192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

上网行为管理解决方案

发布时间:2011-02-14 18:21

  攘外必先安内(一)——上网行为管理时代来临(图)为大家介绍了上网行为管理的必要性和不同的人对上网行为管理的看法。其实从企业管理者的角度来说,上网行为管理的优点是不言自喻的,对企业管理者来说,对员工的上网行为进行管理的最大目的在于业务系统的效能,即网络畅通的策略是最符合企业需求的。对企业网络管理员来说,也不用再为流量管理和非法协议的封堵而烦恼,只需要分析和设置关键应用,就可做到对全局的有效管理。而上网行为管理系统分为软件方案和硬件方案,它们各有什么特点呢?该怎么部署呢?

  先来“软”的:上网行为管理软件方案剖析

  企业对员工的上网行为管理,主要存在三个方面的需求:一是控制员工上网时间长短和允许上网的时间段;二是员工访问网站的范围及使用的软件;三是记录员工的访问日志和通信数据,以便需要时进行查询。对于第一种需求来说,硬件设备就很容易实现,而对于后两种应用,才是软件方案与硬件方案的竞争点。从某种角度上来说,硬件设备容易出现故障,如接口的损坏、部件的损坏、使用成本比较高。而软件方案不具有这些缺陷,它比硬件方案具有更良好的扩展性,企业用户实施起来更方便,能进行更细致有效的管理!

  目前,国内上网行为管理软件比较知名的有LaneCat网猫、百络网警、聚生网管、网务通等,采用这些软件都能够对企业内网的电脑的上网情况进行管理,像QQ聊天和邮件信息、电脑的P2P下载、股票软件和网络游戏的运行、在线视频及网页浏览等。而这些上网行为管理软件是怎样来达到管理目的呢?

  上网行为管理软件技术

  一款上网行为管理软件的性能如何,主要体现在这三种基本技术上:底层抓包技术、数据包分析技术、表示层技术。

  底层抓包是指捕获网络上传送的数据包,而底层抓包技术的评判标准是抓包成功率,目前市面上的上网行为管理软件大都使用Winpcap(WindowsPacketCapture)底层抓包。Winpcap是一个免费公开的软件系统,是用于网络封包抓取的一套工具,可适用于32位的操作平台上解析网络封包,它包含了核心的封包过滤,一个底层动态链接库和一个高层系统函数库,以及可用来直接存取封包的应用程序界面。不过据行内技术人员透露,此款抓包软件在千兆网络流量下抓包成功率低。目前,也有一些上网行为管理软件公司使用自己研发的底层抓包软件,如LaneCat网猫软件,这款软件底层在千兆流量的冲击下抓包成功率仍能达到99.99%。

  如何识别员工在做什么,这就是上网行为管理软件在抓取数据包后要进行的任务了,用专业的术语来说就是进行数据包分析。像邮局在检测邮寄物品是否非法时,在获得邮寄包裹后得利用先进技术在不打开包裹的情况下进行检查,而检测技术的性能直接决定着检查成功率的高低。另外,数据包分析技术中的分析效率也直接决定着一款上网行为管理软件的工作效率高低。

  至于表示层技术,主要是指软件的界面友好程度,像操作难易度、是否具有多国语言界面等,虽然这对于上网行为管理不起关键性的作用,但它的优劣直接影响着用户的选择使用,因此一款优秀的上网行为管理软件在表示层技术上也不会疏忽大意。

  上网行为管理软件的方法

  采用上网行为管理软件,常有哪些方案来进行呢?这是企业管理者在选择上网行为管理软件前就得了解清楚的,现在的上网行为管理软件主要有三种方案。

  1.软网关

  软网关方案就是把主机当作网关,网内出去的数据包都要经过这台电脑,由这台电脑转发至由器,再由由器转发出去。对于采用这种方式来进行的软件最大的优势就是能够对数据进行绝对的,缺点就是在中型或大型网络中,由于主机本身性能所限,对网速有较大影响,另外,如果主机一旦出现宕机等情况,会造成整个网络中断。这种方法适合对上网行为管理要求严格,且被电脑数量不太多(电脑数量适合在200台以下)的企业使用。

