专家解读 专业级与SOHO级上网行为管理产

　　有效的行业标准体系的建立是一个行业成熟的标志。在或第三方标准没有出台之前，人们往往会对一个事物有约定俗成的一致的看法，一旦这个看法形成广为人知的标准，那么问题就简单化了。正是因为没有标准的定义，我们才能称有巨大可挖掘潜力的市场为蓝海，上网行为管理产品虽然已经过了炙手可热的飞速发展时期，但是并不意味着上网行为管理产品市场的蓝海阶段已经离我们远去，事实正好相反。我们看到，用户已经从观望的高台上走下来，开始地决策如何购买一款上网行为管理设备规范自己的网络管理。那么何谓专业的上网行为管理产品呢？百卓网络将带您一起拨开，给您一个专业的解答。

　　专业级上网行为管理的常规功能

　　所谓上网行为管理实际上是网络行为管理的一部分，狭义定义为访问互联网过程中对网络行为的管理，因此，上网行为管理设备一般位于网络的出口端，对所有互联网访问产生的各种应用流进行识别、封堵、管控、统计和内容审计。针对这个特点，可以确定真正的上网行为管理设备须具备如下的标准要素：识别(用户、终端、应用)系统，应用分析管理系统，流量管理系统，内容审计系统和日志报表系统。

　　基于目前的网络应用，需要具有如下必备功能才能称其为上网行为管理设备：

　　1.应用授权管理功能，包括：

　　网站访问

　　言论发布

　　文件传输

　　邮件收发

　　IM即时通讯

　　2.带宽管理功能，包括：

　　多线负载管理

　　用户/组/全局流控

　　应用流控

　　文件传输流控

　　3.行为记录和内容审计功能，包括：

　　网站访问

　　外发言论

　　SSL加密应用

　　邮件收发

　　文件传输

　　IM聊天内容

　　4.安全防护功能，包括：

　　网络准入控制

　　流量封堵

　　过滤脚本和插件

　　5.日志报表分析系统

　　流量统计、对比、趋势报告

　　网络访问应用数据挖掘和分析

　　内容审计查询和检索

　　各种准入、预警、过滤日志

　　必备的几大系统模块

　　也已提到，针对上网行为管理设备来说，各种应用的准确识别是进行应用封堵、管控及统计和审计的基础。所谓网络应用识别技术，就是深度数据包识别技术――DPI(DeepPacketInspection)。这也是区别于传统宽带由器的关键点所在，后者仅以识别源目的地址、源目的端口及协议类型等简单四层以下的识别技术为基础。下面，我们简要说明一下上网行为管理设备所具备的几大系统模块(如下图显示)：

　　流量统计、对比、趋势报告;

　　网络访问数据挖掘和分析;

　　各种准入、预警、过滤日志

　　网站访问;搜索关键字;网络发帖;传输文件;邮件收发;IM聊天内容;SSL加密应用等

　　网站访问控制;网络言论(BBS、webmail、blog)、网络游戏、

　　邮件收发(web、SMTP邮件内容和附件)

　　多线负载(多线复用、流量均衡、智能选)

　　应用流控(基于用户、时间、应用、网站、文件等类别做细致流控)

　　公平流控(带宽、保障带宽、带宽借用)

　　弹性带宽(动态分配可用带宽)

　　内容审计检索系统

　　日志报表系统

　　上网行为管理

　　上网行为管理设备必备的几大系统模块

　　因此，所谓的上网行为管理不单单只是识别几种聊天软件或是封堵P2P应用那些简单行为阻断，需要具有如下特点：

　　基于对应用数据包深度检测和流量行为的DPIDFI识别技术，而非基于IP或端口的简单识别;

　　应用识别种类的数量和精准率是行为管理的基础;

　　行为管理是对应用的准确识别和智能管理，而非简单的一切过滤;

　　对所有已识别到应用都能进行控制和过滤，并能够做到对行为内容的审计和过滤;

　　与以往出口性设备的基于IP地址的粗放型带宽管理和控制不同，是建立在应用识别分类的基础上，更精细到单独应用流的带宽管理;

　　内容过滤和审计是网络安全的重要指标;

