解讀上網(wǎng)行為管理軟件存在的價(jià)值和理解誤區(qū)

　　最近有朋友告訴我說(shuō)他們公司網(wǎng)絡(luò)有些問(wèn)題，上網(wǎng)卡、總掉線，想買個(gè)上網(wǎng)行為管理系統(tǒng)解決內(nèi)網(wǎng)安全問(wèn)題。這樣的人在我身邊還很多，但是我想說(shuō)的是這些有些一廂情愿了!下面就為大家解讀上網(wǎng)行為管理l軟件存在的價(jià)值和理解誤區(qū)

　　部署封BT、P2P下載、限制一些訪問(wèn)等的上網(wǎng)行為管理工具，是從應(yīng)用上而不是本質(zhì)上解決問(wèn)題的。企圖依靠對(duì)上網(wǎng)行為的管理凈化網(wǎng)絡(luò)環(huán)境、應(yīng)付網(wǎng)絡(luò)病毒攻擊，這是一廂情愿的想法。

　　上網(wǎng)行為管理沒(méi)有提供針對(duì)網(wǎng)絡(luò)設(shè)施本身的任何安全措施，它無(wú)法從網(wǎng)絡(luò)底層解決網(wǎng)絡(luò)問(wèn)題，不能加固網(wǎng)絡(luò)以提高安全性、可靠性。就像道路交通管理一樣，為了防止事故造成擁堵，上網(wǎng)行為管理采取的是限制車輛上路，而不是通過(guò)紅綠燈調(diào)控、交警現(xiàn)場(chǎng)指揮、架設(shè)立交橋疏導(dǎo)的方式來(lái)解決問(wèn)題。

　　一、上網(wǎng)行為管理的應(yīng)用價(jià)值

　　我們知道上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。。這些問(wèn)題其實(shí)是一個(gè)職業(yè)素質(zhì)的基本問(wèn)題，但企業(yè)管理者由于各種原因，對(duì)此經(jīng)常無(wú)可奈何。上網(wǎng)行為管理正是迎合了這個(gè)需要，以電子化手段進(jìn)行鐵面無(wú)私的管理，行政措施得以有效的貫徹。

　　應(yīng)該明確的是，上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備，而是行政管理的手段。上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)公司隱私的工具，是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無(wú)疑對(duì)企業(yè)網(wǎng)絡(luò)訪問(wèn)的制度化管理起到了良好的輔助作用，從這一點(diǎn)上來(lái)說(shuō)上網(wǎng)行為管理的應(yīng)用對(duì)企業(yè)是有益的。在提倡三分技術(shù)、七分管理的情況下，正是由于行政管理上的不到位，對(duì)員工的上網(wǎng)行為管理沒(méi)有有效的控制。那么就促進(jìn)了上網(wǎng)行為管理設(shè)備的發(fā)展，這類設(shè)備生產(chǎn)廠家、公司在大力倡導(dǎo)企業(yè)上網(wǎng)行為管理的背后下是高利潤(rùn)的驅(qū)使。我們?cè)趶募夹g(shù)上分析下，這類設(shè)備真的物有所值么?

　　二、上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)

　　上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)大概分為幾個(gè)部分：IP分組管理、特定應(yīng)用封鎖、行為審計(jì)、行為記錄等。

　　IP分組管理是實(shí)現(xiàn)上網(wǎng)行為管理的基礎(chǔ)，對(duì)于每個(gè)特定的分組分配不同的上網(wǎng)權(quán)限，對(duì)各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進(jìn)行要求，這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權(quán)限策略在路由器中設(shè)計(jì)為多重搭配組合的模式。

　　特定應(yīng)用封鎖技術(shù)包括靜態(tài)過(guò)濾、協(xié)議型封鎖二種模式。

　　靜態(tài)過(guò)濾是通過(guò)封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口，達(dá)到應(yīng)用無(wú)法連接到服務(wù)器的目的，實(shí)現(xiàn)行為封鎖的一種方式。這種功能其實(shí)在路由器中早就存在，它是“外網(wǎng)IP過(guò)濾”、“端口過(guò)濾”、“URL關(guān)鍵字過(guò)濾”等幾個(gè)功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項(xiàng)目提出來(lái)，預(yù)制進(jìn)產(chǎn)品中，通過(guò)一個(gè)在界面上的名字表達(dá)這個(gè)功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項(xiàng)目的相關(guān)信息，再一條一條地在路由器上配置保存，這大大提高了產(chǎn)品的易用性。