  ARP方式就是利用主机一直发包,将主机的MAC地址伪装成由器的MAC地址,把其它电脑的上网数据“”到这台主机上来,从而获得其他电脑的上网数据进行分析及控制,对于允许的上网数据,则通过主机转发至由器上正常传送。

  ARP方式的优点就是可以在企业局域网中任意一台电脑上部署,对于使用者来说安装非常方便。但它的缺点也是显而易见的,如果被电脑安装ARP防火墙后,就可能会失去作用,另外上网数据由主机转发,也会影响整个网络的速度。像聚生网管就是采用该方式来进行的,这种方案适合电脑数量不多(数量在200台以下),且者便于隐蔽(像一些公司老板希望在办公室内对员工上网行为进行管理)的小型公司使用。

  3.旁侦听型

  旁侦听型就是通过共享式HUB或镜像交换机自身的功能,把出口数据复制一份到主机连接的那个端口,以达到的目的。在电脑数量较少的情况下,共享式HUB能完全承载小型网络,在网络规模较大时,通过镜像交换机的端口镜像功能也完全能够承载。因此旁听侦听型的优点是对网络速度影响较小,同时管理的效果也很出色。采用这种方法的代表有LaneCat网猫,对于中大型企业比较适用。

  软件方案实例剖析

  在了解了上网行为管理软件的相关技术和方式后,对于企业或机关部门来说,如何根据自己的实际情况来进行部署呢?下面就以两个最常见的案例进行分析,希望能给打算采购部署上网行为管理软件方案的用户一定指导。

  ●世纪奥通科技有限公司

  企业需求:该公司是一家中外合资企业,因工作需要,员工要经常访问国外网站,用E-mail与国外客户进行交流。由于公司内部有部分员工上网

  下载与工作无关的影像文件及相关软件,造成其他员工访问国外网站速度过慢,严重影响了公司的正常办公效率。公司管理者希望选择简单便捷、机动灵活、成本低廉的解决方案。

  方案分析:经过多方比较,用户选择了面向企业网络应用管理的All-in-One多功能网络管理软件——网务通(图2)。它集成网关、

  服务器等功能,更重要的是为企业用户提供了网络访问行为管理、邮件管理、流量管理和网络等网络应用管理功能。网务通不仅让企业用户把网络用起来,更重要的是把网络管起来,帮助企业用户真正做到事前预防、事中、事后。

  安全的SecuritySaaS服务,可将软件、方案、升级、更新和增值服务等以最小的成本提供给中小企业用户。同时,作为基于标准化硬件的“软件设备”,用户很容易将它安装到基于Intel架构的硬件平台上,而不是只能安装到某一特殊架构的厂商硬件平台,升级性和扩展性较强。这样的最大好处是减少了厂商的产品分发成本、运营成本和采购成本。另外,网务通还提供免费的全功能体验版产品,保障企业前期以零成本将网络管理运转起来。

  使用网务通网络访问控制功能,可解决企业员工上网管理中存在的问题,网络的稳定性。世纪奥通科技有限公司原来使用10MB光纤,因为有员工不规范

  下载致使网络不稳定,使用网务通后,现在使用2MB光纤就可员工的办公需求,每年节约光纤接入费用近10万元。

  ●广州某重工股份有限公司

  企业需求:广州某重工股份有限公司是一家多元化运作、跨地区经营的现代化机械装备制造企业,该公司打造了信息网络化的企业平台,但因病毒、下载等原因,造成公司网络系统部分时段性能低下,公司的需要综合起来为4点:一是外网行为管理需求,针对不同部门、不同岗位的工作需要,能设置相应的“开关”;二是内网行为管理需求,针对不同的计算机应用,对各类应用软件、硬件进行,并能实现与禁用;三是对计算机工作界面的需求,针对特殊情况,可对特殊计算机屏幕进行或实时,可对指定计算机进行远程控制操作;四是统计分析,要能对的计算机的各类软、硬件运行情况进行记录,并能汇总统计分析。

