有效的行业标准体系的建立是一个行业成熟的标志。在官方或第三方标准没有出台之前,人们往往会对一个事物有约定俗成的一致的看法,一旦这个看法形成广为人知的标准,那么问题就简单化了。正是因为没有标准的定义,我们才能称有巨大可挖掘潜力的市场为蓝海,上网行为管理产品虽然已经过了炙手可热的飞速发展时期,但是并不意味着上网行为管理产品市场的蓝海阶段已经离我们远去,事实正好相反。我们看到,用户已经从观望的高台上走下来,开始理性地决策如何购买一款上网行为管理设备规范自己的网络管理。那么何谓专业的上网行为管理产品呢?百卓网络将带您一起拨开迷雾,给您一个专业的解答。
专业级上网行为管理的常规功能
所谓上网行为管理实际上是网络行为管理的一部分,狭义定义为访问互联网过程中对网络行为的管理,因此,上网行为管理设备一般位于网络的出口端,对所有互联网访问产生的各种应用流进行识别、封堵、管控、统计和内容审计。针对这个特点,可以确定真正的上网行为管理设备须具备如下的标准要素:识别(用户、终端、应用)系统,应用分析管理系统,流量管理系统,内容审计系统和日志报表系统。
基于目前的网络应用,需要具有如下必备功能才能称其为上网行为管理设备:
1.应用授权管理功能,包括:
网站访问
言论发布
文件传输
邮件收发
IM即时通讯
P2P应用
2. 带宽管理功能,包括:
多线路负载管理
用户/组/全局流控
应用流控
文件传输流控
3. 行为记录和内容审计功能,包括:
网站访问
外发言论
SSL加密应用
邮件收发
文件传输
IM聊天内容
免审计KEY
4. 安全防护功能,包括:
网络准入控制
危险流量封堵
过滤脚本和插件
5. 日志报表分析系统
流量统计、对比、趋势报告
网络访问应用数据挖掘和分析
内容审计查询和检索
各种准入、预警、过滤日志
必备的几大系统模块
上面也已提到,针对上网行为管理设备来说,各种应用的准确识别是进行应用封堵、管控及统计和审计的基础。所谓网络应用识别技术,就是深度数据包识别技术——DPI(Deep Packet Inspection)。这也是区别于传统宽带路由器的关键点所在,后者仅以识别源\目的地址、源\目的端口及协议类型等简单四层以下的识别技术为基础。下面,我们简要说明一下上网行为管理设备所具备的几大系统模块(如下图显示):
上网行为管理设备必备的几大系统模块
因此,所谓的上网行为管理不单单只是识别几种聊天软件或是封堵P2P应用那些简单行为阻断,需要具有如下特点:
基于对应用数据包深度检测和流量行为的DPI\DFI识别技术,而非基于IP或端口的简单识别;
应用识别种类的数量和精准率是行为管理的基础;
行为管理是对应用的准确识别和智能管理,而非简单粗暴的一切过滤;
对所有已识别到应用都能进行控制和过滤,并能够做到对行为内容的审计和过滤;
与以往出口性设备的基于IP地址的粗放型带宽管理和控制不同,是建立在应用识别分类的基础上,更精细到单独应用流的带宽管理;
内容过滤和审计是网络安全的重要指标;
详实的网络流量分析报告及趋势分析报告以及用户网络行为报告是网络管理重要依据
专业级与SOHO级设备的功能对比
|
类别 |
专业级SMB上网行为管理产品 |
SOHO级上网行为管理产品 | |
|
市场定位 |
专业级上网行为管理设备,主要面向中小企业市场的网络管理、应用监控级安全审计要求的应用需求 |
初级上网行为管理设备,固化式的少量应用识别和过滤功能,提供于要求度不高的中小企业的应用需求 | |
|
存储介质 |
内置SATA硬盘,一般在250G以上,可以存储长达半年以上的上网监控数据 |
一般无硬盘,无法查询和保存上网监控数据 | |
|
功能特点 |
用户认证 |
支持WEB认证及WEB在线调查功能,满足企业内部专业化需求并提供认证信息 的日志 |
一般无此功能 |
|
应用识别数量 |
支持几百种互联网常见应用,并且支持在线更新 |
支持数量有限,基本维持在几十种应用 | |
|
内容过滤 |
支持种类多,包括网页、网络发帖、搜索、收发邮件标题、邮件附件名 和文件传输名等等关键字的过滤;以及文件传输的类型和文件大小的过滤 |
识别种类少,仅限于特定应用下的关键字过滤 | |
|
内容查询和存储 |
设备自带硬盘,可长期存储监控的信息,并提供内置数据库查询和检索功能 |
无硬盘,监控信息需借助外联PC实现,无数据库查询和检索功能 | |
|
控制策略 |
精细化控制,基于用户、用户组、应用、时间多种模式灵活组合。 |
只能支持对所有人、不分上班下班时间,封堵或者开放 | |
