时间:2020-09-03 来源:深圳维创信息技术 1
其实从企业管理者的角度来说,上网行为管理的优点是不言自喻的,对企业管理者来说,对员工的上网行为进行管理的较大目的在于保证业务系统的效能,即保证网络畅通的策略是较符合企业需求的。
对企业网络管理员来说,也不用再为流量管理和非法协议的封堵而烦恼,只需要分析和设置关键应用,就可做到对全局的有效管理。
而上网行为管理系统分为软件方案和硬件方案,它们各有什么特点呢?该怎么部署呢? 先来“软”的:上网行为管理软件方案剖析 企业对员工的上网行为管理,主要存在三个方面的需求:一是控制员工上网时间长短和允许上网的时间段;二是限制员工访问网站的范围及使用的软件;三是记录员工的访问日志和通信数据,以便需要时进行查询。
对于较早种需求来说,硬件设备就很容易实现,而对于后两种应用,才是软件方案与硬件方案的竞争点。
从某种角度上来说,硬件设备容易出现故障,如接口的损坏、部件的损坏、使用成本比较高。
而软件方案不具有这些缺陷,它比硬件方案具有更良好的扩展性,企业用户实施起来更方便,能进行更细致有效的管理! 目前,国内上网行为管理软件比较知名的有、网络掌门人等,采用这些软件都能够对企业内网的电脑的上网情况进行管理,像监控QQ聊天和邮件信息、限制电脑的P2P下载、限制股票软件和网络游戏的运行、限制在线视频及网页浏览等。
而这些上网行为管理软件是怎样来达到管理目的呢?上网行为管理软件技术 一款上网行为管理软件的性能如何,主要体现在这三种基本技术上:底层抓包技术、数据包分析技术、表示层技术。
底层抓包是指捕获网络上传送的数据包,而底层抓包技术的评判标准是抓包成功率,目前市面上的上网行为管理软件大都使用Winpcap(Windows Packet Capture)底层抓包。
Winpcap是一个免费公开的软件系统,是用于网络封包抓取的一套工具,可适用于32位的操作平台上解析网络封包,它包含了核心的封包过滤,一个底层动态链接库和一个高层系统函数库,以及可用来直接存取封包的应用程序界面。
不过据行内技术人员透露,此款抓包软件在千兆网络流量下抓包成功率低。
目前,也有一些上网行为管理软件公司使用自己研发的底层抓包软件,如LaneCat网猫软件,这款软件底层在千兆流量的冲击下抓包成功率仍能达到99.99%。
如何识别员工在做什么,这就是上网行为管理软件在抓取数据包后要进行的任务了,用专业的术语来说就是进行数据包分析。
像邮局在检测邮寄物品是否非法时,在获得邮寄包裹后得利用先进技术在不打开包裹的情况下进行检查,而检测技术的性能直接决定着检查成功率的高低。
另外,数据包分析技术中的分析效率也直接决定着一款上网行为管理软件的工作效率高低。
至于表示层技术,主要是指软件的界面友好程度,像操作难易度、是否具有多国语言界面等,虽然这对于上网行为管理不起关键性的作用,但它的优劣直接影响着用户的选择使用,因此一款优秀的上网行为管理软件在表示层技术上也不会疏忽大意。
上网行为管理软件良好的操作界面也是不容忽视的上网行为管理软件的监控方法 采用上网行为管理软件,常有哪些方案来进行监控呢?这是企业管理者在选择上网行为管理软件前就得了解清楚的,现在的上网行为管理软件主要有三种监控方案。
1.软网关监控 软网关监控方案就是把监控主机当作网关,网内出去的数据包都要经过这台电脑,由这台电脑转发至路由器,再由路由器转发出去。
对于采用这种方式来进行监控的软件较大的优势就是能够对数据进行绝对的监控,缺点就是在中型或大型网络中,由于监控主机本身性能所限,对网速有较大影响,另外,如果监控主机一旦出现宕机等情况,会造成整个网络中断。
这种监控方法适合对上网行为管理要求严格,且被监控电脑数量不太多(电脑数量适合在200台以下)的企业使用。
2.ARP方式监控 ARP方式监控就是利用监控主机一直发包,将监控主机的MAC地址伪装成路由器的MAC地址,把其它电脑的上网数据“欺骗”到这台监控主机上来,从而获得其他电脑的上网数据进行分析及控制,对于允许的上网数据,则通过监控主机转发至路由器上正常传送。
