上網行為管理路由器
有高精準DPI識別引擎的設備
上網行為管理路由器採用業界領先的電信級網路處理器並搭配高速DDR3內存,內置高精準DPI識別引擎,可快速高效識別HTTP協議、網路遊戲、網路電視、網路音樂、網路電話、P2P下載、聊天軟體、股票交易、移動應用等協議。
幫助網際網路用戶控制和管理對網際網路的使用,包括對網頁訪問過濾、網路應用控制、帶寬流量管理、信息收發審計、用戶行為分析。
路由器是網路接入的介面,在進行共享上網的同時,如果能進行一定的行為管理,那麼對網路使用者來說將會大大方便網路應用訪問的控制。而上網行為管理路由器因此孕育而生,欣向上網行為路由器就屬此種。
上網行為管理路由器
上網行為管理是一種約束和規範企業員工遵守工作紀律,提高工作效率的工具,是行政管理的電子化輔助手段。具備上網行為管理功能的路由器無疑對企業網路訪問的制度化管理起到了良好的輔助作用,從這一點上來說上網行為管理是有益的,但絕不能將企業網路所有管理問題都寄希望於上網行為管理,畢竟企業網路應用多樣,網路安全和管理問題需要多種措施保障。
上網行為管理是不錯的網路管理手段,能滿足企業網路行為控制的需求!企業網路主要是服務企業業務經營,與企業辦公無關的網路應用自然會影響員工工作效率,除了通過公司制度對網路的使用範圍進行行政化規定,具備網路行為管理功能的網路設備自然能起到很好輔助效果,做到了不但有制度,而且還有措施。
為了滿足企業網路使用中的網路應用管理問題,可以很好的滿足企業網路行為管理的要求。通過在路由器里進行不同分組上網行為管理設置,可以實現有的電腦能使用QQ等應用(如老闆、管理層)、而有的電腦是不能進行QQ訪問的(如財務部門、研發技術部門),對提高企業網路信息化辦公效率起到了輔助效果。
主要針對非工作上網行為
一是獲取與工作無關的資訊活動,如瀏覽新聞、看小說、看圖片、收看收聽視頻和音頻等;
二是從網際網路下載與工作內容無關的數據,如音樂、電影、程序及其他資料等;
三是從事獲取個人收益的活動,如網上購物、炒股、兼職、發布廣告等;
四是進行虛擬世界的溝通活動,如上網聊天、BBS論壇、撰寫博客、收發私人郵件等。
權威市場研究機構IDC發布《中國IT安全市場2009年下半年度分析》,作為 2008–2009 年成長最快的安全硬體市場之一,安全內容管理硬體市場並未讓人失望。在該市場中,最受用戶歡迎的不是傳統的病毒防禦功能,而是 Web 過濾和Message安全。2009年下半年,安全內容管理硬體市場的市場規模為 US$ 22.0M,同比增長 127.7%。在安全內容管理硬體市場,有超過 17 家主流安全廠商可以提供該產品,排在第一位是深信服,市場佔比為 33.8%。
當前的網路設備市場,提供上網行為管理功能的路由器很多,而最早發布具有上網行為管理的路由器廠商則是成都飛魚星科技開發有限公司。雖然大多數上網行為管理路由器表面上是大家都有上網行為管理功能,但實際上由於技術實現方式的不同,導致了有的上網行為管理功能只是空架子、有漏洞、不實用。上網行為管理技術實現方式普遍存在兩種:1、通過封鎖特定應用的網路伺服器IP,達到應用無法連接到伺服器的目的,實現行為封鎖。2、通過協議分析識別上網行為身份,進行特定協議的攔截,實現行為封鎖。
第一種方式實現簡單,只需要收集特定上網行為的伺服器IP直接過濾即可,當前市面上的上網行為管理路由器多數採用此種方式。拿大家熟悉的QQ來說,我們登陸QQ時,都需要連接網路上的QQ伺服器進行帳號和密碼的認證、好友列表的獲取、未在線聊天內容的下載等等。通過獲取網路中的所有QQ伺服器列表,然後通過路由器進行這些伺服器IP的過濾處理,這樣QQ帳號密碼認證不了,當然也就實現了攔截QQ的目的。
以上上網行為管理方式存在兩個問題:1、當網路中特定應用添加或變更伺服器IP時,就會出現行為管理失效,路由器不得不進行軟體升級,效果不徹底,應用麻煩。2、當使用代理伺服器進行應用訪問的中轉時,由於認證和訪問信息通過第三方中轉,自然失去了上網行為管理的效果。網路上公布有大量的“QQ代理伺服器”IP,就是用來破解此種行為管理的,QQ聊天軟體也提供了繞過此種封鎖的代理伺服器設置(如圖),區分上網行為管理設備是否徹底就可以通過QQ代理登陸的方式進行測試區分,所以第一種的伺服器IP封鎖的行為管理是不徹底的,無效的。
QQ代理伺服器設置
而第二種上網行為管理方式由於直接分析網路數據協議,所以無論如何設置代理都能直接識別封鎖,效果徹底,然而此種行為管理方式需要的技術較高,上網行為管理設備很少使用。欣向上網行為管理路由器就是採用了協議分析的上網行為管理手段,它採用了全新的應用層協議分析,根據不同應用的協議特徵,對特定上網行為進行分析確認。由於採用了協議分析,行為管理真正做到了準確無誤。
網路中的訪問應用很多,在購買上網行為管理設備時,區分其上網行為管理的實現方式是一定的,誰也不願真金白銀買回來的上網行為管理設備被員工一個簡單的代理伺服器設置就繞開了。
但是,路由器具有多少上網行為管理功能才合適呢?越多越好?
