時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
除了遲到、曠工,上網(wǎng)行為也要納入到行政管理了,這是目前一些企業(yè)的網(wǎng)絡(luò)應(yīng)用需求。為此,越來越多的組網(wǎng)設(shè)備開始提供上網(wǎng)行為管理的功能。
上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。。這些問題其實(shí)是一個(gè)職業(yè)素質(zhì)的基本問題,但企業(yè)管理者由于各種原因,對(duì)此經(jīng)常無可奈何。路由器上網(wǎng)行為管理正是迎合了這個(gè)需要,以電子化手段進(jìn)行鐵面無私的管理,行政措施得以有效的貫徹。
但是,上網(wǎng)行為管理功能的產(chǎn)品出現(xiàn)的時(shí)間不長,很多用戶在應(yīng)用中有一定的誤區(qū),產(chǎn)品選購上也無所適從。本文旨在上網(wǎng)行為管理功能的應(yīng)用價(jià)值、技術(shù)實(shí)現(xiàn)、產(chǎn)品選擇等方面做一個(gè)粗略的探討。
一、上網(wǎng)行為管理的應(yīng)用價(jià)值
首先應(yīng)該明確的是,上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備,而是行政管理的手段。
上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)公司隱私的工具,是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對(duì)企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用,從這一點(diǎn)上來說上網(wǎng)行為管理的應(yīng)用對(duì)企業(yè)是有益的。
誠然,精心部署上網(wǎng)行為管理,對(duì)企業(yè)網(wǎng)絡(luò)的穩(wěn)定性、可靠性有一定的幫助,但這是非常不夠的。網(wǎng)絡(luò)的穩(wěn)定可靠不能僅僅依靠上網(wǎng)行為管理來實(shí)現(xiàn),而主要還是要依靠專業(yè)的網(wǎng)絡(luò)安全設(shè)備和方案??墒悄壳?,在一些用戶心中,依然對(duì)上網(wǎng)行為管理產(chǎn)品的作用存在一些模糊不清的認(rèn)識(shí):
誤區(qū)一:上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線
網(wǎng)絡(luò)掉線是整個(gè)網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng),是因?yàn)橐蕴W(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無序上網(wǎng)的問題,客觀上對(duì)網(wǎng)絡(luò)凈化起到一些作用,但絕不是根本的手段。網(wǎng)絡(luò)問題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決,解決網(wǎng)絡(luò)掉線、卡滯等問題,應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案,那才是從根源著手的有效辦法。
誤區(qū)二:上網(wǎng)行為管理能防病毒侵害
網(wǎng)絡(luò)病毒的傳播防不勝防,掛馬成為了龐大產(chǎn)業(yè)。所以,靠上網(wǎng)行為的約束,期望杜絕病毒的侵入,在目前中國的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段,在網(wǎng)絡(luò)層面,要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等,在單機(jī)層面,要安裝殺毒軟件、定期升級(jí)操作系統(tǒng)補(bǔ)丁等措施。所以,盡管上網(wǎng)行為管理對(duì)防范病毒侵害很重要,但也只能是一個(gè)輔助措施。
誤區(qū)三:上網(wǎng)行為管理能控制網(wǎng)速
封QQ、封P2P、封視頻,通過限制大容量的下載保證帶寬的合理使用,這些都是權(quán)宜之計(jì),不是一個(gè)完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問題,因?yàn)榫W(wǎng)絡(luò)上的內(nèi)容太豐富了,搶占帶寬的流量無法一一識(shí)別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面,對(duì)帶寬的管理是通過QoS實(shí)現(xiàn)的,而不是通過限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供,有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有"人少時(shí)快、人多時(shí)均"的欣向智能帶寬算法等等。這些都是從專業(yè)角度進(jìn)行的,對(duì)控制網(wǎng)速根本有效的辦法。