  方案分析:该公司对网络要求较高,同时其电脑数量在300台以上,并对内网和外网有不同要求。在综合对比后,该公司选择了LaneCat网猫,LaneCat网猫稳定性强,功能强大。它分为内网软件和外网软件两套软件,外网软件可以针对不同部门、不同岗位的工作需要,设置相应的的管理方案,对流量(瞬时、段时)、网址、聊天工具、邮件、下载工具等进行与关闭,并进行记录。内网软件能针对不同的计算机应用,对计算机的各类应用软件、硬件进行,并能实现与禁用。另外LaneCat网猫的内网软件和外网软件可以安装在同一台机器上,以方便控制和管理(图3)。

  在通过该方案进行管理时,由于它是将软件安装在服务主机上,其它电脑都可登录进行设置及管理,操作起来非常方便。并且对采用多线连接外网的企业来说,它还能自动进行负载均衡,如发生某条线断线时能自动切换到备份线,保障网络不间断。

  “软”的不行来“硬”的:上网行为管理硬件方案剖析

  硬件方案的优势

  ●整合性较强

  上网行为管理硬件方案除了具有的产品方案以外,还能够和其他网络

  安全设备整合在一起,如可将上网行为管理功能整合在防火墙或其他综合安全网关类产品中,以满足过程、过程记录、行为控制、报告报表、审计模块、流量控制、智能限速策略等等要求。对于企业用户而言,这种整合可以降低管理网络安全设备的难度,降低后期成本,而在功能上又没失。

  ●处能强

  上网行为管理对数据的处理方式非常复杂,如对一些应用

  协议的扫描,系统一般要将所有的数据报文拦截,然后通过算法重新组装成具体的内容,再根据具体的策略以及关键字设定等扫描内容,如不符合设定,系统则将数据报文过滤。因此系统性能的高低,直接影响到处理效能以及网络的吞吐转发效率,一旦上网行为管理产品性能不足,不仅会影响网速,甚至会出现宕机、业务中断的。因此,相对于上网行为管理软件方案,硬件方案在处能上要强很多,硬件方案在出现故障时,也可以快速对产品进行替换。

  ●系统适应性高

  目前企业的内部网络都比较复杂,再加上客户的各种复杂需求,上网行为管理系统的适应性强就很重要。上网行为管理硬件方案支持由、网桥和旁等多种部署模式,具有双机备份、双线及HSRP等冗余网络部署方式,适应任何复杂的网络结构,可以实现集群,以达到高性能的目的,特别是支持统一身份认证,能和AD域、LDAP、Radius、数据库认证等多种外部认证方式结合,且系统自身也可作为其它如ERP、OA等系统的身份认证设备。

  硬件方案的部署方式

  1.网关模式

  网关模式部署是将上网行为管理产品置于出口网关,所有数据流直接经由设备端口通过,经策略判断和分析后,方可根据用户权限予以放行或(图4)。对外,可结合多元化模块,提供

  2.网桥模式

  网桥模式也称透明模式,在网桥模式的应用中,上网行为管理产品起到的如同集线器的作用,设备置于网关出口之后,数据流判断方式如同网关模式,安装中基本不会影响原有的网络结构,设置简单、透明(图5)。

  3.旁模式

  在旁模式中,通过对网络出口的交换机进行端口映射,将数据流备份,引入旁中的上网行为管理设备,通过数据和分析来记录数据流中产生的各项数据,并根据各项数据报表提供全面的审计服务功能(图6)。对外,可结合多元化模块,提供

