小微企業(yè)行為路由器的使用

于新容

摘要：互聯(lián)網(wǎng)+時代，網(wǎng)絡(luò)應(yīng)用日益豐富。企業(yè)員工上班濫用網(wǎng)絡(luò)資源的問題屢見不鮮。為了規(guī)范使用行為、合理分配資源，進一步完善管理制度，越來越多的企業(yè)引入了上網(wǎng)行為管理這種方法。下文將討論：小微企業(yè)如何通過有限的投入最大限度地優(yōu)化網(wǎng)絡(luò)資源和上網(wǎng)行為。

關(guān)鍵詞：網(wǎng)絡(luò)資源;帶寬管理;上網(wǎng)行為;安全審計;規(guī)范制度

中圖分類號：TP311? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2019）22-0063-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，讓網(wǎng)絡(luò)跟我們的生活息息相關(guān)?？葱侣?、刷微博、打游戲、即時通信、網(wǎng)絡(luò)購物已經(jīng)成為很多人的網(wǎng)絡(luò)生活寫照。然而，這些行為并非都在業(yè)余時間進行?，F(xiàn)代科技讓我們對網(wǎng)絡(luò)產(chǎn)生的依賴，讓相當(dāng)多的網(wǎng)絡(luò)行為發(fā)生在上班時間。根據(jù)調(diào)查，企業(yè)員工在工作時間的上網(wǎng)行為主要有以下幾個方面：獲取與工作無關(guān)的資訊;與工作無關(guān)的數(shù)據(jù)下載;與個人收益相關(guān)的活動;各種社交及溝通活動。

對于企業(yè)主或企業(yè)的管理者來說，如何規(guī)范管理員工上班時間的上網(wǎng)行為成為必須要解決的問題。

1 什么是行為管理

上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律，提高工作效率的工具，是行政管理的電子化輔助手段?？蓪崟r監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理產(chǎn)品適用于需實施內(nèi)容審計與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，可以說，在如今的大環(huán)境下，上網(wǎng)行為管理的應(yīng)用范圍非常廣泛。

上網(wǎng)行為管理是企業(yè)網(wǎng)絡(luò)管理的重要輔助手段，能滿足企業(yè)網(wǎng)絡(luò)行為控制的需求。在完善的管理制度之外，企業(yè)必須要利用具備網(wǎng)絡(luò)行為管理功能的設(shè)備加以約束，做到軟硬結(jié)合。

2 為什么要行為管理

在如今網(wǎng)絡(luò)飛速發(fā)展的時代，我們都知道網(wǎng)絡(luò)安全的重要。在這里談?wù)摰男袨槁酚傻氖褂?，并沒有覆蓋整個企業(yè)的網(wǎng)絡(luò)安全，只能說是企業(yè)網(wǎng)絡(luò)管理的一種輔助行為。小微企業(yè)主也許會注重網(wǎng)絡(luò)安全，但是未必會花費可觀的金錢去部署一套完整的網(wǎng)絡(luò)安防系統(tǒng)。因此，在小微企業(yè)中，使用行為路由器來進行管理，不失為一種便捷、合理、低價的方式，既能夠?qū)崿F(xiàn)一定程度上的安全管理，又可以管理員工上網(wǎng)行為，杜絕某些不合理應(yīng)用。從以下幾方面分析上網(wǎng)行為管理的必要性。

2.1 規(guī)范上網(wǎng)行為，提高工作效率

網(wǎng)絡(luò)資源毫無約束的隨意使用，會讓員工自覺不自覺的無視公司管理制度。大量占用工作時間從事與企業(yè)業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)活動，必然降低工作效率。

2.2 保護信息安全，防止機密泄露

由于對用戶訪問網(wǎng)站沒有限制，內(nèi)網(wǎng)用戶無意中訪問各種高危網(wǎng)站會引起內(nèi)網(wǎng)病毒傳播，影響網(wǎng)絡(luò)正常運行;更有可能因此造成內(nèi)部數(shù)據(jù)的泄露，對企業(yè)信息安全造成更嚴(yán)重的影響。

