上网行为管理产品介绍

网络卫士上网行为管理系统 TopGate-ACM

产品说明

TOPSEC?

北京市海淀区上地东路1号华控大厦100085

电话：+8610-82776666

传真：+8610-82776677

服务热线：+8610-400-610-5119

+8610-800-810-5119

8a17a9ec102de2bd96058826

网络卫士上网行为管理系统TopGate-ACM产品说明

北京天融信公司

版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印? 1995-2009天融信公司

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC?天融信

信息反馈

8a17a9ec102de2bd96058826

网络卫士上网行为管理系统TopGate-ACM产品说明

目录

1前言 (4)

1.1互联网的负面影响 (4)

1.1.1降低工作效率，增加投资成本 (4)

1.1.2机密信息外泄，组织蒙受损失 (5)

1.1.3滥用带宽资源，影响正常业务 (5)

1.1.4病毒木马肆行，安全问题凸显 (6)

1.1.5存在不当应用，潜藏法律风险 (6)

1.2国家法律法规宏观环境分析 (6)

2TOPGATE-ACM上网行为管理产品概述 (7)

2.1产品概述 (7)

2.2T OP G ATE-ACM能够给用户带来的好处 (8)

3产品主要功能 (9)

3.1上网络行为管理 (9)

3.1.1WEB 访问 (9)

3.1.2外发信息及邮件审计控制 (10)

3.1.3地下浏览记录 (10)

3.1.4即时聊天监控 (10)

3.1.5FTP/HTTP 传输审计 (10)

3.1.6P2P 协议监控 (11)

3.1.7非业务应用审计 (11)

3.1.8异常网络流量监控 (11)

3.1.9BBS外发信息监控管理 (11)

3.2带宽管理 (12)

3.2.1根据用户或用户组设置带宽策略 (12)

3.2.2基于不同优先级的带宽管理策略 (12)

3.2.3根据数据传输方向控制带宽 (12)

3.2.4通过控制连接速率控制带宽 (13)

3.2.5通过控制连接数控制带宽 (13)

3.3认证/授权/计费 (13)

3.3.1认证 (13)

3.3.2授权 (13)

3.3.3计费 (14)

3.4IP管理与用户管理 (14)

3.4.1IP/MAC/VLAN ID绑定 (14)

3.4.2基于部门或策略的用户管理 (14)

3.5网络安全防范 (14)

3.5.1防火墙功能 (14)

3.5.2防DDOS攻击 (15)

3.6丰富的统计报表 (15)

北京天融信公司

网络卫士上网行为管理系统TopGate-ACM产品说明

3.6.1全面丰富的统计报表 (15)

3.6.2完整的应用协议报表 (15)

3.7实用强大的管理功能 (15)

3.7.1支持数据库导入导出 (15)

3.7.2简单实用的系统操控 (15)

4产品特性与产品优势 (16)

4.1多种接入方式 (16)

4.2多接口、高性能 (16)

4.3支持与三层交换机联动 (16)

4.4基于用户的四层行为管理 (16)

4.5IP/MAC自动探测、绑定 (17)

4.6实时的活动监控 (17)

4.7详细的带宽控制 (17)

4.8详细的内容审计 (18)

4.9丰富的应用识别分类 (18)

4.10可自定义的细化的策略配置 (18)

4.11丰富全面的网络应用协议库 (19)

5典型应用 (20)

5.1旁路接入模式 (20)

5.2路由或透明接入模式 (21)

6产品功能 (22)

7产品规格 (25)

8产品资质 (27)

北京天融信公司

网络卫士上网行为管理系统TopGate-ACM 产品说明

北京天融信公司 4 1 前言

随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重；复杂的互联网使用环境也带给管理者诸如组织成员工作效率降低、带宽资源滥用、信息机密外泄等问题，并因此而产生法律、安全、组织名誉以及组织公信力等问题。互联网使用管理的缺失正让我们日益面对更多的道德、文化、法律以及使用者身心健康的问题，对互联网管理，上网行为规范，提高网络利用率等方面提出了迫切的需要。

互联网的开放性除了带有其所独具的风险外，在一定程度上也给组织内部的管理带来了新的问题，下图是根据中国社会科学院社会发展研究中心的一份调查报告所绘制的互联网使用状况图，图中显示真正用于工作和学习的互联网使用是少之又少：

