天融信上网行为管理

上网行为管理技术方案4（1）项目目标建立信息安全等级保护体系，增强网络接入准入认证，对上网行为进行管理。

增强网络及电脑等终端设备安全性，防止信息泄露，病毒感染。

为了实现实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅实现功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。

对于设备数量较多、分布地域较广并且又相对较为集中的网络，故需要一套管理平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。

管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。

可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。

不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。

基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。

互联网的普及让网络泄密和网络违法行为层出不穷。

如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。

本项目需要事先帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。

并保证安全可靠，保证环保及其他上传数据安全稳定运行，不会因此系统原因造成中断。

（2）项目范围本次招标范围限于***************。

本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。

投标方的主要工作范围如下：1.硬件设备安装调试1)负责信息设备的拆箱及上架工作。

·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计，方便用户对行为记录的查询、审计，并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤，如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略，父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理，免审计key支持批量导入用户：比如文件导入，LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组，可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名，这样大大的简化了动态用户的管理，增强了用户管理的灵活性支持公用账户、临时账户，支持对临时账户的自动和手动审核，从而减少管理员对临时账户的频繁配置，也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制，并提供相应的惩罚手段可基于业务应用划分优先级，将业务应用划分为高、中、低三个优先级，优先级越高的流量，优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式，并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式：系统支持一主一备，或一主多备的HA模式负载均衡模式：系统支持多个主设备(多主一备/多主多备)的HA模式，多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年，或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象，并进行对象排名根据组织结构中的逻辑树结构，可逐个展示用户，并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限：即用户上网记录的查询权限，必须用Key进行控制，任何其他人不允许有查询权限；·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别，通过信任列表进行管控；2、支持对代理软件或路由器共享上网的检测控制。

天融信网管系统1.1.1 天融信网管系统,天融信网络管理软件系统局域网基本版是天融信信息技有限公司针对市场现状，面向各级企业用户，自主开发推出的完全中文化的网络管理平台，它具有智能化，功能实用性强、支持多种设备类型的通用性特点，提供了拓扑图显示管理、查看网络信息、设备视图、性能分析、网络诊断工具、事件监视、告警、用户管理、日志管理等,大功能，支持大规模的局域网，为用户提供了安全、可靠、稳定和可扩展的解决方案。

广泛适用于教育、电信、政府、金融、邮政以及企业网络中心的应用。

天融信,网络管理软件系统局域网基本版可以提供全中文帮助界面，更加适合国内用户应用，真正满足客户的使用习惯。

,天融信网络管理软件系统局域网基本版完全支持网管协议SNMPv1,v2,v3版本;拥有开放的API接口和管理数据接口，可以自定义告警及监控策略;全中文的操作界面;能显示物理端口连接状态，显示通用和专用的设备面板图;通过设备面板图能详细了解网络设备的运行状态，并对端口进行开启/关闭控制;有拓扑图编辑功能，并能显示多级拓扑图;精美的三维图形和表格的形式表示;可以自定义告警及监控策略，用户可以为设备监控参数设定阈值和故障级别分类;提供对任意多种网络指标体系进行数据采集，历史数据进行分析统计，并自动形成网络报表。

天融信网管系统具有跨厂商通用网络管理平台。

能优化管理 Cisco 、神州数码、 3COM 、D-LINK、 NORTEL 、华为等各主要国内外网络厂商的网络产品(路由器、交换机)，以及网络链路、主机等，同时可管理局域网和广域网设备。

天融信网管系统具有所见即所得的动态拓扑图。

拓扑图自动发现，可在一张拓扑图中显示网络线路状态，网络线路类型，网络线路容量和负载率，网络设备的状态、类型、名称、负载率和服务器的状态和负载率等全面的信息，能在屏幕上轻松的定位故障设备和服务器。

