聚生網(wǎng)管系統(tǒng)時(shí)間管理圖

對(duì)于不同的策略可以定義不同的時(shí)間管理規(guī)定，而不同的人員相關(guān)的主機(jī)可以使用不同的策略，因此我們可以完全適應(yīng)組織內(nèi)部訪問控制的需求。

WEB過濾網(wǎng)頁的瀏覽是互聯(lián)網(wǎng)訪問的主要內(nèi)容。組織員工在這方面的往往有一個(gè)共同點(diǎn)是，每個(gè)人來到辦公室后的第一個(gè)工作就是打開瀏覽器，而區(qū)別在于每個(gè)人瀏覽的內(nèi)容差異和沉浸于其中的時(shí)間多寡。

一方面，組織的管理者不希望給辦公室營造惡劣的環(huán)境，即使有些員工在八小時(shí)內(nèi)做了很多與工作無關(guān)的亊情，組織也不可能安排一個(gè)人去專門監(jiān)視他。為了使員工得到更好的心情和滿意度，組織需要一個(gè)人性化的環(huán)境。

另一方面，員工對(duì)互聯(lián)網(wǎng)的無節(jié)制濫用的確帶來了嚴(yán)重的生產(chǎn)力流失。

在絕對(duì)禁止和放任自由之間，你可以通過我們的聚生網(wǎng)管系統(tǒng)對(duì)Web 頁面的訪問控制來進(jìn)行人性化的管理。

預(yù)定義URL庫

在系統(tǒng)內(nèi)置庫中有很多URL資料，能夠?qū)蕵泛陀螒蚓W(wǎng)站、股票財(cái)經(jīng)網(wǎng)站等進(jìn)行隔離，并根據(jù)管理員的需要能自定義過濾規(guī)則對(duì)用戶需要訪問的網(wǎng)頁進(jìn)行過濾。

自定義URL過濾

自定義過濾，系統(tǒng)支持白名單和黑名單2種情況。管理員可以添加任意一個(gè)網(wǎng)址作為白名單，則局域網(wǎng)相關(guān)主機(jī)只能訪問此網(wǎng)址及其所屬頁面，管理員可以添加一組網(wǎng)址作為白名單。管理員可以添加任意一個(gè)網(wǎng)址作為黑名單，則局域網(wǎng)相關(guān)主機(jī)就不能訪問此網(wǎng)址及其所屬頁面，管理員可以添加一組網(wǎng)址作為黑名單。

聚生網(wǎng)管系統(tǒng)WEB訪問控制圖

禁止代理上網(wǎng)、禁止充當(dāng)代理服務(wù)器

對(duì)于禁止上網(wǎng)訪問全部或部分網(wǎng)站的主機(jī)，其使用人員可能通過未被禁止的代理服務(wù)器來訪問，我們的系統(tǒng)能禁止局域網(wǎng)主機(jī)使用Socks、Proxy HTTP等代理訪問外部網(wǎng)絡(luò)。同時(shí)有可能局域網(wǎng)主機(jī)充當(dāng)代理服務(wù)器，系統(tǒng)可以自動(dòng)限制局域網(wǎng)主機(jī)充當(dāng)代理服務(wù)器，以禁止不當(dāng)局域網(wǎng)擴(kuò)展。同時(shí)，在聚生網(wǎng)管系統(tǒng)還集成了代理服務(wù)掃描工具，可以檢測(cè)內(nèi)網(wǎng)那些電腦安裝了代理軟件，并可以將其自動(dòng)隔離，從而防止其為其他人提供代理上網(wǎng)。

限制訪問的文件類型

作為極端的情況，系統(tǒng)管理員可以禁止全部外部WWW訪問。

對(duì)WEB訪問中的下載或打開的文件類型可以進(jìn)行限制，你可以限制所有的HTTP下載和FTP下載。限制HTTP下載時(shí)可以輸入文件后綴名以限制相應(yīng)格式的文件下載，也可以選擇“嚴(yán)格禁止HTTP下載”從而禁止一切HTTP下載；而限制FTP下載，你既可以輸入文件后綴名來進(jìn)行限制。

