聚生网管上网行为管理网关、互联网控制网关、上网行为审计网关重拳推出两大举措、全力保障网络管理真正有效！

作者：大势至  日期：2016.3.2
 

     聚生网管系统作为国内较早、局域网上网管理功能较全面、安装部署和操作使用较简单的专业网络管理软件，自2005年推出较早代产品以来，到2015年整整走过了10年的历程。在这期间，经过大势至公司研发团队的不断研发、攻坚克难，使得聚生网管系统各项网络管理功能已经先进国内同类企业上网行为管理系统，已经累计服务了国内超过2万家用户，累计下载和装机量超过4亿次，是当前国内使用较普遍、较知名和较成熟的专业企业网络行为管理系统。
 
    进入2016年，随着信息技术、网络技术的不断飞速发展，不断涌现的各种网络应用、移动设备纷至沓来，信息安全事件的不断爆发，使得企业网络管理面临着新的挑战，网络控制技术的需求更为精细，对网络管理的有效性和实时性的要求更为紧迫。
 
    在此形势下，大势至公司经过审时度势，并结合较新的网络设备硬件技术，在确保用户网络管理的实效、网络管理工作化繁为简的基础上，实时推出了两大举措，使得用户使用聚生网管系统可以真正发挥实效，确保用户真正实现网络管理的价值，为用户创造真正的网络管理收益和切实的经济效益。具体举措如下：
 
    举措一、基于聚生网管系统的、独有的“创新直连”部署技术，配合三层交换机VLAN跳转技术，完全不受任何防火墙、杀毒软件或第三方软件的干扰、影响，确保100%有效的局域网网络行为控制。
 
    当前，国内同类网络行为管理系统、互联网行为控制网关设备的部署方式主要有旁路、网桥、串接等，其中一些硬件上网行为管理设备都是基于串接的方式部署，也即通常将设备串接到交换机和路由器之间，使得所有上网的报文都会经过网络设备，以此实现控制局域网电脑上网行为的目的。如下图所示：

图：串接方式部署上网管理设备
 

       这种方式部署网络管理系统虽然可以实现有效的上网行为控制，但也存在一定的隐患，尤其是当网络管理设备出现问题时，由于无法继续转发所有经过此设备的网络数据包。因此会导致交换机下面所有电脑网络报文发生中断，使得电脑无法上网。同时，由于所有电脑的网络报文都会经过此网络设备，因此也意味着可以监控所有电脑的上网内容（如聊天内容、邮件内容、网银密码等），也就意味着一旦黑客攻击此网络设备，则就可以获取这些重要的机密信息，从而给企业信息安全和商业机密的保护带来巨大风险和隐患。
   
    而聚生网管系统的“创新直连”部署方式与国内同类上网行为管理软件、互联网行为网关设备的部署方式完全不同。聚生网管系统不改变局域网现有的网络结构，在用户通过三层交换机上网的情况下，只需要将安装聚生网管系统的电脑接入三层交换机其中的一个网段，就可以监控所有网段电脑的上网行为，不需要调整网络结构，也不会出现网络中断，同时即便安装聚生网管系统的电脑、服务器或硬件载体发生故障，也可以在短短数秒之内恢复网络通讯，从而可以极大地保护网络通讯的风险，可以保证网络持续畅通。同时，聚生网管系统的“创新直连”监控模式，还可以对领导电脑、服务器等重要电脑实施物理层面的免监控（也即不扫描、不控制相应的VLAN），从而可以彻底避免重要数据、机密信息泄露的风险，可以极大地保护网络安全。如下图所示：

   

图3：聚生网管系统基于”创新直连“模式监控图

“创新直连”监控模式部署的优点：
 
1、不改变现有的网络结构，近乎热插拔式的部署方式，国内较快捷、较简单；

2、基于外发报文的单向监控，只过滤上行（外发）报文，从而不可能出现性能瓶颈，不会引发网络延迟、丢包现象，不会承载下行报文的转发，而是由网关发送到三层交换机并分发到各个电脑上，从而保持高性能的线速传输优势，也极大地降低了负荷。

3、基于三层交换机通讯原理构建，一旦监控软件或监控主机自身出现问题，网络恢复的时间不超过5秒，从而避免了单点故障，不会出现局域网网络延迟、丢包甚至掉线现象。

4、对于不需要监控的电脑或服务器，同样在物理上实现免监控，也就是说免监控的电脑的数据包（同时也包括企业关键应用，包括VPN和视频会议）将直接通过三层交换机再到出口网关进行传输，完全不经过聚生网管系统所在的电脑，从而一方面保证了网络通信的高性能，另一方面也极大地保护了信息安全和商业机密。

5、国内可以实现跨网段绑定电脑IP和MAC地址、跨VLAN进行IP和MAC地址绑定，从而可以有效防止各个网段电脑修改IP地址导致的IP冲突攻击、IP地址盗用情况的发生，规范了局域网IP地址管理。

6、国内可以跨网段防止ARP攻击、跨VLAN防范ARP攻击的网管系统，可以有效防止多网段电脑ARP攻击导致的断网和掉线现象，从而有效保护了局域网网络安全。
 
此外，针对国内一些用户的网络环境不是通过三层交换机划分多网段的情形，大势至公司可以免费为用户搭建相应的网络环境，同时也便于用户在多网段网络环境下进行网络隔离、网络扩容等规范网络管理的工作。

 
举措二、购买聚生网管系统一定授权数赠送英特尔原厂PCI-E千兆网卡，全面增强网络数据包转发性能，大幅度提升聚生网管系统监控运行效率。同时，通过独立的PCI-E网卡进行网络监控，而本机集成网卡用于上网，也可以实现网络数据包的双线程处理，从而在提升监控效率的同时还不会影响聚生网管系统控制机所在的电脑上网性能。
 
PCI Express是新一代的总线接口，是由英特尔公司较早提出，并在其网卡中大规模采用的数据传输技术。
 
PCI Express采用了目前业内流行的点对点串行连接，比起PCI以及更早期的计算机总线的共享并行架构，每个设备都有自己的专用连接，并采用串行方式传输Data，不需要向整个总线请求带宽，而且可以把数据传输率提高到一个很高的频率（较高可达10GB），达到PCI所不能提供的高带宽。

Intel PCI-E网卡详细参数

主要参数	适用网络类型千兆以太网 纠错 传输速率10/100/1000Mbps 纠错 主芯片Intel 82572GI 纠错 总线类型PCI-E 1x 网络标准IEEE 802.3ab 纠错 网线接口类型RJ-45 纠错 传输介质类型4对5类UTP 纠错 远程唤醒功能支持 纠错 全双工/半双工全双工/半双工自适应 纠错 适用领域服务器 纠错

图：英特尔PCI-E网卡
 

总之，大势至公司针对国内各行业用户部署聚生网管系统的两大举措，是以全面、充分发挥聚生网管系统所有网络控制功能为宗旨，以真正帮助用户创造网络管理收益和经济效益为较终目标，也是大势至公司全心全意服务用户的实际表现，持续引领国内网络管理的快速、良性和可持续发展！