小微企業(yè)行為路由器的使用

于新容

摘要：互聯(lián)網+時代，網絡應用日益豐富。企業(yè)員工上班濫用網絡資源的問題屢見不鮮。為了規(guī)范使用行為、合理分配資源，進一步完善管理制度，越來越多的企業(yè)引入了上網行為管理這種方法。下文將討論：小微企業(yè)如何通過有限的投入最大限度地優(yōu)化網絡資源和上網行為。

關鍵詞：網絡資源;帶寬管理;上網行為;安全審計;規(guī)范制度

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）22-0063-03

開放科學（資源服務）標識碼（OSID）：

計算機網絡技術的飛速發(fā)展，讓網絡跟我們的生活息息相關。看新聞、刷微博、打游戲、即時通信、網絡購物已經成為很多人的網絡生活寫照。然而，這些行為并非都在業(yè)余時間進行。現代科技讓我們對網絡產生的依賴，讓相當多的網絡行為發(fā)生在上班時間。根據調查，企業(yè)員工在工作時間的上網行為主要有以下幾個方面：獲取與工作無關的資訊;與工作無關的數據下載;與個人收益相關的活動;各種社交及溝通活動。

對于企業(yè)主或企業(yè)的管理者來說，如何規(guī)范管理員工上班時間的上網行為成為必須要解決的問題。

1 什么是行為管理

上網行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀律，提高工作效率的工具，是行政管理的電子化輔助手段。可實時監(jiān)控、管理網絡資源使用情況，提高整體工作效率。上網行為管理產品適用于需實施內容審計與行為監(jiān)控、行為管理的網絡環(huán)境，可以說，在如今的大環(huán)境下，上網行為管理的應用范圍非常廣泛。

上網行為管理是企業(yè)網絡管理的重要輔助手段，能滿足企業(yè)網絡行為控制的需求。在完善的管理制度之外，企業(yè)必須要利用具備網絡行為管理功能的設備加以約束，做到軟硬結合。

2 為什么要行為管理

在如今網絡飛速發(fā)展的時代，我們都知道網絡安全的重要。在這里談論的行為路由的使用，并沒有覆蓋整個企業(yè)的網絡安全，只能說是企業(yè)網絡管理的一種輔助行為。小微企業(yè)主也許會注重網絡安全，但是未必會花費可觀的金錢去部署一套完整的網絡安防系統(tǒng)。因此，在小微企業(yè)中，使用行為路由器來進行管理，不失為一種便捷、合理、低價的方式，既能夠實現一定程度上的安全管理，又可以管理員工上網行為，杜絕某些不合理應用。從以下幾方面分析上網行為管理的必要性。

2.1 規(guī)范上網行為，提高工作效率

網絡資源毫無約束的隨意使用，會讓員工自覺不自覺的無視公司管理制度。大量占用工作時間從事與企業(yè)業(yè)務無關的網絡活動，必然降低工作效率。

2.2 保護信息安全，防止機密泄露

由于對用戶訪問網站沒有限制，內網用戶無意中訪問各種高危網站會引起內網病毒傳播，影響網絡正常運行;更有可能因此造成內部數據的泄露，對企業(yè)信息安全造成更嚴重的影響。

2.3 流量精細控制，優(yōu)化帶寬資源

雖然有各種網絡管理制度，但更多流于形式。員工在上班時間玩游戲、炒股等行為，大量占用帶寬，影響正常辦公所需要的帶寬。

2.4 多線接入均衡，穩(wěn)定安全共享

由于缺乏有效管理，資源分配不均衡，會造成各網絡設備負載過高，影響正常使用。而用戶無意中的操作很可能對單位形成極大的安全隱患。

2.5 內網用戶的各種上網行為不能有效記錄分析

沒有合理的審計，不能對內網用戶的各種網絡行為做到分析總結。用戶對外網的各種網絡行為沒有記錄，缺少網絡管理方面的措施。

3 如何行為管理

下面，我們以某服飾公司為例，探討如何實現小微企業(yè)的上網行為管理。

3.1 企業(yè)網絡現狀

該企業(yè)規(guī)模較小，成立于2003年。共有信息點30余個。員工接近30人。最初的網絡結構為最簡單的寬帶路由加百兆交換機。因網絡應用發(fā)展飛速。于2017年升級改造網絡，核心升級為千兆交換機，升級寬帶路由為帶有上網行為管理的設備，拓撲如圖1。

