说起上网行为管理设备,我想只要是做过企业网管,或者系统集成商的网络工程师就一定不会陌生,因为现在已经进入到了互联网+的时代了,企业内部的办公人员上网也是多种多样。在前几年,有的企业可能对在单位员工上网的事情没有一个统一的管理,就会造成一种无法控制的局面:
例如:有的员工上班时炒股票,有的员工浏览购物网站,有的员工看电视剧,电影。有的员工利用单位的网络下载车载音乐,甚至有的员工还用BT,迅雷这种极大占用网络带宽的软件下载游戏等等。
其实这种事情有过企业网管从业经历的朋友一定会觉得这怎么这么熟悉啊,(特别是一些大型的私企)这好像就是说的我们公司啊,呵呵。。
当然这种事情在一个大型的网络当中是司空见惯的了,但是你作为一个单位的企业网管,或者单位的领导也已经发现了这样的事情,责令你要把这件事情解决,或者要求你有一个整体对于网络的一个管理规则,那你这时候要怎么做呢。总不能对员工一个个进行思想教育吧。
在甲方(当企业网管)的朋友这个也知道单位的系统管理员,或者说是企业网管是没有行政处罚的权利的,而在乙方(当网络工程师的朋友)更是不会帮你处理单位的这种需求,所以“上网行为管理设备”这种东西就应运而生了。
那么什么是“上网行为管理”设备呢,其实上网行为管理设备和路由器,交换机一样,都是网络设备的一种,只不过是部署在防火墙的后面的一种设备,通过这种设备可以把单位内部上外网的行为来进行统一而有效的管理。
目前在单位甲方(企业网管)或者乙方(系统集成公司)经常见到的,或者说是这个市场占有率比较大的,做的比较好的,就是2种设备。
第一种就是:深信服的上网行为管理设备。
第二种就是:网康的上网行为管理设备。
如图所示:这个就是深信服的上网行为管理设备了
深信服的产品体系,是以“SANGFOR AC XXXX”这个名字来命名的。
什么意思呢,SANGFOR AC 1100 就是代表1100系类的上网行为管理设备。SANGFOR AC 2200就是代表2200系列的上网行为管理设备,区别就是数字越大代表的型号就越高端,功能就越多,性能就越好,支持的人数就越多。比如1100系列最多支持的人数是100人,而2200系列可能就是200人。以此类推。
第二种就是:网康的上网行为管理设备,如图所示。
这个就是网康的上网行为管理设备了。
网康的产品体系是以“网康NI XXXX”这个名字来命名的。
什么意思呢,XXXX代表的是数字,例如:网康NI 3000 就代表网康NI3000系列的产品。和深信服一样,数字越大代表的型号就越高端,功能就越多,性能就越好,支持的人数就越多。
那么上网行为管理设备又是如何在企业(单位)当中部署的呢,其实这个很简单,部署图如下:
从图上可以看出,上网行为管理设备,是运行在网络出口(路由器,防火墙)的后面的,部署模式是“桥接”(这个桥接是在设备里面做配置时的叫法)或者叫做“透明模式”,直接串联在网络当中。
那么今天这篇文章,就是基于“深信服”这个设备来给大家介绍下具体的应用。
1.当设备在网络中部署好后,就可以通过WEB界面来进行设备的设置了。这里需要说明下,这种设备很好学习和使用,因为都是通过WEB界面来管理,界面也做的十分友好,所以就算是第一次接触设备的朋友也不用担心。如图所示:
在这个界面当中,输入用户名和密码就可以直接使用了。
2.进入设备后,就可以看出整个网络的数据流量使用情况。如图所示:
是不是很直观呢,通过WEB界面直接就可以看到,单位内部的网络资源使用情况,非常的详细,比如目前在单位中这个网络程序应用流量的排名,具体到每个IP地址所使用的带宽流量。还有整个网络在线用户数等等。在左边的“导航菜单”中可以对设备进行设置,比如做策略,把单位的用户分组,网络接口的配置,等等。界面也是很友好的。一目了然。
3.部署模式的选择
这个就是我刚才给大家说的设备部署模式了,有3种模式可以选择,分别是“路由模式” “网桥模式”和“旁路模式”
路由模式-就是把设备当成路由器使用。
网桥模式-这个就是我刚才给大家说的那个“透明模式”(在部署的时候,都是用的这个模式)
旁路模式-这个需要做端口镜像,一般不推荐。
4.进行网络带宽的设备和管理。
这个网络带宽的管理也是其中一项重要的功能,这个就是说你可以集中管理单位的网络出口带宽,也就是常说的“分带宽”功能。
比如你们单位的出口带宽是50M光纤,同时,你们单位内部还建设有无线WIFI网络,作为企业网管的你,想把其中的15M分给无线WIFI使用,其余的35M分给有线网络使用。这种想法在这个界面就可以实施。
5.对企业内部用户进行分组,和分策略
在这个界面当中就可以对单位内部用户进行分组,设备安装好后,用户都默认在“Default"组,这里就可以根据单位的实际情况来划分不同的用户组,比如划分成,老总组,经理组,主管组,普通员工组。
然后再把对应的IP地址直接放到组里面就可以了。
6.根据单位实际需求来设置上网策略
这个可以说是整个“上网行为管理”设备的重要部分了,就是做策略,也就是俗称的“上网权限”
注意:有人看到这里会说了,“不就是做个上网策略么,在路由器或者防火墙上做ACL就可以了,还用得着这个设备,我对做ACL的速度和技术很有信心” 但是我要说的是,在这个设备上做策略和在防火墙,路由器上是完全不一样的。
这个设备是完全基于“应用层”和“应用程序”来做的,针对性非常强,效果也非常好。直接限制的是应用程序本身。而防火墙和路由器是针对“网络层”来做的。这个性质就不一样。如果一款软件可以通过多个端口号,还有很多个远程服务器的话,在做ACL。用ACL来控制,那么这个工作量是巨大的。
这个就可以结合设备对单位内部人员的分组,进行控制了,比如;在老总组里面的IP,是上网不做限制的。可以随意上网,而经理组的IP只可以上普通的互联网,而不能看视频,用炒股软件。都可以实现。这样既可以把企业内部的网络资源进行很好的利用,也可以对企业内部员工上网的的行为进行一个统一而有效的管理。特别适合在甲方(企业网管)的人使用。
本文出自 “创世纪” 博客,谢绝转载!