IT猫扑网:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|论坛转贴|软件发布

您当前所在位置:首页系统集成网络管理 → 路由器上网行为管理功能浅谈

路由器上网行为管理功能浅谈

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

  除了迟到、旷工,上网行为也要纳入到行政管理了,这是目前一些企业的网络应用需求。为此,越来越多的组网设备开始提供上网行为管理的功能。

  上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。。这些问题其实是一个职业素质的基本问题,但企业管理者由于各种原因,对此经常无可奈何。路由器上网行为管理正是迎合了这个需要,以电子化手段进行铁面无私的管理,行政措施得以有效的贯彻。

  但是,上网行为管理功能的产品出现的时间不长,很多用户在应用中有一定的误区,产品选购上也无所适从。本文旨在上网行为管理功能的应用价值、技术实现、产品选择等方面做一个粗略的探讨。

  一、上网行为管理的应用价值

  首先应该明确的是,上网行为管理产品不是组网安全设备,而是行政管理的手段。

  上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具,是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用,从这一点上来说上网行为管理的应用对企业是有益的。

  诚然,精心部署上网行为管理,对企业网络的稳定性、可靠性有一定的帮助,但这是非常不够的。网络的稳定可靠不能仅仅依靠上网行为管理来实现,而主要还是要依靠专业的网络安全设备和方案。可是目前,在一些用户心中,依然对上网行为管理产品的作用存在一些模糊不清的认识:

  误区一:上网行为管理能让网络不掉线

  网络掉线是整个网络架构不健全的反应,是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题,客观上对网络净化起到一些作用,但绝不是根本的手段。网络问题要从网络结构本身加以解决,解决网络掉线、卡滞等问题,应该使用类似欣向免疫墙之类的专业方案,那才是从根源着手的有效办法。

  误区二:上网行为管理能防病毒侵害

  网络病毒的传播防不胜防,挂马成为了庞大产业。所以,靠上网行为的约束,期望杜绝病毒的侵入,在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段,在网络层面,要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等,在单机层面,要安装杀毒软件、定期升级操作系统补丁等措施。所以,尽管上网行为管理对防范病毒侵害很重要,但也只能是一个辅助措施。

  误区三:上网行为管理能控制网速

  封QQ、封P2P、封视频,通过限制大容量的下载保证带宽的合理使用,这些都是权宜之计,不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题,因为网络上的内容太丰富了,抢占带宽的流量无法一一识别并限制。在网络管理的技术方面,对带宽的管理是通过QoS实现的,而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供,有传统的平均分配法、有自适应调节算法、还有"人少时快、人多时均"的欣向智能带宽算法等等。这些都是从专业角度进行的,对控制网速根本有效的办法。

  因此,综上所述,上网行为管理功能解决不了网络的稳定性、可靠性问题,对网络本身的管理也不是根本的办法。应用上网行为管理后,企业的网络状况会有一定好转,但恐怕只是暂时的。上网行为管理最大的效用就是在行政管理上,它通过提高员工的工作效率为企业创造价值,这才是上网行为管理路由器得到欢迎的主要原因。

  二、上网行为管理的技术实现

  上网行为管理的技术实现大概分为几个部分:IP分组管理、特定应用封锁、行为审计、行为记录等。

  IP分组管理是实现上网行为管理的基础,对于每个特定的分组分配不同的上网权限,对各种不同部门、不同业务、不同人员的上网行为管理进行要求,这样才能适应企业的应用状况。那种不依赖分组的"一键封锁"是不能全面满足用户需求的。所以,分组管理和权限策略在路由器中设计为多重搭配组合的模式。

  

  欣向免疫路由分组成员管理

  特定应用封锁技术包括静态过滤、协议型封锁二种模式。

  静态过滤是通过封锁特定应用的网络服务器IP和端口,达到应用无法连接到服务器的目的,实现行为封锁的一种方式。这种功能其实在路由器中早就存在,它是"外网IP过滤"、"端口过滤"、"URL关键字过滤"等几个功能的组合。上网行为管理就是厂家把应用项目提出来,预制进产品中,通过一个在界面上的名字表达这个功能。这样做法就是方便了用户,不必让用户自己去查找要封锁项目的相关信息,再一条一条地在路由器上配置保存,这大大提高了产品的易用性。