|
高级功能 |
支持多个路由网段、专业VPN功能(IPSEC、L2TP、SSL)、URL重定向、管理者免审计、负载均衡支持链路加权带宽、流量分析及用户排名、应用统计及报表 |
一般无免审计功能。VPN多为PPTP的 VPN、多WAN但不能区分不同链路带宽、无统计报表及流量分析 | |
对于专业的上网行为管理设备来说,必须具备很多精细化应用需求和功能实现方式。具体功能对比如下图:
|
类别 |
功能选项 |
产品 | |
|
专业级SMB上网行为管理产品 |
SOHO级上网行为管理产品 | ||
|
用户识别 |
以IP识别用户 |
支持通过IP地址识别用户身份; |
支持 |
|
以MAC识别用户 |
支持包括二层和三层网络环境下,都支持通过MAC地址识别用户身份; |
支持 | |
|
IP/MAC绑定识别用户 |
支持包括二层和三层网络环境下,都支持通过IP和MAC地址绑定识别用户身份; |
支持 | |
|
WEB认证 |
支持以HTTP POST方式实现web认证 |
不支持 | |
|
帐号有效期控制 |
指定帐号在指定日期后自动失效; |
不支持 | |
|
|
|
|
|
|
应用识别 |
静态URL库 |
网关内置海量预分类URL库,专业团队维护,支持自动更新。 |
分类URL数量较少 |
|
自定义URL |
允许管理者手工创建新URL分类; |
大多不支持人工添加新URL | |
|
URL关键字识别 |
通过网址关键字识别URL及其分类; |
支持 | |
|
SSL加密URL过滤 |
对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); |
不支持 | |
|
搜索关键字过滤 |
能够过滤搜索引擎输入的指定关键字; |
基本不支持 | |
|
网页正文关键字过滤 |
能够过滤正文含有指定关键字的网页访问行为; |
基本不支持 | |
|
发帖关键字过滤 |
网关能够过滤含有指定关键字的网络发贴行为; |
支持 | |
|
SOCK等代理过滤 |
网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; |
支持 | |
|
HTTP文件传输过滤 |
能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; |
不支持 | |
|
FTP文件传输过滤 |
能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; |
不支持 | |
|
应用识别规则库 |
几百条应用识别规则,涵盖主流互联网应用 |
不支持 | |
|
深度内容检测技术 |
基于数据包应用层特征字段实现对应用的识别; |
\ | |
|
流特征识别技术 |
基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; |
\ | |
|
IM聊天软件识别 |
识别超过几十种IM聊天软件; |
支持数量少 | |
|
IM传文件识别 |
识别超过十余种IM传文件行为; |
基本不支持 | |
|
网络游戏识别 |
识别超过几十种网络游戏软件; |
支持数量少 | |
|
P2P应用识别 |
识别常见P2P应用,可识别加密P2P应用 |
支持数量少 | |
|
流媒体识别 |
各种P2P流媒体应用(包括加密的P2P流媒体),如PPLive、PPStream、UUSEE、QQLive、QVOD、迅雷看看、风行电视、i酷、PPFilm、广宇网络电视等 | ||
|
炒股软件识别 |
各种股票软件,如大智慧、同花顺、指南针、钱龙、大参考、分析家、联合证券、双子星等 |
支持数量少 | |
|
远程控制与访问 |
各种远程访问应用及协议,如Netbios、Telnet、RDP远程桌面、SNMP、PCAnywhere、VNC、UUCP、RPC、Rlogin、SSH、Samba等 |
不支持 | |
|
代理和翻墙软件识别 |
识别多种代理、翻墙软件; |
支持数量少 | |
|
Email邮件过滤 |
匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; |
基本不支持,一般多采用邮件地址进行过滤 | |
|
Webmail邮件过滤 |
基于正文关键字过滤外发Webmail邮件行为; |
基本不支持 | |
|