3.2 員工上網行為統(tǒng)計

升級前，員工上網行為如下圖：

3.3 員工上網行為分析

由圖2我們可以很清晰地看到，該公司員工在工作時間的上網行為與一般企業(yè)無異。公司的正常業(yè)務對互聯(lián)網的需求主要有以下兩方面：首先是跟客戶的溝通，主要通過郵件往來與即時通訊軟件如微信、QQ、阿里旺旺等。其次是公司的淘寶網店，有專人負責維護更新。從員工的上網行為來看。大量網絡帶寬用于與業(yè)務無關的操作。雖然公司管理者三令五申，但是上班看視頻、炒股、P2P應用等行為屢禁不止。給公司的正常運作帶來了很多負面影響。甚至有員工利用管理漏洞濫用公司資源，私自開設淘寶店。公司管理者希望用盡可能少的資金投入，實現上網行為的管理。

3.4 企業(yè)需求分析

應該說，無論企業(yè)規(guī)模大小。只要對互聯(lián)網有需求，都應該部署上網行為管理設備。可是我們知道，此類設備高檔的動輒數萬數十萬人民幣，不是小微企業(yè)能夠承受的。尤其是現階段，盡管互聯(lián)網在我國已經進入快速發(fā)展階段。但是絕大多數非專業(yè)人士對網絡管理并不了解，也不愿意過多投入資金。雖然有需求但是不知道該如何實施。在筆者的建議下，該公司管理者同意購置上網行為管理設備。并且很明確表達了將升級費用控制在三千元人民幣以內。前面也說過，該公司網絡規(guī)模很小，網絡軟硬件系統(tǒng)總投入不超過十萬人民幣。對網絡管理的認識還非常初步。因此，結合了該公司實際情況以及管理者的要求。筆者為該公司推薦了入門級上網行為管理設備。相對低廉的價格符合小微企業(yè)的需求。同時，一并將交換機升級至了千兆，因為交換機不涉及上網行為管理，在此不再贅述。

3.5 解決方案

1） 如圖1所示，我們可以清晰地看到路由器在整個企業(yè)網絡拓撲中的位置。按照慣例，行為路由器被安排在內外網之間，起到橋梁的作用，數據的進出都必須經過這臺路由器。正是因為它所在的位置，我們可以對路由器進行相關的配置，對經過的數據流進行分析篩查。限制數據流入流出的允許、拒絕權限，從而達到管理的目的。

2） 具體設置過程：下面我們以市售常見的行為管理路由器來進一步講解。

3） 對路由器進行基本設置后，打開瀏覽器進入WEB管理主界面，如圖3。在這里我們主要說明其中“上網行為管理”選項的操作。進入該選項，選擇“IP地址組”，先對各部門的IP地址進行分組。按照圖1中的公司結構分布來規(guī)劃局域網的組織結構，對來訪人員、新入職員工等另外建組。這樣的規(guī)劃使整個網絡架構井然有序。這些分組將與上網行為管理的各個子功能配合使用，用來定義源地址或者目標地址。根據公司實際情況，最終劃分為以下8個IP地址組：財務部、行政部、銷售部、跟單部、倉儲部、總經理、來訪人員、新進職工。注：組名不能使用中文，只能使用漢語拼音或英文。

4） 進入“行為管理策略”選項，此選項可根據用戶需要定制相應的上網行為管理策略。主要通過“分組策略”“軟件過濾”“網址黑白名單”“網頁安全”等四部分來實現。

① 分組策略：每個策略規(guī)則都需要啟動才能生效。可以從地址組列表中選取需要進行上網行為管理的對象，被選取的IP地址組將顯示在相應的列表中。再從上網時間列表中選取對該對象進行上網行為管理的時間，被選取的時間組將顯示在相應的列表中。例如：在工作時間，對倉儲部和跟單部實行上網行為管理。

