上网行为管理设备的介绍,部署与使用

  提及上网行为管理设备，我想只要是作过企业网管,或者系统集成商的网络工程师就必定不会陌生，由于如今已经进入到了互联网+的时代了，企业内部的办公人员上网也是多种多样。在前几年，有的企业可能对在单位员工上网的事情没有一个统一的管理，就会形成一种没法控制的局面：

 

  例如：有的员工上班时炒股票，有的员工浏览购物网站，有的员工看电视剧，电影。有的员工利用单位的网络下载车载音乐，甚至有的员工还用BT,迅雷这种极大占用网络带宽的软件下载游戏等等。

 

  其实这种事情有过企业网管从业经历的朋友必定会以为这怎么这么熟悉啊，（特别是一些大型的私企）这好像就是说的咱们公司啊，呵呵。。

  固然这种事情在一个大型的网络当中是司空见惯的了，可是你做为一个单位的企业网管，或者单位的领导也已经发现了这样的事情，责令你要把这件事情解决，或者要求你有一个总体对于网络的一个管理规则，那你这时候要怎么作呢。总不能对员工一个个进行思想教育吧。

  在甲方（当企业网管）的朋友这个也知道单位的系统管理员，或者说是企业网管是没有行政处罚的权利的，而在乙方（当网络工程师的朋友）更是不会帮你处理单位的这种需求，因此“上网行为管理设备”这种东西就应运而生了。

 

  那么什么是“上网行为管理”设备呢，其实上网行为管理设备和路由器，交换机同样，都是网络设备的一种，只不过是部署在防火墙的后面的一种设备，经过这种设备能够把单位内部上外网的行为来进行统一而有效的管理。

 

  目前在单位甲方（企业网管）或者乙方（系统集成公司）常常见到的，或者说是这个市场占有率比较大的，作的比较好的，就是2种设备。

 

第一种就是：深信服的上网行为管理设备。

第二种就是：网康的上网行为管理设备。

如图所示：这个就是深信服的上网行为管理设备了

深信服的产品体系，是以“SANGFOR AC XXXX”这个名字来命名的。

什么意思呢，SANGFOR AC 1100 就是表明1100系类的上网行为管理设备。SANGFOR AC 2200就是表明2200系列的上网行为管理设备，区别就是数字越大表明的型号就越高端，功能就越多，性能就越好，支持的人数就越多。好比1100系列最多支持的人数是100人，而2200系列可能就是200人。以此类推。

第二种就是：网康的上网行为管理设备，如图所示。

这个就是网康的上网行为管理设备了。

 

网康的产品体系是以“网康NI XXXX”这个名字来命名的。

什么意思呢，XXXX表明的是数字，例如：网康NI 3000 就表明网康NI3000系列的产品。和深信服同样，数字越大表明的型号就越高端，功能就越多，性能就越好，支持的人数就越多。

那么上网行为管理设备又是如何在企业（单位）当中部署的呢，其实这个很简单，部署图以下：

从图上能够看出，上网行为管理设备，是运行在网络出口（路由器，防火墙）的后面的，部署模式是“桥接”（这个桥接是在设备里面作配置时的叫法）或者叫作“透明模式”，直接串联在网络当中。

那么今天这篇文章，就是基于“深信服”这个设备来给你们介绍下具体的应用。

1.当设备在网络中部署好后，就能够经过WEB界面来进行设备的设置了。这里须要说明下，这种设备很好学习和使用，由于都是经过WEB界面来管理，界面也作的十分友好，因此就算是第一次接触设备的朋友也不用担忧。如图所示：

在这个界面当中，输入用户名和密码就能够直接使用了。

2.进入设备后，就能够看出整个网络的数据流量使用状况。如图所示：

是否是很直观呢，经过WEB界面直接就能够看到，单位内部的网络资源使用状况，很是的详细，好比目前在单位中这个网络程序应用流量的排名，具体到每一个IP地址所使用的带宽流量。还有整个网络在线用户数等等。在左边的“导航菜单”中能够对设备进行设置，好比作策略，把单位的用户分组，网络接口的配置，等等。界面也是很友好的。一目了然。

3.部署模式的选择

这个就是我刚才给你们说的设备部署模式了，有3种模式能够选择，分别是“路由模式” “网桥模式”和“旁路模式”  

路由模式-就是把设备当成路由器使用。

网桥模式-这个就是我刚才给你们说的那个“透明模式”(在部署的时候，都是用的这个模式）

旁路模式-这个须要作端口镜像，通常不推荐。

4.进行网络带宽的设备和管理。

这个网络带宽的管理也是其中一项重要的功能，这个就是说你能够集中管理单位的网络出口带宽，也就是常说的“分带宽”功能。

好比大家单位的出口带宽是50M光纤，同时，大家单位内部还建设有无线WIFI网络，做为企业网管的你，想把其中的15M分给无线WIFI使用，其他的35M分给有线网络使用。这种想法在这个界面就能够实施。

5.对企业内部用户进行分组，和分策略

在这个界面当中就能够对单位内部用户进行分组，设备安装好后，用户都默认在“Default"组，这里就能够根据单位的实际状况来划分不一样的用户组，好比划分红，老总组，经理组，主管组，普通员工组。

而后再把对应的IP地址直接放到组里面就能够了。

6.根据单位实际需求来设置上网策略

这个能够说是整个“上网行为管理”设备的重要部分了，就是作策略，也就是俗称的“上网权限”

注意：有人看到这里会说了，“不就是作个上网策略么，在路由器或者防火墙上作ACL就能够了，还用得着这个设备，我对作ACL的速度和技术颇有信心” 可是我要说的是，在这个设备上作策略和在防火墙，路由器上是彻底不同的。

  这个设备是彻底基于“应用层”和“应用程序”来作的，针对性很是强，效果也很是好。直接限制的是应用程序自己。而防火墙和路由器是针对“网络层”来作的。这个性质就不同。若是一款软件能够经过多个端口号，还有不少个远程服务器的话，在作ACL。用ACL来控制，那么这个工做量是巨大的。

  这个就能够结合设备对单位内部人员的分组，进行控制了，好比；在老总组里面的IP，是上网不作限制的。能够随意上网，而经理组的IP只能够上普通的互联网，而不能看视频，用炒股软件。均可以实现。这样既能够把企业内部的网络资源进行很好的利用，也能够对企业内部员工上网的的行为进行一个统一而有效的管理。特别适合在甲方（企业网管）的人使用。