路由器設備管理系統(tǒng)軟件和專業(yè)設備管理系統(tǒng)軟件上網行為對比分析

企業(yè)管理是一個非常寬泛的概念。除了遲到、曠工，上網行為也要納入到行政管理了，這是目前一些企業(yè)的網絡應用需求。為此，越來越多的組網設備開始提供上網行為管理的功能。當然，通過一些網絡設備如路由器來加強員工上網監(jiān)控，杜絕不合理的上網行為雖然可以更大程度上利用網絡設備自身的資源，并且也可以達到一定的上網限制功能。如單位常見的禁用迅雷下載，限制上班炒股，控制上網網站，限制上班聊天，禁止上班玩游戲等不合理的上網行為。但是總體而言，路由器因為其核心功能是提供上網路由功能，承載太多的過濾、識別和封堵功能必然明顯降低路由器的路由轉發(fā)功能，導致內網電腦上網性能下降，網絡延遲和丟包現象的出現。因此，如果企事業(yè)單位要求有更高性能的設備管理系統(tǒng)和網絡控制，還需要部署專門的上網行為管理軟件或設備管理軟件軟件才可以。

上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。。這些問題其實是一個職業(yè)素質的基本問題，但企業(yè)管理者由于各種原因，對此經常無可奈何。路由器上網行為管理正是迎合了這個需要，以電子化手段進行鐵面無私的管理，行政措施得以有效的貫徹。

但是，上網行為管理功能的產品出現的時間不長，很多用戶在應用中有一定的誤區(qū)，產品選購上也無所適從。本文旨在上網行為管理功能的應用價值、技術實現、產品選擇等方面做一個粗略的探討。

一、上網行為管理的應用價值

首先應該明確的是，上網行為管理產品不是組網安全設備，而是行政管理的手段。

上網行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀律、提高工作效率、保護公司隱私的工具，是行政管理的電子化輔助手段。具備上網行為管理功能的路由器無疑對企業(yè)網絡訪問的制度化管理起到了良好的輔助作用，從這一點上來說上網行為管理的應用對企業(yè)是有益的。

誠然，精心部署上網行為管理，對企業(yè)網絡的穩(wěn)定性、可靠性有一定的幫助，但這是非常不夠的。網絡的穩(wěn)定可靠不能僅僅依靠上網行為管理來實現，而主要還是要依靠專業(yè)的網絡安全設備和方案。可是目前，在一些用戶心中，依然對上網行為管理產品的作用存在一些模糊不清的認識：

誤區(qū)一：上網行為管理能讓網絡不掉線

網絡掉線是整個網絡架構不健全的反應，是因為以太網本身的先天缺陷造成的。上網行為管理雖然解決了無序上網的問題，客觀上對網絡凈化起到一些作用，但絕不是根本的手段。網絡問題要從網絡結構本身加以解決，解決網絡掉線、卡滯等問題，應該使用類似聚生設備管理軟件免疫墻之類的專業(yè)方案，那才是從根源著手的有效辦法。

誤區(qū)二：上網行為管理能防病毒侵害

網絡病毒的傳播防不勝防，掛馬成為了龐大產業(yè)。所以，靠上網行為的約束，期望杜絕病毒的侵入，在目前中國的網絡環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網絡層面，要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等，在單機層面，要安裝殺毒軟件、定期升級操作系統(tǒng)補丁等措施。所以，盡管上網行為管理對防范病毒侵害很重要，但也只能是一個輔助措施。

誤區(qū)三：上網行為管理能控制網速

封QQ、封P2P、封視頻，通過限制大容量的下載保證帶寬的合理使用，這些都是權宜之計，不是一個完善可靠的辦法。限制應用不能從根本上解決帶寬管理問題，因為網絡上的內容太豐富了，搶占帶寬的流量無法一一識別并限制。在設備管理系統(tǒng)的技術方面，對帶寬的管理是通過QoS實現的，而不是通過限制應用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統(tǒng)的平均分配法、有自適應調節(jié)算法、還有“人少時快、人多時均”的聚生設備管理軟件智能帶寬算法等等。這些都是從專業(yè)角度進行的，對控制網速根本有效的辦法。

因此，綜上所述，上網行為管理功能解決不了網絡的穩(wěn)定性、可靠性問題，對網絡本身的管理也不是根本的辦法。應用上網行為管理后，企業(yè)的網絡狀況會有一定好轉，但恐怕只是暫時的。上網行為管理最大的效用就是在行政管理上，它通過提高員工的工作效率為企業(yè)創(chuàng)造價值，這才是上網行為管理路由器得到歡迎的主要原因。

二、上網行為管理的技術實現

上網行為管理的技術實現大概分為幾個部分：IP分組管理、特定應用封鎖、行為審計、行為記錄等。

IP分組管理是實現上網行為管理的基礎，對于每個特定的分組分配不同的上網權限，對各種不同部門、不同業(yè)務、不同人員的上網行為管理進行要求，這樣才能適應企業(yè)的應用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權限策略在路由器中設計為多重搭配組合的模式。

