上網行爲管理設備的介紹,部署與使用

  提及上網行爲管理設備，我想只要是作過企業網管,或者系統集成商的網絡工程師就必定不會陌生，由於如今已經進入到了互聯網+的時代了，企業內部的辦公人員上網也是多種多樣。在前幾年，有的企業可能對在單位員工上網的事情沒有一個統一的管理，就會形成一種沒法控制的局面：

 

  例如：有的員工上班時炒股票，有的員工瀏覽購物網站，有的員工看電視劇，電影。有的員工利用單位的網絡下載車載音樂，甚至有的員工還用BT,迅雷這種極大佔用網絡帶寬的軟件下載遊戲等等。

 

  其實這種事情有過企業網管從業經歷的朋友必定會以爲這怎麼這麼熟悉啊，（特別是一些大型的私企）這好像就是說的咱們公司啊，呵呵。。

  固然這種事情在一個大型的網絡當中是司空見慣的了，可是你做爲一個單位的企業網管，或者單位的領導也已經發現了這樣的事情，責令你要把這件事情解決，或者要求你有一個總體對於網絡的一個管理規則，那你這時候要怎麼作呢。總不能對員工一個個進行思想教育吧。

  在甲方（當企業網管）的朋友這個也知道單位的系統管理員，或者說是企業網管是沒有行政處罰的權利的，而在乙方（當網絡工程師的朋友）更是不會幫你處理單位的這種需求，因此「上網行爲管理設備」這種東西就應運而生了。

 

  那麼什麼是「上網行爲管理」設備呢，其實上網行爲管理設備和路由器，交換機同樣，都是網絡設備的一種，只不過是部署在防火牆的後面的一種設備，經過這種設備能夠把單位內部上外網的行爲來進行統一而有效的管理。

 

  目前在單位甲方（企業網管）或者乙方（系統集成公司）常常見到的，或者說是這個市場佔有率比較大的，作的比較好的，就是2種設備。

 

第一種就是：深信服的上網行爲管理設備。

第二種就是：網康的上網行爲管理設備。

如圖所示：這個就是深信服的上網行爲管理設備了

深信服的產品體系，是以「SANGFOR AC XXXX」這個名字來命名的。

什麼意思呢，SANGFOR AC 1100 就是表明1100系類的上網行爲管理設備。SANGFOR AC 2200就是表明2200系列的上網行爲管理設備，區別就是數字越大表明的型號就越高端，功能就越多，性能就越好，支持的人數就越多。好比1100系列最多支持的人數是100人，而2200系列可能就是200人。以此類推。

第二種就是：網康的上網行爲管理設備，如圖所示。

這個就是網康的上網行爲管理設備了。

 

網康的產品體系是以「網康NI XXXX」這個名字來命名的。

什麼意思呢，XXXX表明的是數字，例如：網康NI 3000 就表明網康NI3000系列的產品。和深信服同樣，數字越大表明的型號就越高端，功能就越多，性能就越好，支持的人數就越多。

那麼上網行爲管理設備又是如何在企業（單位）當中部署的呢，其實這個很簡單，部署圖以下：

從圖上能夠看出，上網行爲管理設備，是運行在網絡出口（路由器，防火牆）的後面的，部署模式是「橋接」（這個橋接是在設備裏面作配置時的叫法）或者叫作「透明模式」，直接串聯在網絡當中。

那麼今天這篇文章，就是基於「深信服」這個設備來給你們介紹下具體的應用。

1.當設備在網絡中部署好後，就能夠經過WEB界面來進行設備的設置了。這裏須要說明下，這種設備很好學習和使用，由於都是經過WEB界面來管理，界面也作的十分友好，因此就算是第一次接觸設備的朋友也不用擔憂。如圖所示：

在這個界面當中，輸入用戶名和密碼就能夠直接使用了。

2.進入設備後，就能夠看出整個網絡的數據流量使用狀況。如圖所示：

是否是很直觀呢，經過WEB界面直接就能夠看到，單位內部的網絡資源使用狀況，很是的詳細，好比目前在單位中這個網絡程序應用流量的排名，具體到每一個IP地址所使用的帶寬流量。還有整個網絡在線用戶數等等。在左邊的「導航菜單」中能夠對設備進行設置，好比作策略，把單位的用戶分組，網絡接口的配置，等等。界面也是很友好的。一目瞭然。

3.部署模式的選擇

這個就是我剛纔給你們說的設備部署模式了，有3種模式能夠選擇，分別是「路由模式」 「網橋模式」和「旁路模式」  

路由模式-就是把設備當成路由器使用。

網橋模式-這個就是我剛纔給你們說的那個「透明模式」(在部署的時候，都是用的這個模式）

旁路模式-這個須要作端口鏡像，通常不推薦。

4.進行網絡帶寬的設備和管理。

這個網絡帶寬的管理也是其中一項重要的功能，這個就是說你能夠集中管理單位的網絡出口帶寬，也就是常說的「分帶寬」功能。

好比大家單位的出口帶寬是50M光纖，同時，大家單位內部還建設有無線WIFI網絡，做爲企業網管的你，想把其中的15M分給無線WIFI使用，其他的35M分給有線網絡使用。這種想法在這個界面就能夠實施。

5.對企業內部用戶進行分組，和分策略

在這個界面當中就能夠對單位內部用戶進行分組，設備安裝好後，用戶都默認在「Default"組，這裏就能夠根據單位的實際狀況來劃分不一樣的用戶組，好比劃分紅，老總組，經理組，主管組，普通員工組。

而後再把對應的IP地址直接放到組裏面就能夠了。

6.根據單位實際需求來設置上網策略

這個能夠說是整個「上網行爲管理」設備的重要部分了，就是作策略，也就是俗稱的「上網權限」

注意：有人看到這裏會說了，「不就是作個上網策略麼，在路由器或者防火牆上作ACL就能夠了，還用得着這個設備，我對作ACL的速度和技術頗有信心」 可是我要說的是，在這個設備上作策略和在防火牆，路由器上是徹底不同的。

  這個設備是徹底基於「應用層」和「應用程序」來作的，針對性很是強，效果也很是好。直接限制的是應用程序自己。而防火牆和路由器是針對「網絡層」來作的。這個性質就不同。若是一款軟件能夠經過多個端口號，還有不少個遠程服務器的話，在作ACL。用ACL來控制，那麼這個工做量是巨大的。

  這個就能夠結合設備對單位內部人員的分組，進行控制了，好比；在老總組裏面的IP，是上網不作限制的。能夠隨意上網，而經理組的IP只能夠上普通的互聯網，而不能看視頻，用炒股軟件。均可以實現。這樣既能夠把企業內部的網絡資源進行很好的利用，也能夠對企業內部員工上網的的行爲進行一個統一而有效的管理。特別適合在甲方（企業網管）的人使用。