Hillstone山石網科上網行為管理白皮書概述互聯網的興起與普及為人們的工作和生活提供了極大的便利，與此同時，經由內部訪問互聯網導致的帶寬濫用、效率下降、信息泄漏、法律風險、安全隱患等問題日益凸顯。例如，在企業內部，部分員工利用工作時間在線炒股、玩在線游戲、欣賞音樂和視頻、通過P2P工具下載、使用即時通訊工具無節制地網絡聊天、通過網絡外泄公司機密；在網吧等一些公共上網場所，人們可以隨意瀏覽不健康網站、發表不負責任的言論、甚至參與非法網絡活動……針對互聯網所帶來的上述問題，StoneOS提供許可證控制的上網行為管理功能。該功能通過對用戶的網絡訪問行為進行控制和管理，有效解決因接入互聯網而可能引發的各種問題，優化對互聯網資源的應用。產品功能StoneOS上網行為管理功能對網絡游戲、在線聊天、在線炒股、P2P下載、網頁訪問、郵件外發及論壇發帖等各種網絡行為進行全面控制管理，并可以根據需要針對不同用戶、不同網絡行為、不同時間進行靈活的管理策略設置和日志記錄，同時能夠配合Hillstone山石網科集中網絡安全管理系統（HSM）對網絡行為日志進行查詢統計與審計分析，從而為網絡管理者的決策和管理提供重要的數據依據。上網行為管理策略StoneOS上網行為管理功能主要通過策略機制實現，網絡管理者可以針對不同用戶制定適合的上網行為管理策略規則，系統則會根據策略規則對網絡應用流量進行行為控制和管理。上網行為管理策略規則共分為三類：網絡應用控制策略規則、網頁內容控制策略規則和外發信息控制策略規則，每類中又包含若干子控制策略規則。策略規則名稱、優先級、用戶、時間表、網絡行為以及控制動作構成上網行為管理策略規則的基本元素。通過WebUI配置上網行為管理策略規則，需要進行下列基本元素的配置：?策略規則名稱-上網行為管理策略規則的名稱。優先級-上網行為管理策略規則的優先級。當有多條匹配策略規則的時候，優先級高的策略規則會被優先使用。用戶-上網行為管理策略規則的用戶，即發起網絡行為的主體，比如某個用戶、用戶組、角色、IP地址?時間表-上網行為管理策略規則的生效時間，可以針對不同用戶控制其在特定時間段內的網絡行為。?網絡行為-具體的網絡應用行為，比如MSN聊天、網頁訪問、郵件發送、論壇發帖等。?控制動作-針對用戶的網絡行為所采取的控制動作，比如允許、拒絕某網絡行為或者對該行為或者內容進行日志記錄等。上述四部分中，用戶表、時間及網絡行為構成策略規則的控制條件，只有符合這些條件的網絡應用流量才稱為與策略規則相匹配的流量；控制動作即為對滿足控制條件的網絡應用流量（也即與策略規則相匹配的流量）所采取的控制動作。網絡應用控制策略規則網絡應用控制策略規則對網絡應用的使用進行控制。StoneOS根據不同的協議及應用領域將網絡應用分為網絡游戲、即時通訊、在線炒股、P2P協議、流媒體協議、其他協議、FTP控制以及HTTP控制等等大類，每一大類中又包含若干具體的子應用和協議。網絡管理者可以根據需要，對各種應用和協議制定基于用戶和時間表的策略規則，以實現對用戶上網行為的控制。網頁內容控制策略規則網頁內容控制策略規則包括URL過濾策略規則和關鍵字過濾策略規則。網頁內容控制策略規則能夠對用戶訪問的網頁進行控制。URL過濾策略規則可以基于系統預定義的URL類別和用戶自定義的URL類別，對用戶所訪問的網頁進行過濾。關鍵字過濾策略規則可以基于用戶自定義的關鍵字類別，對用戶所訪問的網頁進行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關鍵字的HTTPS加密網頁進行過濾。外發信息控制策略規則外發信息控制策略規則包括Email控制策略規則和論壇發帖控制策略規則，能夠對用戶的外發信息進行控制。Email控制策略規則能夠對通過SMTP協議發送的郵件和Webmail外發郵件進行控制，可以根據郵件的收件人、發件人、內容關鍵字、附件名稱和附件大小對郵件的發送進行限制。同時，能夠通過SSL代理功能控制Gmail加密郵件的發送。