聚生網(wǎng)管系統(tǒng)限制普通HTTP下載

帶寬管理在不能改變您的有限出口帶寬情況下，您必須適應(yīng)現(xiàn)有的帶寬，并且合理地利用好您的有限帶寬，因此對(duì)帶寬進(jìn)行優(yōu)化管理就顯得十分必要。

優(yōu)化組織的廣域網(wǎng)帶寬有多種方法。從上述內(nèi)容中，你可以知道對(duì)組織的部門和個(gè)人的上網(wǎng)情況進(jìn)行分析，并調(diào)查清楚是哪些服務(wù)占用了最多的出口帶寬。根據(jù)這些資料，你心中應(yīng)該有一個(gè)判斷，對(duì)占用帶寬最多的資源怎么處理，對(duì)互聯(lián)網(wǎng)訪問量最大的部門和個(gè)人該如何引導(dǎo)和規(guī)范，這從一定意義上已經(jīng)屬與技術(shù)管理的范疇。

帶寬對(duì)關(guān)鍵業(yè)務(wù)是否能順暢運(yùn)轉(zhuǎn)至關(guān)重要，在不同的崗位、不同的工作中對(duì)帶寬的需求也不盡相同。您可以制定精細(xì)化的帶寬流量分配管理策略，合理利用寶貴的帶寬資源。

對(duì)用戶設(shè)置總帶寬不同的用戶可以分類，對(duì)不同的類可以分配不同的總帶寬，也即對(duì)每臺(tái)主機(jī)分配一個(gè)總的帶寬，他的全部外部網(wǎng)絡(luò)訪問的帶寬總和不能超過這個(gè)值。分類標(biāo)準(zhǔn)可以按照網(wǎng)絡(luò)實(shí)際使用情況，也可以按照員工的職務(wù)級(jí)別的重要性。

對(duì)應(yīng)用協(xié)議設(shè)置總帶寬在外部網(wǎng)絡(luò)出口的地方可以按照應(yīng)用的不同設(shè)置各應(yīng)用類別總的帶寬范圍，對(duì)重要的應(yīng)用保證其網(wǎng)絡(luò)通信暢通，對(duì)與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用限制其帶寬在一個(gè)較小的范圍，以保證其它應(yīng)用不受大的影響。

聚生網(wǎng)管系統(tǒng)限制網(wǎng)速、控制上網(wǎng)帶寬示意圖

基于用戶、應(yīng)用協(xié)議的帶寬分配策略

不同的員工工作有不同的重要性，不同的應(yīng)用有不同的重要性和帶寬要求，針對(duì)這種情況我們的系統(tǒng)提供了對(duì)不同的主機(jī)在不同的應(yīng)用中定義不同的帶寬，以便讓不同的應(yīng)用按照其重要性有序地在網(wǎng)絡(luò)上流動(dòng)。

例如在100M的出口網(wǎng)絡(luò)上的Oracle業(yè)務(wù)數(shù)據(jù)庫操作頻繁且流量較大，我們可以安排總帶寬30M，市場(chǎng)部門使用量較大，安排每個(gè)人的訪問帶寬為2M，而生產(chǎn)部門使用量較小，安排每個(gè)人的訪問帶寬為1M；P2P下載軟件不是該組織的基本應(yīng)用因此可以安排總帶寬10M，相關(guān)人員給予500K的帶寬限制；而WEB訪問是頻繁使用且比較重要給予總帶寬45M，每臺(tái)主機(jī)給予1M的帶寬；而市場(chǎng)部每主機(jī)總帶寬限制在5M，生產(chǎn)部每主機(jī)總帶寬限制在3M。如下圖所示：

設(shè)定上下行流量和總流量

我們提供了多方面的帶寬流量?jī)?yōu)化手段，除了上面介紹的帶寬控制外，還可以設(shè)置每天總的上行、下行或總的流量，當(dāng)一臺(tái)主機(jī)訪問外部網(wǎng)絡(luò)的流量超過設(shè)定流量時(shí)自動(dòng)斷開其與外部網(wǎng)絡(luò)的連接?？偭髁肯拗品椒ㄓ绕溥m合需要計(jì)費(fèi)的情況。結(jié)合帶寬分配的方法可以適應(yīng)一個(gè)組織的各種特殊需要。如下圖所示：