2.3 流量精細控制，優(yōu)化帶寬資源

雖然有各種網(wǎng)絡(luò)管理制度，但更多流于形式。員工在上班時間玩游戲、炒股等行為，大量占用帶寬，影響正常辦公所需要的帶寬。

2.4 多線接入均衡，穩(wěn)定安全共享

由于缺乏有效管理，資源分配不均衡，會造成各網(wǎng)絡(luò)設(shè)備負載過高，影響正常使用。而用戶無意中的操作很可能對單位形成極大的安全隱患。

2.5 內(nèi)網(wǎng)用戶的各種上網(wǎng)行為不能有效記錄分析

沒有合理的審計，不能對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為做到分析總結(jié)。用戶對外網(wǎng)的各種網(wǎng)絡(luò)行為沒有記錄，缺少網(wǎng)絡(luò)管理方面的措施。

3 如何行為管理

下面，我們以某服飾公司為例，探討如何實現(xiàn)小微企業(yè)的上網(wǎng)行為管理。

3.1 企業(yè)網(wǎng)絡(luò)現(xiàn)狀

該企業(yè)規(guī)模較小，成立于2003年。共有信息點30余個。員工接近30人。最初的網(wǎng)絡(luò)結(jié)構(gòu)為最簡單的寬帶路由加百兆交換機。因網(wǎng)絡(luò)應(yīng)用發(fā)展飛速。于2017年升級改造網(wǎng)絡(luò)，核心升級為千兆交換機，升級寬帶路由為帶有上網(wǎng)行為管理的設(shè)備，拓撲如圖1。

3.2 員工上網(wǎng)行為統(tǒng)計

升級前，員工上網(wǎng)行為如下圖：

3.3 員工上網(wǎng)行為分析

由圖2我們可以很清晰地看到，該公司員工在工作時間的上網(wǎng)行為與一般企業(yè)無異。公司的正常業(yè)務(wù)對互聯(lián)網(wǎng)的需求主要有以下兩方面：首先是跟客戶的溝通，主要通過郵件往來與即時通訊軟件如微信、QQ、阿里旺旺等。其次是公司的淘寶網(wǎng)店，有專人負責(zé)維護更新。從員工的上網(wǎng)行為來看。大量網(wǎng)絡(luò)帶寬用于與業(yè)務(wù)無關(guān)的操作。雖然公司管理者三令五申，但是上班看視頻、炒股、P2P應(yīng)用等行為屢禁不止。給公司的正常運作帶來了很多負面影響。甚至有員工利用管理漏洞濫用公司資源，私自開設(shè)淘寶店。公司管理者希望用盡可能少的資金投入，實現(xiàn)上網(wǎng)行為的管理。

3.4 企業(yè)需求分析

應(yīng)該說，無論企業(yè)規(guī)模大小。只要對互聯(lián)網(wǎng)有需求，都應(yīng)該部署上網(wǎng)行為管理設(shè)備?？墒俏覀冎?，此類設(shè)備高檔的動輒數(shù)萬數(shù)十萬人民幣，不是小微企業(yè)能夠承受的。尤其是現(xiàn)階段，盡管互聯(lián)網(wǎng)在我國已經(jīng)進入快速發(fā)展階段。但是絕大多數(shù)非專業(yè)人士對網(wǎng)絡(luò)管理并不了解，也不愿意過多投入資金。雖然有需求但是不知道該如何實施。在筆者的建議下，該公司管理者同意購置上網(wǎng)行為管理設(shè)備。并且很明確表達了將升級費用控制在三千元人民幣以內(nèi)。前面也說過，該公司網(wǎng)絡(luò)規(guī)模很小，網(wǎng)絡(luò)軟硬件系統(tǒng)總投入不超過十萬人民幣。對網(wǎng)絡(luò)管理的認識還非常初步。因此，結(jié)合了該公司實際情況以及管理者的要求。筆者為該公司推薦了入門級上網(wǎng)行為管理設(shè)備。相對低廉的價格符合小微企業(yè)的需求。同時，一并將交換機升級至了千兆，因為交換機不涉及上網(wǎng)行為管理，在此不再贅述。

