随着计算机网络技术的迅猛发展和Internet在全世界范围内的日益普及,信息网络已成为人类生活的重要资源和宝贵财富,在社会发展中发挥着重要作用。而随之而来的,还有更为复杂网络应用技术的问题。
教育,企业,运营商等大型用户面临的不仅仅是来自于外网的***与威胁,更多的是网络内部的不安全因素,例如员工工作效率降低、带宽资源滥用、信息机密外泄等问题,并因此而产生法律、安全、组织名誉以及组织公信力等问题。传统网络安全设备面对新的Internet管理问题常常束手无策,解决Internet控制与网络安全威胁、提高网络资源效率等技术,成为大型用户的迫切所需。
上网行为管理产品推出,帮助部分教育,运营商,企业等用户解决了上述问题。管理者只需通过一台“上网行为管理系统”,便可对员工与使用者的互联网使进行控制与管理,引导规范员工合理有效地使用网络,避免网络资源的浪费,增强网络的安全性与稳定性。
随着安全防范意思的不断加强,“上网行为管理”的需求逐渐为大型用户单位接受并得到广泛应用。目前, 市场生产“上网行为管理设备”很多,鱼龙混杂。教育,运营商,集团企业等大型用户应该如何选择适合自身的产品,如何保障网络架构的安全与管控?众多的上网行为管理产品中,核心竞争力在哪里?笔者就针对上网行为管理用户中大型用户应用为点,通过技术原理、实践、测试及应用等方面进行解析,旨在帮助大型用户如教育,运营商,集团企业等管理者能够有效利用信息化的手段进行企业管理,达到高效率、低成本的管理模式,创造更多的价值与运营模式。
 
l  大型用户如何选择适合的上网行为管理产品
不同类型的用户,需要针对自身规模与网络环境来选择适合的上网行为管理产品。根据企业网络规模、网络出口带宽为标准,大型用户信息点在5000-50000个,数据流量在500M5G,例如大型集团企业、政府机关、较大规模的高等院校以及电信级用户,对于网络安全及Internet上网行为管理,都有着极大的需求。
现在市场上流行的绝大多数上网行为管理产品,所具备的性能与处理能力,基本上不能够完全满足大型企业用户的需求。主要在于系统性能与海量数据处理能力达不到大型用户的需求。
Ø  大型用户网络架构分析
对于大型用户的网络结构来说,追求的是稳定性和高效性,网络架构越复杂,管理起来成本就会越高。对于网络来说只要做到结构清晰,可管理性强,遇到故障可以及时发现并快速修复就可以了。当然,内部网络管理是大型用户最为头痛的问题。因为组织规模庞大,部门、人员,以及区域分部,都比较复杂,而要做到统一进行管控,不是普通的上网行为管理设备能够解决的,那么,强大的产品性能与数据处理能力,就是大型企业选择上网行为管理系统的必要条件。
Ø  高性能与海量数据处理能力的的上网行为管理产品适合大型企业用户
对于特大型用户而言,上网行为管理产品不但需要满足用户互联网控制管理的功能需求,,同时产品的高性能与海量数据处理能力更为关键。目前市场上的各品牌上网行为管理产品,大都能够实现互联网管理的功能。但是,很多用户采购的上网行为管理产品时遇到不单纯是产品功能与解决方案的问题,更多的体现在性能上达不到需求。主要表现在:部署之后,只能开启简单的功能模块,大部分模块开启之后,系统就死掉了,而且运行一段时间之后表现网络延迟明显,报表数据无法查询;甚至还有一些系统根本就部署不上。
据笔者了解,作为一家专业的内容和应用安全设备提供商——莱克斯科技(北京)有限公司(以下简称“莱克斯科技”),其Netoray NSG系列上网行为管理产品单台设备最高能处理高达4G的流量,如果组合部署完全能够满足大型用户的需求。该公司推出的上网行为管理,网络行为分析与流量优化网关等产品,均具备自主知识产权的高性能和海量数据处理能力,主要满足大型用户的需求。下面,就用户的应用需求为方向,向您介绍其技术原理、实现方式及测试数据,帮助广大用户能够有最为真实的体验。
 
l  高性能与高处理能力实现技术原理(多模并行处理架构)
莱克斯科技的几条产品线都是基于其自主研发的模块化结构的高速数据通讯平台(USAP)之上的。各功能模块,如行为管理,内容审计,流量优化等都是“种植”在USAP平台之上,通过系统策略调度来满足用户的不同需求。 USAP平台采用功能模块并行处理的专家会诊系统(ECS)专利技术。在数据包(流)分析处理过程中,传统的串行处理需要逐步处理所功能模块,而ECS专家会诊系统成功地将串行处理模式优化到并行处理模式,大大地提升了处理时间,进而提高了上网行为管理设备的性能与处理能力。
 

图一:传统数据处理方法与多模并行处理架构的对比
 
图一描述了多模并行处理架构的工作情况。当前网关类安全产品所有安全功能模块在一台主机上串行处理, 则总耗时为T=T1+T2+T3+Tm+Tn),其中n为安全功能模块数。USAP由于采用了对多个安全处理单元一次并行处理方法,可以使得数据包分析处理时间大幅度缩减,假如n个安全功能中最耗时的一项功能共计耗时Tm,则USAP处理一个包的时间为理论上的值T=Tm,其中 Tm=Max {T1, t2, Tm, Tn}。 由此看出USAP的数据包处理速度比当前各类产品均有大幅度提高,而且具有安全功能越多优越性越好的特性,这项技术的应用成为莱克斯科技系列产品的一大性能突破。
 
 
l  并行数据包(流)数据数据分析与处理的技术实现
在莱克斯科技的系列产品中,Netoray NSG上网行为管理系统,ClearNet NA网络行为分析系统、Netoray TOG流量管理系统,均基于其高速通讯平台(USAP)
Ø  高速通讯平台(USAP
高速通讯平台(USAP):基于自主知识产权LyxOS的模块化通用安全应用平台。可以根据用户的实际需求制定相应系统策略来配置系统,达到对用户实际需求的无缝契合。
图二:USAP平台示意图
 
 
Ø  高效的零拷贝技术
²  改善数据分析过程,减少数据复制过程,降低CPU负载,提高系统效率。
²  减少数据拷贝过程中因资源占用而导致的数据丢包现象。
 
 
图五:零拷贝技术和传统技术比较
 
Ø  多接口独立工作:
设备可同时设置多个监控口,各监控口独立工作互不影响,同时监控多台核心交换机的数据。支持“多入多出”例图如下:
 
 
 
 
 
 
 
 
 
 

Ø  大型用户应用推荐
由于该级别用户对于网络应用需求明确,并且网络架构相对复杂的网络环境,推荐使用数据处理能力与性能比较强大的莱克斯科技上网行为管理设备中的旗舰级产品NSG-5000NSG-1000NSG-20000NSG-5000,无论在产品性能还是产品稳定性上,均获得过业界及用户的好评。