华夏之星企业上网管理解决方案

---

  

一、概念

    现在各个企事业单位，很多都已为内部员工提供上网服务。随之而来的问题是，怎样对员工的上网行为进行有效的管理，就成为企业迫切需要解决的问题。

    例如，需要对员工上网的范围进行限制，禁止其浏览非健康内容的网站，限制其上网聊天，限制其上网打游戏；而且不同员工，上网限制范围也需要各不相同；需要只允许员工在某些时间上网，其它时间不允许上网；需要记录员工每次的上网时间，在哪些时间上过网；需要记录员工都访问浏览过哪些网站；需要控制每个员工的上网带宽，防止其BT过分占用出口带宽资源。等等上网管理的需求，怎么来解决，怎么解决最方便，而且成本要低，不能够以财务的牺牲作为代价。

    如果您有这样的需求，或者类似的需求，那么，华夏之星企业上网管理解决方案，正是您急切寻找需求的产品。

    华夏之星企业上网管理解决方案，基于华夏之星监视计费器产品的强大功能，可以无缝透明地满足企业上网管理的需求，成本低廉，简单实用。该方案，也可适用于学校等，有着类似需求的客户。

二、华夏之星监视计费器产品介绍

    华夏之星监视计费器是一款纯软件通信产品，全部功能都是为上网计费管理需求而设计。产品是一个通用的上网计费和管理平台，适应酒店、学校、小区、企业、网吧、娱乐场所等多种上网计费和管理的需求，可灵活定制上层的各种管理应用功能。产品还支持二次开发，提供简单方便的标准开发接口。

    华夏之星监视计费器核心工作于网络通信的数据链路层，高速处理上网数据原始通信包，速度极快。正因为产品工作在数据链路层，位于通信的最底端（位于ISO结构的第二层），所以产品具有非常广泛的适应性，适应各种网络结构下的上网计费需求。无论客户是通过网关服务器共享上网，还是通过硬件路由器上网，还是其它设备上网；无论客户的上网出口是何种方式，电话拨号、ADSL拨号、DDN、ISDN、专线静态IP、光纤接入等；无论是单上网出口，还是多上网出口负载均衡（或故障接管）；当需要上网管理时，华夏之星监视计费器产品都完全支持。

    华夏之星监视计费器具有强大的客户机上网范围设置、控制和管理的功能，实时监控每个客户机上网状态。具有客户机上网情况记录的功能，可以记录每次每个上网人员的上网时间、流量，访问浏览过哪些网站，通信的协议，通信的端口。通过和上层管理系统的配合，也可以限制某个员工允许上网的时间段，例如，只允许员工在中午12点-下午1点上网，其它时间无法上网。

    正因为华夏之星监视计费器具有的广泛适应性和灵活性，具有的强大上网管理和控制的功能，所以具有解决企业内部员工上网管理的能力。使用华夏之星监视计费器产品，就可无缝透明地解决上网管理的需求难题。该方案最大的特点就是使用简单方便，功能满足需求，成本低廉。

    华夏之星监视计费器产品的详细说明和技术资料，请参阅其产品资料，并可免费下载试用。

三、两种典型网络结构的上网管理解决方案

    两种典型情况：网关服务器共享上网、硬件路由器上网，详细说明如下。

1、网关服务器共享上网

    如图一，很多用户，都是通过一台服务器当作内部网络共享上网的网关服务器，上网接口是ADSL拨号（或者ADSL固定IP，或者ADSL非拨号动态IP），或者光纤拨号（或者光纤固定IP，或者光纤非拨号动态IP）。网关服务器具有双网卡，一块网卡接ISP提供的网线接口，另一块网卡接内部网络的交换机。

图一、网关服务器共享上网拓扑结构示意图

    在这种结构下，需要添加上网管理的功能，使用华夏之星监视计费器产品，则可以非常简单地得到实现。只需要在现有的网关服务器上安装华夏之星监视计费器软件及其上网管理系统，即可达到上网管理的目标。网关服务器只要使用的是WIN2000服务器版（或者WIN2003服务器版）操作系统，不需要重装服务器，只需要安装华夏之星上网管理系统，把软件驱动程序绑定到网关服务器上连接交换机的那块网卡上，即可进行上网管理。网关服务器上配置无需作什么其它改动，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网管理的应用需求即被无缝透明地得到实现。如图二。