  接入和防火墙策略,对内实现上网行为管理。不过在此种配置下,防火墙功能不起作用,上网行为管理部分控制功能也不起作用。

  硬件方案实例剖析

  ●华北电网

  企业需求:华北电网承担着首都安全供电和整个华北地区电力供应与服务的重任,随着企业信息化建设的推进,华北电网对业务可持续性的要求不断提高。员工上网行为可能引发系统问题,P2P下载、游戏、在线炒股、病毒、木马、黑客等应用,不仅导致网络带宽有效利用率不高,而且还存在一定的安全隐患。面对不断增长的业务需求,如何规范不同网络应用的优先级,实现网络流量、带宽的总体规划及精准控制,保障核心关键业务平稳运行,是华北电网信息化主管面临的新问题。建立统一的网络控制管理平台,为业务应用提供丰富、高速的带宽,高效管理员工们的上网行为,实现网络资源利用的最优化,已成为华北电网发展中的大问题。对此,网康科技的开发人员与华北电网点相关人员共同商讨了一套高效、高安全、高扩展的

  互联网管控平台,降低互联网接入风险,以保障电力接入服务安全可靠。

  方案分析:通过对华北电网网络的前期审计评估,了解实际应用的分布情况,网康科技的工程师采用NS15000作为上网行为管理设备,针对华北电网的需求做了针对性的管控策略:加强用户入网认证,精细分配带宽流量,有效过滤不良网站,灵活控制网络应用,实现互联网使用状况全面管控、审计,从而规范内部上网行为,降低互联网接入风险,提升网络带宽的使用价值,网络架构如图7。后的网络管理系统具有以下几个方面的突出特点:

  路由器限速怎么解除通过自定义带宽通道,管理系统对HTTP及关键业务系统作了正常使用的评估及相应的带宽保障;同时通过强大的URL过滤数据库,有效过滤了与工作无关的网址,保障华北电网关键业务在任何状况下都不受影响,能够顺利进行,带宽资源得到合理分配。

  华北电网新建立的网络管理系统对员工在上班时间使用P2P类软件进行了流量,同时看网络电视,降低了这些应用对企业互联网带宽的占用。实施以来,网络总流量下降50%,华北电网点网络管理工作也变得更加简单和智能,网管员能够通过报表统计直观地完成性能、流量管理。

  后的网络管理系统启用了ICG防护功能,针对员工机器中木马或病毒后产生的异常流量进行自动屏蔽,异常IP被实时,随时报警功能让网络安全事故得以及时解除。同时,管理系统给管理员定位网络故障提供快速有效的依据和手段,了华北电网业务系统的正常运行。

  ●某高校

  企业需求:据某项调查表明,大学生上网主要用于聊天者占34%,主要用于玩游戏者占28%,主要用于查资料者占30%,其他占8%。如此看来,62%的大学生在网上从事与学习、工作无关的活动。聊天、游戏等这样的网络娱乐不是不能提倡,但关键在于大学生能否自觉约束自己,能否把网络娱乐当成一种适度的休闲方式,而不是沉溺其中。因此,掌握学生的上网情况,引导他们合理使用网络资源,是当前教育信息化进程中必须解决的问题。某高校为了学生的上网行为,决定利用、过滤等技术手段,创建绿色校园网络。

  方案分析:该高校经过多方对比,选择了冰峰网络的上网行为管理硬件解决方案——网极星。通过一段时间的使用,该高校的网络得到了净化,杜绝了对不良网站的访问,电脑感染病毒和受到的机率大大降低,P2P下载得到了有效控制,互联网的带宽得到了充分的利用。具体网络架构如图8。

  1.合理分配带宽流量,BT、迅雷等P2P下载软件得到有效控制,网络总流量下降60%;

  2.保障关键业务,远程教育、视频传输等关键业务不再受到影响;

  3.高风险和不良信息网站被访问,大大降低了病毒、蠕虫的感染几率;

  4.异常流量、异常IP被,随时报警功能让网络安全事故得以及时解除;

  网极星提供了详细的互联网活动、统计报表,以便用户掌握校园内用户对互联网的使用状况,及时对访问策略做出正确的调整。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明