解讀上網行為管理軟件存在的價值和理解誤區(qū)

　　最近有朋友告訴我說他們公司網絡有些問題，上網卡、總掉線，想買個上網行為管理系統(tǒng)解決內網安全問題。這樣的人在我身邊還很多，但是我想說的是這些有些一廂情愿了!下面就為大家解讀上網行為管理l軟件存在的價值和理解誤區(qū)

　　部署封BT、P2P下載、限制一些訪問等的上網行為管理工具，是從應用上而不是本質上解決問題的。企圖依靠對上網行為的管理凈化網絡環(huán)境、應付網絡病毒攻擊，這是一廂情愿的想法。

　　上網行為管理沒有提供針對網絡設施本身的任何安全措施，它無法從網絡底層解決網絡問題，不能加固網絡以提高安全性、可靠性。就像道路交通管理一樣，為了防止事故造成擁堵，上網行為管理采取的是限制車輛上路，而不是通過紅綠燈調控、交警現(xiàn)場指揮、架設立交橋疏導的方式來解決問題。

　　一、上網行為管理的應用價值

　　我們知道上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。。這些問題其實是一個職業(yè)素質的基本問題，但企業(yè)管理者由于各種原因，對此經常無可奈何。上網行為管理正是迎合了這個需要，以電子化手段進行鐵面無私的管理，行政措施得以有效的貫徹。

　　應該明確的是，上網行為管理產品不是組網安全設備，而是行政管理的手段。上網行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀律、提高工作效率、保護公司隱私的工具，是行政管理的電子化輔助手段。具備上網行為管理功能的路由器無疑對企業(yè)網絡訪問的制度化管理起到了良好的輔助作用，從這一點上來說上網行為管理的應用對企業(yè)是有益的。在提倡三分技術、七分管理的情況下，正是由于行政管理上的不到位，對員工的上網行為管理沒有有效的控制。那么就促進了上網行為管理設備的發(fā)展，這類設備生產廠家、公司在大力倡導企業(yè)上網行為管理的背后下是高利潤的驅使。我們在從技術上分析下，這類設備真的物有所值么?

　　二、上網行為管理的技術實現(xiàn)

　　上網行為管理的技術實現(xiàn)大概分為幾個部分：IP分組管理、特定應用封鎖、行為審計、行為記錄等。

　　IP分組管理是實現(xiàn)上網行為管理的基礎，對于每個特定的分組分配不同的上網權限，對各種不同部門、不同業(yè)務、不同人員的上網行為管理進行要求，這樣才能適應企業(yè)的應用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權限策略在路由器中設計為多重搭配組合的模式。

　　特定應用封鎖技術包括靜態(tài)過濾、協(xié)議型封鎖二種模式。

　　靜態(tài)過濾是通過封鎖特定應用的網絡服務器IP和端口，達到應用無法連接到服務器的目的，實現(xiàn)行為封鎖的一種方式。這種功能其實在路由器中早就存在，它是“外網IP過濾”、“端口過濾”、“URL關鍵字過濾”等幾個功能的組合。上網行為管理就是廠家把應用項目提出來，預制進產品中，通過一個在界面上的名字表達這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關信息，再一條一條地在路由器上配置保存，這大大提高了產品的易用性。

　　而協(xié)議型封鎖是通過對要封鎖的協(xié)議進行分析，識別上網行為身份，進行對該協(xié)議的攔截，實現(xiàn)行為封鎖的一種方式。這是編制在產品的執(zhí)行程序中的，用戶無法自己設置和干預。包括QQ、某些游戲、P2P等的部分應用，它們雖然有相對固定的服務器IP群，但它們的連接方式是靠協(xié)議握手，動態(tài)地變換IP和端口，甚至有些P2P應用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進行處理。

　　當前的網絡設備市場，提供上網行為管理功能的路由器很多，表面上是大家都有上網行為管理功能，但實際上由于技術實現(xiàn)方式的不同，導致了有的上網行為管理功能只是空架子、有漏洞、不實用。

　　如果使用簡單的靜態(tài)過濾方式，而不是協(xié)議型封鎖來實現(xiàn)上網行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網行為管理路由器就是這么做的。

　　拿大家熟悉的QQ來說，我們登陸QQ時，都需要連接網絡上的QQ服務器進行帳號和密碼的認證、好友列表的獲取、未在線聊天內容的下載等等。通過獲取網絡中的所有QQ服務器列表，然后通過路由器進行這些服務器IP的過濾處理，這樣QQ帳號密碼認證不了，當然也就實現(xiàn)了攔截QQ的目的。

　　這種封QQ的方式存在兩個問題：1、當網絡中特定應用添加或變更服務器IP時，就會出現(xiàn)行為管理失效，路由器不得不進行軟件升級，效果不徹底，應用麻煩。2、當使用代理服務器進行應用訪問的中轉時，由于認證和訪問信息通過第三方中轉，自然失去了上網行為管理的效果。網絡上公布有大量的“QQ代理服務器”IP，就是用來破解此種行為管理的，QQ聊天軟件也提供了繞過此種封鎖的代理服務器設置，區(qū)分上網行為管理設備是否徹底就可以通過QQ代理登陸的方式進行測試區(qū)分，所以靜態(tài)過濾的方式對行為管理是不徹底的，無效的。

　　而協(xié)議型封鎖方式由于直接分析網絡數據協(xié)議，所以無論如何設置代理都能直接識別封鎖，效果徹底，然而此種行為管理方式需要的技術較高，路由器中很少使用。

　　三、上網行為管理的誤區(qū)

　　誤區(qū)一：上網行為管理能讓網絡不掉線

　　網絡掉線是整個網絡架構不健全的反應，是因為以太網本身的先天缺陷造成的。上網行為管理雖然解決了無序上網的問題，客觀上對網絡凈化起到一些作用，但絕不是根本的手段。網絡問題要從網絡結構本身加以解決，解決網絡掉線、卡滯等問題，應該使用類似欣向免疫墻之類的專業(yè)方案，那才是從根源著手的有效辦法。

　　誤區(qū)二：上網行為管理能防病毒侵害

　　網絡病毒的傳播防不勝防，掛馬成為了龐大產業(yè)。所以，靠上網行為的約束，期望杜絕病毒的侵入，在目前中國的網絡環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網絡層面，要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等，在單機層面，要安裝殺毒軟件、定期升級操作系統(tǒng)補丁等措施。所以，盡管上網行為管理對防范病毒侵害很重要，但也只能是一個輔助措施。

　　誤區(qū)三：上網行為管理能控制網速

　　封QQ、封P2P、封視頻，通過限制大容量的下載保證帶寬的合理使用，這些都是權宜之計，不是一個完善可靠的辦法。限制應用不能從根本上解決帶寬管理問題，因為網絡上的內容太豐富了，搶占帶寬的流量無法一一識別并限制。在網絡管理的技術方面，對帶寬的管理是通過QoS實現(xiàn)的，而不是通過限制應用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統(tǒng)的平均分配法、有自適應調節(jié)算法、還有“人少時快、人多時均”的最優(yōu)寬算法等等。

【推薦閱讀】

◆網管軟件專區(qū) 

◆企業(yè)網管員如何監(jiān)控公司網絡健康運行

◆網管員技巧：網絡監(jiān)控軟件的部署經驗

◆網管軟件的成長之路還有多長

◆IT運維管理專區(qū)