特定應用封鎖技術包括靜態(tài)過濾、協(xié)議型封鎖二種模式。

靜態(tài)過濾是通過封鎖特定應用的網絡服務器IP和端口，達到應用無法連接到服務器的目的，實現行為封鎖的一種方式。這種功能其實在路由器中早就存在，它是“外網IP過濾”、“端口過濾”、“URL關鍵字過濾”等幾個功能的組合。上網行為管理就是廠家把應用項目提出來，預制進產品中，通過一個在界面上的名字表達這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關信息，再一條一條地在路由器上配置保存，這大大提高了產品的易用性。

而協(xié)議型封鎖是通過對要封鎖的協(xié)議進行分析，識別上網行為身份，進行對該協(xié)議的攔截，實現行為封鎖的一種方式。這是編制在產品的執(zhí)行程序中的，用戶無法自己設置和干預。通過協(xié)議分析，一般可以有效禁止P2P軟件，封堵股票軟件，禁止BT下載，限制聊天軟件、屏蔽網絡游戲等等。

從技術實現的角度來看，靜態(tài)過濾是較容易的手段，而協(xié)議型封鎖對產品設計的能力要求要高得多。協(xié)議型封鎖既要吃透應用協(xié)議的內部過程，又要在實現的同時照顧路由器的轉發(fā)效率，照顧多WAN情況下的負載均衡，算法上是比較復雜的。

當前的網絡設備市場，提供上網行為管理功能的路由器很多，表面上是大家都有上網行為管理功能，但實際上由于技術實現方式的不同，導致了有的上網行為管理功能只是空架子、有漏洞、不實用。

如果使用簡單的靜態(tài)過濾方式，而不是協(xié)議型封鎖來實現上網行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網行為管理路由器就是這么做的。

拿大家熟悉的QQ來說，我們登陸QQ時，都需要連接網絡上的QQ服務器進行帳號和密碼的認證、好友列表的獲取、未在線聊天內容的下載等等。通過獲取網絡中的所有QQ服務器列表，然后通過路由器進行這些服務器IP的過濾處理，這樣QQ帳號密碼認證不了，當然也就實現了攔截QQ的目的。但是由于QQ服務器IP地址眾多、QQ登錄端口和QQ通訊協(xié)議也日漸復雜，因此，有效禁止QQ登錄、攔截局域網 QQ聊天就不能只是通過路由器過濾QQ服務器IP地址和關閉QQ登錄端口的方式來實現了。特別是QQ傳輸端口可以用80、443等關鍵端口登錄，從而使得這種限制QQ登錄的方式已經不再可行。國內一些設備管理軟件軟件如聚生設備管理軟件軟件是通過識別QQ傳輸協(xié)議，從網絡傳輸的應用層將QQ傳輸包的特征碼識別并打斷的方式來攔截QQ聊天軟件的，這種控制QQ聊天軟件的方式也更為有效，并且不受QQ的IP地址和QQ傳輸端口的影響。

禁止QQ代理登錄

而協(xié)議型封鎖方式由于直接分析網絡數據協(xié)議，所以無論如何設置代理都能直接識別封鎖，效果徹底，然而此種行為管理方式需要的技術較高，路由器中很少使用。而已知的，聚生設備管理軟件軟件就是采用了協(xié)議分析的上網行為管理手段，這是很難得的。它采用了全新的應用層協(xié)議分析，根據不同應用的協(xié)議特征，對特定上網行為進行分析確認。由于采用了協(xié)議分析，行為管理真正做到了準確無誤。同時為了有效禁止局域網代理軟件，限制內網電腦通過代理上網，尤其是啟用QQ代理登錄的方式來企圖繞過監(jiān)控軟件封殺QQ登錄。

三、上網行為管理的產品選擇

由于存在著用戶對上網行為管理功能的需求，很多網絡設備開始提供這樣的功能。不僅僅在路由器，在防火墻、安全網關、UTM、接入服務器等各種設備中都能見到上網行為管理功能的影子，甚至還有一些專門的上網行為管理設備賣的也很不錯。

雖然存在的就是合理的，但對于用戶來說，要根據自己的應用需求進行選擇，要根據自身網絡狀況、投資額度、現有設備的功能組合、網絡的優(yōu)化升級等作整體的規(guī)劃，最后考慮產品的優(yōu)劣，從而進行正確的選擇。

下面提供一些建議供企業(yè)朋友們參考。

對上網行為管理要求較高，管理嚴苛的較大型企業(yè)，應該選擇專用的上網行為管理設備。這種設備不提供其他復雜的上網功能，也沒有過多涉及防火防毒網絡安全內容，它的主要功能就是上網行為管理，術業(yè)有專攻，它在產品功能上比較豐富，服務支撐比較到位。

