在互联网时代，一些企业员工上班时上QQ，玩游戏，网上购物等等，不仅影响工作效率，还会为企业内网带来安全隐患。那么如何能够精准地管控哪些员工可以上QQ，哪些员工不可以，或者哪个时间段可以使用，而哪些时间却不可以使用等等，这时就需要企业部署一款上网行为管理设备来进行区分管理了。那么对于一般的上网行为管理设备需要具有哪些功能来进行可视、可控、可查，甚至进行必要的智能分析呢？

进行上网行为的区分管理

对于上述员工的不当网络行为引发的问题，如果通过传统的网络安全防护手段，一般是无法实现的，而必须通过专业的上网行为管理产品来进行解决。那么什么是上网行为管理呢？简而言之，就是对员工主体的基于内容的网络访问行为进行管理，包含如下几个要素：

第一、上网的人是谁（Who：哪个部门哪个员工）；

第二、上网的时间（When：工作日/周末，上班时间/午间休息/夜间，上午/下午）；

第三、访问了哪些网络资源（Where：浏览网页、下载文件、发送邮件、聊天、游戏等）；

第四、具体内容是什么（What：网页的内容、邮件的内容、聊天的内容）；

第五、占用的带宽和流量是多大（How?much）。

上网行为管理设备基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置，把网络风险管理从“被动式响应管理”提升为“主动式预警管理”，从“防范管理”提升为“控制管理”，把网络的“通信安全”提升为“应用安全”。为了实现真正安全的网络环境，企业需要“内外兼修”，除了阻挡外部攻击外，还应该转换视角，大力加强对内的管理，对员工的上网行为进行规范管理。

那么接下来了解下，上网行为管理设备具体应该具备哪些管理功能呢？

基于用户身份的信息管理

作为一款专业的上网行为管理设备，首先需要能够提供基于用户身份的差别式管理控制策略，因为用户是上网行为管理产品最核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

可根据企业组织结构建用户组

当用户数目较多、组织结构比较复杂时，按照实际的组织结构管理用户是最有效的方式，易于管理员查询、定位和设置策略。如果上网行为管理设备能够按照企业的实际情况建立用户组来管理用户的话，将更为方便管控的实施，如下图所示：

可根据企业组织结构建用户组

IP网段自动分组

任何互联网行为管控和审计策略最终都将赋予到用户或用户组上，对于以IP网段划分部门的机构，如果用户数目众多或者IP分配变化频繁（如大学的院系），针对每一个用户进行单独的设置是不现实的，这些机构关心的更多的是对某一类用户进行管理，而不是特定的用户。这时，需要上网行为管理设备可以按照网段进行分组并设置策略，属于某网段的IP会自动适用该网段的策略。

对于那些临时来访的外来用户，管理员可以将其计算机设备统一划分在某一IP范围内，并对该IP网段分组制定相关限制性策略，大大增强了动态用户管理的灵活性。

此外，如果管理员没有预先设置IP网段，可以将未注册的用户实时加入系统的未定义用户组中，管理员可以在合适的时机将其移动到已定义用户组中，从而逐步完善用户的定义。

支持用户的权限组管理

上网行为管理设备更需要灵活的权限组定义和管理。通过在各级用户组织中建立“权限组”，可将任意用户添加入“权限组”中，一个用户可以同时隶属于多个权限组。这一功能提高了用户策略管理的灵活性，在不改变原用户的组织结构的情况下，可实现对一些分散在各组中的用户进行统一策略管理。

支持用户对象的快速搜索选择

在用户数量庞大，用户组织结构复杂的网络环境中，管理员在制定策略或查询日志时，按组织关系逐层筛选用户这一操作会耗费大量的时间和精力。

为了避免上述问题，在所有用户对象选择对话框中，支持用户搜索定位功能。只要在搜索框中输入要选择的用户组或用户名称，即可直接将该用户或用户组添加到用户对象中。

支持IP/MAC绑定

通过支持二层网络环境和三层网络环境下的IP/MAC绑定，可自动阻塞那些非法占用他人IP地址的用户，拓展上网行为管理设备的易用性。

支持免控制与免审计用户

对于在特殊情况下不需要控制或审计监控的用户，上网行为管理设备需要提供免控制和免审计功能，来进行差别化管理。

支持用户识别与认证

有了差异化的用户信息，不仅能方便管理员进行管理，而且可以对用户的身份进行识别与认证。在有些企业，实行规划合理并且严格执行的IP地址分配制度，那么通过IP地址和网卡MAC地址来确定用户身份是可靠的；但是在有些网络环境下，用IP或网卡MAC地址并不能确定一个人的身份，比如DHCP动态分配IP、或多人共用一台设备的时候，就需要其它方式确定用户身份，如网关本地Web认证或第三方认证等。

