聚生網管系統(tǒng)時間管理圖

對于不同的策略可以定義不同的時間管理規(guī)定，而不同的人員相關的主機可以使用不同的策略，因此我們可以完全適應組織內部訪問控制的需求。

WEB過濾網頁的瀏覽是互聯(lián)網訪問的主要內容。組織員工在這方面的往往有一個共同點是，每個人來到辦公室后的第一個工作就是打開瀏覽器，而區(qū)別在于每個人瀏覽的內容差異和沉浸于其中的時間多寡。

一方面，組織的管理者不希望給辦公室營造惡劣的環(huán)境，即使有些員工在八小時內做了很多與工作無關的亊情，組織也不可能安排一個人去專門監(jiān)視他。為了使員工得到更好的心情和滿意度，組織需要一個人性化的環(huán)境。

另一方面，員工對互聯(lián)網的無節(jié)制濫用的確帶來了嚴重的生產力流失。

在絕對禁止和放任自由之間，你可以通過我們的聚生網管系統(tǒng)對Web 頁面的訪問控制來進行人性化的管理。

預定義URL庫

在系統(tǒng)內置庫中有很多URL資料，能夠對娛樂和游戲網站、股票財經網站等進行隔離，并根據管理員的需要能自定義過濾規(guī)則對用戶需要訪問的網頁進行過濾。

自定義URL過濾

自定義過濾，系統(tǒng)支持白名單和黑名單2種情況。管理員可以添加任意一個網址作為白名單，則局域網相關主機只能訪問此網址及其所屬頁面，管理員可以添加一組網址作為白名單。管理員可以添加任意一個網址作為黑名單，則局域網相關主機就不能訪問此網址及其所屬頁面，管理員可以添加一組網址作為黑名單。

聚生網管系統(tǒng)WEB訪問控制圖

禁止代理上網、禁止充當代理服務器

對于禁止上網訪問全部或部分網站的主機，其使用人員可能通過未被禁止的代理服務器來訪問，我們的系統(tǒng)能禁止局域網主機使用Socks、Proxy HTTP等代理訪問外部網絡。同時有可能局域網主機充當代理服務器，系統(tǒng)可以自動限制局域網主機充當代理服務器，以禁止不當局域網擴展。同時，在聚生網管系統(tǒng)還集成了代理服務掃描工具，可以檢測內網那些電腦安裝了代理軟件，并可以將其自動隔離，從而防止其為其他人提供代理上網。

限制訪問的文件類型

作為極端的情況，系統(tǒng)管理員可以禁止全部外部WWW訪問。

對WEB訪問中的下載或打開的文件類型可以進行限制，你可以限制所有的HTTP下載和FTP下載。限制HTTP下載時可以輸入文件后綴名以限制相應格式的文件下載，也可以選擇“嚴格禁止HTTP下載”從而禁止一切HTTP下載；而限制FTP下載，你既可以輸入文件后綴名來進行限制。

聚生網管系統(tǒng)限制普通HTTP下載

帶寬管理在不能改變您的有限出口帶寬情況下，您必須適應現(xiàn)有的帶寬，并且合理地利用好您的有限帶寬，因此對帶寬進行優(yōu)化管理就顯得十分必要。

優(yōu)化組織的廣域網帶寬有多種方法。從上述內容中，你可以知道對組織的部門和個人的上網情況進行分析，并調查清楚是哪些服務占用了最多的出口帶寬。根據這些資料，你心中應該有一個判斷，對占用帶寬最多的資源怎么處理，對互聯(lián)網訪問量最大的部門和個人該如何引導和規(guī)范，這從一定意義上已經屬與技術管理的范疇。

帶寬對關鍵業(yè)務是否能順暢運轉至關重要，在不同的崗位、不同的工作中對帶寬的需求也不盡相同。您可以制定精細化的帶寬流量分配管理策略，合理利用寶貴的帶寬資源。

對用戶設置總帶寬不同的用戶可以分類，對不同的類可以分配不同的總帶寬，也即對每臺主機分配一個總的帶寬，他的全部外部網絡訪問的帶寬總和不能超過這個值。分類標準可以按照網絡實際使用情況，也可以按照員工的職務級別的重要性。

