第一 產品功能的完善
就功能而言����,目前上網行為管理產品已經從先前單一的"網頁過濾"功能發(fā)展到目前"應用控制"����、"帶寬管理"�����、"內容審計"等諸多功能�����,從多個維度全面滿足用戶對互聯網的控制管理需求�。為了實現這些功能,上網行為管理產品背后有3個大的數據庫作為支撐����,這就是"網頁過濾數據庫"、"應用協議數據庫"和"用戶上網行為日志庫"��。由于互聯網內容的瞬息萬變�����,上網行為管理產品特別要注重網頁過濾數據庫以及應用協議數據庫的內容豐富和持續(xù)更新�。
宋強認為,網頁過濾數據庫以及應用協議數據庫的豐富和更新主要體現在三個方面:首先,是對國內中文網頁���、主流網絡應用的全面覆蓋���。其次,是對國內中文網址的變更以及對各類主流應用不同版本的快速跟進�����。最后��,是對各種網頁的精確分類��,對各種應用協議的精確識別��,特別是對加密協議的有效識別��。"上網行為管理廠商需要長期堅持不懈地完善網頁過濾數據庫和應用協議數據庫��,持續(xù)不斷優(yōu)化產品���,給客戶帶來更大的價值���。"
圖一 上網行為管理產品功能架構
第二 產品性能的提升
上網行為管理設備承載著用戶所有的互聯網訪問信息���,它的性能將直接影響到用戶網絡的性能��。而且,隨著用戶規(guī)模的擴大��,用戶群體對上網行為管理設備的性能提出了更高的要求���,這意味著上網行為管理產品的性能必然要"精益求精"���、"與時俱進"。
宋強認為��,上網行為管理設備性能方面的提升主要體現在"大流量"��、"高并發(fā)"這兩方面,具體包括"吞吐量"�、"并發(fā)連接數"、"新建連接數"等指標����。吞吐量越大,上網行為管理設備的數據轉發(fā)能力越強����,用戶所感受的網速越快;并發(fā)連接數越大��,單位時間內保持的連接數越高��,設備可管理的用戶數量越多�;新建連接數越大,單位時間內新增連接數越多�,設備對網絡突發(fā)流量的處理能力越強。因此說�����,"大流量和高并發(fā)是檢驗上網行為管理硬件性能的試金石���。"
第三 提高網絡的適應性
宋強認為��,上網行為管理產品網絡適應性的提升可以從三個層面來理解:首先��,是對網絡現狀的靈活適應�,對拓撲結構的適應��。一般說來�,用戶在IT技術設施(路由器、交換機����、防火墻等)規(guī)劃得相對完善之后,才會選購上網行為管理設備����。在這種情況下,新系統(tǒng)的部署不能傷害整網的架構���,也不能影響到其他設備的性能�����。所以�����,靈活接入是我們構建互聯網體系很重要的一部分�����。
無論是出口的路由����,單鏈路、雙鏈路串行接入��,無論是否使用了代理服務器�,網康上網行為管理產品都可以實現 "無痛接入"。網康設備可以"悄悄"進入到網絡系統(tǒng)中�����,不影響網絡固有的架構和"筋骨"�����,能夠全面滿足用戶對上網行為管理產品的網絡適應性����,特別是拓撲的靈活性等需求。
圖二 網康上網行為管理產品的多種接入模式
其次�,對用戶的識別要兼容現有的管理方式。上網行為管理設備是管理互聯網行為主體的��,也就是管理"人"的��,因此首先要識別用戶���。在企業(yè)網內或是局域網內��,用戶個體以IP方式體現���,具體的IP對應著具體的員工。但是����,系統(tǒng)管理員如何將種對應方式錄入到上網行為管理設備中呢�?
