上网行为管理是目前非常热门的一个概念,随着企业企业信息化的大发展,大多数企业都实现了电脑办公,而互联网上充满了各种新闻,游戏,视频,音乐等娱乐网站,员工如果大量沉溺在娱乐网站中,会影响企业办公的效率,因此,以上网行为管理为卖点的路由器/防火墙(以下简称上网行为管理路由器)开始成为市场的热点,越来越受到系统集成商和企业用户的青睐。
那么,问题来了,什么是上网行为管理路由器,什么样的上网行为管理路由器才是好的上网行为路由器呢?
本文将剖析上网究竟会产生哪些行为,介绍究竟什么样的路由器才能很好的完成上网行为管理工作,从而成为一台的好的上网行为管理路由器。当然,上网本身不是坏事,企业正常工作收发邮件,访问ERP系统,使用协同办公系统都需要使用网络,本文提到的上网行为,主要是非工作的上网行为。
上网行为分类:
-
通过浏览器的上网娱乐。访问视频网站(优酷,土豆等),刷微博,玩网页游戏,在线听音乐等等,这些都是最为典型的非工作上网行为,会占用大量的工作时间,影响工作效率
-
通过手机APP的上网娱乐。很多公司都提供了Wifi,员工到公司后把iPad,手机等连入wifi,然后在移动设备上玩游戏,看视频等。由于移动设备较小,这类行为也会较为隐蔽,比较不容易被主管发现。
-
通过电脑上客户端炒股,听音乐,看视频等。有些应用,类似于各种炒股软件,都是不是用浏览器打开的。每当股市长红,上班炒股就成为了很多公司的主旋律。
针对以上上网行为,传统的路由器,防火墙设备要如何应对呢?
传统的路由器/防火墙是基于IP,端口的防火墙规则,需要知道想要屏蔽的网络应用的IP,端口。对于通过浏览器的上网娱乐来说,所有的通讯都是基于HTTP/HTTPS,端口是80和443,如果把80和443全部阻挡,那正常的工作也就无法开展了,因为大部分企业的办公系统甚至邮件系统都是基于浏览器的。
对于手机APP和客户端的娱乐,更是麻烦,因为每个应用使用什么IP,端口都是未知的,网管人员需要高超的分析能力才能找到某个应用的IP,端口,有的客户端直接使用了HTTP端口,这就让阻挡难度变得更大。
是不是可以通过把服务器IP都找出来的方式来屏蔽呢?这也是个很笨的方法,因为,中国的网络应用往往都由大型公司运营,服务器都是集群式的,拥有大量的IP,挡住一个,另一个就会替代上来,想找到所有的IP非常难,而且还有可能随时有新的IP加入。
根据以上分析,传统的路由器,防火墙设备在现在这个全民上网的时代,是束手无策的,毫不夸张的说,对于企业市场来说,传统路由器/防火墙已死。
那么,新型的上网行为管理路由器如何解决这个问题?
-
网页分类过滤器:通过网络爬虫技术,大数据分析技术,对互联网上的网页进行不断的抓取和分析,将其自动化的分类成不同的网络分类,例如:新闻类,游戏类,视频类。将其集成到上网行为管理路由器中,管理员可以通过勾选分类实现整个网站大类的屏蔽。网络管理员可以傲娇的说,妈妈再也不用担心我挡不了员工上网娱乐而被老板炒掉了
-
URL过滤器:有些网站由于比较小众,可能没被上述的网页分类过滤器加入到数据库,那么,URL过滤器就可以成为非常好的补充,通过设定关键词,就可以简单的实现过滤。例如,我们发现很多在线新闻网站的域名里面都含有news字样,我们就可以简单的把news作为一个阻挡关键词,这样所有的域名含news的网站都无法使用了。
-
APP管制:手机App众多,低头党众多,阻挡手机App和电脑上各种软件(例如炒股)就变得非常重要。通过分析App的连接服务器时的特征码,将各种特征码集成到路由器,就可以让网络管理员透过简单的网页勾选,实现阻挡。
-
DNS过滤器:最为简单粗暴的方式。绝大多数网络应用,无论是网页还是app,都需要首先进行DNS查询来获取自己要连接的IP地址(解析结果可能是很多个IP)。有些应用,如果还没有集成到APP管制列表,可以使用DNS过滤器。例如:设置v.qq.com作为过滤关键词,所有连向腾讯视频服务器集群的应用都会被阻断。
不难看出,通过以上的四种新型防火墙功能,管理员基本上可以非常方便的解决现代网络管理中心的大多数问题,集成上网行为管理功能的路由器/防火墙,是企业在更新/采购路由器/防火墙时的不二之选。
居易科技(Draytek)推出的Vigor 2912,Vigor 2920,Vigor 2922,Vigor 2960,Vigor 3900系列产品都是新一代上网行为管理型路由器(防火墙),可以满足不同规模企业的需求。VigorFly210也有上网行为管理部分,只不过是简化版,只支持部分功能。
