【深信服】浅析上网行为管理存在价值和理解误区
上网行为管理没有提供针对网络设施本身的任何安全措施,它无法从网络底层解决网络问题,不能加固网络以提高安全性、可靠性。就像道路交通管理一样,为了防止事故造成拥堵,上网行为管理采取的是限制车辆上路,而不是通过红绿灯调控、交警现场指挥、架设立交桥疏导的方式来解决问题。下面深圳创智天成科技有限公司将带您浅析上网行为管理存在价值和管理误区。
一、上网行为管理的应用价值
- 01
上网行为管理产品不是组网安全设备,而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具,是行政管理的电子化辅助手段。
- 02
具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用,从这一点上来说上网行为管理的应用对企业是有益的。在提倡三分技术、七分管理的情况下,正是由于行政管理上的不到位,对员工的上网行为管理没有有效的控制。那么就促进了上网行为管理设备的发展,这类设备生产厂家、公司在大力倡导企业上网行为管理的背后下是高利润的驱使。
二、上网行为管理的技术实现
- 01
上网行为管理的技术实现大概分为几个部分:IP分组管理、特定应用封锁、行为审计、行为记录等。
- 02
IP分组管理是实现上网行为管理的基础,对于每个特定的分组分配不同的上网权限,对各种不同部门、不同业务、不同人员的上网行为管理进行要求,这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以,分组管理和权限策略在路由器中设计为多重搭配组合的模式。
- 03
特定应用封锁技术包括静态过滤、协议型封锁二种模式。
- 04
静态过滤是通过封锁特定应用的网络服务器IP和端口,达到应用无法连接到服务器的目的,实现行为封锁的一种方式。这种功能其实在路由器中早就存在,它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来,预制进产品中,通过一个在界面上的名字表达这个功能。这样做法就是方便了用户,不必让用户自己去查找要封锁项目的相关信息,再一条一条地在路由器上配置保存,这大大提高了产品的易用性。
- 05
而协议型封锁是通过对要封锁的协议进行分析,识别上网行为身份,进行对该协议的拦截,实现行为封锁的一种方式。这是编制在产品的执行程序中的,用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用,它们虽然有相对固定的服务器IP群,但它们的连接方式是靠协议握手,动态地变换IP和端口,甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。
- 06
当前的网络设备市场,提供上网行为管理功能的路由器很多,表面上是大家都有上网行为管理功能,但实际上由于技术实现方式的不同,导致了有的上网行为管理功能只是空架子、有漏洞、不实用。
- 07
如果使用简单的静态过滤方式,而不是协议型封锁来实现上网行为管理,功能虽然提供了,而效果是不能令人满意的。遗憾的是,很多上网行为管理路由器就是这么做的。
三、上网行为管理的误区
- 01
误区一:上网行为管理能让网络不掉线 网络掉线是整个网络架构不健全的反应,是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题,客观上对网络净化起到一些作用,但绝不是根本的手段。网络问题要从网络结构本身加以解决,解决网络掉线、卡滞等问题,应该使用类似欣向免疫墙之类的专业方案,那才是从根源着手的有效办法。
- 02
误区二:上网行为管理能防病毒侵害 网络病毒的传播防不胜防,挂马成为了庞大产业。所以,靠上网行为的约束,期望杜绝病毒的侵入,在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段,在网络层面,要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等,在单机层面,要安装杀毒软件、定期升级操作系统补丁等措施。所以,尽管上网行为管理对防范病毒侵害很重要,但也只能是一个辅助措施。
- 03
误区三:上网行为管理能控制网速 封QQ、封P2P、封视频,通过限制大容量的下载保证带宽的合理使用,这些都是权宜之计,不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题,因为网络上的内容太丰富了,抢占带宽的流量无法一一识别并限制。在网络管理的技术方面,对带宽的管理是通过QoS实现的,而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供,有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的最优宽算法等等。