现在随着智能移动终端的大量普及，员工希望将自己的终端设备带到办公场所进行使用，这就让企业面临着“自带设备上班（Bring Your Own Device，BYOD）”时代的诸多问题。其中既有降低企业办公用具支出，提高员工士气等方面的优势，可是也需要面对在安全和管理方面产生的劣势。如果不能将BYOD劣势有效遏制的话，那么BYOD则可能为企业雇主带来更多的是风险。对此网康推出了NI-3000上网行为管理网关，为企业主们提供了一款卓绝的上网行为管理设备。那么实际上是否如此呢？一起来测试它在BYOD管控方面的优势吧。

　　企业办公 BYOD已成趋势

　　BYOD自带设备办公的出现，实际上是标志着个性化移动办公时代的来临。这些伴随我们身边的设备包括手机、平板、个人电脑等，而通过这些智能终端设备，企业员工可以在任何时间，任何地点，通过任何设备来完成邮件收发、企业资源访问和业务处理。在一定层面上讲，是有促进员工工作效率的效果的。

企业办公BYOD已成趋势

　　由此随着智能终端计算能力的日益强大、触控体验的逐步完善，以及移动互联网的迅速普及，移动化趋势已经深入到每一个人的生活当中。一场由员工个人使用习惯引发的企业办公模式慢慢成型，并汇集成一股BYOD潮流。

　　BYOD时代 上网行为管理的必要性

　　那么越来越多的人在工作和生活中都离不开手机、平板电脑的时候，BYOD令企业办公环境的范围进一步扩大。员工可以通过同一台移动设备进行业务处理工作，或在App Store上下载喜欢的游戏，可以说企业办公和个人业务瞬间切换，企业和个人应用的界限越来越模糊，而这些都为企业带来了各种安全和管理上的风险。

　　首先，企业主们意识到公司的IT策略和配置规则与消费级的应用和设置产生冲突，基于传统PC的安全策略和管理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对BYOD的战略，包括策略的定义和新的管理方法。

　　其次，BYOD设备通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移动设备的智能化，集成PC的特性和功能，但缺乏同等级别的保护措施，使得同样的应用程序，更容易遭受恶意攻击。

　　最后，企业缺少针对移动应用的管理手段，员工在设备上任意下载和安装未知来源的消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效。

　　对此，网康NI3000上网行为管理网关在解决上述问题时则更有优势，因为它不仅支持对PC端的上网行为管理，而且支持对移动终端的类型识别、位置识别和内容应用的识别管控等特色功能。总述测试目的和步骤如下：

　　测试目的：测试网康NI3000上网行为管理网关在对移动终端的类型、用户、位置、内容应用等方面的识别、审计能力。

　　测试步骤：我们将通过搭建一个模拟的小微企业网络环境，来对其接入的移动终端进行管控的功能测试。首先测试其进行Web认证的功能，然后是测试防私接“一拖N”的功能，最后测试对移动终端及其应用的有效识别管控。

　　话不赘述，下面马上开始测试，一起来看看吧。

 

BYOD管理之便捷Web认证

　　对BYOD行为的管理，首先可以从对访问网络的人员身份进行快速认证管理，即从是员工还是访客的认证入手。网康NI-3000上网行为管理网关提供多种用户认证和识别方式，包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别等等。其中更支持多种Web认证方法，可以快速区分访客与员工的身份，让他们尽快拥有符合身份的上网权限。

　　为员工设置Web认证

网康NI-3000支持分段/混合认证，通过规划并部署合适的认证方式，可以把互联网访问管理应用到具体用户，实现基于用户身份的访问管理。在有些企业，实行规划合理并且严格执行的IP地址分配制度，那么通过IP地址和网卡MAC地址来确定用户身份是可靠的；但是在有些网络环境下，用IP或网卡MAC地址并不能确定一个人的身份，比如DHCP动态分配IP、或多人共用一台设备的时候，就需要其它方式确定用户身份，如网关本地Web认证或第三方认证。

登陆网康NI-3000的Web界面

　　为了制定差异化的认证方法，我们需要先进入网康NI-3000上网行为管理网关的Web界面，通过图形界面用户可直观地管理和设置网关设备。在Web界面左侧有详细的功能分类选项，选择“用户管理”类别，再点击“认证管理”选项即可对认证方法进行设置了。

