隨著現(xiàn)代企業(yè)規(guī)模的不斷擴(kuò)大，企業(yè)的網(wǎng)絡(luò)體系也越來(lái)越復(fù)雜，面對(duì)越來(lái)越龐大的員工群體，如何管理好他們的網(wǎng)絡(luò)行為，更加合理地利用網(wǎng)絡(luò)資源，是每個(gè)網(wǎng)絡(luò)管理者必須思考的問(wèn)題。

深圳一企業(yè)辦公區(qū)員工屢屢發(fā)生上班時(shí)間炒股、看論壇、玩游戲，更有甚者私接筆記本上網(wǎng)，竊取公司機(jī)密文件。最近有員工上惡意網(wǎng)站中了ARP病毒，導(dǎo)致局域網(wǎng)內(nèi)很多電腦上連ARP安全衛(wèi)士都無(wú)法打開(kāi)。分公司的VPN連接也經(jīng)常掉線(xiàn)，達(dá)不到安全穩(wěn)定的效果。網(wǎng)管人員發(fā)現(xiàn)原來(lái)的路由器已無(wú)法承受現(xiàn)有的網(wǎng)絡(luò)需求。

為了以較低的網(wǎng)絡(luò)維護(hù)和管理成本來(lái)解決這些企業(yè)里常見(jiàn)的難題，本文講解了如何利用純軟件來(lái)管理整個(gè)網(wǎng)絡(luò)系統(tǒng)，讓企業(yè)網(wǎng)絡(luò)的使用盡在您的掌控之中。

方案設(shè)計(jì)：

企業(yè)總部采用海蜘蛛路由系統(tǒng)，使用三層交換機(jī)劃分VLAN，出差人員或各分公司采用VPN與總部互聯(lián)來(lái)實(shí)現(xiàn)資源共享。網(wǎng)絡(luò)管理者可以隨時(shí)隨地對(duì)整個(gè)網(wǎng)絡(luò)跨VLAN、跨平臺(tái)監(jiān)控查看各員工的帶寬流量及相關(guān)應(yīng)用的日志記錄。

系統(tǒng)特點(diǎn)：

采用各種認(rèn)證加上防火墻控制，保障網(wǎng)絡(luò)的安全和系統(tǒng)的穩(wěn)定

針對(duì)局域網(wǎng)ARP攻擊現(xiàn)象，采用PPPoE+Web+驗(yàn)證碼的三重防護(hù)措施來(lái)解決，再配合IP-MAC綁定來(lái)杜絕員工私接電腦用公網(wǎng)辦私事。

VLAN的劃分和域的控制，使得各部門(mén)員工只能與FTP服務(wù)器進(jìn)行通訊，而相互之間不能隨意私下交換信息，更有效地防止公司機(jī)密信息泄露。

對(duì)于個(gè)別員工進(jìn)行端口監(jiān)控，只需設(shè)置端口鏡像就可以將其數(shù)據(jù)復(fù)制并轉(zhuǎn)發(fā)到監(jiān)控機(jī)上，從而了解到該員工上網(wǎng)行為的一舉一動(dòng)。

啟用路由系統(tǒng)自帶的防火墻功能，可有效過(guò)濾惡意網(wǎng)站、IP地址、關(guān)鍵字等，再加上自定義ACL策略，極大地減少了內(nèi)網(wǎng)感染病毒、木馬及遭受外網(wǎng)攻擊的可能性。即使網(wǎng)內(nèi)某臺(tái)計(jì)算機(jī)感染上病毒也能利用日志記錄來(lái)快速對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行準(zhǔn)確定位。

利用上網(wǎng)應(yīng)用管理，根除員工上班時(shí)間娛樂(lè)現(xiàn)象

以上圖為例：對(duì)銷(xiāo)售部禁止玩網(wǎng)絡(luò)游戲，對(duì)銷(xiāo)售部A，因?yàn)槠浣?jīng)常上網(wǎng)炒股，所以還特別限制使用炒股軟件。對(duì)銷(xiāo)售部B因?yàn)榻?jīng)常訪(fǎng)問(wèn)天涯論壇，所以限制其對(duì)天涯網(wǎng)站的訪(fǎng)問(wèn)。對(duì)研發(fā)部網(wǎng)絡(luò)應(yīng)用限制為只能使用客戶(hù)端收發(fā)郵件。

我們按如下流程來(lái)規(guī)范員工上網(wǎng)行為：

利用信息推送功能，對(duì)各部門(mén)或指定員工發(fā)公告

對(duì)于個(gè)別違反本公司規(guī)章的員工直接發(fā)送網(wǎng)頁(yè)警告，通過(guò)文檔，圖片等方式提醒對(duì)方注意。此員工計(jì)算機(jī)上會(huì)有如下顯示：

采用安全VPN接入，實(shí)現(xiàn)隨時(shí)隨地辦公自動(dòng)化