SIPFilter企业上网行为管理解决方案

SIPFilter企业员工上网行为管理解决方案

一、概念

现在各个企事业单位，很多都已为内部员工提供上网服务。随之而来的问题是，怎样对员工的上网行为进行有效的管理，就成为企业迫切需要解决的问题。

例如，需要对员工上网的范围进行限制，禁止其浏览非健康内容的网站，限制其上网聊天，限制其上网打游戏；而且不同员工，上网限制范围也需要各不相同；需要只允许员工在某些时间上网，其它时间不允许上网；需要记录员工每次的上网时间，在哪些时间上过网；需要记录员工都访问浏览过哪些网站；需要控制每个员工的上网带宽，防止其BT过分占用出口带宽资源；需要记录员工发送的数据，以检查员工有无不良行为。等等上网管理的需求，怎么解决，怎么方便地解决。

归结起来，企业对员工的上网管理，存在3个方面的需求：1、控制员工上网时间长短和允许上网时间段；2、限制员工的访问网站范围；3、记录员工的访问日志和通信数据。落实到技术层面，就是员工电脑Internet通信的控制和过滤。

如果您有这样的需求，或者类似的需求，那么，SIPFilter企业员工上网行为管理解决方案，正是您急切寻找需求的产品。

SIPFilter企业员工上网行为管理解决方案，基于SIPFilter过滤产品的强大功能，可以无缝透明地满足企业上网管理的需求，成本低廉，简单实用。该方案，也可适用于学校等，有着类似需求的客户。

二、SIPFilter过滤产品介绍

SIPFilter过滤系统是一款纯软件通信产品，全部功能都是为上网过滤管理需求而设计。产品是一个通用的上网过滤平台，适应学校、企业、政府部门等多种上网过滤和管理的需求，可灵活定制上层的各种过滤管理应用功能。通信数据的过滤处理，产品还支持第三方过滤器组件的二次开发，随时实现按需定制过滤。

SIPFilter过滤软件基于透明代理技术，实现网络通信数据的过滤处理。产品具有非常广泛的适应性，适应各种网络结构下的上网过滤需求。无论客户是通过网关服务器共享上网，还是通过硬件路由器上网，还是其它设备上网；无论客户的上网出口是何种方式，电话拨号、ADSL拨号、DDN、ISDN、专线静态IP、光纤接入等；无论是单上网出口，还是多上网出口负载均衡（或故障接管）；当需要上网过滤和管理时，SIPFilter过滤产品都完全支持。而且SIPFilter过滤产品还提供客户机流量带宽管理等附加功能，提供更为全面的上网管理。

三、两种典型网络结构的上网行为管理解决方案

两种典型情况：网关服务器共享上网、硬件路由器上网，是企业常用的上网方式，详细说明如下。通过防火墙上网，是路由器上网的一种特殊方式，不再单独叙述。

1、网关服务器共享上网

如图一，很多用户，都是通过一台服务器当作内部网络共享上网的网关服务器，上网接口是ADSL拨号（或者ADSL固定IP，或者ADSL非拨号动态IP），或者光纤拨号（或者光纤固定IP，或者光纤非拨号动态IP）。网关服务器具有双网卡，一块网卡接ISP提供的网线接口，另一块网卡接内部网络的交换机。

图一、网关服务器共享上网拓扑结构示意图

在这种结构下，需要添加上网过滤和管理的功能，使用SIPFilter过滤产品，则可以非常简单地得到实现。只需要在现有的网关服务器上安装SIPFilter过滤软件及其过滤管理系统，即可达到上网管理和过滤的目标。网关服务器只要使用的是WIN2000、WINXP、WIN2003操作系统，不需要重装服务器，只需要安装SIPFilter过滤系统，即可过滤。网关服务器上配置无需作什么其它改动，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。如图二。

图二、网关服务器共享上网管理拓扑结构示意图

在这种方式下，添加SIPFilter过滤管理软件后，员工客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。在上网管理系统中，设置该员工ID号的过滤规则，对员工访问网站范围进行限制，该员工上网即受到限制，只能浏览规定范围内的网站，其它网站不能浏览。同时，网关服务器上的SIPFilter过滤系统软件，自动对该员工的上网情况进行记录，并进行保存。同时，网关服务器上的SIPFilter过滤系统软件，自动对该员工的上网时间进行控制，时间一到，立即禁止该电脑继续上网。

2、硬件路由器上网

如图三，现在也有很多客户是通过一台硬件路由器上网（或者硬件型的ADSL猫共享上网，原理同路由器）。路由器一端接内部网络的交换机，另一端接ISP提供的网线接口。上网出口方式多种多样，只要路由器支持，就都可使用。

图三、路由器上网拓扑结构示意图

在这种结构下，怎样来添加上网管理的应用功能呢？在SIPFilter的解决方案中，使用SIPFilter过滤软件的桥接方式来达到上网管理的功能。

如图四，该方案就是在交换机和路由器之间，插入一台计算机。该计算机具有双网卡，一块网卡连接路由器，另一块网卡连接交换机。安装SIPFilter产品后，启用产品本身的网桥功能。该计算机成为一个网桥设备，透明地把交换机和路由器两端的通信连接起来。内部网络、内部电脑和路由器的配置都不用作任何改变，好象不存在这台网桥一样。网桥在网络中完全是透明的，因为网桥属于数据链路层设备，对上层TCP/IP通信透明。