　　而協(xié)議型封鎖是通過(guò)對(duì)要封鎖的協(xié)議進(jìn)行分析，識(shí)別上網(wǎng)行為身份，進(jìn)行對(duì)該協(xié)議的攔截，實(shí)現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的，用戶無(wú)法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用，它們雖然有相對(duì)固定的服務(wù)器IP群，但它們的連接方式是靠協(xié)議握手，動(dòng)態(tài)地變換IP和端口，甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進(jìn)行處理。

　　當(dāng)前的網(wǎng)絡(luò)設(shè)備市場(chǎng)，提供上網(wǎng)行為管理功能的路由器很多，表面上是大家都有上網(wǎng)行為管理功能，但實(shí)際上由于技術(shù)實(shí)現(xiàn)方式的不同，導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實(shí)用。

　　如果使用簡(jiǎn)單的靜態(tài)過(guò)濾方式，而不是協(xié)議型封鎖來(lái)實(shí)現(xiàn)上網(wǎng)行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網(wǎng)行為管理路由器就是這么做的。

　　拿大家熟悉的QQ來(lái)說(shuō)，我們登陸QQ時(shí)，都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進(jìn)行帳號(hào)和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過(guò)獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表，然后通過(guò)路由器進(jìn)行這些服務(wù)器IP的過(guò)濾處理，這樣QQ帳號(hào)密碼認(rèn)證不了，當(dāng)然也就實(shí)現(xiàn)了攔截QQ的目的。

　　這種封QQ的方式存在兩個(gè)問(wèn)題：1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時(shí)，就會(huì)出現(xiàn)行為管理失效，路由器不得不進(jìn)行軟件升級(jí)，效果不徹底，應(yīng)用麻煩。2、當(dāng)使用代理服務(wù)器進(jìn)行應(yīng)用訪問(wèn)的中轉(zhuǎn)時(shí)，由于認(rèn)證和訪問(wèn)信息通過(guò)第三方中轉(zhuǎn)，自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的“QQ代理服務(wù)器”IP，就是用來(lái)破解此種行為管理的，QQ聊天軟件也提供了繞過(guò)此種封鎖的代理服務(wù)器設(shè)置，區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過(guò)QQ代理登陸的方式進(jìn)行測(cè)試區(qū)分，所以靜態(tài)過(guò)濾的方式對(duì)行為管理是不徹底的，無(wú)效的。

　　而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議，所以無(wú)論如何設(shè)置代理都能直接識(shí)別封鎖，效果徹底，然而此種行為管理方式需要的技術(shù)較高，路由器中很少使用。

　　三、上網(wǎng)行為管理的誤區(qū)

　　誤區(qū)一：上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線

　　網(wǎng)絡(luò)掉線是整個(gè)網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng)，是因?yàn)橐蕴W(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無(wú)序上網(wǎng)的問(wèn)題，客觀上對(duì)網(wǎng)絡(luò)凈化起到一些作用，但絕不是根本的手段。網(wǎng)絡(luò)問(wèn)題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決，解決網(wǎng)絡(luò)掉線、卡滯等問(wèn)題，應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案，那才是從根源著手的有效辦法。

　　誤區(qū)二：上網(wǎng)行為管理能防病毒侵害

　　網(wǎng)絡(luò)病毒的傳播防不勝防，掛馬成為了龐大產(chǎn)業(yè)。所以，靠上網(wǎng)行為的約束，期望杜絕病毒的侵入，在目前中國(guó)的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網(wǎng)絡(luò)層面，要部署防毒墻、垃圾郵件過(guò)濾、防火墻、免疫墻、UTM等，在單機(jī)層面，要安裝殺毒軟件、定期升級(jí)操作系統(tǒng)補(bǔ)丁等措施。所以，盡管上網(wǎng)行為管理對(duì)防范病毒侵害很重要，但也只能是一個(gè)輔助措施。

　　誤區(qū)三：上網(wǎng)行為管理能控制網(wǎng)速

　　封QQ、封P2P、封視頻，通過(guò)限制大容量的下載保證帶寬的合理使用，這些都是權(quán)宜之計(jì)，不是一個(gè)完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問(wèn)題，因?yàn)榫W(wǎng)絡(luò)上的內(nèi)容太豐富了，搶占帶寬的流量無(wú)法一一識(shí)別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面，對(duì)帶寬的管理是通過(guò)QoS實(shí)現(xiàn)的，而不是通過(guò)限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有“人少時(shí)快、人多時(shí)均”的最優(yōu)寬算法等等。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū) 

◆企業(yè)網(wǎng)管員如何監(jiān)控公司網(wǎng)絡(luò)健康運(yùn)行

◆網(wǎng)管員技巧：網(wǎng)絡(luò)監(jiān)控軟件的部署經(jīng)驗(yàn)

◆網(wǎng)管軟件的成長(zhǎng)之路還有多長(zhǎng)

◆IT運(yùn)維管理專區(qū)