論壇發帖控制策略規則能夠對通過HTTPPost方法上傳的含有某關鍵字的內容進行控制，如阻斷內網用戶在論壇發布含有指定關鍵字的帖子。例外設置對于特殊情況下不需要上網行為管理策略規則進行控制的對象，可以通過例外設置實現。例外設置包括免監督用戶、黑白名單和Bypass域名。免監督用戶免監督用戶中可以設置一些特殊用戶，這些用戶的所有網絡行為將不受上網行為管理策略規則的控制，比如將公司領導層或者某些特殊部門設置為免監督用戶。StoneOS支持IP子網、IP范圍、用戶、用戶組、角色和地址簿條目類型的免監督用戶。黑白名單黑白名單中可以設置一些特殊URL,用戶對這些URL的訪問會跳過已定義好的上網行為管理策略規則，無條件地允許或者禁止。黑白名單包括以下部分：?黑名單：包含不可以訪問的URL。不同平臺黑名單包含的最大URL條數不同。?白名單：包含允許訪問URL。不同平臺白名單包含的最大URL條數不同。?關鍵字列表：如果URL中包含有關鍵字列表中的關鍵字，則PC不可以訪問該URL。不同平臺關鍵字列表包含的關鍵字條目數不同。?只允許通過域名訪問：如果開啟該功能，用戶只可以通過域名訪問lnternet,IP地址類型的URL將被拒絕訪問。?禁止訪問白名單以外的所有網站：如果開啟該功能，用戶只可以訪問白名單中的URL,其它地址都會被拒絕。Bypass域名Bypass域名中可以設置一些特殊域名，用戶對這些域名的訪問將無條件地允許。上網行為庫StoneOS上網行為庫包括預定義URL數據庫、自定義URL數據庫和關鍵字數據庫。預定義URL數據庫和自定義URL數據庫能夠為上網行為管理策略規則配置提供URL類別，網絡管理者可以通過設置上網行為管理策略規則，對特定的URL類別進行過濾，從而控制用戶的URL訪問行為；關鍵字數據庫能夠為上網行為管理策略規則配置提供關鍵字類別，網絡管理者可以通過設置上網行為管理策略規則，對用戶進行訪問網頁內容關鍵字過濾、外發郵件關鍵字控制和論壇發帖關鍵字控制。預定義URL數據庫StoneOS內置許可證控制的預定義URL數據庫，即為支持預定義URL數據庫的StoneOS系統安裝URL數據庫許可證后，預定義URL數據庫才能使用。預定義URL數據庫中的URL按照中國的文化背景、倫理道德、法律法規、應用領域、上網習慣等進行分類。目前，StoneOS預定義URL數據庫共提供幾千萬條的URL。URL數據庫更新默認情況下，StoneOS會每日自動更新預定義URL數據庫，用戶可以根據需要更改數據庫更新配置。Hillstone山石網科提供兩個默認數據庫更新服務器，分別是和 。StoneOS支持在線更新和本地更新兩種方式供用戶進行選擇。自定義URL數據庫除了預定義URL數據庫中的URL類別外，用戶還可以根據需要自定義URL類別。自定義的URL類別將顯示在系統URL類別列表中。關鍵字數據庫用戶可以定義關鍵字類別，用于網頁內容關鍵字過濾、外發郵件關鍵字控制和論壇發帖關鍵字控制。日志管理StoneOS上網行為管理日志信息可以對用戶的上網行為進行全面記錄，包括網絡游戲記錄、IM行為及聊天內容記錄、在線炒股記錄、FTP/HTTP使用記錄、P2P下載記錄、在線視頻訪問記錄、Web訪問記錄、外發郵件行為、內容及附件記錄以及論壇發帖記錄等等，這些記錄為HSM（HillstoneSecurityManagementTM,Hillstone山石網科集中網絡安全管理系統）的上網行為管理日志查詢統計與審計分析提供完整的數據信息。產品特點URL內容分類訪問控制結合中國地區內容訪問的政策、法規和習慣量身定制具有超過2千萬條域名的分類web頁面庫，實時同步更新基于深度應用特征的行為控制及時跟蹤應用特征變化，定期分類更新深度數據流識別，確保識別的精準度先于NAT進行數據流特征識別，不受透傳影響手段多樣性，優于簡單的服務器地址阻斷日志審計獨立于網關設備降低日志數據分析對網關性能的影響可插卡式存儲支持典型案例上網行為管理作為山石網科UTM中一部分，與訪問控制、Qos、IPS等