網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)采用基于“創(chuàng)新直連”架構(gòu)的部署方式,與國(guó)內(nèi)主流網(wǎng)管系統(tǒng)完全不同,具有明顯的領(lǐng)先優(yōu)勢(shì)。“創(chuàng)新直連”這一概念由大勢(shì)至(北京)軟件工程有限公司(http://www.grabsun.com/)首先在網(wǎng)管軟件領(lǐng)域提出。顧名思義,就是將上網(wǎng)行為管理系統(tǒng)(或設(shè)備)直接(同時(shí)也只需要)連接交換機(jī)或者路由器等網(wǎng)絡(luò)設(shè)備即可實(shí)現(xiàn)對(duì)交換機(jī)下面所有電腦的上網(wǎng)行為的全面監(jiān)控,不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出任何調(diào)整,也不需要添加額外的硬件設(shè)備。同時(shí),如果在某些情況下需要停止本監(jiān)控設(shè)備的運(yùn)轉(zhuǎn),則可以將本設(shè)備直接移除網(wǎng)絡(luò)即可自動(dòng)導(dǎo)通,對(duì)網(wǎng)絡(luò)沒(méi)有任何影響,對(duì)局域網(wǎng)來(lái)說(shuō)是全透明部署。
當(dāng)前國(guó)內(nèi)主流的網(wǎng)管系統(tǒng)一般是通過(guò)旁路、串接(網(wǎng)關(guān))的等四種方式來(lái)部署。旁路的方式一般是需要在交換機(jī)做端口鏡像、部署HUB集線(xiàn)器或者代理服務(wù)器的方式;而串接和橋接的部署方式,一般是通過(guò)在監(jiān)控設(shè)備里面部署至少兩塊網(wǎng)卡,一塊網(wǎng)卡連接三層交換機(jī),另外一塊網(wǎng)卡連接出口網(wǎng)關(guān)(路由器、防火墻),然后將這兩塊網(wǎng)卡橋接起來(lái),然后將內(nèi)置的監(jiān)控軟件部署在此虛擬的“網(wǎng)絡(luò)橋”上對(duì)過(guò)往的報(bào)文進(jìn)行識(shí)別、過(guò)濾和攔截,以此實(shí)現(xiàn)對(duì)電腦上網(wǎng)行為的管理。公平地說(shuō),上述幾種部署方式都有自己的優(yōu)缺點(diǎn),我們下面有圖示一一加以說(shuō)明。
一、 第一代網(wǎng)管系統(tǒng):旁路方式部署(早期純軟件架構(gòu)的網(wǎng)管系統(tǒng)多用此種方式部署,分為端口鏡像、Hub、代理服務(wù)器等方式,這種部署方式設(shè)置較為復(fù)雜、局限性較大、實(shí)現(xiàn)的網(wǎng)絡(luò)管理功能有限,對(duì)網(wǎng)絡(luò)性能的消耗較大、容易導(dǎo)致網(wǎng)絡(luò)延遲等。
通過(guò)旁路的方式部署網(wǎng)管軟件,一般是在交換機(jī)做端口鏡像、部署HUB集線(xiàn)器或者代理服務(wù)器的方式,這種方式由于只能對(duì)流經(jīng)端口、網(wǎng)卡的報(bào)文進(jìn)行拷貝、識(shí)別和分析,并且也只能通過(guò)發(fā)送偽造的TCP報(bào)文來(lái)打斷通訊,尤其是只能打斷HTTP協(xié)議、TCP協(xié)議的通訊,而無(wú)法有效阻斷P2P協(xié)議、UDP協(xié)議的報(bào)文,從而這種架構(gòu)的網(wǎng)管系統(tǒng)只能限制HTTP、TCP協(xié)議的網(wǎng)頁(yè)訪(fǎng)問(wèn)、電子郵件等,而無(wú)法有效阻止P2P下載、BT下載、以及所有主要采用UDP協(xié)議進(jìn)行傳輸?shù)木W(wǎng)絡(luò)應(yīng)用(比如網(wǎng)絡(luò)游戲、股票軟件、聊天軟件等);同時(shí),這種架構(gòu)的網(wǎng)管系統(tǒng)也只能限制電腦一段時(shí)間的流量,比如一天下載了多少兆大小的東西,而不能限制電腦實(shí)時(shí)的上網(wǎng)帶寬、上網(wǎng)速度,從而也無(wú)法實(shí)現(xiàn)合理、均衡分配上網(wǎng)帶寬,無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)資源高效、精準(zhǔn)、實(shí)時(shí)控制的目標(biāo)。如下圖所示(紅叉代表這種部署方式):
圖1:在交換機(jī)做端口鏡像部署方式
圖2:加裝HUB集線(xiàn)器的方式
圖3:代理服務(wù)器的方式