因此,綜上所述,上網(wǎng)行為管理功能解決不了網(wǎng)絡(luò)的穩(wěn)定性、可靠性問題,對(duì)網(wǎng)絡(luò)本身的管理也不是根本的辦法。應(yīng)用上網(wǎng)行為管理后,企業(yè)的網(wǎng)絡(luò)狀況會(huì)有一定好轉(zhuǎn),但恐怕只是暫時(shí)的。上網(wǎng)行為管理最大的效用就是在行政管理上,它通過提高員工的工作效率為企業(yè)創(chuàng)造價(jià)值,這才是上網(wǎng)行為管理路由器得到歡迎的主要原因。
二、上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)
上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)大概分為幾個(gè)部分:IP分組管理、特定應(yīng)用封鎖、行為審計(jì)、行為記錄等。
IP分組管理是實(shí)現(xiàn)上網(wǎng)行為管理的基礎(chǔ),對(duì)于每個(gè)特定的分組分配不同的上網(wǎng)權(quán)限,對(duì)各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進(jìn)行要求,這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的"一鍵封鎖"是不能全面滿足用戶需求的。所以,分組管理和權(quán)限策略在路由器中設(shè)計(jì)為多重搭配組合的模式。
欣向免疫路由分組成員管理
特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。
靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口,達(dá)到應(yīng)用無法連接到服務(wù)器的目的,實(shí)現(xiàn)行為封鎖的一種方式。這種功能其實(shí)在路由器中早就存在,它是"外網(wǎng)IP過濾"、"端口過濾"、"URL關(guān)鍵字過濾"等幾個(gè)功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項(xiàng)目提出來,預(yù)制進(jìn)產(chǎn)品中,通過一個(gè)在界面上的名字表達(dá)這個(gè)功能。這樣做法就是方便了用戶,不必讓用戶自己去查找要封鎖項(xiàng)目的相關(guān)信息,再一條一條地在路由器上配置保存,這大大提高了產(chǎn)品的易用性。
而協(xié)議型封鎖是通過對(duì)要封鎖的協(xié)議進(jìn)行分析,識(shí)別上網(wǎng)行為身份,進(jìn)行對(duì)該協(xié)議的攔截,實(shí)現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的,用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用,它們雖然有相對(duì)固定的服務(wù)器IP群,但它們的連接方式是靠協(xié)議握手,動(dòng)態(tài)地變換IP和端口,甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進(jìn)行處理。
從技術(shù)實(shí)現(xiàn)的角度來看,靜態(tài)過濾是較容易的手段,而協(xié)議型封鎖對(duì)產(chǎn)品設(shè)計(jì)的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程,又要在實(shí)現(xiàn)的同時(shí)照顧路由器的轉(zhuǎn)發(fā)效率,照顧多WAN情況下的負(fù)載均衡,算法上是比較復(fù)雜的。
當(dāng)前的網(wǎng)絡(luò)設(shè)備市場,提供上網(wǎng)行為管理功能的路由器很多,表面上是大家都有上網(wǎng)行為管理功能,但實(shí)際上由于技術(shù)實(shí)現(xiàn)方式的不同,導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實(shí)用。
如果使用簡單的靜態(tài)過濾方式,而不是協(xié)議型封鎖來實(shí)現(xiàn)上網(wǎng)行為管理,功能雖然提供了,而效果是不能令人滿意的。遺憾的是,很多上網(wǎng)行為管理路由器就是這么做的。