“认证配置”界面（点击看大图）

　　首先可以看到“认证配置”界面，随后便可以看到更为详细的多种认证方式的配置，包括较为常用的Web认证和短信认证方式。而点击其中的“Web认证配置”，即可对Web认证源进行添加或删除操作了。

支持Web认证自定义

不同于一般上网行为管理设备，网康NI-3000支持Web认证自定义功能，企业可以根据自身需要，对PC、平板电脑、手机移动终端等制定更有针对性的自定义策略、登陆界面和认证成功页面等，丰富了应用的多样性。

用户可对Web认证策略进行自定义调整

在“认证策略”中，还可细分为“IP识别”、“MAC识别”和“Web认证”三种不同的身份确认方式，令认证方式变得更为灵活。更贴心的是，在网康NI-3000里登陆界面和认证成功页面也是可以自定义设置的哟。

“登陆界面”也可设定

网康NI-3000支持Web认证自定义功能，包括对不同终端的登陆界面。

而且依据需要，还可以对不同级别的员工进行用户绑定功能，根据他们设备的IP、MAC等进行绑定，达到有效管控的作用。

网康NI-3000支持用户绑定

实测Web认证功能

Web认证配置好后，输入设定好的用户名和密码

登录成功的界面

Web认证配置好后，再次登录网页浏览器时，就会发现多了“用户登录系统”的认证界面，输入设定好的用户名“zol”和密码，便可看见登录成功的界面，随后便可进行上网了。

移动端的Web认证界面（左）和登录成功界面（右）

　　为访客设置Web认证

　　访客与员工的主要区别是访客账号是个临时账号，有时间日期或者上网时长限制；而且访客的账号申请，需要进行审核。对此网康NI-3000不仅支持访客Web认证，更支持快速的短信认证方式，方便了访客的上网，而且令管理更为便捷。

网康NI-3000也支持快速的短信认证方式

　　通过网康NI-3000的WEB认证方式，管理员可以设定并分发统一的初始口令，并定义账号缓存的有效时间，保障用户身份的安全，使用户身份的确定与具体上网设备完全无关。

 

精准的“一拖N”防私接管理

　　由于个人无线终端的丰富，面对员工有私接无线热点，进行“一拖N”的现象。网康NI-3000上网行为管理网关可以为企业制定有针对性的防私接管理功能，来对私接热点进行监管和屏蔽等操作。

　　在Web界面左侧可以选择“共享接入”类别，然后点击“共享接入设置”选项，会看到针对多用户进行共享链路的相关管控设置。

“共享接入设置”选项界面（点击看大图）

　　为了对企业网络的接入情况有更为直观地了解，建议勾选上“开启多用户共享链路监控”，这样接入企业网络的不论是有线设备还是无线设备，都会被纳入监控范围，并且记录下来。

　　如果想查找具体接入的设备情况，可以点看“共享接入日志”，里面会有非常详细的细节记载，包括设备接入的时间、设备分到的IP、设备的MAC地址、接入的终端数量、运行状态、制定的策略、阻断时长和屏蔽方式等，便于网络运维人员的精细管理。

　　“一拖N”防私接实测

　　下面我们就来实际测试下，网康NI-3000上网行为管理网关对于“一拖N”非法私接现象的管理效果吧。

　　测试环境及设备：我们模拟中小企业环境搭建了一个网络，将网康NI-3000作为上网行为管理网关，一台主流300Mbps无线路由器作为无线接入点，接入到一台24口二层交换机上。还有一个台式PC电脑、一个笔记本电脑、一个360随身WiFi 2代和4个无线终端（手机操作系统包括iOS、Android）做无线接入准备。

　　现在我们先来进行“屏蔽策略”的设置，在“共享接入设置”选项中，点击“选择用户”，然后选择“所有用户”，来对受管控的接入用户范围进行设定。

选择“所有用户”，来对受管控的接入用户范围进行设定。

　　由于网康NI-3000在“终端数量”方面默认的允许接入数为2台，阻断时长为30分钟（我们均未加改变），所以我们将在台式PC电脑插入360随身WiFi 2代来测试网康NI-3000的“一拖N”防私接功能。

　　在我们制定“屏蔽策略”之前，无线终端是可以随意接入模拟网络的。可是一旦将制定的“屏蔽策略”生效后，便可以发现私接360随身WiFi 2代的台式PC被屏蔽30分钟了，而其他无线终端也无法通过这个私接的无线热点进行无线上网了。