　　详实的网络流量分析报告及趋势分析报告以及用户网络行为报告是网络管理重要依据

　　专业级与SOHO级设备的功能对比

　　一般来说，SOHO级上网行为管理产品，功能上只能做到对部分常见应用进行简单阻断和过滤，不能对其网络应用涉及的内容进行过滤和审计。

　　根据二者的市场定位和功能区别，我们来做个简单的产品对比：

　　类别专业级SMB上网行为管理产品SOHO级上网行为管理产品

　　市场定位专业级上网行为管理设备，主要面向中小企业市场的网络管理、应用级安全审计要求的应用需求初级上网行为管理设备，固化式的少量应用识别和过滤功能，提供于要求度不高的中小企业的应用需求

　　存储介质内置SATA硬盘，一般在250G以上，可以存储长达半年以上的上网数据一般无硬盘，无法查询和保存上网数据

　　功能特点用户认证支持WEB认证及WEB在线调查功能，满足企业内部专业化需求并提供认证信息

　　的日志一般无此功能

　　应用识别数量支持几百种互联网常见应用，并且支持在线更新支持数量有限，基本维持在几十种应用

　　内容过滤支持种类多，包括网页、网络发帖、搜索、收发邮件标题、邮件附件名

　　和文件传输名等等关键字的过滤;以及文件传输的类型和文件大小的过滤识别种类少，仅限于特定应用下的关键字过滤

　　内容查询和存储设备自带硬盘，可长期存储的信息，并提供内置数据库查询和检索功能无硬盘，信息需借助外联PC实现，无数据库查询和检索功能

　　访问路由器地址控制策略精细化控制，基于用户、用户组、应用、时间多种模式灵活组合。只能支持对所有人、不分上班下班时间，封堵或者

　　高级功能支持多个由网段、专业VPN功能(IPSEC、L2TP、SSL)、URL重定向、管理者免审计、负载均衡支持链加权带宽、流量分析及用户排名、应用统计及报表一般无免审计功能。VPN多为PPTP的VPN、多WAN但不能区分不同链带宽、无统计报表及流量分析

　　对于专业的上网行为管理设备来说，必须具备很多精细化应用需求和功能实现方式。具体功能对比如下图：

　　类别功能选项产品

　　专业级SMB上网行为管理产品SOHO级上网行为管理产品

　　用户识别以IP识别用户支持通过IP地址识别用户身份;支持

　　以MAC识别用户支持包括二层和三层网络下，都支持通过MAC地址识别用户身份;支持

　　IP/MAC绑定识别用户支持包括二层和三层网络下，都支持通过IP和MAC地址绑定识别用户身份;支持

　　帐号有效期控制指定帐号在指定日期后自动失效;不支持

　　应用识别静态URL库网关内置海量预分类URL库，专业团队，支持自动更新。分类URL数量较少

　　自定义URL允许管理者手工创建新URL分类;大多不支持人工添加新URL

　　URL关键字识别通过网址关键字识别URL及其分类;支持

　　SSL加密URL过滤对于SSL加密的网址，网关能够识别和过滤(无需通过封堵TCP443端口实现);不支持

　　搜索关键字过滤能够过滤搜索引擎输入的指定关键字;基本不支持

　　网页正文关键字过滤能够过滤正文含有指定关键字的网页访问行为;基本不支持

　　发帖关键字过滤网关能够过滤含有指定关键字的网络发贴行为;支持

　　SOCK等代理过滤网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置，并封堵;支持

　　HTTP文件传输过滤能够过滤通过HTTP下载、上传的文件类型，且允许用户通过白名单中网站下载任件;不支持

　　FTP文件传输过滤能够过滤通过FTP下载、上传的文件类型，且允许用户通过白名单中网站下载任件;不支持

　　应用识别规则库几百条应用识别规则，涵盖主流互联网应用不支持

　　深度内容检测技术基于数据包应用层特征字段实现对应用的识别;

　　流特征识别技术基于应用协议数据包发送频率、大小、速度等特征实现应用的识别;

　　IM聊天软件识别识别超过几十种IM聊天软件;支持数量少

　　IM传文件识别识别超过十余种IM传文件行为;基本不支持

　　网络游戏识别识别超过几十种网络游戏软件;支持数量少

　　P2P应用识别识别常见P2P应用，可识别加密P2P应用支持数量少

　　流识别各种P2P流应用(包括加密的P2P流)，如PPLive、PPStream、UUSEE、QQLive、QVOD、迅雷看看、风行电视、i酷、PPFilm、广宇网络电视等