1.1 互联网的负面影响

1.1.1 降低工作效率，增加投资成本

通过上面图中的描述我们不难看出：人们在互联网使用中真正用于办公的比重只有40%，而娱乐、消遣出于个人目的的网络应用却占到网络应用的60%左右；而这些非工作或学习目的的网络应用势必会对工作或学习造成一定影响，严重者会让网络使用者形成网瘾，给个人或单位带来极大的负面影响。

网络卫士上网行为管理系统TopGate-ACM产品说明即便不是全部的人员都无序、无效的使用互联网，但当娱乐、网络视频、下载成为网络应用的主体时，自然会降低全员的工作积极性，工作效率也会大打折扣，由此带来的显性成本和隐性成本有可能会彻底吞噬掉企业好不容易从市场获取的利润，摧毁单位中工作人员的工作激情，甚至热衷于无效无谓的非办公网络活动。

从以上分析来看，互联网带个企业的显性负面作用是工作效率下降，但深层次的隐性负面作用就是增加了企业的投资成本。

1.1.2机密信息外泄，组织蒙受损失

缺乏安全控制的滥用互联网络，可能导致：组织内部重要资料和秘密资料通过BBS、Email、QQ 和MSN 等途径向外散发，或被别有用心的人截获而加以利用，或是进行不当互联网访问而引起组织内部计算机感染木马病毒，加大了组织重要及秘密信息的曝光率，给组织信息安全带来隐患：

●对于政府、事业单位以及其他公共服务单位，如果互联网管理的不够完善，将会

带来极大信息安全隐患，例如经济等类型的重要的信息被通过非法渠道泄漏，此举

必然会有损组织的权威及名誉，并导致组织的公信力下降。

●对于公司企业等盈利性机构而言，企业的机密信息等同于企业的生命。而在互联

网极度开放的今天，任何的疏忽都有可能导致企业机密信息外泄；而一旦发生企业

机密信息外泄的情况，企业因此而投入了的大量人力物力将会付诸东流，此类案例

在互联网广泛使用的今天是屡见不鲜的。

1.1.3滥用带宽资源，影响正常业务

当前的互联网存在种类众多的应用，基于前面的分析我们会发现，组织成员在使用互联网时更多的是进行娱乐活动，如网络电视、P2P下载等；诸如此类的使用会严重消耗组织的网络带宽，正常业务通讯得不到保障，只能通过增加办公成本来增加带宽，但是网速和带宽没有得到根本的改善。

北京天融信公司 5

网络卫士上网行为管理系统TopGate-ACM产品说明

1.1.4病毒木马肆行，安全问题凸显

高风险网站导致病毒、木马、流氓软件在内网散播，造成无法正常的使用网络。研究发现：45%Kazaa含恶意代码，众多的互联网访问都存在被恶意软件入侵的可能，BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。病毒、木马及流氓软件轻者会给使用者带来一些麻烦；严重者能导致网络瘫痪，无法正常使用互联网；更严重者能导致网络瘫痪，无法正常使用互联网会在网络中传播木马病毒，导致信息外泄。

1.1.5存在不当应用，潜藏法律风险

调查发现，在日常互联网的使用中，存在以下较为普遍的现象：

●非法信息的P2P搜索、非法网站访问、非法传播不健康的信息等，最为典型的

当属前一段时间的“艳照门”事件，非法的信息传播极大的恶化了互联网环境，危

害青少年的健康成长。

●不当言论的发表，会给组织带来不必要的法律风险。有些互联网使用者在互联网

上发表诸如反动、色情、反政府、邪教等言论，给所在的互联网部门带来潜在的法

律风险；

●员工黑客的存在，也会给组织带来新的法律风险。

1.2国家法律法规宏观环境分析

国家重视，政府推动是这个市场快速兴起的重要因素。

随着国家经济迅猛发展，人民文化生活水平日益提高，互联网在丰富人民群众文化娱乐生活的同时，却被不法份子利用，成为知识产权侵犯、色情内容传播、谣言、邪教等不良信息传播的平台，极大程度破坏党所倡导的“和谐社会”，威胁到广大人民群众的健康生活，因此，中央政府和国家领导人高度重视互联网的言论管理。

