺、百度Hi、慧聪发发、歪歪语音等。

网络游戏识别必须包括：UU棋牌、赤壁、春秋Q传、封神榜、华夏、黄金岛、机战、口袋西游、路尼亚战记、梦幻龙族、墨香、千年、热舞派对、神鬼传奇、生死格斗、盛大富翁、水浒Q传、唐人游戏、特种部队、天龙八部、天下贰、武林外传、星尘传说、英雄岛、诛仙、卓越之剑等。

必须能在指定用户使用指定应用时长超额、流速超限后自动提醒该用户。

6、邮件监控要求：可审计网页和POP3收发邮件，支持对接收和外发的邮件进行垃圾邮件识别和过滤的功能。

上网行为管理系统参数一、物理性能要求：大于等于6个千兆电口，大于等于1个RJ45串口，大于等于2个USB接口；七层吞吐量≥500Mbps；并发会话≥1,000,000；用户规模≥1500人；二、产品功能要求：1、审计功能要求：满足公安部82号令审计要求，河北省公安厅或唐山市公安局有平台建设。

2、链路负载均衡功能要求：必须免费提供，支持多链路之间的负载均衡功能（支持固定指派、源目IP轮询、上行流量、下行流量、总流量负载以及最佳路径等多种算法）、支持多PPPoE出口的链路负载均衡。

3、路由功能要求：持续路由支持数据报文的持续路由配置。

4、上网行为管理功能要求：设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤、SSL加密识别自定义、URL关键字过滤、网页过滤、文件传输过滤、邮件过滤、WEBMAIl过滤、邮件地址过滤、邮件附件过滤、邮件关键字过滤、Webmail管理、SSL邮件管理、加密Webmail管理、加密SMTP邮件过滤、加密SMTP、POP3邮件审计。

5、黑白名单管理功能要求：支持对单个用户/用户组、IP、地址簿设置一天内总上网时长、上网流量；在某些时间段（如下班时间，凌晨），不对用户的速率和会话数进行限制，用户产生的流量也不记入黑名单的流量配额内。

6、流量控制功能要求：必须支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量，对于多链路必须免费实现流控功能。

7、应用控制功能要求：1、应用控制：设备内置应用识别规则库，支持超过500种以上的应用，并保持每个星期更新一次，保证应用识别的准确率、支持根据IP、端口、协议等自定义应用规则、支持根据不同的应用类型或具体的某种应用设置允许或拒绝。

2、即时通讯：支持MSN、QQ、飞信、Yahoo、WangWang、ICQ等国内外主流的聊天软件，可以分别控制其登陆与聊天行为。

3、其他类别控制：支持P2P、流媒体、炒股软件、网上银行、网络游戏、网络电话、远程控制等应用识别、ISA代理识别针对ISA代理服务器在代理部署模式下，数据被重新封装进行专门的配置部署，可以识别被ISA重新封装的数据。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接（WEB管理）ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

教育机构与图书馆的网络管理与约束
应用场景
• 教育机构：限制学生访问不良网站，保护学生身心健康 • 图书馆：限制读者访问非学术网站，提高阅读环境
实际案例分析
• 中学：通过上网行为管理设备限制学生上网时间，保证 学习效果 • 图书馆：通过上网行为管理设备限制读者访问娱乐网站， 提高阅读环境
政府及事业单位的信息安全与保密需求
加强上网行为管理设备的安全防护措施
防护措施
• 设备加密：对设备进行加密，防止数据泄露、篡改配置 • 访问控制：限制设备访问权限，确保只有授权用户能够访问设备 • 安全审计：记录设备操作日志，审计设备使用情况，防止非法访问
防护策略
• 安全策略：制定设备安全策略，明确访问控制、数据保护等方面的规定 • 定期检查：定期检查设备安全状况，及时发现并处理安全隐患
上03网行为管理设备的应用场景 与实际案例分析
企业网络安全与合规性需求的解决方案
应用场景
• 企业网络安全：保护企业网络免受黑客攻击、恶意软件 传播等威胁 • 法规遵从：遵守相关法律法规，防止信息泄露、数据丢 失
实际案例分析
• 金融企业：通过上网行为管理设备限制员工访问高风险 网站，防止网络诈骗 • 政府部门：通过上网行为管理设备确保员工遵守保密规 定，防止信息泄露
根据测试结果优化上网行为管理策略
优化策略
• 调整阈值：根据测试结果，调整设备监控的阈值，提高准确性 • 优化规则：根据测试结果，优化管理规则，提高管理效果
策略调整
• 用户分类：根据测试结果，调整用户分类方法，提高管理效果 • 行为限制：根据测试结果，限制不良上网行为，提高网络安全
持续监控与调整上网行为管理设备配置
建立应急响应机制与安全防护体系

上⽹⾏为管理⼀体机技术要求上⽹⾏为管理⼀体机技术要求产品技术、功能、性能要求：1、上⽹⾏为管理产品⽀持软、硬件⼀体化与软硬件解耦两种部署⽅式。

2、⽀持⽹桥、路由、旁路模式部署（提供界⾯截图证明并加盖⼚商公章）3、可根据业务需求灵活拓展下⼀代防⽕墙组件、SSL VPN组件、上⽹⾏为管理组件、数据库审计组件、运维审计组件、⽇志审计组件、主机杀毒等安全功能组件4、产品可根据实际业务环境定义业务安全区域，简化运维管理；（提供界⾯截图证明并加盖⼚商公章）5、在管理平台上可以通过拖拽虚拟设备图标和连线就能完成⽹络拓扑的构建，快速的实现整个业务逻辑的编排，并且可以连接、开启、关闭虚拟⽹络设备。

