企业上网行为管理解决方案
 

前言
 

随着信息技术的发展，企事业单位内部业务办公网络组建和各项信息化系统的建设为企事业单位带来了更多的商业机会，极大地降低了运营和沟通成本，提升了工作和生产效率。同时，由于对网络访问缺乏必要的管理措施，组织的网络资源往往得不到有效利用，网络运行在无序的状态，并由此引发了一系列安全、效率和法律问题。

本文针对内部网络行为和互联网使用状况的无序现状提出了管理、优化和控制的思路，提供了一套行之有效的解决方案。本产品旨在帮助用户实现对核心网络资源的保护，规避不良行为带来网络运行混乱，优化网络运行结构，使网络有序运行，在有效提升组织工作效率的同时也使网络安全得到更好的保障、网络带宽资源得到合理的利用。
 

网络运行维护的难题

内部网络的运行维护也存在管理的困难，首先来历不明的笔记本等计算机在组织内部的网络上接入，给病毒、软件的传播提供了途径，这些计算机也特别容易获取组织内部的文件资料。很多内部感染病毒或受软件侵袭的计算机改用其它不存在的IP地址或网卡MAC地址向外部网络大量发送垃圾数据包或涉及内部信息的数据包，或广播数据包。

随着计算机和互联网的普及，员工有了更多的与工作无关的网上活动，网上下载、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨等。只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。敲击键盘和点击鼠标的声音显示了忙碌的表象，然而“忙碌”的背后却是低下的工作效率。在高度网络化的现公环境里，这样的镜头数不胜数，办公室已被沦落为舒适的网吧。

一项对中国的网络调查结果令 

主动引导模式

这种模式基于ARP地址解析协议构建，只需要在局域网一台电脑部署即可控制整个局域网的上网行为，可以适应大部分的网络环境，适合对不希望对网络环境做任何调整（或无权调整）的网络环境；同时，与国内其他网管软件不同，这种模式下聚生网管系统可以*突破一切杀毒软件、一切防火墙进行*的监控。如下图所示：

主动引导模式部署聚生网管系统

虚拟网关模式

这种监控模式有时候需要配合路由器进行实现，部署仅需要几分钟即可完成。具体部署方式和“主动引导模式一样”，具体细节仅正式版提供。
 

网关模式

这种模式本质是聚生网管系统所在的电脑充当局域网电脑上网的出口网关。部署极为简单，需要配合路由器进行实现。同时，这种方式也不同于国内类似网管软件的网关架构部署模式。聚生网管系统的网关模式仅对上行报文进行识别和过滤，下行报文由路由器、防火墙等真正的网关发送至被控制的电脑，不经过聚生网管系统所在的电脑，因此不会造成网络延迟、不会损耗网络性能。具体部署方式和“主动引导模式一样”，具体细节仅正式版提供。
 

网桥模式

这种部署模式需要将聚生网管系统所在的电脑或服务器部署双网卡并将其桥接起来。一个网卡连接内网交换机，另一个网卡连接出口网关，然后聚生网管系统基于虚拟的网络桥进行监控。如下图所示：
 

网桥模式部署聚生网管系统

旁路模式

旁路模式适用于希望通过聚生网管系统来实现内网监控和审计，并且不希望改变网络结构的用户。

旁路模式的部署不需要对内网拓扑作任何改变，使实施难度较低。而由于内网数据流不是必须流经相关接口，因此减少了网络单点故障的发生几率。

旁路模式的每个网口均支持多子网运行。

部署方法：

需要通过交换机做端*像、部署HUB集线器或架设代理服务器等调整。

代理服务器模式部署聚生网管系统

HUB方式部署聚生网管系统

镜像模式部署聚生网管系统

监视模式

这种监控模式只对局域网电脑上网进行监视，而不进行实质的控制，具体设置仅正式版提供。
 

聚生网管系统创新直连模式非常适合通过三层交换机划分了多VLAN的环境下，是当前国内部署较简单、较快捷、对网络性能影响较小、较安全的监控模式。如下图所示：
 

创新直连模式部署聚生网管系统

当前国内类似的网管软件（包括硬件的上网行为监控系统），在监控多VLAN的环境下，一般是通过旁路方式或串接的方式来实现。这两种部署方式，一方面需要调整网络结构、工作量较大；另一方面网络风险加大，特别是串接模式下，局域网电脑所有上下行公网报文都流经网管系统所在的监控设备，一旦处理不及时极容易引发网络丢包、网络延迟现象，造成性能瓶颈。此外，在通过旁路模式下部署网管系统，还无法有效禁止P2P软件、禁止QQ网络游戏等采用UDP、P2P协议的诸多网络应用，同时也不能对上网带宽、上网速率进行有效的掌控。

