陈启浓

（佛山市华材职业技术学校 广东 佛山 528000）

1 引言

随着现代互联网技术的推广和应用，人们已经离不开互联网、信息技术。尤其是在大数据时代、资源共享时代，如何有效加强网络事业安全管理和建设，是当前一项重要的任务，也是一项重大战略问题，我们必须养成网络强国思想，安全、文明地使用网络，没有网络安全就没有国家的安全。

随着计算机技术和通信技术发展，互联网已成为了学习、生活、工作、生产、娱乐等方面必不可少的组成部分。网络的普及已经使人们的生活方式、工作方式等发生了重大的变化，互联网已经深入到生产生活的实践中，但是，在便捷使用互联网的同时，大数据安全问题也已经引起了人们的重视，如果企业网络管理不当或者上网行为缺乏监管，网络也会给企业带来诸多问题，小到如带宽滥用，上网速度慢、工作效率下降，大则机密信息被泄露，信息安全遭威胁，给生产、生活带来严重损失或者困扰[1]。提高网络的安全，规范用户上网行为，加强网络监管，防止舆论与法律风险，追踪网络安全事故的行为和责任人是企业保证自身安全的重要措施[2]。

2 单位网络安全管理中面临的问题

网络黑客、网络病毒等都是重大的安全隐患问题，单位网络管理人员对于这些问题，一定要引起重视，必须采取先进的网络结构技术加强预防，杜绝隐患。传统的方式主要是采取更加先进的技术，例如，防火墙、杀毒软件等，用来抵御和防止病毒入侵，以保证网络安全[3]。

但是，有些企业内部网络中储存了非常重要的大客户信息，一旦发生信息泄露问题，将带来严重的经济损失，为了进一步加强网络安全管理，对于重大数据信息，一般网络管理人员会组建内网局域保护，切断与外来网络的一切交互。但是，这种方法也会阻断内部员工获取信息的便捷性，可能会影响单位的信息沟通，对其长远稳定的发展也会造成不利影响。

3 使用安全网关来规范和管理上网行为

对于单位内部人员的无序上网行为带来的网络安全隐患，防火墙和杀毒软件是无计可施的，由此，安全网关（上网行为管理）产品应运而生，上网行为管理行业蓬勃发展起来。网关（Gateway）就是一个网络连接到另一个网络的“关口”，在Internet网中，网关是一种连接内部网与Internet上其它网的中间设备，安全网关又称上网行为管理器，是互联网用户控制和管理对互联网使用的一种硬件网络设备，它有对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能，可以通过它来规范用户的上网行为，加强网络安全，安全网关支持路由、网桥以及旁路三种部署模式，各企业根据网络安全需求，可以选择不同的安全网关的模式进行部署及设置[4]。

4 安全网关在企业网络的管理策略

网络安全管理问题一直是人们关注的重点，但是传统的防火墙、防毒软件并不能满足安全管理的需求，为了进一步有效防御病毒，还需要加强技术研究。当前，内网行为管理方面还存在很明显的缺失，很多用户在使用过程中还是会遇到信息丢失等问题。所以，加强企业网络安全管理势在必行。

4.1 规范员工上网行为

上班时间内员工内网从事逛淘宝、刷网页等现象，管理人员很难每一个人都监测到位，例如，员工利用QQ、微信、阿里旺旺等从事私人聊天活动，工作效率降低，还会影响企业整体的工作氛围，导致消极怠工等，通过网络安全网卡AC管理，对工作时间内的私人行为进行局限，员工无法访问其他工作无关的网页或者软件，让他们专注于上班，提升工作的效率。

员工利用公司的互联网，访问邪教、反动等不良网站，甚至发表敏感话题和过激言论，以及收集色情图片、登录色情网站等行为，导致违法行为，触犯了企业的规定，将直接承担法律责任。安全网关AC对员工的不当上网行为进行监管，记录员工的工作日志，保证随时发现员工的违法行为，积极对其进行规避和管理，降低违法风险。

4.2 流量控制及带宽管理

P2P已经成为公众所熟知的一种流量控制行为，使得工作相关流量受限，严重影响工作的顺利进行[5]。安全网关AC不仅能彻底封堵P2P垄断流量行为，还能反向使用被控制的流量，彻底解封。在宽带管理方面，从用户身份到用户使用时间、应用类型等多个方面多管齐下，根据QoS策略及机制，在保证企业工作宽带传输速度需求的同时，保证使用的安全性和时效性。

4.3 提高内网安全级别

色情、反动网站的浏览器和未知文件的下载装置，会导致木马、病毒等趁机而入，严重威胁到内网的信息安全，甚至造成严重的网络安全事故。安全网关AC可以直接对木马、病毒、黑客进行过滤，提供网关杀毒功能，任何进入内网的文件都需要进行杀毒，从源头上彻底消灭病毒的入侵。