從網(wǎng)管系統(tǒng)的發(fā)展歷史來(lái)看,這種旁路架構(gòu)的部署方式因?yàn)榇嬖谥T多先天性缺陷,并且存在部署繁瑣(例如可能需要專(zhuān)門(mén)購(gòu)置支持端口鏡像的交換機(jī)、HUB集線(xiàn)器或架設(shè)代理服務(wù)器等),并且設(shè)置復(fù)雜,自身對(duì)網(wǎng)絡(luò)性能消耗較大(例如HUB集線(xiàn)器只能支持10兆,代理服務(wù)器也比較影響性能)等問(wèn)題,使得這種架構(gòu)的網(wǎng)管系統(tǒng)逐步退出歷史的舞臺(tái)。目前僅在一些需要監(jiān)控上網(wǎng)內(nèi)容,而不在意上網(wǎng)行為的一些小型局域網(wǎng)使用,不適合大型局域網(wǎng)環(huán)境,更不適合需要對(duì)上網(wǎng)行為(P2P下載、聊天、炒股、玩游戲、限制帶寬)等網(wǎng)絡(luò)環(huán)境中使用。
二、 第二代網(wǎng)管系統(tǒng):采用串接(橋接)部署。(當(dāng)前基于硬件平臺(tái)的網(wǎng)管系統(tǒng)多用此種方式部署,可以實(shí)現(xiàn)大部分網(wǎng)絡(luò)管理功能,但設(shè)置較為復(fù)雜,但容易出現(xiàn)單點(diǎn)故障,風(fēng)險(xiǎn)較大,承載內(nèi)網(wǎng)所有公網(wǎng)報(bào)文容易成為性能瓶頸)
鑒于旁路方式部署網(wǎng)管系統(tǒng)面臨的諸多缺憾,國(guó)內(nèi)一些網(wǎng)管系統(tǒng)廠(chǎng)家逐步采用串接、橋接方式來(lái)取代傳統(tǒng)的旁路模式。串接方式一般是有兩個(gè)口,一個(gè)連接內(nèi)網(wǎng)交換機(jī),另一個(gè)連接出口網(wǎng)關(guān)設(shè)備,并且一般是通過(guò)雙網(wǎng)卡橋接成“網(wǎng)絡(luò)橋”的方式使得內(nèi)網(wǎng)口和外網(wǎng)口建立連接并進(jìn)行數(shù)據(jù)報(bào)文的傳輸,然后將網(wǎng)管系統(tǒng)部署到此“網(wǎng)絡(luò)橋”來(lái)對(duì)過(guò)往的數(shù)據(jù)報(bào)文進(jìn)行抓取、過(guò)濾、處理和轉(zhuǎn)發(fā),以此來(lái)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)電腦上網(wǎng)行為的控制。毋庸置疑,這種方式避免了旁路模式的諸多不足,可以實(shí)現(xiàn)大部分的網(wǎng)絡(luò)管控功能,但是安裝部署較為復(fù)雜、風(fēng)險(xiǎn)較大、同時(shí)對(duì)網(wǎng)絡(luò)性能的消耗較大,極容易導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)包延遲。如下圖所示:
總體來(lái)說(shuō),這種架構(gòu)的部署方式也面臨以下幾個(gè)問(wèn)題:
首先,這種架構(gòu)需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),三層交換機(jī)和網(wǎng)關(guān)設(shè)備都需要作出相應(yīng)的調(diào)整,而這種調(diào)整常常是通過(guò)命令行的方式來(lái)實(shí)現(xiàn)的,這使得那些沒(méi)有專(zhuān)門(mén)網(wǎng)管人員的單位部署起來(lái)較為麻煩,一旦監(jiān)控設(shè)備出現(xiàn)問(wèn)題,相關(guān)的網(wǎng)絡(luò)恢復(fù)工作也較為吃力,使得這種部署方式從管理層面看,風(fēng)險(xiǎn)較大、管理較為復(fù)雜。
其次,由于這種監(jiān)控設(shè)備的原理是通過(guò)在雙網(wǎng)卡虛擬的“網(wǎng)絡(luò)橋”上捕獲電腦報(bào)文進(jìn)行識(shí)別、過(guò)濾和攔截電腦的公網(wǎng)報(bào)文進(jìn)而實(shí)現(xiàn)對(duì)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的控制,而雙網(wǎng)卡、網(wǎng)絡(luò)橋這種方式由于數(shù)據(jù)包要經(jīng)過(guò)監(jiān)控設(shè)備的內(nèi)網(wǎng)口網(wǎng)卡后,要通過(guò)電腦主板總線(xiàn)傳輸給監(jiān)控設(shè)備的外網(wǎng)口網(wǎng)卡,然后再由監(jiān)控設(shè)備外網(wǎng)口網(wǎng)卡發(fā)送到出口網(wǎng)關(guān)到達(dá)互聯(lián)網(wǎng);回來(lái)的互聯(lián)網(wǎng)報(bào)文也是先由網(wǎng)關(guān)發(fā)送給監(jiān)控設(shè)備外網(wǎng)口網(wǎng)卡,然后由監(jiān)控設(shè)備的外網(wǎng)口網(wǎng)卡再通過(guò)主板總線(xiàn)發(fā)給監(jiān)控設(shè)備的內(nèi)網(wǎng)口網(wǎng)卡,然后再發(fā)給交換機(jī)并最終分發(fā)到局域網(wǎng)各個(gè)電腦上。由于局域網(wǎng)電腦的發(fā)包和收包每次都要經(jīng)過(guò)內(nèi)網(wǎng)口網(wǎng)卡、主板總線(xiàn)、外網(wǎng)口網(wǎng)卡的三次中轉(zhuǎn),形成三個(gè)網(wǎng)絡(luò)性能消耗點(diǎn)。所以這種架構(gòu)本身對(duì)網(wǎng)絡(luò)性能的消耗較大,對(duì)網(wǎng)速的影響較為明顯,特別是網(wǎng)絡(luò)流量較大的情況下,將導(dǎo)致網(wǎng)絡(luò)延遲、中斷甚至癱瘓的情況。如下圖所示:
串接模式(雙網(wǎng)卡網(wǎng)橋模式)下內(nèi)網(wǎng)電腦上網(wǎng)收發(fā)包的流轉(zhuǎn)圖
再次,由于串接或者橋接的方式使得局域網(wǎng)所有電腦、三層交換機(jī)所有網(wǎng)段的電腦的數(shù)據(jù)報(bào)文都流經(jīng)此“網(wǎng)絡(luò)橋”,這就使得局域網(wǎng)一些關(guān)鍵電腦(如領(lǐng)導(dǎo)的電腦、服務(wù)器、其他免監(jiān)控的電腦等)的公網(wǎng)報(bào)文也要經(jīng)過(guò)此“獨(dú)木橋”,這種的報(bào)文大量“擁擠”,極容易造成性能降低、網(wǎng)速減慢、網(wǎng)絡(luò)數(shù)據(jù)包延遲;同時(shí),一旦此監(jiān)控設(shè)備出現(xiàn)問(wèn)題,將使得整個(gè)局域網(wǎng)電腦、三層交換機(jī)所有網(wǎng)段的電腦都出現(xiàn)斷網(wǎng)、掉線(xiàn)等現(xiàn)象,從而也使得領(lǐng)導(dǎo)電腦或服務(wù)器的公網(wǎng)訪(fǎng)問(wèn)被中斷,使得企業(yè)網(wǎng)絡(luò)安全面臨極大的風(fēng)險(xiǎn);最后,由于一些關(guān)鍵電腦的數(shù)據(jù)報(bào)文也流經(jīng)此網(wǎng)絡(luò)設(shè)備,從而使得單位的商業(yè)機(jī)密、重要文件面臨著被嗅探、捕獲和泄密的風(fēng)險(xiǎn),從而對(duì)企業(yè)的穩(wěn)健經(jīng)營(yíng)產(chǎn)生重大隱患。如下圖所示:
領(lǐng)導(dǎo)電腦、服務(wù)器和員工電腦的公網(wǎng)收發(fā)報(bào)文都經(jīng)過(guò)網(wǎng)管設(shè)備的流轉(zhuǎn)圖
最后,由于這種網(wǎng)絡(luò)監(jiān)控設(shè)備是部署在三層交換機(jī)和出口網(wǎng)關(guān)設(shè)備之間,這使得一般的監(jiān)控設(shè)備無(wú)法獲取三層交換機(jī)各個(gè)網(wǎng)段內(nèi)的電腦的MAC地址,而只能獲取三層交換機(jī)出口接口的MAC地址(也即你看到局域網(wǎng)各個(gè)電腦的IP都對(duì)應(yīng)同一個(gè)MAC地址的情況)。這使得一旦某個(gè)網(wǎng)段內(nèi)的電腦更改自己的IP地址成為另一個(gè)IP地址(尤其是普通員工、外來(lái)人員將自己的IP地址更改成領(lǐng)導(dǎo)的IP地址以獲取更高的上網(wǎng)權(quán)限)后網(wǎng)管系統(tǒng)將無(wú)法識(shí)別,從而一方面容易造成IP地址沖突,網(wǎng)絡(luò)管理失效,另一方面也容易導(dǎo)致內(nèi)網(wǎng)商業(yè)機(jī)密和關(guān)鍵信息的丟失、被盜,從而使得內(nèi)網(wǎng)安全和商業(yè)機(jī)密面臨極大的風(fēng)險(xiǎn)。
綜上所述,這種串接、橋接的網(wǎng)管系統(tǒng)由于承載著本地局域網(wǎng)所有公網(wǎng)報(bào)文,關(guān)系著網(wǎng)絡(luò)的穩(wěn)定、安全和暢通,因此對(duì)其穩(wěn)定性、安全性有了更高的要求,否則一旦出現(xiàn)問(wèn)題,將對(duì)局域網(wǎng)造成較為嚴(yán)重的影響;同時(shí),由于這種部署方式由于一般無(wú)法獲取客戶(hù)端的MAC地址或者主機(jī)名,因此無(wú)法精確定位、約束被控制的電腦,造成無(wú)法有效實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的。
第三代網(wǎng)管系統(tǒng):基于“創(chuàng)新直連”架構(gòu)的部署方式(網(wǎng)絡(luò)特警引領(lǐng)網(wǎng)管系統(tǒng)未來(lái)發(fā)展趨勢(shì)的部署方式,安裝部署極為簡(jiǎn)單,可以實(shí)現(xiàn)所有的網(wǎng)絡(luò)管理功能,全透明部署,不會(huì)出現(xiàn)單點(diǎn)故障,不需要調(diào)整任何結(jié)構(gòu)或加裝任何設(shè)備,超高速轉(zhuǎn)發(fā)數(shù)據(jù)包,不會(huì)出現(xiàn)性能瓶頸,不會(huì)導(dǎo)致網(wǎng)絡(luò)延遲)