图四、网桥上网管理拓扑结构示意图

路由器配置无需作任何改变，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。

在这种方式下，添加网桥计算机和SIPFilter过滤软件后，客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。网桥过滤机上的SIPFilter过滤软件，自动对每台客户机进行过滤。

该方式非常灵活方便。需要过滤时，把过滤机到总交换机和路由器中间。不需要过滤时，或者过滤机出现故障，可以撤下过滤机，让总交换机和路由器直接连接，内部客户机无需做任何设置，仍然可以继续上网，不会受到任何影响。

四、方案可以达到的员工上网行为管理功能

1、SIPFilter过滤系统产品，具有以下的上网管理功能，可以对员工上网进行日常管理。

1) 注册用户：为员工注册一个上网用户ID，对该员工的所有管理，就以该注册用户ID来进行。

2) 上网清单查询：查询用户在一个时间段内的上网清单、总时间、总流量。

3) 用户查询：查询用户的基本资料和上网统计情况。

4) 用户属性修改：修改用户的基本属性。

5) 注销用户：可以注销某个员工的帐号，禁止其继续使用。

6) 恢复用户：把前面注销的用户恢复过来，使其可以继续上网。

7) 每日注册用户清单：列出每天注册的用户清单。

8) 每月注册用户清单：列出每月注册的用户清单。

9) 统计日报表：统计每天的注册情况和上网情况。

10) 统计月报表：统计每月的注册情况和上网情况。

11) 统计年报表：统计每年的注册情况和上网情况。

12) 时间段统计报表：统计某个时间段（如本周）范围的注册情况和上网情况。

13) 使用时间排序表：对员工每月的上网时间量进行排序。

14) 使用流量排序表：对员工每月的上网总流量进行排序。

15) 操作员管理：系统可以限制不同操作员的不同操作权限，并记录每个操作员的关键操作日志。

16) 组管理：可以对用户ID进行分组管理，可以对一个组内的用户进行一次性的上网属性设置，方便简化操作。

17) 用户上网带宽管理：既可按用户组设置带宽，也可对某个用户单独设置带宽。

18) 每天允许上网时间管理。可以设置用户每天允许上网的时间，一天最多可以设置10个时间段，用户在这些时间段内才能上网，其它时间不能上网。不同用户，可以进行不同的设置。可以按组别设置，简化操作。

19) 用户ID、MAC地址和IP地址绑定：可以设置和修改用户可以使用的客户机电脑MAC地址，或者IP地址，使得某个帐号只能在某个MAC地址或者IP地址的电脑上使用。