基于扩展名识别文件 |
根据外发文件的扩展名,识别和过滤FTP等形式的文件外发行为; |
基本不支持 | |
|
|
|
|
|
|
上网授权 |
控制上网时间段 |
支持每天多时间段设置,支持每周七天每天时间段差异化设置; |
支持 |
|
控制并发连接数 |
能控制单个用户的最大并发连接数; |
支持 | |
|
上网授权灵活性 |
网关支持基于用户、用户组、时间段、应用、行为、内容等控制上网权限; |
不支持内容级别 | |
|
排除IP |
支持用户访问被排除IP时不受设备的任何控制 |
无用户白名单功能 | |
|
排除域名 |
支持用户访问被排除域名不受设备的任何控制 |
无域名白名单功能 | |
|
|
|
|
|
|
流量管理 |
多线路复用 |
多条线路可同时连接到上网行为管理设备上,扩展带宽; |
支持 |
|
多线路智能选路 |
设备可智能选择最快的出口线路,保障上网速度流畅性; |
支持 | |
|
基于应用类型的流控 |
支持基于应用类型实现流量管理; |
仍限于基于IP的简单弹性流控 | |
|
基于网站类型的流控 |
可根据被访问网站的类型进行流量管理; |
一般不支持 | |
|
通道内带宽均分 |
同一通道中的带宽资源为用户平均分配,避免流量争抢造成的不公; |
支持 | |
|
时间段控制 |
流量管理策略基于时间段生效/失效; |
支持 | |
|
|
|
|
|
|
内容审计 |
网页访问记录 |
设备能记录用户访问的网址、网页标题、网页正文等; |
基本无内容审计功能 |
|
网页正文审计 |
设备支持记录网页正文内容; | ||
|
审计含关键字网页正文 |
设备能记录含有指定关键字的网页正文内容,避免对系统资源的过分消耗; | ||
|
审计明文发帖 |
设备可记录以明文方式在BBS、论坛、博客上发帖的内容; | ||
|
网页审计优化 |
设备可只记录对根域名的访问行为;优化访问日志;或只记录网站文本内容等; | ||
|
外发文件审计 |
设备能记录用户通过HTTP、FTP外发的文件正文内容; | ||
|
明文Email审计 |
设备能记录以明文方式收发的所有Email邮件; | ||
|
QQ聊天内容审计 |
通过安全插件的方式可记录QQ加密聊天内容; | ||
|
MSN聊天内容审计 |
设备能记录MSN 聊天内容; | ||
|
实时用户流量排名 |
设备实时显示流量TOP N用户的IP、所属组、总流量、各应用上行/下行流量等信息; | ||
|
实时应用流量排名 |
设备实时显示流量TOP N应用的名称、流量百分比、上传/下载速率等信息; | ||
|
|
|
|
|
|
日志报表 |
自定义统计报表 |
将指定时间段、指定应用的流量或行为按照用户组、用户、IP、应用类别等进行统计排行,并输出报表; |
只提供简单的流量记录和过滤日志等信息, |
|
自定义趋势报表 |
将指定时间段、指定应用的流量或行为按照用户组、用户、IP、应用类别等进行趋势分析,并输出报表; | ||
|
自定义汇总报表 |
将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表; | ||
|
自定义报表模板 |
支持将各种自定义报表保存为模板,并支持周期性自动生成报表、自动发送到自定邮箱; | ||
|
上网流量统计 |
支持组流量排行、用户流量排行、IP流量排行、应用流量排行等; | ||
|
上网行为统计 |
支持用户组行为统计;用户行为统计;IP行为统计;应用类型统计;邮件地址排行;URL排行等; | ||
总结
综上所述,可以清晰地看到,以IP为管理对象的网络行为管理只是对网络进行简单管理,或者粗暴式地阻断网络,而专业上网行为管理是基于对用户及用户在网络中产生的网络行为为对象的识别和监控,并能够有效的控制和过滤不符合要求的网络访问请求和流量占用的智能限制,进而通过内容审计的查询和检索,制定有效的网络安全管理策略提高网络效率和安全性。毋庸置疑,这必将成为上网行为管理行业的发展方向。
百卓网络Smart系列产品是百卓网络专门为成长型企业量身定制的智能专业级上网行为管理设备。产品在功能设计上,充分考虑了成长型企业对网络设备在高性价比方面的要求,将多种应用功能集成于一身,支持对企业网络的全面深入上网内容监控和管理,具体功能包括网络应用封堵、流量控制、多WAN负载均衡、网页分类封堵、员工上网实名制、上网内容监控、防火墙、企业级路由等功能。