　　炒股软件识别各种股票软件，如大智慧、同花顺、指南针、钱龙、、分析家、联合证券、双子星等支持数量少

　　代理和翻墙软件识别识别多种代理、翻墙软件;支持数量少

　　Email邮件过滤匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤;基本不支持，一般多采用邮件地址进行过滤

　　Webmail邮件过滤基于正文关键字过滤外发Webmail邮件行为;基本不支持

　　基于扩展名识别文件根据外发文件的扩展名，识别和过滤FTP等形式的文件外发行为;基本不支持

　　上网授权控制上网时间段支持每天多时间段设置，支持每周七天每天时间段差异化设置;支持

　　控制并发连接数能控制单个用户的最大并发连接数;支持

　　上网授权灵活性网关支持基于用户、用户组、时间段、应用、行为、内容等控制上网权限;不支持内容级别

　　排除IP支持用户访问被排除IP时不受设备的任何控制无用户白名单功能

　　排除域名支持用户访问被排除域名不受设备的任何控制无域名白名单功能

　　流量管理多线复用多条线可同时连接到上网行为管理设备上，扩展带宽;支持

　　多线智能选设备可智能选择最快的出口线，保障上网速度流畅性;支持

　　基于应用类型的流控支持基于应用类型实现流量管理;仍限于基于IP的简单弹性流控

　　基于网站类型的流控可根据被访问网站的类型进行流量管理;一般不支持

　　通道内带宽均分同一通道中的带宽资源为用户平均分配，避免流量争抢造成的不公;支持

　　时间段控制流量管理策略基于时间段生效/失效;支持

　　内容审计网页访问记录设备能记录用户访问的网址、网页标题、网页正文等;基本无内容审计功能

　　网页正文审计设备支持记录网页正文内容;

　　审计含关键字网页正文设备能记录含有指定关键字的网页正文内容，避免对系统资源的过分消耗;

　　审计发帖设备可记录以方式在BBS、论坛、博客上发帖的内容;

　　网页审计优化设备可只记录对根域名的访问行为;优化访问日志;或只记录网站文本内容等;

　　外发文件审计设备能记录用户通过HTTP、FTP外发的文件正文内容;

　　Email审计设备能记录以方式收发的所有Email邮件;

　　QQ聊天内容审计通过安全插件的方式可记录QQ加密聊天内容;

　　MSN聊天内容审计设备能记录MSN聊天内容;

　　实时用户流量排名设备实时显示流量TOPN用户的IP、所属组、总流量、各应用上行/下行流量等信息;

　　实时应用流量排名设备实时显示流量TOPN应用的名称、流量百分比、上传/下载速率等信息;

　　日志报表自定义统计报表将指定时间段、指定应用的流量或行为按照用户组、用户、IP、应用类别等进行统计排行，并输出报表;只提供简单的流量记录和过滤日志等信息，

　　无法自定义明细报表类型及各类型的排名

　　自定义趋势报表将指定时间段、指定应用的流量或行为按照用户组、用户、IP、应用类别等进行趋势分析，并输出报表;

　　自定义汇总报表将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表;

　　自定义报表模板支持将各种自定义报表保存为模板，并支持周期性自动生成报表、自动发送到自定邮箱;

　　上网流量统计支持组流量排行、用户流量排行、IP流量排行、应用流量排行等;

　　上网行为统计支持用户组行为统计;用户行为统计;IP行为统计;应用类型统计;邮件地址排行;URL排行等;

　　总结

　　综上所述，可以清晰地看到，以IP为管理对象的网络行为管理只是对网络进行简单管理，或者式地阻断网络，而专业上网行为管理是基于对用户及用户在网络中产生的网络行为为对象的识别和，并能够有效的控制和过滤不符合要求的网络访问请求和流量占用的智能，进而通过内容审计的查询和检索，制定有效的网络安全管理策略提高网络效率和安全性。毋庸置疑，这必将成为上网行为管理行业的发展方向。

　　百卓网络Smart系列产品是百卓网络专门为成长型企业量身定制的智能专业级上网行为管理设备。产品在功能设计上，充分考虑了成长型企业对网络设备在高性价比方面的要求，将多种应用功能集成于一身，支持对企业网络的全面深入上网内容和管理，具体功能包括网络应用封堵、流量控制、多WAN负载均衡、网页分类封堵、员工上网实名制、上网内容、防火墙、企业级由等功能。