採用協議分析的上網行為管理功能,需要路由器具備較高的硬體處理能力,很多低端路由器採用封鎖IP的技術實現方式也是受限於其低劣的硬體平台的。一般來講,採用協議分析的行為管理功能,路由器至少要使用Intel IXP 266主頻的網路專用處理器。否則單看其硬體就知其上網行為控制不徹底了。正因為如此,大量使用上網行為管理功能,將降低路由器的轉發速率,導致網速慢等問題。
所以,上網行為只需滿足主流網路應用封鎖控制即可,這樣路由器運行在負荷之內,網路使用和管理效果也就最好。
上網行為管理僅限於網路訪問許可權的控制,並不能解決網路的安全和穩定問題。
當前的企業網路普遍存在網路速度慢、網路掉線、卡滯等問題。很多企業都將其歸咎於BT下載、QQ視頻等的頻繁使用,導致盲目上馬上網行為管理設備。實際則不然,以上網路應用僅是佔用了大量的網路帶寬,而企業路由器都有帶寬管理功能,如果是因為特定行為訪問導致的帶寬不足,啟用路由器帶寬管理后就該沒有問題了。但實際情況是,啟用了帶寬管理以上網路問題還存在,購置了新的上網行為管理設備網路問題還沒有解決!
這主要是因為企業網路的免疫安全問題被忽視了!據統計,80%的網路問題都是由內網引起的。由於乙太網的先天缺陷以及路由設備的脆弱,黑客能夠充分利用協議漏洞對網路系統進行破壞,ARP、SYN攻擊等就是基於這樣的原理。補上協議漏洞、提高管理手段,對終端進行強制性管理,從而對網路進行整體的管控,使病毒的發作無法竄擾到網路上來,這樣才能徹底解決網路問題。
網路問題必須網路解決,提高網路免疫安全要有全面性和強制性。網路免疫技術由欣向首次提出並應用於路由器設備,基於這樣的技術思路,讓路由器不僅在寬頻接入端起到安全管理的作用,也能夠深入到整個內網的每一個終端進行控制和保護。同時,在內網中還有一台監控中心,對整個內網的運行進行統計、顯示、控制、告警、策略分發等工作,全網的狀態時時刻刻一目了然。以免疫牆路由器組建企業內網,可以達到普通路由器難以企及的應用效果,在上網的穩定、高速、安全、可管理能力上,遠遠超過了普通路由的組網方案。
有了網路安全和穩定的運行基礎,網路行為管理才能顯示其更加細緻的應用訪問控制優勢,沒有網路穩定就對上網行為管理誇誇其談,只能將上網行為管理至於空中樓閣,華而不實。
不管採用哪一種方式實現上網行為的管理,購買者都需要注意產品的升級問題,封鎖應用伺服器的IP:實際應用中的應用伺服器IP會因為各種原因發生比較頻繁的變化;協議分析后的管理:各種應用協議都在不斷的更新升級,任何細微的變動都可能導致產品不能正常、準確的識別協議,從而導致產品成為擺設,所以購買者需要了解產品的生產廠家的後續研發能力,才能做到物有所值。
是否部署上網行為管理要依據企業的具體情況,如果企業網路穩定,並且有網路訪問行為控制的要求,那麼使用上網行為管理設備是合適的。如果企業網路掉線、卡滯、速度慢,是不能通過上網行為管理解決的,部署具有智能的帶寬管理的免疫安全路由器才是首要任務。
當前的企業網路對上網行為管理寄予了太多的厚望,希望上網行為管理功能不但能管理網路訪問許可權還能保證網路穩定。更有甚者,並沒有具體的企業網路行為管理控制規劃,企業也沒有上網行為管理的實施條件,僅為了解決網速慢、卡滯等問題而使用上網行為管理就南轅北轍,陰錯陽差,達不到預期目的。