對 于大多數企業(yè)而言,在部署上網行為管理設備之前���,企業(yè)已經建立起了各種各樣的身份識別系統(tǒng)(比如計費系統(tǒng)����、安全管理系統(tǒng)等)�,新進入的上網行為管理系統(tǒng)在 識別方面只需與原有系統(tǒng)做好兼容即可���,這樣既能提高效率,也便于實現人性化的操作與管理。例如,某企業(yè)使用windows AD域登陸入網����,部署上網行為管理設備時�����,便可援引AD域中的員工賬號��,獲得用戶資質的對應項���。
但是�����,原有的管理方式也會對上網行為管理設備提出新的挑戰(zhàn)和要求。由于用戶管理方式的復雜多樣�����,新進入的上網行為管理產品想要適應原來的環(huán)境��,也必須經過持續(xù)不斷的努力和探索�����。
目 前���,網康上網行為管理產品可以滿足各種復雜網絡環(huán)境����,支持按照IP�����、MAC識別用戶的方法,也支持基于網關本地用戶名/密碼方式的Web認證方式�。此外���, 還支持通過第三方認證服務器(如Radius服務器�,Windows AD域服務器����,LDAP服務器等)對用戶進行認證。
圖三 網康上網行為管理產品建立實名制主體識別
最后��,上網行為管理設備必須關注新設備與老設備的互動���,能夠對先前部署的設備進行"統(tǒng)一管理"�����。路由器�����、交換機��、防火墻���、防病毒����、反垃圾等設備都是串接入網 的���。在這種情況下���,假如系統(tǒng)中又部署了上網行為管理設備�����,我們能否在一個界面上看到所有設備的運行信息����?能否有一個統(tǒng)一的信息管理平臺?"作為一 個晚進入的設備���,上網行為管理產品必須要接受統(tǒng)一信息管理及信息查詢互動�����。"宋強認為��,上網行為管理產品應該把基本信息傳給系統(tǒng)中的其他網絡設備���,同時跟 這些設備互動�、兼容。比如說�����,防病毒硬件反饋某個IP中了蠕蟲���,那么上網行為管理設備就應該有一個對應的反應����,如提示管理員加載一個策略�,說明這個IP存 在異常,不允許它在系統(tǒng)中發(fā)包�����。這就是上網行為管理產品與其他軟硬件的互動。
目前�����,安全界有個叫Socks的理念(整體安全管理方案)����,它的思路是實現統(tǒng)一的安全管理,把防火墻�����、IDS���、防病毒等設備以及一些日志統(tǒng)一監(jiān)控并管理起來。如果上網行為管理用戶日志也可以納入其中�����,進行統(tǒng)一分析的話�,就實現了日志信息的全面管理和統(tǒng)一管理。
由此帶來的好處是顯而易見的����?�?梢韵胂?�,假如某一用戶想看路由器�、交換機����、防火墻這三種網絡設備的運行情況,他只需登陸上網行為管理平臺即可查詢到所有數據�,而不需要重復進入這三種設備的界面。這不僅有利于提升效率���,更有助于網管人員對網絡進行統(tǒng)一管理�����。
" 孤島性的設備是沒有前途的����。"宋強認為���,當上網行為管理產品發(fā)展到一定階段時���,一定會考慮體系性地管理整個網絡設備����。"網絡適應性就體現在三方面��,第一是 設備能不能放進去�����,拓撲是否靈活���;第二是用戶的管理����,能不能跟現有的管理方式融合和交互���;第三就是信息日志跟別的設備��、網管系統(tǒng)能不能融合,這都是以后要 發(fā)展的趨勢�。上網行為管理廠商需要長期不懈,堅持不懈的朝著這些方向努力�����。"
第四 深入挖掘日志 進行深度分析
宋強認 為,上網行為管理產品不僅僅是保障員工高效上網��,保障企業(yè)網絡安全的����,更重要的是,它要得到管理層的認可�,并且用實際的數據來體現它的價值,比如對公司的 成本控制�,對公司的效益的分析需要具體的數字支撐,對員工工作效率的提升可以量化成某種指標����。在此基礎上,上網行為管理產品最終可以體現為"報表"����。IT 管理員每周、每個月����、每季度可以通過這樣一個報表來展現信息,說明員工每天上網時長��,上哪類網站�����,使用哪種下載工具,下載哪類資料�,同時說明企業(yè)所租用的 帶寬有多少是有效的,多少是被浪費的�,讓管理層一目了然地了解信息網絡的使用狀況。
"上網行為管理日志庫中記錄著海量的數據����,其中有很 多有規(guī)律的資訊、有很多有價值的信息���,如果挖掘出來為企業(yè)發(fā)展服務的話�����,一定能產生更多的效益��。"比如說��,一個大企業(yè)一天可能產生幾G的數據��,一個月就有 上百G,如果能將其中企業(yè)網絡的運營效率�����,人員的工作狀態(tài)進行全面分析的話,將是一種很有意義的嘗試���。這正體現了"商業(yè)智能"(BI��,Business Intelligence)的概念�,將企業(yè)中現有的數據轉化為知識�,幫助企業(yè)做出明智的業(yè)務經營決策。因此說����,深入挖掘信息,從信息中提煉價值����,絕對是上 網行為管理產品未來發(fā)展的方向之一。