對應用協(xié)議設置總帶寬在外部網絡出口的地方可以按照應用的不同設置各應用類別總的帶寬范圍，對重要的應用保證其網絡通信暢通，對與工作無關的網絡應用限制其帶寬在一個較小的范圍，以保證其它應用不受大的影響。

聚生網管系統(tǒng)限制網速、控制上網帶寬示意圖

基于用戶、應用協(xié)議的帶寬分配策略

不同的員工工作有不同的重要性，不同的應用有不同的重要性和帶寬要求，針對這種情況我們的系統(tǒng)提供了對不同的主機在不同的應用中定義不同的帶寬，以便讓不同的應用按照其重要性有序地在網絡上流動。

例如在100M的出口網絡上的Oracle業(yè)務數(shù)據庫操作頻繁且流量較大，我們可以安排總帶寬30M，市場部門使用量較大，安排每個人的訪問帶寬為2M，而生產部門使用量較小，安排每個人的訪問帶寬為1M；P2P下載軟件不是該組織的基本應用因此可以安排總帶寬10M，相關人員給予500K的帶寬限制；而WEB訪問是頻繁使用且比較重要給予總帶寬45M，每臺主機給予1M的帶寬；而市場部每主機總帶寬限制在5M，生產部每主機總帶寬限制在3M。如下圖所示：

設定上下行流量和總流量

我們提供了多方面的帶寬流量優(yōu)化手段，除了上面介紹的帶寬控制外，還可以設置每天總的上行、下行或總的流量，當一臺主機訪問外部網絡的流量超過設定流量時自動斷開其與外部網絡的連接。總流量限制方法尤其適合需要計費的情況。結合帶寬分配的方法可以適應一個組織的各種特殊需要。如下圖所示：

圖：聚生網管控制網絡流量截圖

2級帶寬管理由于對每個用戶主機的帶寬控制能夠保證每臺主機的帶寬流量受到合理的調配，但網絡出口的總帶寬是有限的，有些應用在出口處的帶寬（如P2P下載）最終可能達到很大，而這不是我們希望的，因為在出口處占用很大的帶寬將使重要的應用得不到保證。例如：每臺主機的視頻流限制在250Kbps，共有300個用戶，則視頻流的總帶寬將有300*250Kbps = 75Mbps，如果是10Mbps的出口，則視頻流的出口帶寬已經大大地超過了總帶寬的范圍。

鑒于上述情況，我們的產品支持2級帶寬管理：

1．對每臺主機帶寬進行劃分管理

2．對網絡總出入口的帶寬進行劃分管理

有了2級帶寬管理，既保證主機級的帶寬合理性，又保證了總出入口的各種應用帶寬的合理性。

對于上面提到的例子，我們可以在出入口總帶寬處設置視頻流的總帶寬為3Mbps，這樣就保證了其它重要應用的帶寬。

并發(fā)連接數(shù)控制

本系統(tǒng)能夠對內部主機訪問外部的并發(fā)連接數(shù)進行控制，管理員可以在幾乎不允許網絡連接的并發(fā)連接數(shù)1到不控制之間任意設置，具有非常大的靈活性?？梢杂行Э刂撇《颈l(fā)后的大量對外垃圾甚至有害連接。

應用控制下面分門別類說明這方面的功能。

即時通訊的管理

騰訊QQ，其每天的上線人數(shù)高達1-2千萬，活躍用戶數(shù)更是超過半億，幾乎覆蓋了中國所有的網民。2006 年12 月底，臺灣地震引起的中美海底通訊光纜斷裂使中美之間的網絡通訊受到了嚴重影響，一時間，中國上千萬的MSN 使用者不知所措。作為對人類社會生活產生最深刻影響的網絡形態(tài)，及時通訊使商業(yè)人士間的溝通超越了空間和時間的限制。