例如：

1）胡锦涛总书记在中共中央政治局第三十八次集体学习时强调：

●以创新的精神加强网络文化建设和管理

●满足人民群众日益增长的精神文化需要

●唱响网上思想文化主旋律；构建和谐网络环境

北京天融信公司 6

网络卫士上网行为管理系统TopGate-ACM产品说明

2）温家宝总理在《政府工作报告》中要求加强互联网的管理。

3）公安部82号令《互联网安全保护技术措施规定》明确的阐述了对网络内容管理

的要求。要求加强互联网管理，《信息安全等级保护技术标准规范与信息安全监管防

范调查处理实用手册》中也都明确的强调了互联网单位必须要有内容安全审计的系

统。

4）为了还青少年一个安静，安全的互联网空间，国家相关部委及共青团中央先后多

次推动了以“净化网络环境，构建和谐网络”、“戒除网瘾，绿色上网”等一系列行

动

中央政府和各级主管部门何以如此重视互联网信息的管理呢？其实互联网，作为继电

视、广播、报纸之后的第四大媒体，网络已经成为非常重要的信息传播平台。对于前

三者都已经建立起成熟的管理机制，很少有不良言论和违法信息传出。唯有互联网管

理难度最大，我国整个加大管理力度也就是历史的必然了。

2TopGate-ACM上网行为管理产品概述

2.1产品概述

TopGate-ACM（Application Content Manager）上网行为管理系统采用先进的软硬件体系构架，配以先进的行为分析控制引擎、灵活多样的管理控制策略，实时分析网络活动，匹配管控策略，丰富的统计报表，可为用户打造透明、可管的网络环境。TopGate-ACM 主要包含以下部分的功能：FW基础模块、IP管理、AAA认证、行为审计、流量管理以及用户策略管理功能。

北京天融信公司7

网络卫士上网行为管理系统TopGate-ACM产品说明

图：TopGate-ACM功能示意图

●基础模块：

系统提供基本的路由功能：路由设置（静态路由及策略路由设置）、802.1d Bridge、802.1q VLAN。

NAT功能：提供多种NAT功能，包含DNAT、SNAT。

防火墙功能：系统提供ACL控制策略设置功能，能够有效针对IP、TCP/UDP、ICMP 等多种网络协议进行访问控制。

网络基本配置

●IP管理功能

即插即用：减少用户的网络设置，提高易用性。

IP/MAC/VLAN ID绑定：加强网络接入管理，提高网络安全性

●流量管理功能

系统提供基于应用和协议的带宽管理功能

●AAA认证功能

系统提供认证、授权、计费等一套完善的网络计费管理功能。

●网络行为管理审计

网络行为记录和分析：包括WEB 访问、邮件、聊天、文件共享、P2P 协议、网络游戏

基于策略的访问控制：基于时间段、部门和用户、应用协议控制用户的上网行为

实时信息管理：当前数据流、当前在线用户、当前聊天用户的管理

报警、阻断和日志：根据用户设置的规则和关键字，采用邮件、日志报警等形式

于敏感内容的访问，直接进行阻断

丰富的报表：流量－时间报表、网络使用TOP-N 排名报表、网络使用高峰曲线报表、应用协议报表，让管理员对网络总体应用和当前使用情况有更加深刻的认识。

2.2TopGate-ACM能够给用户带来的好处

TopGate -ACM能够有效的协助管理网络，从网络接入控制、权限控制到细致的应用与协议管理，以及更加深入的内容管理，该产品都显示出了应有的专业性。

北京天融信公司8

网络卫士上网行为管理系统TopGate-ACM 产品说明

北京天融信公司

9

加强互联网使用管理，控制非法接入，提高网络安全性

加强网络应用管理，防止互联网滥用，保障业务应用

针对应用进行管理，提高工作效率和网络使用效率：通过网络使用TOP-N 排名报表、上网时间统计报表、上网时间高峰段报表，管理员能够确切的知道每个局域网用户使用网络的时间、流量、排名，并据此制定相应的管理策略，提高互联网使用效率。

避免单位重要资料、私密资料泄密。并可以根据保留的数据流信息，取证用户的网络访问行为。避免网络行为监控带来的道德、法律风险。

3 产品主要功能

3.1 上网络行为管理

3.1.1 WEB 访问

Web 访问是互联网重要应用之一，因此基于网站分类的URL 就显得非常重要，

TopGate-ACM 使用的分类库是根据中国实际情况进行的合理分类，符合我国用户的网络使用环境的需求。 系统对URL 分类控制时支持URL 关键字控制策略自定义URL 分类控制，以及对网页内容进行过滤，通过这些控制，用户可根据web 访问的要求分类进行控制，从而满足健康上网的需求。除此之外，用户还可实时查看用户访问的URL 地址，方便后续的审计查看。