鑒于采用旁路模式和串接模式部署網(wǎng)管系統(tǒng)面臨的一些不足,以及用戶(hù)對(duì)于高可靠性、高安全性、更快捷部署、更簡(jiǎn)單設(shè)置網(wǎng)管系統(tǒng)的強(qiáng)烈需求,并且通過(guò)對(duì)當(dāng)前最新網(wǎng)絡(luò)管理技術(shù)的深入研究和大膽突破。大勢(shì)至(北京)軟件工程有限公司(官方網(wǎng)址:http://www.grabsun.com/)推出了基于“創(chuàng)新直連”架構(gòu)的網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng),通過(guò)直接連接三層交換機(jī)的任意網(wǎng)段的任意一個(gè)端口即可實(shí)現(xiàn)對(duì)三層交換機(jī)所有網(wǎng)段電腦的全方位監(jiān)控,一舉解決了當(dāng)前硬件架構(gòu)網(wǎng)管系統(tǒng)通過(guò)串接、橋接的各種不足,可以實(shí)現(xiàn)更安全、更精確、更智能、更快捷的網(wǎng)絡(luò)管理。具體部署如下圖所示:
網(wǎng)絡(luò)特警可以直接部署在二層交換機(jī)、普通交換機(jī)的環(huán)境
網(wǎng)絡(luò)特警可以接入劃分VLAN的交換機(jī)的任意網(wǎng)段內(nèi)
基于“創(chuàng)新直連”架構(gòu)的網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng),通過(guò)深入研究交換機(jī)傳輸原理和互聯(lián)網(wǎng)基礎(chǔ)通訊協(xié)議的基礎(chǔ)上研發(fā)成功的。“創(chuàng)新直連”的具體含義如下:
1、 通過(guò)網(wǎng)絡(luò)特警硬件平臺(tái)自帶的單塊高性能網(wǎng)口直接連接交換機(jī)或者路由器。不論是二層交換機(jī)、還是三層交換機(jī)、甚至是核心交換機(jī),即可實(shí)現(xiàn)對(duì)下面所有網(wǎng)段、所有電腦的上網(wǎng)行為的全面控制。同時(shí),也只需要連接交換機(jī),而不需要連接出口網(wǎng)關(guān)或者其他設(shè)備,也不需要對(duì)網(wǎng)絡(luò)做出任何調(diào)整或加裝任何其他網(wǎng)絡(luò)設(shè)備。
2、 網(wǎng)絡(luò)特警采用單塊網(wǎng)卡進(jìn)行抓包、識(shí)別、過(guò)濾和轉(zhuǎn)發(fā)。網(wǎng)絡(luò)特警直接從網(wǎng)卡高速緩存抓取數(shù)據(jù)包進(jìn)行處理,處理完畢之后直接放入網(wǎng)卡高速緩存,網(wǎng)卡通過(guò)內(nèi)部集成的高速芯片(峰值傳輸速度可以達(dá)到2.5G,遠(yuǎn)超主板總線(xiàn)傳輸速度)直接將數(shù)據(jù)包發(fā)送到公網(wǎng)出口,而不是給監(jiān)控設(shè)備的主板總線(xiàn)和另一塊網(wǎng)卡,從而避免了網(wǎng)絡(luò)數(shù)據(jù)包的多次中轉(zhuǎn)、來(lái)回公網(wǎng)報(bào)文都要中轉(zhuǎn)對(duì)網(wǎng)絡(luò)性能的消耗,大幅度提升了監(jiān)控效率,避免了網(wǎng)絡(luò)延遲。如下圖所示:
網(wǎng)絡(luò)特警數(shù)據(jù)包流轉(zhuǎn)圖
3、 基于單向監(jiān)控的模式下,下行數(shù)據(jù)包由出口網(wǎng)關(guān)直接發(fā)送到交換機(jī)并最終分發(fā)給局域網(wǎng)相應(yīng)的電腦,這樣下行的網(wǎng)絡(luò)數(shù)據(jù)包不需要再流經(jīng)網(wǎng)絡(luò)特警監(jiān)控設(shè)備,考慮到下行包常常遠(yuǎn)大于上行包,尤其是局域網(wǎng)某些情況下常常用P2P軟件(如迅雷等)下載大的文件,從而可以更進(jìn)一步避免網(wǎng)絡(luò)延遲,同時(shí)也極大地降低了監(jiān)控設(shè)備的負(fù)荷,提升了網(wǎng)絡(luò)特警的監(jiān)控效率。