而聚生网管系统的“创新直连”模式，只需要将聚生网管系统所在的电脑或服务器直接连接三层交换机的任意一个VLAN的任意一个端口，即可实现对三层交换机所有VLAN、所有电脑上网行为的全面控制。

这种监控模式不需要对网络做任何调整，不需要另行配置交换机、出口网关等设备，部署较简单、较快捷；同时这种方式由于和三层交换机各个VLAN进行并行连接，因此可以实现跨三层交换机多VLAN进行IP和MAC地址绑定，实现更有力的管理；此外，这种监控模式由于不是串接部署，因此不会因为监控系统或监控设备出现问题而导致整个局域网出现掉线的风险，同时也不会出现丢包、网络性能瓶颈的隐患；较后，聚生网管系统“创新直连”部署模式，提供了双重的风险应对机制，一旦聚生网管系统自身或聚生网管系统所在的网络设备出现问题，则聚生网管系统会自动将自己重新启动，同时还可以自动发送指令让电脑或服务器自动重启，从而保证网络监控和网络通讯的正常进行；而一旦在某些情况下需要撤掉网络监控，则直接将聚生网管系统所在的监控设备的网线从三层交换机上拔出即可，实现了热插拔的网络管理。
 

产品特性

聚生网管系统在同类产品中具有的技术优势、独到的优化快速算法和应用优势。并且部署灵活方便、管理简单，因此受到各企业、政府等组织的赞赏。其主要特性有：

l  部署简单灵活：

十分钟内完成部署，无需改变客户端系统，无需重新配置网络设备和网络拓扑结构。

l  快速优化算法：

本产品的算法经过高效优化，系统能以线速度转发网络数据包。

l  网络bypass功能：

当系统出现故障时保证网络通信正常运行。此功能对大型网络尤其重要。

l  并发连接数控制：

能够控制内部主机对外部的网络访问并发连接数，有效控制对网络的滥用。

l  阻断外部对内部的网络连接：

本功能是一种保护内部主机安全的有效手段。

l  管理简洁：

产品的管理界面经过充分的智能化和简化处理，对管理员的计算机、网络知识要求低。

l  可以对已知和未知的应用进行控制：

对已知应用可以有效管理控制，对未知应用也独到的技术提供有效管理。

l  支持各种网络环境：

支持Spanning-tree协议，链路聚合协议，802.1Q协议，VLAN协议、Trunk协议等网络环境管理协议。

l  管理员权限控制：

支持多管理员管理系统，且提供不同的权限。管理员可以了解当前在线的管理信息及已在线的时间。

l  每个网口支持多子网管理：

每个设备网口均可以支持多个不同的IP子网的监测管理。

l  例外IP地址管理：

针对大型网络内部的聚生网管系统可以设置若干目的IP地址范围，使其在各种策略管理范围之外,降低管理难度和不必要的处理器资源,提高吞吐率。

l  支持复杂网络：

网桥跨接模式部署，不但支持一个入口（LAN）一个出口（WAN）的情况，甚至支持3个入口3个出口的连接方式，因此能适应各种复杂大型网络的情况。
 

结语

聚生网管系统作为国内较早、较专业的上网行为管理系统，经过近八年的不断研发和实践积累，以较有效限制P2P软件、限制软件、控制上网带宽、限制炒股软件、屏蔽网络游戏、过滤上网等领域的诸多优势国内同类网管系统，已经成为国内网管软件领域事实上的标准，成为国内网管软件领域的产品。

目前，聚生网管系统访问量（日均独立IP数10,000以上）居网管软件厂家；聚生网管系统还被多次写入各类IT专业教材、书籍、杂志；聚生网管还被列入英特尔软件合作伙伴产品目录；聚生网管系统月成交客户较多；搜索“网管软件”除去广告之外，聚生网管系统排名一直位居较早等等。总之，聚生网管系统各个方面的资质，再一次佐证了聚生网管系统的各项优势，是当前国内企事业单位加强上网管理、实施网络控制不容置疑的选择。