1www.hillstonenet.com
销售/服务热线:400-650-0259
Hillstone山石网科上网行为管理白皮书
Hillstone山石网科上网行为管理白皮书
概述
互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部
访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益
凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐
和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司
机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的
言论、甚至参与非法网络活动……
针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该
功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发
的各种问题,优化对互联网资源的应用。
产品功能
StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访
问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不
同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配
合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审
计分析,从而为网络管理者的决策和管理提供重要的数据依据。
上网行为管理策略
StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户
制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为
控制和管理。
上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规
则和外发信息控制策略规则,每类中又包含若干子控制策略规则。
策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理
策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素
的配置:
2www.hillstonenet.com
销售/服务热线:400-650-0259
Hillstone山石网科上网行为管理白皮书
● 策略规则名称 – 上网行为管理策略规则的名称。
● 优先级 - 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先
级高的策略规则会被优先使用。
● 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、
用户组、角色、IP地址等。
● 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时
间段内的网络行为。
● 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发
帖等。
● 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为
或者对该行为或者内容进行日志记录等。
上述四部分中,用户表、时间及网络行为构成策略规则的控制条件,只有符合这些
条件的网络应用流量才称为与策略规则相匹配的流量;控制动作即为对满足控制条件
的网络应用流量(也即与策略规则相匹配的流量)所采取的控制动作。
网络应用控制策略规则
网络应用控制策略规则对网络应用的使用进行控制。StoneOS根据不同的协议及应
用领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P协议、流媒体协议、其他
协议、FTP控制以及HTTP控制等等大类,每一大类中又包含若干具体的子应用和协议。
网络管理者可以根据需要,对各种应用和协议制定基于用户和时间表的策略规则,以
实现对用户上网行为的控制。
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控
制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的
URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规
则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通
过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够
对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和
Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称
和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件
3www.hillstonenet.com
销售/服务热线:400-650-0259
Hillstone山石网科上网行为管理白皮书
的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容
进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置
实现。例外设置包括免监督用户、黑白名单和Bypass域名。
免监督用户
免监督用户中可以设置一些特殊用户,这些用户的所有网络行为将不受上网行为管
理策略规则的控制,比如将公司领导层或者某些特殊部门设置为免监督用户。StoneOS
支持IP子网、IP范围、用户、用户组、角色和地址簿条目类型的免监督用户。
黑白名单
黑白名单中可以设置一些特殊URL,用户对这些URL的访问会跳过已定义好的上网
行为管理策略规则,无条件地允许或者禁止。黑白名单包括以下部分:
● 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。
● 白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
● 关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该
URL。不同平台关键字列表包含的关键字条目数不同。
● 只允许通过域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地
址类型的URL将被拒绝访问。
● 禁止访问白名单以外的所有网站:如果开启该功能,用户只可以访问白名单中的
URL,其它地址都会被拒绝。
Bypass域名
Bypass域名中可以设置一些特殊域名,用户对这些域名的访问将无条件地允许。
上网行为库
StoneOS上网行为库包括预定义URL数据库、自定义URL数据库和关键字数据库。预
定义URL数据库和自定义URL数据库能够为上网行为管理策略规则配置提供URL类别,
网络管理者可以通过设置上网行为管理策略规则,对特定的URL类别进行过滤,从而控
制用户的URL访问行为;关键字数据库能够为上网行为管理策略规则配置提供关键字类
别,网络管理者可以通过设置上网行为管理策略规则,对用户进行访问网页内容关键
字过滤、外发邮件关键字控制和论坛发帖关键字控制。
4www.hillstonenet.com
销售/服务热线:400-650-0259
Hillstone山石网科上网行为管理白皮书
预定义URL数据库
StoneOS内置许可证控制的预定义URL数据库,即为支持预定义URL数据库的
StoneOS系统安装URL数据库许可证后,预定义URL数据库才能使用。
预定义URL数据库中的URL按照中国的文化背景、伦理道德、法律法规、应用领
域、上网习惯等进行分类。目前,StoneOS预定义URL数据库共提供几千万条的URL。
URL数据库更新
默认情况下,StoneOS会每日自动更新预定义URL数据库,用户可以根据需要更改
数据库更新配置。Hillstone山石网科提供两个默认数据库更新服务器,分别是update1.