ARP方式监控的优点就是可以在企业局域网中任意一台电脑上部署,对于使用者来说安装非常方便。
但它的缺点也是显而易见的,如果被监控电脑安装ARP防火墙后,监控就可能会失去作用,另外上网数据由监控主机转发,也会影响整个网络的速度。
像就是采用该方式来进行监控的,这种方案适合监控电脑数量不多(数量在200台以下),且监控者便于隐蔽(像一些公司老板希望在办公室内对员工上网行为进行管理)的小型公司使用;同时,公司可能也意识到了单纯ARP监控方式的不足,所以在其发布的2008版里面同样集成了“网关模式”、“网桥模式”等等监控模式,这种模式由于放到了网关出口,所以就可以突破arp防火墙了,使得的网络监控性能较之于以前版本有明显的提升。
3.旁路侦听型监控 旁路侦听型监控就是通过共享式HUB或镜像交换机自身的功能,把出口数据复制一份到监控主机连接的那个端口,以达到监控的目的。
在电脑数量较少的情况下,共享式HUB能完全承载小型网络,在网络规模较大时,通过镜像交换机的端口镜像功能也完全能够承载。
因此旁听侦听型监控的优点是对网络速度影响较小,同时管理的效果也很出色。
采用这种监控方法的代表有LaneCat网猫,但是这种模式由于采用旁路的方式,所以在封堵P2P软件、限制主机带宽、禁止qq等聊天软件方面就有明显的不足了,性能较差。
软件方案实例剖析 在了解了上网行为管理软件的相关技术和监控方式后,对于企业或机关部门来说,如何根据自己的实际情况来进行部署呢?下面就以两个较常见的案例进行分析,希望能给打算采购部署上网行为管理软件方案的用户一定指导。
●北京世纪奥通科技有限公司 企业需求:该公司是一家中外合资企业,因工作需要,员工要经常访问国外网站,用E-mail与国外客户进行交流。
由于公司内部有部分员工上网下载与工作无关的影像文件及相关软件,造成其他员工访问国外网站速度过慢,严重影响了公司的正常办公效率。
公司管理者希望选择简单便捷、机动灵活、成本低廉的解决方案。
硬件方案的优势●整合性较强 上网行为管理硬件方案除了具有独立的产品方案以外,还能够和其他网络安全设备整合在一起,如可将上网行为管理功能整合在防火墙或其他综合安全网关类产品中,以满足过程跟踪、过程记录、行为控制、报告报表、审计模块、流量控制、智能限速策略等等要求。
对于企业用户而言,这种整合可以降低管理网络安全设备的难度,降低后期维护成本,而在功能上又没有损失。
●处理性能强 上网行为管理对数据的处理方式非常复杂,如对一些应用协议的扫描,系统一般要将所有的数据报文拦截,然后通过算法重新组装成具体的内容,再根据具体的策略以及关键字设定等扫描内容,如不符合设定,系统则将数据报文过滤。
因此系统性能的高低,直接影响到处理效能以及网络的吞吐转发效率,一旦上网行为管理产品性能不足,不仅会影响网速,甚至会出现宕机、业务中断的危险。
因此,相对于上网行为管理软件方案,硬件方案在处理性能上要强很多,硬件方案在出现故障时,也可以快速对产品进行替换。
●系统适应性高 目前企业的内部网络都比较复杂,再加上客户的各种复杂需求,上网行为管理系统的适应性强就很重要。
上网行为管理硬件方案支持路由、网桥和旁路等多种部署模式,具有双机备份、双线路及HSRP等冗余网络部署方式,适应任何复杂的网络结构,可以实现集群,以达到高性能的目的,特别是支持统一身份认证,能和AD域、LDAP、Radius、数据库认证等多种外部认证方式结合,且系统自身也可作为其它如ERP、OA等系统的身份认证设备。
硬件方案的部署方式1.网关模式 网关模式部署是将上网行为管理产品置于出口网关,所有数据流直接经由设备端口通过,经策略判断和监控分析后,方可根据用户权限予以放行或限制(图4)。
对外,可结合多元化模块,提供VPN接入和防火墙策略,对内实现上网行为管理。
2.网桥模式 网桥模式也称透明模式,在网桥模式的应用中,上网行为管理产品起到的如同集线器的作用,设备置于网关出口之后,数据流判断方式如同网关模式,安装中基本不会影响原有的网络结构,设置简单、透明.3.旁路模式 在旁路模式中,通过对网络出口的交换机进行端口映射,将数据流备份,引入旁路中的上网行为管理设备,通过数据监听和分析来记录数据流中产生的各项数据,并根据各项数据报表提供全面的审计服务功能(图6)。