通过WEB认证进行用户识别与认证

在WEB认证方式下，管理员可以设定并分发统一的初始口令，并定义账号缓存的有效时间，保障用户身份的安全，使用户身份的确定与具体上网设备完全无关。要实现WEB认证，首先需要在上网行为管理网关中建立用户信息。

而上网行为管理设备需要支持多种用户信息获取方式，如可以通过IP网段地址扫描，自动获取内网用户的IP地址、计算机名、MAC地址信息，也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息，支持RADIUS认证，此外，还可以使用自定义用户导入功能，将微软Excel表格整理的用户信息快速导入。

建立用户信息后，按照管理需求，基于网段、权限、行政职能自定义用户组和成员，并且可以在不同用户组之间灵活调整成员用户，最终形成清晰直观的树型组织结构。这样就解决了“确定用户身份”的问题，并为基于用户或用户组制定策略和统计报表奠定了基础。

支持混合认证和自定义认证界面

上网行为管理设备需要支持多种认证方式的混合，可方便为不同的网段开启不同的认证方式，实现不同用户群的差异化管理；同一网段用户也可同时开启多种认证方式，方便用户在不同的应用环境下都可以认证入网。

同时在使用上网行为管理设备的web认证界面登录时，如果支持对认证界面自定义发布信息的话，更能满足不同企业管理者对web认证界面的实际规划和设计。

支持邮件用户识别

对于拥有独立企业邮箱的网络环境，如果支持POP3用户识别，用户入网无需认证，只要通过POP3协议接收一封邮件，即可将邮件账号名记录下来，对该用户所有互联网行为实名制记录下来，便于日后日志的查询、定位。

支持计算机名识别

根据内网计算机的计算机名识别，用户入网无需认证。再通过对每一个入网计算机的计算机名进行自动扫描，并将其作为用户账号记录下，在该计算机上发生的所有网络访问行为将记录在其计算机名下。

支持强制下线

上网行为管理设备需要支持强制下线功能，可通过支持WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。使用者也可以随时将活跃用户列表中的IP加入“屏蔽IP列表”中。

支持认证账号有效期限制

对于一些需求临时入网的用户，管理员可通过该功能限制这些用户可以入网的时间范围，超出限定范围后，该用户无法再入网。一方面提高准入用户的安全性，另一方面可实现入网限时的功能。

支持认证账号唯一性控制

通过支持认证账号唯一性控制，这一功能可以方便控制同一认证账号是否允许在多台计算机上同时登陆，从而适应不同用户的认证需求。

支持认证账号黑名单

对于行为异常的认证账号，能够将其加入到认证账号黑名单。未经管理员将其从黑名单中清除，该账号将无法通过认证。

支持第三方认证信息联动接口

如果提供标准的第三方用户认证信息联动接口，可以接收来自第三方网络准入系统或上网计费系统的用户认证信息。从而将上网行为日志准确关联到具体的用户，并实现用户在多认证系统环境下的单点认证。

基于应用的识别

目前伴随互联网技术的飞速发展，各种网络应用层出不穷，如微博、即时通讯（IM）、网络游戏、在线音乐视频、网络购物等等。如果不加管理的话，将会不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ/MSN等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。

需有全面的应用协议数据库

那么如果想控制各种网络应用，就需要首先进行准确地识别。传统安全产品通过IP或者端口封堵各种协议，只能局限于标准的协议，如HTTP，SMTP，且主要是在网络层以及传输层进行，对应用层的内容无能为力，而且，如果IP与端口经过动态协商建立，比如QQ，P2P下载等，则完全不能胜任。而上网行为管理设备对应用的识别是通过应用特征与行为特征实现的。

所谓应用特征，是指在成序列的数据包的应用层信息中，存在有规律的字节特征，它可以唯一地标识某种应用协议，就如同一个人无论穿什么颜色的衣服，其指纹特征不会改变，而且是唯一的。

所以，上网行为管理设备可以通过特征值准确地识别网络应用；而行为特征，是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性，通过这些行为模式可以识别特征值不明显的应用类型。

而一款专业的上网行为管理设备需要内置全面的网络应用协议数据库或支持数据库的更新，来满足对日益增长的网络应用程序的有效识别。

对用户应用的限制管理

首先是针对应用时长的限制。

上网行为管理设备可限定每个用户在一天之内累计上网时间额度，管理员可单独控制用户的某项互联网应用每日上网时长限额，也可同时控制用户的多项互联网应用每日上网时长限额。超出限制时间额度后，用户在当日内无法再使用该应用。

如：可限定用户每日仅允许QQ聊天累计时长1小时；也可限定用户每日仅允许炒股30分钟，即无论用户用哪种炒股软件，累计达到30分钟后，当天内无法再使用任何炒股软件炒股。