图二、网关服务器共享上网管理拓扑结构示意图

    在这种方式下，添加华夏之星上网管理软件后，员工客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。只要客户机一上网，打开浏览器浏览，即会自动显示登录页面，客户机输入对应的员工ID和密码，就可上网。在上网管理系统中，设置该员工ID号的上网范围管理规则，该员工上网即受到限制，只能浏览规定范围内的网站，其它网站不能浏览。同时，网关服务器上的华夏之星监视计费器软件，自动对该员工的上网情况进行记录，保存到数据库中，记录到访问日志文件中。

2、硬件路由器上网

    如图三，现在也有很多客户是通过一台硬件路由器上网（或者硬件型的ADSL猫共享上网，原理同路由器）。路由器一端接内部网络的交换机，另一端接ISP提供的网线接口。上网出口方式多种多样，只要路由器支持，就都可使用。

图三、路由器上网拓扑结构示意图

    在这种结构下，怎样来添加上网管理的应用功能呢？在华夏之星软件的解决方案中，使用华夏之星监视计费器的桥接方式来达到上网管理的功能。

    如图四，该方案就是在交换机和路由器之间，插入一台计算机。该计算机具有双网卡，一块网卡连接路由器，另一块网卡连接交换机。该计算机运行WIN2003服务器版操作系统，启用操作系统的桥接功能。该计算机成为一个网桥设备，透明地把交换机和路由器两端的通信连接起来。内部网络、内部电脑和路由器的配置都不用作任何改变，好象不存在这台网桥一样。网桥在网络中完全是透明的，因为网桥属于数据链路层设备，对上层TCP/IP通信透明。

图四、网桥上网管理拓扑结构示意图

    然后，在这台网桥计算机上安装华夏之星监视计费器软件及其上网管理系统，把驱动程序绑定到连接交换机的那块网卡上，让华夏之星监视计费器软件以桥接方式运行，即可达到上网管理的目标。路由器配置无需作任何改变，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网管理的应用需求即被无缝透明地得到实现。

    在这种方式下，添加网桥计算机和华夏之星上网管理软件后，员工客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。只要客户机一上网，打开浏览器浏览，即会自动显示登录页面，客户机输入对应的员工ID和密码，就可上网。在上网管理系统中，设置该员工ID号的上网范围管理规则，该员工上网即受到限制，只能浏览规定范围内的网站，其它网站不能浏览。同时，网关服务器上的华夏之星监视计费器软件，自动对该员工的上网情况进行记录，保存到数据库中，记录到访问日志文件中。

三、说明

1、员工上网身份识别

    要有效地对员工上网进行管理，上网时员工身份的识别，就非常重要。在本方案中，有两种方法可以识别上网员工身份。

    第一种方法是，员工上网，必须先进行上网登录，输入其ID号和密码，验证通过后，才能上网，否则不能上网。如此，可以明确地得知每个上网员工的身份，就可以准确地对员工上网进行管理。上网的登录，后台上网管理服务器会自动在员工上网时显示，操作非常方便，不会对员工上网造成大的不便。

    第二种方法是，员工上网不需要登录，以员工电脑的网卡MAC地址来识别不同员工的身份，更进一步简化操作。但该种方法也有很大缺陷，因为网卡MAC地址很容易被其它员工探知，从而可以修改自己的网卡MAC地址，冒充其它员工的身份。

    企业可以根据自己实际情况，选择其中一种员工身份识别方法。

2、关于代理PROXY上网

    华夏之星上网管理解决方案，只适合于内部员工通过网关服务器或者路由器上网的情况。对于企业内部存在一个上网代理PROXY，员工必须在其浏览器中设置上网代理服务器和端口，才能上网，这样情况，本方案不支持其上网管理。该种情况下，上网管理的业务功能，是由代理PROXY产品本身来实现。