然而，即時通訊軟件的大量使用也造成了員工大量時間的損失和機要信息的泄露。你無法限制員工在上班時間在通過QQ 群開Party,或使用MSN Messenger 和遠在天邊女友視頻聊天。同樣，產品研發(fā)人員與同行業(yè)合作伙伴或競爭對手的網絡對話也存在泄露知識產權的可能。

為了避免上述問題的出現(xiàn)，我們的聚生網管系統(tǒng)對及時通訊可以根據業(yè)務需要制定精細化的網絡聊天監(jiān)控管理策略，在不同時間對不同部門、不同人員施行差異管理方式。

可控制管理多種流行及時通訊軟件，包括：QQ、MSN、雅虎通、AIM(ICQ)、IRC、Google Talk、Skype、網易泡泡、新浪UC、搜Q、淘寶旺旺等。

同時，在聚生網管系統(tǒng)還集成了限制QQ傳輸文件、檢測登錄QQ賬號、只允許指定的QQ賬戶登錄的功能，從而可以對員工使用QQ聊天軟件進行更精細的控制。

聚生網管監(jiān)控即時通訊軟件示意圖

P2P下載控制P2P下載為人們快速共享文件提供了極大的便利，但其強占帶寬資源的特性卻常常影響正常的業(yè)務數(shù)據傳輸。因此P2P是讓人又愛又恨的網絡技術。在內部網P2P下載泛濫時你甚至想揪出P2P 技術的發(fā)明者痛斥一頓，而當你想要下載一部經典老片時，你腦海里第一個浮現(xiàn)的工具可能是迅雷或BT或者電驢。

P2P技術對帶寬資源的爭用使局域網有限的帶寬被耗盡，無論你的帶寬是1M、10M還是100M，只要缺乏對P2P 的有效管理，你內網的用戶永遠會抱怨帶寬不夠。P2P的封堵應該是所有相關系統(tǒng)都需要關注的問題。

對P2P常用的封堵方法是端口封鎖和種子服務器地址（IP）封鎖。通過在訪問控制列表（ACL）中對6881－6890 端口、6969 端口的封堵，可以實現(xiàn)對一些使用靜態(tài)端口的P2P 軟件的封鎖。但更多的BT類軟件尤其是迅雷在端口被封后會嘗試使用HTTP的常用端口來進行連接，例如8080，8000，甚至80 端口，一味的端口封鎖將會導致某些正常HTTP服務無法使用。而種子服務器的封鎖是一種吃力不討好的體力活，每天涌現(xiàn)出的大量種子服務器會讓網管人員忙得焦頭爛額。

一、更有效的封堵方法是基于應用協(xié)議和數(shù)據包特征的分析，深度內容檢測服務（Thorough Content Detection, TCD）可以對迅雷及其它BT類應用的數(shù)據包進行深入檢測。TCD通過分析IP 數(shù)據包首部的服務類型、協(xié)議、源地址、目的地址以及數(shù)據包的數(shù)據部分，實現(xiàn)了從三層到七層的全面內容檢測，能夠更好地發(fā)現(xiàn)哪些服務是P2P類應用。

二、由于TCD 技術將對數(shù)據包進行深入分析，當內網用戶發(fā)出的會話較多時，網關設備也將花費較多的資源來處理更多的數(shù)據包。為了避免大量的數(shù)據包分析帶來的資源消耗，我們采用了網絡流量智能分析技術(Network Traffic Intelligence Analysis , NTIA）。區(qū)別于端口封堵和內容檢測，NTIA 技術將對每一個用戶的網絡連接情況進行分析，當網絡流量和網絡連接超出聚生網管系統(tǒng)系統(tǒng)規(guī)定的閥值時，用戶的P2P下載和上載帶寬將被限制。

最新評論