作者:遥 日期:09-12-25
Web1.0为人们提供信息,但是人们却无法添加或更改信息;而Web2.0则更注重用户的交互作用,它的到来给互联网带来了新的革命,同时把网络行为管理推到了刻不容缓的峰口。上网行为管理政策,上网行为管理产品,上网行为管理硬件、软件,很自然地加入了web2.0的网络时代。
上网行为管理包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等,国内较开始的产品中硬件管理是主流,但由于硬件成本较高,运输不方便,维护复杂,维修需要专业知识,技术支持不到位等原因,只有政府、大型企事业单位采用,更多的企业青睐网管软件。
硬件管理优势与劣势
管理MAC地址:MAC地址工作在OSI模型的第二层。这个地址被烙在网卡上,它就像是每台电脑相对固定的身份证一样,每当电脑与对端设备进行通信时,双方的MAC地址总会出现在数据帧中。这就相当于数据帧有了身份信息,而且这一信息就在数据帧的较外围,所以对数据帧进行管理是较简单的。但其实MAC地址很容易被修改――不是真的重新烧录网卡上的地址,而是在操作系统层面进行“软”修改。修改了MAC地址,相关的管理策略也就失效了。
管理IP地址:IP地址工作在OSI模型的第三层,这个地址是我们手动为网卡指定的,修改起来也更加方便。管理IP地址要比管理MAC地址方便一些,也更有效率,比如,可以对一个IP地址段进行策略套用。但不足也同样明显,修改IP地址比修改MAC地址更容易,所以基于IP地址的安全策略很容易被“绕过”。
管理端口号:端口号与具体的应用程序有关,所以基于端口号的策略的有效性要比其它两种稍强一些。比如,一台在192.168.2.0网络中的服务器开放了Telnet端口(23号端口),但不希望192.168.1.0网络的电脑访问,一种方法是可以在路由器上设置一条策略,禁止所有来自192.168.1.0的 Telnet请求通过。这样的话,192.168.1.0网络中的某台电脑,无论怎样修改IP地址、MAC地址都是无法访问服务器的。原因很简单,因为在此情境中,所有Telnet请求都必须访问23号端口。不可否认,基于端口号的管理策略在某些情况下是比较有效的,但这仅是在少数情况下。因为多数应用所使用的不是固定的端口号,比如QQ、MSN、BT等等。所谓有效的管理策略都是基于不可变条件元素的,但传统的网络管理工具所基于的条件元素都是可修改的,所以它们很难有效管理QQ、MSN、BT。
软件的优势在于:成本适当,维护简单、安装容易、升级快速,可以在公司随便找个机器部署。比如口碑不错的聚生网管(http://www.grablan.com/),就是在局域网内选择任意一台电脑或服务器安装,不需要端口镜像,不需要设置端口,限制带宽流量,管理下载,上网行为记录等都可以实现。网管软件功能效果上和硬件相差无几,甚至有一些硬件做不到的功能软件也能做到。由于国内的网管软件市场尚欠发达,企业的软件普及率不高,很多都是用的国外的产品,其实对于网管软件而言国外的产品和技术并不是一定就优于国内厂商,事实上中国的厂商更了解中国用户的互联网环境和互联网使用习惯。
当然软件也不能完全代替硬件,目前的软硬件结合模式越来越多。包括加入准入模式、VPN的上网行为管理,基于客户端的内网管理模式和文档管理模式,为的是内外兼修,从各种方向去弥补单一产品的不足。
笔者认为,应该根据自身的应用需求,去选择自己需要而合理的方案,但网管软件一定是未来的主流。
