上网行为管理的个人看法

一、上网行为管理的应用价值
我们知道上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。。这些问题其实是一个职业素质的基本问题，但企业管理者由于各种原因，对此经常无可奈何。上网行为管理正是迎合了这个需要，以电子化手段进行铁面无私的管理，行政措施得以有效的贯彻。

      应该明确的是，上网行为管理产品不是组网安全设备，而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具，是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用，从这一点上来说上网行为管理的应用对企业是有益的。在提倡三分技术、七分管理的情况下，正是由于行政管理上的不到位，对员工的上网行为管理没有有效的控制。那么就促进了上网行为管理设备的发展，这类设备生产厂家、公司在大力倡导企业上网行为管理的背后下是高利润的驱使。我们在从技术上分析下，这类设备真的物有所值么？
二、上网行为管理的技术实现
上网行为管理的技术实现大概分为几个部分：IP分组管理、特定应用封锁、行为审计、行为记录等。
IP分组管理是实现上网行为管理的基础，对于每个特定的分组分配不同的上网权限，对各种不同部门、不同业务、不同人员的上网行为管理进行要求，这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。
特定应用封锁技术包括静态过滤、协议型封锁二种模式。
静态过滤是通过封锁特定应用的网络服务器IP和端口，达到应用无法连接到服务器的目的，实现行为封锁的一种方式。这种功能其实在路由器中早就存在，它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来，预制进产品中，通过一个在界面上的名字表达这个功能。这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，再一条一条地在路由器上配置保存，这大大提高了产品的易用性。
而协议型封锁是通过对要封锁的协议进行分析，识别上网行为身份，进行对该协议的拦截，实现行为封锁的一种方式。这是编制在产品的执行程序中的，用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。
当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。
如果使用简单的静态过滤方式，而不是协议型封锁来实现上网行为管理，功能虽然提供了，而效果是不能令人满意的。遗憾的是，很多上网行为管理路由器就是这么做的。
拿大家熟悉的QQ来说，我们登陆QQ时，都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表，然后通过路由器进行这些服务器IP的过滤处理，这样QQ帐号密码认证不了，当然也就实现了拦截QQ的目的。
这种封QQ的方式存在两个问题：1、当网络中特定应用添加或变更服务器IP时，就会出现行为管理失效，路由器不得不进行软件升级，效果不彻底，应用麻烦。2、当使用代理服务器进行应用访问的中转时，由于认证和访问信息通过第三方中转，自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP，就是用来破解此种行为管理的，QQ聊天软件也提供了绕过此种封锁的代理服务器设置，区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分，所以静态过滤的方式对行为管理是不彻底的，无效的。
而协议型封锁方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，路由器中很少使用。
三、上网行为管理的误区
    误区一：上网行为管理能让网络不掉线

网络掉线是整个网络架构不健全的反应，是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题，客观上对网络净化起到一些作用，但绝不是根本的手段。网络问题要从网络结构本身加以解决，解决网络掉线、卡滞等问题，应该使用类似欣向免疫墙之类的专业方案，那才是从根源着手的有效办法。
误区二：上网行为管理能防病毒侵害

网络病毒的传播防不胜防，挂马成为了庞大产业。所以，靠上网行为的约束，期望杜绝病毒的侵入，在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段，在网络层面，要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等，在单机层面，要安装杀毒软件、定期升级操作系统补丁等措施。所以，尽管上网行为管理对防范病毒侵害很重要，但也只能是一个辅助措施。
误区三：上网行为管理能控制网速
封QQ、封P2P、封视频，通过限制大容量的下载保证带宽的合理使用，这些都是权宜之计，不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题，因为网络上的内容太丰富了，抢占带宽的流量无法一一识别并限制。在网络管理的技术方面，对带宽的管理是通过QoS实现的，而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供，有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的最优宽算法等等。

 

下面是引用更贴的精彩见解：

 

分析的很有道理！的确是这样！
上网行为管理就和那汽车的单双号限行一样，1，3，5，7汽车尾号是单号的走，2，4，6，汽车尾号是双号的走，这样根本不能解决根本问题，只会招来埋怨，谁家买个车不想开啊，可是一个星期还得往家里放几天，开出来还和打仗似的，怕这堵车，怕那堵车，到最后堵的一肚子气，要想真正的解决这个问题，只能把路修宽，增加交通的管理措施，减少道路事故的发生，这样你的道路才能畅通无阻。
网络也和这个一样，只要内网道路通畅，什么应用都没有问题。

 

                                                                                                               by： mrzhouct

 

上网行为管理没有提供针对网络设施本身的任何安全措施，它无法从网络底层解决网络问题，不能加固网络以提高安全性、可靠性。就像道路交通管理一样，为了防止事故造成拥堵，上网行为管理采取的是限制车辆上路，而不是通过红绿灯调控、交警现场指挥、架设立交桥疏导的方式来解决问题。

                                                                                                              by： galahack