对外,可结合多元化模块,提供VPN接入和防火墙策略,对内实现上网行为管理。
不过在此种配置下,防火墙功能不起作用,上网行为管理部分控制功能也不起作用。
硬件方案实例剖析●华北电网 企业需求:华北电网承担着首都安全供电和整个华北地区电力供应与服务的重任,随着企业信息化建设的推进,华北电网对业务可持续性的要求不断提高。
员工上网行为可能引发系统问题,P2P下载、游戏、在线炒股、病毒、木马、黑客等应用,不仅导致网络带宽有效利用率不高,而且还存在一定的安全隐患。
面对不断增长的业务需求,如何规范不同网络应用的优先级,实现网络流量、带宽的总体规划及精准控制,保障核心关键业务平稳运行,是华北电网信息化主管面临的新问题。
建立统一的网络控制管理平台,为业务应用提供丰富、高速的带宽,高效管理员工们的上网行为,实现网络资源利用的较优化,已成为华北电网发展中的大问题。
对此,网康科技的开发人员与华北电网点相关人员共同商讨了一套高效、高安全、高扩展的互联网控制管理方案,构建了精细的互联网管控平台,降低互联网接入风险,以保障电力接入服务安全可靠。
方案分析:通过对华北电网网络的前期审计评估,了解实际应用的分布情况,网康科技的工程师采用NS15000作为上网行为管理设备,针对华北电网的需求做了针对性的管控策略:加强用户入网认证,精细分配带宽流量,有效过滤不良网站,灵活控制网络应用,实现互联网使用状况全面管控、审计,从而规范内部上网行为,降低互联网接入风险,提升网络带宽的使用价值,网络监控架构如图7。
改造后的网络管理系统具有以下几个方面的突出特点: 通过自定义带宽通道,管理系统对HTTP及关键业务系统作了正常使用的评估及相应的带宽保障;同时通过强大的URL过滤数据库,有效过滤了与工作无关的网址,保障华北电网关键业务在任何状况下都不受影响,能够顺利进行,带宽资源得到合理分配。
华北电网新建立的网络管理系统对员工在上班时间使用P2P类软件进行了流量限制,同时禁止看网络电视,降低了这些应用对企业互联网带宽的占用。
实施以来,网络总流量下降50%,华北电网点网络管理工作也变得更加简单和智能,网管员能够通过报表统计直观地完成性能监控、流量管理。
改造后的网络管理系统启用了ICG防护功能,针对员工机器中木马或病毒后产生的异常流量进行自动屏蔽,异常IP被实时监控,随时报警功能让网络安全事故得以及时解除。
同时,管理系统给管理员定位网络故障提供快速有效的依据和手段,保证了华北电网业务系统的正常运行。
●河北某高校 企业需求:据某项调查表明,大学生上网主要用于聊天者占34%,主要用于玩游戏者占28%,主要用于查资料者占30%,其他占8%。
如此看来,62%的大学生在网上从事与学习、工作无关的活动。
聊天、游戏等这样的网络娱乐不是不能提倡,但关键在于大学生能否自觉约束自己,能否把网络娱乐当成一种适度的休闲方式,而不是沉溺其中。
因此,掌握学生的上网情况,引导他们合理使用网络资源,是当前教育信息化进程中必须解决的问题。
河北某高校为了限制学生的上网行为,决定利用监控、过滤等技术手段,创建绿色校园网络环境。
方案分析:该高校经过多方对比,选择了冰峰网络的上网行为管理硬件解决方案――网极星。
通过一段时间的使用,该高校的网络环境得到了净化,杜绝了对不良网站的访问,电脑感染病毒和受到攻击的机率大大降低,P2P下载得到了有效控制,互联网的带宽得到了充分的利用。
具体网络监控架构. 1.合理分配带宽流量,BT、迅雷等P2P下载软件得到有效控制,网络总流量下降60%; 2.保障关键业务,远程教育、视频传输等关键业务不再受到影响; 3.高风险和不良信息网站被禁止访问,大大降低了病毒、蠕虫的感染几率; 4.异常流量、异常IP被监控,随时报警功能让网络安全事故得以及时解除; 网极星提供了详细的互联网活动监控、统计报表,以便用户掌握校园内用户对互联网的使用状况,及时对访问策略做出正确的调整。