所有网络和系统状态一目了然，符合 IETF颁布的SNMPv1及v2C、v3规范。

天融信上网行为管理系统TopACM用户使用手册天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2012 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录一、产品概述 (8)1图形界面格式约定 (8)2环境要求 (8)3接线方式 (8)4登录设备 (9)5刷新/保存/注销 (10)6密码恢复 (10)二、产品配置 (10)1设备状态 (10)2实时监控 (12)2.1设备资源 (12)2.2物理接口 (13)2.3服务监控 (14)2.3.1服务趋势叠加图 (14)2.3.2服务组趋势图 (14)2.3.3活跃服务统计 (15)2.3.4所有服务统计 (16)2.4用户监控 (16)2.4.1流量分析 (16)2.4.2会话分析 (17)2.4.3活跃会话 (17)2.5上网行为 (18)2.6在线用户 (18)2.7防共享上网 (20)2.8当前黑名单 (20)2.9应用限额用户 (21)3系统配置 (22)3.1设备工作模式 (22)3.1.1网桥模式 (22)3.1.2路由模式 (23)3.1.3旁路模式 (24)3.2系统维护 (26)3.2.1系统升级 (26)3.2.2自动升级 (27)3.2.3备份与恢复 (27)3.2.4重启/关机 (28)3.3系统管理员 (28)3.3.1配置系统管理员 (28)3.3.2角色管理 (30)3.4网管策略 (32)3.5网管参数 (32)3.6网络工具 (33)III3.8系统信息 (36)3.9邮件配置 (37)3.10集中管理 (37)3.11中心配置 (38)4系统对象 (39)4.1地址簿 (39)4.2网络服务 (39)4.2.1自定义普通服务 (40)4.2.2自定义特征识别 (40)4.2.3自定义论坛/网评特征 (41)4.2.4协议剥离 (43)4.3时间计划 (44)4.4URL库 (45)4.5关键字组 (47)4.6文件类型 (48)5网络配置 (49)5.1接口配置 (49)5.1.1物理接口 (49)5.1.2链路聚合 (49)5.1.3VLAN接口 (51)5.1.4PPPoE (51)5.1.5DHCP客户端 (52)5.1.6GRE隧道 (52)5.2配置IP地址 (53)5.3静态路由 (54)5.4OSPF路由 (54)5.4.1网络配置 (55)5.4.2接口配置 (56)5.4.3参数配置 (57)5.4.4虚连接配置 (58)5.4.5信息显示 (59)5.5策略路由 (61)5.5.1策略路由 (61)5.5.2均衡策略 (63)5.5.3持续路由 (65)5.5.4链路健康检查 (66)5.6DNS 配置 (67)5.7DDNS 配置 (67)5.8智能DNS (68)5.8.1全局配置 (68)5.8.2线路配置 (69)IV5.10DHCP配置 (73)5.10.1基本参数 (73)5.10.2DHCP中继 (74)5.10.3已分配IP地址 (75)5.11SNMP服务器 (75)5.12代理服务器列表 (75)5.1代理配置 (76)6防火墙 (77)6.1安全策略 (77)6.2NAT规则 (79)6.2.1内网代理 (79)6.2.2一对一地址转换 (80)6.2.3端口映射 (81)6.2.4服务器池 (82)6.3防DOS攻击 (83)6.4ARP 欺骗防护 (84)6.5应用层网关 (85)6.6加速老化 (86)6.7移动终端管理 (86)7组织管理 (87)7.1组织结构 (87)7.1.1定位并选中当前操作对象 (87)7.1.2修改根组 (88)7.1.3新增子组 (89)7.1.4修改子组 (90)7.1.5新增普通用户 (91)7.1.6新增认证用户 (93)7.1.7修改用户 (94)7.1.8绑定检查 (95)7.1.9导出用户和组 (99)7.1.10移动用户和组 (100)7.1.11删除用户和组 (101)7.1.12查询用户和组 (101)7.2批量导入 (102)7.3LDAP/AD导入 (102)7.4扫描内网主机 (104)7.5临时账号设置 (105)7.5.1临时账号设置 (105)7.5.2未审核账户列表 (108)7.5.3已审核账户列表 (108)7.5.4批量生成 (109)V7.6免审计Key (109)8流量管理 (110)8.1线路带宽配置 (111)8.2基于策略的流控 (111)8.3基于用户的流控 (115)9行为管理 (117)9.1认证策略 (118)9.2上网策略 (120)9.2.1上网权限策略 (120)9.2.2终端提醒策略 (129)9.2.3应用限额策略 (131)9.2.4黑名单策略 (133)9.2.5上网审计策略 (135)9.3认证选项 (137)9.3.1SNMP设置 (137)9.3.2认证参数 (139)9.3.3自定义认证页面 (139)9.3.4未认证权限 (140)9.3.5SSO (141)9.3.6短信认证 (147)9.4认证服务器 (150)9.4.1RADIUS服务器 (150)9.4.2AD服务器 (150)9.4.3LDAP服务器 (151)9.4.4POP3服务器 (152)9.4.5服务器测试 (152)9.5白名单管理 (154)9.5.1IP 白名单 (154)9.5.2URL 白名单 (155)9.5.3即时通讯白名单 (156)10即插即用 (157)11VPN配置 (158)11.1IPSec (158)11.1.1IPSec隧道 (158)11.1.2IPSec规则 (159)11.2PPTP (160)11.3L2TP (161)11.4VPN 用户 (162)12HA配置 (163)13系统日志 (165)13.1命令日志 (165)13.2事件日志 (166)13.3PPTP/L2TP日志 (166)13.4IPSec日志 (167)VI13.5黑名单日志 (168)13.6日志服务器 (169)13.7短信配置 (170)13.8告警配置 (171)14故障排除 (175)14.1捕获数据包 (175)14.2查看数据包 (176)14.3调试信息下载 (177)15报表中心 (177)15.1报表中心配置 (177)15.2内置报表中心 (178)VII8一、 产品概述1 图形界面格式约定2 环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90% 电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。

网络应用安全及上网行为管理规定第一篇：网络应用安全及上网行为管理规定网络应用安全及上网行为管理规定为确保公司网络和数据的安全,规范上网行为管理,提高工作效率,特制订本规定。