hillstonenet.com和update2.hillstonenet.com。StoneOS支持在线更新和本地更新两种方
式供用户进行选择。
自定义URL数据库
除了预定义URL数据库中的URL类别外,用户还可以根据需要自定义URL类别。自定
义的URL类别将显示在系统URL类别列表中。
关键字数据库
用户可以定义关键字类别,用于网页内容关键字过滤、外发邮件关键字控制和论坛
发帖关键字控制。
日志管理
StoneOS上网行为管理日志信息可以对用户的上网行为进行全面记录,包括网络游
戏记录、IM行为及聊天内容记录、在线炒股记录、FTP/HTTP使用记录、P2P下载记录、
在线视频访问记录、Web访问记录、外发邮件行为、内容及附件记录以及论坛发帖记
录等等,这些记录为HSM(Hillstone Security ManagementTM,Hillstone山石网科集中
网络安全管理系统)的上网行为管理日志查询统计与审计分析提供完整的数据信息。
产品特点
URL内容分类访问控制
● 结合中国地区内容访问的政策、法规和习惯量身定制
● 具有数千万条域名的分类web页面库,实时同步更新
5www.hillstonenet.com
销售/服务热线:400-650-0259
Hillstone山石网科上网行为管理白皮书
基于深度应用特征的行为控制
● 及时跟踪应用特征变化,定期分类更新
● 深度数据流识别,确保识别的精准度
● 先于NAT进行数据流特征识别,不受透传影响
● 手段多样性,优于简单的服务器地址阻断
日志审计独立于网关设备
● 降低日志数据分析对网关性能的影响
● 可插卡式存储支持
典型案例
上网行为管理作为山石网科UTM中一部分,与访问控制、Qos、IPS等模块构成企业
网络出口的安全屏障。对外可进行入侵防护和非法访问阻断,对内可进行WEB访问、
P2P、IM等应用进行审计。从而使网络的安全性得到提高,使应用和用户的行为能够可
视化。部署图如下:
销售与服务热线:400-650-0259
www.hillstonenet.com
Copyright © 2009,Hillstone山石网科版权所有,保留所有权利。
Hillstone Networks、Hillstone Networks标识、Hillstone、Hillstone山石网科、Hillstone标识、StoneOS、StoneManager、Hillstone PnPVPN、多核Plus、Multi-Core Plus、Hillstone SA-2001A、
Hillstone SA-2001、Hillstone SA-2001B、Hillstone SA-2003、Hillstone SA-2005、Hillstone SA-2010、Hillstone SA-5020、Hillstone SA-5040、Hillstone SA-5050、Hillstone SA-5180、Hillstone
SR-320、Hillstone SR-330、Hillstone SR-530、Hillstone SR-550和Hillstone SR-560为Hillstone山石网科公司所属商标。所有其他商标和注册商标均为其各自公司的财产。
本文所包含信息可能会有所修改,恕不另行通知,如需最新信息请浏览Hillstone山石网科网站(www.hillstonenet.com)。
www.hillstonenet.com
销售与服务热线: 400-650-0259
北京总部
海淀区上地七街1号
汇众大厦3层
邮 编: 100085
电 话: 010-8289 7229
传 真: 010-8289 9814
上海办事处
陕西北路1388号
银座企业中心1715室
邮 编: 200060
电 话: 021-6149 8205
传 真: 021-6149 8001
成都办事处
总府路2号时代广场A
座26层2625
邮 编: 610016
电 话: 028-6606 7115
传 真: 028-6606 7199
南京办事处
中山东路300号
长发中心A栋1602室
邮编: 210002
电话: 025-8682 9916
传真: 025-8682 9916-606
西安办事处
高新技术开发区科技路33号
高新国际商务中心7层704B
邮编: 710075
电话: 029-8833 7347
传真: 029-8833 7347
广州办事处
天河体育东路122号羊城国际
商贸中心东塔15层1510-1511
邮编: 510620
电话: 020-3825 4309
传真: 020-3825 4311
本文档为【上网行为管理白皮书】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。