网络卫士上网行为管理系统TopGate-ACM产品说明

3.1.2外发信息及邮件审计控制

外发信息及邮件审计是上网行为管理的重要内容，TopGate-ACM支持SMTP、POP3 协议，通过策略设置，系统可记录邮件发件人、收件人、标题、正文、附件、大小等详细信息，同时也可针对发件人、收件人、标题内容、正文内容、附件名称进行审计，并可根据邮件大小，附件等进行控制。

3.1.3地下浏览记录

地下浏览实际上是使用一些应用代理软件，如无界、自由门、花园等软件，这种网站突破软件的软件可以突破国内服务商的限制，访问那些不能访问的网站。通俗一些就是通过该软件可以随便访问一些国家禁止的，但服务器在国外的一些违法的网站。譬如宣传邪教，迷信、反动言论的较多。TopGate-ACM通过软件应用识别，可记录和阻止如无界、自由门、花园等地下浏览软件，有效保护国家及企业的利益。

3.1.4即时聊天监控

即时聊天是，目前主流的聊天工具包括MSN、QQ、YAHOO、ICQ、飞信等。它在方便我们交流的同时，也降低了员工工作的效率，因此监控和控制员工在上班时间聊天是非常重要的。TopGate-ACM不但能够记录用户聊天帐号、上下线时间、聊天持续时间、聊天等内容，还可记录如MSN/ICQ/飞信等的有关文件上传、下载的动作，还可对这些聊天行为进行控制，有效保护了企业利益。

3.1.5FTP/HTTP 传输审计

FTP及HTTP的下载应该是最基本的下载方式，通过对这种基本方式下载的审计，用户可掌握自己网络用户的下载行为，其中，下载行为的审计包括：记录FTP 登陆帐号、密码、服务器IP 地址，传输文件的时间、文件名称、传输方向、大小等；记录HTTP下载时可审计下载的文件名、时间、大小等信息。

北京天融信公司10

网络卫士上网行为管理系统TopGate-ACM产品说明

3.1.6P2P 协议监控

P2P是peer-to-peer的缩写，我们可以它称为对等网络。简单的说，P2P直接将人们联系起来，使得网络上的用户可直接共享和交互，真正地消除中间商。因此，P2P下载的速度就非常快，相应的，这种下载严重吞噬着企业的网络带宽，这也就成为目前企业网络管理的难点。TopGate-ACM能够识别和控制多种P2P软件的应用，如记录和控制迅雷、BitTorrent、eMule真正优化了用户网络环境，保证了正常的业务带宽。

3.1.7非业务应用审计

非业务应用包含了很多种，TopGate-ACM将网络游戏、炒股、网络电视等等都划分为非业务应用，对于这些网络行为，TopGate-ACM分别可记录和阻断。其中包括：记录网络游戏的在线开始时间、结束时间、游戏时间段；记录用户开始使用炒股软件的时间、用户IP等信息；记录用户使用网络电视的开始时间、结束时间以及所使用客户端等信息；。

这些非业务应用用户可根据实际应用，分时段进行允许或阻断。

3.1.8异常网络流量监控

实时监控网络流量状态，例如针对内网ARP流量的监控；

统计警告网络中的异常流量，例如网络内部的异常ARP状态，并给出异常流量告警。

3.1.9BBS外发信息监控管理

BBS的发展使得人们在互联网上实现了真正的言论自由，这种言论自由使得人们可以在互联网上畅所欲言，真正使大家一吐为快。但这种言论自由往往缺少监控，无形之中为企业带来了信息外泄及法律风险。TopGate-ACM支持对BBS论坛外发信息监控，可针对BBS论坛发帖内容的关键字过滤，还支持附件记录复制、下载、保存、备份，同时，可针对BBS发贴内容进行阻断，很大程度上降低了企业可能因为言论问题而带来的法律风险。

北京天融信公司11

网络卫士上网行为管理系统TopGate-ACM产品说明

3.2带宽管理

基于应用的带宽管理需要准确分析到数据的协议类型以及应用类型，所设置的带宽策略才能准确限制各业务、各用户的网络带宽使用情况。基于应用的带宽管理策略的好处在于：能够根据需要区分主要业务与次要业务、非业务等网络应用，有效保证关键业务对网络带宽的占用情况，并可实时查看用户带宽使用情况。