4、 對(duì)于局域網(wǎng)一些免監(jiān)控的電腦,如領(lǐng)導(dǎo)或服務(wù)器等主機(jī)的公網(wǎng)報(bào)文,通過(guò)簡(jiǎn)單設(shè)置,即可完全不流經(jīng)網(wǎng)絡(luò)特警的監(jiān)控設(shè)備,而是直接通過(guò)交換機(jī)發(fā)送到出口網(wǎng)關(guān)到達(dá)互聯(lián)網(wǎng),而回來(lái)的互聯(lián)網(wǎng)報(bào)文由網(wǎng)關(guān)直接發(fā)給領(lǐng)導(dǎo)電腦和服務(wù)器。由于領(lǐng)導(dǎo)電腦和服務(wù)器的公網(wǎng)數(shù)據(jù)包不流經(jīng)網(wǎng)絡(luò)特警的監(jiān)控設(shè)備,從而一方面降低了監(jiān)控設(shè)備負(fù)荷,避免了公網(wǎng)報(bào)文的擁堵排隊(duì)情況;另一方面也避免了監(jiān)控設(shè)備出現(xiàn)單點(diǎn)故障可能影響領(lǐng)導(dǎo)上網(wǎng)或者服務(wù)器關(guān)鍵業(yè)務(wù)出現(xiàn)中斷的風(fēng)險(xiǎn);最后,由于領(lǐng)導(dǎo)或服務(wù)器的公網(wǎng)報(bào)文不流經(jīng)網(wǎng)絡(luò)特警監(jiān)控設(shè)備,從而也使得這些重要電腦的數(shù)據(jù)報(bào)文不會(huì)被監(jiān)控設(shè)備等第三方設(shè)備捕獲,有利于保護(hù)信息安全和商業(yè)機(jī)密!如下圖所示:
網(wǎng)絡(luò)特警免監(jiān)控電腦數(shù)據(jù)包流轉(zhuǎn)圖
5、 全透明安裝,支持熱插拔網(wǎng)絡(luò)自動(dòng)導(dǎo)通。在某些不需要監(jiān)控的情況下,可以直接停止監(jiān)控設(shè)備的工作,甚至可以將監(jiān)控設(shè)備直接移除,網(wǎng)絡(luò)即可自動(dòng)、智能恢復(fù),從而極大地降低了特殊情況下的網(wǎng)絡(luò)通訊風(fēng)險(xiǎn)。
總之,網(wǎng)絡(luò)特警基于五個(gè)方面的“直連”技術(shù),不但避免了傳統(tǒng)部署網(wǎng)管系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)性能消耗、數(shù)據(jù)包延遲、單點(diǎn)故障風(fēng)險(xiǎn)等諸多不足和缺陷,而且還大幅度提升了監(jiān)控設(shè)備的監(jiān)控效率、優(yōu)化了整體網(wǎng)絡(luò)性能、降低了部署網(wǎng)管設(shè)備的復(fù)雜性和工作量,而且可以進(jìn)一步保護(hù)企業(yè)信息安全和商業(yè)機(jī)密,從根本上保證網(wǎng)絡(luò)的安全、穩(wěn)定和暢通。
網(wǎng)絡(luò)特警“創(chuàng)新直連”架構(gòu)的諸多優(yōu)勢(shì)匯總?cè)缦拢?br />
1、 安裝部署最快捷、最簡(jiǎn)單、工作量最小、最安全
網(wǎng)絡(luò)特警上網(wǎng)行為控制系統(tǒng)直接連接局域網(wǎng)二層交換機(jī)、普通交換機(jī)、三層交換機(jī)或者核心交換機(jī)的任意網(wǎng)段的任意一個(gè)端口,即可實(shí)現(xiàn)對(duì)二層交換機(jī)所有電腦、三層交換機(jī)、核心交換機(jī)所有網(wǎng)段電腦的全面監(jiān)控,從而可以不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),不需要對(duì)三層交換機(jī)、網(wǎng)關(guān)設(shè)備等做任何調(diào)整,不需要在三層交換機(jī)做端口鏡像、部署HUB集線(xiàn)器或者代理服務(wù)器的情況,極大地降低了部署網(wǎng)管系統(tǒng)的復(fù)雜性、工作量;同時(shí),這種監(jiān)控模式也不會(huì)對(duì)網(wǎng)絡(luò)安全造成影響,保證了網(wǎng)絡(luò)的持續(xù)、穩(wěn)定、高效運(yùn)行。
2、內(nèi)有乾坤、硬件隨需定制、同類(lèi)產(chǎn)品性能最高
網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)內(nèi)置英特爾高性能數(shù)據(jù)轉(zhuǎn)發(fā)專(zhuān)用網(wǎng)卡(本網(wǎng)卡基于PCI-E技術(shù)架構(gòu),標(biāo)配傳輸速率在2G以上,高端設(shè)備內(nèi)置10G(萬(wàn)兆)速率網(wǎng)卡,可以滿(mǎn)足國(guó)內(nèi)所有企事業(yè)單位的需要),不需要兩塊網(wǎng)卡搭建網(wǎng)絡(luò)橋,從而避免了“網(wǎng)絡(luò)橋”對(duì)網(wǎng)絡(luò)性能的消耗,極大地降低了部署網(wǎng)管系統(tǒng)的負(fù)面影響和對(duì)局域網(wǎng)的拖累,同時(shí)穩(wěn)定性更高;同時(shí),為了滿(mǎn)足不同用戶(hù)的對(duì)硬件監(jiān)控系統(tǒng)的擴(kuò)展、冗余需要,我們提供了針對(duì)用戶(hù)環(huán)境的硬件個(gè)性定制、無(wú)償升級(jí)的策略,從而不僅可以滿(mǎn)足用戶(hù)當(dāng)下的網(wǎng)絡(luò)管理需求,而且可以滿(mǎn)足用戶(hù)未來(lái)較長(zhǎng)時(shí)間的硬件性能需要,性?xún)r(jià)比更高。