然后是针对应用流量的限制。

如限定每个用户一天之内累计流量额度，管理员可以单独控制用户的某项互联网应用每日流量限额，也可以控制用户的多项互联网一个月每日流量限额，流量超出限制额度后，用户在当日内无法再使用该应用。

精细化的控制管理

上网行为管理设备的一大优势是能够对各种网络应用进行精细粒度的管理控制，比如可以通过阻塞每一种具体的网络电视、流媒体来减少带宽资源浪费，保障员工工作的效率等。此外，对于一些多协议多用途的应用（如IM），可以精确识别子协议，将更多细节纳入策略框架中。

对IM子应用可进行独立控制

例如：允许通过QQ聊天与文件传输进行产品技术支持，且保障QQ远程协助的带宽，但禁止玩QQ游戏，禁止欣赏音乐视频等等，如上图所示。

可管控带宽?可内容审计和过滤

好用的上网行为管理设备更应该支持对网络带宽进行有效地监管，因为以P2P为代表的下载软件，对带宽资源的占用越来越高，如果不加限制，会严重消耗企业的带宽资源，从而影响正常的业务数据的传输。

因此有必要对网络的带宽分配与流量进行管理，可以针对用户或部门、按照时间段，对每一种应用协议进行带宽限制。

通过上网行为管理设备进行识别、统计网络上有哪些类型的数据在传输，哪些应用在运行，哪些协议在使用，哪些服务器的流量占用了主要的带宽资源，哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据，通过预先设定若干个虚拟的带宽通道，将带宽通道与具体的用户或网络应用绑定，从而对其流量进行限制、整形，达到带宽管理的目的。

针对用户/应用设置带宽

上网行为管理设备不仅需要能够识别BT、迅雷、电驴等P2P软件，而且需要对用户、应用以及它们的组合进行带宽设置。首先根据需要定义多个带宽通道，对于每个通道，可以指定其保障上下行速率、突发上下行速率、优先级等参数对数据流近进行整形，可以选择将通道内流量对策略用户平均分配，见下图。

针对用户/应用设置带宽

其中：

上传/下载速率：数据流的保障吞吐量。低于此临界值的数据流保障通过。

最大速率：数据流的峰值带宽。超过此临界值的数据流被抑制并丢弃。峰值带宽一般设置为大于正常上传/下载的数值，意义在于：如果当前连接超过基本保障带宽，且总体网络带宽有闲置未用部分，当前连接可以在峰值带宽之下暂时“借用”其它通道空闲的资源，以提高总带宽利用率。

如果对一组用户设置了总带宽，为了防止组内个别成员独占带宽，可以通过勾选“平均分配”将通道平均分配给每个策略用户，也可以针对组内每个成员设置平均带宽上限，实现组内带宽资源的公平使用。

内容审计和过滤

通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理设备可以制定精细化的信息收发监控策略，有效控制信息的传播范围，控制敏感信息的泄露，避免可能引起的法律风险。

首先应能对邮件的收发进行审计和过滤。

上网行为管理设备应可以审计通过任意端口的POP3和SMTP协议收发邮件内容，同时还可以审计通过WEB-MAIL发送邮件的内容，实现对用户邮件收发内容的全面审计。

同时，可基于邮件特征对邮件外发内容进行审计和过滤，并能够匹配收发邮件的标题及内容关键字等特征进行邮件报警，从根本上杜绝包含敏感信息邮件的外发行为，保证企业信息的安全。

另外，通过支持对外发邮件的人工审核，将那些包含敏感信息的邮件暂时拦截下来，由审计员审核内容后在决定是否允许外发，确保精准过滤。

其次，是对聊天工具（IM）的审计和过滤。

优质的上网行为管理设备应能审计聊天工具的收发动作、发送账号、接收账号、聊天内容、视频行为、文件传输等内容，为有效的行为管理提供保障。

最后，可以支持搜索引擎中对关键字的审计和过滤。

上网行为管理设备如果支持“搜索引擎关键字审计与过滤”功能，无疑令这款设备表现更为全面。通过记录用户通过搜索引擎站点、门户网站、论坛贴吧、购物网站、视频网站等搜索的关键字内容，可以基于搜索类别、关键字内容过滤用户的非法搜索行为，保障企业网络的安全稳定。

总结：上网行为管理提升工作效益

面对企业员工的各种网络行为，是无为而治，还是进行有效监管，对于企业管理者来说，答案一定是后者。可是如何能够选择满意的上网行为管理设备，却变成了让他们挠头不已的事情。通过上面对上网行为管理设备的功能介绍，可以帮助企业管理者了解哪些上网行为管理功能对自身的网络管控更为实用。而通过选择优质行为管理设备来获得灵活地管理策略，或能根据企业的个性需求来量身定制管控功能，都能帮助企业规范员工的网络行为，实现安全、高效的网络环境，并最终达到提升工作效益的目的。