局域網(wǎng)管理軟件、局域網(wǎng)監(jiān)控軟件的選擇技巧
隨著當(dāng)前國內(nèi)企事業(yè)單位信息化水平的不斷提高,計(jì)算機(jī)網(wǎng)絡(luò)在企事業(yè)單位中的重要性日益增加,無論是大型的ERP系統(tǒng)還是單位的OA辦公自動(dòng)化系統(tǒng)都依賴于網(wǎng)絡(luò)的穩(wěn)定、安全和暢通。因此,加強(qiáng)網(wǎng)絡(luò)管理、約束員工不合理上網(wǎng)行為已經(jīng)成為網(wǎng)管人員的共識。與此同時(shí),網(wǎng)管工具也從早期單純依靠路由器、交換機(jī)、防火墻逐步轉(zhuǎn)向更為專業(yè)、網(wǎng)絡(luò)監(jiān)控功能更強(qiáng)的局域網(wǎng)管理軟件或局域網(wǎng)監(jiān)控軟件,網(wǎng)絡(luò)管理水平也有了大幅度的提升。
但是,由于當(dāng)前國內(nèi)網(wǎng)管軟件品牌眾多,網(wǎng)管軟件的功能、架構(gòu)、部署方式和使用方式等都有不同。因此,企事業(yè)單位在決定采用網(wǎng)絡(luò)監(jiān)控軟件來加強(qiáng)局域網(wǎng)上網(wǎng)控制、管理員工上網(wǎng)情況就必須首先選擇真正適合自己需要的上網(wǎng)控制軟件。而由于當(dāng)前國內(nèi)國內(nèi)一般的企事業(yè)單位都沒有專門的網(wǎng)管人員,常常由單位的行政人員或管理人員兼任,因此,這些人員的網(wǎng)絡(luò)管理經(jīng)驗(yàn)、計(jì)算機(jī)相關(guān)知識和具體的網(wǎng)絡(luò)管理技術(shù)相對欠缺,對網(wǎng)絡(luò)管理概念、網(wǎng)絡(luò)管理軟件原理等大都缺乏了解,加上一些網(wǎng)管軟件廠商出于市場推廣和經(jīng)濟(jì)利益的考慮,常常向用戶灌輸一些錯(cuò)誤的網(wǎng)絡(luò)管理概念和技術(shù),誤導(dǎo)了用戶的選擇,使得用戶一方面無法實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的,另一方面也浪費(fèi)了錢財(cái)。
因此,如何選擇合適的上網(wǎng)行為管控軟件就成為當(dāng)前企事業(yè)單位亟待解決的問題。筆者以為,選擇合適的網(wǎng)管軟件必須從以下幾個(gè)方面入手:
一、 網(wǎng)管軟件控制網(wǎng)絡(luò)應(yīng)用的具體實(shí)現(xiàn)原理。早期的網(wǎng)管軟件,包括路由器、防火墻等網(wǎng)絡(luò)設(shè)備,對一些網(wǎng)絡(luò)應(yīng)用的封堵,如禁止局域網(wǎng)聊天、禁止局域網(wǎng)炒股軟件、禁止員工上班玩游戲、屏蔽網(wǎng)頁視頻等,都是通過在網(wǎng)絡(luò)設(shè)備上添加這些網(wǎng)絡(luò)應(yīng)用的服務(wù)器IP地址或端口的方式來封堵。但是,由于最新的網(wǎng)絡(luò)應(yīng)用,特別是一些P2P軟件、股票軟件和網(wǎng)絡(luò)游戲,服務(wù)器IP地址眾多,同時(shí)還在不斷增加,通信端口也可以智能切換,甚至可以用80端口、443端口等上網(wǎng)必備端口。因此,通過屏蔽服務(wù)器ip地址或端口的方式來封堵網(wǎng)絡(luò)應(yīng)用已經(jīng)變得不太可行。所以,主流的網(wǎng)管軟件對網(wǎng)絡(luò)應(yīng)用的封堵,一般是通過DPI(深度數(shù)據(jù)包檢測)和DFI(深度流量檢測)的方式來實(shí)現(xiàn)的,只有這樣才可以避免通過過濾服務(wù)器IP地址和端口的不足,同時(shí)封堵效果也更有效。目前國內(nèi)知名的網(wǎng)管軟件,如深信服上網(wǎng)行為管理AC系統(tǒng)(http://truthing.cn/multiterm.php?bid=124&id=125)都是通過這種方式封堵的。