圖：聚生網(wǎng)管控制網(wǎng)絡(luò)流量截圖

2級(jí)帶寬管理由于對(duì)每個(gè)用戶主機(jī)的帶寬控制能夠保證每臺(tái)主機(jī)的帶寬流量受到合理的調(diào)配，但網(wǎng)絡(luò)出口的總帶寬是有限的，有些應(yīng)用在出口處的帶寬（如P2P下載）最終可能達(dá)到很大，而這不是我們希望的，因?yàn)樵诔隹谔幷加煤艽蟮膸拰⑹怪匾膽?yīng)用得不到保證。例如：每臺(tái)主機(jī)的視頻流限制在250Kbps，共有300個(gè)用戶，則視頻流的總帶寬將有300*250Kbps = 75Mbps，如果是10Mbps的出口，則視頻流的出口帶寬已經(jīng)大大地超過了總帶寬的范圍。

鑒于上述情況，我們的產(chǎn)品支持2級(jí)帶寬管理：

1．對(duì)每臺(tái)主機(jī)帶寬進(jìn)行劃分管理

2．對(duì)網(wǎng)絡(luò)總出入口的帶寬進(jìn)行劃分管理

有了2級(jí)帶寬管理，既保證主機(jī)級(jí)的帶寬合理性，又保證了總出入口的各種應(yīng)用帶寬的合理性。

對(duì)于上面提到的例子，我們可以在出入口總帶寬處設(shè)置視頻流的總帶寬為3Mbps，這樣就保證了其它重要應(yīng)用的帶寬。

并發(fā)連接數(shù)控制

本系統(tǒng)能夠?qū)?nèi)部主機(jī)訪問外部的并發(fā)連接數(shù)進(jìn)行控制，管理員可以在幾乎不允許網(wǎng)絡(luò)連接的并發(fā)連接數(shù)1到不控制之間任意設(shè)置，具有非常大的靈活性?？梢杂行Э刂撇《颈l(fā)后的大量對(duì)外垃圾甚至有害連接。

應(yīng)用控制下面分門別類說明這方面的功能。

即時(shí)通訊的管理

騰訊QQ，其每天的上線人數(shù)高達(dá)1-2千萬，活躍用戶數(shù)更是超過半億，幾乎覆蓋了中國所有的網(wǎng)民。2006 年12 月底，臺(tái)灣地震引起的中美海底通訊光纜斷裂使中美之間的網(wǎng)絡(luò)通訊受到了嚴(yán)重影響，一時(shí)間，中國上千萬的MSN 使用者不知所措。作為對(duì)人類社會(huì)生活產(chǎn)生最深刻影響的網(wǎng)絡(luò)形態(tài)，及時(shí)通訊使商業(yè)人士間的溝通超越了空間和時(shí)間的限制。

然而，即時(shí)通訊軟件的大量使用也造成了員工大量時(shí)間的損失和機(jī)要信息的泄露。你無法限制員工在上班時(shí)間在通過QQ 群開Party,或使用MSN Messenger 和遠(yuǎn)在天邊女友視頻聊天。同樣，產(chǎn)品研發(fā)人員與同行業(yè)合作伙伴或競(jìng)爭(zhēng)對(duì)手的網(wǎng)絡(luò)對(duì)話也存在泄露知識(shí)產(chǎn)權(quán)的可能。

為了避免上述問題的出現(xiàn)，我們的聚生網(wǎng)管系統(tǒng)對(duì)及時(shí)通訊可以根據(jù)業(yè)務(wù)需要制定精細(xì)化的網(wǎng)絡(luò)聊天監(jiān)控管理策略，在不同時(shí)間對(duì)不同部門、不同人員施行差異管理方式。

可控制管理多種流行及時(shí)通訊軟件，包括：QQ、MSN、雅虎通、AIM(ICQ)、IRC、Google Talk、Skype、網(wǎng)易泡泡、新浪UC、搜Q、淘寶旺旺等。