3.5 解決方案

1） 如圖1所示，我們可以清晰地看到路由器在整個企業(yè)網(wǎng)絡(luò)拓撲中的位置。按照慣例，行為路由器被安排在內(nèi)外網(wǎng)之間，起到橋梁的作用，數(shù)據(jù)的進出都必須經(jīng)過這臺路由器。正是因為它所在的位置，我們可以對路由器進行相關(guān)的配置，對經(jīng)過的數(shù)據(jù)流進行分析篩查。限制數(shù)據(jù)流入流出的允許、拒絕權(quán)限，從而達到管理的目的。

2） 具體設(shè)置過程：下面我們以市售常見的行為管理路由器來進一步講解。

3） 對路由器進行基本設(shè)置后，打開瀏覽器進入WEB管理主界面，如圖3。在這里我們主要說明其中“上網(wǎng)行為管理”選項的操作。進入該選項，選擇“IP地址組”，先對各部門的IP地址進行分組。按照圖1中的公司結(jié)構(gòu)分布來規(guī)劃局域網(wǎng)的組織結(jié)構(gòu)，對來訪人員、新入職員工等另外建組。這樣的規(guī)劃使整個網(wǎng)絡(luò)架構(gòu)井然有序。這些分組將與上網(wǎng)行為管理的各個子功能配合使用，用來定義源地址或者目標(biāo)地址。根據(jù)公司實際情況，最終劃分為以下8個IP地址組：財務(wù)部、行政部、銷售部、跟單部、倉儲部、總經(jīng)理、來訪人員、新進職工。注：組名不能使用中文，只能使用漢語拼音或英文。

4） 進入“行為管理策略”選項，此選項可根據(jù)用戶需要定制相應(yīng)的上網(wǎng)行為管理策略。主要通過“分組策略”“軟件過濾”“網(wǎng)址黑白名單”“網(wǎng)頁安全”等四部分來實現(xiàn)。

① 分組策略：每個策略規(guī)則都需要啟動才能生效?？梢詮牡刂方M列表中選取需要進行上網(wǎng)行為管理的對象，被選取的IP地址組將顯示在相應(yīng)的列表中。再從上網(wǎng)時間列表中選取對該對象進行上網(wǎng)行為管理的時間，被選取的時間組將顯示在相應(yīng)的列表中。例如：在工作時間，對倉儲部和跟單部實行上網(wǎng)行為管理。

② 軟件過濾：此選項可以有效地限制內(nèi)網(wǎng)用戶使用無關(guān)應(yīng)用，如P2P軟件、炒股軟件、視頻軟件等。同時記錄相關(guān)軟件的登錄日志。因為公司部分員工需要使用即時通信軟件跟客戶溝通。根據(jù)需要利用路由器的登錄日志記錄功能設(shè)置了例外，包括總經(jīng)理、跟單部、銷售部、財務(wù)部等相關(guān)員工允許使用特定軟件。其余賬號均設(shè)置了攔截。

③ 網(wǎng)址黑白名單：網(wǎng)址分類管理功能將大多數(shù)熱門網(wǎng)站進行分類，用于對外網(wǎng)網(wǎng)站的訪問進行管控。該公司設(shè)置將幾家供貨商的網(wǎng)站加入白名單。并根據(jù)IP分組，允許行政部下屬一名設(shè)計師訪問一些工作相關(guān)的設(shè)計類網(wǎng)站。另外，行政部下屬另一名員工負責(zé)維護公司的淘寶網(wǎng)店。此名員工允許訪問淘寶網(wǎng)。啟用阻斷功能，禁止用戶訪問“被阻斷網(wǎng)站”。根據(jù)實際需求，還可以啟用記錄功能、設(shè)置警告信息、禁止IP訪問網(wǎng)站等功能，進行進一步完善。