② 軟件過濾：此選項可以有效地限制內網用戶使用無關應用，如P2P軟件、炒股軟件、視頻軟件等。同時記錄相關軟件的登錄日志。因為公司部分員工需要使用即時通信軟件跟客戶溝通。根據需要利用路由器的登錄日志記錄功能設置了例外，包括總經理、跟單部、銷售部、財務部等相關員工允許使用特定軟件。其余賬號均設置了攔截。

③ 網址黑白名單：網址分類管理功能將大多數熱門網站進行分類，用于對外網網站的訪問進行管控。該公司設置將幾家供貨商的網站加入白名單。并根據IP分組，允許行政部下屬一名設計師訪問一些工作相關的設計類網站。另外，行政部下屬另一名員工負責維護公司的淘寶網店。此名員工允許訪問淘寶網。啟用阻斷功能，禁止用戶訪問“被阻斷網站”。根據實際需求，還可以啟用記錄功能、設置警告信息、禁止IP訪問網站等功能，進行進一步完善。

④ 網頁安全：禁止內網用戶在論壇發(fā)帖、禁止用戶下載指定擴展名（比如exe、torrent等）的文件、禁止用戶訪問URL中包含指定關鍵字的網站。該公司有個別員工占用大量工作時間泡各種論壇，利用企業(yè)資源為個人謀利。因此企業(yè)管理者專門提出禁止訪問與工作無關的論壇。此項設置同時也杜絕了個別員工下載P2P文件、占用大量帶寬的行為。

5） 以上就是有關上網行為管理部分的設置。除了這些基本設置之外，上網行為管理路由器還具備很多其他功能，也可以用于輔助上網行為的限制和管理。例如：IP/MAC地址綁定;MAC地址過濾;WEB認證;流量控制;攻擊防御;連接限制等等多項功能，由于篇幅有限，不在此贅述。

4 對上網行為管理的總結

上網行為管理的技術實現大概分為幾個部分：用戶分組、應用識別、行為審計、行為記錄等。

4.1 明確用戶身份

即分組，是實現上網行為管理的基礎。針對不同部門不同職責進行分組，對于每個特定的分組分配不同的上網權限，這樣才能適應企業(yè)的應用狀況。那種不依賴分組的“一刀切”是不能全面滿足用戶需求的。所以，分組管理和權限策略在路由器中設計為多重搭配組合的模式。本案例中該公司就根據實際需要進行了不同的分組，以達到靈活處理的要求。

4.2 精準應用識別

1） 通過封鎖特定應用的網絡服務器IP地址和端口地址，達到應用無法連接到服務器的目的，實現行為的封鎖。上網行為管理就是廠家把應用項目提出來，預制進產品中，賦予一個簡單容易理解的名字表達這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關信息，大大提高了產品的易用性。在這里，筆者覺得“易用性”是所有研發(fā)廠家在產品性能之后最應該關注的重點。以本案例為例，相當多的企業(yè)不重視網絡管理，不會配備專業(yè)人士。尤其在小微企業(yè)，通常都由略通計算機的員工兼任。如果產品開發(fā)只注重功能不注重易用性，那么花再多的錢也達不到實際效果。

2） 此外，某些即時通信軟件、游戲、P2P等應用，它們雖然有相對固定的服務器IP群，但它們的連接方式是靠協(xié)議握手，動態(tài)地變換IP和端口，甚至有些P2P應用連IP都是不確定的。這就需要通過對協(xié)議封鎖的方式進行處理。通過對要封鎖的協(xié)議進行分析，實現行為封鎖。但是，道高一尺魔高一丈的道理我們都知道。因此，企業(yè)網絡管理者必須時刻牢記“打補丁”的重要性。除了定期進行固件升級，還必須牢記及時更新、修補漏洞的原則。