至于防火墻、UTM中提供的上網行為管理功能，也是很可取的方案，它適用于一些信息化程度較高的企業(yè)，準備或已經部署了相關設備的情況下，啟用附帶的上網行為管理功能可以節(jié)省部署專用設備的資金。

選擇寬帶路由器中的上網行為管理功能，適用于大多數的中小企業(yè)。接入路由器是企業(yè)網絡的大門，在大門處加一個門崗做上網行為管理，是簡單易行的辦法。但是，路由器主要的功能是高速數據轉發(fā)，由于CPU負載能力和成本的限制，路由器功能設計不可能主次顛倒，在上網行為管理上不可能做到很強，所以不要對他抱有太多的期望值，夠用好用就可以了。如果單純因為上網行為管理去選擇路由器，很可能會本末倒置。

這就兩難了。雖然上網行為管理在地位上應該是路由功能的附屬，但對于大多數中小企業(yè)用戶來說，這個功能確實又是需要的。同時企業(yè)網絡又要解決網絡的穩(wěn)定、可靠、安全的問題，又不能犧牲網絡接入的性能，尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在設備管理系統(tǒng)投資不可能太大的情況下，那又該如何選擇一臺優(yōu)質的路由器，同時滿足多種需求呢?

強烈的建議是：配備帶有上網行為管理的軟件。

當前的企業(yè)網絡普遍存在網絡速度慢、網絡掉線、卡滯等問題。很多企業(yè)都將其歸咎于BT下載、 QQ視頻等的頻繁使用，導致盲目上馬上網行為管理設備，實則不然。以上網絡應用僅是占用了大量的網絡帶寬，而企業(yè)路由器都有帶寬管理功能，如果是因為特定行為訪問導致的帶寬不足，啟用路由器帶寬管理后就該沒有問題了。但實際情況是，啟用了帶寬管理以上網絡問題還存在，購置了新的上網行為管理設備網絡問題還沒有解決!

這主要是因為企業(yè)網絡的免疫安全問題被忽視了!據統(tǒng)計，80%的網絡問題都是由內網引起的。由于以太網的先天缺陷以及路由設備的脆弱，黑客能夠充分利用協(xié)議漏洞對網絡系統(tǒng)進行破壞，局域網ARP攻擊、局域網SYN攻擊等就是基于這樣的原理。補上協(xié)議漏洞、提高管理手段，對終端進行強制性管理，從而對網絡進行整體的管控，使病毒的發(fā)作無法竄擾到網絡上來，這樣才能徹底解決網絡問題?！?/p>

網絡問題必須網絡解決，提高網絡免疫安全要有全面性和強制性。網絡免疫技術由聚生設備管理軟件首次提出并應用于路由器設備，欣全向公司基于這樣的技術思路，讓軟件不僅在寬帶接入端起到安全管理的作用，也能夠深入到整個內網的每一個終端進行控制和保護。同時，在內網中還有一臺監(jiān)控中心，對整個內網的運行進行統(tǒng)計、顯示、控制、告警、策略分發(fā)等工作，全網的狀態(tài)時時刻刻一目了然。以軟件組建企業(yè)內網，可以達到普通路由器難以企及的應用效果，在上網的穩(wěn)定、高速、安全、可管理能力上，遠遠超過了普通路由的組網方案。

有了網絡安全和穩(wěn)定的運行基礎，網絡行為管理才能顯示其更加細致的應用訪問控制優(yōu)勢，才能真正滿足中小企業(yè)對網絡應用的多種需求。沒有穩(wěn)定可靠，上網行為管理就無從談起，所謂皮之不存毛之焉在。

總結

是否部署上網行為管理要依據企業(yè)的具體情況。如果企業(yè)網絡穩(wěn)定，并且有網絡訪問行為控制的要求，那么選擇合適的上網行為管理設備是必要的。

上網行為管理功能需要采用靜態(tài)過濾和協(xié)議型封鎖2種技術方式，單純依靠靜態(tài)過濾處理上網行為管理是技術敷衍，功能是不可靠的。

但上網行為管理僅限于網絡訪問權限的控制，是行政管理的輔助手段，并不能解決網絡的安全和穩(wěn)定問題。如果企業(yè)存在網絡掉線、卡滯、速度慢、不安全、難管理等問題，那就需要帶免疫墻功能的路由器，著重解決內網問題。

中小企業(yè)既要上網行為管理，又要安全穩(wěn)定可靠的網絡，因此既可以部署專業(yè)的局域網限速軟件、局域網設備管理軟件軟件，又可以部署帶有上網行為管理功能的路由器，通過路由器控制局域網上網行為也可以實現有效的設備管理系統(tǒng)。

【推薦閱讀】

◆設備管理系統(tǒng)運維管理專區(qū)

◆設備管理軟件管理平臺技術架構

◆設備管理軟件管理平臺功能模塊

◆設備管理軟件管理平臺改進目標

◆設備管理軟件軟件專區(qū)