3.2.1根据用户或用户组设置带宽策略

在确定应用管理的基础上，网关还可以根据用户或用户组设置不同优先级和不同数量级的带宽策略，例如可以设置不同组的每组带宽策略，亦可根据不同用户进行带宽设置，使带宽管理能够准确管理到用户；还可以设置不同的优先级，优先保障关键业务的带宽占用，从而最大程度的提升网络利用率。

3.2.2基于不同优先级的带宽管理策略

在不同的用户或用户组策略内，还可以设置不同的带宽策略优先级，通过用户及应用的带宽管理优先级设定，还可以将非关键业务纳入到管理范畴之内，使得网络内部各种流量都可管可控。

网关带宽管理中可通过添加、修改、删除操作来设置指定应用的带宽控制策略，可设置的应用包括HTTP/FTP、eMule、迅雷等，同时还能自定义网络应用，通过对地址端口等数据的登记可以完全实现对客户自有业务的保障。网关能够设置指定端口的带宽控制策略。

3.2.3根据数据传输方向控制带宽

考虑到当前一些上传/下载量极不均衡的应用，网关能够分别制定组内或者全局的上传带宽控制/保障策略和下载带宽控制/保障策略，从而既保障了网络用户使用网络的基础接入能力，还能通过对非关键应用的控制来保障核心业务不受干扰。

北京天融信公司12

网络卫士上网行为管理系统TopGate-ACM产品说明

3.2.4通过控制连接速率控制带宽

在网络行为管理系统的带宽管理中还可以通过连接速率的限制来进行带宽控制：即控制用户每秒发起的连接数来限制用户所能进行成功建立连接的个数，从而达到通过控制连接数来实现对其所使用的应用的带宽管理。

3.2.5通过控制连接数控制带宽

网关还能够通过控制用户的连接数来进行用户的带宽控制。众所周知，连接数越多，其可能占用的带宽越大，尤其是在目前常用的P2P下载中，限制连接数是限制P2P下载带宽效果比较明显的措施之一。

3.3认证/授权/计费

网络的使用是基于账号和密码的认证方式，用户只需在web页面中输入用户账号和密码通过网关的认证，便可使用网络资源。为确保用户能够查询使用网络资源的情况，还提供一些附加功能，如即时查询使用时间、流量等费用信息。

3.3.1认证

除了本地认证之外，系统还支持Radius认证、Ldap认证以及windows域认证，系统只需与这几种认证方式的服务器联动即可实现对用户的网络接入认证。

3.3.2授权

用户通过输入用户名和密码，在与数据库的数据进行匹配之后，系统将根据系统已经设置完成的用户权限与用户想对应，经过授权用户将根据得到的授权使用网络资源。

根据不同的用户和用户组，设定用户的上网权限，包括用户PC的特征码，用户接入网络的IP地址，用户的上网时间段，用户禁止浏览的网站，用户上网的每天或每月能够上网的总计时长。

北京天融信公司13

网络卫士上网行为管理系统TopGate-ACM产品说明

3.3.3计费

对用户的计费是基于多种策略的，包括时间段、流量、时长优惠、流量优惠、包时包月等等。可以根据用户的需要选择基于时间、流量、包时、费用封顶等多种灵活的计费方式，并可打印完善的收费账单，或者提供与其它管理系统的接口数据以形成整体的计费管理系统。

3.4IP管理与用户管理

3.4.1IP/MAC/VLAN ID绑定

系统支持地址和端口绑定，采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式，能够防止用户的账号被盗用，同时也保证用户使用网络的统计信息更加准确。

3.4.2基于部门或策略的用户管理

系统支持基于部门或策略的用户管理，支持按照组织结构对用户进行管理。

支持按照策略分类对用户管理，即可以按照策略设置的不同来对用户进行分组。

3.5网络安全防范

上网行为管理系统采用数据包过滤的方式，对内外网络的交换数据进行必要的审查和过滤，能够有效的减低网络内部的安全风险。其中包括轻型防火墙功能和防DDoS攻击功能。

3.5.1防火墙功能

通过建立访问控制列表（ACL），限制和管理内网用户和外网的访问请求，同时能够禁止外网用户到内部网络的病毒和黑客攻击。基于IP和协议（TCP/UDP等）访问控制策略