  而协议型封锁是通过对要封锁的协议进行分析,识别上网行为身份,进行对该协议的拦截,实现行为封锁的一种方式。这是编制在产品的执行程序中的,用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用,它们虽然有相对固定的服务器IP群,但它们的连接方式是靠协议握手,动态地变换IP和端口,甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。

  从技术实现的角度来看,静态过滤是较容易的手段,而协议型封锁对产品设计的能力要求要高得多。协议型封锁既要吃透应用协议的内部过程,又要在实现的同时照顾路由器的转发效率,照顾多WAN情况下的负载均衡,算法上是比较复杂的。

  当前的网络设备市场,提供上网行为管理功能的路由器很多,表面上是大家都有上网行为管理功能,但实际上由于技术实现方式的不同,导致了有的上网行为管理功能只是空架子、有漏洞、不实用。

  如果使用简单的静态过滤方式,而不是协议型封锁来实现上网行为管理,功能虽然提供了,而效果是不能令人满意的。遗憾的是,很多上网行为管理路由器就是这么做的。

  拿大家熟悉的QQ来说,我们登陆QQ时,都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表,然后通过路由器进行这些服务器IP的过滤处理,这样QQ帐号密码认证不了,当然也就实现了拦截QQ的目的。

  这种封QQ的方式存在两个问题:1、当网络中特定应用添加或变更服务器IP时,就会出现行为管理失效,路由器不得不进行软件升级,效果不彻底,应用麻烦。2、当使用代理服务器进行应用访问的中转时,由于认证和访问信息通过第三方中转,自然失去了上网行为管理的效果。网络上公布有大量的"QQ代理服务器"IP,就是用来破解此种行为管理的,QQ聊天软件也提供了绕过此种封锁的代理服务器设置(如图),区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分,所以静态过滤的方式对行为管理是不彻底的,无效的。

  

  QQ代理服务器设置

  而协议型封锁方式由于直接分析网络数据协议,所以无论如何设置代理都能直接识别封锁,效果彻底,然而此种行为管理方式需要的技术较高,路由器中很少使用。而已知的,欣向免疫墙路由器就是采用了协议分析的上网行为管理手段,这是很难得的。它采用了全新的应用层协议分析,根据不同应用的协议特征,对特定上网行为进行分析确认。由于采用了协议分析,行为管理真正做到了准确无误。

  基于协议的上网行为管理功能的实现,对路由器设计有较高的要求。尤其是多WAN环境下,不管是静态过滤还是协议封锁,都需要考虑对负载均衡的影响,也就是说,上网行为管理的启用,不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候,把内网IP固定地绑在某一个WAN口上,或者按照IP均衡的方式进行分配,这就失去了多WAN带宽叠加的应用效果。

  欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家,欣向一直从事多WAN下的应用协议分析,以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候,欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑,是比较周全的方案,在这个方面无疑是占据了领先的高度。

  

  欣向免疫墙路由器分组上网行为管理

  三、上网行为管理的产品选择

  由于存在着用户对上网行为管理功能的需求,很多网络设备开始提供这样的功能。不仅仅在路由器,在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子,甚至还有一些专门的上网行为管理设备卖的也很不错。

  虽然存在的就是合理的,但对于用户来说,要根据自己的应用需求进行选择,要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划,最后考虑产品的优劣,从而进行正确的选择。

  下面提供一些建议供企业朋友们参考。

  对上网行为管理要求较高,管理严苛的较大型企业,应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能,也没有过多涉及防火防毒网络安全内容,它的主要功能就是上网行为管理,术业有专攻,它在产品

关键词标签:路由器,上网行为管理

相关阅读

文章评论
发表评论

热门文章 路由器地址大全-各品牌路由设置地址路由器地址大全-各品牌路由设置地址各品牌的ADSL与路由器出厂默认IP、帐号、密各品牌的ADSL与路由器出厂默认IP、帐号、密Nslookup命令详解-域名DNS诊断Nslookup命令详解-域名DNS诊断站长装备:十大网站管理员服务器工具软件站长装备:十大网站管理员服务器工具软件

相关下载

人气排行 各品牌的ADSL与路由器出厂默认IP、帐号、密码路由器地址大全-各品牌路由设置地址腾达路由器怎么设置?腾达路由器设置教程ADSL双线负载均衡设置详细图文教程路由表说明(详解route print)网管员实际工作的一天用此方法让2M带宽下载速度达到250K/S左右网管必会!了解交换机控制端口流量