局域網(wǎng)管理軟件、局域網(wǎng)監(jiān)控軟件的選擇技巧
隨著當前國內(nèi)企事業(yè)單位信息化水平的不斷提高,計算機網(wǎng)絡(luò)在企事業(yè)單位中的重要性日益增加,無論是大型的ERP系統(tǒng)還是單位的OA辦公自動化系統(tǒng)都依賴于網(wǎng)絡(luò)的穩(wěn)定、安全和暢通。因此,加強網(wǎng)絡(luò)管理、約束員工不合理上網(wǎng)行為已經(jīng)成為網(wǎng)管人員的共識。與此同時,網(wǎng)管工具也從早期單純依靠路由器、交換機、防火墻逐步轉(zhuǎn)向更為專業(yè)、網(wǎng)絡(luò)監(jiān)控功能更強的局域網(wǎng)管理軟件或局域網(wǎng)監(jiān)控軟件,網(wǎng)絡(luò)管理水平也有了大幅度的提升。
但是,由于當前國內(nèi)網(wǎng)管軟件品牌眾多,網(wǎng)管軟件的功能、架構(gòu)、部署方式和使用方式等都有不同。因此,企事業(yè)單位在決定采用網(wǎng)絡(luò)監(jiān)控軟件來加強局域網(wǎng)上網(wǎng)控制、管理員工上網(wǎng)情況就必須首先選擇真正適合自己需要的上網(wǎng)控制軟件。而由于當前國內(nèi)國內(nèi)一般的企事業(yè)單位都沒有專門的網(wǎng)管人員,常常由單位的行政人員或管理人員兼任,因此,這些人員的網(wǎng)絡(luò)管理經(jīng)驗、計算機相關(guān)知識和具體的網(wǎng)絡(luò)管理技術(shù)相對欠缺,對網(wǎng)絡(luò)管理概念、網(wǎng)絡(luò)管理軟件原理等大都缺乏了解,加上一些網(wǎng)管軟件廠商出于市場推廣和經(jīng)濟利益的考慮,常常向用戶灌輸一些錯誤的網(wǎng)絡(luò)管理概念和技術(shù),誤導了用戶的選擇,使得用戶一方面無法實現(xiàn)網(wǎng)絡(luò)管理的目的,另一方面也浪費了錢財。
因此,如何選擇合適的上網(wǎng)行為管控軟件就成為當前企事業(yè)單位亟待解決的問題。筆者以為,選擇合適的網(wǎng)管軟件必須從以下幾個方面入手:
一、 網(wǎng)管軟件控制網(wǎng)絡(luò)應(yīng)用的具體實現(xiàn)原理。早期的網(wǎng)管軟件,包括路由器、防火墻等網(wǎng)絡(luò)設(shè)備,對一些網(wǎng)絡(luò)應(yīng)用的封堵,如禁止局域網(wǎng)聊天、禁止局域網(wǎng)炒股軟件、禁止員工上班玩游戲、屏蔽網(wǎng)頁視頻等,都是通過在網(wǎng)絡(luò)設(shè)備上添加這些網(wǎng)絡(luò)應(yīng)用的服務(wù)器IP地址或端口的方式來封堵。但是,由于最新的網(wǎng)絡(luò)應(yīng)用,特別是一些P2P軟件、股票軟件和網(wǎng)絡(luò)游戲,服務(wù)器IP地址眾多,同時還在不斷增加,通信端口也可以智能切換,甚至可以用80端口、443端口等上網(wǎng)必備端口。因此,通過屏蔽服務(wù)器ip地址或端口的方式來封堵網(wǎng)絡(luò)應(yīng)用已經(jīng)變得不太可行。所以,主流的網(wǎng)管軟件對網(wǎng)絡(luò)應(yīng)用的封堵,一般是通過DPI(深度數(shù)據(jù)包檢測)和DFI(深度流量檢測)的方式來實現(xiàn)的,只有這樣才可以避免通過過濾服務(wù)器IP地址和端口的不足,同時封堵效果也更有效。目前國內(nèi)知名的網(wǎng)管軟件,如深信服上網(wǎng)行為管理AC系統(tǒng)(http://truthing.cn/multiterm.php?bid=124&id=125)都是通過這種方式封堵的。