④ 網(wǎng)頁安全：禁止內(nèi)網(wǎng)用戶在論壇發(fā)帖、禁止用戶下載指定擴展名（比如exe、torrent等）的文件、禁止用戶訪問URL中包含指定關(guān)鍵字的網(wǎng)站。該公司有個別員工占用大量工作時間泡各種論壇，利用企業(yè)資源為個人謀利。因此企業(yè)管理者專門提出禁止訪問與工作無關(guān)的論壇。此項設(shè)置同時也杜絕了個別員工下載P2P文件、占用大量帶寬的行為。

5） 以上就是有關(guān)上網(wǎng)行為管理部分的設(shè)置。除了這些基本設(shè)置之外，上網(wǎng)行為管理路由器還具備很多其他功能，也可以用于輔助上網(wǎng)行為的限制和管理。例如：IP/MAC地址綁定;MAC地址過濾;WEB認證;流量控制;攻擊防御;連接限制等等多項功能，由于篇幅有限，不在此贅述。

4 對上網(wǎng)行為管理的總結(jié)

上網(wǎng)行為管理的技術(shù)實現(xiàn)大概分為幾個部分：用戶分組、應(yīng)用識別、行為審計、行為記錄等。

4.1 明確用戶身份

即分組，是實現(xiàn)上網(wǎng)行為管理的基礎(chǔ)。針對不同部門不同職責(zé)進行分組，對于每個特定的分組分配不同的上網(wǎng)權(quán)限，這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一刀切”是不能全面滿足用戶需求的。所以，分組管理和權(quán)限策略在路由器中設(shè)計為多重搭配組合的模式。本案例中該公司就根據(jù)實際需要進行了不同的分組，以達到靈活處理的要求。

4.2 精準(zhǔn)應(yīng)用識別

1） 通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP地址和端口地址，達到應(yīng)用無法連接到服務(wù)器的目的，實現(xiàn)行為的封鎖。上網(wǎng)行為管理就是廠家把應(yīng)用項目提出來，預(yù)制進產(chǎn)品中，賦予一個簡單容易理解的名字表達這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關(guān)信息，大大提高了產(chǎn)品的易用性。在這里，筆者覺得“易用性”是所有研發(fā)廠家在產(chǎn)品性能之后最應(yīng)該關(guān)注的重點。以本案例為例，相當(dāng)多的企業(yè)不重視網(wǎng)絡(luò)管理，不會配備專業(yè)人士。尤其在小微企業(yè)，通常都由略通計算機的員工兼任。如果產(chǎn)品開發(fā)只注重功能不注重易用性，那么花再多的錢也達不到實際效果。

2） 此外，某些即時通信軟件、游戲、P2P等應(yīng)用，它們雖然有相對固定的服務(wù)器IP群，但它們的連接方式是靠協(xié)議握手，動態(tài)地變換IP和端口，甚至有些P2P應(yīng)用連IP都是不確定的。這就需要通過對協(xié)議封鎖的方式進行處理。通過對要封鎖的協(xié)議進行分析，實現(xiàn)行為封鎖。但是，道高一尺魔高一丈的道理我們都知道。因此，企業(yè)網(wǎng)絡(luò)管理者必須時刻牢記“打補丁”的重要性。除了定期進行固件升級，還必須牢記及時更新、修補漏洞的原則。

3） 從技術(shù)實現(xiàn)的角度來看，通過IP地址和端口地址管理上網(wǎng)行為是較容易的手段，而通過協(xié)議對上網(wǎng)行為實現(xiàn)靈活管理則要求高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程，又要在實現(xiàn)的同時照顧路由器的轉(zhuǎn)發(fā)效率，照顧多WAN情況下的負載均衡，算法上是比較復(fù)雜的。實際應(yīng)用中，為了避免加大設(shè)備的負荷，應(yīng)該結(jié)合靜態(tài)的IP地址過濾、端口過濾和動態(tài)的協(xié)議封鎖兩種手段進行上網(wǎng)行為的管理。動靜結(jié)合的方式，既能有效利用設(shè)備、合理安排資源，又能減少規(guī)則設(shè)置不合理帶來的負面影響。