“屏蔽策略”生效后，可以从日志中看到台式PC被屏蔽30分钟（点击看大图红框）

　　被屏蔽无线热点可被解封还原

　　而通过认证或申请，如果上述被屏蔽的无线热点被转为可信任热点的话，也可通过“解封”操作进行上网还原。

有私接用户被自动屏蔽

　　在“共享接入监控”界面，可以在下方看到“监控列表”，在列表右侧有“解封”、“屏蔽”和“查询”等选项。先选中监控列表中的用户，点击“解封”选项，然后再点击“确定”即可。我们可以看到该用户的状态栏由“自动屏蔽”转为“正常”，这时该用户就可以正常上网了。

点击“解封”，再点击“确定”进行解封操作

该用户的状态栏由“自动屏蔽”转为“正常”。（点击看大图红框）

　　通过实测，可以看出网康NI-3000的“一拖N”防私接功能简单好用，对非法接入的无线热点能够进行有效地屏蔽和管理。

 

　　对移动终端及其应用的有效识别管控

　　在面对现在员工BYOD的挑战时，一般的上网行为管理网关并不具备对移动终端的类型、应用和位置进行有效识别和控制的功能，而网康NI-3000却独创性的支持。并且面对目前种类繁多的移动终端设备以及应用，网康NI-3000都能够对它们进行可视化监控，令管理更为直观。

“移动终端监控”界面（点击看大图）

基于移动终端的有效识别

　　通过选择“系统监控”中的“移动终端监控”，用户可以快速直观地了解到终端类型的分布情况、终端流量排名和移动应用流量排名等监管结果，对当下的企业网络进行有效掌控。

　　首先网康NI-3000支持对移动终端类型的识别，这包括对手机操作系统iOS、Android等的快速识别。

“上线用户”界面（点击看大图）

　　在实测中，通过“上线用户”即可快速查看登入企业网络的移动终端类型，包括通过的认证方式，上线时间，使用的工具等等。

　　其次，网康NI-3000更支持对移动应用行为、内容等的识别审计。

“实时监控”界面（点击看大图）

　　用户通过“系统监控”中的“实时监控”，即可迅速了解企业网络中的应用行为，甚至上行流速、下行流速以及总流速等细节，便于网络运维人员的管理。

查看“网络活动”界面中的QQ应用情况（点击看大图）

而在“网络活动”界面中，网络运维人员更可对基于应用流量排名等对当前的网络应用内容进行查看和管理。

基于移动终端的类型、位置和应用的管控

不仅停留在识别层面，网康NI-3000更可对不同的移动终端进行分类管控，网管可在“上网管理”中的“应用控制详情”中制定基于用户、位置、工具、时间和应用等的管控策略。如下图，如果勾选了PC、APPLE，那么将会对使用PC端和苹果移动终端的用户进行控制管理。

在“应用控制详情”中勾选PC、APPLE，将对使用PC端和苹果移动终端的用户进行控制管理。

而如果勾选了“位置”选项，网管则可对基于用户连网位置的设备进行有效管控，监管方式丰富多样。

基于“位置”的监管

而如果想对移动终端设备中的诸如QQ的应用也展开限制等管理的话，可以在“策略总览”中进行设置，例如创建一个“封堵工作无关应用”的策略，如下图所示。而在策略生效后，移动端的QQ应用将无法正常登陆了。

基于应用的，创建一个“封堵工作无关应用”的策略。

移动端的QQ应用将无法正常登陆

或是制定针对“QQ聊天”的审计策略，来监控、管理员工的QQ聊天等应用，如下图所示。

制定针对“QQ聊天”的审计策略

　　总结：选网康NI-3000提升BYOD效益

　　通过实测可以发现，网康NI3000上网行为管理网关除了具备一般的上网行为监管功能外，对移动终端的管控则更有性能优势。它不仅可以对各种类型的移动终端进行快速识别，更能够从用户、位置、类型、内容应用等方面进行有效的管控，而且支持可定制化的WEB认证管理功能，精准的防止私接无线热点的“一拖N”防私接管理功能等，为企业用户打造出实用简单的上网行为管理网关。对于员工的BYOD潮流，企业进行有效的管理和疏导是至关重要的，而网康NI-3000上网行为管理网关具有的上述功能，无疑是BYOD时代下各类企业展开上网行为管理的不错选择。

点击查看原文：http://net.zol.com.cn/413/4138451.html