說起上網(wǎng)行為管理設(shè)備�,我想只要是做過企業(yè)網(wǎng)管,或者系統(tǒng)集成商的網(wǎng)絡(luò)工程師就一定不會(huì)陌生���,因?yàn)楝F(xiàn)在已經(jīng)進(jìn)入到了互聯(lián)網(wǎng)+的時(shí)代了�,企業(yè)內(nèi)部的辦公人員上網(wǎng)也是多種多樣�。在前幾年,有的企業(yè)可能對在單位員工上網(wǎng)的事情沒有一個(gè)統(tǒng)一的管理�,就會(huì)造成一種無
說起上網(wǎng)行為管理設(shè)備,我想只要是做過企業(yè)網(wǎng)管,或者系統(tǒng)集成商的網(wǎng)絡(luò)工程師就一定不會(huì)陌生����,因?yàn)楝F(xiàn)在已經(jīng)進(jìn)入到了互聯(lián)網(wǎng)+的時(shí)代了����,企業(yè)內(nèi)部的辦公人員上網(wǎng)也是多種多樣�����。在前幾年����,有的企業(yè)可能對在單位員工上網(wǎng)的事情沒有一個(gè)統(tǒng)一的管理�,就會(huì)造成一種無法控制的局面:
例如:有的員工上班時(shí)炒股票,有的員工瀏覽購物網(wǎng)站�����,有的員工看電視劇�,電影。有的員工利用單位的網(wǎng)絡(luò)下載車載音樂�����,甚至有的員工還用BT,迅雷這種極大占用網(wǎng)絡(luò)帶寬的軟件下載游戲等等�。
其實(shí)這種事情有過企業(yè)網(wǎng)管從業(yè)經(jīng)歷的朋友一定會(huì)覺得這怎么這么熟悉啊�����,(特別是一些大型的私企)這好像就是說的我們公司啊���,呵呵。����。
當(dāng)然這種事情在一個(gè)大型的網(wǎng)絡(luò)當(dāng)中是司空見慣的了,但是你作為一個(gè)單位的企業(yè)網(wǎng)管�����,或者單位的領(lǐng)導(dǎo)也已經(jīng)發(fā)現(xiàn)了這樣的事情�,責(zé)令你要把這件事情解決,或者要求你有一個(gè)整體對于網(wǎng)絡(luò)的一個(gè)管理規(guī)則���,那你這時(shí)候要怎么做呢��?����?偛荒軐T工一個(gè)個(gè)進(jìn)行思想教育吧�。
在甲方(當(dāng)企業(yè)網(wǎng)管)的朋友這個(gè)也知道單位的系統(tǒng)管理員,或者說是企業(yè)網(wǎng)管是沒有行政處罰的權(quán)利的�,而在乙方(當(dāng)網(wǎng)絡(luò)工程師的朋友)更是不會(huì)幫你處理單位的這種需求,所以“上網(wǎng)行為管理設(shè)備”這種東西就應(yīng)運(yùn)而生了���。
那么什么是“上網(wǎng)行為管理”設(shè)備呢�����,其實(shí)上網(wǎng)行為管理設(shè)備和路由器����,交換機(jī)一樣�����,都是網(wǎng)絡(luò)設(shè)備的一種��,只不過是部署在防火墻的后面的一種設(shè)備��,通過這種設(shè)備可以把單位內(nèi)部上外網(wǎng)的行為來進(jìn)行統(tǒng)一而有效的管理���。
目前在單位甲方(企業(yè)網(wǎng)管)或者乙方(系統(tǒng)集成公司)經(jīng)常見到的,或者說是這個(gè)市場占有率比較大的����,做的比較好的��,就是2種設(shè)備�。
第一種就是:深信服的上網(wǎng)行為管理設(shè)備����。
第二種就是:網(wǎng)康的上網(wǎng)行為管理設(shè)備。
如圖所示:這個(gè)就是深信服的上網(wǎng)行為管理設(shè)備了
深信服的產(chǎn)品體系�����,是以“SANGFOR AC XXXX”這個(gè)名字來命名的��。
什么意思呢�,SANGFOR AC 1100 就是代表1100系類的上網(wǎng)行為管理設(shè)備。SANGFOR AC 2200就是代表2200系列的上網(wǎng)行為管理設(shè)備����,區(qū)別就是數(shù)字越大代表的型號就越高端,功能就越多�,性能就越好,支持的人數(shù)就越多����。比如1100系列較多支持的人數(shù)是100人�����,而2200系列可能就是200人����。以此類推��。
第二種就是:網(wǎng)康的上網(wǎng)行為管理設(shè)備�,如圖所示。
這個(gè)就是網(wǎng)康的上網(wǎng)行為管理設(shè)備了����。
網(wǎng)康的產(chǎn)品體系是以“網(wǎng)康NI XXXX”這個(gè)名字來命名的。
什么意思呢�,XXXX代表的是數(shù)字,例如:網(wǎng)康NI 3000 就代表網(wǎng)康NI3000系列的產(chǎn)品�。和深信服一樣����,數(shù)字越大代表的型號就越高端,功能就越多�����,性能就越好,支持的人數(shù)就越多�。
那么上網(wǎng)行為管理設(shè)備又是如何在企業(yè)(單位)當(dāng)中部署的呢,其實(shí)這個(gè)很簡單���,部署圖如下:
從圖上可以看出�����,上網(wǎng)行為管理設(shè)備���,是運(yùn)行在網(wǎng)絡(luò)出口(路由器,防火墻)的后面的���,部署模式是“橋接”(這個(gè)橋接是在設(shè)備里面做配置時(shí)的叫法)或者叫做“透明模式”��,直接串聯(lián)在網(wǎng)絡(luò)當(dāng)中�。