與國(guó)內(nèi)其他基于硬件架構(gòu)的上網(wǎng)行為管理系統(tǒng)一般不公布(或者不好意思公布,因?yàn)樗麄兊呐渲锰停珻PU一般用Atom、賽揚(yáng)、奔騰等低端CPU,內(nèi)存一般用容量較低的一代內(nèi)存等)具體硬件配件參數(shù)不同,網(wǎng)絡(luò)特警全線(xiàn)產(chǎn)品的最低配置、高端配置如下表所示:
CPU 內(nèi)存 硬盤(pán) 網(wǎng)卡
酷睿2雙核 4G DDR2以上 500G 英特爾PCI-E千兆網(wǎng)卡
網(wǎng)絡(luò)特警最低配置表
CPU 內(nèi)存 硬盤(pán) 網(wǎng)卡
i5-i7多核/至強(qiáng)多核 4G -16GDDR3以上 1TB-2TB 英特爾PCI-E萬(wàn)兆光網(wǎng)卡
網(wǎng)絡(luò)特警高端配置表
網(wǎng)絡(luò)特警外觀(guān)
平臺(tái)架構(gòu) 標(biāo)準(zhǔn)1U/2U工業(yè)設(shè)計(jì),高強(qiáng)度鋼外殼
CPU 支持Intel Core i3/i5/i7
芯片組 Intel Q57/H55,Intel3450
BIOS AMI SPI BIOS
內(nèi)存 4G-16G,DDR3/1333MHZ
硬盤(pán) 500G-2TB高速SATA硬盤(pán)
網(wǎng)卡 Intel PCI-E高性能千兆/萬(wàn)兆網(wǎng)卡
LAN BYPASS 2組
峰值流量 10G
工作溫度 0-60°
I/O芯片 IT87 18F
網(wǎng)絡(luò)特警平臺(tái)參數(shù)
3、免監(jiān)控的電腦公網(wǎng)數(shù)據(jù)包不流經(jīng)網(wǎng)絡(luò)特警,從根本上保證了信息安全、商業(yè)機(jī)密,最大限度降低設(shè)備負(fù)荷,提升監(jiān)控效率,徹底避免導(dǎo)致網(wǎng)絡(luò)延遲現(xiàn)象。
網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)由于直連三層交換機(jī),并可以識(shí)別三層交換機(jī)的各個(gè)網(wǎng)段的電腦,從而可以對(duì)重要網(wǎng)段、重要電腦或者服務(wù)器免于監(jiān)控。這種免于監(jiān)控也不同于其他網(wǎng)管設(shè)備的“免監(jiān)控”,而是基于以下兩個(gè)方面:一方面,免監(jiān)控的網(wǎng)段、電腦或者服務(wù)器的公網(wǎng)報(bào)文根本不流經(jīng)網(wǎng)絡(luò)特警上網(wǎng)行為管理設(shè)備,而是直接通過(guò)三層交換機(jī)發(fā)送到出口網(wǎng)關(guān),從而避免了和被監(jiān)控的電腦的公網(wǎng)報(bào)文一起“排隊(duì)”等待過(guò)濾轉(zhuǎn)發(fā)的情況,避免出現(xiàn)報(bào)文擁堵、丟包和延遲的現(xiàn)象,正如根本沒(méi)有部署網(wǎng)管系統(tǒng)一樣(而同類(lèi)的網(wǎng)管設(shè)備,由于采用串接、橋接等方式,從而使得即便是免監(jiān)控的電腦或服務(wù)器的公網(wǎng)數(shù)據(jù)包也被迫必須流經(jīng)監(jiān)控設(shè)備,加大了數(shù)據(jù)包的擁堵,導(dǎo)致網(wǎng)絡(luò)延遲增大,網(wǎng)絡(luò)性能下降,監(jiān)控設(shè)備負(fù)荷增加);同時(shí),由于領(lǐng)導(dǎo)或關(guān)鍵服務(wù)器的數(shù)據(jù)包不流經(jīng)網(wǎng)管設(shè)備,從而避免了被第三方工具嗅探、截獲商業(yè)機(jī)密的情況,從而也極大地保護(hù)了信息安全和商業(yè)機(jī)密;另一方面,相應(yīng)地,由于免監(jiān)控的主機(jī)公網(wǎng)報(bào)文根本不流經(jīng)網(wǎng)絡(luò)特警監(jiān)控設(shè)備,從而即便設(shè)備出現(xiàn)故障也不會(huì)影響到這些免監(jiān)控網(wǎng)段、電腦或者服務(wù)器的正常運(yùn)行,從而可以保證企業(yè)內(nèi)部關(guān)鍵業(yè)務(wù)的永續(xù)進(jìn)行不受干擾。如下圖所示:
4、跨三層交換機(jī)進(jìn)行IP和MAC地址綁定、策略和主機(jī)硬件綁定,從而保證監(jiān)控精準(zhǔn)定位、無(wú)處可逃