二、 能否有效監(jiān)控局域網(wǎng)電腦上網(wǎng)帶寬和上網(wǎng)流量。由于當前國內(nèi)企事業(yè)單位單位的上網(wǎng)帶寬普遍不足,而網(wǎng)絡(luò)娛樂化應(yīng)用,尤其是以迅雷、BT、電驢為代表的P2P軟件,以及一些網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)電視等,對企事業(yè)單位的上網(wǎng)帶寬消耗極大。因此,是否有效控制電腦上網(wǎng)速度、限制電腦網(wǎng)速占用,控制電腦上網(wǎng)速率就成為網(wǎng)絡(luò)管理的重要功能之一。而國內(nèi)同類網(wǎng)管系統(tǒng)一般是通過在交換機做端口鏡像、部署HUB集線器或代理服務(wù)器的方式來控制,因此無法實時控制計算機網(wǎng)速,限制主機網(wǎng)速,而只能控制一段時間的網(wǎng)絡(luò)流量,因此,無法幫助企事業(yè)單位有效監(jiān)控局域網(wǎng)網(wǎng)速,無法達到精確、合理分配網(wǎng)絡(luò)資源的目的。而國內(nèi)知名的聚生網(wǎng)管系統(tǒng)等網(wǎng)絡(luò)監(jiān)控系統(tǒng),一般是通過精確計算電腦發(fā)送的上行和下行報文的方式來獲取電腦的上網(wǎng)實時帶寬,通過限制數(shù)據(jù)包個數(shù)的方式來達到限制電腦流量的目的,從而避免了個別電腦過量占用帶寬而影響其他主機的上網(wǎng)行為,可以實現(xiàn)對局域網(wǎng)上網(wǎng)帶寬的精確、高效和實時掌控。
三、 有效防御內(nèi)網(wǎng)ARP攻擊、抵御風暴攻擊,防止沖擊波攻擊等。網(wǎng)絡(luò)管理的另一個重要方面就是防御局域網(wǎng)ARP攻擊、查殺ARP病毒,因為此類病毒一旦運行將會導致局域網(wǎng)大面積斷網(wǎng)、掉線現(xiàn)象,從而使得一切網(wǎng)絡(luò)管理工作無從談起;同時一些流行的病毒,如震蕩波、沖擊波、網(wǎng)絡(luò)風暴攻擊等,更是給局域網(wǎng)造成毀滅性的影響,導致局域網(wǎng)丟包、延遲、網(wǎng)絡(luò)中斷等不良現(xiàn)象,此外,一些惡意病毒還可以破壞或盜取公司的商業(yè)機密,從而給企業(yè)帶來巨大的風險和危害。因此,必須有效防止內(nèi)網(wǎng)攻擊、檢測ARP攻擊源主機,保護內(nèi)網(wǎng)安全。我們同樣以聚生網(wǎng)管軟件為例,通過有效檢測網(wǎng)絡(luò)執(zhí)法官、局域網(wǎng)終結(jié)者等黑客工具,可以有效防止內(nèi)網(wǎng)電腦私自安裝和使用此類軟件干擾和危害局域網(wǎng);同時,通過聚生網(wǎng)管軟件提供的ARP病毒、ARP木馬專項檢測工具,可以實時、精確檢測局域網(wǎng)內(nèi)安裝采用ARP欺騙技術(shù)、ARP攻擊軟件的電腦,從而使得網(wǎng)管人員可以實時查找潛在危險主機,將危險消滅在萌芽狀態(tài),對局域網(wǎng)采取主動、預防式管理。同時,聚生網(wǎng)管系統(tǒng)還提供了網(wǎng)卡混雜模式檢測工具、代理服務(wù)器掃描工具等相關(guān)輔助工具,可以幫助網(wǎng)管人員進一步加強網(wǎng)絡(luò)防護,杜絕不合理的網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)擴展,實現(xiàn)對局域網(wǎng)的規(guī)范、針對性管控。
總之,企事業(yè)單位選擇網(wǎng)管系統(tǒng),必須從本單位的實際情況出發(fā),要明確本單位的網(wǎng)絡(luò)管理需求,選擇真正適合本單位需要的網(wǎng)管系統(tǒng);同時,企事業(yè)單位管理人員和決策人員,也不要一味認為硬件網(wǎng)管系統(tǒng)比純軟件架構(gòu)的網(wǎng)管系統(tǒng)性能更強、更穩(wěn)定。判斷網(wǎng)管系統(tǒng)是否穩(wěn)定與否要通過網(wǎng)管系統(tǒng)的編程語言、軟件大小和運行網(wǎng)管系統(tǒng)的硬件平臺等各個方面進行綜合的考量,才能最終選擇最適合本單位需要的網(wǎng)管系統(tǒng)。