北京天融信公司14

网络卫士上网行为管理系统TopGate-ACM产品说明

3.5.2防DDOS攻击

采用了数理分析统计的概率和随机过程概念，不基于特定规则的防DDOS攻击能够可防御各类DOS和DDOS攻击及其变种，如SYN Flood、UDP Flood、(M)Stream Flood 和ICMP Flood、Ping of Death、Land、Tear Drop、WinNuke等。保护内部主机和网络的安全和服务的连续性。

3.6丰富的统计报表

3.6.1全面丰富的统计报表

可基于IP 地址和网段、部门、用户以、时间以及日期生成报表，多样类型和分组报表，提供全方面的信息。报表采用线性图、柱状图、饼图、表格清晰地显示统计的内容。

支持网络使用统计排名，并指定TOP-N 显示的数量。定制并自动生成发送报表。

3.6.2完整的应用协议报表

支持邮件、即时聊天、BT、FTP、网站访问、游戏、网络电视、网络电话、股票软件等各种应用协议。

提供多样性的分组，满足用户所需。如：IM信息可以查看发送邮件最多的用户、接收邮件最多的用户、负载最大的服务器等。

3.7实用强大的管理功能

3.7.1支持数据库导入导出

数据库本地导入导出，定时删除过期数据，远程存储设置，备份文件信息查看。

3.7.2简单实用的系统操控

系统时间手动配置和NTP 自动同步。显示和修改网络接口信息、服务启动信息。查看系统CPU、内存、硬盘、服务信息。

北京天融信公司15

网络卫士上网行为管理系统TopGate-ACM产品说明4产品特性与产品优势

4.1多种接入方式

TopGate-ACM可为用户提供多种接入方式，其中包括旁路接入，透明/路由方式的接入。

旁路接入：对现有网络应用和网络拓扑不产生任何影响，不占用网络带宽。隐藏IP模式，用户无法发现系统，更无法攻击系统。

透明/路由：透明模式，不改变网络拓扑结构；路由模式中还支持源及目标地址转换，最大程度满足用户接入需求。

4.2多接口、高性能

TopGate-ACM采用天融信专用平台，最多可为用户提供26个网络接口，产品运行稳定，宕机或断网的风险非常低，同时，设备还具有较高的网络性能。

支持双机热备模式

4.3支持与三层交换机联动

上网行为管理系统通常要监控上网用户、用户IP、用户MAC等内容，但在实际网络环境中，大多数的用户都会跨越三层交换机，当设备跨越三层交换机后，上网行为管理系统是无法监控到实际用户的MAC地址的。TopGate-ACM实现了与三层交换机的联动功能，使得用户在复杂网络环境中仍能监控到真实用户的详细信息。

4.4基于用户的四层行为管理

TopGate-ACM为用户提供了四个层次的行为控制：

第一层：接入控制

TopGate-ACM采用实名制及IP管理，这种管理方式，使得用户名与IP地址、MAC 地址实现统一规划和捆绑，未通过系统认证管理的用户禁止进入网络环境，极大保护了用户网络环境的安全。

北京天融信公司16

网络卫士上网行为管理系统TopGate-ACM产品说明第二层：网络权限控制

当用户通过网络接入允许的认证后，系统开始控制访问网络的协议及相关资源，并对应用带宽进行限制，网络中所有用户必须按照该限制进行网络访问。

第三层：协议及应用控制

当用户通过前两层控制后，此时系统对应用协议和应用软件进行控制，这些控制包括了IM聊天、P2P下载、收发邮件、URL访问、网游、股票等等一系列应用。

第四层：应用内容控制

当前用户行为都经过了前三层的应用控制后，接下来再对应用内容进行控制，其中包括了BBS发帖的内容、博客中的内容、聊天的内容、邮件中包含的内容等等进行控制。

这种多层次的行为管理控制不但为用户提供了详细的可视化审计、还为用户提供了详实的行为控制，真正实现了多层次的用户管理。

4.5IP/MAC自动探测、绑定

IP/MAC自动探测绑定功能是网络接入及控制中非常实用的功能，这种自动探测和绑定降低了网络管理员面对大量用户数的网络环境实现绑定时的难度和工作量，真正做到了人性化的网络管理。

4.6实时的活动监控

能够实时监控用户的网络活动，并能将用户的上网活动生成清晰的数据报表。例如可以实时监控活动用户的每一个会话连接，并能够准确识别出每一个会话所属应用类别；可以实时监控所有用户的网络活动，并生成数据统计报表；可以实时监控每一网络接口的流量状态，并生成动态折线图。

