上网行为管理技术——功能实现(1)

规划你的部门

如果你所在组织已经建立了完善的职能部门和成熟的决策流程，作为网络的管理者，你也有权利规划局域网的组织结构。在AC中，我们建议你通过IP组设置来实现。

首先你需要收集局域网中所有IP地址，然后再根据职能部门来划分用户组。有些部门由于物理环境的限制无法获取连续的C类地址（如下图所示），但这不会影响AC的使用，你需要做的就是继续添加。对于某些不属于特定部门的人群，如每周来办公室工作两天的股东、新入职的员工，你可以另外给他们建组。记住，不要逃避这个步骤！在后面你会发现，细致的准备会让你在突发事件来临时镇定自若。

图1

建立身份认证体系

在这里，我们讨论一下互联网访问的认证机制。

A（认证，授权和审计）是组织安全基础设施的基础，将对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面，首先是借助应用系统自身的认证，例如OA系统的用户名/密码，这可以从一定程度上避免非授权用户对内网核心资源的访问；另一层面是借助于网络部门建立的Radius域认证、微软LDAP（Lightweight Directory Access Protocol , LDAP）等来对内部用户进行身份认证管理。然而，基于内网的安全的认证机制还需要进一步完善。试想，如果可信用户例如一个打算离职的员工把内网中的财务报表通过E-mail发送给好友，或将组织辛苦搜集到的客户信息打个包上传到公网的一台FTP服务器，这些行为对组织的经济效益将带来巨大的损失。

所以，我们还需要管理局域网中所有用户的Internet访问。上一步骤中，我们已经划分了用户组，现在我们需要对用户组进行认证方式的设置。

在AC中你将切实感受到多种认证方式带来的方便。身份认证主要有两种方式，免客户端认证和客户端认证，AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和操作，很好提高了操作的互动性和弹性。

Web认证是这样运行的：内网的用户第一次开机时，只要在浏览器中输入网址，AC将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应权限，否则网关将拒绝用户的所有Internet连接请求。另外，为了避免用户离开后主机被他人利用，当用户再一段时间内没有发生任何网络流量，AC的Web认证将断开其网络连接，直到用户再次通过Web认证。

AC支持多种认证方式，除了通过用户名/密码、IP/Mac认证外， AC的Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段，只要在AC中正确填入域、活动目录和邮件服务器的地址和端口，AC将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户非常方便。

图2

在下一版本的AC中，你还将有机会体验更多的身份认证机制，这包括PPPOE认证、802.1X认证和USB Key认证。通过给内网用户颁发随身携带的USB密钥，用户的身份认证信息将被存储到一枚小小的智能钥匙（Key）中，只要在电脑的USB口插上加密Key就可以正常上网，拔掉Key以后，即使他人能够有机会使用你的PC或笔记本，他仍然无法获得互联网的访问权限。