二、 能否有效監(jiān)控局域網(wǎng)電腦上網(wǎng)帶寬和上網(wǎng)流量。由于當(dāng)前國內(nèi)企事業(yè)單位單位的上網(wǎng)帶寬普遍不足,而網(wǎng)絡(luò)娛樂化應(yīng)用,尤其是以迅雷、BT、電驢為代表的P2P軟件,以及一些網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)電視等,對企事業(yè)單位的上網(wǎng)帶寬消耗極大。因此,是否有效控制電腦上網(wǎng)速度、限制電腦網(wǎng)速占用,控制電腦上網(wǎng)速率就成為網(wǎng)絡(luò)管理的重要功能之一。而國內(nèi)同類網(wǎng)管系統(tǒng)一般是通過在交換機(jī)做端口鏡像、部署HUB集線器或代理服務(wù)器的方式來控制,因此無法實(shí)時(shí)控制計(jì)算機(jī)網(wǎng)速,限制主機(jī)網(wǎng)速,而只能控制一段時(shí)間的網(wǎng)絡(luò)流量,因此,無法幫助企事業(yè)單位有效監(jiān)控局域網(wǎng)網(wǎng)速,無法達(dá)到精確、合理分配網(wǎng)絡(luò)資源的目的。而國內(nèi)知名的聚生網(wǎng)管系統(tǒng)等網(wǎng)絡(luò)監(jiān)控系統(tǒng),一般是通過精確計(jì)算電腦發(fā)送的上行和下行報(bào)文的方式來獲取電腦的上網(wǎng)實(shí)時(shí)帶寬,通過限制數(shù)據(jù)包個(gè)數(shù)的方式來達(dá)到限制電腦流量的目的,從而避免了個(gè)別電腦過量占用帶寬而影響其他主機(jī)的上網(wǎng)行為,可以實(shí)現(xiàn)對局域網(wǎng)上網(wǎng)帶寬的精確、高效和實(shí)時(shí)掌控。
三、 有效防御內(nèi)網(wǎng)ARP攻擊、抵御風(fēng)暴攻擊,防止沖擊波攻擊等。網(wǎng)絡(luò)管理的另一個(gè)重要方面就是防御局域網(wǎng)ARP攻擊、查殺ARP病毒,因?yàn)榇祟惒《疽坏┻\(yùn)行將會導(dǎo)致局域網(wǎng)大面積斷網(wǎng)、掉線現(xiàn)象,從而使得一切網(wǎng)絡(luò)管理工作無從談起;同時(shí)一些流行的病毒,如震蕩波、沖擊波、網(wǎng)絡(luò)風(fēng)暴攻擊等,更是給局域網(wǎng)造成毀滅性的影響,導(dǎo)致局域網(wǎng)丟包、延遲、網(wǎng)絡(luò)中斷等不良現(xiàn)象,此外,一些惡意病毒還可以破壞或盜取公司的商業(yè)機(jī)密,從而給企業(yè)帶來巨大的風(fēng)險(xiǎn)和危害。因此,必須有效防止內(nèi)網(wǎng)攻擊、檢測ARP攻擊源主機(jī),保護(hù)內(nèi)網(wǎng)安全。我們同樣以聚生網(wǎng)管軟件為例,通過有效檢測網(wǎng)絡(luò)執(zhí)法官、局域網(wǎng)終結(jié)者等黑客工具,可以有效防止內(nèi)網(wǎng)電腦私自安裝和使用此類軟件干擾和危害局域網(wǎng);同時(shí),通過聚生網(wǎng)管軟件提供的ARP病毒、ARP木馬專項(xiàng)檢測工具,可以實(shí)時(shí)、精確檢測局域網(wǎng)內(nèi)安裝采用ARP欺騙技術(shù)、ARP攻擊軟件的電腦,從而使得網(wǎng)管人員可以實(shí)時(shí)查找潛在危險(xiǎn)主機(jī),將危險(xiǎn)消滅在萌芽狀態(tài),對局域網(wǎng)采取主動(dòng)、預(yù)防式管理。同時(shí),聚生網(wǎng)管系統(tǒng)還提供了網(wǎng)卡混雜模式檢測工具、代理服務(wù)器掃描工具等相關(guān)輔助工具,可以幫助網(wǎng)管人員進(jìn)一步加強(qiáng)網(wǎng)絡(luò)防護(hù),杜絕不合理的網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)擴(kuò)展,實(shí)現(xiàn)對局域網(wǎng)的規(guī)范、針對性管控。
總之,企事業(yè)單位選擇網(wǎng)管系統(tǒng),必須從本單位的實(shí)際情況出發(fā),要明確本單位的網(wǎng)絡(luò)管理需求,選擇真正適合本單位需要的網(wǎng)管系統(tǒng);同時(shí),企事業(yè)單位管理人員和決策人員,也不要一味認(rèn)為硬件網(wǎng)管系統(tǒng)比純軟件架構(gòu)的網(wǎng)管系統(tǒng)性能更強(qiáng)、更穩(wěn)定。判斷網(wǎng)管系統(tǒng)是否穩(wěn)定與否要通過網(wǎng)管系統(tǒng)的編程語言、軟件大小和運(yùn)行網(wǎng)管系統(tǒng)的硬件平臺等各個(gè)方面進(jìn)行綜合的考量,才能最終選擇最適合本單位需要的網(wǎng)管系統(tǒng)。