（提供界⾯截图证明并加盖⼚商公章）6、产品⾸页可以展⽰详细主机状态、磁盘状态及应⽤状态，以及业务遭受的⼊侵风险、僵⼫主机风险及外发流量异常等相关安全信息；7、产品⽀持模板化的组件部署模式，⾄少⽀持出⼝边界安全模板、等保合规安全模板（提供界⾯截图证明并加盖⼚商公章）8、产品必须提供便捷的排障⼿段，⽀持在平台内节点抓包分析分析功能，能够设置抓包的⽹⼝、过滤条件、⽂件⼤⼩等参数（提供界⾯截图证明并加盖⼚商公章）9、产品⽀持关键安全组件双机功能，保障安全组件⾼可⽤；在双机场景下，管理平台要⽀持双机配置同步，在硬件故障时保障⽆感知切换。

（提供界⾯截图证明并加盖⼚商公章）10、上⽹⾏为管理性能：应⽤层吞吐量：200M，⽀持⽤户数：800，每秒新建连接数：1200，最⼤并发连接数：6W，⽀持弹性扩容11、⽀持细致的管理员权限划分，包括对不同⽤户组的管理权限、对各种主要功能界⾯的配置和查看权限；12、⽀持终端调⽤管理员指定脚本/程序以满⾜个性化检查要求，⽐如检测系统更新是否开启、开放端⼝、已安装程序列表、终端发通知等；（提供界⾯截图证明并加盖⼚商公章）13、产品必须⽀持以USB-Key⽅式验证接⼊数据中⼼的管理员⾝份；⽀持以USB-Key⽅式分配管理员的⽇志审计权限；14、⽀持把每⼀个外⽹IP作为通道内的⽤户，使得通道的⽤户间公平分配带宽，以及单⽤户最⾼带宽属性对外⽹IP有效；15、⽀持基于访问⾏为的⽬标IP/IP组实现带宽划分与分配；⽀持多种事件进⾏邮件告警，包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等；资质要求：提供《计算机软件著作权》及测试报告，提供复印件并加盖⼚商公章；提供《计算机信息系统安全专⽤产品销售许可证》，提供复印件并加盖⼚商公章；所报产品⼚商为国家互联⽹应急中⼼CNCERT国家级⽹络安全应急服务第七届（17到19年）⽀撑单位，提供证书复印件并加盖⼚商公章；所报产品⼚商具备软件开发成熟度CMMI 5级认证，提供证书复印件并加盖⼚商公章；所报产品⼚商为国家信息安全漏洞共享平台CNVD⽤户组成员，提供CNVD官⽹截图证明并加盖⼚商公章；所报产品⼚商具备云安全成熟度成熟度模型CS-CMMI 5认证，提供证书复印件并加盖⼚商公章。

上网行为管理工具介绍随着互联网的普及和发展，我们对网络的依赖程度越来越高。

然而，网络上的各种信息和应用也面临着滥用和安全风险的问题。

为了更好地管理和保护我们的上网行为，许多上网行为管理工具应运而生。

本文将为大家介绍一些常见的上网行为管理工具，以帮助大家更好地控制和管理自己的上网行为。

一、家庭上网行为管理工具1. 家庭网络管控软件家庭网络管控软件是一种可以帮助家长管理孩子上网行为的工具。

通过设置访问时间限制、网站过滤、应用程序限制等功能，可以有效控制家庭成员的上网行为。

常见的家庭网络管控软件包括360家庭网络管控、腾讯儿童守护等。

2. 家庭路由器控制功能一些家庭路由器提供了上网行为管理的功能。

通过设置家长控制密码，家长可以限制孩子上网的时间和访问的网站。

此外，一些高级路由器还提供了防火墙和安全过滤功能，进一步保护家庭网络的安全。

二、个人上网行为管理工具1. 网站和应用程序过滤器网站和应用程序过滤器是个人上网行为管理的重要工具。

它可以屏蔽成人内容、暴力内容、赌博网站等有害或不适宜的网站和应用程序，从而减少对网络的滥用和依赖。

常见的网站和应用程序过滤器包括腾讯电脑管家、迅雷安全等。

2. 时间管理工具时间管理工具可以帮助个人合理规划和管理上网时间。

通过设置上网时间段和时长，以及提供提醒和报告功能，可以帮助我们更好地控制上网时间，提高工作和学习效率。

常见的时间管理工具包括百度网盘时间管理、番茄土豆等。

三、企业上网行为管理工具1. 上网行为监控软件企业上网行为监控软件可以帮助企业了解员工的上网习惯和行为，以提高工作效率和防止信息泄漏。

它可以记录员工的上网时间、访问的网站和下载的文件等信息，并生成报告供管理者分析。

常见的企业上网行为监控软件包括用友网络行为审计、网御星云等。

2. 数据传输加密工具企业上网行为管理也需要更加注重数据的安全性。

数据传输加密工具可以加密企业内部网站和应用程序的数据传输，防止敏感信息在传输过程中被窃取和篡改。