3） 從技術實現的角度來看，通過IP地址和端口地址管理上網行為是較容易的手段，而通過協(xié)議對上網行為實現靈活管理則要求高得多。協(xié)議型封鎖既要吃透應用協(xié)議的內部過程，又要在實現的同時照顧路由器的轉發(fā)效率，照顧多WAN情況下的負載均衡，算法上是比較復雜的。實際應用中，為了避免加大設備的負荷，應該結合靜態(tài)的IP地址過濾、端口過濾和動態(tài)的協(xié)議封鎖兩種手段進行上網行為的管理。動靜結合的方式，既能有效利用設備、合理安排資源，又能減少規(guī)則設置不合理帶來的負面影響。

4.3 保障網絡安全

在使用計算機網絡的時候，我們都知道“進不來、看不懂、改不了、拿不走、跑不掉”的原則。上網行為審計和上網行為記錄就是這里說的“跑不掉”。 上網行為審計功能，是基于對象（受控對象，時間對象）的審計，控制非常靈活。上網行為審計狀態(tài)，能夠查詢每個用戶的審計狀態(tài)，輸出詳細的審計記錄。而上網日志記錄功能，可以產生基于對象（受控對象、時間對象）的日志記錄，記錄方式非常靈活。如有必要，管理員同樣可以通過查看記錄日志來分析受控對象的網絡行為。一旦出現對企業(yè)不利的意圖或行為，上網行為管理設備記錄下來的日志使我們有據可查。

5 寫在最后

5.1 使用反饋

在執(zhí)行了一段時間的上網行為管理后，該公司上班時間與工作無關的上網行為大幅下降。炒股、看視頻、P2P下載等行為絕跡。上網秩序良好，工作效率提高。但是，也有不少員工反應，規(guī)則太過嚴格死板。經過對大家的意見和建議進行分析，公司管理者重新制定了上網規(guī)則，允許員工在非工作時間訪問絕大部分互聯(lián)網及使用相關網絡應用。這樣的靈活規(guī)定，使得員工最終愉快地接受了上網行為的管控。

5.2 結論

經過以上討論，我們可以得到如下結論：現如今的網絡現狀，使用行為路由器是必要的。有利于幫助企業(yè)打造一個相對純凈的上網環(huán)境。同時，我們也應該注意到，規(guī)矩是死的，人是活的。上網行為的規(guī)范是由人來最終執(zhí)行的，規(guī)則也是依賴人來制定的。設備只是我們的輔助手段。想要最終實現上網行為的管理，只靠設備不可行，還需要加上合理的使用與大家的遵守。

參考文獻：

[1] 百度百科.上網行為管理的市場潛力巨大[EB/OL].http：//baike.baidu.com/，2015-09-23.

[2] 深信服科技.上網行為管理AC[EB/OL].http：//www.sangfor.com.cn/product/safety-content-security-ac.html，2018-03-15.

[3] 百度文庫.路由器上網行為管理功能淺談[EB/OL].https：//wenku.baidu.com/view/51efcefe04a1b0717fd5dd01.html，2010-09-13.

[4] 百度文庫.上網行為管理路由器產生的背景[EB/OL].https：//wenku.baidu.com/view/322e8ddfb14e852459fb570d.html，2013-04-26.

[5] 飛魚星.VE系列產品介紹[EB/OL]. http：//m.adslr.com/product/qyznw/ve/2016-03-29/200.html，2016-03-29.

[6] 百度文庫.飛魚星上網行為管理路由器VE900系列[EB/OL].https：//wenku.baidu.com/view/92185e44a8956bec0975e3ed.html，2018-06-30.

[7] 百度百科.深信服AC系列[EB/OL]. https：//baike.baidu.com/item/深信服AC系列/15561841？fr=aladdin，2018-06-30.

[8] 深信服.上網行為管理產品[EB/OL].http：//www.sangfor.com.cn/edm/2011zhengcai/nc.html，2018-06-30.

【通聯(lián)編輯：唐一東】