网管:该部署怎样的上网行为监控系统?
【 资讯】目前国内企事业单位纷纷建成了自己的内部局域网,并且在企业信息化、电子政务的过程中,纷纷采用各种信息系统,比如流行的ERP系统、物流系统、OA系统、VOIP视频会议系统等等,使得企事业单位的各项业务对网络的依赖性大幅度增加,网络的稳定与畅通将直接影响到这些信息系统的稳定运行。所以,如何保证网络系统的稳定和畅通已经成为保证企事业单位各项业务正常运行的关键,也是网管人员工作的重中之重。
而当前,由于网络的开放性、娱乐性特征,使得在企事业单位内部的局域网中,经常有部分职员利用公司的网络做与工作无关的事情,比如上网聊天、看在线视频、利用P2P工具下载影视娱乐资料、炒股和玩网络游戏等等。这些不合理的上网行为一方面占用了员工的工作时间、影响了工作效率;同时这些娱乐、工具软件的使用也会大量消耗企事业单位的出口带宽资源,使得企事业单位正常的网络应用,尤其是那些信息化系统不能很好地工作,影响了企事业单位工作效率。
所以,保护网络的畅通与稳定,必须消除这些不合理的上网行为。同时,功欲善必先利其器。企事业单位要想实现对网络的充分管理,必须有一套真正有效的上网行为监控系统。
目前国内网管系统品牌众多,厂家宣传力度也很大,同时也不乏一些厂家处于利益和销售的需要,向用户传达一些言过其实、夸大其词的内容,误导企事业单位购买网管系统的行为。因此,企事业单位在部署网管系统的时候,一定要货比三家,同时一定要先试用后再购买,以避免采购的网管系统不能发挥理想的功能,造成投资浪费。
如何衡量一款网管软件是否能够真正满足企事业单位网络管理的需要呢?笔者以为有以下三个方面可以加以参考:
一、 网管软件技术架构原理。现在国内软件架构的网管系统,通常采用在交换机上作端口镜像,然后将监控软件部署在镜像端口;或者通过将网管软件部署在公司内部的代理服务器上;或者在单位公网出口那里部署HUB的方式,通过将网络设置为混杂模式来进行监控。上述这些网管软件的监控实质上是一种旁路的方式,这种监控模式由于是“拷贝”过往的数据报文,并解析出内容,发现非法通讯就打断报文的TCP链接,而对于P2P协议、UDP协议的报文,由于不存在报文传输之前的“握手”行为,从而无法将其打断;而当前流行的P2P软件、在线视频、网络电视等大都采用UDP协议和P2P协议进行传输,从而通过这种架构的网管软件无法实现对上述软件的监控,从而也就无法更好地实现网络管理的目的。 二、 上网行为监控的底层实现原理。对局域网不合理的上网行为的控制,国内有些网管软件采用基于端口、服务器IP地址的方式进行监控,也就是试图封堵这些P2P软件的端口和服务器IP的方式来实现对P2P等软件的控制。但是现行的P2P软件、聊天软件和网络游戏软件、在线视频和网络电视、网络视频等等纷纷采用可变端口,包括常用的80端口进行传输;同时这些软件的服务器IP地址众多,并且还可以实时增加,甚至有些P2P软件、聊天软件(如Skype)等等没有固定的服务器IP地址,所以很难通过传统的网络管理设备,如防火墙、路由器和交换机等实现进行控制。同时,国内还有些网管系统企图通过限制P2P网站、BT网站的方式来控制P2P软件,这种方式基本没有效果,因为只要客户端获取BT的种子文件即可进行下载,况且P2P网站众多,数不胜数。
三、 部署网管软件是否导致网络的一些负面影响。当前国内一些网管软件,包括一些硬件的监控系统都需要部署在局域网的公网出口,这样就需要调整防火墙、路由器等网络设备;同时,一旦这些硬件设备出现故障,就可能导致局域网内大面积掉线的情形,所以这种部署这种网络监控软件将会使得单位内部的局域网处于一种危险的境地;同时国内还有些网管软件需要在被控制的电脑上安装客户端软件,这样一方面会使得客户端较为反感,容易影响工作情绪和对企业的忠诚;另一方面,员工的隐私容易被侵犯,从而使得企业面临着相关的法律风险。而且,具有一定计算机水平的人员,可以将客户端软件卸载、或者通过杀毒软件杀掉客户端,从而逃避网络监控。