带宽管理的效用
那么是否具备了上述功能就是好产品呢?具备并不意味着可以较好地实现,我们需要在目前众多的产品中选择合适自己的产品,以下几点可供
参考:
1.对加密应用的识别能力
加密化是目前互联网的发展趋势。早期的电子银行都是普通的http网站,通过明文传输,数据容易被人监听和窃取。近些年来,电子银行全部
改成https网站,即通过SSL协议进行加密,目的即保障用户的交易安全,避免敏感信息泄露。但是近年来,很多"不良"应用也在加密,例如
让网管"谈之色变"的P2P软件,上网行为管理木马网站, Skype、QQ等聊天工具……在这些加密应用面前普通的上网行为管理产品无能为力。
只有专业的上网行为管理产品才能够对加密应用进行管控,通过全流量分析等技术实现对加密应用的识别和封堵,如对加密BT、Skype、
MSNShell的精确识别和封堵。而低端的上网行为管理产品只能够封堵普通的HTTP网站或MSN等非加密应用,管控上存在漏洞。
2.流量控制能力
专业的上网行为管理设备应当具备强大的流量控制能力。可以针对应用类别、网站类型、上传下载的文件类型,结合不同用户组和时间段进行
带宽划分和流量管理,实现对核心业务的带宽保证,对非业务应用的带宽限制。
例如,带宽管理可为领导用户组的视频会议流量保证带宽、固定预留指定带宽资源,以保证视频会议的通畅;在设备上创建新的URL分组,包含市场部同
事经常访问的数十个行业网站,为市场部用户组访问这些行业网站进行带宽动态保障,并为每个用户细化带宽分配策略;设计部经常需要上传
下载CAD等大型文件,对此行为进行带宽保障;对外提供服务的内网服务器,也可以进行带宽划分与分配;针对所有人的P2P行为进行带宽限制
,既允许用户使用P2P,又不会严重占用组织的宝贵带宽资源。
3.日志库是否完备(数据中心功能是否强大)
"信息审计"是上网行为管理产品的重要功能,审计后的内容往往放在日志库中。上网行为管理产品审计内容后,会对信息进行统计汇总、分
类查询等,并支持生成图形化的报表,数据中心功能的强大,对"信息审计"有着重要的意义。
首先,数据中心应该可以独立安装。因为上网行为管理产品需对所有的上网行为进行记录,日志量庞大。一个千人的网络每周可产生十多GB甚
至数十GB的数据。这些数据如果都存储在上网行为管理设备里,不仅会很快占满设备的存储空间,还会影响产品性能。所以,上网行为管理产
品的数据中心需要支持独立安装,这样就实现了日志的海量存储,最大限度地发挥上网行为管理产品的性能。
其次,数据中心需要支持搜索功能。现在很多低端的上网行为管理产品都有日志存储,但查询方式简陋。如用户查"源代码"这个关键字,只
能按照人物和时间段查询。而专业的上网行为管理产品可以提供类似Google的搜索界面,通过在数据中心首页搜索关键字,内网用户访问过的
网页内容、收发过的邮件及其附件, QQ中的聊天信息、上传下载的各种文件等,只要其中有"源代码"这个关键字,都可以直接查询到,方便
易行。有些厂商甚至还提供日志的主题订阅功能,将用户感兴趣的关键字搜索记录自动发送到用户指定的邮箱,实现人性服务。
4.性能是否够用
和防火墙基于端口与IP地址的处理方式不同,上网行为管理产品针对应用层数据进行检索,是基于应用行为本身的。比如,内网用户通过
Outlook发一封邮件,防火墙对这种行为只有两种处理方式:拒绝或者放行。而上网行为管理产品的处理方式则较复杂,它首先要判断内网用户
有无权限发送邮件,带宽管理有权限则检查邮件正文和附件是否有管理员禁止的关键字,如果有上述关键字则将其滤掉。很多用户需要对邮件进行人工
审计,所以上网行为管理产品需要存储邮件并设定延时时间。
显然,如果没有良好的性能,上网行为管理产品根本无法智能处理内网的各种应用。而且随着用户内网规模的扩大,一旦上网行为管理产品性
能不足,不仅会影响网速,上网行为管理甚至会出现宕机、业务中断的危险。
硬件上网行为管理设备由于采用了专门的硬件架构与算法优化,性能普遍要强于软件产品。如目前市面上高端的上网行为管理产品,甚至可以
支持千兆全流量数据的高速检索,而这是软件产品无法达到的。
5.设备本身的适应性
因为目前越来越多的用户采用域认证,考虑安装的适应性,专业的上网行为管理产品可以支持对AD域和LDAP的无缝结合,为域中的用户进行权
限划分,以避免管理员重复导入域用户。而一般的上网行为管理产品则需将AC中的账户导入到设备中才能进行认证,或者在服务器上安装插件
带宽管理才能进行认证。
另外,上网行为管理产品对网络的适应性也很重要。一方面,上网行为管理产品应支持路由、网桥和旁路等部署模式;另一方面,高端上网行
为管理产品应该适应双机、双线路、VRRP、HSRP等冗余网络结构,以在复杂的网络环境中游刃有余。
走出误区
在购买上网行为管理产品的时候,用户必然会或多或少受到不负责任厂家的引导,关注一些本身并不重要的功能,如何走出厂家设置的误区,
购买到真正可以解决问题的产品呢,这里列举部分用户经常遇到的"陷阱"。
1.URL库无所不能
很多厂商都标榜其拥有上千万的URL库,声称可以解决用户的各种问题。事实上,URL过滤功能只是上网行为管理产品的一个基本功能,从客户
的实际使用情况来看,上网行为管理中国用户更关注对应用的管理和流量的控制;另外,互联网上URL网址数量巨大,据谷歌(Google)的最近检测,互联网
上独立页面的数量超过了1万亿个,带宽管理且每天新增加数十亿个网页。千万数量级的URL库和互联网上的实际网址数量相比简直就是沧海一粟。
所以,用户没有必要把主要关注点放在URL库上,使得本末倒置,忽略了上网行为管理更重要的功能,例如应用协议库的完备性、对流量的控制
能力以及性能等等。
2、安全功能毫无必要
用户往往被这样的宣传误导:上网行为管理产品是专业的产品,带有防火墙等安全功能的产品都是不专业的。
事实是这样吗?实践证明,上网行为管理产品的安全性模块是十分必要的。因为上网行为管理产品需要部署在内网中,如果缺乏上述这些安全
性功能,很容易在遇到内网攻击时导致性能急剧下降甚至是宕机,引发单点故障,而这是每一个用户都无法接受的。
我们认为,上网行为管理产品应该拥有一些基本的安全性功能,例如防火墙、防DOS攻击和防ARP欺骗等,在保障自身安全的前提下来发挥其最
大的效用。
相关信息: