能推荐一款硬件上网行为管理设备吗?
公司的带宽都给迅雷,P2P吃光了,迫不得已只能上设备来管理了。测试了国内几款计较流行的设备,深信服啦,网康啦,网络督察什么的,似乎都有那么一点不满意。
各位高手能不能介绍下,你们是怎么控制上网行为的? [color=red][b]此回复于2008-07-17 09:24被 [url=http://bbs.51cto.com/profile-uid-151961.html]jrfly331[/url] 评为最佳答案[/b][/color]
要看公司性质,有的公司是不会限制员工的上网行为的,当然有的公司对这个很在意.
硬件方面:你可以看看飞塔? 同意楼上的说法,限制员工上网行为需要公司制度的支持。
监控网络使用状况可以用sniffer,如果只监控流量可以使用MRTG,论坛内都有相关的资料。 我们公司有,你可以站内消息找我,不过用这个你要处理好人事关系,尤其国企对这个比较敏感的。 第三只眼企业监控软件
产品网站:[url]http://www.0514soft.com/[/url]
试用版本下载地址:[url]http://www.0514soft.com/download/my3eye_sy_new.zip[/url]
QQ:529486782 *** 作者被禁止或删除 内容自动屏蔽 *** 我们用的是任子行 感觉一般般 可以用一些什麼P2P終極者。。 架设代理服务器上网,如ISA。 推荐sniffer
硬件的产品就多了
你可以找本地做网络安全的公司去推荐下产品
我们只买了守内安的邮件监控,没有买内容管理
还有个北京的,叫启明星辰系列 我测试了飞塔,感觉还不错。 FORTINET有内网行为管理产品吗? 飞塔的价位怎么就么有人说说呢
100人以下的公司 用飞塔哪款? 价位多少 就是封P2P软件 和 qq 我公司用的深信服的,感觉不错,深信服在这个领域国内领先,尤其是VPN
ExtraMonitor流量控制设备应用于政府企业信息中心
一、应用背景:在国内,政府信息中心(以下简称:信息中心)的网络通常由Internet和政务专网组成,通过多年的政府网络建设,全国各地政务网无论是从基础网络,还是网络的管理及安全,都已颇具规模。近年来中央强调各级政务信息公开,打造服务性政府,让电子政务变的不仅仅政府各部门间的沟通工具,也逐渐成为政府信息公开窗口,广大民众获取政务信息的重要途径,这更为政务网络的管理人员、规划人员提出更高的要求。
下面我们以某政府信息中心作为案例,探讨政府信息中心如何在目前的环境下改善网络运行效果,优化各种网络应用,规避因网络流量所造成的断网事故。
该政府信息中心作为全国性的电子政务的示范单位,目前在IT系统建设方面状况如下: 1. 网络接入:与上、下级政府单位通过政务专网实现广域网互联,网络中心通过300M光纤线路接入Internet。
2. 应用方面:已成功实施了电子政务、OA等全局性的应用系统,以及各部门的业务系统。开通了“区长在线”等与公众互动的交互平台,电子政务建设方面,在国内屡获殊荣,获得各级政府部门的一致肯定与好评。
3. 信息资源:有五十多台服务器,其中大部分服务放置本地监管,部分服务器托管于其它机房,机房所在的区政府大楼至少有2000台以上的PC机、并全部实现联网。
4. 为保证IT系统的正常运行,已采取了大量的安全防范措施:如已实现内外网物理隔离、已部署防火墙、防病毒、入侵检测系统等。
5. 专业人员队伍:信息中心拥有一批高水平的技术人员,负责IT系统的建设与运作维护,同时也聘请第三方的安全顾问公司进行指导。
随着信息中心网络的扩容、发展,各个网络上业务、用户规模及流量快速增长,但网络流量的增长速度远高于用户数量的增长速度,网络带宽扩容的压力与日俱增,网络流向很不均衡;对网络内流量及各种应用协议急需进行管理与统计分析,为网络规划和优化调整提供基础依据。
网络上以BT、eDonkey、迅雷为代表的P2P类型的应用以及各种视频应用等大量使用,占用了大量的带宽资源,导致了网络的拥塞和服务质量下降。为了保证用户能够“相对平等”的使用网络资源和带宽,提高网络的整体服务质量,同时提高“每个单位的平均收益率”,需要采取必要的技术手段对BT、eDonkey等大量耗费带宽的P2P应用进行一定程度的监测和调控,以达到提高服务质量的目的。
二、面临的问题与隐患
当前的网络应用已经从物理连接的建设,数据链路层高速网络的实施,网络层全球化的路由交换和会话层的应用发展到了网络应用层也就是OSI第七层的应用。但随之而来的是如何保证网络应用的性能和安全已经成为困扰所有网络用户的问题,成为所有网络用户的迫切需要解决的问题。
另外在目前的网络中有70%以上的安全威胁来自于网络内部,那种认为购买了防火墙、防病毒产品就等于买到了网络安全的想法早已过时,网络攻击和病毒常常发源于企业网内部的“可信任”主机,内网安全迫切需要大家投入比以往更多的关注。系统的思考一下,其实大多数的内网安全隐患都是源于内部应用无法管理所造成的,尤其是内部用户访问Internet资源的泛滥,如大流量的P2P下载及在线视频。
从普遍性的问题来看,政府信息中心的IT系统尚有以下方面问题有待重视:
1. 内网基层设施齐全,但是缺少统一管理机制和实现统一管理的设备,不能及时发现网络存在的问题,在找到问题后(如:病毒爆发),大量的异常网络流量全部汇聚到核心层交换机,但因地理位置、技术等原因管理人员无法即时控制病毒的蔓延,从而导致在出现问题时来不及补救,使整个网段甚至网络系统瘫痪。
2. 网络带宽资源无法合理分配,缺少基础控管数据。带宽使用效率较低,无法了解网络带宽真正使用情况。重要应用程序的运行没有网络带宽保障,可能在关键时候出现网络阻塞情况。应用软件难于控管,特别是P2P等点对点传输软件(如BT)、视频等,在使用时会挤占大量的网络资源。
3. IT系统是政府管理运作不可或却的工具,但同时也可能因为员工滥用IT资源而影响工作、甚至可能给企业带来各种法律风险。如:上班时间玩游戏、聊天、炒股影响工作,上不健康的网站、网上发贴可能给单位惹来法律风险,泄露机密对单位造成损失等。
对于内部流量的控制,传统的网络管理系统虽然可以提供业务流量监测手段,但基本上只是采用一些通用型的网络链路使用率监视软件,对网络的重点链路和互联点进行简单的端口级流量监视和统计,或采用在网络中部分重点业务接入点加装远程监控探测的方式,对网络中部分端口进行网络流量和上层业务流量的监视和采集,但无法完全满足互联网业务流量的管理需求。
同时,众多的网络产品,如防火墙、路由器、L3交换机等,虽然提供了流量控制功能,基本上都是基于IP及协议端口的方式来管理控制,对于BT等无规则的应用根本无法控管。
三、应用分析:
1. 网络流量流向分析:了解信息中心各种数据网不同属性流量分布,预测流量变化趋势,找出网络瓶颈,为网络规划、优化调整提供基础依据;对应用、用户应用进行深入分析,我们可以清晰地掌握网络的应用行为,为设计实施更好的用户服务及产品提供了可靠的基层数据。
2. 异常流量分析:当网络攻击发生时,从信息中心IP数据网的层面,对异常流量攻击实施有效监控和定位;能够及时响应,对异常流量和一些非法应用进行控制,保证信息中心IP数据网的正常运行。
3. 网络应用监控:通过建立健全安全监测管理系统,对IP数据网的流量及网上的各种应用协议进行统计分析,结合日常网络维护操作,重点对异常流量进行分析和预警,实现在IP数据网络上的网络安全预警。
4. 策略控制能力:能够基于IP地址、端口、业务、时间的带宽控制。支持的基于应用的带宽控制包括保证(最小带宽)、限制(最大带宽)、流量透传、丢弃、设置优先级(至少五个级别)等多种控制方式。
综上所述,政府信息中心对IT系统的流量管理的需求,TiderWay概述如下:
① 对出/入网络的流量进行控制
② 网络流量流向分析
③ 网络行为分析及带宽管理
④ 实时流量检测
⑤ 任意分配个别流量带宽
⑥ 分析个人、程序流量并制定带宽管理
⑦ 依据不同的应用持续进行双向带宽管理
⑧ 网络行为的分析与控管
⑨ 个性化IM/P2P的控制管理
四、TiderWay解决方案:
根据政府信息中心实际需求要求,从产品的适用性、高稳定性、易操作性、高扩展性、易管理等特点,推荐领先技术流量管理与控制系统--TiderWay ExtraMonitor系列(XM)流量控制产品。
1、 TiderWay XM流量控制设备的部署方式:
1.1 部署说明结合政府信息中心网的实际情况,主要遵循方便网络流向分析,方便网络异常流量检测,方便网络应用监视与控制的原则,我们可以将流量分析系统部署在Internet骨干网上分析各业务流量,信息中心骨干网承载全区所有业务支撑网流量,为了实现对各个业务系统如OA系统、政务平台等业务等内部流量分析,对网络内部的异常流量进行检测,对关键核心业务的带宽进行保证,在信息中心骨干网上部署TiderWay XM设备实现对全网流量进行分析,对异常流量进行检测,对网络应用进行监控,根据业务应用控制的不同带宽。同时在保证信息中心业务正常业务流量的情况下,合理的为主要人员分配带宽。
1.2网络结构图如下:(简略图)
XM设备架设在核心交换机与防火墙之间,控管、监测整个网络的出口流量,并通过XM设备本身的Bypss功能,即使XM流量控制设备断电、停机、也不影响网络通信,确保整个网络的持续性,不造成单点故障。
2、TiderWay XM流量控制设备运行效果:通过TiderWay XM保证重要业务应用所需的网络带宽,实现网络为工作(业务运作)服务的目标:
① 核心业务系统所需的网络带宽有保障,保证业务运作与工作的高效进行;
② 对非工作使用网络可根据需要是否设限;
③ 通过四到七层的网络交换技术,从应用层面解决了上述问题;
④ 实时监看内网流量、掌握网络资源使用情况,丰富的历史报表,便于事后查询;
⑤ 把握网络流量运行状况,应对突发事故;
⑥ 优化带宽资源配置、降低网络费用;
⑦ 可针对session数高的应用服务如:P2P等,作限制,减少Core Swicth 或 Router、FireWall等网络设备的负载,减少网络Down Time的时间。
3、TiderWay XM流量控制设备运行截图:
3.1、实时流量分析,提供基于IP、应用、网络出口的实时流量分析。
3.2、针对关键应用,P2P等大流量应用做带宽策略:
3.3、丰富的流量报表,基于用户及应用的报表分析,并可根据情况自定义报表类型:
五、关于TiderWay
TiderWay是业内领先的应用层管理解决方案提供商,2006年在国内推出ExtraMonitor流量控制产品以来,其产品的用户涵概政府、公营机构、教育部门、ISP、商业企业,为国内少数几家定位于专业流量控制设备的服务商。 TiderWay流量控制产品依托其独立的研发团队,本土化的应用更新,让用户可以轻松应对网络应用带来的新挑战。 TiderWay运营平台设在上海,在北京、广州等地设有技术支持中心,可以随时服务各地用户的技术问题。
对些方案感兴趣者可联系本公司:Tiderway中国 (MSN:tiderway@163.com QQ:908340860 13774410516)
[[i] 本帖最后由 renenyu6 于 2008-8-7 16:28 编辑 [/i]] 建议用ISA2006,在上班时间把下载和在线电影都封掉,不过在之前要得到领导的支持啊 思科的路由器里就能设了,12.0开始的IOS里多了个 time-range的命令,再配合访问控制列表应该就能实现你需要的功能了
使用规则
用time-range命令来指定时间范围的名称,然后用absolute命令或者一个或多个peri-odic命令来具体定义时间范围。IOS 命令格式为:time-range time-range-name abso-lute [start time date] [end time date] pe-riodic days-of-the week hh:mm to [days-of-the week] hh:mm我们分别来介绍下每个命令和参数的详细情况time-range:用来定义时间范围的命令time-range-name:时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用absolute:该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。 在这两个关键字后面的时间要以24 小时制、hh:mm(小时:分钟)表示,日期要按照日/ 月/ 年来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end 处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数是Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是daily(每天)、 weekday(周一到周五)或者weekend(周末)。注意:一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。现在我们来看几个例子。
(1)如果要表示每天的早8点到晚5点就可以用这样的语句:
absolute start 8:00 end 17:00
(2)我们要使一个访问列表从2003年1月1日早1点开始起作用,直到2003年1月31日晚24 点停止作用,语句如下:absolute start 1:00 1 January 2003end 24:00 31 January 2003
(3)表示每周一到周五的早9点到晚10点半,periodic weekday 9:00 to 22:30;我们已经知道如何定义时间范围,这样一来,我们就可以用这种基于时间的访问列表来实现网络的安全控制,而不用半夜跑到办公室去删除那个访问列表了。这对于网络管理员来说,是个很好的事情。下面让我们看看如何在实际情况下应用这种基于时间的访问列表S1
192.168.1.0 E0
交换机
Internet
E1 192.168.2.0 E1
交换机
应用实例
在如上图所示的网络中,路由器有两个以太网接口E0 和E1,分别连接着192.168.1.0和192.168.2.0 两个子网络。还有一个串口
S1,连入Internet。为了让192.168.1.0 子网公司员工在工作时间(每周一到周五的早8点到晚5 点)不能进行WEB 浏览,只有在下班时间才可以通过公司的网络访问Internet(这样就不用担心某些人上班时间偷着聊天了)。而对192.168.2.0 子网的公司员工不作上网限制,我们来做如下的基于时间的访问控制列表来实现这样的功能:
Router# config t
Router(config)# interface ethernet 0 进入端口控制模式
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)# periodic weekday 8:00 to 5:00;
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们只需在一个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制WEB 访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199 之间。在第四句我们定义了这个时间范围名称是http,这样,我们就可以在列表中的最后一句方便的引用了。
多动动手,根本不需要用到那些什么上网行为控制器。网康的我也知道,前段时间有人来找我们公司想借公司的平台来推。但那玩意太贵,100用户的好象报价3W多,虽然有折扣,但我感觉还是在抢钱。。。
[[i] 本帖最后由 linlin7715 于 2008-8-8 11:57 编辑 [/i]] 试试聚生吧 深信就不错的~!
看你会不会用了!
我公司用的就是深信的只要你把策略做好!! 深信也很多产品,行为管理的硬件很贵。 看看 [quote]原帖由 [i]vdai[/i] 于 2008-7-3 16:34 发表
公司的带宽都给迅雷,P2P吃光了,迫不得已只能上设备来管理了。
测试了国内几款计较流行的设备,深信服啦,网康啦,网络督察什么的,似乎都有那么一点不满意。
各位高手能不能介绍下,你们是怎么控制上网行 ... [/quote]
[size=5][color=Blue]用专业的七层设备吧![url=http://www.lotware.com.cn]UFM[/url]统一流量管理设备,精确识别各种网络应用和流量。对流量的控制达到KB级别,保障企业的关键应用!而且能对SKYPE等加密的应用程序进行准确的识别和管理。[/color][/size]
————————————————————————————————————————————
[color=Red]北京华夏创新科技有限公司
QQ:176837550
邮箱&MSN:[email]zhaochun@lotware.com.cn[/email]
网址:[url=http://www.lotware.com.cn/][color=#800080]www.lotware.com.cn[/color][/url][/color]
[[i] 本帖最后由 silenthunter 于 2008-9-24 15:33 编辑 [/i]] 网络哨兵,(硬件)功能很强. 你还不如用网络岗 active wall 等管理软件,有破解的,不花钱
再要么就isa 算了,呵呵。 寻找中 如果要控制p2p下载,推荐使用专业的流量管控设备,这方面的厂家很多,如Allot、MaxNet、Packeteer、金御等等。
UTM和上网行为管理产品毕竟不是以流控为主的,所以功能上有些局限性。
关键是要看具体的管理需求和管理的力度!!! 软件确实不如硬件。任子行的东东是旁路的,对流量管理帮助不大。大家说的网康、深信服都是不错的选择,但性价比不确定,网际思安的产品性价比更好,功能上更细,你可多了解下。[url]www.safenext.com[/url]
[[i] 本帖最后由 xhly 于 2008-11-8 10:50 编辑 [/i]] 还是用硬件产品比较彻底啊 别找了,试试网际思安的产品 [url]www.safenext.com[/url]
页:
[1]