4.7详细的带宽控制

能够针对用户/用户组、IP/IP段、应用/应用组等对象来进行上/下行速度、连接数、连接速率以及时间等多方面的带宽控制。例如针对P2P应用，如果要针对某一个IP段设置策略，希望控制其在上班时间的P2P下载，那么可以针对该IP段设置希望控制的上/下行速率、设置策略在上班时间生效（如9:00～12:00、13:00～18:00)，另外还可以根

北京天融信公司17

网络卫士上网行为管理系统TopGate-ACM产品说明据情况设置该IP段中各个IP的连接数、发起连接的速率等来进一步限制该IP段中每一IP的P2P下载。

并可实时查看用户带宽使用情况

4.8详细的内容审计

能够对SMTP、POP、WebMail、BBS、MSN、飞信、Yahoo通等等多种能够发送具体内容的应用进行内容审计。例如对BBS发帖的监控，一旦开启了对用户BBS发帖（网页提交）的监控，那么无论用户在论坛、新闻评论、网络社区等发布任何信息，设备都可以完整的对这些内容进行审计记录，并可针对关键字进行报警。

内容回放功能：能够将用户的网络行为完整的记录下来，进行事后的回放。例如对于SMTP、POP等邮件，可以完整的记录邮件的收、发件人、发件时间、主题甚至内容和附件，管理员可以根据这些记录的内容来回放用户的这些行为。

支持网页的内容回放功能。

4.9丰富的应用识别分类

识别多种协议和应用，总计近200种。系统可以识别P2P共计12种，并可以智能识别其它未分类P2P；IM识别8种；文件传输识别9种；流媒体2种；E-Mail共计6种；

webMail共计16种；网络游戏共计21种；网页游戏共计17种；炒股软件大类7种，但如大智慧包含了国泰君安大智慧、银河证券大智慧等多个版本，统计这些分类可达26余种；网络电视21种；地下浏览6种；BBS发帖可以针对经过验证的500多个论坛、社区、新闻网站进行监控；网络电话2种；其它常用网络协议80余种。

4.10可自定义的细化的策略配置

策略配置细化可以使管理员针对不同用户对网络使用的不同需求，可以应用不同的策略。无论是管理操作，还是应用审查操作，都可以满足您的需求。

用户管理细分化

北京天融信公司18

网络卫士上网行为管理系统TopGate-ACM产品说明用户管理分为：部门列表、用户列表、策略组列表。既可以针对个人，又可以针对单个IP网段，还可以针对有着相同应用需求的几个部门、网段和个人划分成一个策略组。

应用审查操作灵活

管理员可以针对不同的部门应用不同的策略，还可以对应用审查的内容进行更细致化的操作，例如：某一个策略组中的QQ号码天天在线，可以通过IM审查中的过滤项目中的配置操作，就可以使其下线。同时还支持对IM 软件各种子应用进行控制，例如：允许通过QQ 聊天与msn传输进行客户支持，且保障QQ 远程协助的带宽，但禁止玩QQ 游戏，禁止欣赏视频等等。这样既充分利用IM 即时沟通的便利性，又能防止工作效率下降。还支持根据用户、时间、应用等条件设置灵活的策略，对于每一种行为可以设置允许、阻塞、审计。

对于特殊情况下，不需要监控的用户，可以提供免监控功能。策略设置可细化至每个用户的每一个网络应用。

4.11丰富全面的网络应用协议库

TopGate-ACM能够对标准应用协议，如：电子邮件、P2P、IM 即时通信、网络游戏、网络电视、在线炒股、流媒体、远程登录、代理软件等200 多种网络应用进行准确的识别与控制。

实时维护，定期更新：随着互联网的迅速普及，各种网络应用层出不穷，而且版本更新速度越来越快。天融信的专业的应用协议分析团队实时跟踪网络应用的变化情况，在第一时间内提供升级包，用户可以设置定期下载更新。

北京天融信公司19

网络卫士上网行为管理系统TopGate-ACM产品说明

5典型应用

5.1旁路接入模式

网络行为管理系统可以采用多种方式灵活地部署，通过分析处理流入和流出的数据包，有效地实现对网络数据的监控。下图为旁路接入方式的部署结构：

旁路部署模式示意图

北京天融信公司20

本文来源：https://www.bwwdw.com/article/kmrq.html