4.3 保障網(wǎng)絡(luò)安全

在使用計算機網(wǎng)絡(luò)的時候，我們都知道“進不來、看不懂、改不了、拿不走、跑不掉”的原則。上網(wǎng)行為審計和上網(wǎng)行為記錄就是這里說的“跑不掉”。 上網(wǎng)行為審計功能，是基于對象（受控對象，時間對象）的審計，控制非常靈活。上網(wǎng)行為審計狀態(tài)，能夠查詢每個用戶的審計狀態(tài)，輸出詳細的審計記錄。而上網(wǎng)日志記錄功能，可以產(chǎn)生基于對象（受控對象、時間對象）的日志記錄，記錄方式非常靈活。如有必要，管理員同樣可以通過查看記錄日志來分析受控對象的網(wǎng)絡(luò)行為。一旦出現(xiàn)對企業(yè)不利的意圖或行為，上網(wǎng)行為管理設(shè)備記錄下來的日志使我們有據(jù)可查。

5 寫在最后

5.1 使用反饋

在執(zhí)行了一段時間的上網(wǎng)行為管理后，該公司上班時間與工作無關(guān)的上網(wǎng)行為大幅下降。炒股、看視頻、P2P下載等行為絕跡。上網(wǎng)秩序良好，工作效率提高。但是，也有不少員工反應(yīng)，規(guī)則太過嚴(yán)格死板。經(jīng)過對大家的意見和建議進行分析，公司管理者重新制定了上網(wǎng)規(guī)則，允許員工在非工作時間訪問絕大部分互聯(lián)網(wǎng)及使用相關(guān)網(wǎng)絡(luò)應(yīng)用。這樣的靈活規(guī)定，使得員工最終愉快地接受了上網(wǎng)行為的管控。

5.2 結(jié)論

經(jīng)過以上討論，我們可以得到如下結(jié)論：現(xiàn)如今的網(wǎng)絡(luò)現(xiàn)狀，使用行為路由器是必要的。有利于幫助企業(yè)打造一個相對純凈的上網(wǎng)環(huán)境。同時，我們也應(yīng)該注意到，規(guī)矩是死的，人是活的。上網(wǎng)行為的規(guī)范是由人來最終執(zhí)行的，規(guī)則也是依賴人來制定的。設(shè)備只是我們的輔助手段。想要最終實現(xiàn)上網(wǎng)行為的管理，只靠設(shè)備不可行，還需要加上合理的使用與大家的遵守。

參考文獻：

[1] 百度百科.上網(wǎng)行為管理的市場潛力巨大[EB/OL].http：//baike.baidu.com/，2015-09-23.

[2] 深信服科技.上網(wǎng)行為管理AC[EB/OL].http：//www.sangfor.com.cn/product/safety-content-security-ac.html，2018-03-15.

[3] 百度文庫.路由器上網(wǎng)行為管理功能淺談[EB/OL].https：//wenku.baidu.com/view/51efcefe04a1b0717fd5dd01.html，2010-09-13.

[4] 百度文庫.上網(wǎng)行為管理路由器產(chǎn)生的背景[EB/OL].https：//wenku.baidu.com/view/322e8ddfb14e852459fb570d.html，2013-04-26.

[5] 飛魚星.VE系列產(chǎn)品介紹[EB/OL]. http：//m.adslr.com/product/qyznw/ve/2016-03-29/200.html，2016-03-29.

[6] 百度文庫.飛魚星上網(wǎng)行為管理路由器VE900系列[EB/OL].https：//wenku.baidu.com/view/92185e44a8956bec0975e3ed.html，2018-06-30.

[7] 百度百科.深信服AC系列[EB/OL]. https：//baike.baidu.com/item/深信服AC系列/15561841？fr=aladdin，2018-06-30.

[8] 深信服.上網(wǎng)行為管理產(chǎn)品[EB/OL].http：//www.sangfor.com.cn/edm/2011zhengcai/nc.html，2018-06-30.

【通聯(lián)編輯：唐一東】