第一条网络安全管理规则（一）通过网关设备及对网络安全管理系统进行设置、管理，最大限度抵御外来黑客、木马和病毒对公司网络的攻击和破坏。

（二）对公司内部局域网VLAN按部门及使用需要进行网络使用权限的差异化分配，对重点部门如财务部、金融部进行隔离，以保证网络和数据安全。

（三）通过安装EAD管理系统软件，设置部门和个人对应用软件使用的不同安全权限，规范各部门和个人的上网行为。

第二条局域网VLAN划分及安全设置（一）部门划分公司局域网按现行组织架构以集团领导（包括董事长、董事、集团办）、公司总经理、金融部、财务部、行政部、资产运营部进行划分。

（二）VLAN安全设置1、网络管理员的台式机连通主服务器、文件服务器、各个层级交换 1 机、网关设备；2、各个部门和个人可以连通各自需要使用的文件服务器、打印机、复印机；3、各个部门互不相通，不能互相访问；4、局域网内部不限速。

第三条上网行为权限设置（一）基本设置1、所有非授权用户不允许访问局域网所有资源；2、授权用户按各自具体权限指派有权访问范围；3、公司总经理为公司网络管理最高权限管理者，网络管理员根据公司规定对各网络端口（用户）进行权限设置和管理；4、公司将屏蔽证券网站（金融部除外）、视频网站、游戏网站、娱乐网站等与工作无关的网站，限制使用和下载聊天软件（授权用户除外）、证券软件、P2P下载软件（如迅雷、QQ旋风、BT、eMule 等）等网络软件和工具；5、公司将保留对企业网站、企业邮局（IE浏览、POP3端口）、搜索引擎（谷歌、百度、搜搜等）及新浪、搜狐、雅虎等部分门户网站的访问和浏览。

（二）用户权限设置1、公司总经理：为公司最高权限行政管理，有权访问网关设备、查阅浏览EAD系统后台所有记录。

酒店如何实现WiFi无线上网短信认证？
酒店提供公共的无线wifi上网服务，需对用户进行实名认证。

手机短信实名认证以其用户体验、综合成本等优势，成为酒店无线上网认证的首选方案。

一、酒店如何实现无线wifi短信认证
酒店要实现访客无线上网短信认证功能，需要借助上网行为管理设备搭配验证短信平台使用；根据无线wifi热点的个数网络管理功能不同，会有不同的搭配方案。

这里就酒店最常用的无线wifi上网认证场景，介绍两个性价比较高的实现方案：
1、单个无线网络热点方案
该方案适用于较小范围的空间使用，对于用户来说，在原有网络的基础上，只需要增加一台TP-Link商用无线路由器设备即可，应用成本最为经济。

方案的具体配置，请联系互亿无线的客户经理，获取详细型号信息。

2、多个无线网络热点方案
对于无线网络需要覆盖较大空间的场景，如具有多个房间的民宿、旅馆、餐馆等，需要使用多个TP-Link无线AP+TP-Link交换机+TP-LinkAC控制器的配置。

方案的具体配置，请联系互亿无线的客户经理，获取详细型号信息。

二、酒店无线wifi短信认证功能开通流程
短信认证功能开通流程非常简单，正式使用前可进行免费试用。

三、部分支持wifi短信认证的产品品牌
互亿短信认证系统支持国内众多主流设备，满足用户所需。

四、部分品牌酒店无线wifi短信认证上网设置流程
如果您的酒店已经安装了如下设备，可参考如下设置流程进行配置：。

上网行为管理解决方案（推荐）第一篇：上网行为管理解决方案（推荐）上网行为管理解决方案一．上网行为管理产品产生的背景在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工通过网络可以查找资料、沟通交流和从事电子商务等，但是相应的多种问题伴随而生，例如：1.与工作无关的 P2P 和在线视频等应用占用带宽2.与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率。

3.员工随意在网络上发帖和传输文件导致机密泄露4.员工上网容易受到病毒、木马和蠕虫等攻击和感染5.员工通过网络从事一些黄赌毒等违法活动6.员工浏览和发布不良言论导致企业面临法律风险为解决以上一系列的问题，上网行为管理产品应运而生。

二．上网行为管理产品给用户带来的价值上网行为管理产品带来了全面的互联网行为管理解决方案。

在此，我们以华为的ASG2000系列产品为例，从URL过滤、应用行为控制、流量管理、web内容过滤、上网行为审计等几个方面阐述行为管理产品为用户带来的价值： 1．应用控制和URL过滤：企业或者组织接入互联网的带宽一般非常有限。

当这个有限的带宽充斥了大量的无关应用（如在线游戏、P2P和在线视频）的时候，一些重要应用将受到挤压，基本带宽得不到保证，使得网络对于工作和重要业务不再可用。

该应用通过应用层数据识别，对数据流中的应用层数据进行内容检测。

通过对解析的数据包，使用应用特征库中的规则，对应用数据进行匹配，识别出在线游戏、P2P和在线视频等多种类型的网络数据流量，然后根据用户对该类应用配置的动作允许还是阻断数据包。

URL过滤在企业中是非常重要的功能，员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。

URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

2．流量管理：基于时间段、部门/用户和应用/应用类型，对网络游戏、在线网页视频和P2P视频等带宽滥用的应用进行限速，确保正常业务的带宽使用，为各部门划分和分配出口带宽。