同時(shí)，在聚生網(wǎng)管系統(tǒng)還集成了限制QQ傳輸文件、檢測(cè)登錄QQ賬號(hào)、只允許指定的QQ賬戶登錄的功能，從而可以對(duì)員工使用QQ聊天軟件進(jìn)行更精細(xì)的控制。

聚生網(wǎng)管監(jiān)控即時(shí)通訊軟件示意圖

P2P下載控制P2P下載為人們快速共享文件提供了極大的便利，但其強(qiáng)占帶寬資源的特性卻常常影響正常的業(yè)務(wù)數(shù)據(jù)傳輸。因此P2P是讓人又愛又恨的網(wǎng)絡(luò)技術(shù)。在內(nèi)部網(wǎng)P2P下載泛濫時(shí)你甚至想揪出P2P 技術(shù)的發(fā)明者痛斥一頓，而當(dāng)你想要下載一部經(jīng)典老片時(shí)，你腦海里第一個(gè)浮現(xiàn)的工具可能是迅雷或BT或者電驢。

P2P技術(shù)對(duì)帶寬資源的爭(zhēng)用使局域網(wǎng)有限的帶寬被耗盡，無論你的帶寬是1M、10M還是100M，只要缺乏對(duì)P2P 的有效管理，你內(nèi)網(wǎng)的用戶永遠(yuǎn)會(huì)抱怨帶寬不夠。P2P的封堵應(yīng)該是所有相關(guān)系統(tǒng)都需要關(guān)注的問題。

對(duì)P2P常用的封堵方法是端口封鎖和種子服務(wù)器地址（IP）封鎖。通過在訪問控制列表（ACL）中對(duì)6881－6890 端口、6969 端口的封堵，可以實(shí)現(xiàn)對(duì)一些使用靜態(tài)端口的P2P 軟件的封鎖。但更多的BT類軟件尤其是迅雷在端口被封后會(huì)嘗試使用HTTP的常用端口來進(jìn)行連接，例如8080，8000，甚至80 端口，一味的端口封鎖將會(huì)導(dǎo)致某些正常HTTP服務(wù)無法使用。而種子服務(wù)器的封鎖是一種吃力不討好的體力活，每天涌現(xiàn)出的大量種子服務(wù)器會(huì)讓網(wǎng)管人員忙得焦頭爛額。

一、更有效的封堵方法是基于應(yīng)用協(xié)議和數(shù)據(jù)包特征的分析，深度內(nèi)容檢測(cè)服務(wù)（Thorough Content Detection, TCD）可以對(duì)迅雷及其它BT類應(yīng)用的數(shù)據(jù)包進(jìn)行深入檢測(cè)。TCD通過分析IP 數(shù)據(jù)包首部的服務(wù)類型、協(xié)議、源地址、目的地址以及數(shù)據(jù)包的數(shù)據(jù)部分，實(shí)現(xiàn)了從三層到七層的全面內(nèi)容檢測(cè)，能夠更好地發(fā)現(xiàn)哪些服務(wù)是P2P類應(yīng)用。

二、由于TCD 技術(shù)將對(duì)數(shù)據(jù)包進(jìn)行深入分析，當(dāng)內(nèi)網(wǎng)用戶發(fā)出的會(huì)話較多時(shí)，網(wǎng)關(guān)設(shè)備也將花費(fèi)較多的資源來處理更多的數(shù)據(jù)包。為了避免大量的數(shù)據(jù)包分析帶來的資源消耗，我們采用了網(wǎng)絡(luò)流量智能分析技術(shù)(Network Traffic Intelligence Analysis , NTIA）。區(qū)別于端口封堵和內(nèi)容檢測(cè)，NTIA 技術(shù)將對(duì)每一個(gè)用戶的網(wǎng)絡(luò)連接情況進(jìn)行分析，當(dāng)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接超出聚生網(wǎng)管系統(tǒng)系統(tǒng)規(guī)定的閥值時(shí)，用戶的P2P下載和上載帶寬將被限制。

最新評(píng)論