由于網(wǎng)絡(luò)特警監(jiān)控設(shè)備直接連接三層交換機(jī)或者核心交換機(jī),從而可以輕松獲取三層交換機(jī)各個(gè)網(wǎng)段、各個(gè)電腦的IP和MAC地址對(duì)應(yīng)關(guān)系,網(wǎng)管人員可以進(jìn)行IP和MAC地址(從而避免了使用三層交換機(jī)做IP和MAC地址綁定的繁瑣),同時(shí)由于可以將主機(jī)上網(wǎng)策略和其MAC地址進(jìn)行綁定,從而無(wú)論被控制的電腦如何更改IP地址仍舊在網(wǎng)管先前指定的上網(wǎng)策略下上網(wǎng),從而杜絕了客戶(hù)端電腦或者外來(lái)電腦企圖通過(guò)修改IP地址逃避監(jiān)控、獲取更高上網(wǎng)權(quán)限的行為,極大地保護(hù)了企業(yè)的內(nèi)網(wǎng)安全和保護(hù)了商業(yè)機(jī)密,實(shí)現(xiàn)了更為嚴(yán)肅、精準(zhǔn)的網(wǎng)絡(luò)管理。
5、“心跳”技術(shù)實(shí)時(shí)跟蹤、智能、自動(dòng)、多手段迅速恢復(fù)網(wǎng)絡(luò)
由于網(wǎng)絡(luò)特警上網(wǎng)行為監(jiān)控系統(tǒng)直接連接三層交換機(jī)進(jìn)行監(jiān)控,一旦不再需要監(jiān)控或者監(jiān)控設(shè)備出現(xiàn)故障,網(wǎng)絡(luò)特警上網(wǎng)行為監(jiān)控系統(tǒng)將自動(dòng)啟用Bypass功能恢復(fù)網(wǎng)絡(luò),這種情況下網(wǎng)絡(luò)將自動(dòng)恢復(fù)到原初的狀態(tài),就和之前從未部署網(wǎng)管系統(tǒng)一樣;同時(shí),你也可以直接重啟三層交換機(jī)即可迅速恢復(fù)網(wǎng)絡(luò);此外,網(wǎng)絡(luò)特警上網(wǎng)行為監(jiān)控系統(tǒng)還提供了額外的防護(hù)機(jī)制,網(wǎng)管人員可以在自己的電腦通過(guò)運(yùn)行大勢(shì)至公司提供的網(wǎng)絡(luò)恢復(fù)工具即可迅速恢復(fù)網(wǎng)絡(luò),保證網(wǎng)絡(luò)的在10秒以?xún)?nèi)即可輕松恢復(fù)。
6、根據(jù)客戶(hù)合理化需求進(jìn)行個(gè)性化、實(shí)時(shí)定制功能,確保網(wǎng)絡(luò)管理可持續(xù)發(fā)展
中國(guó)企事業(yè)單位網(wǎng)絡(luò)結(jié)構(gòu)各種各樣、網(wǎng)絡(luò)需求各不相同,因此單一的網(wǎng)絡(luò)管理系統(tǒng)無(wú)論多么強(qiáng)大,也無(wú)法滿(mǎn)足客戶(hù)的個(gè)性化需求,而向網(wǎng)管系統(tǒng)廠(chǎng)商要求個(gè)性化定制常常需要付出高額的費(fèi)用——和客戶(hù)一樣,我們始終無(wú)法理解,為什么一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)管理功能,網(wǎng)管系統(tǒng)廠(chǎng)商要向客戶(hù)索取高額的定制費(fèi)用。為此,我們提出了“網(wǎng)絡(luò)所需 我們所能”的這一公司宣言,這也是我們對(duì)客戶(hù)的莊嚴(yán)承諾!——所以,確切地說(shuō),你并不是購(gòu)買(mǎi)一套“網(wǎng)絡(luò)特警”上網(wǎng)行為管理系統(tǒng),而是購(gòu)買(mǎi)一種實(shí)時(shí)的、個(gè)性化、隨需定制服務(wù),這種服務(wù)的初衷和最終目的只有一個(gè),那就是:滿(mǎn)足客戶(hù)的個(gè)性化、全方位、真正的網(wǎng)絡(luò)管理需要,為客戶(hù)創(chuàng)造網(wǎng)絡(luò)切實(shí)的網(wǎng)絡(luò)管理收益,保證你的網(wǎng)絡(luò)管理可持續(xù)發(fā)展。
7、模塊化設(shè)計(jì)、模塊化部署,最大程度降低系統(tǒng)負(fù)荷、最大限度提升性能
我們常常看到國(guó)內(nèi)某些網(wǎng)管軟件廠(chǎng)商宣稱(chēng)自己的產(chǎn)品可以完美地提供“一站式、全功能”的解決方案:集成網(wǎng)關(guān)路由功能、防火墻、代理服務(wù)器功能、網(wǎng)絡(luò)訪(fǎng)問(wèn)行為管理、郵件安全與殺毒、流量管理、陽(yáng)光上網(wǎng)、網(wǎng)絡(luò)監(jiān)控、VPN功能等等,幾乎涉及到網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)行為的一切方面,給人的感覺(jué)十分強(qiáng)大、無(wú)所不包。但是實(shí)際的情況是,就目前國(guó)內(nèi)網(wǎng)絡(luò)管理軟件廠(chǎng)商的技術(shù)實(shí)力、研發(fā)實(shí)力還是資金實(shí)力而言,都無(wú)力研發(fā)這種“無(wú)所不能”的網(wǎng)絡(luò)管理系統(tǒng);即便是國(guó)外大的網(wǎng)絡(luò)公司也沒(méi)有這種“一站式”的產(chǎn)品,所以我們總會(huì)看到不同的網(wǎng)絡(luò)管理產(chǎn)品總是專(zhuān)注網(wǎng)絡(luò)管理的某個(gè)特定方面,有的專(zhuān)注于信息安全、有的專(zhuān)注于網(wǎng)絡(luò)行為管理、有的是專(zhuān)門(mén)的防火墻,當(dāng)然也有專(zhuān)門(mén)的殺毒軟件。所以當(dāng)有廠(chǎng)家宣稱(chēng)可以提供“一站式”的方案的時(shí)候,作為客戶(hù)要小心了,一個(gè)產(chǎn)品如果什么功能都可以實(shí)現(xiàn),那么它的每個(gè)功能都不可能完善,這種情況下,客戶(hù)最需要的功能往往也不能很好地滿(mǎn)足,而只有專(zhuān)注于某一領(lǐng)域的廠(chǎng)商才可能提供更為專(zhuān)業(yè)的產(chǎn)品。所以,無(wú)論是早期的“聚生網(wǎng)管”還是如今的“網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)”,我們總是專(zhuān)注于最核心的網(wǎng)絡(luò)管理功能,幫助客戶(hù)實(shí)現(xiàn)最重要的應(yīng)用價(jià)值。同時(shí),網(wǎng)管系統(tǒng)越復(fù)雜,其對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的抓包、分析、過(guò)濾、轉(zhuǎn)發(fā)等步驟就越多,網(wǎng)絡(luò)消耗就越嚴(yán)重,監(jiān)控效率也就越低;同時(shí),越龐大的網(wǎng)管系統(tǒng)由于代碼量更大、隱含著更多的BUG,會(huì)導(dǎo)致系統(tǒng)的穩(wěn)定性更低。為此,和你見(jiàn)到的其他網(wǎng)管設(shè)備不同,網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)仍舊是一款專(zhuān)業(yè)的網(wǎng)絡(luò)監(jiān)控設(shè)備,仍舊專(zhuān)注于員工上網(wǎng)行為管理;另一方面,根據(jù)用戶(hù)的某些特殊網(wǎng)絡(luò)管理需求,我們開(kāi)發(fā)了很多網(wǎng)絡(luò)管理插件,這些工具可以獨(dú)立運(yùn)行,從而避免拖累網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng),又可以幫助用戶(hù)實(shí)現(xiàn)個(gè)性化、特殊的網(wǎng)絡(luò)管理需求。
8、操作系統(tǒng)平臺(tái)優(yōu)勢(shì),支持Windows操作系統(tǒng)和Linux操作系統(tǒng),擴(kuò)展性大大增強(qiáng)
網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)同時(shí)支持基于Windows平臺(tái)的X86/64位操作系統(tǒng),同時(shí)也支持基于Unix和Linux操作系統(tǒng),同時(shí)還支持虛擬機(jī)運(yùn)行網(wǎng)管系統(tǒng),從而可以滿(mǎn)足用戶(hù)多層次、多平臺(tái)的網(wǎng)絡(luò)管理需要;同時(shí),網(wǎng)絡(luò)特警上網(wǎng)行為管理系統(tǒng)也可以以軟件形態(tài)單獨(dú)運(yùn)行,從而可以直接運(yùn)行在客戶(hù)現(xiàn)有的服務(wù)器、高性能主機(jī)上,從而便于充分利用用戶(hù)現(xiàn)有的硬件平臺(tái)和操作系統(tǒng),減少資源閑置和浪費(fèi)狀態(tài)。這樣一方面降低了用戶(hù)的采購(gòu)網(wǎng)管系統(tǒng)的支出,同時(shí)也便于用戶(hù)利用現(xiàn)有的軟硬件平臺(tái)運(yùn)行網(wǎng)管系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的,并且還有利于用戶(hù)降低電能消耗、實(shí)現(xiàn)低碳環(huán)保的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)控,從而幫助用戶(hù)實(shí)現(xiàn)最具性?xún)r(jià)比、最具經(jīng)濟(jì)效益的網(wǎng)絡(luò)管理。
共有條評(píng)論
