随着互联网技术的发展，中小企业网络网络化已经逐渐得到重视。近年来，诸多网络设备厂商开始针对中小企业用户推出了中低端的网络产品。上网行为流量管理设备也开始转向这个庞大的市场，一场中小企业网络管理应用的普及战正在悄然打响。
企业用户目前网络状况仍然面临着下面几方面的需求和挑战：

1、员工工作效率的提升需求
    据权威的统计，全球企业员工30%-40%的上网行为都是花在与工作无关的事情之上，员工上班时20%以上时间都浪费在网络聊天、游戏、炒股上面，严重导致工作效率的下降；企业如何将现有员工的工作业绩发挥到更高的水平，提高企业综合应对风险能力，甚至减员增效等，这都是企业面临的重要挑战。

2、企业内网安全性的提升需求
   著名信息安全专家沈昌祥院士研究认为：80%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。因此我们应该从提高企业网络的内部自身安全着手，构筑积极、综合的上网行为安全系统。 
 

上网行为流量管理系统从以下几个方面解决内网上网安全:

1、缺乏内网接入的身份认证机制造成的安全风险
   相当多企业，他们的员工接入企业内网无需认证，IP地址也是由网关自动下发，员工在内网的各种行为，实质上是一种无监管状态。因为根本无法确认内网的肇事主机的身份，是企业员工还是外来访客，这种情况下一旦发生某个主机发起内网攻击或者非法访问企业资源的事件，将无法定位指控相关责任人。

2、内部人员越权访问带来风险
   企业员工因所属部门不同，而有所分工。企业管理人员希望，每个员工都能做好自己本职工作，而不要干涉其他部门事务。像企业中一些敏感部门：人事、财务、采购等，其信息是不允许其他部门员工随意访问的，如果发生敏感信息的非法访问，将会给企业的管理带来混乱，这是企业管理者所不愿见到的。

3、内网病毒泛滥导致网络不稳定应用无法运行
 随着现在企业信息化的不断发展，每个企业都有自己较为完备的信息化网络体系，在这个网络中，不仅主机接入数量多、提供应用的服务器多且管理相对复杂。一旦出现像ARP病毒攻击和内网DDOS攻击，将会给现有的网络体系带来很大的麻烦：

※ 内部主机访问Internet经常掉线
※ 内网服务器请求不响应
※ 内部信息被无故窃取
※ 内网网络堵塞，企业交换机当机等；

3.企业网络带宽管理的需求
    随着企业应用的增加，其接入带宽也在不断提高，但是企业的网络速度却没有变得更快。P2P软件的使用，导致企业大部分的带宽被抢占，而使用像BT、电驴、迅雷这类软件的行为，往往都是与企业业务无关的应用，都是像下载电影、音乐等，企业的关键业务无法正常运行，有限的带宽资源受到严峻挑战。
    我们如何能够做到，确保企业的关键应用像ERP、EMAIL等能够获得充足的带宽、能够流畅运行的同时，又不对某些人员的部分娱乐应用的带宽做完全阻断，做到人性化带宽管理。这样企业就可以避免无休止的带宽采购，降低企业网络的运营支出。

5.用户网络行为的事后审计需求
    上网行为审计是企业网络控制中最重要的控制手段之一，通过审计可以及时发现问题，并可对问题的产生进行追溯，从而更好的解决和防范问题。目前国内很多企业都没有完善的全网的审计手段，即使有相关的审计手段，也不能做到对系统进行全面审计，如何利用审计监督使企业的网络行为达到规范的要求，这是企业管理人员的希望得到效果之一。

 

部署示意：

                    

      如上图所示，上网行为流控产品以透明网桥方式接入网络，可以部署到网络的网关位置或各部门的出口位置。无需改动用户网络结构和配置。


应用特点：
1、有效提高员工工作效率
    对于解决员工工作效率的问题，AC-Q可以通过“上网行为管控功能”来解决：
上网行为管控：AC-Q上网行为流控设备可以控制员工上班时间禁止使用明显与工作无关的程序或网络应用，如：MSN、QQ、上游戏网站、炒股、看电影、放映DVD等，从而提高员工的工作效率。

2、提升企业内网安全性
    对于防范企业内网员工无意识而引发的的安全风险，AC-Q上网行为流量管理系统采用“身份认证”和“防ARP攻击”技术来实现：

（1）实名认证——完善内网身份认证机制
   企业要对内网进行管理，首先必须对接入内网的人员进行严格的身份认证。AC-Q基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、公用账号认证。

对于已有域认证的用户，AC-Q可与域进行结合认证。同时支持LDAP认证、Radius认证、POP3认证、Web认证等等，其中Web认证支持以windows认证框方式实现web认证
    这样可以防止一些外来人员的，私自接入企业内网，非法获取内网信息的。

（2）防ARP欺骗——内网ARP防护功能
    ARP欺骗一般有伪造ARP请求，伪造ARP广播和伪造ARP应答三种机制，将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。AC-Q的防ARP欺骗功能，是在主机登陆AC-Q上网行为流量管理系统后，在可信域中发布该可信IP/MAC表，使所有主机的中间层驱动绑定真实的IP/MAC列表，使ARP欺骗无空可钻。同时AC-Q上网行为流量管理进行实时的ARP欺骗检测，以保证内网的稳定性和可用性； 

3、智能的网络带宽管理
    为了防止企业有限的网络带宽资源被滥用，保证关键业务带宽，必须对上网用户进行合理的带宽限制。AC-Q安全网关采用了多种流控技术，合理配合使用，使管理员可以方便灵活地进行用户的带宽设置。
具体为以下三种流量管控方式：
（1）黑名单：黑名单功能通过限制大量下载用户的带宽，保证正常上网用户的带宽，从而实现不会因为有个别计算机大量下载而导致其他用户无法正常上网，达到一个上网流量的均衡。
（2）用户流控： AC-Q上网行为流量管理可针对每个用户，严格限制其使用互联网的带宽资源，这样可以保证某些用户的对带宽的特殊需要。
（3）策略流控：策略流控主要是针对某些应用策略做全局的带宽调配，从而确保一些企业关键应用带宽得到合理的保证。
通过三种流控技术的合理搭配使用，可以是关键业务得到充足带宽，也不会因为个别P2P用户对带宽的大量占用，导致其他用户正常网络访问需求被中断。采用智能流控技术可以非常人性化的解决企业的带宽管理问题。

4、避免企业的内部机密外泄
上网行为审计
对于防范内部员工机密外泄，AC-Q有多种手段去满足：
（1）从网络监控方面：AC-Q具备对各种邮件、IM程序的监控，对其文件外发做全面的内容审计。
（2）网络行为审计通过和AC-Q上网行为流量管理的内置reporter，可以实时接收并分析来自全网所有经过AC-Q网关的大量日志和数据，并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用。具体可以实现以下功能：

※ 实名审计
AC-Q审计系统基于用户名，而非IP进行流量日志和上网行为审计，直观易用。|

※ 系统日志审计
提供AC-Q设备的网关日志统计报表，以及手动查询网关日志和用户日志功能
※  URL访问审计
※ 提供URL访问的总量时间统计和URL访问数量排名统计的报表，以及自定义查询用户URL访问细节和导出功能
※ 内容审计
AC-Q能对内网用户的聊天内容（MSN，YAHOO）、邮件内容、WEB表单内容（BBS发帖）做全面的记录和审计。

通过上述几种审计手段，AC-Q上网行为流控设备可以最大程度的避免内部员工的机密外泄行为