20) 删除注销用户：当一个员工离职时，可以把该员工的数据彻底删除，避免浪费数据库空间。

2、SIPFilter过滤产品，具有如下的过滤管理功能，可以对用户上网行为，进行全面的过滤和记录。

支持TCP通信和UDP通信，两种数据的透明代理过滤。
支持网桥透明过滤。服务器配置成网桥，直接连到网络中，不改变现有网络任何设置，透明过滤。
可以设置某些客户机不进行透明代理，直接走IP路由通信，适应特殊通信的需要。
可以设置某些网站不进行透明代理，直接走IP路由通信，适应特殊通信的需要。
某个用户可以单独停止过滤，满足特殊情况的需要。
某个网站可以单独停止过滤，满足特殊情况的需要。
合理的过滤规则管理方法。缺省网站过滤规则、全局规则、用户组规则、用户规则，可以分4级设置不同的过滤规则，灵活方便地适应复杂过滤规则管理的需要。既解决巨大数量网站的规则管理问题，又适应少数特殊网站特殊设置例外规则的需要。
合理的过滤规则管理方法，使SIPFilter支持上百万、上千万数量级的网站黑名单过滤，并且不显著降低过滤速度。
支持网站黑名单（禁止访问）、白名单（只允许访问），并且支持网站域名、网站IP地址、网站URL，三种设置方式。支持网站分类管理。
支持端口过滤。禁止访问哪些网站端口，或者只允许访问哪些网站端口。端口过滤支持FTP动态端口，但必须使用被动FTP模式。
支持IP地址段过滤。禁止访问哪些IP地址段的网站，或者只允许访问哪些IP地址段的网站。
支持文件扩展名过滤。禁止访问哪些扩展文件名的URL，或者只允许访问哪些文件扩展名的URL。此功能可以禁止下载、BT、电炉等。
支持内容MIME类型过滤。禁止访问哪些MIME类型的资源，或者只允许访问哪些MIME类型的资源。此功能可以禁止下载、BT、电炉等。
支持通信协议过滤。禁止哪些应用通信协议，或者只允许哪些应用通信协议。此功能可以禁止QQ、MSN、SMTP、POP3，等等通信。支持设置不同协议的识别规则，以管理各种不同的应用协议，适应灵活扩展需要，适应网络应用的不断发展。
支持HTTP请求头部字段过滤。禁止含有设定字段的HTTP请求数据包通过。
支持HTTP响应头部字段过滤。禁止含有设定字段的HTTP响应数据包通过。
支持HTTP通信数据的内容过滤。对通信网页内容进行关键词过滤，含有不良非法信息的网页，禁止浏览，也禁止在网上发表含有不良非法信息的内容。
内容过滤更支持一种独具特色的过滤方式，多关键词并发过滤。同时满足并发的多个关键词，才算满足条件；只包含其中的一个或几个，不是全部包含，不算满足条件。使内容过滤更加准确。
支持三种不同的过滤措施，满足实际不同需要。（1）、记录过滤日志，禁止访问。这是常规意义上的过滤概念。（2）、只记录过滤日志，但允许访问。一种高级的过滤技术。只把用户的触发过滤规则的日志记录下来，以备事后查看，但是并不实时干预用户的上网行为。（3）、不记录过滤日志，且禁止访问。第一种过滤措施的补充，避免过滤日志数据量过大。
支持创新性的三种内容过滤方式，使内容过滤更准确，措施更合适，避免一刀切。（1）、只要包含关键词就禁止访问网页。这是常规意义上的内容过滤行为。（2）、正文中包含就禁止访问网页，只在链接中包含则允许访问网页。该方式适应门户网站链接不良信息网站，但网页本身可以浏览。（3）、正文中包含就删除关键词，链接中包含则删除整个链接，但网页允许访问。该方式更为友好，直接把不良词语删除，但网页还是可以浏览。
过滤规则中，网站域名、URL等，都既支持完全匹配，又支持模糊匹配。
日志的选择性记录。访问日志和过滤日志，为了避免带来太多数量的日志，可以设置哪些文件扩展名的资源，不记录日志。例如网页中包含的大量gif、jpg、png等小图片的访问，对日志记录就无太大意义，可以不用记录这些文件的访问日志。
访问日志和过滤日志，可以选择保存到数据库中，也可以选择保存在文件中。如果保存到数据中，支持定期删除过期日志数据。如果保存到文件中，支持日志文件的自动备份和重新创建，避免日志文件过大。
可以监控每个上网连接会话的并发TCP连接数量。每个用户，可以设置不同的允许最大并发TCP连接并发数。
支持用户上网通信原始数据的备份保存。可以把用户的原始通信数据，原样备份保存到文件中，并可以按保存规则，解析数据，还原原始通信过程。
原始通信数据的保存，支持按多种方式保存，灵活适应实际需要。（1）、全部保存。（2）、只保存发送的HTTP数据，例如POST的数据。（3）、只保存指定协议的全部数据。例如只保存outlook收发邮件的原始通信数据。（4）、只保存指定协议的全部数据和发送的HTTP数据。第2种和第3种数据都保存。
原始数据保存文件，可以设置最大长度。超过最大长度，自动备份，并重新创建备份文件，重新开始备份，避免文件过大。
完善的日志记录功能。访问日志，记录用户ID、客户机IP、访问时间、站点和URL、端口、协议类型、方法（GET、POST等）、传输方向（发送、接收）。过滤日志，除记录下访问日志具有的所有数据外，还记录触发的是哪一类规则、触发的是哪一条规则，让管理员对过滤情况清楚把握，对用户的上网情况清楚了解。
灵活方便的日志查询功能。
支持通信数据过滤的第三方扩展。用户可以根据自己实际情况的需要，开发自己的过滤器组件，对
客户机通信数据进行自己需要的过滤和记录处理。

五、说明

1、员工上网身份识别

要有效地对员工上网进行管理，上网时员工身份的识别，就非常重要。在本方案中，有多种方法可以识别上网员工身份。

第一种方法是，员工上网，必须先进行上网登录，输入其ID号和密码，验证通过后，才能上网，否则不能上网。如此，可以明确地得知每个上网员工的身份，就可以准确地对员工上网进行管理。上网的登录，后台上网管理服务器会自动在员工上网时显示，操作非常方便，不会对员工上网造成大的不便。登录支持WEB登录和拨号客户端登录两种方式。

第二种方法是，员工上网不需要登录，以员工电脑的网卡IP地址或者MAC地址来识别不同员工的身份，更进一步简化操作。但该种方法也有很大缺陷，因为网卡的IP地址或者MAC地址，都很容易被其它员工探知，从而可以修改自己的网卡MAC地址，冒充其它员工的身份。尤其是现在ARP病毒泛滥，该种方法的实际可用性，更为降低。

第三种方法是，通过第三方身份认证系统，获取每台上网电脑的员工身份。例如通过登录Windows域的身份，来对应员工的身份。该方法，需要定制开发身份识别接口，才能和第三方身份认证系统集成。

企业可以根据自己实际情况，选择其中一种员工身份识别方法。

附录：SIPFilter过滤产品的详细情况，请浏览其产品网站：www.feware.com。

欢迎转载，转载请标明原作者！