4.4 优化共享上网环境

网络黑客、病毒入侵等已经成为普遍的网络犯罪行为，当用户以假冒身份访问内网时，此时很容易导致内网入侵，非法软件立即会插入到内部网络中。安全网卡AC具有滤过功能，辨识假冒身份，防治不明身份的终端访问，从而切断病毒源；还会自动检测网络中的异常流量，对其进行扫描和查杀，发现异常自动封锁，立即发起系统警告，提升局域网络的安全防护功能。

5 安全网关实施方案设计

5.1 网络环境与需求分析

（1）某客户原有网络结构如图1所示，客户网络出口20 M，内网LAN有600人左右上网。由于带宽本身不足，加上上班时间经常有人看电影、下载等导致公司网络无法正常办公，网页打开缓慢。客户希望通过安全网关AC设备来解决客户的以上问题。

（2）客户需求：①所有公司电脑用户上网均需要绑定IP/MAC，以解决滥用IP问题；②管理用户组192.168.10.0/24上网不受控制，也不需做审计，上班时间要保证领导组的带宽；③普通用户组192.168.20.0/24上班时间不允许使用优酷、视频直播等全部在线流媒体，迅雷和P2P等下载限制在50 Kbps，下班时间不做控制。全天都需要对发邮件、BBS论坛发帖、访问网站等所有上网行为进行审计，并且这些数据希望在外置的服务器上查询，以降低AC设备的性能损耗；④通过AC提高网页访问速度。

5.2 安全网关接入部署

通过在核心交换机和防火墙之间部署一台安全网关AC设备来实现公司上网速度。同时通过AC设备设置上网权限、流控等策略实现客户的需求。部署AC设备时必须是LAN区网口接核心交换机，WAN区网口接防火墙。本案例中配置的LAN区网口是eth0，WAN区网口是eth2，部署后拓扑如图2所示。

图1 原网络环境拓扑结构

图2 部署后拓扑结构

5.3 安全网关配置思路和策略

（1）配置基础网络，根据企业网络安全需求使用配置网桥模式、配置系统路由等信息。

（2）配置用户组，为了使不同层次的用户和部门授予有差异的Internet访问、控制和审计权限，需要规划和创建用户分组结构，按客户的需求新建管理层用户组与普通用户组两个组，并创建用户，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。

（3）配置认证策略，新建两条认证策略，管理层用户组绑定IP/MAC，自动添加到管理层用户组，普通用户组绑定IP/MAC，自动添加到普通用户组。

（4）配置上网策略，上网策略是网络管理员根据内网用户的权限分配情况，设置不同的上网策略。通过设置，可以对内网用户连接公网的应用进行控制，允许或拒绝某些上网应用。新建普通用户组策略，上班时间不允许看流媒体，审计所有行为。

（5）配置流控策略，为了合理分配带宽资源，防止流量干涸和网络堵塞，它可以限制P2P等下载软件的使用，力保网速平稳，保证公司正常业务顺畅运作，避免工作效率受网络堵塞影响。新建流控策略，限制普通用户组上班时间单用户带宽不超过50 Kbps，保证管理层组上班时间带宽最低占总带宽的25%。

（6）配置上网加速，加速选项启用上网加速系统。现代办公网络中，一个企业所拥有的互联网线路网线通常是有限的，上网加速功能的目的是在内网完成第一次到某网站的请求之后，对初期的数据做一个缓存，当内网其他人访问相同的外网资源时，直接从缓存中发送数据给请求用户，无需再次从互联网上请求该资源。上网加速的过程对内网用户是透明的，也就是内网用户不用做任何设置，只需通过设备的配置就可以实现上网加速。

6 安全网关在网络管理中的实施效果

企业上网行为系统部署后，不同的部门设置不同的互联网访问策略，对可访问的互联网内容做了严格的限制，不同岗位的员工拥有相应的互联网访问权限，对每一项互联网业务按需分配了网络带宽，保证了主要业务的畅通无阻，对所有部门的上网行为进行了实时监控管理，保留详细用户访问记录备查。通过一段时间的使用发现，公司内网越来越稳定，网络速度明显改善。阻止了不良网站的访问，减少恶意软件的侵扰，终端故障率降低。由于控制了网络游戏的使用，员工工作效率有较大提高。同时，系统加强了对E—mail、BBS等外发信息的监管，减少了企业机密信息外泄的可能。通过对上网行为的分析，可以掌控各部门的上网情况，提高网络可管理性，便于网络与行政管理。

7 结语

在现代这个越来越依赖互联网的时代，对于单位而言，内部网络的安全运行，是保证企业正常运行的基础，只有确保一个安全、稳定的信息化环境，才能确保单位正常有序的生产与健康有序的发展。安全网关可以在企业内部网络和因特网之间起到防护功能，通过接入和正确的设置安全网关设备，可以效地为单位提供一个安全的网络环境。系统建成后，为企业提供完整的解决方案以实现统一的用户管理。提高员工的工作效率和企业的整体创新和管理能力。