那么今天這篇文章��,就是基于“深信服”這個(gè)設(shè)備來給大家介紹下具體的應(yīng)用��。
1.當(dāng)設(shè)備在網(wǎng)絡(luò)中部署好后����,就可以通過WEB界面來進(jìn)行設(shè)備的設(shè)置了��。這里需要說明下���,這種設(shè)備很好學(xué)習(xí)和使用,因?yàn)槎际峭ㄟ^WEB界面來管理����,界面也做的十分友好,所以就算是第一次接觸設(shè)備的朋友也不用擔(dān)心���。如圖所示:
在這個(gè)界面當(dāng)中����,輸入用戶名和密碼就可以直接使用了���。
2.進(jìn)入設(shè)備后��,就可以看出整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量使用情況�����。如圖所示:
是不是很直觀呢,通過WEB界面直接就可以看到,單位內(nèi)部的網(wǎng)絡(luò)資源使用情況���,非常的詳細(xì)�,比如目前在單位中這個(gè)網(wǎng)絡(luò)程序應(yīng)用流量的排名����,具體到每個(gè)IP地址所使用的帶寬流量。還有整個(gè)網(wǎng)絡(luò)在線用戶數(shù)等等����。在左邊的“導(dǎo)航菜單”中可以對設(shè)備進(jìn)行設(shè)置,比如做策略��,把單位的用戶分組��,網(wǎng)絡(luò)接口的配置�����,等等��。界面也是很友好的���。一目了然�����。
3.部署模式的選擇
這個(gè)就是我剛才給大家說的設(shè)備部署模式了����,有3種模式可以選擇,分別是“路由模式” “網(wǎng)橋模式”和“旁路模式”
路由模式-就是把設(shè)備當(dāng)成路由器使用�����。
網(wǎng)橋模式-這個(gè)就是我剛才給大家說的那個(gè)“透明模式”(在部署的時(shí)候�,都是用的這個(gè)模式)
旁路模式-這個(gè)需要做端口鏡像,一般不推薦��。
4.進(jìn)行網(wǎng)絡(luò)帶寬的設(shè)備和管理����。
這個(gè)網(wǎng)絡(luò)帶寬的管理也是其中一項(xiàng)重要的功能,這個(gè)就是說你可以集中管理單位的網(wǎng)絡(luò)出口帶寬��,也就是常說的“分帶寬”功能�。
比如你們單位的出口帶寬是50M光纖,同時(shí)�,你們單位內(nèi)部還建設(shè)有無線WIFI網(wǎng)絡(luò),作為企業(yè)網(wǎng)管的你��,想把其中的15M分給無線WIFI使用,其余的35M分給有線網(wǎng)絡(luò)使用��。這種想法在這個(gè)界面就可以實(shí)施����。
5.對企業(yè)內(nèi)部用戶進(jìn)行分組�����,和分策略
在這個(gè)界面當(dāng)中就可以對單位內(nèi)部用戶進(jìn)行分組���,設(shè)備安裝好后�����,用戶都默認(rèn)在“Default"組�����,這里就可以根據(jù)單位的實(shí)際情況來劃分不同的用戶組����,比如劃分成�,老總組��,經(jīng)理組�,主管組���,普通員工組�����。
然后再把對應(yīng)的IP地址直接放到組里面就可以了�����。
6.根據(jù)單位實(shí)際需求來設(shè)置上網(wǎng)策略
這個(gè)可以說是整個(gè)“上網(wǎng)行為管理”設(shè)備的重要部分了���,就是做策略,也就是俗稱的“上網(wǎng)權(quán)限”
注意:有人看到這里會(huì)說了���,“不就是做個(gè)上網(wǎng)策略么�����,在路由器或者防火墻上做ACL就可以了�,還用得著這個(gè)設(shè)備���,我對做ACL的速度和技術(shù)很有信心” 但是我要說的是�,在這個(gè)設(shè)備上做策略和在防火墻,路由器上是完全不一樣的���。
這個(gè)設(shè)備是完全基于“應(yīng)用層”和“應(yīng)用程序”來做的���,針對性非常強(qiáng)��,效果也非常好��。直接限制的是應(yīng)用程序本身���。而防火墻和路由器是針對“網(wǎng)絡(luò)層”來做的����。這個(gè)性質(zhì)就不一樣�����。如果一款軟件可以通過多個(gè)端口號�,還有很多個(gè)遠(yuǎn)程服務(wù)器的話,在做ACL����。用ACL來控制����,那么這個(gè)工作量是巨大的���。
這個(gè)就可以結(jié)合設(shè)備對單位內(nèi)部人員的分組��,進(jìn)行控制了�,比如;在老總組里面的IP�����,是上網(wǎng)不做限制的��?��?梢噪S意上網(wǎng)�����,而經(jīng)理組的IP只可以上普通的互聯(lián)網(wǎng)�����,而不能看視頻���,用炒股軟件�。都可以實(shí)現(xiàn)���。這樣既可以把企業(yè)內(nèi)部的網(wǎng)絡(luò)資源進(jìn)行很好的利用��,也可以對企業(yè)內(nèi)部員工上網(wǎng)的的行為進(jìn)行一個(gè)統(tǒng)一而有效的管理����。特別適合在甲方(企業(yè)網(wǎng)管)的人使用���。