拿大家熟悉的QQ來說,我們登陸QQ時(shí),都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進(jìn)行帳號(hào)和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表,然后通過路由器進(jìn)行這些服務(wù)器IP的過濾處理,這樣QQ帳號(hào)密碼認(rèn)證不了,當(dāng)然也就實(shí)現(xiàn)了攔截QQ的目的。
這種封QQ的方式存在兩個(gè)問題:1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時(shí),就會(huì)出現(xiàn)行為管理失效,路由器不得不進(jìn)行軟件升級(jí),效果不徹底,應(yīng)用麻煩。2、當(dāng)使用代理服務(wù)器進(jìn)行應(yīng)用訪問的中轉(zhuǎn)時(shí),由于認(rèn)證和訪問信息通過第三方中轉(zhuǎn),自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的"QQ代理服務(wù)器"IP,就是用來破解此種行為管理的,QQ聊天軟件也提供了繞過此種封鎖的代理服務(wù)器設(shè)置(如圖),區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過QQ代理登陸的方式進(jìn)行測試區(qū)分,所以靜態(tài)過濾的方式對(duì)行為管理是不徹底的,無效的。
QQ代理服務(wù)器設(shè)置
而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議,所以無論如何設(shè)置代理都能直接識(shí)別封鎖,效果徹底,然而此種行為管理方式需要的技術(shù)較高,路由器中很少使用。而已知的,欣向免疫墻路由器就是采用了協(xié)議分析的上網(wǎng)行為管理手段,這是很難得的。它采用了全新的應(yīng)用層協(xié)議分析,根據(jù)不同應(yīng)用的協(xié)議特征,對(duì)特定上網(wǎng)行為進(jìn)行分析確認(rèn)。由于采用了協(xié)議分析,行為管理真正做到了準(zhǔn)確無誤。
基于協(xié)議的上網(wǎng)行為管理功能的實(shí)現(xiàn),對(duì)路由器設(shè)計(jì)有較高的要求。尤其是多WAN環(huán)境下,不管是靜態(tài)過濾還是協(xié)議封鎖,都需要考慮對(duì)負(fù)載均衡的影響,也就是說,上網(wǎng)行為管理的啟用,不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實(shí)現(xiàn)上網(wǎng)行為功能的時(shí)候,把內(nèi)網(wǎng)IP固定地綁在某一個(gè)WAN口上,或者按照IP均衡的方式進(jìn)行分配,這就失去了多WAN帶寬疊加的應(yīng)用效果。
欣向采用的是多年領(lǐng)先的基于身份綁定的第四代多WAN技術(shù)。作為第一個(gè)推出多WAN路由器的廠家,欣向一直從事多WAN下的應(yīng)用協(xié)議分析,以保證各種網(wǎng)絡(luò)訪問在多WAN接入下的優(yōu)化處理。在實(shí)現(xiàn)上網(wǎng)行為管理功能的時(shí)候,欣向路由對(duì)行為管理的有效性、路由轉(zhuǎn)發(fā)效率、CPU負(fù)荷、多WAN帶寬匯聚等進(jìn)行綜合考慮,是比較周全的方案,在這個(gè)方面無疑是占據(jù)了領(lǐng)先的高度。
欣向免疫墻路由器分組上網(wǎng)行為管理
三、上網(wǎng)行為管理的產(chǎn)品選擇
由于存在著用戶對(duì)上網(wǎng)行為管理功能的需求,很多網(wǎng)絡(luò)設(shè)備開始提供這樣的功能。不僅僅在路由器,在防火墻、安全網(wǎng)關(guān)、UTM、接入服務(wù)器等各種設(shè)備中都能見到上網(wǎng)行為管理功能的影子,甚至還有一些專門的上網(wǎng)行為管理設(shè)備賣的也很不錯(cuò)。
雖然存在的就是合理的,但對(duì)于用戶來說,要根據(jù)自己的應(yīng)用需求進(jìn)行選擇,要根據(jù)自身網(wǎng)絡(luò)狀況、投資額度、現(xiàn)有設(shè)備的功能組合、網(wǎng)絡(luò)的優(yōu)化升級(jí)等作整體的規(guī)劃,最后考慮產(chǎn)品的優(yōu)劣,從而進(jìn)行正確的選擇。
下面提供一些建議供企業(yè)朋友們參考。
對(duì)上網(wǎng)行為管理要求較高,管理嚴(yán)苛的較大型企業(yè),應(yīng)該選擇專用的上網(wǎng)行為管理設(shè)備。這種設(shè)備不提供其他復(fù)雜的上網(wǎng)功能,也沒有過多涉及防火防毒網(wǎng)絡(luò)安全內(nèi)容,它的主要功能就是上網(wǎng)行為管理,術(shù)業(yè)有專攻,它在產(chǎn)品
關(guān)鍵詞標(biāo)簽:路由器,上網(wǎng)行為管理
相關(guān)閱讀
熱門文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量